Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Tu devrais regarder dans les logs nginx du NAS, je ne suis pas chez moi donc je ne peux pas vérifier, mais de souvenir ça doit être en SSH dans /etc/nginx/logs ou quelque chose d'approchant.

EDIT : ou dans /var/log peut-être, avec DSM 7 beaucoup de logs y ont été rapatriés.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

C'est bon avec le sous réseau 10.0.0.0/8 ça fonctionne 😉 Merci !
Je vais même surement voir pour attribué des IPs virtuelles sur la en 192.168.64.201 à 210 ça simplifiera encore plus.

Edit : J'ai dis une bêtise ce n'est pas possible de faire ça puisque que je suis sous le même sous réseau que le principal.

J'ai donc changé en 10.0.0.0/24 ça fait un peu moins d'IPs et c'est plus propre à mon gout.

Merci @.Shad. et @PiwiLAbruti

Modifié par _DR64_
Lien vers le commentaire
Partager sur d’autres sites

il y a 55 minutes, bibou64 a dit :

qu'est-ce qui est autorisé

Bonjour,

Sont autorisées, dans l'ordre des règles, les requètes provenant:

des VPN

des container dockers

des périphériques de tes réseaux internes

En gros tu accèdes à ton nas uniquement en VPN

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, bibou64 a dit :

Je ne suis pas sur de comprende à quoi correspondent ces plages d'IP.

Les trois réseaux utilisés dans les règles de pare-feu sont des réseaux privés pouvant correspondre aux usages indiqués par @Jeff777.

https://fr.wikipedia.org/wiki/Réseau_privé

 

En France, l'écrasante majorité des réseaux locaux configurés par défaut sur les box des opérateurs sont 192.168.0.0/24 ou 192.168.1.0/24, ils appartiennent donc à 192.168.0.0/16 (qu'on pourrait même réduire à 192.168.0.0/23). Tu pourrais finalement désactiver les deux autres règles comportant les réseaux 10.0.0.0/8 et 172.16.0.0/12.

Si tu veux approfondir le sujet des adresse IPv4 : https://fr.wikipedia.org/wiki/Adresse_IP

Ce tutoriel commence à dater et ne tient pas compte d'IPv6 alors qu'il est utilisé chez tous les opérateurs et est bien moins prise de tête qu'IPv4. Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6).

Lien vers le commentaire
Partager sur d’autres sites

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet.

C'est un préfixe que tu ne rencontreras probablement jamais étant donné qu'il est utilisé dans des configurations professionnelles/spécifiques. Tu peux donc retirer la règle qui l'utilise.

Pour information fe80::/10 est l'équivalent de 169.254/16 (adresses automatiques non routable).

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • 2 mois après...

Bonjour à tous

Quelqu'un peut-il m'éclairer sur la configuration du pare-feu SVP ?

J'ai configuré l'interface LAN1 pour qu'elle n'accepte les requêtes que du réseau local et refuse tout le reste.

image.thumb.png.e66c44af7ffdfe73c89ce0158da46a53.png

Il n'y a rien de configuré dans les autres interface. J'ai un VPN mais il est déconnecté.

Et pour autant je ping et curl encore google depuis un terminal connecté en SSH à mon NAS.

J'ai une box Orange derrière mon NAS.

Merci pour votre aide.

 

Lien vers le commentaire
Partager sur d’autres sites

Le pare-feu de DSM ne bloque que les connexions entrantes.
Le NAS lui peut accéder à tout ce qu'il veut, il ne filtre rien en sortie, c'est le comportement par défaut pour tous les pare-feu, c'est plus souvent dans les entreprises ou sur les hotspots publics que tu trouveras du filtrage en sortie.

Vu que tu inities le ping depuis le NAS, ça fonctionne, car le tunnel est établi entre ton NAS et ta destination.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Les erreurs CSP sur un domaine wildcard sont souvent causées par le chargement de ressources externes (images, scripts, feuilles de style, ...) avec un sous-domaine différent de celui du site, comme par exemple un site www.domain.tld qui chargerait du contenu externe depuis static.domain.tld. Il y a plusieurs façons de résoudre/contourner cette anomalie (facilement trouvable via un moteur de recherche).

 

Hors-sujet

Le but de ce type de site, comme beaucoup d'autres qui pullulent depuis quelques années, est d'établir des rapports de l'état de santé d'internet en générant des statistiques d'accessibilité et de vulnérabilité. Ce sont des données qui se vendent très bien actuellement. La déclaration de confidentialité de ce site est peu bavarde à ce sujet, on vous promet seulement que les données sont chiffrées, que les clauses avec les tiers (dont les hébergeurs) sont très strictes, … bref,  que vos données sont sécurisées. Pour le reste, c'est à vous d'évaluer où vous placez le curseur de confiance.

Sur ce type de site prétendant faire de gentils scans sur les adresses qui lui sont fournies en toute confiance par ses visiteurs (désolé, je n'arrive pas le tourner la phrase autrement sans montrer que ça sent mauvais), il y a très souvent une liste des adresses IP des serveurs depuis lesquels les scans sont effectués. Dans le cas présent : https://help.hostedscan.com/help/what-ip-addresses-are-used-for-the-hostedscan-vulnerability-scanners

Le domaine scanners.hostedscan.com se résout en 70 adresses IP (une seul adresse en Hollande, tout le reste est aux USA chez Akamai et Amazon).

Si le scan réussit, ça veut surtout dire que le NAS est ouvert à toutes ces adresses impliquant éventuellement un défaut de configuration du pare-feu (une limitation géographique étant le minimum).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

bonjour à tous, j'avais suivi le tuto (1er message) l'installation de mon nas, il y a quelques années.

Est ce que le tuto a été mis à jour depuis ? En gros est ce que je relis / vérifie tout pour être certain que rien n'a bougé et que mon NAS est toujours aussi bien sécurisé ?

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à tous

J'ai bien suivi les tutos et tout se passait bien pour les accès en local et à distance mais depuis quelques jours, je n'accède plus au Nas à distance (DSM, calendriers, contacts, mails...).

Après quelques tests, je viens de comprendre que c'est le pare-feu qui bloque l'accès : si je le désactive, l'accès distant est correct.

Plus précisément la dernière ligne Tous qui est habituellement sur Refuser bloque tout ; j'ai mis sur Autoriser pour retrouver l'accès.

Qu'est-ce qui peut expliquer cela et comment résoudre ce problème soudain ?

 

Merci par avance 😀

Capture d’écran 2023-04-22 à 12.31.57.pdf

Lien vers le commentaire
Partager sur d’autres sites

En clair, votre parefeu est non seulement une vraie passoire, mais cet aussi le bazar de l’hôtel de ville. Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule.

Si vos accès extérieurs ne fonctionnent pas avec la règle de blocage en bas de page, c'est que votre parefeu fait son travail c'est à dire qu'il ne rencontre pas de règle qui autorise le trafic. Vérifiez que les ports des applications que vous voulez atteindre sont bien autorisés.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ces précieux conseils.

J'ai remis un peu d'ordre dans le bazar, je pense, et j'ai trouvé la raison de l'accès impossible : il manquait des règles (encore) pour HTTP/S et reverse proxy et l'interface DSM.

Configuration pare-feu.pdf

Il y a 13 heures, Mic13710 a dit :

Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule.

D'accord, comment améliorer cette configuration alors ?

Merci encore 😀

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.