[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Jojo (BE)]

il y a une heure, warkx a dit :

Ça n'a pas vraiment de sens pour des élément qui ne bouge pas d'aller interroger régulièrement un serveur tiers pour lui demande son IP qui ne changera jamais (ou presque).

ok, j'ai compris maintenant ta position. N'ayant qu'envron 50 réservations d'IP, ce n'est pas un drame que mon DHCP travaille un peu. Je comprend que si on a 500 réservations, il faille commencer à penser à performences.

[unPixel]

Ok. Merci de tes explications.

[Mic13710]

Chacun voit effectivement midi à sa porte, et moi je n'en démord pas : IP fixes pour les éléments qui le nécessitent (chez moi, le routeur), le reste en réservation d'IP dans le routeur.

Ces réservations se font hors de la plage DHCP pour tous mes équipements et les équipements nomades de ma famille qui peuvent accéder à mes ressources (NAS, PC, etc...), avec un plan d'adressage que je tiens bien entendu à jour.

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

Ainsi, tout est centralisé sur le routeur. Si je change la plage DHCP, je n'ai rien à faire sur les équipements. Je ne me pose pas non plus de question pour les équipements nomades qui ont chacun leur IP réservée lorsqu'ils sont chez moi et qui peuvent prendre n'importe quelle IP à l'extérieur. J'aurais tout de même à changer quelques adresses comme par exemple celles du reverse proxy qui pointent vers des équipements externes, mais ça ne représente pas grand chose.

Toujours pour mon cas personnel (mais je soupçonne qu'il est celui de l'immense majorité des utilisateurs), je ne trouve strictement aucun intérêt en tant que particulier d'aller triturer chaque poste pour lui attribuer une IP fixe (au risque de me tromper) alors que le routeur permet de faire la même chose d'une manière beaucoup plus rationnelle et contrôlée à partir d'un seul point, tout en évitant de se tromper dans les attributions et de risquer des conflits. De même pour les serveurs DNS dont les adresses sont parfaitement gérées par le routeur. Le mode DHCP reste pour moi un moyen beaucoup plus souple en utilisation tout en utilisant pratiquement aucune ressource.

[sam.v.60]

Bonjour

il y a 31 minutes, Mic13710 a dit :

Ces réservations se font hors de la plage DHCP

Si j'ai compris

adresse début 192.168.0.10

adresse fin 192.168.1.150

Les adresses attribuées sont après 150 dans l'exemple?

[Balooforever]

Tout dépends de l'utilisation plus ou moins avancé du NAS.

Le mien fait serveur AD et donc DNS, je préfère lui mettre une IP fixe 

[Mic13710]

@Sam La Chaux Oui, c'est l'idée (sauf qu'il faut choisir entre 0 ou 1 dans la troisième série ). Mon DHCP démarre à 192.168.x.101 jusqu'à 254. Mes IP réservées de 192.168.x.1 à 100.

@Balooforever Mon NAS fait aussi serveur DNS (voir le tuto de Fenrir et mon retour en page 2), et pourtant je suis en DHCP. Je fais entièrement confiance au routeur pour attribuer l'adresse que j'ai assignée au NAS. Pas de problème jusqu'à présent. Et si un jour pour x raisons le routeur ne marche plus, qu'il y ait une IP fixe ou pas sur le NAS ne changerait rien puisqu'il n'y aurait plus de liaison internet .

[sam.v.60]

il y a 45 minutes, Mic13710 a dit :

sauf qu'il faut choisir entre 0 ou 1

faute d’inattention

Il y a 3 heures, Mic13710 a dit :

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

.Je suis désolé, j'essaye de comprendre (j'ai pas le niveau), tu fais quel style de paramétrage pour différencier le local du privé? en dehors de l'attribution des adresses?

Modifié le 17 mars 2018 par Sam La Chaux

[Mic13710]

Toutes les box ne sont pas capables de gérer des adresses hors de la plage dhcp. Je ne vais pas parler de mon routeur Ubiquiti mais de  ce que j'avais fait dans ma freebox qui sait gérer les IP hors DHCP

Ma FB en 192.168.x.1, la plage DHCP de 192.168.x.101 à 254. Attribution des IP avec les adresses MAC dans la plage 192.168.x.2 à 100. Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

[sam.v.60]

merci, je suppose que la livebox play ne le gère pas?

