[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Fenrir]

La plupart des besoins peuvent être traités avec le reverse proxy de l’interface mais parfois il faut pouvoir aller plus loin.

[Mic13710]

Le reverse proxy intégré depuis DSM6.0 dans le portail des applications est en effet suffisant pour les besoins courants. Perso je n'utilise que celui-là.

[taistoidon]

Bonjour,

merci pour vos retours messieurs.

Je vais essayer de mettre en place la conf classique via l'interface. Si je vois qu'il me manque certaines spécificités, j'aviserais :-)

@+

[ouinouin]

Salut,

bravo pour ton Tuto, il n'est pas chiant à lire et est plutôt simple à lire et explicite.

Merci. :)

[Jérôme_D]

Concernant PhotoStation, il gère ses propres comptes, ses propres autorisations et ses propres droits sans entrer dans le DSM... mais tout ça en ayant accès au contenu du NAS (en tout cas du dossier /photo et de quelques fichiers de configuration j'imagine).

Est-ce que la sécurisation complète de l'accès au DSM décrite dans ce tuto ne laisse pas une porte ouverte sur toute la partie PhotoStation, via l'application elle-même et son port 80 ouvert ?

[Mic13710]

A mon sens, ni plus ni moins que les autres applications du NAS. L'accès est certes moins sécurisé mais une fois que vous y êtes, encore faut-il trouver la faille qui vous permettra d'aller fouiller plus loin que les dossiers de l'application.

[Jérôme_D]

sécurité des accès physique :

• reste à gérer la problématique des vols,

Sur ce point de détail : en cas de vol du boitier physique, on est bien d'accord qu'un simple appui de 4sec remet en place le compte admin, et donne un accès libre à tout le contenu du NAS ?

C'est pratique pour se sauver la mise après une fausse manip dans le pare-feu, mais théoriquement il faudrait enfermer son NAS dans un coffre-fort pour mettre à l'abris des données sensibles ?

 

[Fenrir]

Tu peux aussi chiffrer les données sensibles.

[Jérôme_D]

Je précisais ce point de détail car en lisant votre introduction je pensais aux ravages de l'effet iPhone (pas de mode d'emploi et faux sentiment de sécurité). Sur ce type d'appareil, en cas de perte ou de vol, il n'y a pas de bouton reset et un voleur qui ne sort pas du M.I.T. ou de l'EPITA aura difficilement accès au contenu. Il fera éventuellement un reset mais les selfy tout-nu-dans-la-salle-de-bain ne finiront pas sur le net...

Pour un NAS Syno je dis "attention", un voleur mal attentionné aura un accès complet à vos données simplement en appuyant 4sec sur "Reset".

Donc il faut penser au chiffrage, c'est vrai.

 

Modifié le 27 avril 2017 par Jérôme_D

[Einsteinium]

Après il y a toujours possibilité de mettre un verrouillage physique sur le nas, à moins d'endommager le nas pour l'avoir, il restera fixé (j'aimerais bien voir un test sur la résistance d'ailleurs), cela lui fera perdre de la valeur et fera tiqué un futur acheteur si cette zone de verrouillage est morte...

Moi je chiffre tous les dossiers sur mon nouveau synology, cela n'a aucun impact sur ses performances.

[ouinouin]

il y a 31 minutes, Einsteinium a dit :

Moi je chiffre tous les dossiers sur mon nouveau synology, cela n'a aucun impact sur ses performances.

Et comment fais-tu ? Je suis curieux :)

[Jérôme_D]

il y a 33 minutes, Einsteinium a dit :

Moi je chiffre tous les dossiers sur mon nouveau synology, cela n'a aucun impact sur ses performances.

Vraiment ? Le CPU et la mémoire ne saturent pas un instant ? Aucun ralentissement ? (à détailler dans un autre sujet pour éviter le HS je pense).

[Einsteinium]

Équipé de la puissante CPU quadruple cœur Intel Pentium et du moteur de chiffrement matériel AES-NI, le DS916+ offre une excellente vitesse de plus de 225 Mo/s en lecture et plus de 209 Mo/s1 en écriture, livrant ainsi une performance étonnante et une expérience utilisateur plus productive.

