Question S

[albertlevert]

Bonjour à tous,

J'ai maintenant +/- configuré mon nas (DS415PLAY) et transféré pratiquement toutes mes données. Après 48h, la prise en main commence à être agréable et un peu plus facile. Ca fait du bien !

Je me pose maintenant des questions d'un point de vue sécurité. Quelle est la meilleure stratégie ?

- L'utilisateur admin (par défaut) : Que conseillez-vous de faire avec ? Configurer un nouvel user admin et le désactiver ?

- Quelle stratégie pour les connections extérieures (type webdav, cloud, itunes server, etc..) ? Créer un utilisateur qui a un accès limité ?

J'avoue ne pas être au clair sur tout ça. Je souhaite protéger mon NAS au maximum (avec un cryptage) mais je ne sais pas trop quoi, ni comment configurer.

Pouvez-vous me donner des conseils sur vos stratégies en générale ?

Merci beaucoup !!!

Bon dimanche ;-)

[pikeupe]

slt

perso j'ai désactivé le compte admin en créant avant un autre compte avec tout les privilèges d'un admin

j'ai aussi désactivé le ssh

pour la stratégie des connections extérieures c'est a toi de donné les droits a chaque utilisateur écriture ou juste lecture

[CoolRaoul]

Je suis pas entièrement catégorique sur la désactivation du compte admin: mettre un mot de passe bien fort à ce dernier le rend aussi difficile à craquer qu'un compte admin annexe (sur lequel bien entendu il faut quand même mettre un mot de passe sérieux), il y a juste le fait que le nom "admin" est déjà connu.

Mais faut pas oublier que c'est le couple [compte X mot de passe] qu'il s'agit de découvrir pour entrer.

Par contre des que le NAS est accessible de l'extérieur, je considère *impératif* de s'assurer que le blocage auto est activé, c'est à mon avis la première et la plus importante des mesures de sécurité à prendre.

Sachant qu'un potentiel attaquant n'aura (avec la config par défaut) que 3 essais avant de voir son IP bloquée pour 24 heures, toute attaque de type "brute force" est complètement inhibée par ce mécanisme.

Autre conseil: dans la mesures on on décide d'ouvrir en externe l'acces SSH, pour éviter de se retrouver sous un déluge d'alertes de tentatives de connexions, lui affecter un autre port que le traditionnel 22 peut être une bonne idée (ça ne change pas fondamentalement le *niveau* de sécurité, c'est juste pour moins stresser). Le plus simple et efficace est de le faire via la règle de redirection de port de la BOX si elle le supporte.

Modifié le 5 octobre 2014 par CoolRaoul

[albertlevert]

Ok merci ! Parfait, j'ai fais les 2-3 modifications !

Du coup, je préfère désactiver le compte admin par défaut.

Dernière question. Concernant le service de fichiers. Lequel est le plus sécurisé (et pourquoi) ? Webdav en https ou SMB2 ?

Lequel est le plus performant ? Et en local ? (Je suis sous osx).

Concernant SMB2, quel port dois-je ouvrir ?

Encore merci pour tout ! La communauté présente ici est juste top !!!

[CoolRaoul]

Pour l'acces fichier ("systeme de fichier" désignant plutot la *structure* sur disque, comme ext4fs dans le cas du Syno ou NTFS sur PC Windows) le choix est assez simple: quasiment personne n'utilise SMB a travers internet (sauf via un VPN).

Par contre, c'est le protocole de prédilection sur le LAN (en compétition avec NFS dans le cas de clients Linux/Unix).

Apparemment, même Apple a choisi de privilégier SMB par défaut.

Webdav est un protocole encapsulé dans de l'http, et donc sa sécurité est du même niveau que HTTP lui même. Niveau authentification, c'est inévitablement compte/mot de passe. Niveau confidentialité ça sera crypté si ça passe à travers SSL.

Mais attends d'être certain d'en avoir besoin avant de l'activer et ouvrir ses ports pour acces distant. Avec un smartphone, DSFile peut être suffisant et s'appuie sur les ports "standards" DSM (5000/5001).