[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

[Mic13710]

@CyberFr est-ce que ça veut dire que vous n'avez pas sauvegardé la clé du 2FA ? S'il y en a une qu'il faut sauvegarder, c'est bien celle là, et ensuite, il ne faut pas qu'il n'y ait qu'une seule source pour générer le code. Il y a tout un tas d'applications qui permettent de le faire comme par exemple FreeOTP+, KeeOTP en addon de Keepass, et bien sûr google authenticator.

[CyberFr]

Merci @Mic13710 pour la réponse. Je ne me souviens pas avoir défini une clé pour le 2FA de DSM et d'ailleurs je viens de le réactiver, on ne m'a pas proposé de clé. Lorsque j'interroge la sécurité de mon propre compte dans DSM aucune  clé n'apparaît.

Concernant les autres applications citées, sauf à dire une grosse bêtise, elles s'appuient toutes sur un périphérique externe de type smartphone non ?

Suite à cette alerte concernant la panne du smartphone (rapidement réparée, dieu merci) je vais approfondir le sujet.

[Mic13710]

@CyberFr Peut-être faudrait il lire et mettre en pratique la partie qui traite du 2FA dans le tuto 😉. On y explique comment récupérer la clé. Attention, on ne peut la récupérer qu'à la création dans DSM. Après ce n'est pas possible. Mais elle peut tout à fait être récupérée dans les applications. FreeOTP+ par exemple permet de lire la clé et aussi de l'exporter vers d'autres périphériques avec un QRCode.

Et non, les applications ne sont pas exclusivement pour les smartphones. KeeOTP est un add-on de Keepass qui tourne sur plusieurs plateformes (Linux, MAC, PC). Dans le tuto, @.Shad. propose d'autres applications.

[.Shad.]

@CyberFr En plus des recommandations faites par @Mic13710 sous réserve que Vaultwarden intègre cette fonctionnalité de Bitwarden officiel, tu peux ajouter des codes TOTP dans tes entrées de coffre. Et l'extension pour navigateurs permet l'auto-complétion sur les sites pour lesquels tu as des entrées enregistrées. Hyper pratique.

[CyberFr]

Le 26/08/2023 à 10:13 AM, .Shad. a dit :

L'authentification à deux facteurs est également plus contraignante en cas de perte du périphérique sur lequel elle est configurée, s'il s'avérait être le seul. Un code de récupération est fourni par DSM pour y retrouver accès, il est impératif de le noter.

@Mic13710, @.Shad., désolé mais DSM ne m'a jamais proposé de clé de récupération. Peut-être parce que j'utilise Authy et non Synology Secure Signin pour le 2FA.

J'étais exposé à une situation où je ne pourrai plus, dans un futur proche, utiliser le smartphone pour le 2FA. Le technicien chargé de la réparation m'a expliqué au téléphone qu'il faudrait, le cas échéant, prévoir une immobilisation de quelques jours en atelier. J'ai donc jugé plus simple de désactiver le 2FA avec le smartphone plutôt que d'utiliser des procédures d'urgence prévues en cas de vol du périphérique ou de panne le rendant inutilisable.

Tout ça pour rien puisque, après une intervention bénigne, le téléphone m'a été rendu sur le champ.

J'ai vérifié qu'en cas d'indisponibilité du téléphone, le fait de cliquer sur « Vous ne parvenez pas à vous connecter avec l'OTP ? » (lorsque la connexion au NAS est en attente du code de confirmation) provoque l'envoi d'un e-mail contenant le code. Il y a donc une issue de secours.

il y a 35 minutes, .Shad. a dit :

@CyberFr En plus des recommandations faites par @Mic13710 sous réserve que Vaultwarden intègre cette fonctionnalité de Bitwarden officiel, tu peux ajouter des codes TOTP dans tes entrées de coffre. Et l'extension pour navigateurs permet l'auto-complétion sur les sites pour lesquels tu as des entrées enregistrées. Hyper pratique.

