[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Brunchto]

pour la protection de compte et le blocage des IPs, je vois dans les journaux, pour mail server, des tentatives de connexion en échec. par contre, la fréquence des tentatives est très longue avec moins de 3 tests par jours.

avec un paramétrage 5 tentatives sur 10mn, les ip ne sont jamais bloquées et le scan peut continuer. en multipliant le nombre d'adresses IP sources, on peut se faire tester très longtemps et sur de multiples comptes ou sur un compte défini.

en utilisant mail serveur et une adresse nomducompte@domaine.xxx, le nom du compte est exposé. arriver à se connecter pour envoyer un mail, c'est avoir le login / mdp pour accéder au DSM (si pas double authentification)

J'avais un paramétrage à 5 tentatives / 10h, je suis passé à 5 / 100h pour voir

 

 

[i-Moi]

Salut à tous

je suis extrêmement admiratif (je l'ai dit quand j'ai découvert ce fil) du travail fait par Fenrir, mais force est de constater que le fait de l'avoir suivi à la lettre n'a pas suffi. Le support technique  de Synology, suite à une anomalie de comportement (le système refusait de mettre à jour le paquet Service d'Applications Synology), est intervenu à distance et m'a informé que mon NAS avait été hacké.

Citation

 it seems your NAS had been hacked, there has .so file in your system and this file is not created by Synology.

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.

J'avais passé des jours à faire cette config, afin que personne, jamais, ne s'y infiltre, mais cela n'a pas été assez. Je suis bien conscient que nulle protection n'est parfaite, mais là, je suis découragé : étant loin d'être un spécialiste de l'informatique, n'ayant aucune connaissance particulière en réseaux (je sais faire marcher un Mac et une box, en gros) je n'ai pas les compétences nécessaires (et peu de gens les ont, du reste) pour augmenter la sécurité de mon installation.

Je pensais dire au revoir à Google Drive, à Apple Photos, à Google Calendar et à iCloud Contacts (bref : au Gafa), mais je réalise que je vais devoir limiter mon NAS à être un serveur 100% domestique, dédié à du stockage, du partage en local et —si possible sans créer une faille— être un serveur Plex accessible de l'extérieur.

Qui sait comment configurer un NAS pour faire juste cela, en toute sécurité, derrière une Livebox ?

Grand merci !

[Brunchto]

tu n'aurais pas installé domoticz?

de toute façon sécuriser le nas n’empêchera pas une utilisation d'une faille dans une appli tierce comme wordpress, drupal ou tout autre paquet installé à côté.

[.Shad.]

D'après ce lien, cette faille est corrigée depuis un bail, et un DS218+ vient de base avec DSM 6.x je crois.

C'est très étonnant, si tu n'as pas exposé dangereusement ton NAS avant d'avoir bouclé la partie sécurisation, d'être victime de ce genre de chose. A ta place je vérifierais mon réseau local, car dans le tuto on ouvre tous les ports vers le LAN, et il est beaucoup plus facile d'être infecté sur un PC que sur un NAS.

[PiwiLAbruti]

J’ajouterais à la remarque que @shadowking que le fait de priver le NAS de flux entrants venant d'internet ne résoudrait donc pas le problème.

[Syno415plus]

Bonjour,

Le 01/12/2016 à 19:33, Fenrir a dit :

Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée

Sécurité je peux comprendre si l'IP change de temps en temps mais confort ?
C'est plus confortable d'avoir une IP fixe non ? J'ai un raccourci sur mon bureau avec l'IP en dur.
Sinon avec DHCP, c'est moins pratique, vous n'êtes pas d'accord ? Sinon comment faites-vous pour retrouver la bonne IP pour accéder au NAS ?

Le 01/12/2016 à 19:33, Fenrir a dit :

néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins.

Il y en a d'autres ? Je n'utilise rien de tout ça mais j'ai paramétré une ip fixe. La différence d'un point de vue sécurité ne doit pas être si importante. Chez moi, avec ma box, les leases DHCP restent les mêmes pendant assez longtemps.

Le 01/12/2016 à 19:33, Fenrir a dit :

Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP

Fixer une adresse DHCP ? En général, c'est DHCP qui attribue automatiquement une IP dans la plage définie...

