Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Merci @oracle7 ! J'ai corrigé le tir et me suis présenté. Désolé pour cette erreur.

Pour ce qui est de la manipulation pour avoir le certificat, je te remercie et je vais le faire très rapidement concernant les connexions depuis l'extérieur. Par contre, concernant le fait que je me connecte à DSM depuis ma tour : il faudra que je passe par mon nom de domaine pour avoir un accès sécurisé ou si je fais comme actuellement, http://192.168.0.12:5000/, et que je rajoute la double authentification, çà sera pertinent aussi comme sécurisation ? J'espère que j'arrive à me faire comprendre.

Merci pour ton aide

Lien vers le commentaire
Partager sur d’autres sites

 @Outimeme

Bonjour,

Personnellement j’accède à DSM depuis mon PC via un "nom-du-nas.ndd.tld" ce qui est plus facile (et à retenir aussi) que de taper une @IP:NumPort. J'ai en plus la double authentification qui elle s'applique à chaque connexion (sauf si tu as coché faire confiance au périphérique) qu'elle soit en local ou de l'extérieur (ce qui est la plus intéressante dans ce dernier cas, du point de vue sécurité d'accès).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Merci pour ton retour qui m'aide à progresser sur mon NAS. Je galère énormément pour le configurer mais avec l'aide d'un ami, j'ai pu avancer un peu. Dans le cas où je me connecte comme toi au NAS ("xxx.ndd.xxx" çà veut dire quoi .tld au fait ?) mais depuis l'extérieur, tu penses que détenir un certificat Let's Encrypt est intéressant ? J'essaye d'en valider un mais çà mouline pendant longtemps et çà échoue au final. J'ai regardé les tutos sur le forum concernant cela mais je n'y arrive pas malgré tout.

 

Lien vers le commentaire
Partager sur d’autres sites

source: google

Un top-level domain (TLD) est le nom du plus haut niveau dans la hiérarchie du « Domain Name System » de l’Internet. Les noms de domaine de premier niveau sont installés dans la zone racine.

Prenons comme exemple domaine.fr. Dans l’URL http://domaine.fr, the ".FR" est considéré comme le plus haut niveau du nom de domaine. Nous lisons donc de la droite vers la gauche (la racine étant le .FR). Puis vient le terme "domaine". L’URL vous indique donc le pays de provenance ; la France puis la dénomination domaine et le protocole internet utilisé "http".

La gestion de la plupart des domaines de premier niveau est déléguée à des organismes responsables de l’ICANN, qui exploite l’IANA qui est en charge du maintien de la zone racine du DNS.

Lien vers le commentaire
Partager sur d’autres sites

@Outimeme

Bonjour,

Bon pour le coup @GrOoT64 a été plus rapide que moi à propos du TLD.

il y a 12 minutes, Outimeme a dit :

mais depuis l'extérieur, tu penses que détenir un certificat Let's Encrypt est intéressant ? J'essaye d'en valider un mais çà mouline pendant longtemps et çà échoue au final. J'ai regardé les tutos sur le forum concernant cela mais je n'y arrive pas malgré tout.

Bien sûr, comme je te l'ai dit dans une précédente réponse, il t'évite de récolter des avertissements de connexion non sécurisée d'une part et d'autre part même s'il sa non présence n'est pas bloquante il évite ainsi que tu acceptes la connexion non sécurisée et que cette acception dans le temps devienne si je puis dire une habitude néfaste. Néfaste dans le sens où tu peux avoir aussi ce genre d'alerte en navigant sur d'autres sites non sécurisés et que tu acceptes encore machinalement l'exception de sécurité qui pour le coup peut s'avérer dangereuse selon le site consulté. J'espère ne pas avoir été trop confus dans mon propos.

Si cà mouline pendant la validation du certificat c'est que les serveurs de Let'sEncrypt ne peuvent "discuter" avec ton NAS car il ya de fortes chances que ton port 80 ne soit pas ouvert dans ton parefeu (juste le temps de la création du certificat et lors de son renouvellement à échéance de 3 mois). il faut aussi que le port 443 soit ouvert dans ton parefeu.

Donc vérifie ces ouvertures et relance la validation de ton certificat. Cela devrait se passer sans problème alors.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour vos réponses Groot64 et Oracle7 !!! En effet c'est bien le port 80 qui me posait problème donc j'ai pu installer le certificat mais Kaspersky me met quand même une alerte sur le fait que je me connecte à mes risques et périls bla bla bla... Il y a un moyen de le forcer à accepter le certificat ?

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

J'ai suivi avec beaucoup d'intérêt ce tuto, voulant passer par après à la configuration du Serveur VPN afin de pouvoir accéder à ma domotique.  Merci pour ce beau travail!


Je pense avoir compris la majorité des conseils à appliquer.  J'ai juste un doute lorsqu'à 2 reprise tuto.mon.domaine.  J'ai remplacé par nomdemonnas.