L'auto-complétion est effective dans Vaultwarden mais pas systématique, il y a quelques mots de passe à renseigner manuellement. Par contre je n'ai jamais renseigné de code TOTP. Sans doute parce que je ne sais pas ce que cela apporte.

 

Modifié le 29 octobre 2023 par CyberFr
Ajout d'une pièce jointe

[.Shad.]

Le code TOTP c'est le code qui permet de générer le jeton à 6 chiffres de la 2FA.

C'est l'alternative au QR-Code, et même si tu as utilisé un QR-Code, tu peux sur n'importe quelle appli de 2FA accéder au code TOTP (qui peut être nommé clé secrète)

[CyberFr]

Ce n'est pas très clair pour moi mais je sens qu'il y a quelque chose à creuser. Je rate peut-être une propriété intéressante. Je me renseigne et reviens ici.

[CyberFr]

Je souhaiterais mieux comprendre les mesures de blocage en cas de connexions répétées infructueuses.

Dans Sécurité > Compte, il est possible de désactiver le blocage au bout d'un certain nombre de minutes. De plus, je n'ai pas vraiment compris les différences entre client fiable et client non fiable.

Dans Sécurité > Protection, on retrouve le même type de réglages. Ça ne ferait pas double emploi ? Et il y a deux différences par rapport aux réglages précédents :
il n'est pas question de comptes fiables ou non fiables,
il n'est pas possible de débloquer l'adresse IP fautive avant 24 heures.

Fâcheux si par erreur, et ça m'est arrivé dans des circonstances exceptionnelles, on se bloque soi-même. J'ai pour le coup ajouté mon nom de domaine à la liste des permissions parce que je ne peux pas imaginer de subir une attaque à partir de ma propre IP publique.

[PiwiLAbruti]

Je ne suis pas certain, mais un client fiable doit être un compte utilisant le 2FA (que je n'utilise pas).

Dans Sécurité > Compte, la protection bloque les comptes utilisateur existant ne répondant pas aux exigences de sécurité.

C'est même chose dans Sécurité > Protection sauf que ce sont des adresses IP qui sont bloquées.

Si tu as bien ajouté les adresses IP fiables en liste blanche, il n'y a pas besoin d'activer l'expiration des blocages. De plus, je te conseille vivement d'appliquer les paramètres du tutoriel, car 10 tentatives depuis une même source en moins d'une minute ne bloquera jamais quoi que ce soit.

[CyberFr]

il y a 16 minutes, PiwiLAbruti a dit :

De plus, je te conseille vivement d'appliquer les paramètres du tutoriel, car 10 tentatives depuis une même source en moins d'une minute ne bloquera jamais quoi que ce soit.

Je partais du principe que les hackers utilisaient la force brute et qu'il y avait une avalanche de tentatives de connexion en un temps très court à partir de la même IP. Ce n'est pas le cas ?

Dans Protection, j'ai ajouté mon nom de domaine en liste blanche, vaut-il mieux entrer l'IP publique en dur afin de ne jamais être bloqué ?

[PiwiLAbruti]

Aujourd'hui, les attaques par brute-force utilisent des botnets pour éviter ce type de blocage (beaucoup de tentatives sur un délai court). On utilise un polling très lent du type une requête tous les 24-48h par zombie. Ainsi, avec un nombre conséquent de zombies dans un botnet, on peut mener des attaques sur une même cible sans jamais être bloqué. D'où les paramètres donnés dans le tutoriel.

J'ai eu le cas cet été avec des tentatives d'authentification SMTP sur tcp/25. J'avais réduit le nombre de tentatives à 1 pour accélérer les choses, il a fallu un peu moins de 48h pour bloquer les 862 zombies du botnet.

Pour la liste blanche, la différence entre une IP ou un nom de domaine est la résolution DNS du nom de domaine. Si l'adresse IP est fixe, autant ne mettre que celle-ci.

[CyberFr]

il y a 10 minutes, PiwiLAbruti a dit :

On utilise un polling très lent du type une requête tous les 24-48h par zombie.