[maxou56]

il y a 44 minutes, Syno415plus a dit :

Fixer une adresse DHCP ? En général, c'est DHCP qui attribue automatiquement une IP dans la plage définie...

On peut fixer une adresse IP pour un appareil dans le serveur DHCP (comme ça même si la machine est configuré en DHCP, elle à toujours la même IP, cela permet de rediriger des ports).

Modifié le 9 octobre 2019 par maxou56

[Syno415plus]

Finalement j'ai basculé sur DHCP auto.

>>>Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection.

Avec l'assistant sécurité, j'ai ce message qui ressort : "La redirection automatique de HTTP vers HTTPS est désactivée"
Je n'expose pas non plus DSM sur Internet donc je suppose que je peux laisser ainsi et enlever ce test ?
Quand à savoir ce qu'on entend par "exposer", je suppose que c'est tout un ensemble de configurations avec redirection de ports etc....je n'ai rien de tout ca donc je suppose que je peux partir du principe que DSM n'est pas exposé ?
 

Modifié le 10 octobre 2019 par Syno415plus

[maxou56]

Il y a 5 heures, Syno415plus a dit :

Avec l'assistant sécurité, j'ai ce message qui ressort : "La redirection automatique de HTTP vers HTTPS est désactivée"
je suppose que je peux laisser ainsi et enlever ce test ?

On peut personnaliser le test en décochant certains points. (Conseil de sécurité - Avancé - Personnalisé)

[Syno415plus]

J'ai bien compris ça mais ce n'était pas ma question. Ma question était de savoir si je pouvais le désactiver. Pour le savoir, il faut pouvoir répondre à la question de savoir "on expose ou pas DSM sur Internet" pour reprendre le texte du tuto: c'était l'objet de ma question de savoir si mon DSM était exposé ou pas sur Internet. Comment le savoir ? 

[Thierry94]

Si tu n'as pas utilisé "Configuration du routeur" dans DSM, que ton NAS est bien derrière une box et que tu n'as pas mis en place de routage de la box vers ton NAS on peut dire que ton NAS n'est pas exposé sur Internet.

Assure toi tout de même de la sécurité des autres équipements de votre réseau local et suis les règles de sécurité du tuto de Fenrir

[shunfx]

Bonjour à tous. 

Merci pour ce tutoriel extrémement pratique.

J'ai une question cependant. Je l'ai appliqué à la lettre à l'exception du paramètre de parefeu qui bloque toutes les connexion venant d'internet car j'ai besoin e me connecter à diskstation et filestation via internet quand je ne suis pas chez moi.

Comment puis-je faire pour sécuriser le tout, tout en pouvant utiliser diskstation et filestation via internet svp ?

Merci.

[unPixel]

Citation

Comment puis-je faire pour sécuriser le tout, tout en pouvant utiliser diskstation et filestation via internet svp ?

Bonjour,

Il te suffit de suivre à la lettre le tuto et d'y ajouter tes propres règles en veillant à ce que la dernière soit sur refuser pour tous.

En aucun cas le tuto bloque les flux entrant venant de l'extérieur de ton réseau. Il restreint juste leurs accès par des zones géographiques et des ports.

Je suppose que tu n'as pas besoin d'autoriser les flux entrants depuis la Côte d'Ivoire ou le Japon 🙄

Modifié le 18 octobre 2019 par unPixel

[Christophet]

Le 18/10/2019 à 07:48, unPixel a dit :

Bonjour,

Il te suffit de suivre à la lettre le tuto et d'y ajouter tes propres règles en veillant à ce que la dernière soit sur refuser pour tous.

En aucun cas le tuto bloque les flux entrant venant de l'extérieur de ton réseau. Il restreint juste leurs accès par des zones géographiques et des ports.

Je suppose que tu n'as pas besoin d'autoriser les flux entrants depuis la Côte d'Ivoire ou le Japon 🙄

Salut ! 

même problématique que shunfx. J'ai bien suivi le tutoriel, toutefois si j'applique la dernière règle "refuser tous" impossible d'accès au DSM en DDNS...

Ci-joint ma configuration firewall.

Quelqu'un à une idée de ce qui cloche ?

Merci d'avance

Christophe 

[Varx]

Hello @Christophet

Place ta 1ère règle 1 cran au-dessus de celle du VPN.

