Sécurité reverse proxy vers un autre appareil

[Spi]

Bonjour,

J'utilise le reverse proxy de mon nas pour atteindre un second nas dans le même réseau.
Je ne connais pas très bien les reverse proxy et j'aurais voulu savoir si c'était sécurisé?

Je l'utilise pour rediriger la page d'administration du second nas, source 443 HTTPS destination 5001 HTTPS. Ce qui me laisse supposé que le trafic reste chiffré de bout en bout?
Par contre si j'ai une source en HTTPS et en destination de l'HTTP, étant donné que le reverse proxy et sa destination n'est pas sur le nas initial, il doit y avoir du trafic qui sort en clair du premier vers le deuxième. J'ai bon?

PS: Quand je demande si c'est sécurisé, le second nas n'est évidemment accessible que depuis mon réseau local. Je me doute que c'est une solution "bricolage" et pas faite pour être exposée au WAN.

 

Merci !

 

[Mic13710]

Ce qui est sécurisé, c'est le lien du réseau public vers le premier NAS. Si vous redirigez ensuite la requête vers une adresse sur le même réseau privé, vous pouvez bien entendu le faire en https ce qui rajoute une sécurisation entre les deux NAS (et uniquement entre les deux NAS), mais ça n'a guère de sens si ce réseau est de confiance. Vous pouvez très bien utiliser le http 5000.

Par contre, parler sécurité et accéder à DSM de l'extérieur (que ce soit en direct ou au travers du reverse proxy) n'est pas la meilleure solution. Je vous conseillerais de passer plutôt par le serveur VPN qui est tout de même plus sécurisé que le https.

[PiwiLAbruti]

Pour compléter ce que dit @Mic13710, il est aussi possible de limiter l'exposition du port tcp/443 en restreignant les sources depuis le pare-feu (ce que j'utilise). C'est beaucoup moins pénible que d'utiliser un VPN.

[Spi]

Bonsoir,
Je me rend compte que je me suis mal expliqué. Donc je la refais avec un peu plus de détails:

nas1:
C'est le nas principal, les applications que j'utilise (principalement via Docker) sont installées sur celui là sauf exception.
Certains services sont accessibles depuis l'extérieur mais uniquement en HTTPS, c'est pour ça que j'utilise un reverse proxy et un certificat SSL dessus.
Il est aussi DNS pour mon LAN.
 

nas2:
Il sert de cible pour les backup du 1, il n'est pas accessible depuis l'extérieur.
Récemment j'ai installé Docker dessus pour y mettre un conteneur que je ne peux pas laisser sur le nas1.
Le fait d'avoir une alerte de sécurité quand j'accède à son DSM ou l'interface du Docker me tapait un peu sur le système, donc j'ai créé une entrée dans le reverse proxy.

 

Au niveau flux réseau, je vois ça comme ceci:
1) Requête DNS pour accéder à l'interface dsm.domain.tld (qui est sur le nas2) -> le nas1 répond en donnant son IP
2) La requête arrive dans le reverse proxy qui transforme dsm.domain.tld en nas2.domain.tld:5001
3) A ce moment le flux quitte le nas1 pour aller vers le nas2

C'est l'étape 3 qui fait que je me pose des questions. Le nas2 n'est absolument pas au courant qu'il y a un reverse proxy avant lui et accepte une connexion http ou https au choix mais il ne possède pas le certificat SSL. Donc pour moi c'est équivalent à un petit bricolage pour éviter d'avoir un message de sécurité mais ça où accéder en direct à une connexions sur la cible, avec un certificat autosigné, c'est pareil. Donc pas super sécurisé. Est-ce que je suis dans le bon?

 

Ce qui veut dire que la réponse doit tenir compte du fait qu'on est en LAN et que c'est la partie communication entre deux machines distinctes dont je ne suis pas certain.

Si je reprends ce passage:

Citation

Ce qui est sécurisé, c'est le lien du réseau public vers le premier NAS. Si vous redirigez ensuite la requête vers une adresse sur le même réseau privé, vous pouvez bien entendu le faire en https ce qui rajoute une sécurisation entre les deux NAS (et uniquement entre les deux NAS), mais ça n'a guère de sens si ce réseau est de confiance. Vous pouvez très bien utiliser le http 5000.

Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non? Ou le reverse du nas1 chiffre le trafic avec le nas2 même sur de l'HTTP? Même si on est dans mon LAN où à priori il n'y a personne pour venir sniffer à coup de Wireshark mon réseau, je préfère ne rien laisser en clair.

