[Résolu] Apache, Gnix, termination SSL.... Comment sécuriser mon réseau ?

[darkneo]

Bonjour à tous, et meilleurs voeux pour cette nouvelle année (de santé, forcément!)

Je viens, pour changer, demander un petit coup de pouce pour m'aider à parfaire (lol) la sécurisation de tout mon réseau domotique, dont le syno est le pilier...

Après moultes galères, j'ai (enfin) réussi à activer le https sur mon NAS avec let's encrypt (et oui, sur un DSM 6.1, c'est pas super super évident en 2022....). Du coup j'étais super content, jusqu'à ce que je me connecte à un de mes apps interne (avec login), et que je repasse en http... 😂

Alors je sais qu'il y a pleins de solutions, mais j'aimerai éviter de tout devoir refaire, sachant que je sais que la logique est possible vu qu'on le fait au boulot (mais la je sèche...).

La façon dont c'est "designé" aujourd'hui: j'ai un DNS via no-ip (on v prendre youpla.ddns.net pour l'exemple), depuis peu, un certificat SSL pour ce domaine, qui est hébergé tout comme il faut sur mon syno.

Par défaut, quand je vais sur https://youpla.ddns.net, j'arrive sur une page webstation qui centralise les différentes "URL" vers mes outils domotiques. Je mets volontairement URL entre guillemets, car la pluplart de ces interfaces sont web. Donc pour éviter des conflits, j'ai fait une redirection de ports sur ma box pour pointer vers chacun des composants.

Exemple:

youpla.ddns.net:80 => IPduSyno:80 (bon ca c'est fastoche)

youpla.ddns.net:443 => IPduSyno:443 (bon ca aussi)

youpla.ddns.net:7139 => IPduRPI1:80

youpla.ddns.net:7931 => IPduRPI2:80 (ouai car j'ai pleins de RPI chez moi)

youpla.ddns.net:555=> IPduSyno:8500 (car un package installé sur le syno utilise un port custom)

etc...

Le hic, c'est que la plupart de ces systèmes, même s'ils proposent une fonctionnalité de Login, ne sont pas compatibles avec du https. Autre trucs, quand je dis que j'en ai plein... Je dois avoir une 15aines de devices domotiques pilotables/accessibles à distance...

Et autre point fastidieux, à date, c'est mon router qui gère toutes ces règles NAT, et autant vous dire que le dernier gars de SFR qui a vu la tronche de ma table NAT m'a dit qu'il ne pouvait rien pour moi concernant des problèmes réseaux que j'ai sur du localhost...

Bref, ce que je voudrais faire (et ce qu'on fait au boulot) c'est conserver les points d'entrées sous forme de youpla.ddns.net:XXXX et que cela me reroote (toujours en https, sans changer l'URL du navigateur) vers mes devices réseaux en interne. Je parle du boulot, car ce qu'on fait pour traiter ca, c'est un httpd avec tout un tas de vhost qui rerootent les ports vers des iplocales. Mais je ne sais pas si ce genre d'infra peut être mise en place sur un syno. Moralité: au lieu de pointer tous les ports vers chaque devices, tout serait centralisé sur le syno, qui s'occupe de rerooter vers les bons équipements.

Je sais pas si je suis clair, au besoin voila un petit schéma de mon infra actuelle pour mieux comprendre:

 

Merci d'avance pour vos avis, tuto, conseils... Bref pour votre aide 🙂

Modifié le 5 novembre 2022 par Mic13710

[CyberFr]

Bonjour @darkneo,

Je te recommande deux tutos afin de bien comprendre le fonctionnement d'un NAS et de le sécuriser.

[GUIDE] Débuter avec un NAS Synology

[TUTO] Sécuriser les accès à son nas

[darkneo]

Hello @CyberFr

J'ai déjà suivi tous ces tutos (et j'ai d'ailleurs bien galéré pour le Firewall, notamment pour ouvrir les range d'ips AWS!). Que dois je comprendre alors? que pout toi ce n'est pas au NAS d'assurer ce rôle?

EDIT: Je pensais avoir trouvé exactement ce que je voulais en me replongeant sur les configs du boulot! Mais malheureusement je suis bloqué... ou plutôt "limité"! Je pensais pouvoir gérer la config que je veux via le reverse proxy de DSM. Mais le soucis, c'est que la GUI n'autorise qu'un seul nom de domaine, même si le port est différent. Mais c'est exactement ce que je souhaite faire!

