Aller au contenu

Messages recommandés

Salut,

Si vous ne voulez pas perdre trop de temps, la question est dans le titre. Sinon, je détaille un peu ma situation.

J'ai un 1511+ à la maison derrière une Freebox. Il fait tourner :

* sites web en multi-domaines (Joomla & WordPress)

* FTP

* SSH

* WebDav pour ownCloud (CardDav & CalDav)

* CloudStation (juste pour la synchro façon DropBox)

* SABnzbd

* PhpMyAdmin

* Plex

* Backups croisés avec le Syno DS212+ du boulot.

Depuis que je me suis mis sur Twitter et que j'ai fais quelques liens vers mon blog WP, j'ai constaté une prolifération de tentatives de connexions depuis la Chine majoritairement. Je tourne en moyenne à 5 IP bloquées par jour grâce au bloquage IP du Syno (70 tentatives en 21 jours).

Pour y remédier, j'ai (à l'instant) natté des ports externes différents de ma Freebox pour que le FTP (21) et le SSH (22) ne soient plus directement sollicités. J'espère mesurer rapidement une nette amélioration avec ces premières mesures.

Si mes quelques users ont des mots de passe bien fumant avec chiffres / lettres / ponctuation sur une quinzaine de caractères, je me demande malgré tout là où il faut que je prenne les devants pour anticiper toute mauvaise surprise. Que faut-il que je sécurise ?

D'autre part, si j'estime qu'il y a une fonctionnalité sur laquelle je compte plus que tout, c'est le CalDav & CardDav que m'offre ownCloud. Et là, je suis un peu "à poil" puisque j'ai pas de certificat SSL.

Je me demande donc si là aussi, pour sécuriser mon bouzin, il faudrait que je m'inquiète d'en prendre un... Si oui, faut-il que je me tourne vers une solution :

* gratuite type StartSSL (à renouveler tous les ans ? Chiant ?)

* "fait maison" type solution de l'

* payante (je suis pas contre payer quelques dizaines d'€ par an si c'est réellement efficace).

D'ailleurs, que faut-il réellement attendre du passage au SSL ? Faut-il y passer ? (et hop, j'ai bouclé sur le titre de mon message... :-D )

A vous relire,

Chr!x.

Modifié par chr!x
Lien vers le commentaire
Partager sur d’autres sites

Je ne connaissais pas. En me documentant rapidement, voici ce que je trouve :

HAProxy est un relais TCP/HTTP offrant des facilités d'intégration en

environnement hautement disponible. En effet, il est capable de :

- effectuer un aiguillage statique défini par des cookies ;

- effectuer une répartition de charge avec création de cookies pour assurer

la persistence de session ;

- fournir une visibilité externe de son état de santé ;

- s'arrêter en douceur sans perte brutale de service ;

- modifier/ajouter/supprimer des en-têtes dans la requête et la réponse ;

- interdire des requêtes qui vérifient certaines conditions ;

- utiliser des serveurs de secours lorsque les serveurs principaux sont hors

d'usage.

- maintenir des clients sur le bon serveur serveur d'application en fonction

de cookies applicatifs.

- fournir des rapports d'état en HTML à des utilisateurs authentifiés, à

travers des URI de l'application interceptées.

Il requiert peu de ressources, et son architecture événementielle mono-

processus lui permet facilement de gérer plusieurs milliers de connexions

simultanées sur plusieurs relais sans effondrer le système.

Je ne comprends pas en quoi ça peut m'être utile pour sécuriser mon Syno.

PS : Diaoul, prosternations éternelles pour ton travail sur SynoCommunity

Lien vers le commentaire
Partager sur d’autres sites

Dans ma configuration :

https://sabnzbd.mondomaine.tld (port 443) -> box -> syno (port 5443) -> haproxy decipher le SSL, voit que ça commence par "sabnzbd.", redirige donc vers localhost:8080

Avantages dans ton cas :

* Je peux ajouter d'autres services que SABnzbd sur un même port externe (SickBeard, DSM, CouchPotato Server, etc.)

* Pas besoin d'activer le SSL dans SABnzbd

* Gestion du SSL à un seul endroit, HAProxy, facile pour la maintenance et changer le certificat, il suffit de le faire à un seul endroit

* Peu de ressource consommées par rapport à la gestion du SSL sur certains services comme SABnzbd

* Blocage complet de plages d'IP possible directement depuis HAProxy

* Bien d'autres choses, voir la doc de HAProxy

Modifié par Diaoul
Lien vers le commentaire
Partager sur d’autres sites

Si je comprends bien << l'esprit >> de la chose, HAProxy permettrait de faire passer tout par le 80, et de filtrer en fonction de ce qui est devant le NDD ?

