Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

@FenrirJe personnalise mon firewall depuis internet via un VPN (le NAS est le client), et bim voila ce qui arrive lorsque je souhaite sauver avec la regle 4, reject all, la derniere. J'arrive de l'exterieur depuis une IP de bouygues telecom donc mon filtrage sur les ports 5000 et 5001 limites a la france ne doit pas poser de soucis. A votre avis d'ou cela peut il provenir ?

Inkedfirewall_LI.jpg.2cc1ca4d6c63917b74fd52ff03827b42.jpg

Modifié par Brenac
Lien vers le commentaire
Partager sur d’autres sites

Autre point, le filtrage par géolocalisation. L'adresse IP fixe qui m'est assignée  est par exemple indiquée comme géolocalise en Angleterre sur ipaddress.com (ce qui est mon contrat avec mon fournisseur de vpn), par contre localisée aux US pour pleins d'autres sites de 'geolocalisation'. Du coup peut t on se fier a ce référentiel ??? 

Dans le même registre je sais que RIPE ne met a jour la localisation des subnets au sein du RIR qu'a l'occasion d'un transfert. Ainsi un LIR qui a plusieurs entité en europe (ou des serveur sous traites) dispatch allègrement ses IP aux 4 coins de son implémentation européenne. ...

 

Quel est le referentiel du syno du coup ?

Lien vers le commentaire
Partager sur d’autres sites

@Fenrir Petite suggestion pour le tuto. Dans la partie protection, DoS, ne pas oublier de cocher toutes les interfaces une a une. En effet qui n'a pas débranché son câble ethernet puis remis au hasard sur un autre port, ou ajoute comme moi un dongle 4G en secours. Autant pour firewall on a par défaut toutes les interfaces, autant pour la protection c'est 1 a 1.

s04.png

Lien vers le commentaire
Partager sur d’autres sites

Oui, tu peux te fier à la localisation.

J'ai récemment partagé un dossier avec une personne se trouvant en Australie et je l'avais complètement oublié et bien elle n'a pas pu atteindre mon NAS. Après ajout de ce pays sur mon port 443, elle a réussi à prendre le dossier en question.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Le 18/05/2018 à 14:54, Brenac a dit :

A votre avis d'ou cela peut il provenir ?

Tu n'arrives pas avec l'une des IP autorisée pour x ou y raison.

Le 19/05/2018 à 02:17, Brenac a dit :

Quel est le referentiel du syno du coup ?

Probablement un service comme maxmind ou ipdeny, mais la geolocalisation IP n'est pas une science exacte (loi de là), pour les IP d'opérateur officiel c'est assez fiable (les FAI), pour le reste, c'est random.

Le 19/05/2018 à 10:34, Brenac a dit :

Petite suggestion pour le tuto ...

Chacun doit bien sur adapter à ses besoin (je n'ai jamais branché de dongle 4g ou sur un autre port au hasard et je en souhaite pas non plus avoir cette protection sur toutes les interfaces => choix perso), mais j'ai ajouté un commentaire

Lien vers le commentaire
Partager sur d’autres sites

Pour ma part, je n'utilise pas la géolocalisation car trop aléatoire.

Pour restreindre les accès, j'utilise plutôt le registre du RIPE NCC. Par exemple, Free Mobile (mon opérateur mobile) utilise le réseau 37.160.0.0/12 pour adresser ses clients mobiles :

fr.freemobile
    Free Mobile SAS

    20111214	37.1.232.0/21	ALLOCATED PA
    20111214	37.8.160.0/19	ALLOCATED PA
    20120308	37.160.0.0/12	ALLOCATED PA
    20180307	2a0d:e480::/29

Donc j'ai juste à rajouter une règle autorisant ce réseau dans le pare-feu.

