Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Il y a de fortes chances que ça vienne de là. D'ailleurs si je me trompe pas, Fenrir le précise dans son tuto de régler en fonction si on est en ipv6 ou non...

Mais comme tu débutes, autant le désactiver. Perso, je l'ai désactiver et tout fonctionne parfaitement bien. L'ipv6 a des bons arguments mais ça peut attendre.

Une fois que tu auras mit en place le tuto sécurité "en entier", tu pourras commencer à ouvrir des services à internet comme Photo Station, Musique, Vidéo etc...

 

EDIT : oui il faut que tu redémarres la Freebox pour le changement prenne effet et que tu sois en ipv4.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

:eek::eek::eek:

 

Tu sais, si demain, je cherche un tuto pour monter ma propre voiture mais qu'arriver à l'étape du montage de la sécurité (freins par exemple), je n'y arrive pas et que donc comme toi je saute cette étape, et bien ma voiture ne sera pas sécurisée et j'irai droit dans le mur quand je voudrai m'arrêter.

Je sais que j'extrapole mais si tu nous disais plutôt là ou tu coinces plutôt que d'abandonner et aller sur un autre sujet... Le but étant de suivre le tuto à la lettre et surtout de le comprendre. Si derrière, tu sautes des étapes (qui peuvent être primordiales) alors tout ça n'aura servi à rien finalement.

Lien vers le commentaire
Partager sur d’autres sites

Je me suis mal exprimé, j'ai tout fait, mais pas les quelques éléments où je n'arrivais pas. T'inquiète là dessus, je suis très méthodique... mais pas toujours patient!

Dans les soucis où je n'ai pas pu tout bien faire, il y avait les règles du Pare feu, que nous avons réglé grâce à toi. Vient ensuite le problème du certificat HTTPS.

Lien vers le commentaire
Partager sur d’autres sites

Tu as bien lu le tuto car Fenrir parle bien du certificat SSL pourtant. Non ?

Pour être en https, pas besoin de certificat. Il faut se connecter sur le port SSL. De base, c'est le 5001. Il faut certainement l'autoriser dans le pare feu du NAS (pas du routeur pour le moment)

Par contre, tu as un nom de domaine ? Car je ne crois pas que Let's Encrypt permet de certifié une IP uniquement.

Lien vers le commentaire
Partager sur d’autres sites

Tu es sécurisé ! C'est juste que ça t'affiche ça car Firefox ne sait pas que c'est ton site en local donc il te met par défaut qu'il faut que tu fasses attention parce que tu n'est pas une gentille banque avec son petit cadenas vert :rolleyes:

Ça évite aussi quand tu partages ton lien de faire peur avec ce fameux message du navigateur.

Bref, si tu veux le passer le vert, il te faut un ndd (chez OVH par exemple pour 10 euros à l'année) et ensuite, tu pourras sans soucis créer un certificat SSL gratuitement renouvelable tous les trois mois.

Pour ce qui est des ndd gratuits ou fournis par OVH, je ne sais pas si c'est possible de les certifiés via Let's Encrypt. A toi de voir.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Il est pas utile mais il est indispensable de sécuriser :

  1. Son NAS
  2. Sa navigation depuis l'extérieur de chez soit en naviguant qu'en httpS. Et encore mieux, avec un VPN !

Pour le certificat, c'est pas obligatoire mais recommandé. C'est surtout une question d'esthétique afin d'éviter le fameux message de non sécurisation.

 

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Merci infiniment pour ce tutoriel. Le meilleur et le plus complet que j'ai trouvé jusqu'à maintenant.

Juste une chose à propos du proxy inversé (d’ailleurs je ne sais pas pourquoi ils appellent pas ça virtual hosting) :

J'ai mis en place cette fonctionnalité avec 4 sous-domaines (pour video station, audio station, file station et download station) sur le port 80 pour deux d'entre eux et 443 pour les deux autres.

Tout fonctionne à merveille et j'y ai accès depuis le net mais j'ai remarqué que lorsque l'on accède à http://monipinternet:80 ou http://monipinternet:443, depuis Internet, mon NAS répond à la requête et renvoie même sur https://monipinternet:portdsmlocal/ (ce qui ne fonctionne pas évidement car je ne laisse pas l'accès à DSM depuis le net)

Je souhaite que le NAS ne réponde à aucune requête vers mon IP internet ou vers mon domaine mais uniquement lors de l'accès via mes sous-domaines (lorsque ces sous-domaines sont indiqués dans le champs location de la requête http cliente).

