[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Remi7449]

Il y a 11 heures, Jeff777 a dit :

Bonjour,

...

Mon langage n'est pas très technique mais je l'espère à peu près clair.

Bonjour Jeff,

Si merci ton explication est parfaitement clair. C'est cette histoire de fichier htaccess qui me fait un peu peur. On ne l'a retrouve pas dans tous les tutos, c'est du bonus ? Parce que de ce que j'ai compris si il y a que le port 443 qui est ouvert sur l'extérieur il y aura que du https qui pourra y "entrer". Si oui, je comprend alors le non risque de désactiver l'option http->https dans (réseau/paramètre du DSM).

J'ai bon ?

[Jeff777]

Oui si tu n'ouvres que le port 443 il n'y aura que du https qui pourra rentrer mais si tu ouvres le port 80 et que tu installes un fichier htaccess avec redirection alors tout ce qui entre passera en https et la connexion sera sécurisée. Les deux solutions se valent d'après moi (à confirmer par plus qualifié que moi) celle avec le htaccess est plus tolérante en cas d'oubli du https dans l'adresse.

Il y a des tas de post sur comment faire un htaccess.

[Remi7449]

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

[jmy06]

Salut à tous

"un petit coup de main, j ai activé HTTPS et maintenant je suis bloqué avec mon navigateur , une idée SVP merci" résolu....

 

"le savoir ne vaut que si il est partagé" Un grand merci à DaffY

Modifié le 28 mars 2020 par jmy06
résolution

[jerome34000]

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

[jerome34000]

il y a 24 minutes, jerome34000 a dit :

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

Problème résolu par la FAC Synology

[fansyl]

Le 12/02/2020 à 21:13, Remi7449 a dit :

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

Je cherche l'IP de Let's Encrypt mais les informations que je trouve indiquent qu'ils sont en IP dynamiques. Comment as-tu fait ?

[Thierry94]

Il faut ouvrir le port 80 sans limitation d'Ip pour faire le renouvellement de certificat Let's Encrypt

[jerome34000]

Pour la première fois, j'ai reçu une alerte du conseillé sécurité. Ceci faisant suite à la mise en application de plusieurs tutos, au demeurant très bien fait et compréhensibles.

Le rapport indique deux alertes : 

La première concerne la non activation du blocage des adresses IP avec plusieurs erreurs de connexion. cela c'est réglé.

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

J'ai fait une recherche par mot clé avec SSH mais je n'ai rien trouvé.

EN recherchant j'ai trouvé ceci : https://www.tuto-synology.fr/terminal/service-ssh/#.Xorb4zfVI2w. il est indiqué qu'il faut activé le port 22. 

Quelqu'un peut-il m'aiguiller 

Bonne journée à tous 

 

[Mic13710]

Relisez la partie du tuto concernant le conseiller de sécurité.

[Invité]

il y a 4 minutes, jerome34000 a dit :

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

Effectivement on recommande de ne pas utilisé les ports par défaut ( et c'est valable pour tout ).

Tu peut le modifier dans Panneau de Config > Terminal

Malgré tout, ci votre port n'est pas exposé a sur internet, il n'y a pas de soucis.

[jerome34000]

Merci à tous les deux. 

[NiKo_LaKo]

Bonjour à tous,

 

Existe t-il une version de ces tutos (Sécuriser son NAS et Reverse proxy et VPN) avec IPv6 ? ou l'ipv6 est-il encore à éviter ?

[PiwiLAbruti]

La méthodologie est la même en IPv6 que ce qui est expliqué en IPv4 en remplaçant les IPv4 privées par les adresses locales IPv6.

Qu’attends-tu d’IPv6 par rapport à IPv4 ?

[NiKo_LaKo]

Rien de spéciale en faite, si ce n'est une configuration plus simple, étant donné qu'en IPv6 il ne devrait pas y avoir de ports à ouvrir.

Je me dis que ça doit simplifier les accès depuis l'extérieur....

Modifié le 12 avril 2020 par NiKo_LaKo
Correction

[PiwiLAbruti]

En fait ça ne simplifie pas les accès, c’est même plutôt tout le contraire.

L’avantage du NAT en IPv4 est justement que l’ont sait exactement ce qui est ouvert sur internet, mais ça a tout de même des limitations par rapport à IPv6 (un seul équipement derrière chaque port, ...). 

En IPv6 chaque équipement du réseau doit disposer d’un pare-feu pour bloquer le trafic entrant indésirable. C’est d’ailleurs ce qui pose problème d’entrée de jeu avec les objets connectés mal sécurisés qui deviennent alors des points d’entrée sur tout le réseau local.

