Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

il y a 6 minutes, vnihoul77 a dit :

J'ai ouvert les ports 5000 et 5001

Fermez le 5000 dans le routeur. Inutile d'exposer votre NAS en clair sur internet. Il me semble que c'est expliqué dans le tuto.

il y a 10 minutes, vnihoul77 a dit :

Après ça je ne comprend pas très bien quoi faire ?

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

Lien vers le commentaire
Partager sur d’autres sites

Mais si je ferme le port 5000, je serai automatiquement redirigé en HTTPS ? Uniquement pour le DSM ou aussi mes pages Web ?

il y a 2 minutes, Mic13710 a dit :

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

Honnêtement, j'ai du mal à me situer aussi ...

J'ai paramétré mes dossiers partagés, une base de donnée lié à mon site, maintenant je cherche à bien rediriger mon nom de domaine vers le NAS 

Lien vers le commentaire
Partager sur d’autres sites

Les pages web, c'est par les 80 (http) et 443 (https) que ça se passe. Les 5000 et 5001 c'est pour DSM.

Comme il est dit (je crois) dans le tuto, avant de penser à ouvrir son NAS vers l'extérieur, on assure d'abord sa sécurisation.

Pour rediriger votre ndd vers votre site web, il faut activer le serveur web du NAS, l'autoriser dans le parefeu, diriger le 443 du routeur vers le NAS et faire un  enregistrement A (ou un DDNS si IP dynamique) pour faire pointer votre ndd vers votre IP publique.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à la communauté,

Tout d'abord un grand merci pour ces tutos et à tous ceux qui prennent le temps d'y répondre. Nouveau possesseur d'un NAS DS218 Play, je cherche dans un premier temps à le sécuriser au maximum. Je ne pensais pas que ça serait aussi compliqué pour moi, comme beaucoup ici.

Mon Nas me servira uniquement à stocker des films et photos. Je possède une copie dans mon PC.

Désolé, Je vais vous poser des questions bêtes mais malgré plusieurs jours de lecture je ne suis toujours pas sur de moi.

 

1. J'ai activé tout les paramètres de sécurité présent dans ce tuto. J'ai activé et configuré le pare-feu du NAS avec les 4 règles indiquées. Je n'ai ouvert aucun port dans mon routeur Freebox. Première question de newb, A partir du moment ou aucun port du routeur freebox n'est ouvert et redirigé vers le NAS alors celui-ci ne craint rien et il n'est pas accessible de l’extérieur? (En théorie, je sais quand informatique tout est possible)

2. Admettons que mon Nas soit accessible de l’extérieur, le pirate doit il obligatoirement trouver le mot de passe admin pour me balancer un cryptolocker ou est ce plus simple que ça?

3. Si mon Nas est vérolé par un cryptolocker ou autres, mon ordinateur protégé par un pare feu et antivirus est il en grave danger?

4. Quand je me connecte à mon Nas via mon Pc je doit entrer un mot de passe pour accéder aux fichiers en réseau . Pourquoi ma télé est elle capable d'y accéder sans mdp?

5.a. J'ai activé le HTTPS car je ne suis pas familiarisé avec les VPN pour le moment. J'ai donc besoin de certificats. J'ai réussi à en créer un pour "mon-domaine.synology.me" mais comme je ne souhaite pas y accéder de l’extérieur pour le moment ça ne me sert pas vraiment de plus j'ai une IP fixe. Malheureusement, je n'arrive pas à créer de certificat pour une adresse IP. Est ce possible?

5.b. Est ce grave si je me connecte sans certificat depuis mon PC qui est relié à internet? Si j'ai bien compris le tuto, lorsque vous activez le VPN il n'est pas forcement utile d'activer le HTTPS?

6. Vous indiquez qu'il est préférable de désactiver l'IPV6. Cependant, si je le désactive mon Nas n'est plus visible dans mon PC via Ordinateurs -> réseaux? Est ce un bug uniquement chez moi. J'ai une freebox connecté en IPV6 et j'ai le pare-feu IPV6 d'activé...

 

Voila, je vous avez prévenu, c'est vraiment des questions de débutant mais je pense qu'elles vont me permettre de mieux comprendre dans quoi je mets les pieds.

