Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Bah j'essaie de faire des tuto propre avec des exemples pas trop dangereux (des fois que quelqu'un recopierait toutes les règles d'exemple), mais là pas de bol, ils ont confondu 192.0 et 192.168

En pratique, les équipements soho (box&co) n'en tiennent pas compte, donc routent ça comme une vraie adresse, mais elle sera droppée par le premier routeur bgp, donc pas de danger

ps : j'ai édité le tuto

Lien vers le commentaire
Partager sur d’autres sites

il y a 19 minutes, Fenrir a dit :

Bah j'essaie de faire des tuto propre avec des exemples pas trop dangereux (des fois que quelqu'un recopierait toutes les règles d'exemple), mais là pas de bol, ils ont confondu 192.0 et 192.168

En pratique, les équipements soho (box&co) n'en tiennent pas compte, donc routent ça comme une vraie adresse, mais elle sera droppée par le premier routeur bgp, donc pas de danger

ps : j'ai édité le tuto

Merci Fenrir.

Donc concrètement dans la règle pour le port 80 et 443 on doit autoriser uniquement notre ip publique ? Car quand je le fais je n'ai plus accès de l'extérieur. Je dois autoriser soit tous soit une région spécifique.

Autre question dans le même ordre d'idée: quand depuis l'extérieur j'entre mon adresse monnom.dedomaine celle-ci pointant sur mon ip publique mon routeur la redirige forcément vers mon nas. J'ai donc la page de login du DSM qui apparaît. Hors il me semble que tu préconisait le VPN pour se loguer sur le DSM. Comment dès lors bloqué cela ?

Tout grand merci

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, danielpm83 a dit :

Donc concrètement dans la règle pour le port 80 et 443 on doit autoriser uniquement notre ip publique ?

Non, c'est un exemple d'ip externe, si par exemple tu veux autoriser l'ip de tes parents sur un port qui ne serait pas déjà ouvert par les autres règles.

Il y a 2 heures, danielpm83 a dit :

quand depuis l'extérieur j'entre mon adresse monnom.dedomaine celle-ci pointant sur mon ip publique mon routeur la redirige forcément vers mon nas

seulement pour les ports que tu as configuré sur ton routeur

Il y a 2 heures, danielpm83 a dit :

Comment dès lors bloqué cela ?

Ne transferts pas les port 5000 et 5001 sur ta box

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Fenrir a dit :

Non, c'est un exemple d'ip externe, si par exemple tu veux autoriser l'ip de tes parents sur un port qui ne serait pas déjà ouvert par les autres règles.

Ok je comprends. Donc concrètement pour un accès de l'extérieure je dois ouvrir le port 443 (utilisé dans le reverse proxy) à tous en provenance de la région définie?

il y a 7 minutes, Fenrir a dit :

Ne transferts pas les port 5000 et 5001 sur ta box

Étonnement, ils ne le sont pas. Seul le port 443 est ouvert actuellement.

Merci, j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, danielpm83 a dit :

Ok je comprends. Donc concrètement pour un accès de l'extérieure je dois ouvrir le port 443 (utilisé dans le reverse proxy) à tous en provenance de la région définie?

Seulement si tu as besoin de le faire ...

il y a 1 minute, danielpm83 a dit :

Étonnement, ils ne le sont pas. Seul le port 443 est ouvert actuellement.

Tu n'aurais pas transféré le port 443 vers le port 5001 ?

il y a 3 minutes, danielpm83 a dit :

Merci, j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Fenrir a dit :

Seulement si tu as besoin de le faire ...

Pour avoir accès à ceci depuis l'extérieur :

Capture.thumb.PNG.dd58fb1bfaafb303bee9730a0f5bae10.PNG

Je dois ouvrir le port 443 sur ma box comme ci-dessous ET autoriser les entrées via le pare-feu du Synology comme ceci ? Car quand je ne le fais pas, ca ne semble pas marcher de l'extérieur...

Capture.thumb.PNG.ad67e79c3c464e5c90a0319c1b51853f.PNG

il y a 2 minutes, Fenrir a dit :

Tu n'aurais pas transféré le port 443 vers le port 5001 ?

Non...

Capture.thumb.PNG.ece75553718e2c571c8e676f060e3eef.PNG

il y a 2 minutes, Fenrir a dit :

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Merci ! De la lecture...miam!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Fenrir,

Je suis consciencieusement ton tuto depuis quelques soirées (tu as dû t'en apercevoir :rolleyes:), et merci pour tout !

Je partais comme beaucoup je pense d'une conf ou mon compte principal faisait tout (admin et utilisation de tous les outils). Arrivé à la fin du tuto, j'obtiens désormais un MonAdmin bétonné capable d'administrer mais pas d'utiliser les applications ni de transférer des fichiers.

