[TUTO] Sécuriser les accès à son nas - DSM 6.x

[jef_]

Bonjour, tout d'abord, merci pour le tuto très détaillé de @Fenrir que je remercie chaleureusement.

Je n'ai pas tout appliqué de ses consignes (double autentification p exemple) mais une bonne partie de ses recommandations.

[unPixel]

Et pourtant la double authentification est importante surtout pour le compte administrateur 😉

 

[ers31]

+1 moi je l'ai mise en place !

 

edit : y a aussi ce tuto sur le site de syno : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS

Modifié le 27 février 2019 par ers31

[ers31]

Bonjour,

J'avais utilisé le tuto à la mise en place de mon NAS (usage entreprise) il y a plus d'un an.

Tout roule, mais pour me rassurer, je viens de tout repasser. Il y a plusieurs choses que je ne comprends pas et/ou je me pose des questions.

Je précise que nous ne faisons aucun accès distant au NAS depuis l'extérieur (nous accédons à nos documents sur dropbox qui fait une synchro du NAS avec Cloud Sync (nous avons en plus toutes les sauvegardes qui vont bien).

Donc dans l'ordre (désolé c'est un peu long) !

1- Accès externe : toutes les pages de configuration sont "blanches", ça veut dire que l'accès au NAS depuis l'extérieur n'est pas possible ? (c'est bien ce que nous souhaitons)

2- Réseau : A quoi sert de cocher dans "paramètres de DSM" la case "Activer HTTP/2 (nous ne nous servons pas du navigateur web du NAS), même si l'on ne s'en sert pas ai je un intérêt à cocher cette case ?

3- Parefeu : Voici ma capture de ce que j'ai (j'ai suivi votre tuto), par contre snapshot je pense que c'est le programme qui se l'ait ajouté tout seul (pas de pb ?)

4- Sécurité - Compte (blocage auto dans votre tuto) : A quoi sert de permettre d'activer l'expiration des blocages ? (1 jour) ça ne permet pas à l'attaquant de réessayer, voir réussir son attaque ?

Il y a des paramètres en plus sur cette page, y a t il des choses à y faire, voici la capture :

5- Certificat : Pourquoi ne pas faire confiance au certificat de Syno, quel risque de le laisser ?

6- Privilège : J'ai cette configuration qui est appliquée pour tous les programmes, qu'en pensez vous ? (à l'exception de rsync refus complet y compris administrateur)

7- Portail application : j'ai ça qu'en pensez vous ?

8- Conseiller de sécurité me donne ça. Pourquoi des risques "élevés" sont en vert ???

Désolé pour la longueur du post, et merci pour votre aide.

[unPixel]

Bonjour,

Quelques petites recherches t'aurait déjà permit d'avoir des réponses à certaines questions...😐

Citation

1- Accès externe : toutes les pages de configuration sont "blanches", ça veut dire que l'accès au NAS depuis l'extérieur n'est pas possible ? (c'est bien ce que nous souhaitons)

De quelles pages parles-tu stp ?

Citation

2- Réseau : A quoi sert de cocher dans "paramètres de DSM" la case "Activer HTTP/2 (nous ne nous servons pas du navigateur web du NAS), même si l'on ne s'en sert pas ai je un intérêt à cocher cette case ?

Pas d'intérêt dans ton cas. Quant à l'explication sur cette option, il suffit de la lire juste en dessous de l'option à cocher 🙄

Citation

3- Parefeu : Voici ma capture de ce que j'ai (j'ai suivi votre tuto), par contre snapshot je pense que c'est le programme qui se l'ait ajouté tout seul (pas de pb ?)

Très bien. Pour "snapshot", c'est pas automatique et c'est toi qui l'a validé sans faire attention suite à l'installation du paquet. Quand tu installes un paquet, ce dernier te demande toujours si tu acceptes d'ouvrir les ports pour ce dernier.