Comment faire?

PS : voici ce qui se passe lors d'une requête d'un client vers monipinternet:80 ou monipinternet:443 :

Citation

GET / HTTP/1.1
Accept: */*
Accept-Language: fr
Host: 82.241.47.21

Citation

 

HTTP/1.1 302 Moved Temporarily
Date: Sun, 17 Dec 2017 19:13:09 GMT
Content-Type: text/html
Content-Length: 154
Connection: keep-alive
Keep-Alive: timeout=20
Location: http://82.241.47.21:14758/

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx</center>
</body>
</html>

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, fredo69 a dit :

Je tente de bien paramétrer mon parefeu comme suit :5a367b8d7a316_ParefeuSynology.JPG.18894322ff88cb15073189399b8a2914.JPG

Mais il me répond que cela ne va pas

5a367bb6b7703_ErreurParefeuSynology.JPG.5e39a1305e263c076ff3f7cf1c8f7de6.JPG

Qu'est ce que j'ai encore fait comme erreur? Je crois que la règle sur le terminal chiffré ne pose pas de problème puisque qu'elle n'est pas cochée. A priori c'est la dernière règle où je refuse tout qui pose souci. Pourtant vu qu'elle est en dernier, j'imagine qu'elle s'applique après les autorisations précédentes?

 

Tu as mal recopié mon exemple, ta 3ème règle est fausse : 198.168.0.0

Il y a 1 heure, kroman_fr a dit :

Juste une chose à propos du proxy inversé (d’ailleurs je ne sais pas pourquoi ils appellent pas ça virtual hosting) :

Parce que qu'un proxy inversé ce n'est pas un virtual host

Il y a 1 heure, kroman_fr a dit :

Je souhaite que le NAS ne réponde à aucune requête vers mon IP internet ou vers mon domaine mais uniquement lors de l'accès via mes sous-domaines

Pas possible sauf à utiliser un port non utilisé par Synology.

Les ports 80, 443, 5000 et 5001 sont en écoute de base

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse très rapide

Ah bon je confonds les deux choses alors.

 

C'est dommage que l'on ne puisse pas faire en sorte que le NAS ne réponde absolument rien si on ne lui fait pas une requête via le port 80/443 autrement qu'en définissant un des sous-domaines enregistrés dans les proxys inversés. Ne peut-on pas faire en sorte de masquer au moins la redirection vers le port DSM (encore une fois ce n'est pas dramatique ce port est de toute façon fermé depuis le net mais bon ça permettrait à un éventuel pirate qui aurait pénétré mon réseau de connaitre facilement le port DSM facilement). D'ailleurs j'ai désactivé l'entête "server" dans les requêtes de réponse HTTP mais dans le corps de la réponse il indique le nom "nginx")

 

Est ce que tu me conseilles de changer le porta 80/443 ou ça n'a aucun intérêt (c'est vrai que c'est plus "propre" que devoir filer son url à ses amis avec un numéro de port exotique)

Lien vers le commentaire
Partager sur d’autres sites

Le 18/12/2017 à 01:37, Fenrir a dit :

Perso tout ça je le gère avec un bout de code en php, c'est plus simple que d'aller changer la conf du syno.

Merci. Effectivement, je n'avais pas encore installé Web Station. Je rencontre d'ailleurs quelques problèmes avec Apache 2.4 mais qui ne rentrent pas dans le cadre de la sécurité et je vais donc créer un topic à part :)

Cependant, je me demandais si comme pour la config par défaut de DSM, la config par défaut de WebStation / Apache 2.x / Php 7 / MariaDB fournie avec les packets nécessitaient des modifications afin d'augmenter la sécurité (vu qu'il répond de l'extérieur à des requêtes sur port 80) ?

Lien vers le commentaire
Partager sur d’autres sites

Merci c'est très réactif :)

Je n'avais pas pensé à ça. Je n'ai autorisé que la France et la Belgique dans mon pare-feu (sur le proxy inversé, webdav et le vpn) mais quand mon certificat let's encrypt va expirer, si je n'autorise pas les connexions entrantes depuis les US sur le port 80 (ou ces deux IP), le renouvellement échouera (ou j'ai compris de travers) ?

Pour apache, niveau accès c'est ok et je pense être safe grâce à ce tuto mais ensuite niveau config apache / php ? La config par défaut est-elle sécurisée ? D'habitude, sur PC, je désactive les modules inutiles et d'autres éléments, mais là impossible de retrouver le fichier httpd.conf sur apache 2.4...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.