Quelques Doutes De D

[Jarrophile]

Bonjour,

Voici mon premier sujet en tant que possesseur d'un ds414. Je m'y connais bien en informatique, en tout cas en ce qui concerne le montage, le système etc etc ... mais je dois avouer qu'en réseau mes connaissances sont limitées.

Bref même si j'ai déjà balayé les sujets ici et là, je n'ai pas encore donné accès à mon nas depuis internet, car je ne sais pas trop comment m'y prendre. Des doutes subsistent, aussi j'espère que vous pourrez m'aider.

Voilà je sais qu'il faut faire une redirection de ports, vers mon adresse locale, c'est bien ça, en passant par mon adresse publique. J'ai vu aussi les sujets sur le ddns. Dans la mesure où en principe mon ip publique, fournie par mon fai, est fixe (sfr fibre), ai je besoin de configurer ces ddns ? Si oui, comment dois je m'y prendre ?

Mais même si non, comment configurer de toute façon mon routeur pour laisser l'accès via le net, et par quelle adresse y accèder ?

J'ai déjà redirigé les ports 20, 21 et 5000 sur mon routeur, vers l'adresse ip du nas. C'est bien ?

Faut il aussi cocher l'option https dans le nas ? Qu'est ce que cela implique comme autres règlages ?

Merci à vous. J'aurai encore d'autres questions, mais dèjà si je peux paramètrer cela, je serai comblé !

[EricMotordu]

Bonsoir,

ce n'est pas une réponse à ta question mais un message de prudence, as-tu vraiment besoin d'avoir ton NAS Synology visible depuis internet, ne peux-tu pas faire autrement?

"Y'en a qu'ont essayé, ils ont eu des problèmes !"

Je pense qu'il est prudent de limiter au maximum l'exposition sur internet et je ne crois pas que DSM est forcément bien préparé pour cela.

Tout particulièrement, je ne pense pas qu'il soit nécessaire d'exposer l'interface DSM (5000, 5001), 20 et 21 c'est pour FTP qui n'est pas un protocole sûr (FTP n'est pas encrypté).

Si tu as besoin d'exposer des ports, je te conseille de n'exposer que ceux des applications Synology (Cloud Station ou autre) pour lequel Synology apporte un effort particulier pour la sécurité.

Sinon même avec une adresse IP fixe, je te conseille quand même de configurer le DDNS, "Panneau de configuration/Accès externe/DDNS, fournisseur de service: Synology, tu crées un compte sur tu n'en as pas encore un et hop c'est fait", c'est bien pratique et n'expose pas ton système.

bonne soirée,

Eric

bonne soirée,

Eric

[Jarrophile]

Merci à toi Eric,

En fait j'aimerais que certains membres de ma famille et 2 ou 3 amis puissent accèder aux ressources stockées sur mon nas (films, musique....).

Si j'active l'auto block dans les services de sécurité, et que je rentre une liste d'ip autorisées en interdisant les autres, je ne me mets pas en sécurité ?

j'ai réussi vaguement avec mon smartphone à avoir un accès, en tapant http://monadresseip:5000. Peut-on aussi taper http://monadresseip:5001, pour accèder en https ?

Merci de m'éclaircir.

[domlas]

Si tu as véritablement un IP publique fixe il est inutile de passer par un service DDns comme MyDS de synology ou un quelconque dyndns qui servent à accoler à ton IP du moment (pour celles qui changent) un nom un peu plus explicite. C'est une sorte de code de connexion.

Il existe beaucoup mieux pour ça : le nom de domaine.

Tu vas chez un "registar" comme gandi.net, tu te choisis un nom comme toto.fr par exemple. Gandi va te dire s'il est dispo ou pas. Si il est dispo tu devras "l'acheter" (une quinzaine d'euros pas an) et dès lors il te sera complètement personnel dans le mode entier.

Ensuite il te suffira (toujours chez gandi) de lui indiquer une redirection vers ton IP publique fixe. Tes copains taperont toto.fr et ils tomberont chez toi enfin ton syno.

Filtrer les adresses entrantes aux quelques personnes voulues est jouable à la condition que eux non plus n'aient pas d'IP "dynamiques" qui changent périodiquement. Sinon ça ne dépassera pas la journée.

pour la sécurité le cryptage n'est pas la solution miracle. Ca crypte les données qui transitent c'est tout, ça ne protège pas du tout des intrusions. Or à part des données très courtes et extrêmement sensibles qui doivent être protégées pour les autres comme des km de musique ou des photos ça n'apporte aucune utilité.