En tapant https://youpla.ddns.net:7139, et ayant ouvert dans ma box le port 7139 from internet to DSM sur le 7139, j'arrive sur le reverse proxy de DSM ou je renvoie HTTPS youpla.ddns.net port 7139 vers 192.168.1.7 port 80. In fine, dans mon navigateur, je ne vois "que" https://youpla.ddns.net/urlduRPI, mais mon certificat SSL est toujours OK (termination SSL sur le DSM, qui, je pense, sécurise toute la chaine de login derrière sur le réseau local)

 

Modifié le 14 janvier 2022 par darkneo

[.Shad.]

Ce que tu cherches s'appelle un reverse proxy. Il y a un tutoriel à ce sujet.

[darkneo]

Hello,

Je suis tombé dessus il y a quelques jours:

Et la où je coince, c'est sur la création des CNAME (côté no-ip, il ne me semble pas possible de créer music.ndd.fr, je ne peux créer que des music-ndd.fr, et forcément mon certificat LE n'est plus bon, et donc il me faudrait créer un certificat par service...). 

C'est possible a mettre en place avec une DNS gratuit? 

Modifié le 17 janvier 2022 par darkneo

[.Shad.]

Avec le NDD (gratuit) de Synology tu peux.
Avec un NDD gratuit, je n'en connais pas, ça existe peut-être cela dit.

[darkneo]

Bon ben problème résolu, même si je ne me l'explique pas...

Dans l'outil de reverse proxy DSM, je n'ai plus le message d'erreur quand je mets le même DNS avec un port différent... 🤒

Du coup j'ai mis tous les ports dans le reverse proxy DSM, je viens de faire les tests et c'est OK, tout est correctement redirigé (je ne sais pas si une MAJ est passée dans la nuit.... 😕 )

 

Du coup, je ne gère pas les redirections via des domaines / sous domaines comme indiqué dans le tuto (car je n'ai rien trouvé de gratuit et fonctionnel), mais via des ports.

Avantage: tout est gratuit (vu que mon DNS est chez No-Ip), un seul certificat SSL (sur le "domaine" no-ip) est nécessaire

Inconvénients: il faut ouvrir tous les ports dans la box et tous les pointer sur le DSM, qui se charge du rôle de reverse proxy sur le réseau interne

Modifié le 17 janvier 2022 par darkneo

[Jeff777]

il y a 47 minutes, darkneo a dit :

il faut ouvrir tous les ports dans la box et tous les pointer sur le DSM,

Bonjour, ça c'est loin d'être génial. L'intérêt du reverse proxy est de n'ouvrir que le minimum de ports. Avec le port 443 tu peux envoyer des requêtes en https et c'est dans le réseau local à l'abri des regards que tu rajoutes le port de l'application grâce au reverse proxy.

Relis les tutos suivants et corrige le tir rapidement:

 

Modifié le 17 janvier 2022 par Jeff777

[darkneo]

Il y a 6 heures, Jeff777 a dit :

Bonjour, ça c'est loin d'être génial. L'intérêt du reverse proxy est de n'ouvrir que le minimum de ports. Avec le port 443 tu peux envoyer des requêtes en https et c'est dans le réseau local à l'abri des regards que tu rajoutes le port de l'application grâce au reverse proxy.

Relis les tutos suivants et corrige le tir rapidement:

 

Ouai mais tous ces tutos impliquent l'utilisation de domaine et de CNAME. Or, sur No-IP, je n'ai qu'un DNS (et pas de domaine) donc je ne peux créer que 2 CNAME "gratuits", et des tests que j'ai fait, cela ne fonctionne pas (car le CNAME serait music-ndd.fr, du coup le certificat sur ndd.fr n'est plus bon). C'est un peu pour ca que j'ai posté ce topic, car dans les tutos, à part ce que j'ai fait (qui n'est pas top niveau sécu je vous l'accorde) je n'ai pas trouvé d'autre solution gratuite.....

Modifié le 17 janvier 2022 par darkneo

[Jeff777]

il y a 5 minutes, darkneo a dit :

je n'ai pas trouvé d'autre solution gratuite.

Oui je suis aussi à la recherche de solutions gratuites. Mais franchement le coût d'un domaine chez OVH par exemple, c'est 3,60€ à l'année pour une extension .ovh.

Pourquoi s'en priver ?

 

[Einsteinium]

Il y a 10 heures, Jeff777 a dit :

Mais franchement le coût d'un domaine chez OVH par exemple, c'est 3,60€ à l'année pour une extension .ovh

Et tous les 6 mois netim fait les domaines .eu pour 14€ les 10 ans + 4.79€ de migration chez ovh pour ceux qui préfère (Si vous le faites après la première année, vous récupérez une année en plus, car un eu c'est max 10 ans)

[.Shad.]

