Terrano

J'ai pas dit de ne rien mettre derrière hein.... Lol, juste un élément non utilisé ou alors je n'ai pas été assez claire. En ce qui concerne de ne pas mettre de DMZ, mauvaise idée, car entre un port qui répond et un port non mappé, t'a une sacré différence....

Tout d'abord il convient de comprendre ce qu'est une DMZ, un petit lien pour aider : http://www.commentcamarche.net/contents/991-dmz-zone-demilitarisee Ce qu'il faut savoir c'est qu'une box ADSL n'est pas un firewall, ce n'est pas parce que l'on map les ports que le trafique sur les autres n'est pas autorisé... Par conséquent, si on n'active pas de DMZ, il est très facile de savoir quels sont les ports qui répondent et ceux qui ne répondent pas. Une DMZ va donc se positionner entre la BOX et le routeur (donc directement relié à la box) et permettra de répondre a quelqu'un qui teste un port que tous les ports sont ouverts. Quand je dis IP non utilisée, c'est en fait un élément passif du système (chez moi un vieux PC sous Windows où il n'y a rien d'installé. L'intérêt ? C'est qu'un pirate pensant pouvoir rentrer par le port SSH 22 s'acharnera à rentrer sur ce vieux PC, PC qui n'a aucun droit d'accès à travers mon firewall (ip bloqué). C'est là que rentre en compte le principe avancé plus haut du "Pot de Miel" (ou Honey Pot) dont un article intéressant est à lire ici : http://m.01net.com/article.html#art187399 Du coup, pourquoi changer les ports par défaut ? Tout simplement pour les noyer dans la masse. Les pirates connaissent par coeur les ports utilisés, y compris pour nos Syno, vous tous vous disez en avoir un.... Donc si je veux venir voir ce que vous avez chez vous, je tenterais les ports standards, non ? L'intérêt de tout ça est de ne pas indiquer à un pirate où chercher et où il va, on gagne du temps. Et puis si on met des outils d'alertes sur l'élément en DMZ, on peut le bloquer direct sans soucis. Oui, je sais, je suis parano.... et Vilain.... Quoique...

