Aller au contenu

Inquiétudes depuis l'ouverture du port 80


Messages recommandés

Bonjour,

Pour les besoins de renouvellement du certificat Let's Encrypt, j'ai ouvert le port 80 sur mon Syno (Cf ici).
Depuis, lorsque je tape mon nom de domaine depuis n'importe quel navigateur internet (http://<nomdedomaine>, je tombe sur ma page d'identification DSM.

Cela m'inquiète vraiment en terme de sécurité.Est-ce moi qui suis parano ?
Y a-t-il moyen de brider l'usage du port 80 aux serveurs Let's Encrypt ?

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, StéphanH a dit :

Depuis, lorsque je tape mon nom de domaine depuis n'importe quel navigateur internet (http://<nomdedomaine>, je tombe sur ma page d'identification DSM.

Tu habites bien quelque part, et tout le monde peut venir voir ta porte d'entrée. Pour qu'il n'entrent pas tu as mis une bonne serrure.

A partir du moment ou tu as un nom de domaine, et que tu veux un certificat Let's Encrypt, c'est que tu acceptes que le public vienne frapper à ta porte.  Donc là aussi il faut que tu mettes une bonne serrure !!!

Ce que j'ai du mal à comprendre, c'est qu tu as un certificat, mais que Web Station n'est pas activé (sinon tu n'arriverais pas sur le DSM, mais sur ton site - ou la page standard si tu n'as pas de site ....)

Modifié par Kramlech
Lien vers le commentaire
Partager sur d’autres sites

Si les ports de DSM (TCP 5000 et 5001 par défaut) ne sont pas ouverts depuis Internet, il n'y a aucune raison qu'un client arrivant sur le port 80 soit redirigé, avec succès, sur la page d'identification de DSM.

Par contre si tu fais le test en local, cette redirection est activée par défaut.

Donc la question est simple : tu as testé depuis Internet ? (via ton gsm par exemple)

Lien vers le commentaire
Partager sur d’autres sites

Merci Fenrir.

Seul le 5001 est ouvert depuis internet, limité sur les@IP France (au niveau du pare feu Syno)

Pour le port 80, j'ai ouvert tous les pays ne sachant pas d'où viennent les requêtes Let's Encrypt.

J'ai bien effectué mon test depuis un accès internet et non intranet.


(Rédigé sous Tapatalk)

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, StéphanH a dit :

Seul le 5001 est ouvert depuis internet, limité sur les@IP France (au niveau du pare feu Syno)

Donc tout est normal ici.

Si tu ne souhaites pas que le port 80 redirige vers DSM, il faut installer WebStation et créer une page (même vide).

Sinon tu peux aussi n'ouvrir le port 80 que le temps du renouvellement du certificat (une fois tous les 20 ou 30 jours)

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, StéphanH a dit :

cela signifie-t-il que ma règle qui filtre les @IP françaises sur le 5001 devient inopérante, sous prétexte que le port 80 (qui est ouvert pour toutes les IP) est redirigé sur le 5001 ?

Non, mais quand toi tu test, tu as probablement une IP française ...

il y a 1 minute, StéphanH a dit :

N'ais-je pas moyen de bloquer cette redirection du port 80 ?

il y a 5 minutes, Fenrir a dit :

Si tu ne souhaites pas que le port 80 redirige vers DSM, il faut installer WebStation et créer une page (même vide).

Mais cette redirection n'est en rien une faille de sécurité, la faille c'est que le port 5001 soit ouvert.

 

Lien vers le commentaire
Partager sur d’autres sites

Merci encore Fenrir.

Bon, je ne vais pas me payer un voyage dans un pays hostile pour vérifier que ça marche ... :-)

En ce qui concerne le 5001, c'est vrai que maintenant que le VPN fonctionne bien, je pourrai le fermer ... mais cela complique l'usage je trouve ...

N'empêche que je trouve que cette ouverture du 80 pour Let's Encrypt est une faille. J'aurai préféré qu'ils choisissent un port spécifique, moins commun ...

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

à l’instant, StéphanH a dit :

Bon, je ne vais pas me payer un voyage dans un pays hostile pour vérifier que ça marche ... :-)

https://www.torproject.org/projects/torbrowser.html.en

il y a 3 minutes, StéphanH a dit :

N'empêche que je trouve que cette ouverture du 80 pour Let's Encrypt est une faille. J'aurai préféré qu'il choisisse un port spécifique, moins commun ...

99,99% des utilisateurs de letsencrypt s'en servent pour sécuriser un site HTTP/HTTPS, donc ont les ports 80 et 443 ouverts h24.

Il ne faut pas oublier que LE n'est pas un truc de Synology.

Sinon rien ne t'oblige à générer tes certificats via acme en http, tu peux le faire en dns, de même, tu n'es pas obligé de le faire depuis ton NAS.

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis qu'un utilisateur de base de Syno.
C'est un produit que j'apprécie pour sa relative simplicité d'usage.

Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ...

En terme de sécurité, je devrai limiter cet accès au VPN ...

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, StéphanH a dit :

Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ...

Non, ça n'a rien de débile, c'est même mieux.

Et rien ne t’empêche de faire du HTTPS dans du VPN (c'est ce que je vais, pas pour la sécurité, mais pour ne pas avoir à me poser de questions entre local et distant)

il y a 2 minutes, StéphanH a dit :

En terme de sécurité, je devrai limiter cet accès au VPN ...

Ça serait plus sage en effet.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, Fenrir a dit :

https://www.torproject.org/projects/torbrowser.html.en

99,99% des utilisateurs de letsencrypt s'en servent pour sécuriser un site HTTP/HTTPS, donc ont les ports 80 et 443 ouverts h24.

Il ne faut pas oublier que LE n'est pas un truc de Synology.

Sinon rien ne t'oblige à générer tes certificats via acme en http, tu peux le faire en dns, de même, tu n'es pas obligé de le faire depuis ton NAS.

Ah non si on génère un certificat, ce n'est que pour un site https (ou les accès au synology), donc la logique serait plutôt un update sur le port 443 et non 80, surtout maintenant ou beaucoup de site sont en https par défaut.

Il y a 15 heures, StéphanH a dit :

Je ne suis qu'un utilisateur de base de Syno.
C'est un produit que j'apprécie pour sa relative simplicité d'usage.

Tu as raison : avoir un certificat "public" pour ne plus avoir de mises en garde lorsque je me connecte à distance à l'interface d'admin est un peu débile ...

En terme de sécurité, je devrai limiter cet accès au VPN ...

 

Tu peux faire un certificat auto signé sinon, c'est ce que je fais ;-)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.