Connexion similaire au protocole SMB à distance

[alexislevrai]

Bonjour, 

J'ai un NAS DS712+ que je souhaite utiliser comme stockage centralisé pour partager mes fichiers source de montage vidéo avec mon, collègue.

Dossier partagés, droits d'accès connexion locale en SMB via le Finder mac, jusque la tout marche parfaitement. 

Seulement nous sommes amenés à travailler de la maison, et je souhaiterai pouvoir accéder a mon NAS en remote via le Finder du mac, pour parcourir les fichiers comme si c'était un disque connecté ou un disque interne et non via l'interface web ou synology drive (car il copie les fichiers en local). J'ai lu qu'accéder en SMB a distance était super dangereux.

Quelles sont les solutions qui s'offrent a moi ? 

Merci d'avance pour votre aide.

[.Shad.]

Salut,

il y a 34 minutes, alexislevrai a dit :

J'ai lu qu'accéder en SMB a distance était super dangereux.

Oui, on évite d'ouvrir le port SMB vers l'extérieur. Ca peut éviter bien des désagréments.
Si on veut vraiment utiliser SMB, on se connecte d'abord au serveur VPN du NAS (ou autre périphérique) et on travaille comme si on était en local.
Mais les performances de SMB à distance (via VPN ou pas d'ailleurs) ne sont pas dingues, j'ai de gros doutes sur la pertinence de ce type de montage dans le cadre d'édition vidéo.

La meilleure solution est sans conteste Drive, mais sur Mac, pour le moment, la synchro à la demande n'est pas disponible, donc ça va bouffer ton espace disque.

L'autre solution c'est d'utiliser WebDAV, c'est un protocole qui émule le principe de SMB à distance, DSM a un paquet pour ça d'ailleurs. Les performances sont généralement meilleures qu'en SMB (ne me demande pas pourquoi, c'est un constat), même si je persiste qu'en gérant bien les dossiers qu'on partage et en se limitant au strict nécessaire, Drive serait de loin la meilleure solution, vu que tu bénéficies des performances d'un travail en local.

 

[alexislevrai]

Merci beaucoup pour tes conseils. 

Je vais regarder du coté de WebDAV et faire des tests. Mais c'est vrai qu'éventuellement Drive avec juste un dossier WorkInProgress pour limiter le stockage en local, ça peut etre une solution.

[.Shad.]

Oui, et normalement c'était prévu pour Q2 que Synology implémente la synchro à la demande pour MacOS.
Dans ce cas-là plus de problème de stockage.

[alexislevrai]

Ce sera top ! 

Il y a un endroit ou je peux surveiller ça ? 

 

[StéphanH]

Il y a 3 heures, .Shad. a dit :

Oui, on évite d'ouvrir le port SMB vers l'extérieur. Ca peut éviter bien des désagréments.
Si on veut vraiment utiliser SMB, on se connecte d'abord au serveur VPN du NAS

En quoi est il plus dangereux d’ouvrier le port SMB que le port VPN ?

[.Shad.]

@StéphanH

Port SMB c'est 139 ou 445 (suivant la version de SMB), c'est un port non sécurisé (pas de chiffrement).
Dans une connexion VPN, tu as une négociation TLS et l'utilisation d'un certificat client et serveur.

Pour WebDAV, tu as une négociation TLS (en version HTTPS en tout cas), et c'est la force de ta combinaison user/pwd qui va influer sur le niveau de sécurité de ton installation.

@alexislevrai https://community.synology.com/enu/forum/18/post/141247?page=8
Ce n'est pas vraiment un suivi mais le sujet qui recueille la plupart des remarques des utilisateurs. Et quelques officiels y ont réagi, donc a priori si ça bouge tu le verras dans ce fil. 😉 

Modifié le 17 mai 2022 par .Shad.

[alexislevrai]

Cool merci !

[StéphanH]

A ma connaissance @.Shad., seul SMB1 n’était pas chiffré. Je l’ai donc interdit.

SMB2 et 3 sont chiffrés si je ne me trompe.

[.Shad.]

@StéphanH Non tu confonds.

La sécurité dans les différentes versions de SMB est liée aux transferts, pas à l'authentification.

Si tu ouvres ton port SMB sur Internet, les credentials sont échangés en plain text. Tu es donc totalement vulnérable face à un man in the middle.

A contrario, WebDAV établit une négociation TLS au préalable, et pour le VPN et bien le trafic SMB est encapsulé dans le tunnel VPN donc pas de soucis.

[StéphanH]

Donc, tu veux dire que les informations de connexion sont émises en clair ?

Et seulement une fois la connexion établie, le trafic est chiffré ?