 

Merci beaucoup à ceux qui m’apporteront des réponses

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

bonjour,

je viens de suivre les recos de ce sujet fort utile et enrichissant 🙂
j'ai un problème avec les paramétrages du firewall

en fait, chaque mois j'envoie vers mon NAS les sauvegardes de plusieurs site web. avec les paramètres du tuto l'envoi (via FTP) échoue.
si je désactive le firewall ça passe bien.

qu'est-ce que je pourrais modifier pour que ça fonctionne, sachant que les sites ne sont pas tous hébergés sur le même serveur… donc les envoie proviennent d'IP différentes.

est-ce qu'on peut autoriser le transfert FTP entrant ?

merci !

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, anybodesign a dit :

ok merci,
pour le moment j'ai ajouté cette règle là :

image.png.ee95f16972c2575375babf9e29e9b731.png

mais j'imagine que c'est pas très sécurisé…
il vaudrait donc mieux que j'aille noter toutes les IPs des serveurs ? et que je remplace "France" par la liste de ces IPs ?

Cette règle répond à ton 1er besoin.

En terme de sécurisation, oui tu peux faire "mieux" en ciblant les IP

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
il y a 10 minutes, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Nécessaire : Non. Normalement, le pare feu de ton modem doit foire le nécessaire pour éviter les intrusions.

Utile : Potentiellement. Si le pare feu de ton routeur vient a être contourné ou si quelqu'un arrive à se connecter sur ton réseau local d'une manière ou d'une autre (trojan, piratage wifi etc...).

Modifié par niklos0
orthographe... Comme d'hab
Lien vers le commentaire
Partager sur d’autres sites

Il y a 20 heures, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Dans la plupart des box, le pare feu n'est pas finement paramétrable. Pour vraiment contrôler les flux vers ton syno, il vaut mieux configurer le pare-feu de ce syno... et faire de même pour chacune des machines à protéger.

Ou sinon, avoir un routeur en entrée de ton réseau local et y configurer un pare feu qui protège tout ton réseau local.

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, dd5992 a dit :

 

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC. 

 

Nous sommes bien d'accord. C'est pour ça que je dis que ce n'est en rien nécessaire que ça peut-être utile dans le cas improbable où quelqu'un entre sur ton réseau local.

Il ne faut pas penser que, parce qu'on a sécurisé son Syno il ne faut sécuriser son réseau et inversement. Il faut, bien entendu ajouter de la sécurité de tous les côtés, avec, comme tu l'as dis, un parefeu, un filtre d'adresse MAC etc... Mais tout sera toujours "piratable". D'où l'idée de mettre plusieurs couches de sécurité.

Tu parles de filtre d'adresse MAC, c'est une très bonne chose et une première étape dans la sécurité. Mais un simple spoofing d'adresse MAC et la sécurité est contournée. Une fois de plus, je ne dis pas qu'il ne faut pas mettre de filtrage d'adresse MAC mais qu'il faut multiplier les verrous tout en essayant au mieux de ne se gêner soit même. Et c'est là que ça se corse... Réussir à trouver le juste milieu entre sécurité/prix/liberté.

Modifié par niklos0
Lien vers le commentaire
Partager sur d’autres sites

Un routeur pare-feu matériel, il en existe pas mal (pfSense, Mikrotik, (DD/Open)WRT, etc...), permet de réellement sécuriser son réseau en son sein (et depuis l'extérieur évidemment), à un autre niveau qu'un routeur Synology ou autre.
Mais ça demande certaines connaissances et pas mal de temps si on n'a pas ces dites connaissances... faudra que je me lance un jour. 😄 

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, et Merci Fenrir pour ce Tuto !

J'ai une petite question sur le pare-feu. Quand on ajoute une règle sur un port personnalisé, on a le choix du type de port, "port de destination" ou "port source". Quelle est la différence entre ces 2 types de port ? L'un est pour les paquets entrants et l'autre pour les sortants ? lequel faut -il choisir ?

Et du coup, quel type de port est choisi si on passe par la liste d'applications intégrées ?

Pouvez vous m'expliquer ?

Modifié par Rouge
Lien vers le commentaire
Partager sur d’autres sites

Il faut comprendre que lorsque tu émets une requête sur un site, ta machine a une IP et envoie le message au destinataire par un port donné (port source), étant entendu que la réponse devra être renvoyée à cette adresse IP et à ce port. Ton message est envoyé à l'adresse IP du destinataire à un port donné (destination), fonction du service que tu veux atteindre.

