[TUTO] Sécuriser les accès à son nas - DSM 6.x

[PiwiLAbruti]

Désactive l’UPnP, c’est le mal absolu.

il y a 28 minutes, paddy67 a dit :

Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

Parce que ton IPv6 est encore enregistrée dans le DDNS Synology. Il faut patienter jusqu’à la prochaine mise à jour de ce dernier, ou le mettre à jour manuellement pour que l’adresse IPv4 soit enregistrée.

[paddy67]

j'ai désactivé hier soir et IPV6 n'est plus enregistré dans le DDNS

[PiwiLAbruti]

Dans ce cas, en quelle adresse IP se résout ton nom d'hôte ? (nslookup {hote}.synology.me)

[paddy67]

 

192.168.1.XXX = adresse IP de la freebox

 

Dessous, c'est l'adresse IPV4

 

[PiwiLAbruti]

Et en externe ? (nslookup{hote}.synology.me 80.67.169.12)

[paddy67]

[PiwiLAbruti]

Donc les résolutions sont bonnes ?

[paddy67]

Que dois-je en conclure ?

Dois-je ouvrir des ports ? sur la Freebox ? sur le NAS ?

Avec l'IPV6 activé, cela fonctionnait sans.

 

Modifié le 28 juillet 2019 par paddy67

[PiwiLAbruti]

Je n’en sais rien, tu ne m’as pas dit si la résolution externe se faisait en IPv6 ou en IPv4.

Désolé, mes dons de voyance sont très limités.

[paddy67]

Nom : (hote).synology.me

Adress : XXX.XXX.XXX.XXX ipv4

[paddy67]

J'ai ouvert le port 5001 sur la freebox

et dans le pare feu du NAS

Là j'arrive a accéder au NAS via (hote).synology.me:5001

Il n'y a pas un problème de sécurité en mettant IP source à tous ?

[PiwiLAbruti]

Bah si, et c’est clairement expliqué dans le tuto.

[paddy67]

Si je mets sur france uniquement, ça ne passe plus.

la redirection ddns via synology.me passe par quel pays ?

 

[Rouge]

Le 26/07/2019 à 07:05, shadowking a dit :

Bloquer port 80 en destination, ça bloquera toutes les requêtes qui arriveront sur le port 80 du NAS.

Bloquer port 80 en source, si par exemple ton routeur t'envoie une requête par ce port, ça la bloquera.

 

Le 26/07/2019 à 17:59, dd5992 a dit :

Il faut comprendre que lorsque tu émets une requête sur un site, ta machine a une IP et envoie le message au destinataire par un port donné (port source), étant entendu que la réponse devra être renvoyée à cette adresse IP et à ce port. Ton message est envoyé à l'adresse IP du destinataire à un port donné (destination), fonction du service que tu veux atteindre.

En pratique, il est rare de spécifier un filtrage d'après le port source.

Il est beaucoup plus courant de filtrer par le port de destination. L'utilisation de la liste d'applications intégrées est une facilité qui te facilitera le choix du ou des ports à bloquer.

Merci, C'est très clair !

[dd5992]

Le 28/07/2019 à 09:31, paddy67 a dit :

Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

Bonjour,

Il faut comprendre que les choses fonctionnent différemment en IPV4 et IPV6 et il semble que tu ais les deux (les DDNS de chez Synology fournissent les deux adresses si ton syno a la connectivité IPV6).

• En IPV4 tu as besoin d'une redirection de chacun des ports utilisés par tes requêtes, comme indiqué dans le tuto de Fenrir.
• En IPV6, la Freebox, comme toutes les box, se comporte comme un simple routeur et envoie toutes les requêtes directement vers la machine dont l'adresse est spécifiée, sans filtrage, sauf si le firewall est actif auquel cas la Freebox ne laisse rien passer.

