CyberFr Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 (modifié) Toutes les photos du tuto original, à la page 1, ont disparu. Problème de rétention sans doute. C'est vache ! Elles sont revenues. J'y comprends rien. Modifié le 24 mars 2021 par CyberFr retour des photos 0 Citer
Mic13710 Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 Les images sont stockées sur les serveurs de Fenrir. Elles ont disparu probablement à cause d'une perte de connexion. Rien de grave. 0 Citer
CyberFr Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 C'est noté. Merci. C'est le genre de tuto qu'il faut lire plusieurs fois. Je l'ai parcouru une première fois, en bloc et maintenant j'y reviens avec un œil neuf et un peu de recul. 0 Citer
Mic13710 Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 Rien ne vous empêche de le copier ... 0 Citer
CyberFr Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 Comment ça, le copier le tuto ? Où il y a du second degré, où alors j'ai rien compris. 0 Citer
Mic13710 Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 Vous avez déjà entendu parlé du copier/coller ? C'est nouveau, ça vient de sortir 😉 Vous sélectionnez le texte et les images que vous collez dans une page word ou autre traitement de texte en mode paysage pour que ça rentre correctement. 0 Citer
CyberFr Posté(e) le 24 mars 2021 Posté(e) le 24 mars 2021 Ah oui, le copier/coller. Il me faudrait les serveurs de Fenrir vu le volume de la discussion 🙂 0 Citer
declencher Posté(e) le 27 mars 2021 Posté(e) le 27 mars 2021 Excellent tuto, très bien expliqué. Merci ! 👏 0 Citer
toutnickel Posté(e) le 5 avril 2021 Posté(e) le 5 avril 2021 (modifié) @Fenrir Bonjour , Merci pour ce tuto, est ce que ces 4 premières règles sont toujours d'actualité ? j'ai ajouter le port perso SSH pour la plage IP local (donc pas d'accès extérieur), que j'utilise et le conseiller de sécurité n'est pas content ... et bien sûr la dernière ligne Voilà ce msg as tu une petite idée ? bonne soirée et merci Modifié le 5 avril 2021 par toutnickel 0 Citer
oracle7 Posté(e) le 5 avril 2021 Posté(e) le 5 avril 2021 @toutnickel Bonjour, Plus la peine de s'adresser à @fenrir, il ne passe plus ici depuis pas mal de temps déjà (il a dit lors de son dernier passage qu'il n'avait plus le temps ! c'est dommage mais c'est comme cela, il faut donc faire avec ...). Cela dit, si j'étais toi : je supprimerai cette ligne liée au port SSH dans ton pare-feu et je n'activerai le service SSH qu'en cas de besoin tout en ayant bien vérifié que le système de blocage auto pour ton compte est bien configuré et activé. Ceci d'autant plus où si je ne me trompe pas tu adressais directement ta box et ton NAS avec ces @IP 192.168.1.1 & 2. je désactiverai la règle liée au port SSH dans ton conseillé sécurité comme c'est préconisé dans le TUTO de sécurisation des accès au NAS. Pour les règle du pare-feu, elles sont toujours et plus que jamais d'actualité. la 2e ligne : si tu utilises par ex un VPN notamment OpenVPN la 3e ligne : si tu utilises par ex un VPN tel que L2TP/IPSec ou des applications sous docker. la 4e ligne : c'est pour autoriser tout ton réseau local sachant que cela m'étonnerai que tu utilises tous les sous-réseaux 192.168.0.0 à 192.168.255.255 ce qui représente tout de même 65534 @IP/machines. Tu peux raisonnablement réduire cela à 255 machines (et ce sera déjà pas mal !) en appliquant simplement le masque 255.255.255.0 au lieu de 255.255.0.0. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 5 avril 2021 Posté(e) le 5 avril 2021 Bonjour, En complément. En général on met les lignes des accès locaux en tête (lignes 2 à 4). La ligne 5 ne sert à rien puisque tu as déjà autorisé tous les ports en accès local par la ligne 4. Donc je la supprimerais. 0 Citer
toutnickel Posté(e) le 5 avril 2021 Posté(e) le 5 avril 2021 @oracle7@Jeff777 Bonsoir, je viens de réagir en lisant vos messages, effectivement ma ligne 5 ne sert pas, 192.168.1.1 à 254 je l'avais précisez pour conservez l'accès au port SSH en local comme cité dans le tuto mais la ligne 4 le fait déjà . et ok pour le conseiller de sécurité. merci a vous deux, bonne soirée @TN 0 Citer
guizmo29 Posté(e) le 11 avril 2021 Posté(e) le 11 avril 2021 Merci pour ce tuto, je le trouve très clair dans la description et je le parcours avec attention. 0 Citer
Dimebag Darrell Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 Bonjour tout le monde, J'ai une question concernant l'identification d'un environnement Synology (depuis l'extérieur) Quand je procède avec des tests de sécurité (en ligne), bien souvent, ils indiquent que c'est la technologie Synology qui est derrière mon nom de domaine. Y a-t-il moyen de cacher cela ? 0 Citer
PiwiLAbruti Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 Quel test de sécurité en ligne ? 0 Citer
