Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

Remi7449 Newbie

Remi7449

Posté(e)
Posté(e)
Il y a 11 heures, Jeff777 a dit :

Bonjour,

...

Mon langage n'est pas très technique mais je l'espère à peu près clair.

Bonjour Jeff,

Si merci ton explication est parfaitement clair. C'est cette histoire de fichier htaccess qui me fait un peu peur. On ne l'a retrouve pas dans tous les tutos, c'est du bonus ? Parce que de ce que j'ai compris si il y a que le port 443 qui est ouvert sur l'extérieur il y aura que du https qui pourra y "entrer". Si oui, je comprend alors le non risque de désactiver l'option http->https dans (réseau/paramètre du DSM).

J'ai bon ?

0
Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

Oui si tu n'ouvres que le port 443 il n'y aura que du https qui pourra rentrer mais si tu ouvres le port 80 et que tu installes un fichier htaccess avec redirection alors tout ce qui entre passera en https et la connexion sera sécurisée. Les deux solutions se valent d'après moi (à confirmer par plus qualifié que moi) celle avec le htaccess est plus tolérante en cas d'oubli du https dans l'adresse.

Il y a des tas de post sur comment faire un htaccess.

0
Lien vers le commentaire
Partager sur d’autres sites
Remi7449 Newbie

Remi7449

Posté(e)
Posté(e)

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

0
Lien vers le commentaire
Partager sur d’autres sites
  • 1 mois après...
jmy06 Newbie

jmy06

Posté(e)
Posté(e) (modifié)

Salut à tous

"un petit coup de main, j ai activé HTTPS et maintenant je suis bloqué avec mon navigateur , une idée SVP merci" résolu....

 

"le savoir ne vaut que si il est partagé" Un grand merci à DaffY

Modifié par jmy06
résolution
0
Lien vers le commentaire
Partager sur d’autres sites
jerome34000 Newbie

jerome34000

Posté(e)
Posté(e)

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

0
Lien vers le commentaire
Partager sur d’autres sites
jerome34000 Newbie

jerome34000

Posté(e)
Posté(e)
il y a 24 minutes, jerome34000 a dit :

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

Problème résolu par la FAC Synology

0
Lien vers le commentaire
Partager sur d’autres sites
fansyl Newbie

fansyl

Posté(e)
Posté(e)
Le 12/02/2020 à 21:13, Remi7449 a dit :

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

Je cherche l'IP de Let's Encrypt mais les informations que je trouve indiquent qu'ils sont en IP dynamiques. Comment as-tu fait ?

0
Lien vers le commentaire
Partager sur d’autres sites
jerome34000 Newbie

jerome34000

Posté(e)
Posté(e)

Pour la première fois, j'ai reçu une alerte du conseillé sécurité. Ceci faisant suite à la mise en application de plusieurs tutos, au demeurant très bien fait et compréhensibles.

Le rapport indique deux alertes

La première concerne la non activation du blocage des adresses IP avec plusieurs erreurs de connexion. cela c'est réglé.

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

J'ai fait une recherche par mot clé avec SSH mais je n'ai rien trouvé.

EN recherchant j'ai trouvé ceci : https://www.tuto-synology.fr/terminal/service-ssh/#.Xorb4zfVI2w. il est indiqué qu'il faut activé le port 22. 

Quelqu'un peut-il m'aiguiller 

Bonne journée à tous 

 

0
Lien vers le commentaire
Partager sur d’autres sites
Invité

Invité

Posté(e)
Posté(e)
il y a 4 minutes, jerome34000 a dit :

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

Effectivement on recommande de ne pas utilisé les ports par défaut ( et c'est valable pour tout ).

Tu peut le modifier dans Panneau de Config > Terminal

Malgré tout, ci votre port n'est pas exposé a sur internet, il n'y a pas de soucis.

0
Lien vers le commentaire
Partager sur d’autres sites
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

En fait ça ne simplifie pas les accès, c’est même plutôt tout le contraire.

L’avantage du NAT en IPv4 est justement que l’ont sait exactement ce qui est ouvert sur internet, mais ça a tout de même des limitations par rapport à IPv6 (un seul équipement derrière chaque port, ...). 

En IPv6 chaque équipement du réseau doit disposer d’un pare-feu pour bloquer le trafic entrant indésirable. C’est d’ailleurs ce qui pose problème d’entrée de jeu avec les objets connectés mal sécurisés qui deviennent alors des points d’entrée sur tout le réseau local.