Par contre, j'ai maintenant un petit problème car là où avant je me connectais à mon nas via nomdemonnas.local:5000, maintenant ça me donne le message suivant : "Désolé, la page que vous recherchez est introuvable.Désolé, la page que vous recherchez est introuvable.".  Si je mets mon adresse ip (192.168.0.xx:5000), ça marche toujours.

Avez-vous une idée comment récupérer la possibilité de mettre nomdemonnas.local pour accéder à DSM et au reste?
Merci d'avance pour vos conseils!

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Je suis débutant en réseaux et en NAS.

 

  • J'ai suivi différents tuto (dont celui-ci qui est super) et je me retrouve aujourd'hui avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, (renouvellement de certificat LE et reverse proxy) et les ports 16881, 6681 et 6690 (liés à l'installation de BT et Synology Drive Server).
  • Coté reverse proxy, mes redirections vers certaines applications "clefs" utilisent un profil qui impose une IP LAN ou VPN, la redirections vers d'autres applications moins critiques (vidéos, audio, photo, etc.) se fait sans filtrage des IP.
  • J'ai par ailleurs activé le DoS, une redirection forcée du HTTP vers le HTTPS via Web Station (HSTS désactivé donc).

 

Dois je encore effectuer certaines actions pour mieux me protéger, notamment les ports cités ci-dessus ?

Dans l'état actuel de ma configuration, quels sont mes risques ?

Merci d'avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour,

Je suis en train d'installer mon tout premier NAS.

Mon objectif est que je souhaite accéder (en lecture seule) à des fichiers, depuis l'extérieur (je veux dire "pas de chez moi").

Je voudrais juste une confirmation sur la partie DDNS du tutoriel. J'ai souligné en rouge ce qui me pose problème :

241650375_Screenshotfrom2020-08-1717-09-50.png.fa4556ba9d226bbfd29f447120dee6f9.png

 

  • 1. le nom d'hôte - ici tutonas - peut-il être n'importe quoi ou plutôt le nom "serveur" du NAS, celui visible sur mon réseau domestique ?

je veux dire le nom que j'ai mis dans la configuration "Réseau"...

2050760900_Screenshotfrom2020-08-1717-29-31.png.a57189c30e6d41262902f4c83586b60a.png

d'ailleurs, j'ai choisi le même nom pour le nom serveur et le nom d'hôte sur synology.me

1732508781_Screenshotfrom2020-08-1718-29-36.png.aadd26f8b3c9b81385b1f0e34eb8e352.png

mauvais choix ?

 

  • 2. "ip externe" c'est vraiment 1.1.1.1 ou plutôt l'adresse IP de ma box internet vu de l'extérieur ?

pourquoi 1.1.1.1 ? est-ce lié à https://1.1.1.1/fr-FR/dns/ ? sur ce site, il rajoute tout un tas d'IP, il parle de redondance ...  j'avoue que je suis perdue (mais très loin)... 😔

il y a une config ipv 6 mais il est déconseillé de s'en servir, dixit le tuto, c'est bien toujours d'actualité ?

Citation

Configuration sur {{appareil}}

La configuration de 1.1.1.1 prend 2 minutes et ne nécessite aucune compétence technique ou logiciel particulier. Même si vous êtes débutant en informatique, choisissez votre appareil ci-dessous pour un guide de configuration facile à suivre.

 
  1. Ouvrez Préférences du système.

  2. Recherchez Serveurs DNS et sélectionnez-le à partir du menu déroulante.

  3. Cliquez sur le bouton + pour ajouter un serveur DNS et entrez 1.1.1.1

  4. Cliquez à nouveau sur + et entrez 1.0.0.1 (pour la redondance.)

  5. Cliquez à nouveau sur + et entrez 2606.4700:4700::1111 (pour la redondance.)

  6. Cliquez à nouveau sur + et entrez 2606.4700:4700::1001 (pour la redondance.)

  7. Cliquez sur Ok, puis sur Appliquer.

 

  • 3. dernière confirmation :

à cet endroit, il s'agit bien de l'adresse IP de ma box internet (enfin, d'après ce que j'ai compris il s'agit de la même adresse IP pour l’extérieur, quoique je branche derrière mon routeur).

899249064_ddnsavance.png.f357debd23775d3f21cfbdec7487a00b.png

 

Je crois que j'ai fait le tour pour le moment. 😉

Bonne fin de journée à tous.

 

Lien vers le commentaire
Partager sur d’autres sites

@Fanny Mae

Bonjour,

il y a 8 minutes, Fanny Mae a dit :

1. le nom d'hôte - ici tutonas - peut-il être n'importe quoi ou plutôt le nom "serveur" du NAS, celui visible sur mon réseau domestique ?

