This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Où parle-t-on de la configuration de base


StéphanH

Messages recommandés

Hello Tous.

Je n'ai pourtant pas encore pris l'apéro ... mais je ne trouve plus où parler de la configuration de base du Synology.

Concrètement, mon DS218+ est passé d'une connexion SFR 3G (dont en IP privée) à une connexion Fibre (IPv4 et v6 publiques et fixes).

Du coup, je fais un contrôle des moyens d'accès, et je me rends compte que l'accès via le port 5000 fonctionne, alors qu'il ne fonctionne pas sur mon DS 718+.

Dans les deux cas, le portail de connexion ne renvoit pas le 5000 sur le 5001, et le Firewall a le même paramétrage.

Comment fait-on pour refuser toute connexion non https ?

merci !

Lien vers le commentaire
Partager sur d’autres sites

Merci.

Je n'y trouve toutefois pas mon bonheur...

Il me semble avoir lu qu'il ne faut pas, à cause d'effets de bord, cocher la case qui permet de rediriger le 5000 sur le 5001

D'ailleurs, elle n'est pas cochée sur le 718+, et pourtant le 5000 ne répond pas. 

Que ce soit sur le pare-feu du 218+ ou du 718+, je ne vois rien de particuliers ...

Y a surement un truc idiot qui m'échappe ...

Lien vers le commentaire
Partager sur d’autres sites

Et en regardant du coté du parefeu ?

Depuis internet, parefeu du routeur
Depuis ethernet (dans le cas d'un nom de domaine), parefeu du nas : paramètres, sécurité, parefeu, défaut, modifier les règles et cherche dedans le 5000 à décocher.
 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, StéphanH a dit :

C'est fou quand même qu'il n'y ait pas une case à cocher de base pour empêcher tout accès sans "S" ...

Pour forcer l'acces en HTTPS à l'interface d'administration (5000/5001) il y ceci aussi:

image.png.b189b068f771e68a9941a28f84f28fdb.png

Toute tentative de connexion sur le port 5000 est automatiquement reroutée sur le port SSL.

Sinon il ne faut pas oublier que laisser l'acces HTTP ouvert n'est potentiellement risqué que pour les éventueles utilisateurs externes qui l'utilisent pour se connecter. Ca ne rend pas le NAS plus vulnérable, qu'il écoute activement sur ce port n'est pas un risque "en soi".

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, StéphanH a dit :

C’est vrai que le port soit ouvert ou pas, tant que je m’en sers pas, le risque est faible.

Si le port est ouvert sur l'extérieur, un hacker peut tenter d'en profiter. Il vaut mieux interdire, via le pare-feu, tous les ports non utilisés et si possible ne pas ouvrir ces ports sur le NAS.

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, CyberFr a dit :

Si le port est ouvert sur l'extérieur, un hacker peut tenter d'en profiter

Il ne pourra rien faire de plus via le port 5000 que via le port 5001. Juste que le traffic entre le "hacker" et le NAS ne sera pas chiffré, pas de protection supplémentaire pour autant.

Mais bien entendu, pas la peine de l'ouvrir à l'extérieur non plus, le port SSL suffit.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Personnellement je redirige les connexions http vers https avec le fichier .htaccess, j'utilise HSTS (préload), le proxy-inverse (avec contrôle d'accès en local et VPN pour les applis qui ne doivent pas être accessibles aux tiers, je m'y connecte de l'extérieur avec VPN serveur). Mais je suis preneur de tout conseil ou mise en garde 😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, bliz a dit :

justement, dans un connexion wifi, cela change tout. L'envoie des peudo et pass sont en clair. Ils peuvent être récupéré, surtout si le wifi est public

Sur le port en clair ça sera les pseudo et pass que le "hacker" utilise lors de ses essais pour tenter de se connecter, quelle importance?

Je suis d'accord que fermer le port non SSL est légitime, mais simplement parce que ça ne sert à rien de le laisser ouvert, pas pour raison de sécurité.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Oui, mais si le port 5000 est ouvert et que personne ne s’en sert, il n’y a rien à écouter …

Mais je suis d’accord que c’est un risque.


Rédigé avec Tapatalk

Et j’en reviens à ma toute première interrogation …
Outre cette question de sécurité, ou aurais je dû poster cette question ?
Je ne vois plus le forum sur la conf de DSM.


