Pourquoi le port HTTP de DSM doit être ouvert pour utiliser le DLNA

[djo113]

Bonjour,

j'ai une question : pourquoi le port HTTP d'interface DSM doit être ouverte (sur le firewall) pour pouvoir utiliser le DLNA ?

J'ai remarqué que le DLNA ne fonctionnait pas sur ma freebox qd je n'ouvrais pas l'accès HTTP de l'interface DSM (sur mon réseau local)

Ma question du coup : quel lien entre le DNLA et le port d'accès HTTP de DSM ? Est-ce que le DLNA passe par ce port ?

Cas d'utilisation : depuis navigateur de mon PC ou depuis app DS Video android lorsque j'envoie la vidéo sur ma freebox en DLNA.

Merci pour vos éléments de réponse.

[firlin]

Bonjour djo113,

il y a 53 minutes, djo113 a dit :

pourquoi le port HTTP d'interface DSM doit être ouverte (sur le firewall)

Tu parles quel firewall ?

il y a 58 minutes, djo113 a dit :

J'ai remarqué que le DLNA ne fonctionnait pas sur ma freebox qd je n'ouvrais pas l'accès HTTP de l'interface DSM (sur mon réseau local)

Normalement tu as pas besoin d’ouvrir le port 5000 au niveau de ta box.

Ensuite tu as besoin du port 5000 car tu te connecte au DSvideo en http pour visualisé les jaquettes, etc..

Ci-joint la liste des ports au niveau DSM :https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

[Mic13710]

Je confirme qu'il faut le http pour que le serveur multimedia puisse broadcaster sur le réseau privé. Et comme le dit firlin, cette ouverture peut-être réservée uniquement au réseau interne pour lequel la fermeture des ports ne présente que peu d'intérêt. Par contre, ce port peut-être fermé au niveau du routeur pour ne laisser passer que le https.

Pour le paramétrage, je vous invite à vous inspirer de la partie concernant le pare-feu dans l'excellent tuto de Fenrir pour la mise en oeuvre du serveur VPN. Le principe reste le même.

[djo113]

Le 30/11/2016 à 14:15, firlin a dit :

Bonjour djo113,

Tu parles quel firewall ?

Normalement tu as pas besoin d’ouvrir le port 5000 au niveau de ta box.

Ensuite tu as besoin du port 5000 car tu te connecte au DSvideo en http pour visualisé les jaquettes, etc..

Ci-joint la liste des ports au niveau DSM :https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Je parle du firewall de DSM.

Si le port HTTP en 5000 de l'interface DSM n'est pas ouvert sur le réseau de la freebox (192.168.1.x) car non ouvert sur le firewall DSM, alors la lecture en DLNA ne fonctionne pas.

Alors qu'elle fonctionne lorsque le port HTTP 5000 de l'interface DSM est ouvert sur le firewall DSM.... ????

Je me connecte à DS Video sur un port HTTPS dédié à DS Vidéo donc je comprends pas pourquoi le port HTTP 5000 est nécessaire pour faire fonctionner le DLNA ?

Le DLNA fonctionne sur HTTP ? sur le port 5000 ?

Ce n'est pas l'idée que je m'en faisais.

Pour moi ce n'est pas normal.

Il y a 23 heures, Mic13710 a dit :

Je confirme qu'il faut le http pour que le serveur multimedia puisse broadcaster sur le réseau privé. Et comme le dit firlin, cette ouverture peut-être réservée uniquement au réseau interne pour lequel la fermeture des ports ne présente que peu d'intérêt. Par contre, ce port peut-être fermé au niveau du routeur pour ne laisser passer que le https.

Pour le paramétrage, je vous invite à vous inspirer de la partie concernant le pare-feu dans l'excellent tuto de Fenrir pour la mise en oeuvre du serveur VPN. Le principe reste le même.

Le DNLA fonctionne sur le port HTTP 5000 qui est l'interface DSM ???