Dans l’ideal, il faut un pare-feu en amont des équipements locaux sur lequel on peut définir des règles de filtrage (ce qui rejoint la complexité qui tu voyais en IPv4). Mais ce n’est pas toujours possible, le cas le plus lamentable étant celui de la Freebox sur laquelle il n’est pas possible de définir des règles de filtrage en IPv6, il y a juste un gros switch on/off du filtrage des connexions entrantes.

Donc attention, il y a beaucoup de choses à considérer avant de passer à IPv6. Ce n’est pas insurmontable mais il faut bien comprendre les enjeux de sécurité que ça implique sans quoi votre réseau local peut rapidement est compromis.

0
Lien vers le commentaire
Partager sur d’autres sites
NiKo_LaKo Newbie

NiKo_LaKo

Posté(e)
Posté(e)

Merci pour ces précisions intéressantes.

 

Je comptai ne mettre que le NAS en IPv6 et il a un pare-feu. Mais si ça ne simplifie pas plus que ça, autant rester en IPv4.

Je vais quand même continuer de préparer le terrain de l'ipV6, en checkant si mes équipements sont équipés de pare-feu (cam, switch)

0
Lien vers le commentaire
Partager sur d’autres sites
TuringFan Contributor

TuringFan

Posté(e)
Posté(e)
Le 01/12/2016 à 19:33, Fenrir a dit :

(le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement)

Bonjour,

Est il possible d'utiliser un planificateur de tache pour automatiser cette démarche ?

Au passage, si ce n'est pas abuser, je suis également preneur d'une explication avec les mains sur la dangerosité de l'utilisation de certificats auto signés et/ou l'acceptation d’exceptions dans le navigateurs.

Merci d'avance,

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@cpc44

  1. Pour le routeur : Panneau de configuration / Services / System Services --> décocher SSH
  2. Pour le NAS : Panneau de configuration / Terminal & SNMP / Terminal --> décocher SSH
  3. et dans le parefeu : pas de règle sur le port 22

Cordialement

oracle7 😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites
TuringFan Contributor

TuringFan

Posté(e)
Posté(e)

Hello @cpc44,

Je suis novice donc toutes mes propositions sont à vérifier avec des personnes plus expérimentées.

Tu peux éditer des règles dans le pare-feu : tu peux par exemple choisir d'ouvrir les ports des services que tu souhaites utiliser (SSH pour toi) et limiter l'ouverture à certains IPs et/ou certaines géographie.

Il te faut alors choisir les IPs locales :

- 172.16.0.0 avec un masque 255.240.0.0 soit des IP allant de 172.16.0.0. à 172.31.255.255
- 192.168.0.0 avec masque 255.255.0.0 soit des IP de 192.168.0.0 à 192.168.255.255

- voire, si tu utilises un VPN, 10.0.0.0 avec un masque 255.0.0.0 soit les IP allant de 10.0.0.0 à 10.255.255.255

Il ne faut pas oublier de créer une règle en bas de liste (intervenant donc après la réalisation des autres règles) qui bloque tous les IPs (en fait tous ceux que tu n'as donc pas explicitement autorisées grâce à tes précédentes règles).

Concrètement sur ton DSM tu vas dans Panneau de Configuration > Sécurité > Pare Feu > Modifier les règles > Créer

En espérant t'aider

0
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
il y a 14 minutes, cpc44 a dit :

pour que le service SSH ne soit accessible que depuis mon réseau local

Il suffit de ne pas l'ouvrir dans le routeur. Vous l'ouvrez seulement dans le nas (Terminal et SNMP) et si vous avez réglé votre parefeu comme préconisés dans le tuto, vous n'avez pas besoin de faire quoi que ce soit à ce niveau.

il y a 8 minutes, cpc44 a dit :

j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

Voir la fin du tuto

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@cpc44

Je ne comprends pas, tu demandes d'un coté comment interdire l'usage du protocole SSH sur ton réseau local, et d'un autre tu l'as ouvert aux quatre vents de l'extérieur dans ton parefeu ???

C'est pas cohérent, mais si c'est ton choix ....

Edit : Oups , j'ai lu trop vite ta demande initiale, tu ne veux pas interdire SSH sur ton réseau local. Donc oublies STP ma remarque et suis celle de @Mic13710

Cordialement

oracle7 😉

 

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.