On arrête pas le progrès 😀 Je réajuste mes réglages en conséquence.

[CyberFr]

Le 29/10/2023 à 8:03 AM, .Shad. a dit :

@CyberFr En plus des recommandations faites par @Mic13710 sous réserve que Vaultwarden intègre cette fonctionnalité de Bitwarden officiel, tu peux ajouter des codes TOTP dans tes entrées de coffre. Et l'extension pour navigateurs permet l'auto-complétion sur les sites pour lesquels tu as des entrées enregistrées. Hyper pratique.

Je reviens après avoir fait quelques recherches mais je n'ai pas vraiment saisi à quoi servent les codes TOTP. J'ai l'impression de passer à coté de quelque chose d'intéressant. J'ai compris que ces codes servaient lorsqu'on se connecte à un site comme Amazon qui gère la double authentification pour ses clients. Est-ce bien le cas ?

[Mic13710]

Il y a 3 heures, CyberFr a dit :

je n'ai pas vraiment saisi à quoi servent les codes TOTP

J'ai du mal à comprendre ce qui vous échappe.

Le TOTP rajoute une couche de sécurité supplémentaire aux identifiants classiques (Nom Utilisateur, mot de passe) en permettant d'accéder au compte avec un code unique (6 chiffres en général) valable 30s.

Pour que ce code puisse être généré de manière identique entre l'accès au compte et les périphériques d'affichage (google authenticator, FreeOTP+ ou autre), il faut une clé commune, et aussi, une synchronisation parfaite des horloges pour être sûr que le code généré à un instant T soit le même partout.

Il est donc clair que le point commun entre les périphériques concernés c'est la clé sans laquelle aucun code ne peut être généré.

Voici un exemple que je viens de créer sur FreeOTP+ :

La clé dans cette vue est AZERTYUIOPQSDF. En important cette clé dans d'autres applications TOTP, je suis certain que le code TOTP généré à un instant T par les différentes applications sera le même et sera celui attendu pour pouvoir me connecter.

Il y a 3 heures, CyberFr a dit :

J'ai compris que ces codes servaient lorsqu'on se connecte à un site comme Amazon qui gère la double authentification pour ses clients. Est-ce bien le cas ?

Je ne sais pas pour Amazon, mais oui, le TOTP permet d'accéder en 2FA à des comptes comme ceux de Google, OVH, Gandi et tout un tas d'autres sites où la sécurité est importantes.

[CyberFr]

Dans Vaultwarden la clé AZERTYUIOPQSDF est gérée de façon transparente et il n'est pas nécessaire de la renseigner sauf si l'on veut synchroniser plusieurs applications d'authentification.

Il y a 15 heures, Mic13710 a dit :

Je ne sais pas pour Amazon, mais oui, le TOTP permet d'accéder en 2FA à des comptes comme ceux de Google, OVH, Gandi et tout un tas d'autres sites où la sécurité est importantes.

Ces sites envoient généralement un code par e-mail ou SMS afin de s'authentifier. Il serait donc possible de récupérer le code secret du site pour se connecter, sans attendre la réception du code sur 6 chiffres (ou autres) ?

[Mic13710]

Il y a 11 heures, CyberFr a dit :

Dans Vaultwarden la clé AZERTYUIOPQSDF est gérée de façon transparente et il n'est pas nécessaire de la renseigner sauf si l'on veut synchroniser plusieurs applications d'authentification.

C'est exactement ce que me tue à expliquer depuis le début. Le SAUF a une grande importance et c'est à cause de lui que vous avez dû réinitialiser votre NAS lorsque votre smartphone est tombé en panne. Raison pour laquelle je dis qu'il faut sauvegarder la fameuse clé sans laquelle il est impossible de générer un code correct. Je ne le répèterai plus car j'ai l'impression de tourner en rond.

