Utilisateur strictement local

[Insecto]

Bonjour,

Est-il possible de configurer un utilisateur qui aura accès à tous les services du Synology (drive, file station...) mais seulement en local ?

Et donc qu'il n'est aucun accès à ces services depuis QuickConnect ou par DDNS.

 

Cordialement.

[.Shad.]

Salut,

A ma connaissance tu ne peux pas faire ça par utilisateur. Et c'est étrange comme demande, parce qu'un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique.

Jouer avec les règles du pare-feu ne changera rien, car IPTABLES n'a pas de notion d'utilisateur, uniquement des IP, des sous-réseaux de source et de destination, et des ports.

Si tu peux décrire le contexte du pourquoi tu voudrais mettre ça en place, car entre les règles de pare-feu basées sur les IP, le géoblocage, le contrôle d'accès de Nginx, il y a normalement moyen de répondre à toutes les demandes.

Il y a aussi l'authentification 2 facteurs que tu peux activer pour un utilisateur ou groupe spécifique.

Peut-être que d'autres comme @PiwiLAbruti ont une idée lumineuse sur la question, mais moi ça me semble un peu tordu. 😄 

Modifié le 3 mars 2023 par .Shad.

[PiwiLAbruti]

Synology pourrait le faire mais ce n'est pas implémenté actuellement dans DSM.

La seule option possible est d'en faire la demande à Synology via ce formulaire : https://www.synology.com/fr-fr/form/inquiry/feature

Voir la réponse de @Mic13710 ci-dessous ↓

Modifié le 3 mars 2023 par PiwiLAbruti
Mauvaise réponse

[Mic13710]

@.Shad., sauf erreur de ma part, on peut donner des autorisations d'accès aux applications par IP. Dans ce cas, il suffit de filtrer sur la plage DHCP du réseau local pour exclure les adresses externes. Jamais essayé.

Mais je te rejoins tout à fait. Si des droits sont accordés à un utilisateur, ils devraient l'être quelle que soit la position géographique.

[PiwiLAbruti]

Bien vu @Mic13710 👍, ça doit faire la 2ème fois que je me fais avoir sur cette question 😅

 

[.Shad.]

@Mic13710 @PiwiLAbrutiOui en effet, mais attention, mettre juste une IP dans la liste des IP permises ne bloque pas les autres IP. En tout cas chez moi je n'ai autorisé qu'un périphérique, et j'ai su me connecter avec un autre périphérique. En revanche si je bloque une IP l'accès à l'application est effectivement bloqué.

Donc a priori il va falloir rentrer tous les sous-réseaux d'IPv4 à la main 😞 (https://ipinfo.io/countries) ou alors une option m'échappe ? Ah, et le répéter pour chaque application, du fun en perspective.
Et pour l'IPv6 si @Insecto l'utilise, bonjour la galère aussi. 🙂 

Ou alors trouver le fichier où se trouvent ces infos via le terminal, dès lors il serait facile de recopier les blocs d'IP d'un fichier à l'autre, j'imagine que ça doit être segmenté par application ?

Modifié le 3 mars 2023 par .Shad.

[Mic13710]

@.Shad. En effet, l'autorisation ne veut pas dire interdiction pour les autres IP, et donc au final cette fonction est peu intéressante.

Je viens d'essayer en autorisant l'accès à DSM à un compte sur une seule IP et j'ai pu me connecter à partir d'un autre PC sans problème.

C'est donc clairement sur les interdictions qu'il faut travailler, ce qui complique très sérieusement la tâche puisqu'il faut à la fois bloquer les IPV4 et les IPV6 (si activées) et le faire pour chaque appli. Très compliqué.

