[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Hitman_11]

Punaise ma recherche sur le fofo ne m'a pas sorti de résultats.

Merci, je vais faire la demande de ce pas.

@mitiés.

[Hitman_11]

Merci EVOTk ça fonctionne.

 

[andre89]

Bonjour a tous

Et merci Fenrir pour ce tuto que j'ai suivi pas a pas. Je suis encore débutant sur les NAS et j'ai une question sur le certificat que j'ai du mal a installer

- je n'ai pas vraiment besoin d'un acces exterieur a mon NAS donc j'ai mis les regles de pare feu suggerées (autoriser 10.0.0.0, 172.16.0.0, 192.168.0.0 et refuser toutes les autres IP)

- j'ai ouvert le port 80 sur ma box (bouygues), voici l'intitule de ma regle : "La règle "port80" redirige tous les protocoles pour les flux Internet ayant le port 80 de la bbox vers le port 80 du périphérique [adresse de mon NAS]"

- j'utilise un nom de domaine hebergé par Synology (dans "Acces externe / DDNS", j'a rajouté un nom de domaine en [nomdedomaine].synology.me)

- j'ai crée un certificat Let's Encrypt en utilisant le nom de domaine hebergé par synology : [nomdedomaine].synology.me

- quand je me connecte  a mon NAS (sur mon reseau local), mon navigateur (chrome) me dit que mon certificat n'est pas valide et je vois le message "Not secure" devant mon adresse

 

Du coup j'ai plusieurs questions, merci a ceux qui pourront m'aider, je m'excuse si ce sont des questions un peu betes !!

1) vu que mon pare feu n'autorise que mon reseau local, est ce que j'ai vraiment besoin d'un certificat ?

2) quand il est ecrit "le port 80 doit être ouvert", est ce que cela veut dire sur la box et / ou aussi sur le NAS (et si oui ou sur le NAS?!)

3) comment supprimer ce message d'erreur sur le certificat ?

Merci beaucoup

Modifié le 8 décembre 2019 par andre89

[.Shad.]

Le 04/12/2019 à 21:06, Erland a dit :

Bonjour,

Suite aux divers Tutos suivis sur ce forum au sujet de :
- la sécurisation,
- le Reverse Proxy,
- le VPN,

(merci aux auteurs !)

Je me pose un certain nombre de questions :

Dans un premier temps sur la sécurité et le Reverse Proxy :

Pour accéder au NAS :

• pour DSM : j'accède en VPN depuis l'extérieur ou en local depuis chez moi pour l'administration.
• pour Audio Station, Video Station, Calendar, File Station : j'accède via le Reverse Proxy depuis l'extérieur ou en local (mais sans VPN).

    => est-ce que cela un sens de fonctionner comme cela ?
    => est ce acceptable au niveau sécurité ?

Merci d'avance pour le partage de vos avis et expériences.

Erland.

Bonjour Erland,

C'est plus une question de philosophie, il se trouve que je fais la même chose que toi, sauf concernant Filestation que je limite à l'acès VPN.
J'aime pouvoir écouter ma musique depuis l'extérieur sans avoir à me connecter à un VPN, surtout quand ce n'est pas un de mes périphériques (PC du bureau, ordinateur d'un ami, etc...)

Pour moi c'est tout à fait acceptable tant que tu suis les recommandations du tutoriel sur la sécurité de Fenrir.

[Erland]

Merci pour ton retour d'expérience,

Effectivement suivant le contenu sur le NAS, il peut être opportun de limiter FileStation au VPN.

Je m'étais effectivement posé la question, mais pour le moment le contenue ne le justifie pas (pour le moment :-)).

[Mic13710]

@andre89, il est d'usage sur ce forum de faire un passage par la section des présentations avant de poster. Certains y sont sensibles.

Un certificat c'est pour un nom de domaine. Si vous vous connectez en local avec l'IP du NAS, le certificat n'est d'aucune utilité, d'où le message.

Pour vos questions :

1. Si vous êtes confiant sur les utilisateurs de votre réseau, vous pouvez passer par le http

2. Si votre parefeu est actif, il faut bien entendu ouvrir le port 80. Si ce n'est que pour le renouvellement du certificat, vous pouvez ne faire que 2 règles sur les IP de Let's Encrypt. Une petite recherche sur le forum vous indiquera lesquelles.

3. Voir ci-dessus, ou passer par le serveur DNS et le reverse proxy et utiliser les adresses avec votre ndd qui sont couvertes par le certificat.

