Aller au contenu

Accès à distance


tist

Messages recommandés

  • Réponses 56
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

Il y a 8 heures, tist a dit :

Je n'arrive pas à me connecter autrement qu'avec le HTTPS. Dès que j'essaye en HTTP ça ne se connecte plus. 

Il faut autoriser le port qui va bien, par défaut c'est le 5000

edit : évite d'autoriser le 5000 depuis Internet, change le port de VideoStation (dans portail des applications)

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

J'ai ajouté la règle dans le gestionnaire Orange et ça fonctionne en Http.

mais le truc bizarre, c'est que la lecture fonctionne en 4G comme en wifi, en HTTP et en HTTPS.

est-ce une coincidence ou juste le fait d'avoir ajouté cette règle, règle tout! 

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai pas (encore ?) décortiqué DSVideo, ça ne me surprendrait qu'à moitié que ça passe en http pour le stream vidéo même si on coche https.

il y a 46 minutes, tist a dit :

est-ce une coincidence ou juste le fait d'avoir ajouté cette règle, règle tout! 

Enlève la règle tu seras fixé

Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...
Le 12/08/2016 à 17:20, Fenrir a dit :

...évite d'autoriser le 5000 depuis Internet...

Bonjour,

 

j'ai une question bête : pourquoi ?

Si c'est parce que les méchants visent particulièrement ce port je dirait qu'ils peuvent scanner tous les ports et tenter tout un tas de truc quand ils en trouve un, alors pourquoi ne pas prendre le 5000 ?

Merci

 

Lien vers le commentaire
Partager sur d’autres sites

Réponse possible bien que je ne sois pas un expert en sécurité donc à confirmer :

 

Un petit malin peut s'amuser à scanner une IP qu'il connait et tester tous les ports mais il ne va pas s'amuser à scanner toutes les IP du monde au pif et ensuite tous les ports de ces IPs.

Quelqu'un qui voudrait par exemple se focaliser sur une attaque des nas synology saurait de base vers quel port se tourner pour ses recherche afin de trouver quelque des nas accessibles sur la toile.

Exemple, chercher des IPs ayant le port 5000 et 5001.

 

Un peu comme les petits malins qui exploitent des failles de sécurité sur par exemple un script provenant de WordPress. Ils s'amusent pas à aller sur n'importe quel site pour les exploiter mais ils cherchent simplement via Google des sites qui ont ce fameux script dans leurs pages et ils tombent directement dessus. Ainsi c'est plus rapide pour eux de lancer ensuite leurs injections de codes.

 

Je te montre un exemple tout de suite :

Hier a été publié une faille dans une extension pour Joomla (CMS PHP) qui est très utilisé dans le monde entier.

Tous les sites concernés et qui donc utilise l'extension avec cette version indiquée peuvent être trouvés facilement sur Google en tapant une simple ligne de texte et de code. Avec ça, les petits malins peuvent exploiter ensuite la faille sur chacun de ses sites et être malintentionnés ! Ils ne s'embêtent pas à chercher tous les sites sous Joomla mais simplement les sites ayant cette extension.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

OK, merci, je comprend mieux.

 

Il y a 13 heures, Fenrir a dit :

Non, ma réponse était plus générale que ça, il faut éviter de laisser DSM (peu importe le port) accessible depuis Internet.

Et on y accède comment alors ?

Parce que des fois on peut avoir besoin de faire qqchose à distance, relancer/arrêter un service par exemple

Lien vers le commentaire
Partager sur d’autres sites

Le port 5000 est également à proscrire car :

  • C'est le port par défaut (facile à identifier par les scanners),
  • Le traffic échangé sur ce port n'est pas chiffré (données en clair dont les mots de passe),
il y a une heure, Portequoi a dit :

Et on y accède comment alors ?

En te connectant au préalable en VPN. Pour la configuration, tu peux suivre ce tutoriel : 

 

Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas, mes applications passent par un proxy inversé avec un nom de domaine.

Donc moi pour DS Vidéo, je me connecte avec : video.ndd.fr et je n'indique pas de port car il va se connecter en SSL donc sur le port 443 et c'est mon routeur qui va rediriger la connexion sur le port de DS Vidéo en invisible.

Lien vers le commentaire
Partager sur d’autres sites

Va voir le tuto sur proxy inversé ;)

En gros, ça fait ça :

Depuis mon mobile, je me connecte par exemple sur l'application DS Cam.

cam.ndd.fr (443 invisible donc) -> mon routeur -> IP du NAS et port de l'application surveillance station.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Va voir le tuto sur proxy inversé ;)
En gros, ça fait ça :
Depuis mon mobile, je me connecte par exemple sur l'application DS Cam.
cam.ndd.fr (443 invisible donc) -> mon routeur -> IP du NAS et port de l'application surveillance station.
En gros
De ton réseau téléphone quand tu lances l application tu attaques ta box qui est passante et tu arrives au routeur et lui redirige vers ton nas?

Yououuuuu je prends l'eau

Envoyé de mon SM-A520F en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Bon déjà ce n'est pas que le réseau "téléphone" mais tout le réseau internet qui est extérieur à chez moi !

Ensuite, c'est à peu près ce que tu as écris mais sans ces terme. Je n'attaque pas mais me connecte à mon nas en passant d'abord par des autorisations depuis mon routeur qui ensuite me redirige vers mon nas et sur le bon port. Ensuite, si mon nas me le permet au niveau de mes autorisations, alors j'accède au contenu.

Lien vers le commentaire
Partager sur d’autres sites

Bon déjà ce n'est pas que le réseau "téléphone" mais tout le réseau internet qui est extérieur à chez moi !
Ensuite, c'est à peu près ce que tu as écris mais sans ces terme. Je n'attaque pas mais me connecte à mon nas en passant d'abord par des autorisations depuis mon routeur qui ensuite me redirige vers mon nas et sur le bon port. Ensuite, si mon nas me le permet au niveau de mes autorisations, alors j'accède au contenu.
Je ne voulais pas t attaquer ^^
Terme un peu agressif mais c'était dans ce sens lol

Intéressant de ce fait tu es protéger de l'extérieur sans passer par un VPN

Envoyé de mon SM-A520F en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.