Et non le proco et la ram ne bronche pas ;-)

edit : je le fessais déjà avec mon 413J au passage ;-) (certes cela fait bizarre niveau débit xD)

[Jérôme_D]

Bonjour

Le Pare-feu m'empêche de saisir une plage d'IP, la borne sup est rouge... "Valeur incorrecte".

Il refuse les 255, je plafonne à 223...

Une idée ?

Autre question : mon réseau local est en 192.168.1.x, donc j'imagine que je transforme tous les .0. par des .1. dans les préconisations du tuto ?

Désolé si la question est trop simple...

 

Edit : question déjà posée désolé... réponse : "il ne s'agit pas de plages d'adresses mais de sous réseaux. "

En DSM 5 la fenêtre est différente de celle du tuto, désolé.

 

Modifié le 30 avril 2017 par Jérôme_D

[Fenrir]

Pour la plage d'ip, c'est que tu te trompes de champs, il faut choisir Subnet (sous réseau) et pas IP Range (plage d'ip)

Pour les adresses, dans mon tuto j'ai indiqué 192.168.0.0/16 (/16 <=> 255.255.0.0), ça englobe donc les adresses de 192.168.0.0 à 192.168.255.255

Les adresses en 10/8, 172.16/12 et 192.168/16 sont des adresses privées, donc elles ne peuvent pas venir d'Internet

=>suis mes recommandations, elles fonctionneront dans 99% des cas, même si tu change de FAI

[Jérôme_D]

Il y a 17 heures, Fenrir a dit :

 

=>suis mes recommandations, elles fonctionneront dans 99% des cas, même si tu change de FAI

C'est bien ce que je fais, le plus consciencieusement possible. Mais parfois effectuer une tâche sans la comprendre dans les grandes lignes conduit à des questions dans ce style... Pas évident tout ca sans réelle formation.

Pour les proxy et reverse proxy tu envisages un tuto ? Ce serait super ! 

[Fenrir]

Oui, il est important de comprendre, c'est pour ça que je t'ai rappelé qu'ils s'agissait d'adresses privées, donc sans risque dans la plupart des cas, par contre, pour détailler plus il faudrait que je fasse un cours réseau, ce qui n'est pas le but. Tu peux aller lire ça par exemple :

• https://fr.wikibooks.org/wiki/Réseaux_TCP/IP/Adressage_IP_v4
• https://www.it-connect.fr/les-adresses-ip-privees-et-publiques/

Pour le reverse proxy, j'en parle déjà dans le tuto (vers la fin), si tu as des besoins plus complexes, j'avais mis le lien vers un tuto plus avancé, je te le remets ici  :

 

[danielpm83]

Bonjour,

Tout d'abord, un tout grand merci pour ce tuto.

J'aimerais, si possible, avoir plus de precisions concernant le fonctionnement du "reverse proxy" à travers le "Portail des applications".

Voici ce que j'ai fait :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM
2. j'ai ensuite configure comme dans le tuto les applications avec un port par défaut : exemple : calendrier HTTP 7180/HTTPS 7143
3. dans reverse proxy :j'ai mis en source : https://cal.xxxxx.xx destination: http://localhost:7180

Quand je vais sur l'adresse http://172.16.xxx.xxx:7180 ou https://172.16.xxx.xxx:7143 j'arrive bien sur l'application calendrier. Par contre quand je tape : https://cal.xxxx.xx il me dirige vers le DSM

Le nom de domaine est enregistré chez gandi qui pointe vers mon ip publique.

Quels mauvaises manipulations suis-je en train de faire ?