[firlin]

Bonjour Djo113,

pour bien aller je te conseille de faire un paramétrage en t'inspirant tu tuto ci-joint

     En clair tu laisse tous les ports ouvert pour une plage d'adresse Ip su réseau local et si tu as pas besoin de sortir du ferme tous le reste.

il y a 7 minutes, djo113 a dit :

Le DLNA fonctionne sur HTTP ? sur le port 5000 ?

Je pense pas mais DSvideo fait ces requêtes sur le port 5000 et 5001 donc il faut les laisser ouvert.

[Mic13710]

Autant pour moi. Le DLNA fonctionne sur le port 1900 (UPnP), le 50001 et le 50002 (pour la navigation et la diffusion des contenus). Mais il faut bien les 5000 et/ou 5001 pour Audio Station et Video Station. Le 5001 (https) peut-être utilisé, à la condition que le NAS ait un certificat ssl valide (let's encrypt ou autre).

[djo113]

Bonjour @Mic13710, on est bien d'accord que cela ne fonctionne pas sur le port HTTP de DSM (5000).

Il se trouve que j'ai un certificat valide et un port HTTPS dédié à DS Vidéo (5050) et j'ai le pendant HTTP dédié pour DS Vidéo (6060) que je souhaitais fermer car non utilisé et ouvert sur le wifi..

Bref, je suis bien obligé de le laisser ouvert, puisque le DLNA ne fonctionne pas ... mais alors je comprends pas le rapport...

Cas d'utilisation pour rappel : DS Vidéo sous Androïd, connecté sur HTTPS, certificat valide.

[Mic13710]

Je ne sais pas pourquoi le http est nécessaire pour que le DLNA fonctionne et très franchement je ne me suis jamais posé la question car tous les ports sont accessibles sur mon réseau privé. A moins que vous vous méfiez de votre entourage, ça ne sert pas à grand chose d'activer le parefeu pour des accès internes .

De même, les changements de ports par défaut ne présentent guère d'intérêt niveau sécurité. Pour ma part, je conserve ceux par défaut mais je suis très restrictif au niveau des règles du parefeu pour tous les accès externes. Il ne sert à rien de changer de port si le parefeu est une vraie passoire.

Je vous informe qu'un tuto très complet sur la sécurité est en cours de préparation par Fenrir. Ce tuto vous apportera des réponses sur toutes ces questions. Il devrait être en ligne d'ici quelques jours. Vous pourrez le trouver dans le forum tutorials.

[djo113]

bon du coup toujours pas d'explication sur la nécessité du port HTTP DSM pour le bon fonctionnement de la lecture en DLNA :(

@Mic13710 ma philo en termes de sécu c'est tout fermer par défaut, et ouvrir seulement le nécessaire.

 

[Mic13710]

Je pense qu'il va falloir réviser les bases de la philo . Une fois que vous aurez lu le tuto de Fenrir, vous changerez d'avis sur la question. Inutile de bloquer ce qui n'a pas besoin de l'être.

[gaetan.cambier]

on vient de trouver quelqu'un + parano que moi ... 

[Fenrir]

Il y a 9 heures, djo113 a dit :

ma philo en termes de sécu c'est tout fermer par défaut, et ouvrir seulement le nécessaire.

C'est la seule manière de faire correctement les choses.

Je viens d'acheter une caméra IP pour faire joujou (vraiment pour jouer, je n'en ai pas l'utilité), la première action que j'ai effectué avant de la bancher a été de m'assurer qu'elle n'ait pas accès au net.

[Invité]

On en tient tous une couche... - faudrait cree un theme "psy"-

Il m arrive de me faire des frayeurs tt seul... loool

Sent from my iPhone using Tapatalk

[djo113]

On est bien d'accord @Fenrir  ;)

[Mic13710]

@djo113, le tuto de Fenrir est en ligne

[djo113]

Merci @Mic13710 je l'ai lu et suis tout bon :)

 

[Mic13710]

Pas tout à fait. Si vous avez suivi le tuto au niveau du parefeu, vous verrez que tous les ports sont accessibles à partir des adresses privées (les deux premières lignes).