Vous pourrez trouver les réseaux d'autres opérateurs Français (je n'y connais rien en opérateurs Belges ou Suisses, désolé) sous les noms suivants :

  • Bouygues Telecom
    • fr.bouygtel
  • Free
    • fr.proxad
    • fr.freemobile
  • Orange
    • fr.telecom
  • SFR
    • fr.completel
    • fr.ldcomnet
    • fr.sfr
    • fr.sfr-collectivites
Lien vers le commentaire
Partager sur d’autres sites

Le problème vient du fait que les bases des RIR sont mises à jour quotidiennement. Je doute fort que Synology suive ce rythme pour la base utilisée par le pare-feu.

Concernant les FAI, c’est effectivement très fiable. Il arrive qu’il y ait des regroupements comme chez Bouygues (fr.grolier > fr.bouygtel).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Un grand merci à toi poru ce super tuto complet et simple à suivre. Je viens d'acquérir mon premier NAS et je suis dans la conf.

Je galère un peu au niveau de la conf FW (qui rend mon accès depuis intetnet non fonctionnel pour l'instant, meix vaut ça que l'inverse :) ) mais je vais creuser un peu plus

Lien vers le commentaire
Partager sur d’autres sites

question peut être idiote: en limitant dans le firewall par géolocalisation on s' interdit pas du coup de recevoir des email depuis les pays bloques (ou suivant son implémentation) QUE des pays listes ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, InfoYANN a dit :

Ou as-tu vu/lu qu'il fallait configurer les ports concernant un serveur mail uniquement pour la France ? Si tu fais ça, tu oublis tout de suite de recevoir des mails de Gmail, Yahoo, Outllook, Hotmail, Protonmail, etc..

en faisant cette 4eme regle c'est ce que tu fait non ? tout est bloque mail, web  etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ? Aisni si tu as ton serveur MX il faut autoriser les ports smtp soit pour tous soit que pour certains pays, et si ce pays n'est pas liste: pas de reception d'email de la part de ce pays. 

s03.png

Sauf erreur de ma part 

 

Modifié par Brenac
Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas si le parefeu a la possibilité de bloquer des mails par géolocalisation. Si cela est possible, je n'y vois aucun intérêt. Jusqu'à preuve du contraire, un mail ne constitue pas une menace directe. C'est à celui qui le reçoit d'en vérifier la provenance avant de l'ouvrir. Et très souvent les contenus douteux proviennent d'adresses hébergées chez des FAI français.

Lien vers le commentaire
Partager sur d’autres sites

@Brenac

Sauf que là, il n'y a que des plages d'ip locales mises par Fenrir. Tu n'as pas du lire tout le tuto car il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Là, tu n'as aucune règle qui autorise ton serveur mail donc tu devras mettre entre la troisième et la quatrième règle une nouvelle règle qui autorise le port 25, 587 et 993 à tout le monde.

La quatrième règles qui est en "refuser" doit TOUJOURS rester en dernière position !

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, InfoYANN a dit :

il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Toi non plus tu n'as bien lu ☺️

Il y a 5 heures, Brenac a dit :

tout est bloque mail, web  etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ?

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, InfoYANN a dit :

@Brenac

Sauf que là, il n'y a que des plages d'ip locales mises par Fenrir. Tu n'as pas du lire tout le tuto car il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Là, tu n'as aucune règle qui autorise ton serveur mail donc tu devras mettre entre la troisième et la quatrième règle une nouvelle règle qui autorise le port 25, 587 et 993 à tout le monde.

La quatrième règles qui est en "refuser" doit TOUJOURS rester en dernière position !

