Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Le 16/06/2018 à 12:53, InfoYANN a dit :

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Hello,

Pour le port, par défaut il est indiqué 22. Il faudrait que j'indique un numéro de port au pif, ex. 23 et le tour est joué?

Pourquoi le port 22 pose problème?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Ce n'est pas qu'il pose problème, c'est que c'est le port par défaut donc connu de tous pour le protocle SSH. Comme pour FTP, c'est 21, https c'est 443 etc et le conseiller de sécurité n'aime pas trop ça et c'est d'ailleurs aussi pour ça qu'il y a cette possiblité de le modifier.

Par contre, tu peux utiliser le port que tu veux mais il faut t'assurer qu'il ne sert pas déjà pour une autre fonction, un service ou un protocole. 23 est par exemple utilisé pour Telnet si je ne dis pas de bêtises...

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

Lien vers le commentaire
Partager sur d’autres sites

il y a 54 minutes, InfoYANN a dit :

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

je comprends donc qu'il vaut mieux ne pas activer le SSH car si je modifie le port il est ouvert et crée une brêche du point de vue sécurité...je me trompe?

Lien vers le commentaire
Partager sur d’autres sites

En clair, il ne sert pratiquement à rien de modifier les numéros de ports par défaut car ça ne ralentirait que de quelques secondes un bon hacker et que ça complique l'utilisation du NAS. Perso j'ai gardé tous les ports par défaut du NAS dont le 22.

Ce qui est infiniment plus important, c'est de n'ouvrir vers l'extérieur que les ports réellement utiles et de les sécuriser au maximum. Par exemple, je n'ouvre pas le 5001 (et encore moins le 5000) vers l'extérieur, ni même les autres ports (file station, video station etc...). Avec un seul port (le 443), un NDD et le reverse proxy, j'accède à tout. Et pour ce qui est du 22, on ne l'ouvre pas dans le routeur ce qui supprime de facto toute tentative d'attaque extérieure sur ce port.

Lien vers le commentaire
Partager sur d’autres sites

OK. La modification de port du SSH n'était prévue que sur le NAS pas sur le routeur.

Par contre si je laisse sur le port par défaut à savoir le 22, j'ai un message  de risque du conseiller de sécurité, cf. captures en haut de cette page.

Lien vers le commentaire
Partager sur d’autres sites

Dans ce cas, tu as deux solutions :

  1. Tu changes le port (chacun son point de vue sur ce cas même si ça arrêtera pas un bon hacker)
  2. Tu décoches la règle concernant la vérification du port SSH dans le conseiller de sécurité.

Dans les deux cas, tu n'auras plus l'alerte !

Lien vers le commentaire
Partager sur d’autres sites

pour la partie blocage d'IP, j'ai augmenté la durée (1200mn). J'ai remarqué que, sur mon syno, les tentatives d'authentification se passaient sur de longues périodes, avec parfois 3 ou 5 mn entre chaque tentative de la même IP, et ce pendant plusieurs jours.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Une question concernant le paramétrage du Firewall pour IPv6 :

lorsque je me connecte depuis  mon LAN sur mon DS718+, les Log du NAS indique que l'IPv6 publique de mon MAC s'est connectée.

Du coup,  je ne comprends pas dans quel cas l'adresse en fe80:: est utilisée ...

une idée ?

Seconde question :

Mon DS218+ est derrière un routeur 3G SFR (le réseau mobile SFR n'est pas encore en IPv6). Lorsque je me connecte via Quickconnect à ce NAS depuis mon iPhone (qui est configuré en IPv6 sur le réseau 4G Orange), mon NAS log l'IPv6 de mon iPhone. Le relai Quickconnect encapsule de l'IPv6 dans du v4 ???

Et troisième question :

J'ai un gros doute sur le fait qu'une règle sur une sélection de pays fonctionne en IPv6. Concrètement, je n'arrive pas à distance (connecté en IPv6) à modifier les règles du pare-feu. Il me dit que la modif ne permet pas ma connexion actuelle.

Comment puis-je confirmer / infirmer cela ?

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour, j'écris ce message pour me faire taper sur les doigts 🤣

J'avais suivi le tuto lors de l’installation du NAS, mais je n'ai jamais fini la partie accès à distance au NAS via un VPN... ou en SFTP...

Bon, Orange m'a changé la livebox du bureau sans ma présence. Je n'arrive pas à me rappeler des règles que j'avais sur ma box...

J'ai bien changé le login / mot de passe admin admin qu'ils avaient laissé...

Sur la box voici ce que j'ai :

Capture31.PNG.0c3d7ccccc2c5f263f4b7753392baaee.PNG

Et voici ce que j'ai en config sur le NAS :

Capture32.thumb.PNG.986fb650fff6a1901dd26d3f579ada1e.PNG

Capture33.thumb.PNG.2c3ec9fdbd9ec2edb5972a9b55cdf4c3.PNG

Dois je laisser la règle du PORT 22 sur ma livebox ? (l'IP 192.168.0.3 est bien celle du NAS).

Merci pour votre aide car j'avoue être largué, et ne pas avoir le temps de tout relire...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, ers31 a dit :

Bonjour je ne sais pas à quoi sers le SSH, je vire donc la règle de redirection de la box, par contre je laisse bien le SSH activé sur le NAS ça peut servir en local en cas de panne non ?

de mémoire (je n'ai pas accès en admin à mon Syno depuis le boulot), mais tu as besoins de cette redirection si tu fais des backups distants avec HyperBackup

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.