[TUTO] Sécuriser les accès à son nas - DSM 6.x

[unPixel]

Pour le port 80, tu as deux choix :

Soit tu autorises le port 80 uniquement pour les États Unis et tu le fais quelques jours avant le renouvellement du certificat jusqu'à ce qu'il soit renouvelé.

Soit tu crées une règle pout autoriser uniquement le port 80 sur les deux IP des serveurs de Let's Encrypt. Cette dernière est plus sécurisée mais plus chiante car les IP ne sont pas fixées dans le temps et peuvent changer.

Dans les deux cas, si tu ne le fais pas, Let's Encrypt ne pourra pas communiquer avec ton NAS et donc ne renouvellera pas le certificat tous les trois mois.


Envoyé de mon iPhone en utilisant Tapatalk

[kroman_fr]

C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat

si je n'oublie rien, Il faut donc que :

- je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http"

- j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied")

- j'ajoute ces ip dans mon pare-feu

Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ?

[unPixel]

il y a 24 minutes, kroman_fr a dit :

C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat

si je n'oublie rien, Il faut donc que :

- je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http"

- j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied")

- j'ajoute ces ip dans mon pare-feu

Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ?

Voici les deux adresses IP à autoriser dans le pare-feu du nas et ton routeur uniquement sur le port 80 :

64.78.149.164

66.133.109.36

Modifié le 21 décembre 2017 par InfoYANN

[kroman_fr]

Merci !

[SvenSND]

Bonsoir, j'ai essayé d'appliquer le tutorial le mieux possible, mais je rencontre quelques soucis ^^'

Pour le "faux admin", je n'arrive pas à lui enlever les permissions sur le dossier photo. Tout est grisé pour ce dossier et je suis forcé de lui laisser les permissions en lecture/écriture. Comment puis je y remédier ?

Dans le menu du pare feu, je n'arrive pas à créer des plages de ports comme tu l'as fait. 255.0.0.0 m'est entre autre retourné comme une valeur erronée.

Pour la création de certificat avec LetsEncrypt, ils me demandent de renseigner un nom de domaine, mais de quel domaine parlent t'ils ? Est ce qu'il s'agit de monuser.synology.me ?

 

Je vous souhaite en avance un très joyeux Noël à toutes et tous !!!

[unPixel]

Pour le dossier photo, les droits se gèrent dans l'application Photo Station.

Pour le pare Feu c'est la passerelle 255.0......

Pour Let's Encrypt oui ça c'est un nom de domaine.


Envoyé de mon iPhone en utilisant Tapatalk

[SvenSND]

Merci InfoYann

D'accord, je ne savais pas que les droits se géraient par PhotoStation, je viens de regarder. Bizarrement je ne peux pas modifier mes utilisateurs sous PhotoStation, l'option modifier reste grisée

Je ne comprends pas ce que tu veux dire par "c'est la passerelle 255.0" ?

Donc je dois renseigner ce nom de domaine ? Le point bizarre est que lorsque j'essaie d'accéder à mon NAS via cette adresse, ça ne fonctionne pas, pourtant le service DDNS semble bien configuré et l'adresse semble bien validée dans mon compte Synology

[unPixel]

Pour le nom de domaine, je ne sais pas car j'utilise un vrai nom de domaine provenant de chez OVH. Je ne sais pas bien comment fonctionne le service de Synology.

Pour Photo Station, essaie d'aller d'abord dans les paramètres puis Photos puis Permission d'accès. Ensuite, tu vas dans Comptes utilisateur et tu gères les droits sur les comptes activés.

Pour les IP locales à entrer, voici un exemple :

 

[SvenSND]

Merci InfoYann

Pour le nom de domaine, je vais continuer de chercher une solution. Aucun des domaines ne marche donc je doit surement mal m'y prendre ^^'

Dans paramètres > Photos > Permission d'accès, j'ai juste la possibilité de cocher/décocher "public", "privé" ou "mot de passe". Rien d'autre ne m'est proposé. Dans Comptes utilisateur et tu gères les droits sur les comptes activés

Merci pour les IP effectivement c'est beaucoup plus clair et je m'y prenais vraiment mal

[unPixel]

Bah oui, mais tu as coché quelque chose dans Permission d'accès ?

Par contre, il faudrait éventuellement que tu postes un topic lié à Photo Station car là, c'est un tuto sécurité. Pas vraiment la même chose.

