Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

il y a 31 minutes, Jeff777 a dit :

Si je ne dis pas de bêtise (les autres membres me corrigeront si c'est le cas), le but c'est surtout d'avoir un administrateur qui ne s'appelle pas "admin" afin de brouiller les pistes.

C’est exactement ça.

les attaques brute force se font avec le compte admin.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

J'ai une question de débutant mais j'ai suivi le tuto pour la redirection des ports, cependant je ne comprends pas comment fowarder les ports sur la box (livebox) il faut reprendre à la main sur la box ? mais comment faire pour exclure des IP si par exemple on exclue les IP venant d'asie (depuis le syno)

En vous remerciant,

Pach

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, pachira25 a dit :

J'ai une question de débutant mais j'ai suivi le tuto pour la redirection des ports, cependant je ne comprends pas comment fowarder les ports sur la box (livebox) il faut reprendre à la main sur la box ? mais comment faire pour exclure des IP si par exemple on exclue les IP venant d'asie (depuis le syno)

Salut,

Alors sur une Livebox (tout du moins sur une 4 que j'ai , pour une v5 je ne saurais dire), tu ne peux pas filtrer les IP car la livebox n'a pas vraiment de pare-feu... (enfin pas configurable).

Et tu mélanges la redirection de ports et le pare-feu.
La redirection de port c'est ici sur une livebox4 :
qnjSFTd.png

 

Pour exclure des IP sur le NAS, faut aller dans le pare-feu du NAS et dans IP source tu choisis comme emplacement le pays que tu veux autoriser. Et tu refuses tout le reste avec une règle finale qui refuse tout.

fxOH5Lx.png
LSVwgPm.png

 

Voilà mes règles dans mon NAS :
cMdzHYo.png

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

Tu as une ligne "HTTPS, Revese proxy" limitée à "France" et une autre à "Tous". C'est normal cà ?

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, oracle7 a dit :

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

Bonjour,

"Reverse proxy" ne signifie pas forcément le port 443.

Chaque règle de proxy inversé avec des ports différents s'appelle "Reverse proxy" ou "proxy inversé" dans le pare-feu.

660108238_Capturedcran2021-07-2815_03_38.jpg.49910ac1c95fdc30222d5da990111d10.jpg

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, oracle7 a dit :

Tous pour a priori la même règle.

C'est pas forcément la même règle.

Le reverse proxy c'est pas forcément xxxx.ndd.fr:443 ou yyy.ndd.fr:443 vers un autre port du NAS ou autre périphérique du réseau local.

D'ailleurs ces régles n'apparaissent pas indépendamment dans la sélection du pare-feu, elles sont liés au port 443.

Mais ça peut être nnd.fr:portX ou IPduNAS:portX vers un autre port ou autre périphérique (par exemple https://*:12345 > http://192.168.1.100:80)

 

Par exemple je m'en sers en local pour accéder au Caméras, alarme qui sont sur un réseau non connecté à internet et accessible uniquement à travers le NAS.

350261790_Capturedcran2021-07-2815_31_40.thumb.jpg.58dfdcb05291e6b690a0c8f1d172cf0e.jpg

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, oracle7 a dit :

Tu as une ligne "HTTPS, Revese proxy" limitée à "France" et une autre à "Tous". C'est normal cà ?

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

@oracle7 Pour les deux lignes "Reverse Proxy" sur le port 443, c'est au-cas où je veuille couper l'accès au reste du monde et laisser que la France et ne pas avoir à recréer une règle... oui fainéant 😄
Cela dit, je pourrais ajouter une règle interdisant tout à certains pays (comme la chine et compagnie) avant la règle où j'autorise tout sur le HTTPS.

 

@maxou56 Le reverse proxy, pour moi, c'est effectivement pas lié à un port en particulier.

C'est juste très pratique d'utiliser le 80 ou le 443 car ils ne sont pas nécessaires quand on tape un nom de domaine, suffi de mettre HTTP ou HTTPS et hop, pas besoin de préciser le port.

Pour moi le reverse proxy c'est comme un gros carrefour où des routes arrivent et d'autres en repartent, et seul le "truc" au centre sait quelle route entrante doit aller où, ou n'aboutir nulle part.

Et perso, je n'autorise les connexions que en HTTPS 443 entrantes sur le reverse proxy, donc avec nom de domaine.
Pour le LAN, c'est open-bar 😄 

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

En clair, j'ai voulu dire que je me doutais de ta réponse technique et pas du qualificatif "f..." que tu avais employé à ton encontre en fin de phase. C'est tout. Désolé, si mon sous-entendu t'a paru inapproprié, ce n'était en aucun cas voulu.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour tout le monde,

J'ai une question quant à la création d'un nouveau user.
Lors de la création de celui-ci, automatiquement, dans le dossier /homes, il crée un dossier pour ce nouveau user.
Est-ce possible d'éviter la création de ce dossier spécifique.

