Remi7449 Posté(e) le 12 février 2020 Posté(e) le 12 février 2020 Il y a 11 heures, Jeff777 a dit : Bonjour, ... Mon langage n'est pas très technique mais je l'espère à peu près clair. Bonjour Jeff, Si merci ton explication est parfaitement clair. C'est cette histoire de fichier htaccess qui me fait un peu peur. On ne l'a retrouve pas dans tous les tutos, c'est du bonus ? Parce que de ce que j'ai compris si il y a que le port 443 qui est ouvert sur l'extérieur il y aura que du https qui pourra y "entrer". Si oui, je comprend alors le non risque de désactiver l'option http->https dans (réseau/paramètre du DSM). J'ai bon ? 0 Citer
Jeff777 Posté(e) le 12 février 2020 Posté(e) le 12 février 2020 Oui si tu n'ouvres que le port 443 il n'y aura que du https qui pourra rentrer mais si tu ouvres le port 80 et que tu installes un fichier htaccess avec redirection alors tout ce qui entre passera en https et la connexion sera sécurisée. Les deux solutions se valent d'après moi (à confirmer par plus qualifié que moi) celle avec le htaccess est plus tolérante en cas d'oubli du https dans l'adresse. Il y a des tas de post sur comment faire un htaccess. 0 Citer
Remi7449 Posté(e) le 12 février 2020 Posté(e) le 12 février 2020 Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌. Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 0 Citer
jmy06 Posté(e) le 27 mars 2020 Posté(e) le 27 mars 2020 (modifié) Salut à tous "un petit coup de main, j ai activé HTTPS et maintenant je suis bloqué avec mon navigateur , une idée SVP merci" résolu.... "le savoir ne vaut que si il est partagé" Un grand merci à DaffY Modifié le 28 mars 2020 par jmy06 résolution 0 Citer
jerome34000 Posté(e) le 4 avril 2020 Posté(e) le 4 avril 2020 Bonjour, J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j. Tout c'est bien passé jusqu'à la vérification en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli. Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. Quelqu'un a une solution ? 0 Citer
jerome34000 Posté(e) le 4 avril 2020 Posté(e) le 4 avril 2020 il y a 24 minutes, jerome34000 a dit : Bonjour, J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j. Tout c'est bien passé jusqu'à la vérification en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli. Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. Quelqu'un a une solution ? Problème résolu par la FAC Synology 0 Citer
fansyl Posté(e) le 6 avril 2020 Posté(e) le 6 avril 2020 Le 12/02/2020 à 21:13, Remi7449 a dit : Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌. Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). Je cherche l'IP de Let's Encrypt mais les informations que je trouve indiquent qu'ils sont en IP dynamiques. Comment as-tu fait ? 0 Citer
Thierry94 Posté(e) le 6 avril 2020 Posté(e) le 6 avril 2020 Il faut ouvrir le port 80 sans limitation d'Ip pour faire le renouvellement de certificat Let's Encrypt 0 Citer
jerome34000 Posté(e) le 6 avril 2020 Posté(e) le 6 avril 2020 Pour la première fois, j'ai reçu une alerte du conseillé sécurité. Ceci faisant suite à la mise en application de plusieurs tutos, au demeurant très bien fait et compréhensibles. Le rapport indique deux alertes : La première concerne la non activation du blocage des adresses IP avec plusieurs erreurs de connexion. cela c'est réglé. La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22). J'ai fait une recherche par mot clé avec SSH mais je n'ai rien trouvé. EN recherchant j'ai trouvé ceci : https://www.tuto-synology.fr/terminal/service-ssh/#.Xorb4zfVI2w. il est indiqué qu'il faut activé le port 22. Quelqu'un peut-il m'aiguiller Bonne journée à tous 0 Citer
Mic13710 Posté(e) le 6 avril 2020 Posté(e) le 6 avril 2020 Relisez la partie du tuto concernant le conseiller de sécurité. 0 Citer
Invité Posté(e) le 6 avril 2020 Posté(e) le 6 avril 2020 il y a 4 minutes, jerome34000 a dit : La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22). Effectivement on recommande de ne pas utilisé les ports par défaut ( et c'est valable pour tout ). Tu peut le modifier dans Panneau de Config > Terminal Malgré tout, ci votre port n'est pas exposé a sur internet, il n'y a pas de soucis. 0 Citer
NiKo_LaKo Posté(e) le 12 avril 2020 Posté(e) le 12 avril 2020 Bonjour à tous, Existe t-il une version de ces tutos (Sécuriser son NAS et Reverse proxy et VPN) avec IPv6 ? ou l'ipv6 est-il encore à éviter ? 0 Citer
PiwiLAbruti Posté(e) le 12 avril 2020 Posté(e) le 12 avril 2020 La méthodologie est la même en IPv6 que ce qui est expliqué en IPv4 en remplaçant les IPv4 privées par les adresses locales IPv6. Qu’attends-tu d’IPv6 par rapport à IPv4 ? 0 Citer
NiKo_LaKo Posté(e) le 12 avril 2020 Posté(e) le 12 avril 2020 (modifié) Rien de spéciale en faite, si ce n'est une configuration plus simple, étant donné qu'en IPv6 il ne devrait pas y avoir de ports à ouvrir. Je me dis que ça doit simplifier les accès depuis l'extérieur.... Modifié le 12 avril 2020 par NiKo_LaKo Correction 0 Citer