Genre :

* sabnzbd.mondomaine.fr => localhost:8080

* sickbeard.mondomaine.fr => localhost:8081

C'est bien ça ? Si oui, j'y vois en effet un gain de souplesse en gestion, ne serait-ce que pour ce qui concerne le nattage des ports...

Ca marcherait avec des NDD xxx.hd.freebox.fr ?

Modifié par chr!x
Lien vers le commentaire
Partager sur d’autres sites

Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)

Par exemple:

* box.mondomain.tld => 192.168.1.254:80

La condition que l'on met c'est sur la structure de la requête reçue par HAProxy. Voir ici pour un peu de détail sur la structure d'une requête HTTP.

La condition est : si le header Host commence par "box." alors faire le proxy vers 192.168.1.254:80

Dans la configuration ça se traduit par cette condition.

Ca marche avec les NDD xxx.hd.freebox.fr si et seulement si les sous domaines sont possibles. Par exemple il faut que sickbeard.xxx.hd.freebox.fr pointe bien vers chez toi.

Modifié par Diaoul
Lien vers le commentaire
Partager sur d’autres sites

Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)

Par exemple:

* box.mondomain.tld => 192.168.1.254:80

La condition que l'on met c'est sur la structure de la requête reçue par HAProxy. Voir ici pour un peu de détail sur la structure d'une requête HTTP.

La condition est : si le header Host commence par "box." alors faire le proxy vers 192.168.1.254:80

Dans la configuration ça se traduit par cette condition.

Je vais de ce pas ouvrir vu que ça n'a plus grand chose à voir avec le sujet d'origine.

Modifié par chr!x
Lien vers le commentaire
Partager sur d’autres sites

J'en reviens à mes moutons.

Admettons que grace à HAProxy, tous les services web passent désormais par un seul port, il n'en reste pas moins que la question de SSL se pose, déjà pour sécuriser les comms de HAProxy, mais surtout pour le reste de mes services, notamment le webdav, le CalDav et le CardDav.

Quid ?

Et d'autre part, les certificats SSL sont attachés à un seul domaine (si je dis pas de bêtise). Comment le Syno peut-il gérer plusieurs domaines en SSL, chacun avec son propre certificat ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a des certificats SSL dits "wildcard" qui sont valables pour *.tondomain.tld

Par contre il faudra mettre la main à la poche.

Pour ce qui est de webdav et caldav, comme ceux sont des extensions du HTTP, il est possible de les gérer via HAProxy. Le cas échéant, tu peux toujours activer le SSL sur chacun de ces deux services.

Lien vers le commentaire
Partager sur d’autres sites

...

Et d'autre part, les certificats SSL sont attachés à un seul domaine (si je dis pas de bêtise). Comment le Syno peut-il gérer plusieurs domaines en SSL, chacun avec son propre certificat ?

Pour sécuriser le "tuyau" par lequel transitent les informations (SSL) nul besoin de certificats en effet le certificat n'est là que pour certifier que tu es bien celui que tu dis être (par exemple pour un site d'achat en ligne). Il faut clairement différentier le cryptage des données du certificat

Patrick

Lien vers le commentaire
Partager sur d’autres sites

Il y a des certificats SSL dits "wildcard" qui sont valables pour *.tondomain.tld

* Perplexe.

Tu veux dire que la structure mise en place avec HAProxy m'obligerait à m'orienter vers ce type de solution "wildcard" ? :blink:

Pour ce qui est de webdav et caldav, comme ceux sont des extensions du HTTP, il est possible de les gérer via HAProxy. Le cas échéant, tu peux toujours activer le SSL sur chacun de ces deux services.

Activer le SSL sans certificat sur webdav / caldav / carddav, c'est possible ? Faudrait pas quand même passer par un certificat maison, genre ?

Lien vers le commentaire
Partager sur d’autres sites

Soit tu veux un certificat signé par une autorité reconnue (sert à éviter que ton site n'apparaisse comme ayant un certificat invalide) et dans ce cas il faut le payer, les certificats signés wildcard sont plus onéreux, évidemment.

Soit tu t'en fou d'avoir un warning dans ton navigateur et dans ce cas nullement besoin de payer, peu importe le certificat que tu utilises. Tu peux généré un certificat auto-signé.

Oui dans la mesure ou HAProxy utilise des sous-domaines et non des ports, un certificat wildcard est necessaire

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.