Tu aurais du refusé 😉

Si tu n'en as pas besoin alors tu peux certainement désactiver cette règle sauf si le paquet en a besoin pour fonctionner.

Citation

4- Sécurité - Compte (blocage auto dans votre tuto) : A quoi sert de permettre d'activer l'expiration des blocages ? (1 jour) ça ne permet pas à l'attaquant de réessayer, voir réussir son attaque ?

Le blocage de compte permet à un attaquant de ne pas pouvoir faire de bruteforce. Je te laisse chercher...

Et oui, même si tu ne mets pas ton NAS en réseau sur internet, je te recommande vivement de la mettre en place. Une attaque ne se fait pas forcément sur un seul appareil. Il peut très bien rentré dans ton réseau local de l'extérieur via un autre appareil mal sécurisé et ensuite attaquer ton NAS. Tu peux aussi appliquer une règle pour que le blocage ne se fasse pas sur des IPs sûres si tu le souhaites.

Citation

5- Certificat : Pourquoi ne pas faire confiance au certificat de Syno, quel risque de le laisser ?

Ce n'est pas vraiment une histoire de confiance mais plutôt de reconnaissance. Les navigateurs ne le reconnaissent pas comme fiable et dans ce cas, ils mettent des messages qui peuvent faire peur.

Dans ton cas, tu peux le garder et l'utiliser.

Citation

6- Privilège : J'ai cette configuration qui est appliquée pour tous les programmes, qu'en pensez vous ? (à l'exception de rsync refus complet y compris administrateur)

Bah ça, c'est à toi de voir. Comme on ne sait pas ce que tu fais avec ton NAS et quelle utilisation tu autorises à tes employés, on ne peut pas te dire.

Tu dis simplement ne pas avoir besoin d'accéder au NAS via un navigateur.

Citation

7- Portail application : j'ai ça qu'en pensez vous ?

Rien lol. Tu ne veux pas de ça alors n'y touche pas 🙂

Citation

8- Conseiller de sécurité me donne ça. Pourquoi des risques "élevés" sont en vert ???

Quand c'est vert, c'est que c'est sécurisé pour le système hôte (DSM). Quand c'est rouge, c'est qu'il considère qu'il y a un soucis.

Ensuite, les termes "moyenne, élevé" etc... sont pour signaler l'importante de la règle. Par exemple, l'accès SSH doit certainement être sur élevé.

Voilà, je pense avoir fait le tour 😉

 

[ers31]

bonjour,

Merci pour ta réponse, voici les miennes :

Citation

De quelles pages parles-tu stp ?

1- Accès externe, les voici :

Citation

Quant à l'explication sur cette option, il suffit de la lire juste en dessous de l'option à cocher 🙄

2- Réseau :  "Activer HTTP/2" oui j'ai vu l'explication, mais lorsque l'on ne se sert pas du navigateur intégré du DSM, y a t il un intérêt sécuritaire à cocher cette case ?

Citation

 

Pour "snapshot", c'est pas automatique et c'est toi qui l'a validé sans faire attention suite à l'installation du paquet. Quand tu installes un paquet, ce dernier te demande toujours si tu acceptes d'ouvrir les ports pour ce dernier.

Tu aurais du refusé 😉

Si tu n'en as pas besoin alors tu peux certainement désactiver cette règle sauf si le paquet en a besoin pour fonctionner.

 

3- Parefeu : effectivement, cette autorisation a dû me passer au-dessus 🤣 Si je supprime cette régle, et que snapshot en a besoin pour fonctionne, je vais avoir un message d'avertissement immédiatement ou ce sera à moi de vérifier que snapshot fait toujours le boulot ? Snapshot est très important pour nous, je m'en sers de façon quasi quotidienne, je ne veux donc pas de plantage sur cette application.

Citation

 

Le blocage de compte permet à un attaquant de ne pas pouvoir faire de bruteforce. Je te laisse chercher...

