Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

  • 1 mois après...

bonjour,
quelqu'un pourrait me confirmer que les règles de pare-feu suivantes sont correctes?

 https://img4.hostingpics.net/pics/1 [...] arefeu.png

 1-la 1ère a été faite par DSM (enfin le pare-feu) pour les applis, je ne l'ai pas faite mais j'ai juste choisi de la garder.

 2-pour la seconde, j'autorise mon routeur et tout son sous réseau, c'est ça? je ne vois pas la différence entre cette méthode et celle qui consiste à autoriser que la plage d'IP que j'ai configurée dans mon routeur (192.168.0.10 à 30).

 3-la 3ème autorise les IP françaises

 4-la dernière refuse tout le reste

 à noter que -pour le moment- je n'accède à mon Syno de l'extérieur que pour une tâche d'hyperbackup qui arrive chez moi en venant d'une IP française. je suis en fibre et mon IP ne change que rarement.
Devrais-je donc changer la 1ère règle pour n'y laisser qu'hyperbackup?

merci.

 

 

 

 

 
Lien vers le commentaire
Partager sur d’autres sites

le pare-feu du routeur ne redirige qu'un port exotique vers le syno pour hyperbackup, ça ne fait pas l'affaire?

après, je peux aussi n'autoriser que l'adresse IP d'où vient ce hyperbackup.. mais le pare-feu le verra t il comme tel ou comme une demande du routeur?

 

 

Modifié par sebgros
Lien vers le commentaire
Partager sur d’autres sites

Si vous avez une parefeu sur le routeur, pourquoi pas, mais j'en doute et si c'est une box, il n'y a en principe pas de parefeu (la redirection de port n'est pas un parefeu).

Dans vos paramètres vous n'autorisez d'abord que WebStation, PhotoStation et peut-être d'autres applis que je ne vois pas, puis ensuite vous autorisez tout dans la troisième règle. Donc open bar. Si vous voulez uniquement les applis de la règle 1, vous supprimez la règle 3 qui ne sert à rien. Et pour être cohérent, vous passez la règle 2 (vos IP privées) en position une, et la une en 2.

Lien vers le commentaire
Partager sur d’autres sites

j'ai une livebox 4 sur laquelle il y a en effet la redirection de port et ce qui 'dit' être un pare-feu.

 

ok pour inverser les 2 règles et supprimer la 3 mais qu'en est il de ma connexion hyperbackup entrante? elle sera considérée comme venant de la box et donc sur IP locale (vu que j'ai mis une redirection de port) ou bien elle sera considérée comme extérieure?

 

 

Lien vers le commentaire
Partager sur d’autres sites

C'est le port qu'utilise le NAS pour l'application qu'il faut considérer. Si Hyperbackup utilise un port spécifique, il faut alors diriger un port externe spécifique vers le port spécifique du NAS et l'autoriser dans le parefeu.

Je n'utilise pas hyperbackup pour des sauvegardes externes (mes sauvegardes ne sont qu'internes), et donc je ne connais pas le port si toutefois il y en a un exotique.

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Mic13710 a dit :

C'est le port qu'utilise le NAS pour l'application qu'il faut considérer. Si Hyperbackup utilise un port spécifique, il faut alors diriger un port externe spécifique vers le port spécifique du NAS et l'autoriser dans le parefeu.

c'est ce que j'ai fait au niveau du pare-feu de la boxe. un port exotique est redirigé vers l'adresse IP (interne) du NAS (6281 pour hyperbackup)

pour reprendre un message précédent, ce n'est pas open bar au niveau de la box, un seul port est redirigé vers le NAS.

ma question demeure : elle sera considérée comme venant de la box et donc sur IP locale (vu que j'ai mis une redirection de port) ou bien elle sera considérée comme extérieure?

merci beaucoup pour votre aide

Modifié par sebgros
Lien vers le commentaire
Partager sur d’autres sites

  1. règle automatique, on ne sait pas ce qu'elle fait (on ne voit pas tout) et ouvert depuis partout => à supprimer
  2. il y a une erreur (étonnant que le syno ait laissé faire) => 192.168.0.0/255.255.255.0 (je recommande 192.168.0.0/255.255.0.0) et il faut la passer en 1 (c'est probablement la règle qui sera la plus utilisée)
  3. open bar depuis la France (même si la box protège en ne transférant pas tous les ports, en cas de souci avec cette dernière ça sera tout de même open bar) => ajoute explicitement les ports que tu utilises depuis TOUTE la France
  4. ok

Ce que j'indique reprend ce que t'as indiqué @Mic13710 à juste titre.

Et pour l'IP, dans ton cas l'ip source sera l'ip Internet (publique) de la box d'en face, ça ne sera pas l'ip (publique ou locale) de ta box.

=>si tu n'autorises que HyperBackup depuis l'extérieur (sans compter ta règle 1), remplace la règles 3 par :

  • Port configuré pour HyperBackup (éventuellement modifié par ta box) --- TCP --- IP publique de la box d'en face --- Autoriser
Lien vers le commentaire
Partager sur d’autres sites

merci pour ces réponses

 

1-la règle 1 (automatique) a été créée par le DSM lui-même à chaque installation de paquet synoly. ok, je vire.

