StéphanH Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 Bonjour, Pour les besoins de renouvellement du certificat Let's Encrypt, j'ai ouvert le port 80 sur mon Syno (Cf ici). Depuis, lorsque je tape mon nom de domaine depuis n'importe quel navigateur internet (http://<nomdedomaine>, je tombe sur ma page d'identification DSM. Cela m'inquiète vraiment en terme de sécurité.Est-ce moi qui suis parano ? Y a-t-il moyen de brider l'usage du port 80 aux serveurs Let's Encrypt ? 0 Citer
antdid Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 En installant Web Station, le port 80 devrait afficher un site (ou une erreur s'il n'y existe pas). Niveau sécurité effectivement c'est pas top. Certaines personnes recommandes de ne pas laisser le DSM accessible sur internet. Cf : 0 Citer
Kramlech Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 (modifié) il y a 10 minutes, StéphanH a dit : Depuis, lorsque je tape mon nom de domaine depuis n'importe quel navigateur internet (http://<nomdedomaine>, je tombe sur ma page d'identification DSM. Tu habites bien quelque part, et tout le monde peut venir voir ta porte d'entrée. Pour qu'il n'entrent pas tu as mis une bonne serrure. A partir du moment ou tu as un nom de domaine, et que tu veux un certificat Let's Encrypt, c'est que tu acceptes que le public vienne frapper à ta porte. Donc là aussi il faut que tu mettes une bonne serrure !!! Ce que j'ai du mal à comprendre, c'est qu tu as un certificat, mais que Web Station n'est pas activé (sinon tu n'arriverais pas sur le DSM, mais sur ton site - ou la page standard si tu n'as pas de site ....) Modifié le 30 janvier 2017 par Kramlech 0 Citer
StéphanH Posté(e) le 30 janvier 2017 Auteur Posté(e) le 30 janvier 2017 Merci pour vos réponses. De mémoire, j'ai activé WedDav pour un partage de calendrier CalDav. Si vous me dites que c'est une faille, je vais revoir ma position ...(Rédigé sous Tapatalk) 0 Citer
Fenrir Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 Si les ports de DSM (TCP 5000 et 5001 par défaut) ne sont pas ouverts depuis Internet, il n'y a aucune raison qu'un client arrivant sur le port 80 soit redirigé, avec succès, sur la page d'identification de DSM. Par contre si tu fais le test en local, cette redirection est activée par défaut. Donc la question est simple : tu as testé depuis Internet ? (via ton gsm par exemple) 0 Citer
StéphanH Posté(e) le 30 janvier 2017 Auteur Posté(e) le 30 janvier 2017 Merci Fenrir. Seul le 5001 est ouvert depuis internet, limité sur les@IP France (au niveau du pare feu Syno)Pour le port 80, j'ai ouvert tous les pays ne sachant pas d'où viennent les requêtes Let's Encrypt. J'ai bien effectué mon test depuis un accès internet et non intranet. (Rédigé sous Tapatalk) 0 Citer
Fenrir Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 il y a une heure, StéphanH a dit : Seul le 5001 est ouvert depuis internet, limité sur les@IP France (au niveau du pare feu Syno) Donc tout est normal ici. Si tu ne souhaites pas que le port 80 redirige vers DSM, il faut installer WebStation et créer une page (même vide). Sinon tu peux aussi n'ouvrir le port 80 que le temps du renouvellement du certificat (une fois tous les 20 ou 30 jours) 0 Citer
StéphanH Posté(e) le 30 janvier 2017 Auteur Posté(e) le 30 janvier 2017 Merci Fenrir. cela signifie-t-il que ma règle qui filtre les @IP françaises sur le 5001 devient inopérante, sous prétexte que le port 80 (qui est ouvert pour toutes les IP) est redirigé sur le 5001 ? N'ais-je pas moyen de bloquer cette redirection du port 80 ? 0 Citer
