[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Zebulon777]

Excellent tuto.

Très clair et surtout très pratique.

Bravo.

[vnihoul77]

Bonjour,

Je bug un peu au niveau de la configuration HTTPS,

J'ai ouvert les ports 5000 et 5001 respectivement en "Web Server (HTTP)" et "Secure Web Server (HTTPS)" dans ma Livebox 4.

Après ça je ne comprend pas très bien quoi faire ?

Merci

[Mic13710]

il y a 6 minutes, vnihoul77 a dit :

J'ai ouvert les ports 5000 et 5001

Fermez le 5000 dans le routeur. Inutile d'exposer votre NAS en clair sur internet. Il me semble que c'est expliqué dans le tuto.

il y a 10 minutes, vnihoul77 a dit :

Après ça je ne comprend pas très bien quoi faire ?

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

[vnihoul77]

Mais si je ferme le port 5000, je serai automatiquement redirigé en HTTPS ? Uniquement pour le DSM ou aussi mes pages Web ?

il y a 2 minutes, Mic13710 a dit :

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

Honnêtement, j'ai du mal à me situer aussi ...

J'ai paramétré mes dossiers partagés, une base de donnée lié à mon site, maintenant je cherche à bien rediriger mon nom de domaine vers le NAS 

[Mic13710]

Les pages web, c'est par les 80 (http) et 443 (https) que ça se passe. Les 5000 et 5001 c'est pour DSM.

Comme il est dit (je crois) dans le tuto, avant de penser à ouvrir son NAS vers l'extérieur, on assure d'abord sa sécurisation.

Pour rediriger votre ndd vers votre site web, il faut activer le serveur web du NAS, l'autoriser dans le parefeu, diriger le 443 du routeur vers le NAS et faire un  enregistrement A (ou un DDNS si IP dynamique) pour faire pointer votre ndd vers votre IP publique.

[unPixel]

Voir tuto sur le forum pour le nom de domaine...

[gentlamen]

Bonjour à la communauté,

Tout d'abord un grand merci pour ces tutos et à tous ceux qui prennent le temps d'y répondre. Nouveau possesseur d'un NAS DS218 Play, je cherche dans un premier temps à le sécuriser au maximum. Je ne pensais pas que ça serait aussi compliqué pour moi, comme beaucoup ici.

Mon Nas me servira uniquement à stocker des films et photos. Je possède une copie dans mon PC.

Désolé, Je vais vous poser des questions bêtes mais malgré plusieurs jours de lecture je ne suis toujours pas sur de moi.

 

1. J'ai activé tout les paramètres de sécurité présent dans ce tuto. J'ai activé et configuré le pare-feu du NAS avec les 4 règles indiquées. Je n'ai ouvert aucun port dans mon routeur Freebox. Première question de newb, A partir du moment ou aucun port du routeur freebox n'est ouvert et redirigé vers le NAS alors celui-ci ne craint rien et il n'est pas accessible de l’extérieur? (En théorie, je sais quand informatique tout est possible)

2. Admettons que mon Nas soit accessible de l’extérieur, le pirate doit il obligatoirement trouver le mot de passe admin pour me balancer un cryptolocker ou est ce plus simple que ça?

3. Si mon Nas est vérolé par un cryptolocker ou autres, mon ordinateur protégé par un pare feu et antivirus est il en grave danger?

4. Quand je me connecte à mon Nas via mon Pc je doit entrer un mot de passe pour accéder aux fichiers en réseau . Pourquoi ma télé est elle capable d'y accéder sans mdp?

5.a. J'ai activé le HTTPS car je ne suis pas familiarisé avec les VPN pour le moment. J'ai donc besoin de certificats. J'ai réussi à en créer un pour "mon-domaine.synology.me" mais comme je ne souhaite pas y accéder de l’extérieur pour le moment ça ne me sert pas vraiment de plus j'ai une IP fixe. Malheureusement, je n'arrive pas à créer de certificat pour une adresse IP. Est ce possible?

5.b. Est ce grave si je me connecte sans certificat depuis mon PC qui est relié à internet? Si j'ai bien compris le tuto, lorsque vous activez le VPN il n'est pas forcement utile d'activer le HTTPS?

6. Vous indiquez qu'il est préférable de désactiver l'IPV6. Cependant, si je le désactive mon Nas n'est plus visible dans mon PC via Ordinateurs -> réseaux? Est ce un bug uniquement chez moi. J'ai une freebox connecté en IPV6 et j'ai le pare-feu IPV6 d'activé...

 

Voila, je vous avez prévenu, c'est vraiment des questions de débutant mais je pense qu'elles vont me permettre de mieux comprendre dans quoi je mets les pieds.

