Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

L'adresse que tu as saisie sur ces sites (pentest-tools.com et intruder.io) est celle permettant d'accéder à DSM. Le code source de la page contient tout ce qu'il faut pour identifier un NAS Synology. Tu ne pourras pas l'empêcher tant que ces sites pourront accéder aux services de ton NAS.

Je ne parle pas de tout fermer mais de n'ouvrir que ce qui est nécessaire. Ça évite bien des problèmes comme l'identification du NAS sur des sites. Donc la question est simple :

Est-ce que le fait de n'ouvrir le NAS qu'aux adresse IP Françaises (par exemple) restreint l'utilisation de ton cloud privé ?

Lien vers le commentaire
Partager sur d’autres sites

Merci @PiwiLAbruti pour ton retour,

Non ça ne restreint pas trop l'utilisation de mon NAS, sauf quand je suis à l'étranger (en cette période, j'avouerai que c'est plus trop tendance!!!)

La question a le mérite d'être posée en effet.

Lien vers le commentaire
Partager sur d’autres sites

Rien ne t'empêche d'ajuster les règles lorsque tu en as besoin (ajoute par exemple tous les pays où tu vas régulièrement).

Ça permet de réduire drastiquement les tentatives de découverte de services (portscan) et toutes les attaques qui peuvent en découler. Les sites que tu citaient précédemment ne pourront même plus accéder à ton NAS et encore moins l'identifier.

Pour en revenir à l'aspect sécurité, je ne sais pas s'il est pertinent de faire un test d'intrusion en ligne par un site Roumain (pentest-tools.com).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour à tous,

Ce fil est pour moi "la référence" pour sécuriser son NAS et je souhaiterais vous soumettre deux questions à ce sujet.

Je suis en train de réfléchir à la stratégie de sauvegarde que je vais adopter (c'est après tout la meilleur des protections). Pour le moment j'envisage de (i) effectuer des snapshots de mon NAS et (ii) utiliser hyper backup pour effectuer des sauvegardes chiffrées vers un NAS secondaire sur un site distant.

Ma première question est : comment est géré le chiffrage ? Mon NAS principal chiffre déjà ses dossiers partagés, dans ce contexte est-il utile d'utiliser un chiffrement du transfert hyper backup voire même un chiffrement des dossiers partagés sur le NAS secondaire ? Si oui, quels clés utiliser pour lire les infos sauvegardées.

Ma seconde question est : comment protéger l'accès à mon NAS secondaire ? J'aurai en effet peu de contrôle sur les accès physiques potentiels au NAS du second site (site de backup). Dans ce cas comment empêcher un accès à mon NAS secondaire par quelqu'un qui se brancherait directement dessus ou sur le même réseau (en RJ45 par exemple) ? Le fait de désactiver tous les services fichier est il suffisant ? Qu'en est il pour les services "Bonjour", SSDP, WS-Discovery (je ne maitrise pas leur utilisation) ?

Merci par avance,

Lien vers le commentaire
Partager sur d’autres sites

  1. Ce n'est pas le sujet de ce topic qui traite de la sécurité réseau, il vaut mieux traiter cette question dans un autre/nouveau sujet.
  2. Tu peux bloquer le trafic indésirable dans le pare-feu du NAS. La question n'est pas de savoir quelles sources il faut bloquer mais celles qu'il faut autoriser et bloquer tout le reste par défaut. Si j'ai bien compris, il n'y a besoin que d'un accès à DSM et à Hyper Backup pour recevoir les sauvegardes d'un autre NAS ?
Le 01/05/2021 à 15:14, TuringFan a dit :

Le fait de désactiver tous les services fichier est il suffisant ?

Les services qui ne sont pas utilisées doivent être désactivés. Mais ce n'est pas suffisant au niveau sécurité, il faut impérativement configurer un pare-feu en amont et/ou directement sur le NAS.

Le 01/05/2021 à 15:14, TuringFan a dit :

Qu'en est il pour les services "Bonjour", SSDP, WS-Discovery (je ne maitrise pas leur utilisation) ?

Ces services répondront aux sollicitations des sources autorisées dans le pare-feu.

Lien vers le commentaire
Partager sur d’autres sites

@Dimebag Darrell

Si tu as suivi le tuto de Fenrir sur la sécurisation c'est déjà prévu 

Edit : Non tu as raison j'ai confondu avec 172.16.0.0  alors je ne sais pas, ta question est pertinente

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Le 04/05/2021 à 20:18, .Shad. a dit :

Docker c'est bien 172.16.0.0/255.240.0.0 par défaut, c'est une plage d'IP réservées à des réseaux privés et non routables (publiquement).