 

Citation

Pour compléter ce que dit @Mic13710, il est aussi possible de limiter l'exposition du port tcp/443 en restreignant les sources depuis le pare-feu (ce que j'utilise). C'est beaucoup moins pénible que d'utiliser un VPN.

On est d'accord. 🙂 C'est ce que je fais aussi, 443 only et geo filtering avec. Le VPN c'est seulement si je dois me connecter sur le DSM en cas d'urgence.

Modifié le 1 décembre 2022 par Spi
Ajout d'informations

[Mic13710]

Le 01/12/2022 à 18:56, Spi a dit :

Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non?

Uniquement entre NAS1 et NAS2. Le lien entre le public et le NAS1 est et reste en HTTPS. Le trafic transite par le NAS1 qui aux yeux du public est le seul interlocuteur. Le reverse proxy fait la passerelle entre le NAS1 et les différents services internes (localhost) ou externes (NAS2 dans votre cas).

[Spi]

Il y a 3 heures, Mic13710 a dit :

Uniquement entre NAS1 et NAS2. Le lien entre le public et le NAS1 est et reste en HTTPS. Le trafic transite par le NAS1 qui aux yeux du public est le seul interlocuteur. Le reverse proxy fait la passerelle entre le NAS1 et les différents services internes (localhost) ou externes (NAS2 dans votre cas).

Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2?
Qu'est-ce qui est le plus sécurisé dans mon cas: l'utilisation du reverse proxy comme expliqué, où se connecter au nas2 en HTTPS et certificat autosigné?

Même si j'imagine que ni l'un ni l'autre n'est une situation idéale. 🙂

[Mic13710]

il y a 29 minutes, Spi a dit :

Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2?

Le seul moyen serait d'être connecté sur votre réseau privé pour pouvoir intercepter le trafic. A moins que vous n'ayez aucune confiance en ceux qui utilisent le dit réseau il y a peu de chances que ça arrive.

Partant de ce constat, la confidentialité sera la même par l'une ou l'autre des solutions, sauf que le certificat auto-signé ne vous procurera pas le même degré de sécurisation que ne peut le faire un vrai certificat car vous pouvez avoir un risque d'usurpation d'identité. Vous pouvez aussi envisager un certificat propre au NAS2 ou importer le certificat du NAS1 dans le 2 et utiliser un port https différent du 443 pour atteindre directement le NAS2.

[.Shad.]

Je te conseillerais de revoir ton infra réseau si tu ne fais pas confiance au trafic sur ton réseau de confiance.

Ou alors relier en direct ton NAS 2 avec ton NAS 1.

[Spi]

Le 03/12/2022 à 16:20, Mic13710 a dit :

Le seul moyen serait d'être connecté sur votre réseau privé pour pouvoir intercepter le trafic. A moins que vous n'ayez aucune confiance en ceux qui utilisent le dit réseau il y a peu de chances que ça arrive.

Partant de ce constat, la confidentialité sera la même par l'une ou l'autre des solutions, sauf que le certificat auto-signé ne vous procurera pas le même degré de sécurisation que ne peut le faire un vrai certificat car vous pouvez avoir un risque d'usurpation d'identité. Vous pouvez aussi envisager un certificat propre au NAS2 ou importer le certificat du NAS1 dans le 2 et utiliser un port https différent du 443 pour atteindre directement le NAS2.

Merci pour les précisions!

Citation

Je te conseillerais de revoir ton infra réseau si tu ne fais pas confiance au trafic sur ton réseau de confiance.

Ou alors relier en direct ton NAS 2 avec ton NAS 1.

C'est pas une question de confiance, plus une envie de comprendre en détail et de sécuriser au maximum ce qui peut l'être.
Je ne peux pas relier les deux NAS ensemble, ça me forcerait à casser le LACP que j'ai créé et le second nas doit rester accessible en SMB pour mon LAN parce-que les différents PC de la maison balancent leur backups Veeam dessus.
C'est vrai que je pourrais faire un import/export du certificat Let's Encrypt, je n'ai jamais regardé si c'était facile avec un Syno mais c'est l'occasion.

Après, soyons honnête... je pousse un peu le truc "trop loin". Pour que quelqu'un puisse accéder aux NAS il faudrait effectivement qu'il soit physiquement chez moi et dans le bon vlan car les interfaces de management ne sont pas accessible de n'importe où. Il y a plus de chances qu'on me vole mon Syno que de quelqu'un qui tenterait une attaque de l'intérieur de réseau. Néanmoins, sécuriser son réseau et comprendre ce qu'on fait n'est jamais une mauvaise chose.

 

Encore merci pour les infos.