[i-Moi]

Bonjour à tous

Il y a quelques mois, j’ai suivi à la lettre le magnifique Tuto de Fenrir, MAIS j’ai aussi installé le paquet non officiel Domoticz pour Synology. Un beau jour, DSM m’a interdit tout accès, et le support de Syno, après analyse des fichiers logs, m’a affirmé que j’étais victime d’un piratage et que le coupable était la vulnérabilité du package Domoticz.

Je n’ai jamais su si :

A-c’était vrai, et que c’était là la faille qui, malgré la sécurisation des accès distants, avait permis a des hackers d’entrer.

B-c’était faux et que Syno cherchait simplement un bouc émissaire pour se dédouaner.

C-c’était faux et que le Tuto de référence demandait à être complété désormais, car des hackers y avaient trouvé des failles.

De plus, B et C ne sont pas exclusifs l’un de l’autre 🙂

Je pose donc la question : d’après votre expérience personnelle, qu’en est-il ?

1-depuis que vous avez suivi le célèbre Tuto (grâces lui soient rendues), rien à signaler ?

2-avez-vous, vous aussi, eu des mésaventures avec le paquet Domoticz ?

bonne journée et merci à tous, Fenrir en tête évidemment.

[Brunchto]

https://www.domoticz.com/forum/viewtopic.php?t=28329

 

[NASgul]

Question bête 🤓 concernant la limitation des IP autorisées aux françaises dans le pare-feu : les utilisateurs (français) de VPN anonymisant 🕵️‍♀️ qui ont choisi des serveurs basés à l'étranger vont-ils être empêchés d'accéder au NAS entier ? (y compris aux sites web auto hébergés type wordpress ?)

[Invité]

Salut,

Ils auront les services bloqué oui si le vpn n'est pas francais en fonction de tes régles de parfeu.

si tu autorisé le port 80, et 443 de n'importe où alors ils auront accès même si le port 22 (pour ssh par exemple) et limité à une utilisation depuis la France.

[maxou56]

il y a 3 minutes, Retz a dit :

Lorsque j'ai voulu effectuer la procédure de sécurité de ce tuto "sécuriser les accès à son NAS" je constate que le profil admin est déjà désactivé tout comme le profil guest. le seul profil (sur les 3) qui est activé en mode "normal" est le profil issu du web assistant car je vois l'identifiant et le mot de passe que j'ai créé pour installer DSM.

Dois je créer un autre profil ? ou modifier le profil "normal" ? 

Bonjour,

C'est un comportement normal, lors d'une installation, ci on tape autre chose que "admin" alors le compte admin est désactivé.

Et l'utilisateur créé est "Administrateur". (Normale n'est pas un profil cela veut dire actif)

[maxou56]

il y a 9 minutes, Retz a dit :

Je ne savais pas que je devais taper "admin" dans le web assistant.

Tu as bien fait.

il y a 7 minutes, Retz a dit :

Lorsque je visualise ce profil "admin" désactivé il semble y avoir un mot de passe par défaut. je suppose que c'est "password" ?

Tu peux modifier le mot de passe de "admin" (uniquement nécessaire si tu utile SSH car c'est le mot de passe de ROOT) tout en le laissant désactivé.

il y a 10 minutes, Retz a dit :

Appliquer le tuto de sécurisation en créant le profil "monadmin" et en supprimant le profil initié dans le web assistant ?

Tu peux modifier le nom.

Pour info il faut au moins un administrateur.

[maxou56]

Le NAS peut être réinitialisé par réactivation du profil "admin" en appuyant sur le bouton "reset" à l'arrière du coffret. Si je laisse le mot de passe par défaut du profil "admin" la personne qui fait ce reset peut accéder au NAS ? 
peut on verrouiller le bios d'un NAS ?  

Oui le compte admin est restauré par défaut et il est réactivé.
Non on ne peut pas verrouiller le bios.

Par contre il est possible de chiffrer des dossiers partagés, en cas de reset, ceux-ci ne seront pas monté automatiquement et il faudra la clé de cryptage pour y accéder.


Envoyé de mon iPad en utilisant Tapatalk

[maxou56]

il y a 45 minutes, Retz a dit :

J'ai trouvé une option qui permet de conserver le mot de passe personnalisé du profil "admin" même en effectuant un reset

Option qui ne concerne que le simple reset.

Mais qui doit être inefficace pour un double reset, qui réinstalle DSM. Les données seront alors accessible. (Peut être que je fais erreur?)

https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS#t3

[Invité]

Salut,

Je comprend pas bien. Il est normal d'avoir encore accès au donnés. Si tu ne veut pas que cela soit possible il te faut chiffrer les données sur le disques !

Empêcher le reset ne permet que d'empecher quelqu'un de RAZ physique pour accéder a l'interface facilement. Mais dans tout les cas, cela ne l’empêche pas de supprimer DSM, et de le réinstaller pour avoir accès aux données sur les DD. Tout comme si tu sort les DD du NAS est que tu les branche sur une distribution Linux, tu peux les lire !