Fenrir Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 à l’instant, StéphanH a dit : cela signifie-t-il que ma règle qui filtre les @IP françaises sur le 5001 devient inopérante, sous prétexte que le port 80 (qui est ouvert pour toutes les IP) est redirigé sur le 5001 ? Non, mais quand toi tu test, tu as probablement une IP française ... il y a 1 minute, StéphanH a dit : N'ais-je pas moyen de bloquer cette redirection du port 80 ? il y a 5 minutes, Fenrir a dit : Si tu ne souhaites pas que le port 80 redirige vers DSM, il faut installer WebStation et créer une page (même vide). Mais cette redirection n'est en rien une faille de sécurité, la faille c'est que le port 5001 soit ouvert. 0 Citer
StéphanH Posté(e) le 30 janvier 2017 Auteur Posté(e) le 30 janvier 2017 (modifié) Merci encore Fenrir. Bon, je ne vais pas me payer un voyage dans un pays hostile pour vérifier que ça marche ... :-) En ce qui concerne le 5001, c'est vrai que maintenant que le VPN fonctionne bien, je pourrai le fermer ... mais cela complique l'usage je trouve ... N'empêche que je trouve que cette ouverture du 80 pour Let's Encrypt est une faille. J'aurai préféré qu'ils choisissent un port spécifique, moins commun ... Modifié le 30 janvier 2017 par StéphanH 0 Citer
Fenrir Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 à l’instant, StéphanH a dit : Bon, je ne vais pas me payer un voyage dans un pays hostile pour vérifier que ça marche ... :-) https://www.torproject.org/projects/torbrowser.html.en il y a 3 minutes, StéphanH a dit : N'empêche que je trouve que cette ouverture du 80 pour Let's Encrypt est une faille. J'aurai préféré qu'il choisisse un port spécifique, moins commun ... 99,99% des utilisateurs de letsencrypt s'en servent pour sécuriser un site HTTP/HTTPS, donc ont les ports 80 et 443 ouverts h24. Il ne faut pas oublier que LE n'est pas un truc de Synology. Sinon rien ne t'oblige à générer tes certificats via acme en http, tu peux le faire en dns, de même, tu n'es pas obligé de le faire depuis ton NAS. 0 Citer
StéphanH Posté(e) le 30 janvier 2017 Auteur Posté(e) le 30 janvier 2017 Je ne suis qu'un utilisateur de base de Syno. C'est un produit que j'apprécie pour sa relative simplicité d'usage. Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ... En terme de sécurité, je devrai limiter cet accès au VPN ... 0 Citer
Fenrir Posté(e) le 30 janvier 2017 Posté(e) le 30 janvier 2017 il y a 1 minute, StéphanH a dit : Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ... Non, ça n'a rien de débile, c'est même mieux. Et rien ne t’empêche de faire du HTTPS dans du VPN (c'est ce que je vais, pas pour la sécurité, mais pour ne pas avoir à me poser de questions entre local et distant) il y a 2 minutes, StéphanH a dit : En terme de sécurité, je devrai limiter cet accès au VPN ... Ça serait plus sage en effet. 0 Citer
Einsteinium Posté(e) le 31 janvier 2017 Posté(e) le 31 janvier 2017 Il y a 15 heures, Fenrir a dit : https://www.torproject.org/projects/torbrowser.html.en 99,99% des utilisateurs de letsencrypt s'en servent pour sécuriser un site HTTP/HTTPS, donc ont les ports 80 et 443 ouverts h24. Il ne faut pas oublier que LE n'est pas un truc de Synology. Sinon rien ne t'oblige à générer tes certificats via acme en http, tu peux le faire en dns, de même, tu n'es pas obligé de le faire depuis ton NAS. Ah non si on génère un certificat, ce n'est que pour un site https (ou les accès au synology), donc la logique serait plutôt un update sur le port 443 et non 80, surtout maintenant ou beaucoup de site sont en https par défaut. Il y a 15 heures, StéphanH a dit : Je ne suis qu'un utilisateur de base de Syno. C'est un produit que j'apprécie pour sa relative simplicité d'usage. Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ... En terme de sécurité, je devrai limiter cet accès au VPN ... Tu peux faire un certificat auto signé sinon, c'est ce que je fais ;-) 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.