Il y a 11 heures, CyberFr a dit :

Il serait donc possible de récupérer le code secret du site pour se connecter

Et bien non puisque c'est le site lui même qui gère à la fois la clé et les codes générés. Vous n'avez aucune emprise sur ces éléments et donc aucune possibilité de pouvoir récupérer/sauvegarder quoi que ce soit.

Il y a 11 heures, CyberFr a dit :

Ces sites envoient généralement un code par e-mail ou SMS afin de s'authentifier.

Pas tous. OVH, Gandi et Google que je nommais n'envoient pas de mail ou SMS. Ils travaillent avec une clé attribuée à chaque utilisateur, récupérables sur les applications.

[CyberFr]

Il y a 16 heures, Mic13710 a dit :

C'est exactement ce que me tue à expliquer depuis le début. Le SAUF a une grande importance et c'est à cause de lui que vous avez dû réinitialiser votre NAS lorsque votre smartphone est tombé en panne.

Synology devrait être plus clair dans ses documentations et indiquer qu'il faut impérativement utiliser son application Synology Secure Signin pour gérer la double authentification dans DSM or ce qui est dit est exactement le contraire dans [SYNOLOGY] Authentification à 2 facteurs (2FA)

Citation

Lorsque vous y êtes invité, téléchargez et installez Synology Secure SignIn (disponible sur Android et iOS) ou n'importe quelle application d'authentification tierce sur votre périphérique mobile. Ouvrez l'application d'authentification et scannez le code QR à l'écran.

J'ai pu désactiver et réactiver l'authentification à 2 facteurs dans Waultwarden en utilisant Authy mais dans DSM, lors de la réactivation, tout s'est passé comme si j'utilisais Synology Secure Signin depuis le début et il n'y avait aucun moyen de faire savoir que je n'utilisais pas cette application, aucune solution de contournement, aucune porte de sortie. On m'a demandé un code spécifique à l'application Synology Secure Signin.

Modifié le 4 novembre 2023 par CyberFr

[aurique]

il y a 33 minutes, CyberFr a dit :

Synology devrait être plus clair dans ses documentations et indiquer qu'il faut impérativement utiliser son application Synology Secure Signin pour gérer la double authentification dans DSM or ce qui est dit est exactement le contraire dans [SYNOLOGY] Authentification à 2 facteurs (2FA)

Bonjour, 

c'est absolument pas obligatoire de passer par l'Application Synology, personnellement , le code est géré par mon application de gestion de mot de passe 1Password . 

Modifié le 4 novembre 2023 par aurique

[CyberFr]

il y a 6 minutes, aurique a dit :

c'est absolument pas obligatoire de passer par l'Application Synology, personnellement , le code est géré par mon application de gestion de mot de passe 1Password . 

Le fonctionnement de 1Password, que j'ai utilisé par le passé, est totalement différent à ma connaissance.

[aurique]

En quoi est il différent ?  C'est exactement la meme chose que Bitwarden par exemple .

[CyberFr]

Il y a 2 heures, aurique a dit :

En quoi est il différent ?  C'est exactement la meme chose que Bitwarden par exemple .

1Password est, en tant qu'application commerciale, une boîte noire. Essaie de déclarer 1Password comme support d'identification dans DSM et tu verras la différence 😀

[aurique]

Il y a 3 heures, CyberFr a dit :

1Password est, en tant qu'application commerciale, une boîte noire. Essaie de déclarer 1Password comme support d'identification dans DSM et tu verras la différence 😀

Ben , je dois etre aveugle car j'ai rien vu. 😀

[MilesTEG1]

Il y a 15 heures, CyberFr a dit :

1Password est, en tant qu'application commerciale, une boîte noire. Essaie de déclarer 1Password comme support d'identification dans DSM et tu verras la différence 😀

 

Il y a 18 heures, aurique a dit :

En quoi est il différent ?  C'est exactement la meme chose que Bitwarden par exemple .

Je confirme !