De simples Users doivent être créés pour ça et je suis désormais dans un "flou sécuritaire" pour ce qui concerne la partie "accès aux données" que tu expliques vouloir protéger le mieux possible dans ce tuto...

En effet, MonAdmin sait désormais tout administrer, mais il n'est pas fait pour du transfert de fichiers efficace (tous les débits réglés à 1o/s et Appli telles que File Station non autorisées). J'en déduis que le transfert de fichiers doit se faire via un utilisateur Lambda, qui aura donc simplement son mot de passe >10 caractères nettement plus faible que tout ce qui est mis en place pour sécuriser MonAdmin... Avec un accès en L/E aux fichiers du NAS pour Lambda, après avoir blindé la porte principale, n'est-ce pas une porte de service ouverte ?

Que recommanderais-tu pour une utilisation des transferts de fichiers PC->NAS de ce type :

- 50% local via l'arborescence Windows

- 40% local via PhotoStation Uploader

- 10% externe via File Station (depuis toujours en passant par le DSM, mais désormais par le port 7000 pour cibler l'appli en direct).

?

 

Lien vers le commentaire
Partager sur d’autres sites

Pour la porte de service, la question a déjà été posée :

Et pour les comptes "normaux", il faut bien leur laisser accéder au données d'une manière ou d'une autre. Mais si tu gère correctement les droits, un compte lambda ne pourra toucher qu'à ses données.

Pour tes transferts, je n'ai pas vraiment de réponse à apporter, chacun voit midi à sa porte.

Ce tuto est une suite de bonne pratiques, qui fonctionnent dans la plupart des cas, mais pas tous (typiquement photostation a une gestion de droits différentes).

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, Fenrir a dit :

Pour la porte de service, la question a déjà été posée :

Et pour les comptes "normaux", il faut bien leur laisser accéder au données d'une manière ou d'une autre. Mais si tu gère correctement les droits, un compte lambda ne pourra toucher qu'à ses données.

Je me suis peut-être mal exprimé (ou alors je suis long à comprendre :redface:), mais le compte "bunker" à gros mot de passe + OTP ne me pose aucun stress. Je suis plus perplexe sur le compte Lambda de tous les jours, qui aura un mot de passe plus standard et sera un peu moins sécurisé, mais qui aura accès à toutes les données, lui.

Je dois m'en tenir à la "compartimentation" des accès aux données dont tu parles dans ton tuto je pense. ça limitera les dégâts.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
Le 04/05/2017 à 23:38, bugs denis a dit :

Bonjour, j'ai fait le test et cela ne fonctionne pas, même en indiquant un numéro de port. J'ai fait un test avec un site présent de reverse proxy pointant sur un autre port et cela ne fonctionne pas, normal, mais le message d'erreur est très intéressant il me dit que le site est déjà utilise dans mon client est que je doit utilisé celui qui existe déjà ... J'ai regardé dans la config du client windows (C:\Users\xxxxx\AppData\Local\CloudStation\data\db\sys.sqlite) et j'ai découvert que le site est bien indiqué mais que l'IP numérique est indiqué. Je parie que le client l'utilise l'adresse IP numérique pour faire la connexion.

J'ai réinstallé CloudStation pour tester un truc, j'en ai profité pour regarder un peu plus en détails les entrailles de CS => ça ne peut pas fonctionner avec un reverse proxy pour la simple et bonne raison que ce n'est pas du HTTP (ou HTTPS).

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

bonjour,

tout nouveau utilisateur de NAS et pas très rompue à la sécurisation de réseaux je tien tout d'abord a remercié tous particulièrement @Fenrir pour ce tuto super bien fait qui m'as aider a commencé à configuré la sécurité du mien.
sa ne serais pas marrant si j'avais tout compris et réussi du premier coup.
pour commencé, lorsque je me connecte à DSM avec l'ip 192.168.x.xx:5001 en https firefox me renvoi l'erreur suivante et du coup je suis obliger d'ajouté une exception ou de passé en http avec le port 5000.

