[TUTO] Sécuriser les accès à son nas - DSM 6.x

[DocRunner]

Concernant QuickConnect, déconseillé , à partir du moment où il est utilisé via un canal sécurisé  HTPPS , comme c'est possible,  cela est il toujours aussi déconseillé ? merci

[unPixel]

Toujours déconseillé puis que ça passe par les serveurs de Synology donc confidentialité c'est moyen...

Un domaine coute quelques euros par an...

Modifié le 1 avril 2019 par Zeus

[DocRunner]

Un nom de domaine pour  ? 

Nom domaine => adresse IP de la box/routeur => réadressage de port NAS ?

[unPixel]

 

[Mic13710]

Déconseillé parce que transitant par des serveurs tiers. Déconseillé parce que tributaire des aléas de fonctionnement des dits serveurs (et ils tombent souvent en rade). Déconseillé parce que contrairement à son nom, c'est d'une lenteur parfois insupportable. Déconseillé enfin parce que c'est un accès qu'on ne contrôle pas.

Comme le dit fort justement Zeus, un nom de domaine c'est ce qui se fait de mieux. Sinon, on peut aussi utiliser un ndd synology (synology.me). C'est bien évidemment plus compliqué à mettre en oeuvre que quickconnect mais infiniment plus efficace et plus sûr.

[unPixel]

Je pense ajouter tout ce que tu viens de préciser au tuto du nom de domaine 😉

 

Modifié le 1 avril 2019 par Zeus

[Jojo (BE)]

Il y a 9 heures, Mic13710 a dit :

Déconseillé parce que transitant par des serveurs tiers

j'ai un nid chez OVH, mais ne dépends-je pas également d'un serveur tier (européen certes) ?

[Mic13710]

Ca n'a rien à voir. Un ndd met en relation un nom avec une ip. Les serveurs dns ne servent qu'à résoudre ce nom en communiquant l'ip correspondante. Avec quickconnect, tout transite par des serveurs Synology. Son fonctionnement se rapproche d'un VPN.

[Jojo (BE)]

Merci pour l explication 

[unPixel]

Si on voulait imager, ça donnerait simplement ceci :

Quickconnect : connexion client > serveurs tiers > serveur NAS (entre le client et le serveur, tout passe par un tunnel créé par Synology qui facilite la connexion et donc tout passe par leurs serveurs)

Domaine perso : connexion client > serveur NAS (le domaine n'est lié qu'à une adresse IP et l'opérateur (OVH par exemple) n'est chargé que d'indiquer au client que ce domaine est lié à cette adresse IP)

[Jojo (BE)]

Merci, c'est encore un peu plus clair.

Mais la question (théoriqiue) que je me pose, si OVH tombe, est-ce que mon domaine est encore fronctionnel ? (sauf bien-sûr si  mon IP externe change)

[unPixel]

Alors j'ai pas envie de dire une bêtise mais je dirais que oui.

Quand on créer une entrée A chez OVH pour indiquer que le domaine est lié à telle IP alors il va se charger de faire la propagation dans le monde entier.

Je dirais donc que tant que les autres serveurs DNS du monde entier ne prennent pas en compte un autre changement et que l'indisponibilité d'OVH ne dure pas plusieurs jours ça devrait fonctionner.

A prendre  avec des pincettes et attendre l'avis d'autres membres.

[Mic13710]

C'est comme ça que je le comprend.

Quand on interroge un nom de domaine, on passe par les serveurs DNS renseignés dans les paramètres réseau. S'ils ne sont pas renseignés, ce sont les serveurs du FAI qui sont sollicités et qui ont en principe tous les enregistrements. On passe d'abord par le DNS principal, et s'il ne trouve pas le nom dans sa base ou qu'il est surchargé, on va aller interroger le ou les autres serveurs renseignés (DNS secondaires). Tout ce processus ne passe pas par le registar dont le rôle est de maintenir à jour le nom de domaine auprès de tous les serveurs DNS de la planète.

[Jojo (BE)]

Merci à tous les deux, je peux mourir un peu moins stupide (et si je tiens le coup suffisamment longtemps, je ne mourrai probablement pas complètement idiot 🤗

[NiKo_LaKo]

Bonjour à tous, et mille merci pour cet excellent tuto 😉

 

De mon côté, ça fonctionne pas mal, sauf un truc : les liens de partage avec DSfile. (je n'ai essayé qu'avec Dsfile)

J'ai appliqué l'ensemble du tuto, sauf que je n'ai pas de ndd chez ovh ou autre, mais j'ai un XXXX.synology.me

J'ai pu remarquer qu'avec le reverse proxy, mon lien de partage est du type :  https://XXXX.synology.me/sharing/hdyjfkfu

et si je vire le reverse proxy, le partage de lien fonctionne et est du type : https://XXXX.synology.me:7243/sharing/hdyjfkfu

 

Alors y a qu'à ne pas utiliser le reverse proxy vous allez me dire. Ben oui, mais c'est quand même plus pratique avec 🙂

Pourquoi ce partage de lien ne fonctionne pas avec le reverse proxy ?

est-ce que c'est parce que j'utilise un ndd en .synology.me ?