 

Merci beaucoup à ceux qui m’apporteront des réponses

 

 

 

 

 

 

[anybodesign]

bonjour,

je viens de suivre les recos de ce sujet fort utile et enrichissant 🙂
j'ai un problème avec les paramétrages du firewall

en fait, chaque mois j'envoie vers mon NAS les sauvegardes de plusieurs site web. avec les paramètres du tuto l'envoi (via FTP) échoue.
si je désactive le firewall ça passe bien.

qu'est-ce que je pourrais modifier pour que ça fonctionne, sachant que les sites ne sont pas tous hébergés sur le même serveur… donc les envoie proviennent d'IP différentes.

est-ce qu'on peut autoriser le transfert FTP entrant ?

merci !

[Varx]

@anybodesign : Tu peux créer une règle autorisant les adresses IP sur le port FTP, des serveurs hébergeant tes sites web, dans le pare-feu de ton NAS.

Modifié le 12 juillet 2019 par Varx

[anybodesign]

ok merci,
pour le moment j'ai ajouté cette règle là :

mais j'imagine que c'est pas très sécurisé…
il vaudrait donc mieux que j'aille noter toutes les IPs des serveurs ? et que je remplace "France" par la liste de ces IPs ?

[Varx]

à l’instant, anybodesign a dit :

ok merci,
pour le moment j'ai ajouté cette règle là :

mais j'imagine que c'est pas très sécurisé…
il vaudrait donc mieux que j'aille noter toutes les IPs des serveurs ? et que je remplace "France" par la liste de ces IPs ?

Cette règle répond à ton 1er besoin.

En terme de sécurisation, oui tu peux faire "mieux" en ciblant les IP

 

[anybodesign]

merci 🙂 je vais partir à la pêche aux IPs alors

[Hitman_11]

Bonjour,

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

 

Merci.

Modifié le 22 juillet 2019 par Hitman_11

[niklos0]

il y a 10 minutes, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Nécessaire : Non. Normalement, le pare feu de ton modem doit foire le nécessaire pour éviter les intrusions.

Utile : Potentiellement. Si le pare feu de ton routeur vient a être contourné ou si quelqu'un arrive à se connecter sur ton réseau local d'une manière ou d'une autre (trojan, piratage wifi etc...).

Modifié le 22 juillet 2019 par niklos0
orthographe... Comme d'hab

[dd5992]

Il y a 20 heures, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Dans la plupart des box, le pare feu n'est pas finement paramétrable. Pour vraiment contrôler les flux vers ton syno, il vaut mieux configurer le pare-feu de ce syno... et faire de même pour chacune des machines à protéger.

Ou sinon, avoir un routeur en entrée de ton réseau local et y configurer un pare feu qui protège tout ton réseau local.

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC.

[niklos0]

il y a 7 minutes, dd5992 a dit :

 

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC. 

 

Nous sommes bien d'accord. C'est pour ça que je dis que ce n'est en rien nécessaire que ça peut-être utile dans le cas improbable où quelqu'un entre sur ton réseau local.

Il ne faut pas penser que, parce qu'on a sécurisé son Syno il ne faut sécuriser son réseau et inversement. Il faut, bien entendu ajouter de la sécurité de tous les côtés, avec, comme tu l'as dis, un parefeu, un filtre d'adresse MAC etc... Mais tout sera toujours "piratable". D'où l'idée de mettre plusieurs couches de sécurité.

Tu parles de filtre d'adresse MAC, c'est une très bonne chose et une première étape dans la sécurité. Mais un simple spoofing d'adresse MAC et la sécurité est contournée. Une fois de plus, je ne dis pas qu'il ne faut pas mettre de filtrage d'adresse MAC mais qu'il faut multiplier les verrous tout en essayant au mieux de ne se gêner soit même. Et c'est là que ça se corse... Réussir à trouver le juste milieu entre sécurité/prix/liberté.

Modifié le 23 juillet 2019 par niklos0

[.Shad.]

Un routeur pare-feu matériel, il en existe pas mal (pfSense, Mikrotik, (DD/Open)WRT, etc...), permet de réellement sécuriser son réseau en son sein (et depuis l'extérieur évidemment), à un autre niveau qu'un routeur Synology ou autre.
Mais ça demande certaines connaissances et pas mal de temps si on n'a pas ces dites connaissances... faudra que je me lance un jour. 😄 

Modifié le 23 juillet 2019 par shadowking

[niklos0]

Je m'étais amusé avec un IPCop à une époque... Mais apparemment, la distro n'est plus maintenu.

Dans le même genre, j'aimais aussi beaucoup "Check Point", mais là, le budget n'est plus le même.

[Rouge]

Bonjour à tous, et Merci Fenrir pour ce Tuto !

J'ai une petite question sur le pare-feu. Quand on ajoute une règle sur un port personnalisé, on a le choix du type de port, "port de destination" ou "port source". Quelle est la différence entre ces 2 types de port ? L'un est pour les paquets entrants et l'autre pour les sortants ? lequel faut -il choisir ?

