Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Déconseillé parce que transitant par des serveurs tiers. Déconseillé parce que tributaire des aléas de fonctionnement des dits serveurs (et ils tombent souvent en rade). Déconseillé parce que contrairement à son nom, c'est d'une lenteur parfois insupportable. Déconseillé enfin parce que c'est un accès qu'on ne contrôle pas.

Comme le dit fort justement Zeus, un nom de domaine c'est ce qui se fait de mieux. Sinon, on peut aussi utiliser un ndd synology (synology.me). C'est bien évidemment plus compliqué à mettre en oeuvre que quickconnect mais infiniment plus efficace et plus sûr.

0
Lien vers le commentaire
Partager sur d’autres sites
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Si on voulait imager, ça donnerait simplement ceci :

Quickconnect : connexion client > serveurs tiers > serveur NAS (entre le client et le serveur, tout passe par un tunnel créé par Synology qui facilite la connexion et donc tout passe par leurs serveurs)

Domaine perso : connexion client > serveur NAS (le domaine n'est lié qu'à une adresse IP et l'opérateur (OVH par exemple) n'est chargé que d'indiquer au client que ce domaine est lié à cette adresse IP)

0
Lien vers le commentaire
Partager sur d’autres sites
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Alors j'ai pas envie de dire une bêtise mais je dirais que oui.

Quand on créer une entrée A chez OVH pour indiquer que le domaine est lié à telle IP alors il va se charger de faire la propagation dans le monde entier.

Je dirais donc que tant que les autres serveurs DNS du monde entier ne prennent pas en compte un autre changement et que l'indisponibilité d'OVH ne dure pas plusieurs jours ça devrait fonctionner.

A prendre  avec des pincettes et attendre l'avis d'autres membres.

0
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

C'est comme ça que je le comprend.

Quand on interroge un nom de domaine, on passe par les serveurs DNS renseignés dans les paramètres réseau. S'ils ne sont pas renseignés, ce sont les serveurs du FAI qui sont sollicités et qui ont en principe tous les enregistrements. On passe d'abord par le DNS principal, et s'il ne trouve pas le nom dans sa base ou qu'il est surchargé, on va aller interroger le ou les autres serveurs renseignés (DNS secondaires). Tout ce processus ne passe pas par le registar dont le rôle est de maintenir à jour le nom de domaine auprès de tous les serveurs DNS de la planète.

0
Lien vers le commentaire
Partager sur d’autres sites
NiKo_LaKo Newbie

NiKo_LaKo

Posté(e)
Posté(e)

Bonjour à tous, et mille merci pour cet excellent tuto 😉

 

De mon côté, ça fonctionne pas mal, sauf un truc : les liens de partage avec DSfile. (je n'ai essayé qu'avec Dsfile)

J'ai appliqué l'ensemble du tuto, sauf que je n'ai pas de ndd chez ovh ou autre, mais j'ai un XXXX.synology.me

J'ai pu remarquer qu'avec le reverse proxy, mon lien de partage est du type :  https://XXXX.synology.me/sharing/hdyjfkfu

et si je vire le reverse proxy, le partage de lien fonctionne et est du type https://XXXX.synology.me:7243/sharing/hdyjfkfu

 

Alors y a qu'à ne pas utiliser le reverse proxy vous allez me dire. Ben oui, mais c'est quand même plus pratique avec 🙂

Pourquoi ce partage de lien ne fonctionne pas avec le reverse proxy ?

est-ce que c'est parce que j'utilise un ndd en .synology.me ?

 

Une autre question : ou trouver les adresses IP de LE ?

 

0
Lien vers le commentaire
Partager sur d’autres sites
NiKo_LaKo Newbie

NiKo_LaKo

Posté(e)
Posté(e)

OK je vois où est l'erreur : je n'ai pas rempli les champs dans Accès externe/avancé.

 

Nom d'hôte : je met XXXX.Synology.me ou plutôt dsfile.XXXX.Synology.me

DSM (HTTP) : est-ce que je peux laisser vide car j'utilise uniquement le https ?

DSM (HTTPS) : 443 ou 5001 ? car je n'ai pas changé les ports par défaut

 

Donc, pour être sûr, je peux très bien garder mon ndd en synology.me ? 

