S

[chr!x]

Salut,

Si vous ne voulez pas perdre trop de temps, la question est dans le titre. Sinon, je détaille un peu ma situation.

J'ai un 1511+ à la maison derrière une Freebox. Il fait tourner :

* sites web en multi-domaines (Joomla & WordPress)

* FTP

* SSH

* WebDav pour ownCloud (CardDav & CalDav)

* CloudStation (juste pour la synchro façon DropBox)

* SABnzbd

* PhpMyAdmin

* Plex

* Backups croisés avec le Syno DS212+ du boulot.

Depuis que je me suis mis sur Twitter et que j'ai fais quelques liens vers mon blog WP, j'ai constaté une prolifération de tentatives de connexions depuis la Chine majoritairement. Je tourne en moyenne à 5 IP bloquées par jour grâce au bloquage IP du Syno (70 tentatives en 21 jours).

Pour y remédier, j'ai (à l'instant) natté des ports externes différents de ma Freebox pour que le FTP (21) et le SSH (22) ne soient plus directement sollicités. J'espère mesurer rapidement une nette amélioration avec ces premières mesures.

Si mes quelques users ont des mots de passe bien fumant avec chiffres / lettres / ponctuation sur une quinzaine de caractères, je me demande malgré tout là où il faut que je prenne les devants pour anticiper toute mauvaise surprise. Que faut-il que je sécurise ?

D'autre part, si j'estime qu'il y a une fonctionnalité sur laquelle je compte plus que tout, c'est le CalDav & CardDav que m'offre ownCloud. Et là, je suis un peu "à poil" puisque j'ai pas de certificat SSL.

Je me demande donc si là aussi, pour sécuriser mon bouzin, il faudrait que je m'inquiète d'en prendre un... Si oui, faut-il que je me tourne vers une solution :

* gratuite type StartSSL (à renouveler tous les ans ? Chiant ?)

* "fait maison" type solution de l'

* payante (je suis pas contre payer quelques dizaines d'€ par an si c'est réellement efficace).

D'ailleurs, que faut-il réellement attendre du passage au SSL ? Faut-il y passer ? (et hop, j'ai bouclé sur le titre de mon message... :-D )

A vous relire,

Chr!x.

Modifié le 12 novembre 2012 par chr!x

[Diaoul]

Tu peux faire un wrapper SSL avec HAProxy

SSL ne permet pas d'éliminer les tentatives de connexion mais juste de sécuriser les mots de passes qui transitent sur le réseau et ainsi d'éviter de te le faire piquer par un attaquant.

[chr!x]

Je ne connaissais pas. En me documentant rapidement, voici ce que je trouve :

HAProxy est un relais TCP/HTTP offrant des facilités d'intégration en

environnement hautement disponible. En effet, il est capable de :

- effectuer un aiguillage statique défini par des cookies ;

- effectuer une répartition de charge avec création de cookies pour assurer

la persistence de session ;

- fournir une visibilité externe de son état de santé ;

- s'arrêter en douceur sans perte brutale de service ;

- modifier/ajouter/supprimer des en-têtes dans la requête et la réponse ;

- interdire des requêtes qui vérifient certaines conditions ;

- utiliser des serveurs de secours lorsque les serveurs principaux sont hors

d'usage.

- maintenir des clients sur le bon serveur serveur d'application en fonction

de cookies applicatifs.

- fournir des rapports d'état en HTML à des utilisateurs authentifiés, à

travers des URI de l'application interceptées.

Il requiert peu de ressources, et son architecture événementielle mono-

processus lui permet facilement de gérer plusieurs milliers de connexions

simultanées sur plusieurs relais sans effondrer le système.

Je ne comprends pas en quoi ça peut m'être utile pour sécuriser mon Syno.

PS : Diaoul, prosternations éternelles pour ton travail sur SynoCommunity

[Diaoul]

Dans ma configuration :

https://sabnzbd.mondomaine.tld (port 443) -> box -> syno (port 5443) -> haproxy decipher le SSL, voit que ça commence par "sabnzbd.", redirige donc vers localhost:8080

Avantages dans ton cas :

* Je peux ajouter d'autres services que SABnzbd sur un même port externe (SickBeard, DSM, CouchPotato Server, etc.)

* Pas besoin d'activer le SSL dans SABnzbd

* Gestion du SSL à un seul endroit, HAProxy, facile pour la maintenance et changer le certificat, il suffit de le faire à un seul endroit

* Peu de ressource consommées par rapport à la gestion du SSL sur certains services comme SABnzbd

* Blocage complet de plages d'IP possible directement depuis HAProxy

* Bien d'autres choses, voir la doc de HAProxy

Modifié le 12 novembre 2012 par Diaoul

[chr!x]

Je serai intéressé pour le tester. Mais il semble qu'il soit en beta fermée pour l'instant. Comment dois-je faire ?

[chr!x]

Si je comprends bien << l'esprit >> de la chose, HAProxy permettrait de faire passer tout par le , et de filtrer en fonction de ce qui est devant le NDD ?

Genre :

* sabnzbd.mondomaine.fr => localhost:8080

* sickbeard.mondomaine.fr => localhost:8081

C'est bien ça ? Si oui, j'y vois en effet un gain de souplesse en gestion, ne serait-ce que pour ce qui concerne le nattage des ports...