Il y a 20 heures, .Shad. a dit :

Avec le NDD (gratuit) de Synology tu peux.

@darkneo

[CyberFr]

Il y a 12 heures, darkneo a dit :

Ouai mais tous ces tutos impliquent l'utilisation de domaine et de CNAME. Or, sur No-IP, je n'ai qu'un DNS (et pas de domaine) donc je ne peux créer que 2 CNAME "gratuits"

Tu ne peux créer que deux DDNS gratuits si j'ai bien compris. On ne sait pas chez quel FAI tu es mais si tu as une IP fixe il est nettement moins compliqué d'avoir un vrai nom de domaine du type ndd.fr.

Il y a 11 heures, Jeff777 a dit :

Pourquoi s'en priver ?

Pas mieux.

[darkneo]

Il y a 3 heures, .Shad. a dit :

@darkneo

Je n'utilise pas QuickConnect, même si ca peut faire sourire vu ma configuration actuelle, j'ai pas envie que Synology ait accès à ces infos (tout est sécurisé au niveau des accès comme dans les tutos, m'enfin quand je vois les failles SAMBA/NFS... et je me dis que le moins ils ont d'infos sur moi, le moins je serai susceptible de subir une attaque en cas de fuite de données de leurs systèmes... Je sais pas si vous avez suivi les derniers rebondissements sur les QNAP, m'enfin c'est HS!)

J'avoue que j'ai regardé chez ovh, le domaine *.ovh a 2.39€/an est intéressant, mais ce qui m'inquiète, c'est que je ne sais pas combien vont me couter les CNAME derrière, et que je n'ai pas envie d'avoir la "mauvaise" surprise d'une facture a 50€/mois une fois que j'aurai tout connecter sur un nom de domaine.... En plus je connais pas du tout ces configurations DNS, Zone DNS et compagnie. Donc payer pour voir ca m'embête un peu.... 😅

  

Il y a 2 heures, CyberFr a dit :

Tu ne peux créer que deux DDNS gratuits si j'ai bien compris. On ne sait pas chez quel FAI tu es mais si tu as une IP fixe il est nettement moins compliqué d'avoir un vrai nom de domaine du type ndd.fr.

Pas mieux.

Chez No-Ip, tu peux faire 3 DDNS gratuits, a renouveler tous les mois. Par contre ce ne sont pas des "domaines" a proprement parler: j'ai déjà une IP Fixe (les avantages de la fibre) donc No-Ip me sert "juste" a faire le lien entre le DDNS et mon IP fixe. C'est aussi pour ça que je me dis qu'avec le DNS server de Synology, je devrais pouvoir arriver à faire quelque chose.... Mais les tests rapides que j'ai fait n'ont rien donné de concluant (mais j'ai certainement merdé quelque part 😅)

Edit: Pour info (on sait jamais) ce que j'ai fait dans DNS Server, c'est mettre mon "domaine" No-Ip en Master (youpla.ddns.net) et renseigné mon IP fixe dans le Serveur DNS principal. Ca me créé automatiquement un NS dans cette zone, mais impossible de les joindre via ns.youpla.ddns.net (normal, je pense, vu que ce "sous domaine" n'existe que sur mon NAS)

 

Modifié le 18 janvier 2022 par darkneo

[Einsteinium]

Quand tu as un domaine, tu fais du wildcard, tu ne t’amuses pas à faire plein de cname 🙂

[MilesTEG1]

il y a 25 minutes, darkneo a dit :

Je n'utilise pas QuickConnect, même si ca peut faire sourire vu ma configuration actuelle, j'ai pas envie que Synology ait accès à ces infos (tout est sécurisé au niveau des accès comme dans les tutos, m'enfin quand je vois les failles SAMBA/NFS... et je me dis que le moins ils ont d'infos sur moi, le moins je serai susceptible de subir une attaque en cas de fuite de données de leurs systèmes... Je sais pas si vous avez suivi les derniers rebondissements sur les QNAP, m'enfin c'est HS!)

Le nom de domaine Synology n'a rien à voir avec QuickConnect qui est a éviter au maximum, je suis d'accord.
Tu crées un nom de domaine synology dans l'onglet DDNS des paramètres DSM.

Ensuite, via un *.ton-ndd.synology.me, tu peux accéder à tous tes services via le port 443 uniquement, le tout passant par le reverse proxy. Pas besoin de faire des CNAME ou autre, tout se gère depuis DSM.
Il te faudra faire un certificat wildcard pour ce nom de domaine, mais c'est assez simple.

Ta solution, bien que fonctionnelle n'est pas vraiment sécurisée, car tu dois ouvrir pleins de ports sur ta box, ce qui multiplie les risques d'attaques, surtout si tu n'as pas changé les ports par défaut...

