Bonjour,

Après avoir suivi l'indispensable tuto de sécurisation de Shad, j'utilisais jusqu'à maintenant des ports personnalisés par Application (Synology Photos, DS Files, DS Cam, DS Audio...) ouverts sur l'extérieur (je suis en ipv6) avec des restrictions par pays.

J'ai cru comprendre que l'utilisation du Reverse Proxy exposait moins le NAS et je me suis laissé tenté, mais j'y trouve beaucoup d'inconvénients. En particulier le fait que les Applis de mon smartphone reprennent systématiquement par défaut le dernier sous-domaine utilisé (ex: si je me connecte à DS Files puis à DS Cam, DS Cam va me proposer MyFiles.MyNAS.synology.me).
Existe t-il une solution pour éviter ceci ?

L'utilisation du Reverse Proxy ajoute t-elle vraiment une sécurité supérieure vis-à-vis des attaques ? J'aurais pensé qu'ouvrir le port 443 sur ma box était plus dangereux que d'ouvrir 3 ou 4 ports personnalisés, 443 étant plus classique, donc scanné. Est-ce que la sécurisation supérieure provient surtout des sous-domaines associés ?

Merci pour votre aide.

Le Reverse Proxy n'est pas un moyen de sécurisation. C'est un mode de connexion qui permet de s'affranchir des ouvertures de ports en utilisant qu'un seul port. C'est généralement le 443 qui est le port https par défaut, mais vous pouvez très bien prendre un autre port si vous voulez, avec la contrainte de devoir le renseigner dans l'url. Il est illusoire de croire que le changement de port constitue une protection efficace. Ca ne fait que retarder (un peu) les attaques.

Il n'y a pas de connexion externe sans risque et le seul moyen efficace pour les éviter c'est de ne pas les autoriser, ce qui limite drastiquement l'usage d'un NAS. Sinon, c'est au parefeu qu'il revient le rôle de protection. C'est lui qu'il faut régler pour limiter l'exposition vers l'extérieur. Le reverse proxy permet toutefois un réglage plus fin grâce aux profils de connexion. On peut en définir plusieurs pour protéger chaque application de manière spécifique. Perso, je n'en utilise qu'un pour protéger les applications sensibles pour lesquelles je ne veux qu'une connexion locale ou via le VPN. L'accès à DSM par exemple n'est possible de l'extérieur que via le VPN et à quelques ip publiques fixes de confiance qui m'appartiennent et qui ne sont là juste en cas de dysfonctionnement du VPN.

Je n'ai pas de problème d'identification avec mes applications nomades. Chacune d'elle se connecte avec un ndd spécifique pour chaque application et certaines avec des identifiants différents. Mais peut-être est-ce du au fait que les identifiants sont enregistrés dans mon smartphone. L'accès à toutes les applications sensibles sont protégées soit par biométrie, soit par code. Les autres utilisent un identifiant dont les droits sont réduits au strict minimum.

Merci beaucoup pour votre réponse qui confirme ce que je pensais initialement.
Je vais donc plutôt me concentrer sur les codes dans le Applis et le VPN pour améliorer la sécurité.

J'avais choisi des ports spécifiques pour chaque application car l'ouverture des ports n'est pas très contraignante en ipv6.
Mais j'étais passé à côté de l'utilisation des profils avec le reverse proxy.

Si je comprends:

• DSM: pas de reverse proxy (ce n'est pas adapté) => autorisation accès interne ou VPN uniquement via le pare-feu

• Autres Applis: reverse proxy => autorisation accès interne ou VPN uniquement via un profil pour celles que je jugerais sensibles. Mais je pourrais également le faire par groupe d'Applis via le pare-feu ? Ou bien ai-je manqué quelque chose ?

Non DSM peut très bien être joint via le reverse proxy. C'est juste qu'il ne faut pas l'exposer à l'extérieur à l'aide d'un profil de connexion qui interdit aux ip publiques d'y accéder. Mon ndd pour DSM s'appelle nas.ndd.fr et il est joignable d'une part de mon réseau privé (je dirais plutôt mes réseaux privés puisque mes deux sites sont interconnectés via VPN), et via VPN de l'extérieur d'autre part, plus comme je l'ai dit à partir d'IP publiques de confiance.

Mais pour que le nom soit résolu localement, il faut utiliser un serveur DNS local (voir tuto sur le serveur DNS), ou au minimum que le routeur puisse faire du loopback bien qu'il faille plutôt privilégier le serveur local.

Si vous n'avez ni l'un ni l'autre alors effectivement, l'accès à DSM via un ndd n'a pas d'intérêt pour vous.

il y a 12 minutes, seb5159 a dit :

Mais je pourrais également le faire par groupe d'Applis via le pare-feu ?

Tout à fait, mais il faudra bien positionner vos règles pour qu'elles ne soient pas annihilées par d'autres plus permissives. Il est plus simple d'avoir des règles de parefeu plus ouvertes et de créer dans le reverse proxy des profils d'accès spécifiques à chaque application (ou pour plusieurs) si on veut être plus restrictif.

C'est noté. Merci bien pour vos explications et votre réactivité.