J’espère que cette règle n’ouvre que le port 5001 ...

Tu peux supprimer ta règle pour le réseau 192.168.5.0/24. Tu as déjà celle en 192.168.0.0/24 qui fait le job.

Modifié le 4 novembre 2019 par Varx

[Christophet]

Merci Varx je vais tester ça.

 

[Invité]

Le 01/12/2016 à 19:33, Fenrir a dit :

nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8)

Hello,

J'avoue ne pas être sur de comprendre.

Il faut rajouter ceci en Hote Unique ?

Mon adresse ipv6 de ma box commence par fe80 ...

[PiwiLAbruti]

Petite correction :

Le 31/10/2019 à 22:51, Varx a dit :

Tu peux supprimer ta règle pour le réseau 192.168.5.0/24. Tu as déjà celle en 192.168.0.0/2416 qui fait le job.

😉

Il y a 10 heures, EVOTk a dit :

Il faut rajouter ceci en Hote Unique ?

Non, il s'agit de réseaux.

[dimgod59]

Bonsoir,

je reprends un peu ma config pour être moins dépendant de quickconnect 🙂

Comment peut on interdire l'acces SSH sur le net ? suffit de ne pas faire de NAT dans le routeur ?

Je me connecte depuis mon NomNas.synology.me cependant je n'ai plus acces à DS photo que se soit par DSM ou par application . pouvez vous me dire comment faire ? il faut faire du NAT sur le routeur mais comment trouve t'on le bon port ?

Modifié le 21 novembre 2019 par dimgod59

[Thierry94]

Oui s'il n'y a pas de nat vers le port Ssh il n'est pas accessible de l'exterieur.

Pour dsphoto il faut mettre en place une règle nat tcp du port 443 vers le port 443 du nas

[dimgod59]

Merci

[diabla]

Bonsoir à tous,

Avec mon Nas je rencontre des petits problèmes, je m'explique

Mon Nas est configuré avec des Target / Lun que je connecte sur des serveur Mac, et pour de plus de sécurité le pare-feu est activé avec la redirection sur le routeur.

Mon problème c'est que les Lun monté sur l'ordinateur fonctionne quelques jours et ce déconnecte sans raison particulière mais le problème c'est surtout qu'il m'est impossible de re connecter les Lun avec le pare-feu d'activé, je dois désactiver le Pare-feu quelques minutes afin d'allez sur les postes Serveur afin de re reconnecter manuellement, une fois l'opération effectué, je réactive le pare-feu et je suis tranquille quelques jours ..

Avez vous une idée ? je vous met ci dessous mon réglage de pare-feu sur le Nas

J'ai un total de 3 Lun monté sur 3 ordinateurs différents et tous ce déconnecte

Merci pour vos lumières 

 

 

 

[Erland]

Bonjour,

Suite aux divers Tutos suivis sur ce forum au sujet de :
- la sécurisation,
- le Reverse Proxy,
- le VPN,

(merci aux auteurs !)

Je me pose un certain nombre de questions :

Dans un premier temps sur la sécurité et le Reverse Proxy :

Pour accéder au NAS :

• pour DSM : j'accède en VPN depuis l'extérieur ou en local depuis chez moi pour l'administration.
• pour Audio Station, Video Station, Calendar, File Station : j'accède via le Reverse Proxy depuis l'extérieur ou en local (mais sans VPN).

    => est-ce que cela un sens de fonctionner comme cela ?
    => est ce acceptable au niveau sécurité ?

Merci d'avance pour le partage de vos avis et expériences.

Erland.

[Hitman_11]

Bonjour,

L’accès à distance ne fonctionne plus.

De retour à la maison j'ai vérifié les config du nas, puis la redirection des ports de la freebox. Je trouve les redirections en rouge avec un triangle orange. La recherche sur internet relate des dysfonctionnement lors de la migration vers une offre fibre, ce n'est pas mon cas. J'ai supprimé la redirection du port 80 et tenté de la re créer, sans succès, je ne peux pas sauvegarder la redirection.

Je précise que il y a eu une intervention de techniciens sur le réseau à l'extérieur de la maison, je ne sais pas dire si le pb en résulte.

Je vous remercie pour votre aide.

 

[Invité]

Salut,

Ne serait tu pas concerné par