Et oui, même si tu ne mets pas ton NAS en réseau sur internet, je te recommande vivement de la mettre en place. Une attaque ne se fait pas forcément sur un seul appareil. Il peut très bien rentré dans ton réseau local de l'extérieur via un autre appareil mal sécurisé et ensuite attaquer ton NAS. Tu peux aussi appliquer une règle pour que le blocage ne se fasse pas sur des IPs sûres si tu le souhaites.

 

4- Sécurité - Compte (blocage auto dans votre tuto) : oui je connais l'attaque bruteforce, ce qui m'étonne c'est que par sécurité le tuto conseille de permettre une expiration du blocage, je pensais qu'une fois l'attaquant détecté il était préférable de l'exclure à vie...

Le blocage de compte est bien ACTIF sur mon NAS comme recommandé par le tuto. Ma question porte sur l'expiration d'un (1) jour, apporte t elle un gain de sécurité ou autre chose ?

5- Certificat : Ok, vu je laisse comme ça.

6- Privilège : l'usage du NAS est des plus basique, 2 dossiers partagés sur le NAS en accès total à tous les utilisateurs. Ils sont bien utilisateurs et non administrateurs. L'accès à ces dossiers s'effectue depuis des PC sous win 10.

7- Portail application : Ok, vu je laisse comme ça.

8- Conseiller de sécurité : il m'alerte sur la redirection http vers httpS, qu'en pensez vous car sauf erreur le tuto ne coche pas cette case de redirection et ce n'est pas énoncé dans les 3 règles avec lesquelles l'auteur du tuto n'est pas d'accord.

9- question bonus, puis je vous donner ici, ou dans un autre post, la configuration de mon routeur (livebox business) afin que vous me rassuriez.

Merci pour l'aide fournie 😃

Modifié le 4 mars 2019 par ers31

[unPixel]

Bonjour,

1. Pour l'accès externe c'est simple, si rien n'est configuré dans le NAS et rien dans ton routeur (firewall) alors il est uniquement sur le réseau local.

2. Aucun intérêt mais au pire ça mange pas de pain et tu peux quand même l'activer si tu le souhaites.

3. Au pire, ça te prendre trente seconde à la remettre 🙂

4. Je suis plutôt du genre à bannir à vie aussi. Le soucis étant surtout que si cette IP est attribuée un jour à toi ou un employé, proche etc... et bien tu ne pourras pas te connecter car l'IP sera bannie.

Imaginons par exemple que par le plus grand des hasard tu partes en vacances et que sur ton lieu de vacances, ton IP est une IP bloquée définitivement sur ton NAS et bien tu n'y auras pas accès. Après, tu as toujours l'accès VPN...

Mais dans ton cas, en effet, tu peux faire du définitif et mettre éventuellement ton réseau local en protection pour pas que ces IPs soient bannies.

8. En effet, c'est pas dans le tuto de Fenrir mais tu peux toujours la désactiver de ton côté dans le conseiller de sécurité afin qu'il ne t'alerte pas sur cette ligne.

9. Ok, poste tes captures d'écran 😉

 

Modifié le 4 mars 2019 par Zeus

[ers31]

bonjour,

C'est bon j'ai tout modifié.

Par contre j'ai ça qui ne me semble pas évoqué dans le tuto on fait quoi pour ces paramètres :

Et voici toutes les captures de ma configuration sur la livebox :

Encore merci pour toute la précieuse aide fournie !

A+

 

 

[unPixel]

Pour la protection de compte, active la.

Pour ta box Orange, ça me parait bon 😉

 

[ers31]

bonjour, ok merci je vais faire ça.

[Pr0TiPx8]

Bonjour à tous et merci à @Fenrir pour ce tutoriel !

J'ai maintenant une petite question, peut être de vocabulaire, dans le tuto dans la partie où il faut créer un Admin avec uniquement des droits d'administration, je l'ai appelé "SuperAdmin" et dans l'onglet "Applications" c'est marqué "Bureau" sur le tuto, sauf que j'ai pas cette "application" dite "Bureau".