Si les deux protocoles sont actifs (les deux adresses renvoyées par un nslookup), la première qui marche est utilisée, ce qui explique qu'avec IPV6 activé et sans redirection dans la freebox, ça passait alors que non si tu désactivais IPV6.

Il y a 17 heures, paddy67 a dit :

Si je mets sur france uniquement, ça ne passe plus.

la redirection ddns via synology.me passe par quel pays ?

Tu peux résoudre ce problème en ayant ton propre nom de domaine. Alors, les requêtes arriveront directement de l'émetteur vers ta box, sans passer par un intermédiaire.

[paddy67]

Merci.

Comme dis dans le tuto, j'ai désactivé IPV6 et j'ai enfin réussi à me connecter via https://hote.synology.me:5001 en ouvrant le port 5001 sur la freebox et sur le NAS, mais je suis obligé de mettre à "tous".

 

Quel est la différence entre avoir son propre nom de domaine, et utiliser un DDNS ? Il faut bien le prendre chez un prestataire, non ?

 

[dd5992]

Il y a 17 heures, paddy67 a dit :

en ouvrant le port 5001 sur la freebox et sur le NAS, mais je suis obligé de mettre à "tous"

Tu veux dire pour l'IP source? si oui, ça vient peut-etre du fait que tu utilises le DDNS de synology et que tu passes par une indirection chez eux.

C'est quand même bizarre car j'ai testé avec avec la mienne qui est en XXX.diskstation.me qui se résout directement en mon adresse IPV4, donc en France.

Tu confirmes que tu n'utilise pas quickconnect?

Peux tu tester ton adresse host.synology.me avec un DNS lookup (par exemple ici https://dnschecker.org/all-dns-records-of-domain.php) et nous dire si l'adresse renvoyée est bien la tienne?

Tu peux aussi vérifier si l'adresse IP source utilisée pour tes tests est bien reconnue par les bases de données de géolocalisation comme française en testant ici : https://fr.geoipview.com/

Il y a 17 heures, paddy67 a dit :

Quel est la différence entre avoir son propre nom de domaine, et utiliser un DDNS ? Il faut bien le prendre chez un prestataire, non ?

En ayant ton propre nom de domaine, tes requêtes sont envoyées directement de l'émetteur vers ton adresse IP sans redirection. Tu peux donc filtrer dans ton pare feu les IP que tu acceptes, par exemple celles d'un pays donné.

Le DDNS sert en général quand tu as une adresse IP qui varie dans le temps. Avec la Freebox en dégroupé, tu as une adresse fixe. Donc pas besoin de DDNS.

[paddy67]

Oui, je suis obligé de mettre "tous" en IP source.

Le test avec dnschecker.org renvoie bien mon IP freebox 78.XXX.XXX.XX et geoipview localise bien en france.

Je crois que je viens de comprendre, j'essaye de me connecter avec mon PC en local ! En 4g c'est bon !

Merci d'avoir pris du temps pour me répondre.

 

 

 

[nggood]

Bonjour à tous et merci @Fenrir pour ce tuto très complet !

Je suis le nouvel acquéreur d'un nas 918+ (DSM 6.2.2-24922) et j'ai passé pas mal de temps à essayer de rendre accessible mes applications Moments et Drive depuis Internet. J'y arrive sans problèmes depuis les applications mobiles mais impossible de configurer le client Drive depuis un autre PC...

• J'utilise le portail des applications avec des ports spécifiques HTTPS et le reverse proxy
  • ex : https://drive.mon.domaine -> https://ipdunas:[portHTTPS] 
• Je redirige bien le port 443 de ma box vers le 443 de mon nas
• J'ai essayé de me connecter depuis le client Drive avec https://drive.mon.domaine / https://drive.mon.domaine:443 sans succès

Je dois surement rater quelque chose mais je ne vois pas ...

Merci beaucoup pour votre aide 

Modifié le 30 juillet 2019 par Ng_Good

[Jojo (BE)]

merci encore à @Fenrir pour ce tutoriel, que je m'étais empressé d'appliquer dès que j'en ai pris connaissance.