DSM 5 offre aux utilisateurs souhaitant centraliser leurs calendriers la gestion native de ces derniers en proposant CalDAV. Pour rappel, CalDAV (http://fr.wikipedia.org/wiki/CalDAV) est une extension à WebDAV(http://fr.wikipedia.org/wiki/WebDAV) pour la gestion de calendriers. Le but de ce tutorial est le suivant : · Configurer des calendriers partagés · Configurer des calendriers personnels · Consulter les calendriers de lextérieur 1.Prérequis Avec votre compte admin, (qui nest pas le compte « admin », nest ce pas ? ), la première chose à faire est dactiver WebDAV, pour se faire, il faut aller dans le « Panneau de configuration », « Services de Fichiers », Onglet « WebDAV ». Si vous avez suivi mon poste concernant la sécurité et lutilisation dun NAS Synology à ladresse suivante (), vous aurez noté : · Dinstaller un certificat SSL niveau 1 pour votre site · Quil faut changer les ports par défaut · De nactiver que la communication HHTPS PS : Les ports indiquez ici sont factifs, à vous de choisir les votre Noubliez pas douvrir le port choisi de lextérieur vers votre NAS. Autre point important, créer un dossier partagé en passant par « File Station » et en mettant les droits en Lecture/Ecriture à toutes les personnes qui auront accès aux calendriers. Dans lexemple, on va créer un dossier partagé « calendars ». 2.Calendriers Une fois coché la case « Activer CalDAV », reste à créer les calendriers que vous souhaitez en cliquant sur « Afficher la liste des calendriers ». A vous de définir les calendriers que vous pourriez avoir besoin en fonction de votre organisation. Par exemple, pour une famille, on peut créer un calendrier pour les poubelles, un pour lécole, un pour les activités de sorties, un pour chaque membre de la famille, etc Pour Ajouter un calendrier, cliquer sur le bouton « Ajouter », saisissez un nom pour le calendrier et sélectionnez le dossier partagé « calendars » défini précédemment. Par défaut, tous ces calendriers sont « partagés », c'est-à-dire que tous les utilisateurs à qui vous avez donné accès en Lecture/Ecriture à « calendars » peuvent y accéder et y apporter des modifications. Nous allons voir comment rendre des calendriers uniquement consultables ou personnels 3.Calendriers en lecture seule Pour forcer un calendrier en lecture seule, il faut se rendre dans « File Station », dans le dossier partagé « calendars » et sélectionner le dossier du calendrier souhaité, ici, le calendrier des poubelles : Je veux que ce calendrier ne soit modifiable que par moi et en lecture seule par tous les autres membres de la famille, pour se faire, on clique sur « Action » et « Propriétés », puis longlet « Permission ». Première chose à faire, enlever les droits hérités en cliquant sur « Options avancées », « Exclure les permissions héritées ». Ceci fait, seul le propriétaire, c'est-à-dire le compte admin qui a créé le calendrier, peut y avoir accès. Cependant, vous nutilisez pas le compte admin pour accéder à vos données à distance nest ce pas ? Sinon, corrigez moi ça très vite !!! Donc, pour que ce soit votre vrai compte qui ai accès à ce dossier, il faut déjà changer lui donner les droits en Lecture/Ecriture en cliquant sur « Créer », en choisissant votre nom dutilisateur, en renseignant dans Type « Autoriser » et dans Appliquer « Tous ». Cocher alors les cases « Lire » et « Ecrire » et cliquer sur « OK ». Pour les autres utilisateurs, soit vous faite la même chose utilisateur par utilisateur, soit vous créez un groupe « Famille » auquel vous nautorisez que « Lire ». Je vous laisse deviner quelle option est la meilleure. Cochez la case « Appliquer à ce dossier, ces sous-dossiers et ces fichiers » (notez la faute de français passons) et cliquez sur « OK ». Vous voilà avec un calendrier géré par vous et en lecture seul par tous les autres membres de votre famille. 4.Calendriers personnels Voyons maintenant comment rendre un calendrier personnel, le début est identique. Première chose à faire, enlever les droits hérités en cliquant sur « Options avancées », « Exclure les permissions héritées ». Ceci fait, seul le propriétaire, c'est-à-dire le compte admin qui a créé le calendrier, peut y avoir accès. Donc, pour que ce soit votre vrai compte qui ai accès à ce dossier, il faut déjà changer lui donner les droits en Lecture/Ecriture en cliquant sur « Créer », en choisissant votre nom dutilisateur, en renseignant dans Type « Autoriser » et dans Appliquer « Tous ». Cocher alors les cases « Lire » et « Ecrire » et cliquer sur « OK ». Et voilà. Cest tout !!! Ce calendrier est à vous et personne ne le verra. Vous pouvez faire ça pour chaque personne à qui vous voulez offrir un calendrier personnel. 5.Calendriers sur iDevice Pour pointer un iDevice sur les calendriers de votre NAS, rien de plus simple, rendez-vous dans « Réglages », « Mails, Contacts, Calendrier », « Ajouter un compte », « Autre », « Ajouter un compte CalDAV ». Dans serveur, renseigner le nom de votre domaine « https://www.mondomaine.fr :45647/calendars » où le numéro du port est celui renseigné plus haut dans les pré-requis. Renseignez votre compte et password de votre NAS (et pas le compte Admin !!!). Enfin, défnissez un intitulé comme par exemple « Home Planning ». Cliquez sur « Suivant », et toutes les cases devraient passer avec une coche verte. Vous aurez alors tous les calendriers auxquels vous aurez accès sur votre iDevice. 6.Calendriers sur Android Android ne supporte pas les calendriers CalDAV (contrairement à Google Calendars.). Sans doute pour vous forcer à mettre vos calendriers chez Google pour les avoir sur votre device. Vous suivez ma pensée ? Il existe une solution payante qui est « CalendarSync » (https://play.google.com/store/apps/details?id=com.icalparse), payant évidemment, mais qui est elle au moins complètement séparé dun quelconque cloud 7.Calendriers sur Outlook Outlook ne supporte pas les calendriers CalDAV, le seul moyen est de passer par un addon de synchronisation Outllook qui sont généralement payant. Le plus connu est « EVO collaborator for Outlook » (http://french.evomailserver.com/product_eco.php) mais payant Personnellement, jen ai aucun besoin mais si certains veulent faire un retour sur une solution sur Outlook, il est le bienvenu. Avec tout ceci, vous pouvez donc : · Créer des calendriers partagés, personnels, en consultation · Définir qui doit les voir, les mettre à jour · Les rendre accessible depuis lextérieur P.S. : Jajouterai le détail concernant les Device Android quand jaurais fait le test nayant à ma disposition que des iDevice pour linstant.

Pour les liens bonne idée, je vais les rajouter oui. Pour la DMZ, c'est exactement ça, orienter les potentielles tentatives vers une adresse inexistante qui "cache" les vrais ports et ip utilisées.

Pour information, j'ai déjà eu à changer l'alimentation de mon NAS Synology DS209+ pour ce genre de problème, il y a 3 ans.

