[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Mic13710]

Si votre certificat est pour l'adresse monnas.synology.me il ne couvre que cette adresse. Si vous vous connectez en https avec une autre adresse (IP ou url), le certificat n'est pas valide.

[Nolin]

 

OK, je ne savais pas. Mais par défaut, il m'a ajouté les adresses pour file station, ds Video, etc...

J'ai fait comme dans le tuto, en ajoutant les adresses en reverse proxy.

 

Et maintenant, ce soir, j'ai un autre message qui apparait (et il ne me semble pas avoir changé quelque chose) :

Échec de la connexion sécurisée

La connexion avec file.monnas.synology.me a été interrompue pendant le chargement de la page.

    La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.

En savoir plus…

Signaler les erreurs similaires pour aider Mozilla à identifier et bloquer les sites malveillants

Je précise que je suis en locale.

 

Vous pouvez me confirmer que lors de la création du certificat, il faut juste rentrer le nom de domaine, mon adresse mail perso, et rien pour "autre nom de l'objet" ?

Il n'y a pas une manip supplémentaire à effectuer?

Si c'est le cas, peut-être que mon problème vient du nom de domaine? Il accepte bien ceux qui se terminent par "synology.me"?

 

Merci

Modifié le 17 février 2018 par Nolin

[Fenrir]

Tu accèdes bien à ton nas avec l'adresse monnas.synology.me ?

Tu as bien supprimé l'ancien certificat autosigné ?

[balthazar]

salut Nolin

mon certificat est en @synology.me et je n'ai aucun problème. Comme te le dis Fenrir, supprime bien le certificat installé par défaut par DSM lors de l'installation.

[Nolin]

Oui j'ai bien supprimé le certificat par défaut, il n'y a que le mien. Et dans les détails du certificat, il y a "émis par" , "autre nom de l'objet", et "pour".

Dans "pour", j'ai bien tout les reverses proxy d'inscrits du type "file.monnas.synology.me"

 

Ensuite, ce que j'ai dit plus haut, je viens de m'apercevoir que ce n'est valable qu'en local. Lorsque je suis à distance, je n'ai pas le même scénario :

En effet, avec l'adresse :

https://file.monnas.synology.me -> il me dit que le certificat est non valide (donc encore autre chose que ce que j'ai dit au dessus et à vrai dire, c'est plutôt ce problème que j'essaie de résoudre depuis le début.

https://video.monnas.synology.me -> pareil certificat non valide.

https://monnas.synology.me/photo -> OK ça fonctionne! Certificat vérifié! J'aimerai que ça soit tout le temps comme ça!

 

J'ai testé en remplaçant le nom de domaine car j'avais un trait d'union (mon-nas.synology.me) ... on sait jamais...

J'ai donc créé un nouveau certificat avec ce nouveau nom de domaine en cliquant bien, sur "remplacer l'ancien par défaut". Au passage, pour tester, j'ai ajouté dans "autre nom de l'objet" : file.monnas.synology.me

 

Ça fait exactement pareil!

Et en plus, avec file.monnas.synology.me, ça ne marche plus du tout car il force le port en ajoutant :5001 à la fin de l'adresse...

 

J'en conclu:

- qu'il ne faut rien mettre dans : "autre nom de l'objet"

- que le certificat valide, ne fonctionnera pas en local (à moins d'ajouter l'ip local dans "autre nom de l'objet"?? A tester ou me confirmer)

- que c'est le reverse proxy qui m'empêche de rendre le certificat valide. -> supposition!

 

Merci

 

 

 

[Mic13710]

Je ne vais pas répéter ce que je vous ai déjà dit. Allez lire ce que j'ai écrit à propos des certificats dans le tuto du serveur DNS. Vous comprendrez mieux ce que signifie les

il y a 8 minutes, Nolin a dit :

"émis par" , "autre nom de l'objet", et "pour".

 

[Nolin]

Voilà qui va résoudre mon problème!! Un grand merci!!

 

Je n'avais pas vu votre tuto! Je viens de le lire et faire quelques tests, et ça fonctionne!

C'était ce tuto qu'il me manquait pour tout comprendre, et je dois dire que toutes mes interrogations viennent d'être résolues grâce à ce tuto!

Encore merci et bravo pour ces explications!

 

Me reste plus qu'à entrer les noms de domaine dans "autre nom de l'objet"  !

 

[Mic13710]

il y a 22 minutes, Nolin a dit :

Me reste plus qu'à entrer les noms de domaine dans "autre nom de l'objet"  !