2-192.168.0.1, c'est l'adresse de ma passerelle et donc livebox...? peut-être l'avais-je changée à l'origine lors de la config mais le zéro ne mène nulle part. il y a un problème avec ça?

quant a 255.255.0.0 c'est une erreur de ma part.  j'ai 255.255.255.0 dans ip config. problème là aussi?

3-ok, nouvelle règle faite

ce qui donne pour le moment (hormis l'erreur de masque de sous-réseau!!)

https://www.hostingpics.net/viewer.php?id=726725Sanstitre.png

 

 

Modifié par sebgros
Lien vers le commentaire
Partager sur d’autres sites

Pour la règle 2, tu as mis une machine, c'est tout le "sous-réseau" qu'il faut autoriser. Si tu as mis "hôte unique", tu autorises seulement la box elle même (je ne parle pas du trafic qui vient de la box, mais de la box elle même) => donc pc ne devrait plus avoir accès au nas => ce dernier devrait t’empêcher de faire cette règle sauf dans 2 cas :

  • le pare feu n'est pas activé
  • tu utilises la fonction loopback de ta box (donc tu accèdes à ton nas par son nom de domaine public)
Lien vers le commentaire
Partager sur d’autres sites

je ne suis pas sur de te suivre là.

ma box a pour IP 192.168.0.1 (j'ignore si c'est par défaut) et les machines connectées sont sur une plage de 192.168.0.10 à 192.168.0.30.

le pare feu est bien activé. je ne crois pas utiliser de fonction loopback.

et sur ce screenshot (où j'ai corriger le masque) , tout le sous réseau n'est-il pas autorisé?

https://www.hostingpics.net/viewer.php?id=565113Sanstitre.png

mon ip config

https://www.hostingpics.net/viewer.php?id=152124Sanstitre2.png

 

merci pour ton aide et ta patience

 

Modifié par sebgros
Lien vers le commentaire
Partager sur d’autres sites

  • 192.168.0.1/255.255.255.0 = la machine qui a l'adresse 192.168.0.1 dans le réseau 192.168.0.0/24 (192.168.0.0 -> 192.168.0.255)
  • 192.168.0.0/255.255.255.0 = le réseau 192.168.0.0/24 (192.168.0.0 -> 192.168.0.255)

Pour le détail il faudrait que je te fasse un cours réseau => https://openclassrooms.com/courses/apprenez-le-fonctionnement-des-reseaux-tcp-ip/decoupage-d-une-plage-d-adresses-1

Lien vers le commentaire
Partager sur d’autres sites

bon, si on reprend synthétiquement,

je dois dans l'ordre faire une règle pour autoriser :

mes machines locales qui sont sur les adresses de 192.168.0.10 à 192.168.0.30

la machine distante (en ip fixe) sur le seul port interne d'hyperbackup (elle est redirigée vers le nas dans la box)

refuser tout le reste.

j'ai bon cette fois?

si oui, il y a un moyen sain de tester que le pare-feu fait bien son job?

encore merci

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

j'ai suivi a la lettre et avec beaucoup d'intérêt le tutoriel pour sécurisé mon NAS
j'ai effectué pas mal de vos recommandations.

Seulement j'ai une question, j'ai créer comme conseillé un super admin qui s'occupe de gérer le NAS pour désactiver l'admin par défaut.

Dans ce passage du tuto :

Citation

"Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ...Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration."

Moi j'ai installé tout mes paquets et fait tous mes réglages time machine, download station, vpn et autres ...
sur un autre compte administrateur de base "Toinou" que j'avais recréer vu que j'avais désactivé l'admin lors de ma première configuration. 

Comment faire pour réinstaller et remettre tous mes réglages dans mon compte super admin ? (que j'ai recréer en suivant ce tuto) avec une grande sécurité.
pour ne garder qu'un compte de consultation par la suite ?

J'ai bien pensé a mettre mon compte admin "Toinou" en super admin seulement l’intérêt si j'ai bien compris le tuto c'est de désactiver pratiquement toutes les fonctionnalités, ex : permission sur les applications, limite de vitesse, permissions dossier partagés.
hors ce compte gère absolument tous mes réglages sans aucune limite de permission.

 

Je m'embrouille peut être ou j'ai peut être mal compris

Merci à tous pour vos conseils.

Toinoux

Lien vers le commentaire
Partager sur d’autres sites

En fait dans le tuto, je donne juste la bonne pratique qui est qu'un admin doit pouvoir administrer mais n'a pas besoin d'accéder aux données. Tout en indiquant qu'un admin peut se remettre les droits si besoin.

L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose.

