red71 Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Manoeuvre simple, j'ai activé l'accès https sur le port 5001. Pourtant quand j'y accède, mon navigateur me demande d'ajouter une exception (ok, c'est fait ;-)), mais, in fine, le https est en rouge et barré comme si, finalement, ce n'était pas "sécurisé". Ai-je manqué quelque chose ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
loicb Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Certificat non vérifié? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bud77 Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Oui, c'est juste un certificat non signé, mais tes données transitent bien cryptées 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 OK, merci pour l'information. Autre question, tant qu'on y est. A quel point faut-il "stresser" pour les ports ouverts vers mon Syno. J'ai ouvert sur mon routeur: *- 5000 et 5001 : accès http. *- 6690 : Cloudstation. *- 873 : backup vers Syno de mon frère situé chez lui. *- 9005 / 9006 : WebDav *- 2000 : Photostation Dois-je voir ces ouvertures de port comme des portes graaaandes ouvertes sur mon réseau local et "stresser" quand même un peu ou pas ? Ca semble si naturel d'ouvrir ces ports et pour certains de mes amis, c'est quasiment le grand sacrilège d'oser ouvrir des ports comme si je laissais ma maison porte d'entrée grande ouverte avec un mot de bienvenue aux voleurs ;-) Merci de m'aider à faire le point. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 De manière générale évite le HTTP non crypté (préfère HTTPS), et utilise des mots de passe forts. Donc je te conseillerais de supprimer le port tcp/5000 et tcp/9005. Par contre tu peux ouvrir le port tcp/443 pour Photo Station (au lieu du tcp/2000 non crypté). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 Voilà qui est fait, merci pour les infos. "Tout le monde" gère les accès https ? Y compris tablettes/smartphones ? J'utilise souvent les applis sous Android pour regarder les Photos de l'extérieur (ce qui épate d'ailleurs pas mal de monde qui ne sait pas bien ce qu'un NAS peut faire) ou même accéder à Download Station. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Oui, c'est juste un certificat non signé, mais tes données transitent bien cryptées Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet . Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 "Tout le monde" gère les accès https ? Y compris tablettes/smartphones ? Evidemment ! Sinon ça n'aurait aucun intérêt. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 Ok, je m'occuperai de tester ça aujourd'hui ou demain. Encore merci pour les infos. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 Autre question : est-ce que ça a du sens de changer les ports par défaut ? Si je devais essayer de "rentrer" dans le Syno de quelqu'un c'est sur les port par défaut que je "m'exciterais" en premier... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Autre question : est-ce que ça a du sens de changer les ports par défaut ? Si je devais essayer de "rentrer" dans le Syno de quelqu'un c'est sur les port par défaut que je "m'exciterais" en premier... Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière. Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé). Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 OK. Je ne me sers pas de SSH donc de côté là, c'est "fermé" ;-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Petit_bill Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Sinon tu utilise la fonctionnalité reverse proxy du syno et tu n'a qu'un port a ouvrir ( peut etre 2 ) Bonne journée 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 (modifié) Sinon tu utilise la fonctionnalité reverse proxy du syno et tu n'a qu'un port a ouvrir ( peut etre 2 ) Bonne journée C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ? Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place... Modifié le 1 août 2013 par red71 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Petit_bill Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ? Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place... Non non rien voir ...lol mais tu peut utilisé les 2 ( moi c'est ce que je fait ) lorsque que mon NAS s'allume il envoi un ordre d'ouverture de port ( 443 ) a mon routeur Des qu'il s'eteint il ferme le port..... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
red71 Posté(e) le 1 août 2013 Auteur Partager Posté(e) le 1 août 2013 Je laisse mon NAS allumé 24/7. Par principe, surtout. Et aussi parce que j'ai des panneaux solaires qui couvrent ma consommation annuelle donc je ne paye plus l'électricité. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Petit_bill Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Je laisse mon NAS allumé 24/7. Par principe, surtout. Et aussi parce que j'ai des panneaux solaires qui couvrent ma consommation annuelle donc je ne paye plus l'électricité. ok mais l'histoire du reverse proxy reste viable ....lol 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière. Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé). Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité. Effectivement, pareil pour moi; par contre une petite astuce permet de s'affranchir de ces robots : - Au niveau du routeur tu rediriges le port 2222 (par exemple) sur le port 22 en interne, du coup, il y a peu de chance pour que les robots viennent scanner ton port 2222 et ensuite, seuls ceux qui on besoin de se connecter chez toi vont utiliser ce fameux port 2222 Depuis que j'ai fait ça, je n'ai plus aucune tentative d'intrusion ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mickey_mouss Posté(e) le 1 août 2013 Partager Posté(e) le 1 août 2013 Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet . Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001 CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire. Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance. Du coup, pour un usage privé, autant se générer un certificat auto-signé et charger son propre certificat publique racine dans son navigateur et le fournir à sa famille et à ses amis pour qu'ils en fassent de même. L'intérêt de solliciter un tiers de confiance est que la responsabilité de garantir l'identité du possesseur lui est confiée. Donc oui, CACert vérifie la propriété du domaine, c'est bien le minimum. Sinon, en quoi pourraient-ils être tiers de confiance ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 2 août 2013 Partager Posté(e) le 2 août 2013 CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire. Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance. Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert: http://wiki.cacert.org/InclusionStatus Ce qui fait que je n'avais pas vu le problème Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients ! En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
mickey_mouss Posté(e) le 2 août 2013 Partager Posté(e) le 2 août 2013 Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert: http://wiki.cacert.org/InclusionStatus Ce qui fait que je n'avais pas vu le problème Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients ! En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients! Je suis d'accord avec toi, ma réponse n'est pas vrai dans tout les cas mais elle l'est pour : - les os microsoft (Pc et appareils mobiles) / y compris ceux sur lesquels sont installés : Firefox, chrome (sauf erreur de ma part), Opéra (toujours sauf erreur de ma part)... ; - les appareils sous android ; - les mac (ce qui est mon cas) et autres appareils de la marques à la pomme. Cet ensemble doit représenter au minimum 98 % des appareils connectés au web et au moins 90% des propriétaires (et là, je suis même persuadé que c'est plus que ça encore). Donc, si tu veux, j'ai un peu raison... Moi je considère que mon erreur reste encore de l'ordre de l'exception (et c'est sans jugement de valeur sur linux, loin de là). En dehors de quelques net-book sur lesquels se trouvent nativement linux, qui installe cet OS en dehors de personnes initiées (je ne compte pas les NAS et autres appareils pour lesquels, là encore, beaucoup d'utilisateur sont indifférent à mon avis de savoir qu'il y a un linux dessus, voir ne le savent même pas). Mon avis, qui n'engage que moi bien sûr, est qu'un professionnel qui ne veut rassurer ses clients ne choisira pas CA-Cert mais un autre organisme tel que Thawte ou Verisign... de même qu'il prendra un nom de domaine et non pas un dns dynamique. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.