C'est justement là que ça coince avec les ddns. Vous n'êtes pas propriétaire du domaine, ce qui signifie que vous ne pouvez pas accéder à la zone pour y inscrire des domaines associés. Si vous mettez dans autre nom de l'objet une url comme par exemple toto.monnas.synology.me, vous ne pourrez pas obtenir de certificat puisque le domaine toto n'existe pas dans les enregistrements de zone.

D'où l'intérêt d'avoir son propre ndd.

[Nolin]

Alors là, je vais vous apprendre quelque chose  : Ca fonctionne avec les adresses du type : https://file.monnas.synology.me  !!!

 

Je m'aperçois que le port 80 doit être ouvert seulement lorsque l'on rentre quelque chose dans "autre nom de l'objet".

Car pour le certificat "principal", je n'ai rien rentré dans "autre nom de l'objet", et ça a fonctionné sans ouvrir le port 80.

Puis pour le certificat "application", j'ai rentré les noms de domaine dans "autre nom de l'objet", et j'ai eu le droit à l'erreur du port 80 qu'il fallait ouvrir. Ce que j'ai fait côté Box et côté pare feu du NAS. J'ai recommencé et le certificat à bien voulu être créé!! 

 

J'ai ensuite été dans "configuration" pour sélectionner le certificat "application" pour chaque nom de domaine.

 

Maintenant, lorsque j'accède depuis l'extérieur à chaque nom de domaine, ils ont bien tous un certificat valide!

 

Au passage, à force de faire des demandes de certificat, j'ai finis par atteindre la limite pour mon nom de domaine, j'ai donc été obligé de changer de nom de domaine.

Je pense qu'on est limité à environ 6 demandes par certificat... A confirmer.

 

Encore merci pour votre aide!

[Mic13710]

Je suis très surpris, mais tant mieux pour vous si ça marche. Au fond, je ne sais pas bien comment fonctionne le ddns synology. Ce qui est sûr c'est que ça ne marche pas avec un vrai ndd. De même, sur un vrai ndd, il faut toujours le port 80, avec SAN ou sans.

Si j'ai bonne mémoire la limitation est de 3 ou 4 demandes tous les 7 jours et de 100 SAN par demande.

[Nolin]

il y a 18 minutes, Mic13710 a dit :

Si j'ai bonne mémoire la limitation est de 3 ou 4 demandes tous les 7 jours et de 100 SAN par demande.

OK! Donc si j'avais attendu quelques jours, j'aurai surement pu recommencer.

C'est pas grave, le principal c'est que ça fonctionne et que j'ai compris le principe!

Merci

[Face B]

Pour faire suite au tuto de sécu de @Fenrir

J'ai configuré les utilisateurs comme il le conseille (MonAdmin, sauvegarde et JeanCharles).

Voici la config pour chacun.

-> Je n'ai aucun accès à part en local via le finder. Pas de FTP, quickconnect...

-> Tous les dossiers concernent mon travail en cours sauf les dossiers HYPERBACKUP et GDRIVE qui sont des sauvegardes d'un autre NAS.

 

Pour jean-Charles (moi),

J'ai désactivé l'accès aux fichiers sauvegardés : hyperbackup et GoogleDrive de cloud sync pour ne conserver que la visibilité sur mes dossiers de travail

 

Pour l'utilisateur MonAdmin

 

 

Pour l'utilisateur "sauvegarde".

J'ai conservé que les accès aux fichiers sauvegardés et aux autres + les applications de sauvegarde.

 

Merci du conseil, 

[emgoku]

Bonjour,

Je viens d'installer un routeur synology AC2600 et j'ai suivi le tuto de Fenrir (excellent !)

J'ai une box en 192.168.0.1 connecté à internet et le routeur en 192.168.1.1

La box n'est pas en mode bridge

Pour moi, la box fait partie du réseau donc comme il n'y a pas de parefeu dans la box, elle reçoit "tout" du net et partage tout avec le routeur

J'ai donc un doute sur mes paramètres.

Que pensez-vous des paramètres sur l'image jointe?

Merci d'avance

Modifié le 9 mars 2018 par emgoku

[emgoku]

Merci d'avoir pris le temps de répondre.

Pour la partie VPN, c'est ligne se sont ajoutés quand j'ai configuré le VPN

"D'ailleurs je me demande pourquoi mettre toutes les plages d'IP privées en best practice" : ??? rien compris 

En bas d'écran j'ai coché toutes les cases "refuser" pour "si le trafic ... ne correspond à aucune règle" (donc pour WAN to SRM, WAN to Lan, IPv4, IPv6)

 

Ce qui m’inquiète surtout c'est mon routeur FAI. Il n'y a pas de mode bridge, pas de pare-feu, etc.