"192.168.x.xx:5001 utilise un certificat de sécurité invalide. Le certificat n’est pas sûr car le certificat de l’autorité l’ayant délivré est inconnu. Le serveur n’envoie peut-être pas les certificats intermédiaires appropriés. Il peut être nécessaire d’importer un certificat racine supplémentaire. Le certificat n’est pas valide pour le nom 192.168.x.xx. Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER"

deuxièmement lorsque j'ai justement voulu faire le changement de certificat pour "let's encrypt" sa m'as renvoyé l'erreur "impossible d'obtenir de certificat, vérifiez que le port 80 est bien ouvert". j'ai pourtant pu vérifié sur canyouseeme.org qu'il était belle et bien ouvert dans mon routeur en TCP et UDP et je l'ai aussi ouvert dans le pare-feu DSM. une idée de où cela peut venir...?

lorsque j'ai activé SSH, le pare-feu m'as envoyé la notification pour ouvrir le port mais comme dans le tuto il est dit de ne pas cliqué sur OK et que de plus dans les captures d'écrans du pare-feu un peu plus haut il n'y avait pas le port d'ouvert je ne l'ai pas ouvert non plus mais dans ce cas comment peut ont accéder au terminal en cas de problème. faut-il ouvrir le port dans DSM du coup..??

merci d'avance,

Sebastien

 

Lien vers le commentaire
Partager sur d’autres sites

Pour le certificat, il faut vérifier que tu as bien autorisé le port TCP 80 dans le firewall du nas et pas seulement pour certains pays, au moins le temps de créer le certificat (et tous les 3 mois pour le renouveler).

Le port SSH ne doit être ouvert QUE depuis ton réseau local. Si tu as repris mon exemple de règles, il l'est puisque les 3 premières règles (10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16) autorisent tous le trafic local.

Lien vers le commentaire
Partager sur d’autres sites

merci, j'ai réussi a l'obtenir.

par contre j'ai étais obligé de désactivé complètement le pare-feu....
en configurant une règle sur port 80, protocole TCP ou même TOUS, type source ou destination et IP sur TOUS rien n'y fait mon port est fermé.
même avec le certificat il m'est toujours impossible de me connecté en https sans ajouté d'exception  et impossible aussi d'y accéder par le nom de domaine "monnom.synology.me
par acquit de conscience j'ai voulu testé avec un port au pif (le 5000) pour voir ce que me renvoyé les deux site de test d'ouverture des port avec et sans pare-feu DSM activé, dès que je l'active le port ce ferme alors qu'il est ouvert lorsqu'il est désactivé et ce même sans être ouvert sur mon routeur...
il y as vraiment quelques choses qui doit pas aller avec mon pare-feu mais je ne vois vraiment pas où cela peut il bloquer

Lien vers le commentaire
Partager sur d’autres sites

oui en effet, la règle as était mise en place a la suite de celle qui bloque tout, pourtant dans le tuto tu précisais bien que les règles était évaluer du haut vers le bas... :rolleyes:
je suis chez ma mère là mais je ferais le test ce soir en supprimant celle qui bloque tout, ou juste en la désactivant avec la croix.

bon et sinon comme je devais charger des documents et fichiers d'ici et que j'ai pas encore mis en place VPN server j'ai réactivé quickconnect pour l'après midi (pas bien:redface:) en laissant l'ouverture des ports ce faire automatiquement. je retrouve les ports (applications) ouvert dans le pare-feu en haut de la liste et j'ai pu me connecter avec monnom.synology.me en https avec le certificat valide... à voir ce que sa donnera ce soir en local...

et pour finir j'ai lancer le conseiller de sécurité et la seule chose qui ressort sont les règles de force du mot de passe car je n'ai pas activé les minuscules/majuscules et les caractères spéciaux.

Merci encore à toi, maintenant il me reste à me pencher sur ton tuto sur VPN server... 

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, louseb84 a dit :

la règle as était mise en place a la suite de celle qui bloque tout, pourtant dans le tuto tu précisais bien que les règles était évaluer du haut vers le bas...

Euh.... si la règle est à la suite, c'est qu'elle est plus bas non ? Pour qu'elle puisse fonctionner, Il faut la mettre au dessus de celle qui bloque tout.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour la compagnie, je souhaiterais savoir comment vous sécurisez votre NAS au niveau des fichiers partagés mais précisément au niveau des droits.

Pour l'instant je me contente de faire ça par exemple pour tout si le DSM fonctionne comme Linux et que mes souvenirs sont bon il regarde par priorité User > Group > Other

Supposons que j'ai Maman du groupe Famille et que j'ai un dossier partagé créée par Francoporto et ce dossier appartient au groupe Famille:

  • Si le dossier appartient à Maman alors il a les droits, sinon non, ici ce sera Non du coup
  • Si le dossier appartient au groupe Famille alors tous les membres de ce groupe aura les droits définit
  • Pour le Other j'ai peut-être mal vu mais j'ai pas trouvé d'équivalent.

 

Est ce que ça suffit niveau sécurité des droits ? Du coup je me fis uniquement aux groupes, j'ai déjà essayé de faire ça sur Windows Server c'était un calvaire avec l'héritage -_- 

Au niveau des paramètres l'utilisateur ou des groupes en lui même vous auriez des suggestions ? 

 

Merci d'avance 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.