Du coup, en lisant cet article

https://www.synology.com/en-global/company/news/article/2019JulyRansomware

Je me suis dit "ok, ce n'est pas pour nous qui avons appliqué ces règles de sécurité. => cool"

[nggood]

Le 31/07/2019 à 00:09, nggood a dit :

Bonjour à tous et merci @Fenrir pour ce tuto très complet !

Je suis le nouvel acquéreur d'un nas 918+ (DSM 6.2.2-24922) et j'ai passé pas mal de temps à essayer de rendre accessible mes applications Moments et Drive depuis Internet. J'y arrive sans problèmes depuis les applications mobiles mais impossible de configurer le client Drive depuis un autre PC...

• J'utilise le portail des applications avec des ports spécifiques HTTPS et le reverse proxy
  • ex : https://drive.mon.domaine -> https://ipdunas:[portHTTPS] 
• Je redirige bien le port 443 de ma box vers le 443 de mon nas
• J'ai essayé de me connecter depuis le client Drive avec https://drive.mon.domaine / https://drive.mon.domaine:443 sans succès

Je dois surement rater quelque chose mais je ne vois pas ...

Merci beaucoup pour votre aide 

Bonsoir tout le monde !

Petit update de ma question, j'ai essayé plusieurs workaround cette semaine sans m'en sortir... N'hésitez pas à me demander s'il manque des informations !

Merci beaucoup 

[maxou56]

Bonsoir, @nggood

Il faut mieux utiliser un autre port que le 443, car celui ci est utilisé par le https de webstation.

En standard "drive" et "moments" utilise le port 10003 et 10005, il est possible de le changer.

Ensuite pour ce connecter: https://mondomaine.fr:10003 ou https://ipdunas:10003

Ou activer l'alias, et pour ce connecter https://mondomaine.fr/drive/ ou https://ipdunas/drive/
 

Il est aussi possible si vous avez un nom de domaine chez un un hébergeur d'activer la redirection dns.
Ex: drive.mondomaine.fr vers  https://ipfixe:10003

Modifié le 5 août 2019 par maxou56

[nggood]

Bonsoir @maxou56 et merci de ta réponse !

J'ai bien paramétré la redirection drive.mondomaine.fr vers https://ipfixe:10003, ce que j'ai aussi fait pour les applications "Chat" et "Moments" avec les ports 20001 et 10005 respectivement.

Ce qui est étonnant c'est que j'arrive bien à accéder depuis l'extérieur à :

• drive.mondomaine.fr, chat.mondomaine.fr, moments.mondomaine.fr depuis un navigateur
• drive.mondomaine.fr, chat.mondomaine.fr, moments.mondomaine.fr depuis les applications mobiles
• chat.mondomaine.fr depuis le client mac

Seul drive.mondomaine.fr ne fonctionne pas depuis le client mac sans raison apparente... Il m'indique "La connexion a échoué. Veuillez vérifier vos paramètres réseau puis réessayez". Est-ce un bug connu où un problème de configuration de ma part ?

Merci ! 

[maxou56]

il y a 24 minutes, nggood a dit :

Seul drive.mondomaine.fr ne fonctionne pas depuis le client mac sans raison apparente... Il m'indique "La connexion a échoué. Veuillez vérifier vos paramètres réseau puis réessayez". Est-ce un bug connu où un problème de configuration de ma part ?

Je viens de regarder mes réglages pour le client mac, cela fonctionne uniquement pour moi avec mondomaine.fr ou l'ip du NAS

[nggood]

Il y a 10 heures, maxou56 a dit :

Je viens de regarder mes réglages pour le client mac, cela fonctionne uniquement pour moi avec mondomaine.fr ou l'ip du NAS

Hum j'ai essayé avec mondomaine.fr et l'ip de mon NAS mais ca ne fonctionne pas non plus. Vraiment étrange comme comportement... 😓