Le tutoriel prévoit déjà l'ouverture du NAS à ce réseau.

quand bien même si on utilise 172.167.0.0/255.240.0.0 172.18.0.0/255.240.0.0, 172.22.0.0/255.240.0.0, 172.23.0.0/255.240.0.0 ?

Lien vers le commentaire
Partager sur d’autres sites

172.16.0.0/255.240.0.0 (ou /12 en CIDR) ça couvre les IP allant de 172.16.0.1 à 172.31.255.254, les réseaux que tu cites n'ont pas de sens, ils en auraient si tu avais mis le bon masque correspondant à ton interrogation : 255.255.0.0

Voir http://jodies.de/ipcalc

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Le 03/05/2021 à 10:20, PiwiLAbruti a dit :
  1. Ce n'est pas le sujet de ce topic qui traite de la sécurité réseau, il vaut mieux traiter cette question dans un autre/nouveau sujet.
  2. Tu peux bloquer le trafic indésirable dans le pare-feu du NAS. La question n'est pas de savoir quelles sources il faut bloquer mais celles qu'il faut autoriser et bloquer tout le reste par défaut. Si j'ai bien compris, il n'y a besoin que d'un accès à DSM et à Hyper Backup pour recevoir les sauvegardes d'un autre NAS ?

Les services qui ne sont pas utilisées doivent être désactivés. Mais ce n'est pas suffisant au niveau sécurité, il faut impérativement configurer un pare-feu en amont et/ou directement sur le NAS.

Ces services répondront aux sollicitations des sources autorisées dans le pare-feu.

Merci,

Je compte de toute façon appliquer ce tuto pour le NAS dont l'installation d'un pare feu sur un routeur et sur mon NAS mais je pensais justement que le fait d'être sur le même réseau permettait de rentrer de par tous les ports.

Je vais créer un sujet.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, TuringFan a dit :

je pensais justement que le fait d'être sur le même réseau permettait de rentrer de par tous les ports.

Chaque machine dispose de son propre pare-feu, il est donc possible de restreindre le trafic entrant quelque soit le réseau source, donc y compris le réseau auquel la machine est directement connectée.

Lien vers le commentaire
Partager sur d’autres sites

Ça arrive quand le serveur d'hébergement de Fenrir est down, ce qui arrive vraisemblablement de plus en plus souvent.

@Mic13710 Est-ce qu'il ne serait pas intéressant d'héberger les images du tutoriel directement sur le forum ? D'autant que Fenrir avait donné son feu vert pour les retravailler.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, PiwiLAbruti a dit :

Chaque machine dispose de son propre pare-feu, il est donc possible de restreindre le trafic entrant quelque soit le réseau source, donc y compris le réseau auquel la machine est directement connectée.

Oui pardon, remarque bête. J'ai pour l'instant configuré par défaut un accès full depuis les IP LAN/VPN comme indiqué sur le tuto mais on peut au besoin affiner.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous.

@Fenrir ne serait-il pas possible de reformuler cette phrase ?

"Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS"

J'ai beau la lire.....je suis sûr de pas la comprendre 😛

 

Merci pour le tuto en tout cas (déjà fait il y a quelque temps, mais là je vais réinstaller DSM et refaire ce tuto, histoire de partir sur une base propre ;))

Modifié par NiKo_LaKo
Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, NiKo_LaKo a dit :

Merci pour le tuto en tout cas (déjà fait il y a quelque temps, mais là je vais réinstaller DSM et refaire ce tuto, histoire de partir sur une base propre ;))

Salut @NiKo_LaKo pour le coup j'ai refait mon installation le week-end dernier ! tout est fonctionnel mais j'avais oublié pas mal de choses sur le coup. Un conseil fais des captures d'écrans au maximum de ta configuration (DNS, reverse proxy, ...) ça t'évitera de te poser des questions par moment. La sauvegarde des paramètres n'a pas était très utile je trouve.

En tout cas je ne regrette pas ma réinstallation complète.
 

Petite question pour tous au passage... Y a t'il une solution pour ne pas avoir à ouvrir le port 443 dans le pare-feu du nas ? 

Merci à vous tous.

image.thumb.png.219facbc87ae5b7aafb0efef410f6452.png

Modifié par maestro72
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.