@InfoYANN, merci, on va dire plutot 25,465 et 587 pour la reception je pense. 993 est un port IMAP

 

Il y a 5 heures, Mic13710 a dit :

Je ne sais pas si le parefeu a la possibilité de bloquer des mails par géolocalisation. Si cela est possible, je n'y vois aucun intérêt. Jusqu'à preuve du contraire, un mail ne constitue pas une menace directe. C'est à celui qui le reçoit d'en vérifier la provenance avant de l'ouvrir. Et très souvent les contenus douteux proviennent d'adresses hébergées chez des FAI français.

oui @Mic13710 il le peux et c'est ce que fait @Fenrir (en ouvrant certaines appli a certains pays) mais du coup si tu as un mailserver sur ton nas il faut, si tu ne veux pas bloquer les mail entrants , mettre une regle ad hoc. Apres on peux toujours douter de l'exactitude de la geolocalisation (et je suis bien place pour le savoir) mais c'est deja mieux que rien.

Moi je me suis fait une politique inverse . je part du principe que je j'autorise (presque)  tout de partout, sauf de certains pays (une 40 aine, des paradis sur terre en general mais pas que) pour qui tout est bloque (et c'est en faisant cela et en testant depuis par exemple la russie (au hazard hein) je ne peux meme pas voir mon site web sur mon NAS). Donc maintenant dans les pays dits exclus (15 par regles) j'autorise quand meme 80,443,25,465.587.  C'est une autre approche.

Lien vers le commentaire
Partager sur d’autres sites

Le 08/06/2018 à 13:42, Brenac a dit :

Moi je me suis fait une politique inverse

Mauvaise pratique, ce n'est pas à faire (moins fiable et moins performant)

La bonne pratique est d'autoriser ce qui doit l'être et de bloquer le reste par défaut

Dans le cas d'un serveur MAIL, il faut autoriser le port 25 depuis les pays susceptibles de communiquer avec le nas, les autres ports (587 par exemple) peuvent être limités en fonction des besoins

Lien vers le commentaire
Partager sur d’autres sites

Le 25/05/2018 à 11:25, Fenrir a dit :

 

Probablement un service comme maxmind ou ipdeny, mais la geolocalisation IP n'est pas une science exacte (loi de là), pour les IP d'opérateur officiel c'est assez fiable (les FAI), pour le reste, c'est random.

synology utilise en effet Maxmind , on retrouve la terminologie GeoIP quand une adresse est bloquee apres trop de tentatives et que sa géolocalisation n'a pas été trouvée. 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, Fenrir a dit :

Mauvaise pratique, ce n'est pas à faire (moins fiable et moins performant)

La bonne pratique est d'autoriser ce qui doit l'être et de bloquer le reste par défaut

Dans le cas d'un serveur MAIL, il faut autoriser le port 25 depuis les pays susceptibles de communiquer avec le nas, les autres ports (587 par exemple) peuvent être limités en fonction des besoins

ce n'est pas antinommique. avec ici une hierarchisation des blocages, tout pour certains pays, a moins pour le reste. comme ici

- ton super tuto ajuste pour mes besoins:

    - mes serveurs qui se backup l'un l'autre et l'un servant de DNS zone slave pour l'autre

 - du ssh que depuis la france (et encore, pas sur de le laisser tellement il est sollicite) ou local

- des pays exotiques totalement bloques

- le reste qui accede au serveur web et au port 25

- gestion de france

- on ferme la porte.  

 

fw.png

Modifié par Brenac
Lien vers le commentaire
Partager sur d’autres sites

Alalala... comment faire crapahuter le pare feu pour rien... ta triple règle refuser la... tu ne trouverais pas plus simple de seulement autorisé 2/3 pays que tu es successible de visité, que d’en bloqué des dizaines ?

Personellement j’utilise pas le remplissage de toutes les interfaces, je met dans chaque interface (qui de base refuse tout), j’utilise les deux ports lan, et je n’ouvre pas les mêmes services sur chaque... et je ne vois pas pourquoi j’ouvrirais des ports inutilement...

Lien vers le commentaire
Partager sur d’autres sites

en fait le problème si cela en est un, c'est que je veux bien recevoir des email de Syrie ou qu'un chinois navigue sur mon site mais pas plus. C'est aussi le moyen de mettre les pays européen utilises pour tenter des attaques sans pour autant les fermer totalement, toujours en raison du serveur MX et wouaib. Je me laisse 10 jours pour analyser la performance 🙂

je vais reflechir a ta suggestion de muliples interfaces...