Rédigé avec Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

si tu te coonecte en http, toute connexion n'étant pas crypté, récupérer les pseudo et pass pour un hackeur est un jeu d'enfant. Après, avec ça, pas compliquer de rentrer dans le nas et de mette le boxon.
Certains hackeur réussisse à se connecter à ton wifi en l'étant chiffré, alors pour le reste, c'est un jeux d'enfant. Il y a eu un bon documentaire sur une société allemande de protection informatique qui en avait fait la démonstration, il suffit de chercher sur le net.
Pour ce qui est du http depuis internet, certain reussisse a snifer votre réseau, c'est d'ailleurs pour cela que le https existe, alors envoyer en clair vos données sensible est une absurdité à mon sens.
Mais bon, je me trompe peut être

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, CyberFr a dit :

c'est ceinture et bretelles

Et bien malgré ceci j'ai eu des tentatives d'intrusions et j'ai dû interdire la Chine dans le pare-feu pour les ports de MailPlus-Serveur 😅:

 

vertissement
Connexion
08/09/2021 14:31:20
postfix
User [helpdesk] from [2.56.59.40] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:26:10
postfix
User [farmacia] from [203.159.80.60] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:20:02
postfix
User [auditor] from [31.210.21.3] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:16:39
postfix
User [test] from [31.210.20.54] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:14:02
postfix
User [it] from [45.133.1.102] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:40:59
postfix
User [testuser] from [195.133.40.91] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:27:27
postfix
User [test123] from [37.0.11.215] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:20:09
postfix
User [demo] from [45.144.225.204] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 12:28:25
postfix
User [root] from [195.133.40.41] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 12:09:47
postfix
User [test1] from [45.133.1.58] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:44:57
postfix
User [guest] from [212.192.241.186] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:40:43
postfix
User [student] from [31.210.21.220] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:37:19
postfix
User [test2] from [195.133.40.63] failed to log in via [MailPlus-Server] due to authorization failure.
Lien vers le commentaire
Partager sur d’autres sites

Et en plus, comme les adresses IP sont à chaque fois différentes, pas simple de bloquer les tentatives d'intrusion.

il y a 30 minutes, StéphanH a dit :

Outre cette question de sécurité, ou aurais je dû poster cette question ?
Je ne vois plus le forum sur la conf de DSM.

Tu peux poster dans Installation, Démarrage et Configuration.

Lien vers le commentaire
Partager sur d’autres sites

il y a 46 minutes, bliz a dit :

si tu te coonecte en http, toute connexion n'étant pas crypté, récupérer les pseudo et pass pour un hackeur est un jeu d'enfant. Après, avec ça, pas compliquer de rentrer dans le nas et de mette le boxon.

Mais qui a suggéré de se connecter en http? On a simplement dit que laisser le port non chiffré ouvert était sans danger du moment qu'on ne l'utilise pas, rien de plus. (et donc, bien sur, que de ce fait c'est inutile de l'ouvrir à l'extérieur on est d'accord la dessus)

Cela dit, je répète, aucun danger à le laisser ouvert: vu qu'on ne l'utilise pas il n'y aura rien à capturer puisque aucun traffic. 

 

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, CyberFr a dit :

c'est ceinture et bretelles

Je ne crois pas non. C'est du simple bon sens.

Tout comme @Jeff777, je n'autorise pas les accès de l'extérieur aux équipements sensibles. Pour ceux-là, je passe par le serveur VPN : DSM, le routeur, la box, mes bornes Wifi, mes caméras, etc..

Pourquoi prendre des risques inutiles alors qu'il existe des modes de connexion plus sécurisés (L2TP, Open VPN, Wireguard ....)

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, Mic13710 a dit :

je n'autorise pas les accès de l'extérieur aux équipements sensibles. Pour ceux-là, je passe par le serveur VPN : DSM, le routeur, la box, mes bornes Wifi, mes caméras, etc..

Ca doit poser problème pour le renouvellement auto de(s) certifcat(s) let's encrypt non?

image.png.f472478cbdfd6ddfbf135fc56d37818b.png

 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777
Rien de méchant, ils utilisent une connexion non sécurisé, comme le compte anonyme des compte ftp, rien de bien méchant. Par contre, c'est chiant, ils utilisent de la bande passante pour rien, et ceux qui ont un petit débit en pâtissent. Les gamins lorsqu'ils jouent, cela leur fait augmenter leur ping si trop  de requêtes sont suivies les unes après les autres.  

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.