Peut-on aussi supprimer ceux qui sont déjà existants ?

 

D'avance merci pour votre aide.

Belle journée

Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, Dimebag Darrell a dit :

Lors de la création de celui-ci, automatiquement, dans le dossier /homes, il crée un dossier pour ce nouveau user.

Tu vois le dossier /homes car tu es connecté avec un user administrateur. Les sous dossiers <user> que tu vois correspondent aux dossiers /home de chaque utilisateur (alias).

Les users ne voient que le dossier /home. Ce dossier est spécifique à chaque user qui est le seul à pouvoir y accéder.

Ces dossiers sont créés parce que tu as activé la fonction "Accueil utilisateur".

Si tu désactives cette fonction, tu pourras supprimer les sous dossier  (et donc les contenus des /home des users)...

image.thumb.png.914e67462de93a74986a0fed3f111a4f.png

Lien vers le commentaire
Partager sur d’autres sites

il y a 54 minutes, Kramlech a dit :

Si tu désactives cette fonction, tu pourras supprimer les sous dossier  (et donc les contenus des /home des users)...

Si tu désactives ça, il me semble que plus aucun utilisateur n’aura de dossier home, l’utilisateur administrateur  (celui que tu as créé qui a les droits admin) ainsi que root également.

ca peut poser des soucis si tu te connectes en ssh. J’ai du laisser l’option de l’accueil utilisateur pour ça. J’ai un fichier d’alias que j’utilise en root en ssh.

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis pas un grand spécialiste de Linux, mais je pense qu’il n’y a pas de lien entre le répertoire appelé home de la fonction Accueil utilisateur  (et qui correspond à un répertoire /volume1/homes/user) et le répertoire home des utilisateurs linux ….

Des spécialistes pourront sans doute nous en dire plus …

Lien vers le commentaire
Partager sur d’autres sites

@Kramlech

Bonjour,

Je suis assez d'accord avec toi, du peu que je connaisse de l'environnement Linux/Unix, il n'y a pas de réelle comparaison à faire. Je qualifierai même de "CanadaDry"  l'organisation/architecture donnée par Synology en la matière. Je m'avance peut-être mais je pense que c'est plutôt une manière simple de présenter les choses pour ne pas trop "dépayser" l'utilisateur sachant que DSM a tout de même une base Unix.

Comme tu le dis justement : à voir ce qu'en pensent effectivement les spécialistes Linux/Unix.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Kramlech @oracle7

Mes maigres connaissances et expériences avec linux/unix me disent ceci, adapté au NAS Synology :

Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/
Le dossier /home d'un utilisateur User2 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user2/
etc...

Mais le dossier homes lui existe bel et bien, mais ses permissions sont

drwxrwxrwx+  1 root                root                1018 Jul 23 09:54 homes


 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

il y a 33 minutes, MilesTEG1 a dit :

Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/

Oui tout à fait et c'est ce qui me fait dire que c'est du "CanadaDry" par rapport à Linux/Unix "pur". 🤣

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour, 

Tout d'abord un grand merci pour ce tuto je le trouve top ! (Surtout pour moi qui débute complètement dans ce domaine!).

J'ai néanmoins une petite question (du moins pour l'instant j'en ai une !)

Je voudrais créer (comme conseillé) plusieurs utilisateurs et si je caricature les voici  :

 - SuperAdmin : l'administrateur sans accès au fichier. Son "Seul" accès c'est au DSM (pour faire comme tu l'as dit QUE de l'administration !) => lui c'est ok ca marche en suivant ton TUTO

 - Fichiers : Lui a accès à tous les fichiers mais sans administration => ce que je voudrais c'est qu'il ne soit accessible que chez moi pas en dehors pour réservé mes données.

 - Web : Lui a accès à un seul dossier partagé dans le quelle je met des choses dedans ponctuellement et uniquement le temps que je les retires quand je suis chez moi avec le compte "fichier" par exemple => je voudrai que ce soit accessible par quickconnect car je ne sais pas faire ce que je veux sur le PC du boulot et que quickconnect fonctionne

En gros est il possible de limiter l'accès à quickconnect uniquement à 1 seul compte mais ce compte n'aura aucun droit d'admin et ne saura accéder qu'a un dossier ?

Penses tu que l'idée soit bonne ?

Lien vers le commentaire
Partager sur d’autres sites

@monsieurgg

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

  2. Déjà un première chose essentielle, si tu as bien suivi le dit TUTO, tu auras créé un utilisateur avec un nom improbable et son MdP à rallonge auquel tu auras donnés les droits d'administration.