 

Une autre question : ou trouver les adresses IP de LE ?

 

[unPixel]

Bonjour,

Les nouveaux membres sont invités à se présenter dans la section prévue à cet effet 🙂

Présentation - NAS-Forum

Pour ton soucis de partage, voir ici :

 

 

Pour les IPs de Let's Encrypt, ce sont celles là :

[NiKo_LaKo]

OK je vois où est l'erreur : je n'ai pas rempli les champs dans Accès externe/avancé.

 

Nom d'hôte : je met XXXX.Synology.me ou plutôt dsfile.XXXX.Synology.me

DSM (HTTP) : est-ce que je peux laisser vide car j'utilise uniquement le https ?

DSM (HTTPS) : 443 ou 5001 ? car je n'ai pas changé les ports par défaut

 

Donc, pour être sûr, je peux très bien garder mon ndd en synology.me ? 

 

Pour éviter de demander à chaque fois, je peux les trouver ou les IP de LE ? 

[unPixel]

OUVRE TES YEUX... 😲

J'ai posté les IPs juste au dessus !

Modifié le 6 avril 2019 par Zeus

[NiKo_LaKo]

Ah oui ok lol j'avais pas vu le lien 😉  

Merci !

Modifié le 6 avril 2019 par NiKo_LaKo

[lia]

Bonjour,

 

Je viens de faire l'acquisition d'un NAS Synology et je suis aussi nouvelle sur ce forum. Etant complètement novice dans ce domaine, les tutoriels sont vraiment parfait et je te remercie de prendre du temps pour les écrire!

J'y vais pas à pas et j'ai rencontré plusieurs difficultés:

1.

Le 01/12/2016 à 19:33, Fenrir a dit :

Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins.

Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP.

 

Tu recommandes de conserver l'option "définir la configuration réseau automatiquement" car l'attribution dynamique (donc si je comprend bien une IP qui n'est pas fixe) est recommandée mais juste après tu recommandes de fixer l'adresse dans le serveur DHPC. Du coup est ce que tu pourrais clarifier?

2.

je vis en Suisse. Mis à part le choix de la région, est ce que je peux utiliser les mêmes 4 règles de pare-feu que toi?

Je comptais pouvoir uploader mes photos durant mes voyages pour pouvoir les protéger. J'imagine  que du coup je dois avant chaque voyage updated la liste des régions autorisées. Mes est ce que je dois faire d'autres changements?

 

3.

Le parametrage du VPN me semble trop compliqué pour moi

https semble plus accessible mais est ce suffisant? est ce qu'il y a d'autres alternatives?

 

4.

J'ai investi dans un NAS pour pouvoir accéder à mes fichiers multimédia à distance. je tiens à mes informations et je vais les sécuriser au max de mes capacités mais je ne compte pas non plus stocker des données sensibles sur mon NAS. J'aimerais aussi stocker des fichiers que je puisse modifier depuis mon ordi principal ou mon ordi portable quand je suis en déplacement et les garder Synchro (par drive). Du coup ce que j'ai du mal à comprendre c'est: est ce que je fais encourir à mon ordi principal des risques en me connectant au NAS depuis l'extérieur via drive? En gros est ce que la mise en place de la synchronisation ouvre une porte pour accéder aux infos stockées sur mon ordi mais pas sur le NAS? comme je l'ai dit je suis novice, peut être que ma question n'a pas lieu d'être mais je préfère quand même demandé 🙂 

 

merci d'avance

Lia

[PiwiLAbruti]

il y a une heure, lia a dit :

Tu recommandes de conserver l'option "définir la configuration réseau automatiquement" car l'attribution dynamique (donc si je comprend bien une IP qui n'est pas fixe) est recommandée mais juste après tu recommandes de fixer l'adresse dans le serveur DHPC. Du coup est ce que tu pourrais clarifier?

Il ne pas faut pas confondre "attribution dynamique" et "adresse IP pas fixe". Ce n'est pas parce que l'adresse IP est attribuée dynamiquement qu'elle ne peut pas être fixe. Ce que veut dire @Fenrir, c'est qu'afin d'avoir une adresse IP qui ne change pas (pour le bon fonctionnement de certains services qui y sont sensibles) il faut soit la configurer manuellement dans le NAS (1ère option), soit attribuer un bail statique au niveau du serveur DHCP (2ème option, recommandée).

il y a une heure, lia a dit :

je vis en Suisse. Mis à part le choix de la région, est ce que je peux utiliser les mêmes 4 règles de pare-feu que toi?