Il faut bien comprendre que les hackers sont en fait des robots qui tentent inlassablement à entrer dans les systèmes. Pas pour y barboter tes données, ils s'en foutent mais pour utiliser ta machine pour créer des denis de service par exemple. pour cela ils faut qu'ils trouvent une ouverture pour aller injecter du "code" un programme qui va transformer ta machine à leur usage.

Le très gros danger vient du fait que les synos sont livrés avec un identifiant "admin" pour entrer dans le DSM. Tous les synos... Et ça les hackers ont fini par s'en apercevoir ! L'idée leur est donc venue de tenter systématiquement "admin"... Et beaucoup d'entre nous n'ont eux pas encore eu l'idée de changer "admin".

Pour pouvoir placer admin il faut entrer vers le syno. Or tous le monde conserve pieusement le port 5000 (ou 5001) pour accéder à la page d'accès au DSM. Les hackers ont pris l'habitude de tester ces deux ports...

C'est vrai pour tous les autres ports concernant les applis. Synology est bien obligé de fournir un certain port à ses applis pour que tu puisses au moins les mettre en marche la première fois. Ensuite dans la mesure du possible il faut les changer. Comme changer l'identifiant "admin", comme mettre un mot de passe (certains le laissent vide) et avec autre chose que 123456 ou password ! Mais pas non plus un truc abracadabrant impossible à retenir.

Quand aux ports 5000 et 5001 il est impératif de ne pas les ouvrir dans 99% des cas. Ils n'ont aucune utilité pour le visiteur venant de l'extérieur. Ils servent à entre dans le DSM, lieu qui sert à configurer le syno. Les utilisateurs n'ont rien à y faire à part foutre le chambard dans ton syno. Toi seul doit y avoir accès et à la rigueur une autre personne d'entière confiance.

Pour les échanges de fichiers de travail rien ne vaut le FTP mais il est vrai que c'est surtout un gros outil pour les professionnels.

Autre point de sécurité : ne jamais aller sur les sites douteux. Alors il y a bien sûr les sites pour "hommes" mais aussi et surtout tous les sites de téléchargement plus ou moins "légaux", les P2P, la mule, les sites de jeux en lignes où tous les coups (bas) sont permis.

La sécurité c'est surtout beaucoup de bon sens. En plus de 15 ans de trafic entre moi, ma fille, mes trois ou quatre copains, on n'a jamais eu de vrais gros problèmes. Peut être 3 ou 4 fois un soupçon d'un petit quelque chose...

Et puis ne pas oublier d'activer le blocage automatique des IP entrantes douteuses. Après par exemple 3 tentatives infructueuses de pénétration en moins de 5mn l'adresse IP en cause est mise sur une liste noire et sera bloquée dès la moindre tentative de connexion.

Ce n'est pas mal non plus.

[CoolRaoul]

Le très gros danger vient du fait que les synos sont livrés avec un identifiant "admin" pour entrer dans le DSM. Tous les synos... Et ça les hackers ont fini par s'en apercevoir ! L'idée leur est donc venue de tenter systématiquement "admin"... Et beaucoup d'entre nous n'ont eux pas encore eu l'idée de changer "admin".

Sur ce point (mais uniquement celui-ci, tout à fait d'accord sur tout le reste) je ne serai pas aussi catégorique.

L'important est par contre d'avoir un mot de passe en béton sur le compte admin.

Ensuite, les scripts-kiddies vont bien entendu tenter de s'y connecter mais comme il vont se faire bloquer par le blocage d'IP (à activer *impérativement* ça par contre je confirme) le risque est quasi nul.

Et dans cette configuration, je ne vois pas de scénario d'intrusion possible sur le compte admin.

(Dans un même ordre d'idée, je ne renommerai pas le compte "root" sur un serveur unix (ou "Administrator" sous Windows).)

[Jarrophile]

Merci pour votre aide.

En ce qui concerne le compte admin je l'avais déjà désactivé et créé un autre compte. Quid du compte Guest ? A quoi sert il si on crée un compte par utilisateur autorisé ? Certains disent qu'il vaut mieux le désactiver.

Domlas, pour les ports 5000 et 5001, tu veux dire qu'il vaut mieux éviter de les ouvrir/router ? Cela n'empêchera pas d'accèder aux règlages du nas en local, mais par contre ce ne sera pas possible à distance c'est bien cela ? Et cela n'empêchera pas d'accèder aux fichiers pour utilisation en lecture/écriture, en fonction des autorisations.

D'ailleurs en ce qui concerne ces ports 5000 et 5001, on ne peut pas les remplacer par d'autres ?