Bonjour, Je vous propose ce petit mode d'emploi, qui consiste a assurer la sécurité de votre installation. Pourquoi ? Simplement parce que ce genre de matériel très répandu est souvent visé par des attaques extérieures. A titre d’exemple, depuis 5 jours que mon NAS est opérationnel, il a été « testé » par 17 IP différentes en provenance de Chine, de Panama, des Etats Unis et de France. Ce qu’il faut savoir c’est que ces matériels sont bien connus, il est donc important de s’assurer de sa propre sécurité avant d’y stocker les photos de familles ou vos sites web. Je ne reviendrais pas en détail sur comment faire chaque étape, la communauté, que je remercie grandement en passant, propose déjà bon nombre de guides et tutos pour les points que je reprends ci-dessous. Soyez exigeant Les premières choses à faire sont évidentes : · Configurez une DMZ qui pointe vers une adresse IP non utilisée de votre réseau · Mettre un FireWall (Box, routeur, ou switch managé) entre votre NAS et internet · Privilégier les baux DHCP fixes permanents (basés sur les adresses MAC de vos interfaces réseaux) · Limiter le nombre d’adresse du DHCP au strict minimum (Nombre de matériels connectés + 1 pour la DMZ) · Bloquez par défaut tous les ports vers votre NAS soit par une règle au niveau du routeur où est connecté le NAS, soit en utilisant le FireWall inclus dans DSM) · N’oubliez pas à laisser le port TCP 5000 ouvert dans un premier temps Personnellement, je préfère utiliser un matériel dédié à la gestion des règles de routage et de ports plutôt que DSM car dans le principe, si « l’ennemi » arrive déjà au niveau du firewall du DSM, je considère qu’il est déjà rentré dans votre réseau… Soyez identifié Les choses à faire en priorité : · Activez la gestion de la stratégie des mots de passe la plus forte possible · Créez un nouveau utilisateur placé dans le groupe Administrateur avec un password fort · Déconnectez vous du compte Admin et connectez vous avec ce nouveau compte · Désactivez le compte Admin · Activez la double authentification sur votre nouveau compte, l’application Google Authenticator est vraiment extraordinaire Voici pour le compte qui vous permettra de gérer votre NAS. Mais ce n’est pas terminé, il est hors de question de laisser les ports standards sur votre NAS. Comme je l’ai dit, ce matériel est grandement connu et leurs ports et services n’ont pas de secret. · Il faut déjà changer les ports par défaut de DSM · Il faut activer le SSL · Il faut forcer le passage de http vers HTTPS · N’oubliez pas d’ouvrir les nouveaux ports sur votre routeur vers le NAS et de fermer le port 5000 A ce niveau là, vous risquez d’avoir un message d’alerte concernant un certificat SSL invalide, c’est normal. Je vous invite à vous référer à divers tutos concernant la mise en place d’un certificat SSL de niveau 1 en passant par StartSSL. Par contre, attention à certaines contraintes : · Vous devez avoir un nom de domaine (loué chez un hébergeur avec ip-fixe ou en utilisant Dyn-DNS) · Vous devez avoir une messagerie fonctionnelle sur cette adresse de domaine avec un compte « webmaster » En effet, l’obtention de ce certificat nécessite la vérification du nom de domaine et donc une validation par mail envoyé à une adresse de ce même domaine. Je vous invite donc à installer les paquets Mail Server et Mail Station et de créer un simple utilisateur webmaster que vous pourrez désactiver par la suite. A noter des limitations concernant ce type de certificat niveau 1 : · Il certifie l’adresse www.mondomaine.fr mais pas les sous-domaines o Ceci nécessite un certificat niveau 2 wildcart payant · Il ne permet pas de certifier plusieurs domaines o Ceci nécessite un certificat niveau 3 CU (communication unifiée) payant A partir de là, vous pourrez accéder à DSM de manière sécurisée y compris à distance. Soyez à jour Je sais que certains n’aiment pas les mises à jour automatiques car quand un système fonctionne avec une version de paquet, il peut ne plus fonctionner après une mise à jour… Mais le plus important est votre confort ou votre sécurité ? Pour moi et ma famille je privilégie la sécurité, je vous invite donc sans vergogne : · A activer toutes les options de mise à jour automatique, que ce soit de DSM ou des paquets · A ne vous fier qu’à des paquets signés · A limiter au maximum le recours au SSH et au root (d’ailleurs, je l’ai même désactivé personnellement) Soyez informés Autre chose qui est importante, la réactivité. Activés les notifications de votre système par mail, par SMS, par Push pour être au courant de l’état de ce dernier : · Mises à jour disponibles · Problèmes matériels · Problèmes de backup · Attaques Lors d’une attaque, il est important de réagir rapidement, il faut prendre les bonnes décisions rapidement : · Si l’attaque échoue et que l’ip est bloquée par DSM : o Vérifiez d’où vient l’ip avec le site http://www.monwhois.fr/ o Contactez le FAI à qui appartient l’ip avec l’adresse mail dans le champ Abuse o Bloquez la plage d’IP au niveau du Firewall directement o Vérifiez que l’attaque ne ciblait pas une vulnérabilité connue · Si l’attaque réussie mais que vous avez des traces d’activités incohérentes o Mouvement de fichiers ou transferts anormaux o Utilisation importante de la bande passante o CPU et RAM utilisées hors normes o Bloquez tout de suite votre NAS dans le firewall (d’où l’utilité d’un firewall indépendant du NAS) o Récupérez tous les logs et analysés les pour identifier les actions qui ont été menées o Contactez Synology pour leur demander leur expertise Soyez raisonnable Maintenant, avant d’installer toutes sortes de paquets et d’ouvrir des flux à tout bout de champs, posez-vous plusieurs questions : · D’où vient le paquet ? · En ai-je vraiment besoin ? · Quels ports utilise-t-il ? · Puis-je changer les ports par défaut ? · Quels comptes ou services utilise-t-il ? · A quelles ressources a-t-il accès ? Plus votre système s’étend, plus les points vulnérables peuvent être nombreux et la maintenance plus exigeante. Il vaut mieux des fois séparer les besoins pour ne pas mettre en péril l’ensemble, ne pas mettre tous les œufs dans le même panier si vous préférez. Soyez responsable En conclusion, tout est question de moyen. Avec du temps et de l’argent, on peut avoir un système digne de la meilleure entreprise, mais est-ce nécessaire ? Qui a besoin de voir les photos de famille sur le net ? De regarder des films HD en 4G ? Tout ceci est attrayant et c’est marrant… Mais est-ce nécessaire pour vous et votre sécurité ? Un article récent très intéressant de Google tendait à démontrer que la sphère privée, ce cocon qui est notre chez nous l’est de moins en moins… De plus en plus d’appareils connectés, de services en mobilité, de traçage et de flicage… N’est-on plus assez bien chez soi pour vouloir retrouver ce chez soi partout ailleurs ? Je vous invite donc à penser très fortement à cette adage que ma femme m’a rappelé y’a pas si longtemps : « Pour vivre heureux, vivons caché » P.S. : Pour information, j’ai choisi un NAS, Synology entre autre, pour pouvoir « rapatrier » toutes mes informations sur un chez moi privatisé et ne plus dépendre de Apple, de Google, de serveur d’hébergement Web, de Free, etc… Quel plaisir de se dire que ses mails, ses contacts, ses rendez-vous, ses documents partagés, etc… ne se retrouvent plus dans la nature. C’est ma raison principale de mon projet, et vous ?