Ca marcherait avec des NDD xxx.hd.freebox.fr ?

Modifié le 12 novembre 2012 par chr!x

[Diaoul]

Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)

Par exemple:

* box.mondomain.tld => 192.168.1.254:

La condition que l'on met c'est sur la structure de la requête reçue par HAProxy. Voir ici pour un peu de détail sur la structure d'une requête HTTP.

La condition est : si le header Host commence par "box." alors faire le proxy vers 192.168.1.254:

Dans la configuration ça se traduit par cette condition.

Ca marche avec les NDD xxx.hd.freebox.fr si et seulement si les sous domaines sont possibles. Par exemple il faut que sickbeard.xxx.hd.freebox.fr pointe bien vers chez toi.

Modifié le 12 novembre 2012 par Diaoul

[lololo]

Hello,

Moi aussi je le testerai bien se petit Haproxy, mais existe-il un spk ou faut-il le compiler soit-même ?

[PiwiLAbruti]

Une beta privée avec un nombre d'utilisateurs restreint est en cours.

Le paquet sera disponible pour tout le monde à la fin de la beta dans le dépôt SynoCommunity.

Ne me demandez pas quand.

[lololo]

Ah ok tant pis alors...

Merci pour la réponse !

[lololo]

euh en fait j ai encore une question... tu parle de beta fermée, mais sur le site repository on peut telecharger les beta ???

[PatrickH]

Il ne faut pas confondre le béta d'un firmware du syno et une beta d'un package... d'autre part il n'y a pas de béta active en ce moment chez Syno

Patrick

[lololo]

Je crois que je me suis mal fait comprendre...je parlais des packages ici :

http://www.synocommunity.com/packages

[chr!x]

Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)

Par exemple:

* box.mondomain.tld => 192.168.1.254:

La condition que l'on met c'est sur la structure de la requête reçue par HAProxy. Voir ici pour un peu de détail sur la structure d'une requête HTTP.

La condition est : si le header Host commence par "box." alors faire le proxy vers 192.168.1.254:

Dans la configuration ça se traduit par cette condition.

Je vais de ce pas ouvrir vu que ça n'a plus grand chose à voir avec le sujet d'origine.

Modifié le 13 novembre 2012 par chr!x

[PiwiLAbruti]

Certains paquets sont directement disponibles au t

[chr!x]

J'en reviens à mes moutons.

Admettons que grace à HAProxy, tous les services web passent désormais par un seul port, il n'en reste pas moins que la question de SSL se pose, déjà pour sécuriser les comms de HAProxy, mais surtout pour le reste de mes services, notamment le webdav, le CalDav et le CardDav.

Quid ?

Et d'autre part, les certificats SSL sont attachés à un seul domaine (si je dis pas de bêtise). Comment le Syno peut-il gérer plusieurs domaines en SSL, chacun avec son propre certificat ?

[Diaoul]

Il y a des certificats SSL dits "wildcard" qui sont valables pour *.tondomain.tld

Par contre il faudra mettre la main à la poche.

Pour ce qui est de webdav et caldav, comme ceux sont des extensions du HTTP, il est possible de les gérer via HAProxy. Le cas échéant, tu peux toujours activer le SSL sur chacun de ces deux services.

[PatrickH]

...

Et d'autre part, les certificats SSL sont attachés à un seul domaine (si je dis pas de bêtise). Comment le Syno peut-il gérer plusieurs domaines en SSL, chacun avec son propre certificat ?

Pour sécuriser le "tuyau" par lequel transitent les informations (SSL) nul besoin de certificats en effet le certificat n'est là que pour certifier que tu es bien celui que tu dis être (par exemple pour un site d'achat en ligne). Il faut clairement différentier le cryptage des données du certificat

Patrick

[chr!x]

Il y a des certificats SSL dits "wildcard" qui sont valables pour *.tondomain.tld

* Perplexe.

Tu veux dire que la structure mise en place avec HAProxy m'obligerait à m'orienter vers ce type de solution "wildcard" ?

Pour ce qui est de webdav et caldav, comme ceux sont des extensions du HTTP, il est possible de les gérer via HAProxy. Le cas échéant, tu peux toujours activer le SSL sur chacun de ces deux services.

Activer le SSL sans certificat sur webdav / caldav / carddav, c'est possible ? Faudrait pas quand même passer par un certificat maison, genre ?

[Diaoul]

Soit tu veux un certificat signé par une autorité reconnue (sert à éviter que ton site n'apparaisse comme ayant un certificat invalide) et dans ce cas il faut le payer, les certificats signés wildcard sont plus onéreux, évidemment.

Soit tu t'en fou d'avoir un warning dans ton navigateur et dans ce cas nullement besoin de payer, peu importe le certificat que tu utilises. Tu peux généré un certificat auto-signé.

Oui dans la mesure ou HAProxy utilise des sous-domaines et non des ports, un certificat wildcard est necessaire

[aurelized]

pour le streaming video il faut un certificat signe il me semble. Celui de startssl doit etre utile dans ce cas la par exemple

J ai regarde vite fait ceux a 8 dollars par an chez d autres fournisseurs, apparemment ils n apparaissent pas vert. Il me semblait que le gratuit de startssl l etait pourtant