Lien vers le commentaire
Partager sur d’autres sites

Encore merci à Fenrir pour ce tuto.

Je dois avouer que vu mon niveau réseau qui est de l'ordre de 0 (faudra que je me dégage du temps pour suivre une Classroom), j'ai pas tout compris mais tout appliqué sauf :

1. création d'un nouveau compte admin: lors de l'étape de configuration, j'ai créée un compte admin avec un mot de passe fort...du moins c'est ce que m'indique l'interface conseiller de sécurité. J'ai pas bien compris pourquoi il faudrait en recréer un. Par ailleurs, au niveau du panneau de config, pourquoi y-a-t-il un compte admin de créée et qui est désactivé?

2. certificat: j'ai laissé le certificat Synology par défaut. Y-a-t-il un souci de le laisser? La démarche de changement de certificat...j'ai l'impression de devoir gravir l'Everest en tongs 🙂

3. activer le SSH

4. Accès externe: j'ai rien qui apparaît dans cette section...c'est sans doute normal vu que mon nas est tout neuf...

5. Désactivation des 3 recommandations de Synology concernant les changements de port

Si au niveau des points 3 et 5 je suis le tuto, l'interface conseiller de sécurité m'informe d'un problème de sécurité au niveau du réseau et du compte. En n'appliquant pas les conseils des points 3 et 5, tout est au vert dans l'interface. 

Y-a-t-il un risque de laisser comme ça?

Merci pour votre réponse.

 

 

Lien vers le commentaire
Partager sur d’autres sites

1. En faite, le tuto de Fenrir date de l'époque ou de base on avait un compte nommé "admin". Maintenant, DSM a eu l'intelligence de demandé directement un compte perso. Par contre, je te recommande d'avoir un second compte admin pour lequel tu n'auras l'utilisation qu'en cas d'urgence si par exemple le compte admin principal était inaccessible pour x ou y raison. Bien entendu, ce second compte doit avoir un mot de passe très fort !

2. Aucune incidence, tu auras juste un avertissement de sécurité sur ton navigateur et si tu veux faire du partage de fichiers, ça peut faire peur aux autres utilisateurs.

3. Pour récupérer un NAS qui a un soucis, il peut être utile d'y accéder par SSH. Bien souvent des membres ont des soucis mais n'ont pas activé SSH donc ils ne peuvent pas être aidés.

4. Tout à fait, c'est à toi de remplir les champs.

 

Que te dit le conseiller de sécurité ? Il faut faire attention car certains choses dites sont nulles comme par exemple la redirection automatique en https. Il le signale comme un soucis !

Lien vers le commentaire
Partager sur d’autres sites

Salut InfoYann,

Merci pour ta réponse rapide.

Si je réactive le SSH comme conseillé par Fenrir, j'obyiens la réponse suivante du conseiller de sécurité:

Capture_SSH1.PNG.8f70a30f763aa2fa68501aa79978e602.PNG

Capture_SSH2.PNG.0cec96571e9381aa056d835ccfe6f4f4.PNG

Lorsque je désactive les 3 recommandations de Synology concernant les changements de port:

Capture_CS1.PNG.452ff806d2996b4625e69f72d4db358e.PNG

j'obtiens les infos suivantes:

Capture_CS2.PNG.a7161dcad4dbc73f461c3aa318c5286b.PNG

Capture_CS3.thumb.PNG.5c91e89b1c5350189f022b82d81c8741.PNG

Lorsque je désactive le SSH et remet les paramètres par défaut du conseiller de sécurité, tout redevient OK:

Capture_CS4.PNG.14d164965bbb59c5b61d15a2d94c9483.PNG

Merci pour ton avis

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.