Le nom d'hôte peut être efectivement n'importe quoi d'autre que tutonas,  si bien que le nom retenu et qui est visible sur ton réseau domestique, est parfait pour la gestion générale (surtout il est facile à retenir et bien plus parlant pour toi !)

il y a 10 minutes, Fanny Mae a dit :

2. "ip externe" c'est vraiment 1.1.1.1 ou plutôt l'adresse IP de ma box internet vu de l'extérieur ?

Il faut indiquer ton @IP externe donc celle de ta box.  1.1.1.1 du TUTO n'est qu'un exemple d'@IP externe.

il y a 12 minutes, Fanny Mae a dit :
  • 3. dernière confirmation :

à cet endroit, il s'agit bien de l'adresse IP de ma box internet

OUI.

il y a 13 minutes, Fanny Mae a dit :

d'ailleurs, j'ai choisi le même nom pour le nom serveur et le nom d'hôte sur synology.me

Bon choix.

il y a 14 minutes, Fanny Mae a dit :

il y a une config ipv 6 mais il est déconseillé de s'en servir, dixit le tuto, c'est bien toujours d'actualité ?

Dans le doute abstient-toi. Ce n'est pas utile ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Merci Oracle7 pour ces infos-confirmations.

L'étape suivante (autoriser un accès depuis l'extérieur) est "très" compliquée ... mais ça concerne d'autres tutos, je poserais mes questions aux bons endroits.

J'ai compris que j'allais avoir besoin de VPN SERVER mais aussi de DNS SERVER, et là, c'est *vraiment* très compliqué ... 🥺

J'espère que je ne suis pas en train de monter une usine à gaz pour ma consultation de documents. 😇

A bientôt.

Modifié par Fanny Mae
Lien vers le commentaire
Partager sur d’autres sites

@Fanny Mae Ne te lance pas déjà dans la configuration du VPN ou du DNS, ça ne correspond peut-être pas (déjà) à ton besoin.

Ouvre un sujet en précisant ton besoin initial, tu seras mieux orientée que si tu tentes d'appliquer au hasard tous les tutoriels qui te passent sous les yeux.

Lien vers le commentaire
Partager sur d’autres sites

@Fanny Mae

Bonjour,

  1. Il y a 2 heures, Fanny Mae a dit :

    J'espère que je ne suis pas en train de monter une usine à gaz pour ma consultation de documents.

    @PiwiLAbruti a raison, réfléchi bien à ton besoin avant de te lancer dans une quelconque configuration. Il y a tellement de variantes possibles ...

  2. Sinon une astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour Fenrir,

Merci pour ton tuto. Pas tout compris vu mon niveau d'informatique mais en tout les cas ça m'a permis de sécuriser un tant soi peu mon nas.

Quelques questions:

1. Authentification en 2 étapes du compte admin: j'ai une possibilité d'utiliser l'appli Watchguard de mon employeur pour mon NAS. J'utilise actuellement cette appli pour me connecter en VPN au réseau de mon entreprise. J'accède à mon NAS uniquement en local et ne prévois pas d'accès depuis l'extérieur. Me conseilles-tu tout de même de mettre en place cette double authentification via la délivrance d'un token ?

 

2. En activant le SSH j'obtiens l'info suivante du pare-feu:

image.png.5929a266bb7ae39979c24617bc72fdc2.png

Faut-il que je valide par OK pour activer le SSH?

3.  Au niveau de l'onglet "Paramètres de DSM" j'ai par défaut l'option "Activer l'en-tête Server" qui est côchée. Cette option ne figure pas dans ton tuto. Je laisse cette option côchée?

image.png.b901cda879db201b010a354c5ddaadf0.png

4. Conseiller sécurité: en lançant l'analyse j'ai à chaque fois ce message qui apparaît, est ce normal?

image.png.6e81b2cdd0c6f62fc021c27947f665f0.png

5. Résultat d'analyse du conseiller de sécurité:

image.png.e181b447a97f8d0fc7beebc023f3516a.png

Faut-il que j'active la redirection HTTP vers HTTPS?

Merci pour ton aide.

 

Capture SSH.PNG

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Ric67 a dit :

Faut-il que je valide par OK pour activer le SSH?

Non il faut soit faire annuler, soit décocher et faire OK.

Sinon ça ouvre les ports dans le Firewall. (Tu peux désactiver ces notifications dans Panneau de configuration > Sécurité > Pare-feu et décochez sur Activer les notifications du pare-feu)

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse rapide. OK je décoche le SSH. Donc si je reprends l'info de Fenrir " En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. "...en cas de pépin avec DSM on passe par un reset du NAS, c'est bien ça?

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Ric67 a dit :

en cas de pépin avec DSM on passe par un reset du NAS, c'est bien ça?

Oui par exemple avec un simple reset (qui remet le mot de passe du compte admin à zéro et les réglages réseaux, pare-feu....)