En pratique, il est rare de spécifier un filtrage d'après le port source.

Il est beaucoup plus courant de filtrer par le port de destination. L'utilisation de la liste d'applications intégrées est une facilité qui te facilitera le choix du ou des ports à bloquer.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

J'ai lu avec attention ce tuto, et je tiens à remercier pour la qualité des informations données.

Je possède un DS116 et une freebox revolution, et j'aurai quelques questions concernant l'accès externe.

Mon NAS est configuré comme ceci :

 - Quickconnect = désactivé
 - Accès externe
    * DDNS = activé
    * adresse IPV4 et IPV6
    * statut normal
 - Réseau LAN
    * IPV4 = configuration manuelle
    * IPV6 = auto
    * Paramètres DSM = rediriger HTTP vers HTTPS non coché
 - Sécurité identique au tuto
     
Ma freebox n'a aucune redirection de port    

Jusqu'à maintenant, j'accédait au NAS en local via http://192.168.1.XXX:5000 ou
https://192.168.1.XXX:5001 mais avec une alerte "non sécurisé".

Pour accéder au NAS en HTTPS sans alerte, j'ai configuré le DDNS, comme indiqué dans le tuto, avec un nom d'hote du type XXXX.synology.me. Il m'a été demandé de générer un certificat Let's encrypt et de le sélectionner par défaut. J'ai ensuite supprimé le certificat "auto-signé" du NAS. Je me donc retrouve avec le certiicat XXXX.synology.me par défaut.

A partir de là, je peux accéder au NAS via "https://XXXX.synology.me:5001" (soit sur un PC connecté au réseau, soit sur mon smartphone en 4G). Ma première question est la suivante, est-ce normal d'accéder au NAS depuis l'extérieur, alors qu'aucune redirection de port n'est configurée sur ma freebox ?

Ensuite, j'ai désactivé IPV6 dans RESEAU LAN comme indiqué dans le tuto, et là je ne peux plus accéder au NAS via "https://XXXX.synology.me:5001" que ce soit en local ou en externe. D'où vient le problème ?

Merci.

Modifié par paddy67
Lien vers le commentaire
Partager sur d’autres sites

Si tu y accèdes depuis ton smartphone en 4G c'est que nécessairement le port 5001 est redirigé. As-tu vérifié que la configuration du routeur n'est pas activée sur le NAS et qu'elle n'a pas automatiquement ouvert les portes dont elle estime avoir besoin ?

Sur ta box, ça devrait être renseigné sous l'appellation uPnP pour peu que l'information ait été séparée des ports redirigés manuellement.

Lien vers le commentaire
Partager sur d’autres sites

  1. Oui, c’est normal. Le service DDNS de Synology inclut un relai pour éviter d’avoir à ouvrir des ports sur le routeur. Tout tes accès externes à ton NAS transitent par Lens serveurs relai de Synology.
  2. "http://XXXX.synology.me:5001" : Le port tcp/5001 doit être utilisé en https uniquement.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, PiwiLAbruti a dit :
  1. Oui, c’est normal. Le service DDNS de Synology inclut un relai pour éviter d’avoir à ouvrir des ports sur le routeur. Tout tes accès externes à ton NAS transitent par Lens serveurs relai de Synology.
  2. "http://XXXX.synology.me:5001" : Le port tcp/5001 doit être utilisé en https uniquement.

1. Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

2. Erreur de frappe, je voulais bien dire "https://XXXX.synology.me:5001".

 

Il y a 2 heures, shadowking a dit :

Si tu y accèdes depuis ton smartphone en 4G c'est que nécessairement le port 5001 est redirigé. As-tu vérifié que la configuration du routeur n'est pas activée sur le NAS et qu'elle n'a pas automatiquement ouvert les portes dont elle estime avoir besoin ?

Sur ta box, ça devrait être renseigné sous l'appellation uPnP pour peu que l'information ait été séparée des ports redirigés manuellement.

1- configuration routeur non activée sur le NAS

2- j'ai un menu UPNP sur la freebox activé

 

Capture3.JPG

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.