Bref, nous te conseillons plus que vivement de revoir ta configuration de reverseproxy, en prenant un vrai nom de domaine chez un fournisseur comme OVH (c'est pas cher un .ovh sur une année) ou en utilisant le ndd fourni gratuitement par synology.

 

il y a 32 minutes, darkneo a dit :

'avoue que j'ai regardé chez ovh, le domaine *.ovh a 2.39€/an est intéressant, mais ce qui m'inquiète, c'est que je ne sais pas combien vont me couter les CNAME derrière, et que je n'ai pas envie d'avoir la "mauvaise" surprise d'une facture a 50€/mois une fois que j'aurai tout connecter sur un nom de domaine.... En plus je connais pas du tout ces configurations DNS, Zone DNS et compagnie. Donc payer pour voir ca m'embête un peu.... 😅

Tu n'as pas regardé comment on achetais un nom de domaine...
Tu payes 3€ la première année, et ensuite tu passes sur un tarif de renouvellement, généralement au même prix, voir un chouilla plus cher...
Tu n'as pas de suppléments pour les redirections CNAME que tu fais... donc pas de risques d'avoir une facture de 50€...

Mais comme tu ne sembles pas calé là dedans, prends toi le nom de domaine gratuit synology !

[Jeff777]

il y a 43 minutes, darkneo a dit :

c'est que je ne sais pas combien vont me couter les CNAME derrière,

ça fait 3 ans que je suis chez eux et jamais eu de facture d'enregistrement de zone........euh c'est vrai que j'héberge pas propre zone 🙄. Mais ça m'étonnerai qu'il facture la zone en plus. A confirmer par d'autres membres.

[PiwiLAbruti]

Ça ne m'est d'aucune utilité, mais j'ai testé de créer une nouvelle zone DNS. Il n'y a aucune facturation supplémentaire et c'est clairement indiqué (Inclus).

Je viens de recevoir la facture à "0.00 Points" (Quelqu'un connaît cette devise ? 🤔😄)

Modifié le 18 janvier 2022 par PiwiLAbruti

[CyberFr]

il y a 15 minutes, PiwiLAbruti a dit :

Je viens de recevoir la facture à "0.00 Points" (Quelqu'un connaît cette devise ?

Ce n'est pas une devise mais ta notation chez OVH 🙂

[PiwiLAbruti]

Ah cool ! Comme c'est un arrondi, j'ai au mieux 0.00499 points ! 😎

[Jeff777]

Il y a 1 heure, Jeff777 a dit :

Mais ça m'étonnerai qu'il facture la zone en plus

Bon je corrige, car je me suis souvenu qu'il y a 2 ans j'avais demandé une zone avant de la résilier :

Le coût du domaine 

et celui de la zone de l'an dernier. Cette année pas de facturation.

Par contre je n'ai pas de notation en points 🤣

Donc en hébergeant ma zone j'économise 1,18€/an 😎

Modifié le 18 janvier 2022 par Jeff777

[darkneo]

Merci à tous pour vos retours. Je vais me pencher plus sérieusement sur ça dès que je serai sorti de la configuration VPN (j'essaye de courir 2 lièvres à la fois, et ca aide pas!)

Je vais certainement partir sur le domaine de Synology dans un premier temps, au moins pour me faire la main sur les concepts, et je verrai après pour passer chez un autre (si besoin....)

[MilesTEG1]

il y a une heure, darkneo a dit :

Je vais certainement partir sur le domaine de Synology dans un premier temps, au moins pour me faire la main sur les concepts, et je verrai après pour passer chez un autre (si besoin....)

A moins que tu ais un besoin bien spécifique, tu ne devrais pas avoir besoin d'autre chose ^^
Car les renouvellements des certificats sont hyper simple ^^ et sans ouvrir de port particulier...

[darkneo]

Hello à tous,

Alors pour information, je suis (depuis le temps) passé sur OVH. Pourquoi? Simplement car j'ai eu besoin de créer pas mal de CNAME sur mon nom de domaine (car j'ai pas mal d'applications domotiques qui tournent sur mon syno mais aussi en dehors, sur mon réseau local).

Du coup en terme de configuration, j'ai mon nom de domaine, mes CNAME, j'utilise le reverse proxy de DSM pour les apps qui sont sur le synology/docker. Evidemment le tout forcé en 443 avec les certificats Let's encrypt qui vont bien.

Merci encore mille fois pour vos conseils et aide sur le sujet qui m'a permis d'en arriver la 🙂

[.Shad.]

De rien 😉