Alors j'ai laissé "DSM" de coché puisque j'imagine que c'est l'équivalent de "Bureau" sur le tutoriel ?

Mais pour le coup ça me laisse perplexe parce que finalement si la sécurité de notre NAS failli et que le pirate à accès à ce compte, il peut quand même effectuer des modifications au niveau de l'administration, bien qu'il aura accès à aucun fichier personnel, cela ne représente-il pas un danger ?

Alors après moi j'ai quand même des réserves sur ce point, parce que j'ai laissé une clé de plus de 20 caractères donc avant que ça tombe j'aurai le temps de voir venir et le blocage auto sera intervenu bien avant, dans mon cas 3 tentatives en moins d'une minute => blocage. Qu'en pensez-vous ?

[Jojo (BE)]

il y a 7 minutes, Pr0TiPx8 a dit :

Alors j'ai laissé "DSM" de coché puisque j'imagine que c'est l'équivalent de "Bureau" sur le tutoriel ?

oui.

L'idée est de ne pas utiliser le compte "standard".

De plus, ce compte avait par défaut accès à tout, plus maintenant.

Avec un mdr de 20 caractères tu devrais être tranquille, surtout si tu mes en place la double authentifications.

Si tu veux être sûr de chez sûr, ton compte "superAdmin", tu lui donne un nom aléatoire : "fourchette".

Maintenant pour être sûr que tu peux désactiver le comte admin standard, tu dois d'abord tester le nouveau compte, et comme ça, pas de surprise

[Pr0TiPx8]

Ok super.

La double authentification est également en place pour le compte "Admin" et mon compte perso.

J'ai changé le nom pour que ce soit moins équivoque, j'ai juste mis les autorisations sur mon compte perso pour accéder aux fichiers.

Pas d'adresse email à mettre par contre pour le compte admin vu que j'en ai qu'une seule, pas d'importance ?

Pour ce qui est du reste concernant l'accès externe j'ai fait un poste à part, j'arrive pas à le configurer...

Le reste j'ai suivi à la lettre, pour le certificat pareil j'arrive pas à le faire fonctionner, fin en tout cas Chrome ne reconnaît pas le certificat pourtant quand on regarde dans le détail c'est marqué que celui-ci est valide...

MÀJ OK

TERMINAL OK

Conseiller OK

Pour le portail des applications je reviendrais dessus quand j'aurais résolu mon problème de certificat.

[Jojo (BE)]

il y a 59 minutes, Pr0TiPx8 a dit :

Pas d'adresse email à mettre par contre pour le compte admin vu que j'en ai qu'une seule, pas d'importance ?

il est important de mettre lune adresse mail valide, pour pouvoir récupérer ton mdr en cas de soucis

il y a une heure, Pr0TiPx8 a dit :

Pour ce qui est du reste concernant l'accès externe j'ai fait un poste à part, j'arrive pas à le configurer...

peux-tu SVP m'en donner le lien, car je n'ai pas reçu la notification par mail. => merci

[Pr0TiPx8]

Qu'entends-tu par "mdr" ? Je peux mettre mon adresse email sur mon compte perso + admin ça ne présente pas de risque ?

[Jojo (BE)]

il y a une heure, Pr0TiPx8 a dit :

pour le certificat pareil j'arrive pas à le faire fonctionne

hors de mes compétences, désolé

il y a 1 minute, Pr0TiPx8 a dit :

Qu'entends-tu par "mdr" ? Je peux mettre mon adresse email sur mon compte perso + admin ça ne présente pas de risque ?

mdr, c'était une faute de frappe, ça aurait du être mdr (mot de passe).

Selon moi c'est sans danger, car uniquement stocker un local sur ton Syno, pas dans le cloud.