[djo113]

Oui et même si ce n'est pas le sujet de ce post :)

Voici pourquoi :

j'ai d'autres machines sur ce réseau local + le wifi (même si bloqué sur mac)

Ces machines sont sous windows, utilisées par plusieurs personnes.

Je crois en la sécu sur le NAS mais je n'ai pas toute confiances en ces autres machines qui pourraient être vérolée rootkitée, etc...

Si une machine du réseau peut être infectée alors le réseau peut être sniffée ou attaquée ..

D'où le blocage du http quelque soit l'origine.

Après je laisse chaqun faire ce qu'il veut, ce n'est que ma philo perso.. :)

 

[Fenrir]

il y a 16 minutes, djo113 a dit :

Si une machine du réseau peut être infectée alors le réseau peut être sniffée ou attaquée ..

Si une machine de ton réseau local peut être infecté et en mesure de sniffer le trafic (techniquement c'est très facile à faire), c'est ton réseau qu'il faut sécuriser. Il n'y a pas 36 manières de se prémunir de ce genre de problèmes, il n'y en a qu'une :

• on met ces machines dans un réseau différent, séparé du réseau "propre" par un routeur, un pare-feu voir un mur (aucun lien)

C'est typiquement le principe de fonctionnement des réseaux de type "invité ou des DMZ (au vrai sens du terme, aucun rapport avec le bouton dans les box).

il y a 13 minutes, djo113 a dit :

D'où le blocage du http quelque soit l'origine.

Bloquer le protocole HTTP ne sécurise pas ton nas et ne le protège pas d'un virus ou autre. On recommande l'HTTPS pour chiffrer la connexion dès que des données sensibles (login/password par exemple) circulent sur un réseau, pas pour se prémunir d'un malware.

Que le flux vidéos puisse être intercepté ne présente aucun risque majeur pour ta sécurité normalement, si ce n'est pas le cas, c'est que ton modèle de menace est d'un autre ordre de grandeur (journaliste, lanceur d'alerte, ...), dans ce cas la suite est le minimum pour toi :

• Remplace tes machines par des postes sécurisés comme des purism
• Utilise un système d'exploitation sécurisé comme qubes-os
• N'autorise aucun trafic qui ne soit pas encapsulé dans un tunnel chiffré avec tes propres certificats pour ton ton trafic local
• Utilise OTR et GPG pour tous tes échanges
• Et n'utilise que tor pour aller sur Internet

[djo113]

On est en train de dériver, mais c'est intéressant :)

il y a 25 minutes, Fenrir a dit :

Si une machine de ton réseau local peut être infecté et en mesure de sniffer le trafic (techniquement c'est très facile à faire), c'est ton réseau qu'il faut sécuriser. Il n'y a pas 36 manières de se prémunir de ce genre de problèmes, il n'y en a qu'une :

• on met ces machines dans un réseau différent, séparé du réseau "propre" par un routeur, un pare-feu voir un mur (aucun lien)

C'est typiquement le principe de fonctionnement des réseaux de type "invité ou des DMZ (au vrai sens du terme, aucun rapport avec le bouton dans les box).

Je n'ai pas de routeur pour l'instant, j'utilise la Freebox comme évoqué en début de post et donc ça limite.

il y a 24 minutes, Fenrir a dit :

Bloquer le protocole HTTP ne sécurise pas ton nas et ne le protège pas d'un virus ou autre. On recommande l'HTTPS pour chiffrer la connexion dès que des données sensibles (login/password par exemple) circulent sur un réseau, pas pour se prémunir d'un malware.

Si je bloque l'HTTP, c'est uniquement pour qu'on ne l'utilise pas même sur le réseau local, pour éviter de se faire snifer login / pass sur le réseau depuis une machine infectée.

Il n'y a pas meilleur moyen de ne pas utiliser un protocole que lorsque l'on ne peut pas.

Après, vous en conviendrez, ce n'est une mauvaise chose, au pire c'est inutile.

 

En l’occurrence, je ne le ferme pas, puisque je ne peux pas.. cela bloque le DLNA.... c'est le sujet du post