[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

[MilesTEG1]

 

Le problème est que lorsque j'ai désigné Authy comme application d'authentification, DSM ne m'a jamais affiché le moindre code. J'ai désactivé le 2FA compte tenu de problèmes matériels rencontrés sur mon smartphone. Mais lorsque j'ai voulu le réactiver en désignant à nouveau Authy comme application d'identification, DSM m'a demandé un code que je n'avais pas car je n'ai jamais utilisé Synology Secure Signin.

Lorsque tu actives le 2FA dans DSM tu as plusieurs choix :

Si tu choisis la 2ème option :

 

Tu utilises ton application favorite pour la gestion des codes 2FA.

Si tu te contentes de scanner le QR-Code, tu n'auras pas la clé TOTP, il faut cliquer sur "Vous ne parvenez pas à le scanner ?" :

 

Si tu n'as pas conservé cette clé en le mettant dans un client qui permet de l'afficher, c'est mort, il faut désactiver le 2FA, et le refaire.

 

Je viens de faire l'essai de désactiver le 2FA sur mon test-user : et bien je n'ai pas eu besoin de rentrer un quelconque code pour cette désactivation...

 

[Mic13710]

il y a 3 minutes, MilesTEG1 a dit :

Si tu te contentes de scanner le QR-Code, tu n'auras pas la clé TOTP, il faut cliquer sur "Vous ne parvenez pas à le scanner ?" :

C'est ce qui est indiqué dans le tuto 😉.

Ceci dit, en scannant dans une application qui permet l'affichage des paramètres (FreeOTP+ dans mon cas), on retrouve cette fameuse clé. On peut aussi la scanner de l'application pour l'insérer dans d'autres applications. Ainsi, la sauvegarde de la clé n'est pas forcément indispensable, mais elle est fortement conseillée.

[CMDC]

Après, personnellement, quand j'ai généré le QRCode, je l'ai scanné avec FreeOTP+ et avec Synology Secure SignIn, ça évite de se faire des nœuds au cerveau .

EDIT> et pour éviter les désagrément liés à la perte ou la panne de ma phablette, j'ai dupliqué tout ça sur un PC avec Authy ... sur les conseils éclairés des participants  de ce tuto 

My two cents 

Modifié le 6 novembre 2023 par CMDC

[Mic13710]

@firlin, @.Shad., @PiwiLAbruti

J'ai déplacé la question de firlin sur le ping dans un autre sujet car il n'avait pas de rapport avec la sécurisation des NAS

 

[Dr Jerry]

Un tuto clair, détaillé et rassurant pour un débutant dans le domaine. On m'avait prévenu que je trouverais de riches informations sur ce forum. Je suis heureux de constater que l'on ne m'a pas menti.

Merci à tous pour votre investissement.

Modifié le 6 décembre 2023 par Dr Jerry

[Stegnot]

Le local master browser active l'utilisateur Guest, il faudrait intégrer les defaults unix permission.

[Kramlech]

il y a 41 minutes, Stegnot a dit :

Le local master browser active l'utilisateur Guest, il faudrait intégrer les defaults unix permission.

C'est marrant, même avec Google Translate je n'arrive pas à comprendre cette phrase (ni son contexte !!!)

[Stegnot]

Le 18/12/2023 à 10:53 PM, Kramlech a dit :

C'est marrant, même avec Google Translate je n'arrive pas à comprendre cette phrase (ni son contexte !!!)

Pourtant avec Local Master Browser synology tu aurais dû trouver quelque chose de même avec les defaults unix permissions.
Je faisais référence aux services de fichiers : smb en l'occurrence mais il va de même pour les autres.
Je trouve simplement qu'il manque des points non abordés et des choses non activées qui devraient l'être mais soit chacun son avis.

 

Modifié le 19 décembre 2023 par Stegnot

[.Shad.]

Salut @Stegnot, les raisons pour lesquelles je ne recommande pas l'utilisation de ces options :

• LMB : Ca active le compte guest, ça va à l'encontre de l'idée de sécurisation développée dans ce tutoriel. 
• Appliquer les permissions UNIX par défaut : L'aide en ligne précise que l'activation de cette option peut entrainer des problèmes d'incohérence de permission entre les différents protocoles de transfert de fichiers. De plus, ça supprime les ACL Synology, qui sont l'élément central de contrôle des permissions dans DSM. Donc outre la sécurité ça diminue le niveau de confort d'utilisation, surtout pour des débutants.

[Mic13710]

Il y a 11 heures, Stegnot a dit :

Je trouve simplement qu'il manque des points non abordés et des choses non activées qui devraient l'être mais soit chacun son avis.

Ce tuto n'est pas figé dans le marbre et chacun est invité à apporter ses connaissances pour le faire évoluer. Il ne faut pas oublier qu'il s'agit d'une sécurisation de premier niveau qui s'adresse à tous les possesseurs de NAS tournant sous DSM7.

Dire qu'il y a des manques et des options qui devraient être activées, c'est possible, mais sans dire lesquelles ni les expliciter ne fait rien avancer.

Pouvez-vous nous éclairez svp ?

[CMDC]

Il y a 8 heures, Mic13710 a dit :

Ce tuto n'est pas figé dans le marbre et chacun est invité à apporter ses connaissances pour le faire évoluer. Il ne faut pas oublier qu'il s'agit d'une sécurisation de premier niveau qui s'adresse à tous les possesseurs de NAS tournant sous DSM7.

Heu... comment dire ... non, je n'ai rien dit , oubliez !  

