Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

TuringFan Contributor

TuringFan

Posté(e)
Posté(e)
Il y a 4 heures, cpc44 a dit :

bonjour  @TuringFan

ci-dessous les règles de mon pare-feu. je pose la question car quand j'ai activité le port 22, j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

image.png.6d11ea10857fd19cc5f4db925fb8e468.png

@cpc44 je n'ai clairement pas les compétences pour me prononcer sur l’interprétation de l'alerte de sécu mais je sais que Fenrir mentionne ce point dans son tuto.

Le 01/12/2016 à 19:33, Fenrir a dit :

Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) :

  • cs04.png
  • cs02.png
  • cs03.png

Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.

 

0
Lien vers le commentaire
Partager sur d’autres sites
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Sur ta capture d'écran, la première règle de pare-feu indique que le protocole SSH est accessible à n’importe qui.

Soit tu édites la règle pour retirer le Service de terminal chiffré, soit tu désactives (ou même supprimes) la règle si le Service de terminal chiffré est le seul coché dans la règle.

0
Lien vers le commentaire
Partager sur d’autres sites
Nouch Newbie

Nouch

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

J'ai suivi ce tuto afin de sécuriser au mieux l'accès à mon nouveau NAS mais même si j'ai bien compris le principe des règles du Pare-feu, je ne vois pas d'ou vient mon problème.

J'ai installé ruTorrent via Docker mais lorsque je sélectionne la dernière règle qui bloque toutes les connexions, ruTorrent ne fonctionne plus.

nNOY1.png

9gLn3.png

Par contre dès que je désélectionne cette règle, ruTorrent repasse au vert.

3LXbj.png

D'ailleurs j'ai indiqué dans Docker que le port était 4555 alors pourquoi dans ruTorrent au niveau de la connexion, il est indiqué 51413 ?

NreAP.png

7LP9Q.png

 

Si quelqu'un pouvait me donner un petit coup de main 😉

Modifié par Nouch
0
Lien vers le commentaire
Partager sur d’autres sites
Invité

Invité

Posté(e)
Posté(e)

Salut,

Les deux ports renseigné ici sont les ports du conteneur qui servent a l'interface rutorrent.

Le port 51413 sert a la connexion entre peers. Il te faut l'ouvrir dans le pare-feu également, le protocole du port 51413 est UDP et non TCP.

0
Lien vers le commentaire
Partager sur d’autres sites
cpc44 Newbie

cpc44

Posté(e)
Posté(e)

bonjour,

j'aimerai savoir comment faire pour que l’accès à DSM se fasse par le port 443 au lieu du port 5001 ?

Faut-il pour ça modifier les ports par défauts ou existe-t-il une autre solution ?

image.png.d4105ab43bcf61440159a4438a4d6415.png

 

Merci d'avance

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@cpc44

Bonjour,

Il n'est pas recommandé de modifié les ports natifs de DSM (même si rien ne l'interdit). Voir le tuto sur la sécurisation des accès au NAS.

Si c'est pour sécuriser l'accès externe à DSM, il est alors préférable de passer par un nom de domaine (nas.ndd.tld) et de configurer le reverse proxy pour passer du port 443 (nas.ndd.tld:443) vers le port natif 5000 (localhost:5000) de DSM.

Il y a sur ce forum des tutos pour tout configurer cela. Lis-les bien et appliques-les et cela répondra à ta question initiale.

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e) (modifié)

@CyberFr On autorise la communication sur tous les ports dans un réseau local. Les adresses qui sont reprises (10.x.x.x, 192.168.x.x, 172.16.x.x) sont des sous-réseaux réservés à l'utilisation privée, donc par définition elles n'existent pas sur Internet, c'est ce que tu trouveras dans tous les réseaux internes (derrière un routeur, pare-feu, modem, etc... ), particuliers ou entreprises.

C'est la RFC1918 qui définit cela (comme une norme DIN ou ISO par exemple).

On part du postulat que le réseau local est sûr, et qu'on n'a pas besoin de s'en protéger, ça part du principe que :
- on soit prudent sur l'utilisation des autres périphériques locaux.
- on soit plus prudent que ça en entreprise.

Pour un utilisateur un peu au fait d'un comportement responsable sur Internet et des bonnes pratiques à adopter, ces règles facilitent grandement la vie et ne représentent qu'un très faible danger, surtout si on applique toutes les règles édictées dans ce tutoriel.

Séquentiellement dans ton pare-feu, tu vas donc définir des règles, qui vont analyser chaque requête entrante. Tant que la requête ne correspond pas à une règle, elle continue de descendre dans la liste.
Si aucune règle ne correspond à la requête, par précaution, on la bloque avec la règle "tous" "tous" "refuser". On est sûrs ainsi que rien qu'on ait explicitement autorisé ne puisse accéder au NAS. A toi après d'ajouter les règles pour utiliser tes services à distance par exemple. Par défaut ce tutoriel incite à utiliser le VPN, ce qui est une bonne chose, en revanche si tu souhaites accéder à ton NAS depuis le travail, la plupart du temps il n'est pas possible d'installer un client VPN sur ton poste de travail, et dans ce cas-là il te faudra exposer ce service sur le web, la plupart des règles énumérées ici permettent entre autres de donner un maximum de sécurité à cette connexion externe (Blocage sur tentative de brute force, possibilité de géobloquer les connexions entrantes, etc...)