Et du coup, quel type de port est choisi si on passe par la liste d'applications intégrées ?

Pouvez vous m'expliquer ?

Modifié le 25 juillet 2019 par Rouge

[.Shad.]

Bloquer port 80 en destination, ça bloquera toutes les requêtes qui arriveront sur le port 80 du NAS.

Bloquer port 80 en source, si par exemple ton routeur t'envoie une requête par ce port, ça la bloquera.

[dd5992]

Il faut comprendre que lorsque tu émets une requête sur un site, ta machine a une IP et envoie le message au destinataire par un port donné (port source), étant entendu que la réponse devra être renvoyée à cette adresse IP et à ce port. Ton message est envoyé à l'adresse IP du destinataire à un port donné (destination), fonction du service que tu veux atteindre.

En pratique, il est rare de spécifier un filtrage d'après le port source.

Il est beaucoup plus courant de filtrer par le port de destination. L'utilisation de la liste d'applications intégrées est une facilité qui te facilitera le choix du ou des ports à bloquer.

[paddy67]

Bonsoir,

J'ai lu avec attention ce tuto, et je tiens à remercier pour la qualité des informations données.

Je possède un DS116 et une freebox revolution, et j'aurai quelques questions concernant l'accès externe.

Mon NAS est configuré comme ceci :

 - Quickconnect = désactivé
 - Accès externe
    * DDNS = activé
    * adresse IPV4 et IPV6
    * statut normal
 - Réseau LAN
    * IPV4 = configuration manuelle
    * IPV6 = auto
    * Paramètres DSM = rediriger HTTP vers HTTPS non coché
 - Sécurité identique au tuto
     
Ma freebox n'a aucune redirection de port    

Jusqu'à maintenant, j'accédait au NAS en local via http://192.168.1.XXX:5000 ou
https://192.168.1.XXX:5001 mais avec une alerte "non sécurisé".

Pour accéder au NAS en HTTPS sans alerte, j'ai configuré le DDNS, comme indiqué dans le tuto, avec un nom d'hote du type XXXX.synology.me. Il m'a été demandé de générer un certificat Let's encrypt et de le sélectionner par défaut. J'ai ensuite supprimé le certificat "auto-signé" du NAS. Je me donc retrouve avec le certiicat XXXX.synology.me par défaut.

A partir de là, je peux accéder au NAS via "https://XXXX.synology.me:5001" (soit sur un PC connecté au réseau, soit sur mon smartphone en 4G). Ma première question est la suivante, est-ce normal d'accéder au NAS depuis l'extérieur, alors qu'aucune redirection de port n'est configurée sur ma freebox ?

Ensuite, j'ai désactivé IPV6 dans RESEAU LAN comme indiqué dans le tuto, et là je ne peux plus accéder au NAS via "https://XXXX.synology.me:5001" que ce soit en local ou en externe. D'où vient le problème ?

Merci.

Modifié le 28 juillet 2019 par paddy67

[.Shad.]

Si tu y accèdes depuis ton smartphone en 4G c'est que nécessairement le port 5001 est redirigé. As-tu vérifié que la configuration du routeur n'est pas activée sur le NAS et qu'elle n'a pas automatiquement ouvert les portes dont elle estime avoir besoin ?

Sur ta box, ça devrait être renseigné sous l'appellation uPnP pour peu que l'information ait été séparée des ports redirigés manuellement.

[PiwiLAbruti]

1. Oui, c’est normal. Le service DDNS de Synology inclut un relai pour éviter d’avoir à ouvrir des ports sur le routeur. Tout tes accès externes à ton NAS transitent par Lens serveurs relai de Synology.
2. "http://XXXX.synology.me:5001" : Le port tcp/5001 doit être utilisé en https uniquement.

[paddy67]

Il y a 2 heures, PiwiLAbruti a dit :

1. Oui, c’est normal. Le service DDNS de Synology inclut un relai pour éviter d’avoir à ouvrir des ports sur le routeur. Tout tes accès externes à ton NAS transitent par Lens serveurs relai de Synology.
2. "http://XXXX.synology.me:5001" : Le port tcp/5001 doit être utilisé en https uniquement.

1. Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

2. Erreur de frappe, je voulais bien dire "https://XXXX.synology.me:5001".

 

Il y a 2 heures, shadowking a dit :

Si tu y accèdes depuis ton smartphone en 4G c'est que nécessairement le port 5001 est redirigé. As-tu vérifié que la configuration du routeur n'est pas activée sur le NAS et qu'elle n'a pas automatiquement ouvert les portes dont elle estime avoir besoin ?

Sur ta box, ça devrait être renseigné sous l'appellation uPnP pour peu que l'information ait été séparée des ports redirigés manuellement.

1- configuration routeur non activée sur le NAS

2- j'ai un menu UPNP sur la freebox activé