 

[StéphanH]

Bonjour,

Je reviens sur les discussions concernant le 2FA.

j’ai activé cette option pour certains comptes de niveau admin, mais j’ai conservé un compte de niveau admin sans OTP, mais avec un contrôle par clé (clé logicielle sur Mac), et j’ai activé l’adaptative FA.

C’est cette notion d’adaptative FA qui me donne un doute, non pas en théorie, mais en terme d’implémentation. D’autant que ce n’est pas facile à tester, le système lui même déterminant si une connexion nécessite ou non une double authentification.

En savez-vous plus sur la pertinence et  la fiabilité de cette solution proposée par Synology ?
La conseillez-vous ?

[ArnaudLM]

Un grand merci pour cette synthèse, je suis sûr de ne rien avoir oublié d'important grâce à ça !

[StéphanH]

Le 04/02/2024 à 11:02 AM, StéphanH a dit :

Bonjour,

Je reviens sur les discussions concernant le 2FA.

j’ai activé cette option pour certains comptes de niveau admin, mais j’ai conservé un compte de niveau admin sans OTP, mais avec un contrôle par clé (clé logicielle sur Mac), et j’ai activé l’adaptative FA.

C’est cette notion d’adaptative FA qui me donne un doute, non pas en théorie, mais en terme d’implémentation. D’autant que ce n’est pas facile à tester, le système lui même déterminant si une connexion nécessite ou non une double authentification.

En savez-vous plus sur la pertinence et  la fiabilité de cette solution proposée par Synology ?
La conseillez-vous ?

Je m'autoUp ...

je suis réellement preneur de vos retours sur la pertinence en terme de sécurité de l'Adaptative FA proposé par Synology ...

[.Shad.]

@StéphanH La MFA permet de mitiger les attaques si tu n'as pas activé la 2FA sur tes comptes admin.
Ca détecte les comportements inhabituels (par exemple tu te connectes en admin depuis un autre pays).
Si tu as déjà activé la 2FA pour tes comptes admin, ce n'est pas spécialement utile.

[StéphanH]

Merci @.Shad.

J’ai conservé un compte sur le groupe admin sans 2FA, au cas où (je ne connaissais pas l’astuce pour récupérer la clé du code …). 

Ce que tu dis de l’adaptative FA semble répondre à mon besoin (sécuriser uniquement si c’est louche …) 

[Cyriu_ALB]

Merci @.Shad. et @Fenrir, les pages les plus lues du forum : ce n'est pas rien ! 👌

Le tuto est hyper bien fait : progressif et documenté. Merci 🙏 J'ajoute que les 3 pages qui suivent jusqu'ici sont également très éclairantes sur l'A2F. C'est top.

💡 Juste un petit complément qui m'est apparu nécessaire - car je me suis fait piéger moi-même qui ne suis pas débutant - et du coup certains débutants qui liront le tuto risquent aussi de se faire piéger :

1. Je pense qu'il est important d'expliquer aux lecteurs en début de tuto dans la section "Cahier des charges" que s'ils suivent ce tuto, ils vont couper tous les accès à leur NAS en dehors de leur réseau local, c'est à dire en dehors de leur domicile (notamment depuis des PC ou Mac portable en mobilité), ainsi que toutes les applis sur leurs iPhones ou smartphones Androïd.
   
   
    
2. Du coup dans ce paragraphe "Cahier des charges" et dans une note masquée ou un paragraphe supplémentaire en dessous, je suggère de préciser :
   
   Ce que ce tutoriel couvre :
   La configuration des protocoles utilisés pour les accès au NAS depuis le réseau local (domicile ou locaux de l'entreprise conformément au lieu d'implantation du NAS),
   La configuration du pare-feu dans ce cas
   
   Ce que ce tutoriel ne couvre pas :
   .
   .
   .
   
   Par conséquent une fois suivi ce tuto, vous ne pourrez TEMPORAIREMENT plus vous connecter à votre NAS que depuis votre réseau local. C'est effectivement une configuration très sécurisée qui sert de base aux autres, et c'est celle que nous voulions commencer par expliquer dans ce tuto.
   
   Cependant si vous souhaitez accéder à votre NAS et à son contenu à distance, ou utiliser les applis Synology comme Photos Mobile, DS Note (...) c'est bien sûr possible !
   Il suffit de suivre les tutos correspondants, par exemple :
   · Ouverture d'un petit nombre de ports spécifiques du pare-feu,
   · Configuration du pare feu de votre box internet et routage des ports de la box vers le NAS
   · et/ou mise en œuvre de Quick connect,
   · et/ou mise en œuvre d'un proxy inversé,
   · et/ou mise en œuvre d'un VPN,
   · et/ou mise en œuvre d'un FTP/SFTP,
   · et/ou mise en œuvre de webdav,
   · etc.
    
3. Car sinon le débutant peut se retrouver avec un NAS sécurisé sur son réseau local, mais inaccessible de l'extérieur et avec toutes ses applis désactivées : son calendrier, ses contacts, ses photos, etc. ce qui n'est quand même pas rien ! Et c'est d'ailleurs souvent pour l'accès extérieur et ces applis que l'on veut un NAS Synology, par opposition à un disque dur externe...
   Donc je me suis permis cette remarque pour éviter toute incompréhension ou frustration. A vous de juger si son ajout est pertinent.

A+++++

Modifié le 15 février par Cyriu_ALB

[.Shad.]

@Cyriu_ALB Merci pour ton retour intéressant.
En effet je vais essayer d'être plus clair dès le départ.

[.Shad.]

@Cyriu_ALB Voilà désolé j'ai mis le temps mais c'est ajouté 😉