Edit :

Je viens d'essayer une autre configuration : bloquer l'accès à DSM pour le groupe, puis en ne l'autorisant que pour une seule IP dans les réglages du compte et bien ça ne fonctionne pas car le refus est prioritaire sur l'autorisation par l'IP comme stipulé dans l'aide :

Sur la page Attribuer des autorisations d'applications, vous pouvez déterminer les services auxquels l'utilisateur peut accéder. L'autorisation Refuser est prioritaire sur l'autorisation Autoriser.

Je n'avais jamais essayé cette règle auparavant car elle ne m'était pas utile. Après ces essais, je me demande à quoi elle sert, surtout si la liste des IP autorisées est déjà créée dans le parefeu. Bref, je ne suis pas du tout convaincu de l'intérêt de ce réglage, ou bien il y a un truc qui m'échappe.

[PiwiLAbruti]

Il me semble que la liste blanche est prépondérante sur la liste noire, donc il faut autoriser les adresses nécessaires dans la Liste des permissions et et interdire toutes les adresses dans la Liste des blocages.

Je vous laisse le soin de tester.

Modifié le 3 mars 2023 par PiwiLAbruti

[Insecto]

@.Shad.

Citation

un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique

Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet. Par exemple on lit un peut partout que certaine personnes ne font pas confiance à QuickConnect, et en tant qu'utilisateur jamais sûr de lui, je voulais appliqué une sorte de principe de précaution : utiliser QuickConnect oui mais, pour des données non critique.

 @Mic13710

J'avais aussi tenté l'autorisations d'accès aux applications par IP mais sans succès.

Tant pis si cela pas possible pour l'instant. Merci à tous !

[Kramlech]

il y a une heure, Insecto a dit :

Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet.

 

il y a une heure, Insecto a dit :

utiliser QuickConnect oui mais, pour des données non critique.

Donc en résumé, ce n'est pas l'accès d'un utilisateur que tu veux interdire, tu veux simplement protéger tes données ...

Dans ce cas, as-tu suivi le tuto [TUTO] Sécuriser les accès à son nas ?

[Insecto]

@Kramlech ça va peut-être me rassurer 😉. Merci.

[.Shad.]

QuickConnect est beaucoup moins dangereux qu'un utilisateur local avec des fichiers vérolés qui aurait un accès open bar au NAS.
QuickConnect permet d'établir un tunnel sécurisé entre un client et le NAS, et accessoirement on peut faire transiter les données de façon chiffrée par les serveurs de Synology.

Beaucoup plus sécurisé qu'un accès local sur un port non sécurisé avec des droits R/W. 😉 

[Mic13710]

OK @.Shad. quickconnect n'est pas forcément dangereux et l'utilisation du chiffrage permet de sécuriser un peu plus les échanges. Le revers de la médaille c'est que c'est instable (pannes récurrentes du service), on passe par des serveurs situés aux quatre coins du monde sans avoir le choix, et surtout c'est abominablement lent. Et ça, c'est rédhibitoire.

Quickconnect rend plus facile la connexion au NAS pour des débutants en mode plug and play, mais à l'usage, ça devrait plutôt s'appeler SlowConnect.

Toi et moi sommes d'accord pour dire que ça facilite l'entrée en matière mais qu'il est préférable de s'en passer une fois qu'on maitrise un peu mieux son NAS et les réseaux.

[.Shad.]

@Mic13710Je me rends compte que mon message pouvait faire contre-coup avec celui de @Kramlech  ce n'est évidemment pas l'intention.
Je voulais juste dire que dans le cas qui nous concerne ici, on ne sait pas avec quelle mesures de sécurité l'utilisateur accède au NAS à distance, et que pour peu qu'il y ait bêtement une redirection de port avec une page HTTP, il est préférable de rester en accès local uniquement OU si l'accès à distance est une nécessité, qu'il continue d'utiliser QuickConnect, le temps de mettre en place les sécurisations préconisées par la bible du site. 🙂

Je suis d'accord avec toi sur tous les défauts que ça comporte. Sachant qu'il y a quelques avantages, notamment derrière un pare-feu d'entreprise.