Dans l’ideal, il faut un pare-feu en amont des équipements locaux sur lequel on peut définir des règles de filtrage (ce qui rejoint la complexité qui tu voyais en IPv4). Mais ce n’est pas toujours possible, le cas le plus lamentable étant celui de la Freebox sur laquelle il n’est pas possible de définir des règles de filtrage en IPv6, il y a juste un gros switch on/off du filtrage des connexions entrantes.

Donc attention, il y a beaucoup de choses à considérer avant de passer à IPv6. Ce n’est pas insurmontable mais il faut bien comprendre les enjeux de sécurité que ça implique sans quoi votre réseau local peut rapidement est compromis.

[NiKo_LaKo]

Merci pour ces précisions intéressantes.

 

Je comptai ne mettre que le NAS en IPv6 et il a un pare-feu. Mais si ça ne simplifie pas plus que ça, autant rester en IPv4.

Je vais quand même continuer de préparer le terrain de l'ipV6, en checkant si mes équipements sont équipés de pare-feu (cam, switch)

[TuringFan]

Le 01/12/2016 à 19:33, Fenrir a dit :

(le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement)

Bonjour,

Merci pour ces supers tuto.

Est-il possible d'automatiser cette procédure ?

Merci d'avance,

[TuringFan]

Le 01/12/2016 à 19:33, Fenrir a dit :

(le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement)

Bonjour,

Est il possible d'utiliser un planificateur de tache pour automatiser cette démarche ?

Au passage, si ce n'est pas abuser, je suis également preneur d'une explication avec les mains sur la dangerosité de l'utilisation de certificats auto signés et/ou l'acceptation d’exceptions dans le navigateurs.

Merci d'avance,

[cpc44]

bonjour

j'aimerai savoir comment paramétrer le pare-feu pour que le service SSH ne soit accessible que depuis mon réseau local

 

Merci d'avance

 

[oracle7]

@cpc44

1. Pour le routeur : Panneau de configuration / Services / System Services --> décocher SSH
2. Pour le NAS : Panneau de configuration / Terminal & SNMP / Terminal --> décocher SSH
3. et dans le parefeu : pas de règle sur le port 22

Cordialement

oracle7 😉

Modifié le 26 avril 2020 par oracle7

[TuringFan]

Hello @cpc44,

Je suis novice donc toutes mes propositions sont à vérifier avec des personnes plus expérimentées.

Tu peux éditer des règles dans le pare-feu : tu peux par exemple choisir d'ouvrir les ports des services que tu souhaites utiliser (SSH pour toi) et limiter l'ouverture à certains IPs et/ou certaines géographie.

Il te faut alors choisir les IPs locales :

- 172.16.0.0 avec un masque 255.240.0.0 soit des IP allant de 172.16.0.0. à 172.31.255.255
- 192.168.0.0 avec masque 255.255.0.0 soit des IP de 192.168.0.0 à 192.168.255.255

- voire, si tu utilises un VPN, 10.0.0.0 avec un masque 255.0.0.0 soit les IP allant de 10.0.0.0 à 10.255.255.255

Il ne faut pas oublier de créer une règle en bas de liste (intervenant donc après la réalisation des autres règles) qui bloque tous les IPs (en fait tous ceux que tu n'as donc pas explicitement autorisées grâce à tes précédentes règles).

Concrètement sur ton DSM tu vas dans Panneau de Configuration > Sécurité > Pare Feu > Modifier les règles > Créer

En espérant t'aider

[cpc44]

bonjour  @TuringFan

ci-dessous les règles de mon pare-feu. je pose la question car quand j'ai activité le port 22, j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

[Mic13710]

il y a 14 minutes, cpc44 a dit :

pour que le service SSH ne soit accessible que depuis mon réseau local

Il suffit de ne pas l'ouvrir dans le routeur. Vous l'ouvrez seulement dans le nas (Terminal et SNMP) et si vous avez réglé votre parefeu comme préconisés dans le tuto, vous n'avez pas besoin de faire quoi que ce soit à ce niveau.

il y a 8 minutes, cpc44 a dit :

j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

Voir la fin du tuto

[oracle7]

@cpc44

Je ne comprends pas, tu demandes d'un coté comment interdire l'usage du protocole SSH sur ton réseau local, et d'un autre tu l'as ouvert aux quatre vents de l'extérieur dans ton parefeu ???

C'est pas cohérent, mais si c'est ton choix ....

Edit : Oups , j'ai lu trop vite ta demande initiale, tu ne veux pas interdire SSH sur ton réseau local. Donc oublies STP ma remarque et suis celle de @Mic13710

Cordialement

oracle7 😉

 

Modifié le 26 avril 2020 par oracle7