 

Pour éviter de demander à chaque fois, je peux les trouver ou les IP de LE ? 

0
Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
lia Newbie

lia

Posté(e)
Posté(e)

Bonjour,

 

Je viens de faire l'acquisition d'un NAS Synology et je suis aussi nouvelle sur ce forum. Etant complètement novice dans ce domaine, les tutoriels sont vraiment parfait et je te remercie de prendre du temps pour les écrire!

J'y vais pas à pas et j'ai rencontré plusieurs difficultés:

1.

Le 01/12/2016 à 19:33, Fenrir a dit :

Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins.

Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP.

 

Tu recommandes de conserver l'option "définir la configuration réseau automatiquement" car l'attribution dynamique (donc si je comprend bien une IP qui n'est pas fixe) est recommandée mais juste après tu recommandes de fixer l'adresse dans le serveur DHPC. Du coup est ce que tu pourrais clarifier?

2.

je vis en Suisse. Mis à part le choix de la région, est ce que je peux utiliser les mêmes 4 règles de pare-feu que toi?

Je comptais pouvoir uploader mes photos durant mes voyages pour pouvoir les protéger. J'imagine  que du coup je dois avant chaque voyage updated la liste des régions autorisées. Mes est ce que je dois faire d'autres changements?

 

3.

Le parametrage du VPN me semble trop compliqué pour moi

https semble plus accessible mais est ce suffisant? est ce qu'il y a d'autres alternatives?

 

4.

J'ai investi dans un NAS pour pouvoir accéder à mes fichiers multimédia à distance. je tiens à mes informations et je vais les sécuriser au max de mes capacités mais je ne compte pas non plus stocker des données sensibles sur mon NAS. J'aimerais aussi stocker des fichiers que je puisse modifier depuis mon ordi principal ou mon ordi portable quand je suis en déplacement et les garder Synchro (par drive). Du coup ce que j'ai du mal à comprendre c'est: est ce que je fais encourir à mon ordi principal des risques en me connectant au NAS depuis l'extérieur via drive? En gros est ce que la mise en place de la synchronisation ouvre une porte pour accéder aux infos stockées sur mon ordi mais pas sur le NAS? comme je l'ai dit je suis novice, peut être que ma question n'a pas lieu d'être mais je préfère quand même demandé 🙂 

 

merci d'avance

Lia

0
Lien vers le commentaire
Partager sur d’autres sites
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)
il y a une heure, lia a dit :

Tu recommandes de conserver l'option "définir la configuration réseau automatiquement" car l'attribution dynamique (donc si je comprend bien une IP qui n'est pas fixe) est recommandée mais juste après tu recommandes de fixer l'adresse dans le serveur DHPC. Du coup est ce que tu pourrais clarifier?

Il ne pas faut pas confondre "attribution dynamique" et "adresse IP pas fixe". Ce n'est pas parce que l'adresse IP est attribuée dynamiquement qu'elle ne peut pas être fixe. Ce que veut dire @Fenrir, c'est qu'afin d'avoir une adresse IP qui ne change pas (pour le bon fonctionnement de certains services qui y sont sensibles) il faut soit la configurer manuellement dans le NAS (1ère option), soit attribuer un bail statique au niveau du serveur DHCP (2ème option, recommandée).

il y a une heure, lia a dit :

je vis en Suisse. Mis à part le choix de la région, est ce que je peux utiliser les mêmes 4 règles de pare-feu que toi?

Oui, sachant que les 4 règles dont tu parles ne permettent d'accéder au NAS que depuis le réseau local et non depuis internet. Plus généralement, il vaut mieux comprendre à quoi sert chacune de ces règles plutôt que des les recopier sans réfléchir (je sais, ce n'est jamais évident pour un novice).

il y a une heure, lia a dit :

https semble plus accessible mais est ce suffisant? est ce qu'il y a d'autres alternatives?

Tu peux parfaitement te contenter de https, mais je conseillerais fortement de disposer d'un nom de domaine et de configurer ce type d'accès avec un reverse proxy (intégré à DSM). Ce n'est pas réellement de la sécurité, mais ça a l'avantage de fortement limiter les tentatives d'intrusion.

il y a une heure, lia a dit :

Du coup ce que j'ai du mal à comprendre c'est: est ce que je fais encourir à mon ordi principal des risques en me connectant au NAS depuis l'extérieur via drive?