 

 

[Invité]

Il y a 12 heures, Retz a dit :

suis je mieux préservé des interventions de Free ? La même question se pose en cas de changement de fournisseur FAI ?

Salut,

Passer ta box en bridge avec un routeur ne changera rien aux intervention de Free. Si sa coupe, sa coupe ...

Par contre, les routeurs haut de gamme du commerce permettent beaucoup plus d'action que nos box. Surtout au niveau sécurité, serveur/client VPN, filtrage de ipv4/ipv6, controle du trafic, .. Et en cas de changement de box, l'absence de box n'empechera pas ton reseau local de fonctionner et il y a juste a repasser la nouvelle box en bridge, pour que ton reseau est de nouveau acces a internet !

[Thierry94]

Est-il possible de passer une box en bridge et de conserver les fonctions TV et téléphone  ?

[Invité]

Salut

Pour le téléphone je ne serait te répondre car je n'utilise plus la ligne téléphonique de la box depuis longtemps.

par contre chez free le passage en bridge permet encore d'avoir la télé, mais uniquement sur 1 poste. L'offre multiposte n'est plus disponible en cas de passage en bridge.

[BruceFeuillette]

Il y a 5 heures, Thierry94 a dit :

Est-il possible de passer une box en bridge et de conserver les fonctions TV et téléphone  ?

Il me semble que c'est possible mais compliqué. Les opérateurs utilisent des VLANs pour séparer les flux. Il faut donc mettre un équipement qui fait la même chose. Toute la complexité dépend sur la reprise du service.
J'avais lu un tuto il y a 2 ans sur le remplacement d'une Livebox par un équipement à côté et les explications pour récupérer la téléphonie. Par contre la télévision n'était pas exploitable.

[Thierry94]

Merci je crois que je vais abandonner l'idée

[bouks]

" N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) "

Je pense que depuis le temps le correctif a du être inclus dans DSM.

[damstopper]

Bonjour à tous, 

Voulant donner accès à un dossier de File station à des personnes "extérieures", j'ai voulu m'assurer que mon NAS était bien sécurisé et j'ai donc lu avec attention l'excellent tuto de Fenrir. Clair et compréhensible dans son ensemble, j'ai malgré tout quelques difficultés à bien le mettre en application et notamment concernant la configuration du pare-feu, qui ne paraît pourtant pas très compliqué.

J'ai fait les modifications comme précisées pour la création d'un nouveau profil, j'avoue ne pas avoir compris à quoi ce rapporte ces adresses mais je fais confiance ;-), et la c'est le drame!

Quand je veux sélectionner le nouveau profil et le mettre en application, j'ai la notification suivante (j'espère que l'impression écran sort bien).

J'essaie plusieurs choses en appliquant une par une les modifications, et toujours la même chose. Et pire, je clone le profil par défaut, je le sélectionne et l'applique et la également le même message. 

Je n'y comprends plus rien car il est strictement identique à celui par défaut.

Pouvez-vous m'aider et me dire ce qui ne va pas. et si je n'applique pas les conseils de Fenrir sur ce thème, est-ce réellement préjudiciable pour la sécurité de mon NAS?

En attendant, je poursuis mon paramétrage et vais étudier également le reverse proxy et le VPN.

 

Merci d'avance et bonne journée

 

[Invité]

Salut,

Attention les regles de parfeu s'execute dans l'ordre de haut en bas !

Donc si en 1er tu met "Tous"/"Refusé", meme si en dessous tu met une regle qui autorise ton sous-domaine 192.168.X.X alors tu te vera la connexion rejeté.

De plus le tuto s'applique pour un reseau local en 192.168.X.X ( normalement ton pc, .. ) ou 10.X.X.X ( connexion vpn .. ) ou encore 172.16.X.X ( reseau docker par exemple )

Modifié le 23 janvier 2020 par Invité

[.Shad.]

il y a 5 minutes, EVOTk a dit :

De plus le tuto s'applique pour un reseau local en 192.168.X.X ( normalement ton pc, .. ) ou 10.X.X.X ( connexion vpn .. ) ou encore 172.16.X.X ( reseau docker par exemple )

Je penche clairement pour une divergence au niveau des sous-réseaux utilisés.

[damstopper]

Merci pour vos réponses, mais j'avoue que ça ne m'aide pas beaucoup.

J'ai bien compris que l'ordre des règles était important. Mais alors pourquoi lorsque je clone le profil par défaut, et qui donc fonctionne, et que je veut qu'il soit appliquer j'ai le message d'erreur 😖