[SvenSND]

En fait il m'est impossible de décocher quelque chose dans PhotoStation, si je décoche et que je sauvegarde, tout se recoche automatiquement. Oui pas de souci je ne voudrais pas polluer le sujet :) . Merci encore pour tes réponses ;) 

[unPixel]

Au pire, essaie de réinstaller Photo Station.

[SvenSND]

il y a 20 minutes, InfoYANN a dit :

Au pire, essaie de réinstaller Photo Station.

Merci InfoYann.

J'ai déjà essayé sans succès. Je vais tenter de bidouiller un peu :p

[Fenrir]

Pour photostation, il faut t'y connecter avec un compte admin (je parle bien de photostation, pas de dsm). Une fois connecté tu devrais voir un menu paramètres avec plein de choses dedans.

Je n'utilise plus cette application, donc je ne peux pas faire de tuto dessus, mais s'il y a un volontaire, ça serait grandement apprécié.

[unPixel]

J'essaie de faire ça demain.

[SvenSND]

Bonsoir à vous Fenrir et InfoYann. Merci pour vos réponses !!

J'ai essayé de regarder mais je n'ai trouvé aucune option pouvant s'apparenter à ce que je cherche... Après c'est plus pour de la compréhension du "pourquoi ça ne marche pas", mais je ne compte pas forcément utiliser PhotoStation

[unPixel]

Le tuto est en ligne depuis hier. Vas y faire un tour au cas ou tu aurais raté quelque chose de ton côté ;)

 

 

Modifié le 27 décembre 2017 par InfoYANN

[Jojo (BE)]

je suis seulement à la moitié du premier post, et je me dit qu'il y a plein de choses à revoir au niveau de la sécurité de mes NAS. Je suis rassuré de déjà ne pas utiliser QuickConnect.

Merci en tout cas pour toutes ces précieuses recommandation.

[Diabolomagic]

Bonjour à tous, j'ai revu les règles de sécurité (coté parefeu uniquement) sur mon NAS ainsi que sur mon routeur.

Est ce que ça vous parait suffisamment restrictif (ou trop) ? J'ai viré l’accès aux adresses privée de classe A et B, cela devrait être sans conséquence, enfin je pense... :-/

Sur le  routeur :

Sur le NAS :

Par avance, merci !

Modifié le 4 janvier 2018 par Diabolomagic

[PiwiLAbruti]

Sur le routeur, tu n'as pas besoin de le bloquer explicitement le port udp/1701 puisque la règle par défaut s'en chargera.

Pourquoi utiliser le serveur VPN du NAS alors que le routeur peut s'en charger ? (c'est d'ailleurs plus son rôle)

[Fenrir]

Sur le routeur :

1. ok
2. TCP uniquement, pas besoin d'UDP
3. ok, mais tu en as besoin depuis tous les pays ?
4. ok, mais tu en as besoin depuis tous les pays ?
5. inutile comme indiqué par @PiwiLAbruti, mais pas gênant (au moins c'est explicite)

Sur le nas :

1. ok
2. inutile, déjà couvert par la règle 1
3. aucune idée car tu utilises les applications, mieux vaut utiliser explicitement le n° de port (443 si tu es cohérent)
4. ok, mais tu en as besoin depuis tous les pays ?
5. ok

[Diabolomagic]

Merci beaucoup pour votre expertise !  C'est vrai que maintenant que vous le dites certaines de mes règles me paraissent un peu (beaucoup) bêbêtes...
Je vais me mettre au boulot dés ce soir, j'avoue que passer le serveur VPN sur le routeur m'est passer par la tête mais j'avais finis par conclure, "pourquoi toucher qqch qui marche ?"
Suite à la remarque de Piwi je vais très certainement faire le nécessaire et passer le serveur VPN sur le routeur, par contre pour le coup, n'est il pas également préférable de migrer le serveur DNS également sur le routeur ?

Modifié le 4 janvier 2018 par Diabolomagic

[PiwiLAbruti]

Il y a 2 heures, Diabolomagic a dit :

[...], n'est il pas également préférable de migrer le serveur DNS également sur le routeur ?

Le DNS primaire pourrait fonctionner sur le routeur et le secondaire sur le NAS, ça augmenterait la disponibilité du service DNS sur ton réseau.

[Diabolomagic]

Pas bête, merci pour l'astuce !

C'est fait, par contre je me suis permis une petite question si cela ne vous dérange pas :

http://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?page=12&tab=comments#comment-1319341839

 

Modifié le 5 janvier 2018 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[ers31]

un grand merci pour ce sujet qui va m'être bien utile !