S'il n'y a que toi qui puisse te connecter depuis l'extérieur, il n'y a théoriquement aucun risque. Mais comme tu n'es pas seule à utiliser internet dans la pratique, il y a toujours un risque (qu'il est possible de diminuer). Donc la réponse à ta question est oui, il y a un risque.

Il y a 1 heure, lia a dit :

En gros est ce que la mise en place de la synchronisation ouvre une porte pour accéder aux infos stockées sur mon ordi mais pas sur le NAS?

Non, la seule porte ouvert est celle vers le NAS. Ton ordi n'est pas affecté (si son pare-feu est activé et bien configuré).

0
Lien vers le commentaire
Partager sur d’autres sites
lia Newbie

lia

Posté(e)
Posté(e)

merci beaucoup, ça m'a bien aidé. Mon NAS a maintenant une IP fixe que j'ai parametré directement depuis le routeur. De plus le site mon-ip m'a indiqué que mon FAI m'a attribué une adresse IP public fixe.

Il y a 1 heure, PiwiLAbruti a dit :

Tu peux parfaitement te contenter de https, mais je conseillerais fortement de disposer d'un nom de domaine et de configurer ce type d'accès avec un reverse proxy (intégré à DSM). Ce n'est pas réellement de la sécurité, mais ça a l'avantage de fortement limiter les tentatives d'intrusion.

est ce que tu me conseilles d'utiliser "Synology's DNS Server package" pour configurer mon nom de domaine? le reverse proxy c'est mon prochain Tuto😉

 

merci!

0
Lien vers le commentaire
Partager sur d’autres sites
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Le nom de domaine est à acheter auprès d’un registrar. Il y en a pour moins de 10€/an (je recommande OVH pour les fonctionnalités supplémentaires comme DDNS).

Tu peux utiliser DNS Server pour configurer une zone locale, ça te permet d’utiliser le même nom d’hôte pour les accès au NAS que ce soit à l’intérieur ou à l’extérieur De ton réseau local. Il y a un tutoriel DNS Server à sujet.

0
Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
lia Newbie

lia

Posté(e)
Posté(e) (modifié)

 

Le 27/04/2019 à 07:49, PiwiLAbruti a dit :

Le nom de domaine est à acheter auprès d’un registrar. Il y en a pour moins de 10€/an (je recommande OVH pour les fonctionnalités supplémentaires comme DDNS).

Tu peux utiliser DNS Server pour configurer une zone locale, ça te permet d’utiliser le même nom d’hôte pour les accès au NAS que ce soit à l’intérieur ou à l’extérieur De ton réseau local. Il y a un tutoriel DNS Server à sujet.

merci beaucoup pour ton aide!

 

J'ai repris la configuration et je suis en train d'essayer de mettre en place les règles de pare feu. Pour la première règle (autorisation d'accéder à mon NAS pour tous les ports, si depuis mon réseau local) est ce que je dois noter l'adresse IP public (51.xxx.xxx.xxx) ou bien l'adresse local de mon NAS (192.xxx.x.x)? 

et du coup j'ai 2 questions:

- si je note l'adresse public, comment ai-je accès au masque de sous réseau? c'est une IP fixe (confirmer par mon-IP.com)

- si je note l'adresse locale, je ne comprend pas très bien comment ça marche car il me semble que toutes les boxes fournies par mon FAI ont la même adresse locale. Donc je ne comprend pas comment je me protège si je rentre cette adresse. 

 

Merci d'avance

Lia

Modifié par lia
0
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Vous faite exactement les mêmes entrées. L'adresse du NAS n'a rien à faire dans le parefeu. Les adresses locales sont uniquement là pour autoriser les connexions à partir de votre réseau privé sans restrictions, et à moins que vous ayez des doutes sur ceux qui utilisent votre réseau, vous ne devriez pas bloquer ce qui se passe chez vous.

Ca n'a rien à voir avec votre IP publique. Pour les adresses publiques, ce sont les règles que vous mettrez après qui seront appliquées.

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.