 

il y a 13 minutes, Ric67 a dit :

OK je décoche le SSH.

Je ne dis pas de désactiver SSH, (mais si tu n'en as pas l'utilité je conseil de le faire).

Je dis de ne pas ouvrir le SSH dans le pare-feu. Donc dans la notification (la capture d'écran) de faire annuler ou décocher SSH et faire OK.

Dans ce cas là le SSH sera quand même activé.

 

Attention cette notification s'affiche pour tous les paquets/réglages... et dans la majorité des cas (tous le temps, il faut mieux faire des règles manuellement dans le pare-feu ci nécessaire)  il faudra faire annuler ou décocher ce qui est proposé puis OK.

C'est pour ça que je te proposais de désactiver cette notification:

Panneau de configuration > Sécurité > Pare-feu et décochez sur Activer les notifications du pare-feu

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Hello,

Merci pour ta réponse maxou56.

Donc voici les nouvelles copies d'écran en espérant que cette fois-ci, c'est bon:

image.png.1690fb37ce7e7e8d1520ac7433f786e6.png

 

image.png.f838fadb404ed603bbd6c37874d92768.png

Au vu de ce qui est indiqué au-dessus pour que l'application fonctionne correctement on doit permettre l'accès au port 22 ou bien?

Je clique sur OK.

 

image.png.e82e59fdf6cf7d0b019edfb59d35798d.png

 

En cliquant sur appliquer l'appli m'indique "pas de paramètres modifiés".

Bref est-ce-que le SSH fonctionne comme paramétré ci-dessus ou j'ai encore fait une boulette 🙃

image.png

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, Ric67 a dit :

Au vu de ce qui est indiqué au-dessus pour que l'application fonctionne correctement on doit permettre l'accès au port 22 ou bien?

Bonsoir,

Oui d'après les capture SSH est activé avec le port par défaut 22 (il est possible de le changer)

 

Comme je l'ai dit plus haut la notification n'a rien à voir avec l'activation ou non du SSH (elle s'affichera aussi pour des paquets ou d'autres paramètres, sauf si tu désactives l'option).

Elle sert à créer automatiquement une règle (ouverture d'un ou plusieurs ports) dans le pare-feu, ce qu'il na faut pas faire surtout pour SSH.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse rapide! Je viens également de voir au niveau des journaux que le service SSH est activé.

Par rapport à mes autres questions #1, #3, #4 et #5 du 14/09/20 as-tu un avis?

Merci pour ton aide

Lien vers le commentaire
Partager sur d’autres sites

Le 14/09/2020 à 21:41, Ric67 a dit :

Bonjour Fenrir,

Merci pour ton tuto. Pas tout compris vu mon niveau d'informatique mais en tout les cas ça m'a permis de sécuriser un tant soi peu mon nas.

Quelques questions:

1. Authentification en 2 étapes du compte admin: j'ai une possibilité d'utiliser l'appli Watchguard de mon employeur pour mon NAS. J'utilise actuellement cette appli pour me connecter en VPN au réseau de mon entreprise. J'accède à mon NAS uniquement en local et ne prévois pas d'accès depuis l'extérieur. Me conseilles-tu tout de même de mettre en place cette double authentification via la délivrance d'un token ?

 

2. En activant le SSH j'obtiens l'info suivante du pare-feu:

image.png.5929a266bb7ae39979c24617bc72fdc2.png

Faut-il que je valide par OK pour activer le SSH?

3.  Au niveau de l'onglet "Paramètres de DSM" j'ai par défaut l'option "Activer l'en-tête Server" qui est côchée. Cette option ne figure pas dans ton tuto. Je laisse cette option côchée?

image.png.b901cda879db201b010a354c5ddaadf0.png

4. Conseiller sécurité: en lançant l'analyse j'ai à chaque fois ce message qui apparaît, est ce normal?

image.png.6e81b2cdd0c6f62fc021c27947f665f0.png

5. Résultat d'analyse du conseiller de sécurité:

image.png.e181b447a97f8d0fc7beebc023f3516a.png

Faut-il que j'active la redirection HTTP vers HTTPS?

Merci pour ton aide.

 

Capture SSH.PNG

Bonjour,

Je reprends le msg de Ric67.

J'ai les mêmes remarques suite au tuto de sécurisation :

- Quid de l’activation de l'entête server dans les réponses HTTP ? Doit-t-on le cocher ?

- l'analyse du conseiller de sécurité remonte que la redirection automatique de HTTP vers HTTPS est désactivée. Donc comment @Fenrirfait-il pour avoir une analyse clean sans avertissement ?

- J'ai vu également des paramétrages de blocages sur ds tentatives répétées e client non fiables et de client fiable. Faut-il aussi bloquer ce type de connexion au bout d'un certain nombre d'essai, svp ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.