PiwiLAbruti Posté(e) le 13 avril 2020 Posté(e) le 13 avril 2020 En fait ça ne simplifie pas les accès, c’est même plutôt tout le contraire. L’avantage du NAT en IPv4 est justement que l’ont sait exactement ce qui est ouvert sur internet, mais ça a tout de même des limitations par rapport à IPv6 (un seul équipement derrière chaque port, ...). En IPv6 chaque équipement du réseau doit disposer d’un pare-feu pour bloquer le trafic entrant indésirable. C’est d’ailleurs ce qui pose problème d’entrée de jeu avec les objets connectés mal sécurisés qui deviennent alors des points d’entrée sur tout le réseau local. Dans l’ideal, il faut un pare-feu en amont des équipements locaux sur lequel on peut définir des règles de filtrage (ce qui rejoint la complexité qui tu voyais en IPv4). Mais ce n’est pas toujours possible, le cas le plus lamentable étant celui de la Freebox sur laquelle il n’est pas possible de définir des règles de filtrage en IPv6, il y a juste un gros switch on/off du filtrage des connexions entrantes. Donc attention, il y a beaucoup de choses à considérer avant de passer à IPv6. Ce n’est pas insurmontable mais il faut bien comprendre les enjeux de sécurité que ça implique sans quoi votre réseau local peut rapidement est compromis. 0 Citer
NiKo_LaKo Posté(e) le 13 avril 2020 Posté(e) le 13 avril 2020 Merci pour ces précisions intéressantes. Je comptai ne mettre que le NAS en IPv6 et il a un pare-feu. Mais si ça ne simplifie pas plus que ça, autant rester en IPv4. Je vais quand même continuer de préparer le terrain de l'ipV6, en checkant si mes équipements sont équipés de pare-feu (cam, switch) 0 Citer
TuringFan Posté(e) le 19 avril 2020 Posté(e) le 19 avril 2020 Le 01/12/2016 à 19:33, Fenrir a dit : (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement) Bonjour, Merci pour ces supers tuto. Est-il possible d'automatiser cette procédure ? Merci d'avance, 0 Citer
TuringFan Posté(e) le 25 avril 2020 Posté(e) le 25 avril 2020 Le 01/12/2016 à 19:33, Fenrir a dit : (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement) Bonjour, Est il possible d'utiliser un planificateur de tache pour automatiser cette démarche ? Au passage, si ce n'est pas abuser, je suis également preneur d'une explication avec les mains sur la dangerosité de l'utilisation de certificats auto signés et/ou l'acceptation d’exceptions dans le navigateurs. Merci d'avance, 0 Citer
cpc44 Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 bonjour j'aimerai savoir comment paramétrer le pare-feu pour que le service SSH ne soit accessible que depuis mon réseau local Merci d'avance 0 Citer
oracle7 Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 (modifié) @cpc44 Pour le routeur : Panneau de configuration / Services / System Services --> décocher SSH Pour le NAS : Panneau de configuration / Terminal & SNMP / Terminal --> décocher SSH et dans le parefeu : pas de règle sur le port 22 Cordialement oracle7 😉 Modifié le 26 avril 2020 par oracle7 0 Citer
TuringFan Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 Hello @cpc44, Je suis novice donc toutes mes propositions sont à vérifier avec des personnes plus expérimentées. Tu peux éditer des règles dans le pare-feu : tu peux par exemple choisir d'ouvrir les ports des services que tu souhaites utiliser (SSH pour toi) et limiter l'ouverture à certains IPs et/ou certaines géographie. Il te faut alors choisir les IPs locales : - 172.16.0.0 avec un masque 255.240.0.0 soit des IP allant de 172.16.0.0. à 172.31.255.255 - 192.168.0.0 avec masque 255.255.0.0 soit des IP de 192.168.0.0 à 192.168.255.255 - voire, si tu utilises un VPN, 10.0.0.0 avec un masque 255.0.0.0 soit les IP allant de 10.0.0.0 à 10.255.255.255 Il ne faut pas oublier de créer une règle en bas de liste (intervenant donc après la réalisation des autres règles) qui bloque tous les IPs (en fait tous ceux que tu n'as donc pas explicitement autorisées grâce à tes précédentes règles). Concrètement sur ton DSM tu vas dans Panneau de Configuration > Sécurité > Pare Feu > Modifier les règles > Créer En espérant t'aider 0 Citer
cpc44 Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 bonjour @TuringFan ci-dessous les règles de mon pare-feu. je pose la question car quand j'ai activité le port 22, j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité. 0 Citer
Mic13710 Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 il y a 14 minutes, cpc44 a dit : pour que le service SSH ne soit accessible que depuis mon réseau local Il suffit de ne pas l'ouvrir dans le routeur. Vous l'ouvrez seulement dans le nas (Terminal et SNMP) et si vous avez réglé votre parefeu comme préconisés dans le tuto, vous n'avez pas besoin de faire quoi que ce soit à ce niveau. il y a 8 minutes, cpc44 a dit : j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité. Voir la fin du tuto 0 Citer
oracle7 Posté(e) le 26 avril 2020 Posté(e) le 26 avril 2020 (modifié) @cpc44 Je ne comprends pas, tu demandes d'un coté comment interdire l'usage du protocole SSH sur ton réseau local, et d'un autre tu l'as ouvert aux quatre vents de l'extérieur dans ton parefeu ??? C'est pas cohérent, mais si c'est ton choix .... Edit : Oups , j'ai lu trop vite ta demande initiale, tu ne veux pas interdire SSH sur ton réseau local. Donc oublies STP ma remarque et suis celle de @Mic13710 Cordialement oracle7 😉 Modifié le 26 avril 2020 par oracle7 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.