Aller au contenu

Utilisation des profils de contrôle d'accès


Biskot

Messages recommandés

Bonjour à tous,

Le contexte :

Dans le Portail de connexion, j'ai renseigné les noms de "sous" domaine pour quelques unes des applications utilisées ainsi que pour le DSM (port 5001) afin que ça soit plus intuitif pour les utilisateurs et pour accèder à certaines applications depuis l'extérieur.

J'ai autorisé le port 443 sur le pare-feu et sur le routeur, tout fonctionne.

Le problème :

De ce fait, j'expose également le DSM (port 5001) ce qui n'est pas conseillé. J'ai paramétré le VPN Server pour ça.

J'ai lu dans le forum qu'il était possible d'utiliser les profils de contrôle d'accès pour limiter l'accès à certaines applications. Effectivement dans le Portail de connexion, il existe un onglet pour ça or il n'y en a pas pour le DSM lui même. Comment peut-on proceder pour faire quelque chose de semblable ?

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Ok, J'ai supprimé le nom d'hôte sous l'onglet "DSM" du Portail de connexion puis j'ai créé une entrée "Reverse proxy" sous l'onglet "Avancé" avec le nom de "sous" domaine que j'avais initialement renseigné comme nom d'hôte. Ça me permet donc de pouvoir appliquer un profil de contrôle d'accès à DSM. Dommage que ça ne soit pas prévu pour DSM comme ça l'est pour les applications...

Lien vers le commentaire
Partager sur d’autres sites

@Biskot

Bonjour,

il y a 4 minutes, Biskot a dit :

Dommage que ça ne soit pas prévu pour DSM comme ça l'est pour les applications...

Tout simplement parce que DSM n'est pas une application comme les autres ! C'est qu'en même l'OS de ton NAS !!! Aussi, l'accès à DSM depuis l'extérieur DOIT ETRE plus que limité par soucis de sécurité. De plus, normalement une fois DSM configuré correctement tu n'as besoin que d'y accèder que très ponctuellement pour l'administrer. Dehors de cela, on ne "joue" pas avec. Au final, un seul utilisateur avec mot de passe renforcé (i.e. très très long !) et connexion VPN obligatoire pour ce type d'accès. C'est un minimum à mon humble avis ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Si on suit ta logique alors on ne devrait pas pouvoir accéder à File Station / DS File alors car au final on accède aux données, et normalement les données sont ce qu'on a de plus précieux dans un NAS.

Le reverse proxy correctement configuré et avec les addons de sécurité qui vont bien (2FA, mot de passe long comme tu l'as dit, nom d'utilisateur non trivial, etc...) est pour moi plus fiable qu'une connexion VPN avec un paquet VPN Server toujours en retard de quelques années.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Bonjour,

Ma logique ne concerne que DSM et je n'ai pas dit mettre en place un accès complétement verrouillé à DSM qu'il MAIS DOIT ETRE plus que limité et a minima sécurisé avec une connexion VPN en plus des dispositions minimales que j'ai évoquées (Id, Mdp, ...). C'est ma vision des choses aussi BV STP ne pas me faire pas dire ce que je n'ai pas dit !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Mon problème était que j'ai prévu un nom de "sous" domaine pour chacune des applications utilisées de façon à ce que ça soit plus simple de les joindre en locale comme depuis l'extérieur. Il se trouve qu'en faisant ça, j'expose DSM à l'extérieur (port 443).

Pour les applications qui ne nécessite qu'un usage local, j'ai utilisé les profils de contrôle d'accès mais ça n'est pas prévu pour DSM.
De ce fait j'ai utilisé un moyen détourné en supprimant le nom d'hôte sous l'onglet "DSM" du Portail de connexion puis en créant une entrée "Reverse proxy" sous l'onglet "Avancé" avec le nom de "sous" domaine que j'avais initialement renseigné comme nom d'hôte et ça fonctionne.