Si c'est trop contraignant pour ton utilisation, tu n'es pas obligé de faire la même chose.

nb : "bonne pratique" ne veut pas dire "pratique réaliste" pour tout le monde :mrgreen:

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour à tous, merci Fenrir pour ce tutoriel qui m'a bien maché le travail et dés plus instructif. Aprés plusieurs relecture de ton post j'ai toujours des points que je souhaiterai éclaircir car je n'arrive pas à me connecter à mon NAS depuis l'exterieur :
Merci de votre clémence, le réseau (et le monde synology) n'est pas trop ma tasse de thé donc je m'excuse par avance du niveau de certaines questions. Pour autant je ne baisse pas les bras et j'aimerai comprendre.

FREEBOX :

Je posséde une Freebox Crystal, est ce normal qu'aprés avoir renseigné les ports à forwarder et avoir rebooté la box je n'ai aucun moyen de savoir si cela à bien été pris en compte. Je tombe sur une page vierge, comme si je n'avais créé aucunes régles, de même pour la réservation de l'adresse IP dans le DHCP, assez problématique car aucun moyen de savoir si les problémes qui en découles viennent de ma box ou/et de mon NAS (mal configuré) ...

5a2924718530b_RedirectionFreeboxCrystal.thumb.png.9c23434cc70bc4d88a3b06423d3585b8.png

NAS :

Dans accés externe/DDNS/ j'ai renseigné mon adresse IP au lieu de 1.1.1.1, j'ai cru comprendre que free fournissait une IP fixe mais n'en suis pas certain ?
Dans accés externe/DDNS/  le nom d'hôte correspond bien au nom que j'ai donné au NAS ?
Dans cette même rubrique quand je clic sur "test de connexion" le statut passe à "normal" qu'est que ça signifie ?

 

Dans accés externe/avancé/ j'ai renseigné l'IP fourni par Free 78.*.*.*, vaut il mieux renseigner le nom d'hôte (nom du nas) ?

 

Dans réseau/général/ Nom du serveur = nom du nas ?

 

Dans réseau/paramétres DSM je n'ai pas créé le script de Fenrir car je n'ai pas souhaité rediriger les connexions HTTP vers HTTPS, ni coché "activer un domaine personnalisé" de quoi parle t'on un domaine active directory ?

Dans Sécurité/Sécurité "Afficher la notification ...lorsque l'IP change" De quelle IP parle t'on ? Celle du NAS ?

Dans Sécurité/Compte conseillez vous d'activer la protection du nom ?

Dans Sécurité/Certificat j'ai créé un certif signé par let's encrypt et je l'ai passé par défaut, cependant y a t'il possibilité de désactiver le certif auto signé au lieu de le supprimer ?

Dans Notification/Email, n'ayant pas de serveur SMTP à la maison j'ai configuré mon adresse Gmail, j'ai donc du autoriser Synology à avoir accés à ma BAL, y a t'il un risque ?

 

Petit Hors sujet  :

Dans Materiel/Alimentation/UPS j'ai coché la case activer la prise en charger UPS, ainsi qu'éteindre l'ups lorsque le systeme passe en mode sécurité. Qu'entendent ils par "mode sécurité" ?

Dans Materiel/Alimentation/UPS, même question mais pour le mode sans echec, je n'ai pas osé cocher la case ne sachant pas trop ce que ça implique ?

Sur les recommandations du forum j'ai désactivé la mise en hibernation, j'ai cru comprendre que c'était préférable pour les DD.

Dernier petit hors sujet, puis je désinstaller le paquet PHP 7.0 qui ne me sert absolument pas ou est ce que certaines autres applis ont en besoin ?

 

Merci par avance de toute l'aide que vous pourrez m'apporter car j'ai conscience de demander bcp de chose.

Bonne journée à vous.

 

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, Diabolomagic a dit :

Je tombe sur une page vierge

Essaye avec un autre navigateur (si tu utilises firefox, control+shif+r sur la page)

Il y a 10 heures, Diabolomagic a dit :

j'ai cru comprendre que free fournissait une IP fixe

c'est bien le cas en dégroupé (partiel ou total)

Il y a 10 heures, Diabolomagic a dit :

Dans Sécurité/Certificat j'ai créé un certif signé par let's encrypt et je l'ai passé par défaut, cependant y a t'il possibilité de désactiver le certif auto signé au lieu de le supprimer ?

Oui tu peux (dois) supprimer le certificat d'origine sans risques, il faudra peut être juste mettre l'autre par défaut avant

Il y a 10 heures, Diabolomagic a dit :

Dans Notification/Email, n'ayant pas de serveur SMTP à la maison j'ai configuré mon adresse Gmail, j'ai donc du autoriser Synology à avoir accés à ma BAL, y a t'il un risque ?

Pas spécialement, mais dans gmail tu as ça : https://support.google.com/accounts/answer/185833?hl=fr

Il y a 10 heures, Diabolomagic a dit :

Dernier petit hors sujet, puis je désinstaller le paquet PHP 7.0 qui ne me sert absolument pas ou est ce que certaines autres applis ont en besoin ?

Si une appli en a besoin le nas te le dira

Pour le reste de tes questions, tu as la réponse dans le tuto ou dans la doc officielle : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/ControlPanel_desc

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.