[Pr0TiPx8]

il y a 4 minutes, Jojo (BE) a dit :

il est important de mettre lune adresse mail valide, pour pouvoir récupérer ton mdr en cas de soucis

peux-tu SVP m'en donner le lien, car je n'ai pas reçu la notification par mail. => merci

Alors j'ai finalement trouvé la solution à mon problème, mais voici le lien de mon sujet : 

Pour le certificat je vais continuer à chercher....

[Pr0TiPx8]

il y a 28 minutes, Jojo (BE) a dit :

mdr, c'était une faute de frappe, ça aurait du être mdr (mot de passe).

Selon moi c'est sans danger, car uniquement stocker un local sur ton Syno, pas dans le cloud.

Ahhh MDP 😉 Ok je vais faire ça alors !

Par contre quand il est dit :

"Donc pour la plupart d'entre vous, le bon choix est de passer par l'assistant pour créer un certificat signé par LetsEncrypt (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement)."

Il faut ouvrir le port 80 dans le pare-feu de notre NAS ? Pour tous les protocoles et tous les IP sources ? Le temps de la validation c'est bien ça ?

Au niveau de la Bbox il faut laisser en permanence ce type de redirections ?

Merci pour vos réponses !

Modifié le 9 mars 2019 par Pr0TiPx8
Pour éviter un doublon

[Pr0TiPx8]

Alors pour vous donner la suite, j'ai réussi à faire fonctionner le certificat !

J'ai ouvert les ports pour le renouvellement et la validation du certificat comme il est expliqué dans un des sujets du forum :

Et comme cette fois-ci j'ai réussi à faire rediriger mon nom de domaine sur mon NAS, le certificat Let's Encrypt a trouvé son existence dans la zone DNS de chez OVH... Ouf !

[Jojo (BE)]

Le 09/03/2019 à 18:34, Pr0TiPx8 a dit :

l faut ouvrir le port 80 dans le pare-feu de notre NAS ? Pour tous les protocoles et tous les IP sources ? Le temps de la validation c'est bien ça ?

oui, et sur le routeur également. J'ai vu quelque part sur le forum les adresses de LetsEncrypt.

Perso, je le renouvelle à la Mano tous les 3 mois

[Mic13710]

il y a 38 minutes, Jojo (BE) a dit :

J'ai vu quelque part sur le forum les adresses de LetsEncrypt.

Juste au dessus de votre message, les deux adresses IP sur le port 80 dans le pare feu.

On peut bien évidemment les laisser en permanence comme ça le renouvellement se fait sans qu'on y pense.

[i-Moi]

Bonjour à tous

un énorme bravo pur ce tuto extraordinaire, non seulement pour le travail qu'il représente, mais pour la réflexion nourrie qui, en amont, l'a permis.

Après l'avoir suivi pas à pas, j'ai une question dont je ne trouve pas la réponse sur le net :

• pour pouvoir partager des fichiers dans File Station, (clic-droit sur le fichier, menu local et "Partager"), est-il nécessaire que le user ait des droits d'administrateur ?

Si j'enlève ces droits d'admin à mon user toto, je perds cette fonction, qui n'apparaît plus dans le menu.

Or, si je résume bien la philosophie globale prônée par Fenrir, l'idéal est que Admin et user n'aient pas les mêmes droits.

Et de fait, je me retrouve avec un user qui est admin, et que je dois identifier à 2 facteurs, ce qui est pénible au quotidien. Je me demandais donc si c'était une fatalité.

Merci bcp !

i-Moi

[Alm]

Bonjour @i-Moi,

Non, pas forcément. Il suffit d'ouvrir une fenêtre de File Station et de cliquer sur "Paramètres": 

Ensuite, dans l'onglet "Liens partagés", on peut définir les droits précisément:

Si vous souhaitez définir qui peut avoir accès à cette fonction, l'option "Utilisateur/groupe spécial" permet de définir qui précisément au cas par cas où via un groupe dont devront faire parti les utilisateurs.