Merci

[Fenrir]

Ton erreur est sur le premier point, tu indiques :

1. transfert des ports 80 et 443 vers le port 5000 (ou 5001) => ?? ce n'est pas logique, mais voyons la suite
2. appli configurée pour écouter sur les ports 7180 et 7143 => ok
3. reverse proxy qui indique : ce qui arrive sur le port 443 (https) doit obtenir le contenu de ce qui écoute sur le port 7180 => ok

Je ne sais pas si tu vois ton erreur, donc dans le doute, c'est le point 1 :

• si tu veux qu'en allant sur le port 443, le reverse proxy soit contacté, il faut que tu configures ta box pour le faire

=>

Le 03/05/2017 à 22:23, danielpm83 a dit :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM 80

Le 03/05/2017 à 22:23, danielpm83 a dit :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM 443

(tu peux faire les 2 règles, ou seulement la 2nde, mais ne redirige pas 2 ports vers un seul port)

Modifié le 5 mai 2017 par Fenrir

[danielpm83]

Effectivement, je comprends maitenant mon erreur. Un tout grand merci pour cette reaction rapide!

Modifié le 3 mai 2017 par Lucien77
Inutile de citer le post précédent

[bugs denis]

Le 16/03/2017 à 20:47, Fenrir a dit :

...

Pour CloudStation, je pense que oui, mais ce n'est pas simple car le client tente par défaut le port 6690.

Le seul moyen de savoir c'est de tester.

Bonjour, j'ai fait le test et cela ne fonctionne pas, même en indiquant un numéro de port. J'ai fait un test avec un site présent de reverse proxy pointant sur un autre port et cela ne fonctionne pas, normal, mais le message d'erreur est très intéressant il me dit que le site est déjà utilise dans mon client est que je doit utilisé celui qui existe déjà ... J'ai regardé dans la config du client windows (C:\Users\xxxxx\AppData\Local\CloudStation\data\db\sys.sqlite) et j'ai découvert que le site est bien indiqué mais que l'IP numérique est indiqué. Je parie que le client l'utilise l'adresse IP numérique pour faire la connexion.

Modifié le 4 mai 2017 par bugs denis

[danielpm83]

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS (voir explication fenrir plus bas).

Le 01/12/2016 à 19:33, Fenrir a dit :

 

 

Voici un exemple plus complet :

En plus des réseaux locaux (ou privés), j'autorise les services suivants :

• ports TCP 80 et 443 depuis l'adresse 192.0.2.3

 

 

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Modifié le 10 mai 2017 par danielpm83
mise en page

[aldiallo-Syno]

Bonjour,

Fenrir,

 

Merci pour ce tuto, très clair et qui va plus loin que ce que j'avais déjà vu comme Ici

J'ai quelques questions car tout n'est pas très clair pour moi, si je peux me permettre à quoi correspond l'adresse 192.0.2.3 dans la liste des règles du firewall du NAS?

S'agit-il d'une machine spécifique dans ton réseau pour l'administration du NAS ou celle du NAS lui même?

Concernant les Certificats avec Let's Encrypt, j'ai beau essayer le NAS me donne une erreur justement sur le port 80, qui d'après ce que je peux voir est ouvert sur le routeur (Asus RT-AC66U sous DDWRT) et au niveau de la Freeboite. Une idée d’où peut venir le problème?

Pour la partie VPN, utilises tu un 1 seul VPN pour accéder au NAS de type VyperVPN ou autre ou est-ce que tu utilise le VPN "de base" de ta machine pour y accéder depuis l’extérieur; je pense que c’est la seconde mais je préfère demander pour m'en assurer, j'ai vu que tu as fait un topic au sujet du VPN mais pas encore eu le temps de le lire.

Merci d'avance.

Cdlt,

Al

Il y a 3 heures, danielpm83 a dit :

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS.

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Il semblerait que je n'étais pas le seul à me poser la question!

Modifié le 10 mai 2017 par aldiallo-Syno

[aldiallo-Syno]

Il y a 4 heures, danielpm83 a dit :

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS.

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Je viens de commencer à lire le Tuto sur le DNS Server et dans les notes l'adresse 192.0.2.3 est désignée comme étant l'IP publique, je me demande si c'est bien le cas ici aussi.

[PiwiLAbruti]

192.0.2.3 est bien une adresse IP publique, elle n'appartient pas à la plage privée 192.168/16 (192.168.0.0-192.168.255.255).