Pour l'instant :

Internet <-> routeur FAI (192.168.0.1) <> routeur Synology (192.168.1.1)

Je n'ai qu'un seul câble RJ45 branché sur le routeur FAi qui a attribué l'ip 192.168.0.65 au routeur Synology

Pour moi, "tout" internet passe via le routeur FAI en 192.168.0.x donc si une personne mal intentionné avec une IP  externe tente quelque chose, le routeur Synology se base sur l'adresse externe ou sur l'adresse du routeur FAI (et dans ce cas laisse tout passer même si je mets des règles ?)

J'espère avoir bien décrit mes "craintes"... pas évident quand on ne maîtrise pas....

 cdt

 

[Jojo (BE)]

"Donc je me demande pourquoi il faudrait tous les mettres. Il y'a sûrement un intérêt logique."
L'intérêt que j'y vois, c'est de pouvoir donner un exemple de règles de base qui fonctionne pour tout le monde (et donc pour moi, qui n'y connaissait rien, et qui ait appris beaucoup)
Maintenant, le plus gros danger vient de l'extérieur, alors faut-il vraiment limiter à ce point ? Car si je déménage mon Synology temporairement ailleurs, je devrai ne pas oublier d'adapter les règles firewall pour continuer d'y avoir accès sur le réseau local.
Et trop de sécurité ne tue-t-elle pas la sécurité ?

Envoyé de mon Nexus 5 en utilisant Tapatalk

[Fenrir]

Il y a 7 heures, Jojo (BE) a dit :

L'intérêt que j'y vois, c'est de pouvoir donner un exemple de règles de base qui fonctionne pour tout le monde (et donc pour moi, qui n'y connaissait rien, et qui ait appris beaucoup)

Le 12/1/2016 à 19:33, Fenrir a dit :

Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité.

 

Le 3/13/2018 à 12:31, emgoku a dit :

Pour moi, "tout" internet passe via le routeur FAI en 192.168.0.x donc si une personne mal intentionné avec une IP  externe tente quelque chose, le routeur Synology se base sur l'adresse externe ou sur l'adresse du routeur FAI (et dans ce cas laisse tout passer même si je mets des règles ?)

Sauf configuration exotique (pour un particulier), un flux venant d'Internet conservera son adresse d'origine (son adresse internet)

[emgoku]

J'ai donc modifié les paramètres 

Pour le VPN (synology VPN SSL) , dans la "box" j'ai ajouté une redirection de port en 443  IP du routeur syno  

Ca fonctionne. Par contre quand je spécifie dans le parefeu du syno le port 443, ça ne fonctionne plus. Il faut que je laisse sur "tout"

Pour le reste, tout vous semble ok? Je suis en "sécurité" ?;-)

 

[Jojo (BE)]

Il y a 3 heures, warkx a dit :

Si tu demenage ton Synology, tu devras de toute manière te connecter avec ton ancienne IP (normalement on met une IP fixe sur un élément de ce type)

en fait TOUS mes appareils sont en DHCP avec réservation d'IP via la MAC adresse. Ce n'est pas bien ? L'IP fixe est plus sécure ?

[Mic13710]

A mon avis (comme celui de Fenrir et de beaucoup d'autres), il est préférable de faire des réservations dans le routeur et de laisser les équipements en DHCP. Fixer l'IP au niveau de l'équipement n'est pas une bonne pratique car rien ne garanti que l'adresse ne sera pas attribuée à un nouvel équipement qui se connecterait au réseau alors que celui qui est sensé avoir cette adresse est éteint ou déconnecté du réseau. De plus, en cas de changement de plage d'ip, le changement d'IP sera automatique alors que si l'IP est fixe il sera alors nécessaire de procéder à un reset du nas en l’occurrence.

[Jojo (BE)]

Merci pour ce cours réseau.
Mais comme j'aime bien comprendre le "pourquoi du comment", je ne vois pas dans ton explication pourquoi la réservation d'IP n'est pas une bonne pratique.
Dès que j'aurai compris / que tu m'aura s vendu l'histoire, je change tout en vrai IP fixe, en dehors du DHCP.

 

Modifié le 15 mars 2018 par Jojo (BE)

[unPixel]

@warkx

 

J'avoue ne pas tout comprendre non plus. Perso, je fonctionne avec une réservation DHCP via mon routeur et au moins, je suis tranquille. Pas besoin d'aller sur chaque poste configurer une IP sans compter qu'en entreprise, j'ai pas l'impression que ce soit plus simple de faire avec ta méthode. Après, je peux me tromper, je bosse pas dans le réseau...