Dans votre cas, vous devez avoir le réglage sur "Administrateurs".

Plus d'infos : https://www.synology.com/fr-fr/knowledgebase/DSM/help/FileStation/sharing

[i-Moi]

Grand merci, j'ai justement fini par trouver la solution ici au même moment, alors que je cherchais depuis des jours entiers... désolé d'avoir posé une question inutile !

Bonne journée à tous 

i-moi

[ekke]

Bonjour

Merci beaucoup pour le tuto, mais étant visiblement une quiche en réseaux, j’ai quelques questions.

Contexte : NAS derrière box qui fait routeur, IP fixe. IP locale attribuée au NAS : 192.168.1.10. Besoin : pouvoir accéder à Drive, Audio Station et Video Station depuis l’extérieur (via apps mobile et PC).

J’ai suivi le tuto en première page aussi bien que possible, j'ai pris un ndd chez OVH (en .ovh, avec notamment un CNAME de *.xxx.ovh poitant vers xxx.ovh) et tout est ok pour le certificat Let's Encrypt. Mais ça devient confus pour moi à partir de la section DDNS. Je numérote mes questions afin de faciliter les réponses (en espérant qu’il y en aura :D)

1/ Section DDNS : je suis en IP fixe, donc je zappe cette section ?

2/ Section réseau / paramètres de DSM : « Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection. ». Que signifie DSM dans ce cas ? L’interface de l’OS ? Comme « Bureau » qui est cité dans « Dans tous les cas, autorisez l'accès au "Bureau" à votre super admin afin de conserver l'accès au panneau de configuration » ? Comme je compte n’utiliser que Drive, Audio Station et Video Station depuis l’extérieur, je ne redirige pas HTTP vers HTTPS, donc ?

3/ Section réseau / paramètres de DSM : « Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS ». Pourquoi voudrais-je accéder au NAS autrement qu’en HTTPS ? Il y a des applis qui ne sont utilisables qu’en HTTP ?

4/ Section Pare-feu (1) : alors c’est là que ça se mélange avec la notion de reverse proxy, ports box, ports NAS, ports des applis…, redirection… Donc, il est écrit « ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière ». J’ai donc fait ceci sur mon routeur :

 

C’est bon ?

5/ Section Pare-feu (2) : j’ai créé le profil suivant (pour le moment je focalise surtout sur faire fonctionner Drive depuis la France et la Suisse):

 

J’ouvre les ports 80 (mais peut-être même pas nécessaire, puisque tout se fait en HTTPS ?) et 443, donc. Le 443 sera utilisé par Drive.

6/ Portail des applications : là je suis paumé. Pour le moment j’en suis là, mais il y a des incohérences très certainement (notamment le port 5001 pour la règle de proxy inversé pour Drive, ici c'ets une capture d'un de mes nonbreux essais):

Ce que je ne comprends pas, c’est que dans le tuto, pour le pare-feu (screenshot du profil « tuto »), il n’y a aucun des ports qu’on peut voir dans le proxy inversé.

7/ Portail des applications : dans le tuto, pourquoi, dans l’onglet « application », on a des couples de ports HTTP/HTTPS 7080/7043 > 7480/7443 alors que dans l’onglet « proxy inversé », la destination ne vise que l’un des deux à chaque fois ? Par exemple à quoi ça sert d’avoir le ports https 7443 pour Video Station si le Proxy inversé ne considère que http://localhost/7480 ?

8/ Mon certificat est valide et installé par défaut, mais quand je me connecte depuis l'extérieur sur "https://xxx.ovh" (avec xxx = le prefixe que j'ai choisi dans ovh), j'ai toujours un "Your connection is not secure". Quel est le problème?

J’aurai d’autres questions bien sûr, mais c’est déjà un beau pavé, on verra pour la suite…

Merci beaucoup pour toute aide !

Modifié le 20 mars 2019 par ekke
Suppression des 2 derniers screenshots inutiles