    Une fois cela fait et seulement après avoir vérifier que tu te connectes bien avec cet utilisateur alors tu auras désactivé l'utilisateur "admin" de base.

    Ensuite donc, tu crées tes utilisateurs "Fichiers" et "Web".

    Après, tout se passe dans l'attribution de droits pour chacun de ces utilisateurs (selon ce que tu veux qu'ils puissent faire ou non) sur les applications et répertoires partagés de ton NAS.
    --> Dans DSM : Utilisateur / Modifier / Onglet Application ET Onglet Permissions.

Est-ce clair pour toi ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 38 minutes, oracle7 a dit :

@monsieurgg

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

     

  2. Déjà un première chose essentielle, si tu as bien suivi le dit TUTO, tu auras créé un utilisateur avec un nom improbable et son MdP à rallonge auquel tu auras donnés les droits d'administration.

    Une fois cela fait et seulement après avoir vérifier que tu te connectes bien avec cet utilisateur alors tu auras désactivé l'utilisateur "admin" de base.

    Ensuite donc, tu crées tes utilisateurs "Fichiers" et "Web".

    Après, tout se passe dans l'attribution de droits pour chacun de ces utilisateurs (selon ce que tu veux qu'ils puissent faire ou non) sur les applications et répertoires partagés de ton NAS.
    --> Dans DSM : Utilisateur / Modifier / Onglet Application ET Onglet Permissions.

Est-ce clair pour toi ?

Cordialement

oracle7😉

Bonjour Oracle7,

J'ai fait la présentation désolé pour l'oublis !

Voici comment j'ai fait :

image.png.6ee214dbba791147f6fdedb4a960dd74.png

J'avais déjà désactivé l'admin de base et le guest. Les 3 utilisateurs qui nous intéresses sont Fichiers / Moi / Web (Je les ai modifié pour la présentation) 

De la en faite mon problème c'est que si j'active Quickconnect il n'apparait pas dans les application :

Utilisateur fichier :

image.png.5060e1a438d3dc43e745d66929175054.png

Utilisateur Web :

image.png.1ba250d2dfb7c76f97cd23367e3550bd.png

En gros ce que je voudrai faire limiter l'accès de l'application Quickconnect (car de ce que j'ai compris une brèche de sécurité importante !) uniquement à l'utilisateur Web qui lui n'a accès qu'a un dossier "web" sans grande importance mais qui me permettrait de me faire des transferts quand je ne suis pas chez moi sur mon PC du boulot sur le quel je ne peux pas par exemple mettre un VPN

Lien vers le commentaire
Partager sur d’autres sites

Tu fais une confusion : Quickconnect n'est pas une application de type Filestation, FTP ou autre, mais c'est un moyen d'accès à ton Nas depuis l'extérieur.

A partir du moment ou tu actives Quickconnect, toute personne (connaissant ton compte Quickconnect) peut essayer de se connecter sur le NAS.

Lien vers le commentaire
Partager sur d’autres sites

@monsieurgg

Bonjour,

OK pour les utilisateurs, mais si je me réfère à ton souhait alors je crains que tu ne te soit bien trompé.

Par exemple ton utilisateur WEB ne doit avoir accès à aucune application hors à la vue de ta copie d'écran tu lui donnes accès à DSM. C'est dans l'onglet suscité "permissions" que tu dois lui donner/autoriser l'accès en L/E QUE sur un dossier partagé nommé par ex "Web" que tu auras créé par ailleurs.

L'utilisateur "Moi" en tant qu'administrateur aura normalement accès à toutes les applications  : DSM, FileStation (pour partager des fichiers), etc ...

L'utilisateur "Fichiers" aura accès uniquement à l'application FileStation pour pouvoir faire éventuellement du partage et manipuler les fichiers (ordonnancement, suppression, etc ...), éventuellement aussi à FTP si tu veux en transférer depuis ou vers ton NAS. Il aura aussi accès en L/E sur tous les dossiers partagés de ton choix dont le dossier "Web".

Tu me suis ?

EDIT : Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

 

 

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

J'ai deux questions :

1 - Quelle serait les capacités d'une personne malveillante si elle parvenait à se connecter physiquement (via un cable Ethernet ou USB) à un NAS (sans connaitre les logins) ? Comment se prémunir des éventuels risques liés à ce comportement ? J'ai posté ici à ce sujet.

2 - Y a t il des actions (en terme de sécurisation de son NAS) spécifiques à effectuer lors d'un upgrade vers DSM 7 si on a déjà suivi ce tuto sous DSM 6 ?

Merci d'avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.