[emgoku]

Et moi je vais poser des questions sûrement très bête  ...

Si je n'ai autorisé que les IP France :

- pourquoi je peux encore accéder à des sites étrangers

- si j'ai autorisé toutes mes IP France, cela veut dire qu'il est possible d'être "piraté, attaqué, etc." depuis la france? 

cdt

[Jojo (BE)]

car tu as autorisé des IP entrantes, et uniquement sur ton NAS.

Si tu autorises toutes les IP depuis la France, oui tu pourras te faire piraté par  un pc depuis la France. Mais si tu n'as pas mis de règles FW, c'est depuis le monde entier (Russie, Chine, ...) Donc tu limites les risques? Le risque ZERO n'existe pas : si on veut rentrer dans ton système informatique on y arrivera toujours, tant que tu as une connection internet ou Wifi. Mais l'objectif ici est de décourager les gens.

C'est comme l'alarme de ta maison. Elle n'arrêtera pas les voleurs, mais ils iront chez ton voisin qui n'en a pas (c'est du vécu)

[Fenrir]

Le 3/14/2018 à 17:00, emgoku a dit :

Ca fonctionne. Par contre quand je spécifie dans le parefeu du syno le port 443, ça ne fonctionne plus. Il faut que je laisse sur "tout"

il utilise peut être d'autres ports, mais je ne peux pas tester (je n'ai pas le boîtier compatible)

Le 3/14/2018 à 19:41, warkx a dit :

(normalement on met une IP fixe sur un élément de ce type)

normalement on met une IP fixée par le DHCP, pas en dur dans le boîtier donc en cas de changement de box, il faudra simplement refaire la réservation DHCP sur le nouveau plan d'adressage, mais de toute manière ça n'a pas de sens pour un particulier d'utiliser l'ip d'un boîtier dans les règles de ce boîtier.

Le 3/14/2018 à 19:41, warkx a dit :

 Ok c'est plus du confort.

ça évite aussi de se retrouver bloqué en cas de changement d'opérateur ou d'adresssge. En pratique c'est vrai que les box en France utilisent généralement des /24 dans le 192.168.0.0/16 (192.168.0.0/24, 192.168.1.0/24, ...), mais ce n'est pas systématique.

Si tu sais ce que ça implique de faire des règles plus strictes, ça ne pose aucun problème.

Le 3/14/2018 à 23:13, Jojo (BE) a dit :

en fait TOUS mes appareils sont en DHCP avec réservation d'IP via la MAC adresse. Ce n'est pas bien ? L'IP fixe est plus sécure ?

non, au contraire (sauf à avoir un DHCP pirate dans ton réseau)

Il y a 13 heures, warkx a dit :

En entreprise on utilise pas les réservations mais uniquement des IP fixes, heureusement qu'on reset pas un serveur juste par ce qu'on a oublié de changer son IP ^^ on branche juste un pc aussi en IP fixe avec une IP dans les 2 réseau pour faire les changements.

Chacun voit midi à sa porte, mais si azure, google &co utilisaient des ip en dur sur leurs serveurs/conteneurs/vm/..., ça sera un jolie bordel ;)

Mais ici on est dans un cadre particulier, pour des utilisateurs qui n'ont pas nécessairement des outils de suivi des allocations et qui n'ont pas les mêmes contraintes, donc le plus simple est souvent le plus fiable => DHCP avec réservation

----

Il y a 13 heures, Jojo (BE) a dit :

le "pourquoi du comment"

IP en dur sur l'équipement :

• on ne dépend pas de la fiabilité du serveur DHCP (mais avec des allocations suffisamment longue, le risque est très faible)
• on est à l'abri d'un serveur DHCP frauduleux (mais si quelqu'un peut installer un DHCP frauduleux dans un réseau, on a un problème bien plus important)

IP réservées par le DHCP :

• on n'a pas à se soucier de ce qui est ou non déjà utilisé sur le réseau (en dur ou en dhcp) car le protocole vérifie qu'une ip est libre avant de l'attribuer
• en cas de changement de plan d'adressage, on fait les modifications de manière centralisée sans avoir à reconfigurer manuellement chacun des équipements

La seule exception concerne les services d'infrastructure  : routeurs/switchs/firewall/DNS et les serveurs DHCP (plus quelques autres trucs) => ils est fortement recommandé de les configurer en IP fixe (c'est même indispensable pour certains)

[unPixel]

Ok là, je comprends. Donc de ton point de vue, nos NAS devraient avoir une IP fixe réglée dans le NAS directement. C'est bien ça que tu expliques et que je comprend ?