  Il y a 4 heures, Mic13710 a dit :

Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

C'est encore du chinois pour moi. Je vais y arriver :)

Modifié le 17 mars 2018 par Sam La Chaux

[Synapso]

Bonsoir et merci pour ce tuto.

Je l'ai suivi à la lettre et je rencontre maintenant des problèmes que je n'avais pas auparavant et je pense que c'est dû aux règles mises dans le pare-feu.

Voici les nouveaux problèmes que je rencontre et que j'aimerais résoudre :

- Je ne peux plus recevoir de mails de notifications ;

- VideoStation ne peux plus télécharger les informations de mes vidéos. L'indexation ne fonctionne plus;

- La recherche de mise à jour ne fonctionne plus.

En fait j'ai l'impression que mon NAS ne peut plus accéder à Internet ce qui est bien d'un point de vue sécurité mais ces quelques service sont plutôt utiles que j'aimerais réactiver. Comment faire ? Merci !

[unPixel]

J'ai pas envie de dire de bêtises mais à la base, un pare feu protège des accès extérieur qui cherche à entrer et non l'inverse donc je ne pense pas que tes soucis viennent du pare feu.

[Synapso]

Non tu as raison. J'ai un problème au niveau du DNS mais je ne comprends pas pourquoi.

[unPixel]

Au pire, va voir le tuto sur le serveur DNS de Fenrir.

[Synapso]

Pouvez-vous confirmer que ces règles de pare-feu me permette de ne pas subir d'attaque venant d'Internet ?

Merci !

[Synapso]

Je devrais peut-être enlever le service SSH finalement. Est-il réellement utile ?

Dans le cas où je le désactive, l'unique attaque (sauf failles) devrait venir que de mon réseau local ?

[unPixel]

Si tu demandes si SSH est utile alors désactives le

[Fenrir]

Il y a 14 heures, Synapso a dit :

Dans le cas où je le désactive, l'unique attaque (sauf failles) devrait venir que de mon réseau local ?

oui

Il y a 14 heures, InfoYANN a dit :

Si tu demandes si SSH est utile alors désactives le

+1

[Nicolas31]

Bonsoir, 

J'en suis a ce niveau la: 

 

le " tuto.mon.domaine " concerne uniquement le local ( sur le même réseau ) ? ou il peut servir a rentrer une adresse de type " nas.monndd.fr " ?

Merci 

[unPixel]

Ça ne concerne que le nom de domaine local au lieu d'utiliser l'IP du nas ;)

[Nicolas31]

@InfoYANN D'accord, ok :) merci

[Dimebag Darrell]

Merci beaucoup pour tes explications

Je reviens sur la partie firewall, j'ai appliqué les règles dans le firewall comme tu l'as mentionné (avec les 4 règles)

Par contre, impossible d'atteindre le NAS depuis l'extérieur, est-ce que dans les pré-requis, tu considères que l'on accède au NAS uniquement via un VPN ?

[Mic13710]

@Dimebag Darrell a qui s'adresse votre message ?

[Dimebag Darrell]

désolé, j'ai oublié de spécifier que je m'adressais à Fenrir, par rapport à son tutorial

 

Modifié le 31 mars 2018 par Dimebag Darrell

[Mic13710]

Je vais répondre pour lui.

Les 4 règles sont quasi obligatoires. On peut affiner les 3 premières en fonction de ses besoins, mais la dernière est le seul vrai rempart contre les attaques.

Pour le reste, c'est à vous de mettre les règles nécessaires en fonction de votre utilisation. Par exemple, si vous voulez utiliser le serveur VPN, il est bien évidemment nécessaire d'ouvrir les ports adéquates dans le parefeu. Cette règle sera à positionner AVANT la dernière règle.

De même, si vous utilisez le port standard https (443), il faudra l'autoriser dans le parefeu. Idem pour CloudStation (6690).

[Dimebag Darrell]

Merci beaucoup pour la clarification,

Pour la 4ième règle, je suppose que celle là sert uniquement à bloquer tout le restant du traffic potentiel.