[domlas]

Le compte guest est un compte pour les "invités", un peu comme "anonymous". On peut attribuer à "guest" des droits restreints en lecture seule sur un dossier partagé qui ne servirait qu'à cet usage. Pour un visiteur occasionnel il suffit alors de lui indiquer l'identifiant "guest" et pass = "anonymous" pour y accéder. C'est très pratique dans certains cas, par exemple si il est proposé à beaucoup de clients de pouvoir télécharger une documentation.

Sinon effectivement il vaut mieux ne pas le valider.

Plus généralement il ne faut "ouvrir" que les seuls ports nécessaires aux quelques services dont on veut disposer à distance. Bien souvent celà ne concerne qu'un seul, voire 2 ou 3 ports bien définis.

L'accès aux ports 5000 et 5001, et plus généralement pour l'ensemble des ports du syno, est double. il y a l'accès au syno depuis le réseau interne seulement et l'accès depuis l'extérieur (internet).

Pour l'accès intérieur le syno dispose de son propre NAT/PAT à cet effet où les dits ports sont dirigés vers les différents services du syno. Ainsi le port 5000 est dirigé vers l'accès DSM, le port 21 vers le serveur FTP etc.

Donc en interne depuis ton ordi il te suffit de taper http://192.168.x.x:5000 pour accéder à la page d'entrée du DSM. Tu peux aussi taper http://nomdusyno:5000.

En interne le danger est minime et cela peut rester comme ça. Mais on peut toujours paramétrer l'accès au DSM en changeant le port d'accès.

Pour l'accès externe tu vas d'abord passer par le routeur de ta box puisque c'est elle qui reçoit les demandes extérieures. Il faut donc dans ce NAT/PAT "ouvrir" le port d'entrée 5000 vers le syno et plus précisément le port 5000 du NAT/PAT du syno.

Mais il est parfaitement possible de choisir un autre port, comme 10254, en remplacement du 5000. Dans ce cas il faut "ouvrir" le port d'entrée 10254 (au lieu de 5000) et le rediriger vers le port NAT/PAT 5000 du syno.

Il faut aussi bien évidemment informer le visiteur autorisé de l'usage de ce nouveau port.

[Invité]

Bonsoir,

ce n'est pas une réponse à ta question mais un message de prudence, as-tu vraiment besoin d'avoir ton NAS Synology visible depuis internet, ne peux-tu pas faire autrement?

Dans se cas, autant acheter un DD Multimedia. ( ou un lecteur du style WD TV Live qui fait passerelle multimedia ) non ?

[EricMotordu]

Bonsoir,

Dans se cas, autant acheter un DD Multimedia. ( ou un lecteur du style WD TV Live qui fait passerelle multimedia ) non ?

pour moi (mais chacun ses besoins et usages), DSM offre bien plus même sans être exposé sur internet (Cloud Station, ipkg, et le fait que les données sont gérés sur un système assez ouvert et du coup on peut faire des sauvegardes avec rsnapshot par exemple). Pour l'ouverture des ports sur internet, ce que je fait c'est de faire un tunnel avec du port knocking mais ce n'est pas intégré avec DSM, j'utilise un autre système -Raspberry Pi-).

Je comprends que certains ouvrent leur Synology sur internet, mais comme le dit CoolRaoul, il y a des scripts-kiddies qui jouent à attaquer tout ce qui est visible et ouvrir des ports je trouve ceci délicat.

Bonne soirée,

Eric

[Jarrophile]

Merci pour vos interventions. Alors j'ai activé l'adresse ddns chez synology. J'ai créé 2 comptes pour 2 contacts. Ouvert les ports 21 et . Je pense fermer les ports 5000 et 5001.

J'ai aussi activé le blocage d'ip en cas d'échecs de connections successifs.

Ça marche l'un de mes amis à pu avoir accès et visionner un film.

Je n'ai pas mis quelques chances de mon côté ? Je n'ai accordé par ailleurs aux comptes qu'un droit de lecture.

En ce qui concerne le boîtier multimédia j'ai un popcorn A300.Il faut maintenant que je m'occupe de son cas je ferai sûrement un autre post. Jusqu'à maintenant il a toujours tout lu, en local avec le disque dur interne sur lequel étaient mes films. Mais en gris mon problème maintenant avec le synology,c'est de pouvoir lire les iso directement du popcorn via le syno.

Alors à très bientôt et encore merci

Modifié le 7 septembre 2014 par Jarrophile

[domlas]

C'est parfait alors...