J'espère t'avoir un minimum éclairer, mais tu verras avec un peu d'habitude ça vient vite 🙂 

Modifié par .Shad.
1
Lien vers le commentaire
Partager sur d’autres sites
flo0462 Newbie

flo0462

Posté(e)
Posté(e)
Le 08/05/2020 à 21:16, .Shad. a dit :


Séquentiellement dans ton pare-feu, tu vas donc définir des règles, qui vont analyser chaque requête entrante. Tant que la requête ne correspond pas à une règle, elle continue de descendre dans la liste.
Si aucune règle ne correspond à la requête, par précaution, on la bloque avec la règle "tous" "tous" "refuser". On est sûrs ainsi que rien qu'on ait explicitement autorisé ne puisse accéder au NAS. A toi après d'ajouter les règles pour utiliser tes services à distance par exemple. 

 

Bonjour Shad,

Peut tu me confirmé que pour l'utilisation des application DS Audio et DS vidéo sur téléphone mobile on n'a pas le choix que de laisser ouvert le port 5001 par defaut de DSM ?

 

Merci de ton aide

0
Lien vers le commentaire
Partager sur d’autres sites
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Pour utiliser les applications mobiles depuis l'extérieur du réseau local, il est fortement recommandé d’utiliser le reverse proxy (voir le tutoriel dans la section dédiée) pour ne surtout pas exposer le port 5001 sur internet.

Une fois le reverse proxy configuré, il faudra indiquer explicitement le port 443 dans les applications mobiles (nas.domain.tld:443).

0
Lien vers le commentaire
Partager sur d’autres sites
flo0462 Newbie

flo0462

Posté(e)
Posté(e)
Il y a 5 heures, PiwiLAbruti a dit :

Pour utiliser les applications mobiles depuis l'extérieur du réseau local, il est fortement recommandé d’utiliser le reverse proxy (voir le tutoriel dans la section dédiée) pour ne surtout pas exposer le port 5001 sur internet.

Une fois le reverse proxy configuré, il faudra indiquer explicitement le port 443 dans les applications mobiles (nas.domain.tld:443).

Merci pour l'info,  je vient de réaliser la config tout est ok

0
Lien vers le commentaire
Partager sur d’autres sites
Outimeme Newbie

Outimeme

Posté(e)
Posté(e)

Bonjour,

Tout d'abord merci infiniment pour ce super tuto qui aide beaucoup les débutants comme moi. J'ai déjà mis en application pas mal de choses cités ici mais une me pose problème : la redirection HTTPS. Il faut passer par Let's encrypt pour avoir un certificat mais on parle de nom de domaine (à acheter/louer sur ovh ou gandi). Cela amène deux questions :

_ Si je veux sécuriser ma connexion depuis mon pc vers le NAS, le certificat let's encrypt set-il à quelque chose ou alors, dans ce cas, le mieux est la double authentification ?

_ Ce certificat pour obtenir le fameux HTTPS, va t-il me permettre d’accéder à DSM depuis l'extérieur (sans passer par quickconnect car j'ai vu quelque part que ce n'est pas recommandé) ou alors il est juste fait pour un quelconque site internet que j'hébergerais sur le NAS ? Existe t'il quelque chose de gratuit pour avoir ce nom de domaine ?

Merci beaucoup par avance pour vos réponses.

 

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@Outimeme

Bonjour,

  1. Il est d'usage pour les nouveau membre de passer par la case Pésentation dans la rubrique adéquate, certains ici y sont sensibles. Rassures-toi il n'est pas trop tard pour bien faire ...
  2. Pour ce qui de ton  problème :
il y a une heure, Outimeme a dit :

le certificat let's encrypt set-il à quelque chose ou alors, dans ce cas, le mieux est la double authentification ?

Ne mélangeons pas les choses.

- Le certificat LE te permet notamment d'éviter de recevoir des avertissements de connexion non sécurisée.
- La double authentification, sécurise elle, l'accès à ton NAS lors de la connexion à celui-ci. C'est juste un plus dans la sécurisation des accès au NAS.

il y a une heure, Outimeme a dit :

Ce certificat pour obtenir le fameux HTTPS, va t-il me permettre d’accéder à DSM depuis l'extérieur (sans passer par quickconnect car j'ai vu quelque part que ce n'est pas recommandé)

Pour accéder de l'extérieur sans utiliser Quickconnect (passoire de sécurité), il est fortement recommandé (c'est toi qui vois !) d'utiliser ton propre nom de domaine que tu peux obtenir pour environ 10€ d'abonnement par an chez OVH (c'est pas la mer à boire ...). Ensuite quand tu as ce nom de domaine "ndd.tld" personnel, tu peux créer un certificat LE pour ce ndd.tld et l'installer sur ton NAS et les autres périphériques que tu utilises pour te connecter au NAS depuis l'extérieur (smartphone, iPhone, etc ...).

Relis bien tout de même le présent Tuto, pour bien appréhender tous les tenants et aboutissants.

Cordialement

oracle7😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.