Pour la sécurisation du NAS, j'ai suivi le tuto de @Fenrir.

Je trouve plus ergonomique que les utilisateurs se connecte à DSM pour utiliser les applications plutôt qu'ils doivent se connecter à chacune d'elles.

 

Lien vers le commentaire
Partager sur d’autres sites

@Biskot C'est un des défauts de conception de DSM.

Actuellement, l'accès à DSM est unique et permet d'authentifier n'importe quel administrateur ou utilisateur. On aura beau appliquer n'importe quelle politique de sécurité, l'accès réseau à DSM sera toujours trop permissif aux administrateurs et pas assez aux utilisateurs.

Dans l'idéal, il faudrait deux interfaces distinctes : un portail facilement accessible pour les utilisateurs, et un accès administrateur. Ainsi on pourrait appliquer des politiques de sécurité différentes à ces deux types d'accès.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, oracle7 a dit :

@.Shad.

Bonjour,

Ma logique ne concerne que DSM et je n'ai pas dit mettre en place un accès complétement verrouillé à DSM qu'il MAIS DOIT ETRE plus que limité et a minima sécurisé avec une connexion VPN en plus des dispositions minimales que j'ai évoquées (Id, Mdp, ...). C'est ma vision des choses aussi BV STP ne pas me faire pas dire ce que je n'ai pas dit !

Cordialement

oracle7😉

Faut pas prendre la mouche, je dis juste qu'on a trop souvent tendance sur ce forum à orienter directement les gens vers la mise en place d'un VPN.

C'est beaucoup plus contraignant à mettre en place, et dans certains cas impossible à utiliser (pas d'accès administrateur à une machine pour installer le client, pare-feu d'entreprise), et pour moi c'est moins fiable qu'une connexion TLS sécurisée comme il se doit (proxy inversé, profs de contrôle d'accès, blocage géo-ip, 2FA, Fail2ban).
Et niveau WAF, on a vu mieux que le VPN, tout le monde en conviendra.

D'autant que je rappelle que Synology a la fâcheuse tendance d'être à la traine sur les versions d'OpenVPN, le record ayant été de plus de 3 ans de retard pendant DSM 6. Là on a déjà plus d'un an de retard sur la version 7 de DSM OpenVPN 2.5.4 datant du 01/12/2021.

Or, un certain nombre de mises à jour de sécurité ont été publiées entre temps, quid du maintien du paquet ?

A l'époque où Fenrir a rédigé son tutoriel, il y avait beaucoup moins de solutions disponibles que maintenant. Et c'était clairement la marche à suivre.
Je pense que c'est beaucoup plus discutable de nos jours.

____________________________

Et pour être honnête, plus globalement, ça manque terriblement d'esprit critique dans les interventions actuelles selon moi, on se contente de rabâcher ce qu'on lit depuis toujours, et on reste la plupart du temps figé dans nos certitudes. Ca manque d'ouverture d'esprit.

Non, QuickConnect n'est pas le mal absolu. Il y a des cas d'utilisation où c'est même la seule solution pour joindre son NAS.
Oui, QuickConnect est à éviter à la première occasion.
Non, exposer DSM publiquement avec une sécurisation appropriée n'est pas une faille de sécurité béante.

Et ces remarques ne te sont pas adressées spécifiquement, c'est juste un constat général, je profite de la tribune. 😄 

Aussi, on ne demande pas assez souvent quel est le besoin de l'utilisateur, on lui propose direct une solution, au mieux surdimensionnée par rapport à sa demande, au pire à côté de la plaque, @PiwiLAbruti prend toujours le temps de questionner le besoin, quitte à insister si l'intervenant ne définit pas correctement sa demande, on devrait s'en inspirer plus souvent.

Moi qui travaille en bureau d'étude, je subis quotidiennement les conséquences d'un cahier des charges mal ficelé, c'est notre première source de perte de temps.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.