Merci pour l'info !! J'avais prévu justement de mettre en place mon VOIP, ca va m'éviter de galérer.

T'a accès au password de tes utilisateurs ?

Dans Panneau de Configuration / Utilisateur, clique sur ton compte admin puis modifier, dans l'onglet application, vérifie que File Station est bien autorisé et qu'il n'y a pas de filtre par IP activé.

A priori, c'est que t'a déjà un share vers cette destination déjà monté, non ? Sous une autre lettre ?

Bonjour la communauté, Suis pas un nouveau en soit mais j'ai franchit le pas en passant d'un simple DS209+ a un RS814+. J'en profite donc pour me représenter de nouveau. Je suis architecte SI et je connais bien la gestion de l'infrastructure (notamment Microsoft), la gestion de la sécurité et nombre de technologies de développement. Pour mener à bien des projets personnels, j'ai donc investi pour monter mon infrastructure personnelle dont vous trouverez quelques informations dans ma signature. J'espère donc vous faire profiter de mes retours (positifs faut le dire) des produits Synology, de vous faire profiter de certaines trouvailles et astuces, et vous guider à mon tour dans vos installations. N'hésitez pas à me MP pour tout types de questions (sauf personnelles hein), me ferais une joie de vous répondre. Bien cordialement, P.S : Need la fibre à la maison lol

Si je ne me trompe pas, ce sont des cam

Merci a tous pour votre aide, j'ai pu r

Pas de r

Question b

Merci a vous pour vos conseils. Les donn

Bonjour,Cela fait 1 an que j'ai mon NAS et que ce dernier fonctionne sans soucis. Cependant, depuis quelques jours, impossible de le red

Je t'invite

Pour information, j'arrive a faire fonctionner le DLNA entre le Synology DS209+ et ma t

Il n'y a plus de twonky pour les Synology, Twonky

Faut bien penser

Merci stevanovich, Merci Patrick, ca marche parfaitement !!!!!!!!!!! Vais passer

Merci Patrick, effectivement, la r