Dimebag Darrell Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 https://pentest-tools.com/home -> il indique que sur certains domaines, j'ai un synology qui est derrière... là en ce moment, j'essaie https://www.intruder.io Résultat : A+ ! sur https://pentest-tools.com/home 0 Citer
PiwiLAbruti Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 Utilises-tu QuickConnect ? Ton NAS a visiblement des ports exposés à internet. As-tu appliqué les règles de pare-feu préconisées dans ce tutoriel ? 0 Citer
Dimebag Darrell Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 Il y a 1 heure, PiwiLAbruti a dit : Utilises-tu QuickConnect ? --> Je n'utilise pas quick connect. Ton NAS a visiblement des ports exposés à internet. --> ? as tu fait un check sur mon nom de domaine ? As-tu appliqué les règles de pare-feu préconisées dans ce tutoriel ? --> Oui, j'ai utilisé les recommandations, Par contre mon NAS est derrière un USG (Unifi) qui fait security gateway Concernant les applications qui sont accessibles depuis l'extérieur, j'utilise un reverse proxy (redirection HTTPS et uniquement via le port 443) 0 Citer
PiwiLAbruti Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 il y a 39 minutes, Dimebag Darrell a dit : redirection HTTPS et uniquement via le port 443 C'est suffisant pour détecter ton NAS. As-tu limité les adresses IP source ? Car je ne pense pas que des sites comme pentest-tools.com (UK) ou intruder.io (US) sont hébergés derrière des adresses IP françaises. 0 Citer
Dimebag Darrell Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 @PiwiLAbruti Voici un screenshoot. Sachant que sur mon ubiquiti UNIFI USG, je n'ai ouvert que les ports 443,80 et pour le SFTP 0 Citer
PiwiLAbruti Posté(e) le 14 avril 2021 Posté(e) le 14 avril 2021 (modifié) Pourquoi ouvrir les ports 80, 443, 5679, et 6690 au monde entier ? Ce n'est pas ce qui est recommandé dans le tutoriel. Modifié le 14 avril 2021 par PiwiLAbruti 1 Citer
MilesTEG1 Posté(e) le 15 avril 2021 Posté(e) le 15 avril 2021 Le port 6690 c’est le port de Drive server pour la synchronisation. donc s’il utilise le client Drive pour synchroniser ses fichiers ça me parait logique que ce soit ouvert. les ports 80 et 443 ça doit être pour Let’s Encrypt et sites web utilisant son nom de domaine. L’autre port je ne sais pas... 1 Citer
PiwiLAbruti Posté(e) le 15 avril 2021 Posté(e) le 15 avril 2021 @MilesTEG1 Le problème n'est pas l'ouverture du port en elle-même, mais son étendue d'exposition qui présente un réel risque de securité. 1 Citer
Dimebag Darrell Posté(e) le 15 avril 2021 Posté(e) le 15 avril 2021 (modifié) Merci beaucoup pour le retour, En effet, ces ports sont exposés au monde entier sans aucun GEOIP filtering. Néanmoins, je me dis que cette restriction peut très vite être contourné avec un VPN simulant une IP locale. Soit dit en passant, sauf si c'est un "hacker" débutant, il lui sera impossible de voir ce qu'il se passe, un hacker plus aguerri, cet obstacle sera très vite contourné. Je me trompe peut-être!? Je pars du principe que mon NAS soit accessible facilement, en ouvrant des ports, je sais que je m'expose à des risques. C'est mon but d'avoir mon cloud privé, difficile de faire autrement, ou bien je le ferme complètement et son but initial n'est plus du tout atteint. Concernant des tentatives de connections, j'en ai eu il y a environ 1 an, de manière assez massive. Dans les logs je remarquais que les tentatives venaient d'IP différentes et de région différentes (Nouvelle Zélande, Chine, US, Vietnam...), j'ose imaginer que ce sont les mêmes personnes avec l'utilisation d'un VPN derrière. Pour info, après deux tentatives de connections, l'IP est automatiquement blacklisté J'ai en plus un Unifi Security Gateway (avec un firewall) qui se situe en amont du NAS. Ma question initiale était de savoir s'il est possible de masquer le "footprint" de l'application qui se cache derrière ces ports, à proprement parler, éviter que Synology apparaisse, surtout en cas de faille sur le DSM. Vos recommandations sont les bienvenues. Modifié le 15 avril 2021 par Dimebag Darrell 0 Citer
MilesTEG1 Posté(e) le 15 avril 2021 Posté(e) le 15 avril 2021 Je pense que si tu as un parefeu bien paramétré l'ouverture des ports en question n'est pas dramatique. Ces ports sont ouverts depuis un paquet d'année chez moi, et ce n'est que quand j'ai ouvert le port 22 (oui grosse erreur d'une époque où j'étais un peu plus naïf et surtout ayant moins de connaissances...) que j'ai eu un certains nombre d'attaques, mais heureusement pour moi, à l'époque j'avais déjà plutôt bien paramétré mon parefeu du NAS. (maintenant j'ai en plus le parefeu d'un routeur RT2600AC derrière ma box, en DMZ). Sinon, bah le NAS ne sert plus à grand chose comme le dit @Dimebag Darrell... 1 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.