Oui, sachant que les 4 règles dont tu parles ne permettent d'accéder au NAS que depuis le réseau local et non depuis internet. Plus généralement, il vaut mieux comprendre à quoi sert chacune de ces règles plutôt que des les recopier sans réfléchir (je sais, ce n'est jamais évident pour un novice).

il y a une heure, lia a dit :

https semble plus accessible mais est ce suffisant? est ce qu'il y a d'autres alternatives?

Tu peux parfaitement te contenter de https, mais je conseillerais fortement de disposer d'un nom de domaine et de configurer ce type d'accès avec un reverse proxy (intégré à DSM). Ce n'est pas réellement de la sécurité, mais ça a l'avantage de fortement limiter les tentatives d'intrusion.

il y a une heure, lia a dit :

Du coup ce que j'ai du mal à comprendre c'est: est ce que je fais encourir à mon ordi principal des risques en me connectant au NAS depuis l'extérieur via drive?

S'il n'y a que toi qui puisse te connecter depuis l'extérieur, il n'y a théoriquement aucun risque. Mais comme tu n'es pas seule à utiliser internet dans la pratique, il y a toujours un risque (qu'il est possible de diminuer). Donc la réponse à ta question est oui, il y a un risque.

Il y a 1 heure, lia a dit :

En gros est ce que la mise en place de la synchronisation ouvre une porte pour accéder aux infos stockées sur mon ordi mais pas sur le NAS?

Non, la seule porte ouvert est celle vers le NAS. Ton ordi n'est pas affecté (si son pare-feu est activé et bien configuré).

[lia]

merci beaucoup, ça m'a bien aidé. Mon NAS a maintenant une IP fixe que j'ai parametré directement depuis le routeur. De plus le site mon-ip m'a indiqué que mon FAI m'a attribué une adresse IP public fixe.

Il y a 1 heure, PiwiLAbruti a dit :

Tu peux parfaitement te contenter de https, mais je conseillerais fortement de disposer d'un nom de domaine et de configurer ce type d'accès avec un reverse proxy (intégré à DSM). Ce n'est pas réellement de la sécurité, mais ça a l'avantage de fortement limiter les tentatives d'intrusion.

est ce que tu me conseilles d'utiliser "Synology's DNS Server package" pour configurer mon nom de domaine? le reverse proxy c'est mon prochain Tuto😉

 

merci!

[PiwiLAbruti]

Le nom de domaine est à acheter auprès d’un registrar. Il y en a pour moins de 10€/an (je recommande OVH pour les fonctionnalités supplémentaires comme DDNS).

Tu peux utiliser DNS Server pour configurer une zone locale, ça te permet d’utiliser le même nom d’hôte pour les accès au NAS que ce soit à l’intérieur ou à l’extérieur De ton réseau local. Il y a un tutoriel DNS Server à sujet.

[lia]

 

Le 27/04/2019 à 07:49, PiwiLAbruti a dit :

Le nom de domaine est à acheter auprès d’un registrar. Il y en a pour moins de 10€/an (je recommande OVH pour les fonctionnalités supplémentaires comme DDNS).

Tu peux utiliser DNS Server pour configurer une zone locale, ça te permet d’utiliser le même nom d’hôte pour les accès au NAS que ce soit à l’intérieur ou à l’extérieur De ton réseau local. Il y a un tutoriel DNS Server à sujet.

merci beaucoup pour ton aide!

 

J'ai repris la configuration et je suis en train d'essayer de mettre en place les règles de pare feu. Pour la première règle (autorisation d'accéder à mon NAS pour tous les ports, si depuis mon réseau local) est ce que je dois noter l'adresse IP public (51.xxx.xxx.xxx) ou bien l'adresse local de mon NAS (192.xxx.x.x)? 

et du coup j'ai 2 questions:

- si je note l'adresse public, comment ai-je accès au masque de sous réseau? c'est une IP fixe (confirmer par mon-IP.com)

- si je note l'adresse locale, je ne comprend pas très bien comment ça marche car il me semble que toutes les boxes fournies par mon FAI ont la même adresse locale. Donc je ne comprend pas comment je me protège si je rentre cette adresse. 

 

Merci d'avance

Lia

Modifié le 5 mai 2019 par lia

[Mic13710]

Vous faite exactement les mêmes entrées. L'adresse du NAS n'a rien à faire dans le parefeu. Les adresses locales sont uniquement là pour autoriser les connexions à partir de votre réseau privé sans restrictions, et à moins que vous ayez des doutes sur ceux qui utilisent votre réseau, vous ne devriez pas bloquer ce qui se passe chez vous.

Ca n'a rien à voir avec votre IP publique. Pour les adresses publiques, ce sont les règles que vous mettrez après qui seront appliquées.