 

et je vais aller plus loin : 

j’utilise l’authentification en 2 étapes (2FA) pour plusieurs comptes dsm.

pour tous j’ai la clé TOTP de mise dans :

• Vaultwarden/Bitwarden 
• Authy
• Ms Authenticator 

Je peux donc utiliser les codes uniques de 2FA générés par une de ces 3 applications.

Et pour mon compte administrateur j’ai aussi (en plus) Secure SignIn de Synology de paramétré : ce qui fait que j’ai aussi la possibilité de valider la connexion sans même utiliser le code à usage unique des 3 applications Authenticator ci dessus.

bref tout fonctionne (faut que tout soit à la bonne heure aussi).

 

précision importante :  c’est à la création de la chaîne TOTP qu’il faut l’ajouter à toutes ces applications en même temps (enfin les unes après les autres ) mais avant de valider en tapant le code données par l’une d’elles.

[.Shad.]

@CyberFr Je vais essayer de tourner les explications de mes collègues différemment. C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque soit la plateforme : PC, Android, iOS, Extension de navigateur, etc...) permet de générer un code à 6 chiffres, qui se renouvelle.

On peut utiliser cette clé sur autant d'applications et périphériques qu'on veut. Le code généré sera le même et variera au même moment.

Il est donc prudent d'avoir a minima deux sources d'authentification 2FA, dans mon cas j'utilise Aegis sur mon smartphone, et je l'ai aussi dans Bitwarden. Avantage de Bitwarden, c'est que même si le serveur est down, j'ai accès au cache du coffre depuis mes différents périphériques.

Le code TOTP défini par DSM lorsqu'un utilisateur applique la 2FA à son compte n'est affiché qu'une seule fois. Il est donc important de :

• L'écrire manuellement sur papier et de le conserver en lieu sûr, sans indiquer ce que c'est, moi je le garde dans mon portefeuille.
• Configurer cet accès sur deux périphériques a minima.

Secure Signin est une version intégrée à DSM, absolument pas obligatoire et plus contraignante selon moi, comme tu as pu le constater. J'ajouterai que les remarques de @Mic13710 sont pertinentes dans le sens où le plus important est d'avoir des credentials robustes conjointement avec les blocages correctement configurés sur le NAS. Le reste est intéressant mais dispensable.

Modifié le 5 novembre 2023 par .Shad.

[CyberFr]

Citation

C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque soit la plateforme : PC, Android, iOS, Extension de navigateur, etc...) permet de générer un code à 6 chiffres, qui se renouvelle.

Et qui est unique, ça je l'avais compris. Mais tu le rappelles de façon très pédagogique.

Il y a 11 heures, .Shad. a dit :

Il est donc prudent d'avoir a minima deux sources d'authentification 2FA, dans mon cas j'utilise Aegis sur mon smartphone, et je l'ai aussi dans Bitwarden. Avantage de Bitwarden, c'est que même si le serveur est down, j'ai accès au cache du coffre depuis mes différents périphériques.

L'idéal étant d'avoir plusieurs sources d'authentification afin d'assurer la continuité quoi qu'il arrive et deux périphériques au cas où un smartphone tomberait en panne ou serait volé.

Il y a 11 heures, .Shad. a dit :

Le code TOTP défini par DSM lorsqu'un utilisateur applique la 2FA à son compte n'est affiché qu'une seule fois. Il est donc important de...

Le problème est que lorsque j'ai désigné Authy comme application d'authentification, DSM ne m'a jamais affiché le moindre code. J'ai désactivé le 2FA compte tenu de problèmes matériels rencontrés sur mon smartphone. Mais lorsque j'ai voulu le réactiver en désignant à nouveau Authy comme application d'identification, DSM m'a demandé un code que je n'avais pas car je n'ai jamais utilisé Synology Secure Signin.

Je ne suis pas complètement idiot et j'ai pris la peine pour Vaultwarden de noter quelque part le  code de récupération du coffre. Il est évident que si à un moment ou à un autre j'avais vu passer un code dans DSM lors de la mise en place du 2FA  je l'aurais noté.