Questions sécurités sur DSM (DS418)

[alan.dub]

Bonjour à toutes et à tous !

Tout nouveau permis vous, je vous lis depuis plusieurs semaines maintenant 😊

Après avoir fait le tour (enfin presque…) de la parti sécurité de mon DS418, je me permets de vous embêter (enfin !) quelque instant pour être certain de ne pas avoir fait de bêtise, ou oublié quelque chose 😫

Pour éviter un long discours bien lourd, je me permets de vous présenter les captures de mon DSM (de gauche à droite et de haut en bas) :

 

 

 

 

 

 

 

Donc rapidement, j’ai presque entièrement suivi le tutoriel de FENRIR (merci à toi !).

Il n’y a que la parti « portail d’application » que je n’ai pas touché.

Pour information, mon utilisation est plutôt simple.

Stockage classique et un minimum d’app sur DSM et IOS :

 

 

Donc pour l’instant il ne me reste qu’à :

• Virer quickconnect.
• Installer VPN SERVER pour une connexion encore plus sécurisée depuis l’extérieur.
• Vérifier le pare-feu lorsque je connecte le NAS via OPEN VPN et VPN SERVER.

Le seul truc qui ne fonctionne pas comme je le voudrais (ou comme je pensais le « comprendre »), c’est le pare-feu.

A vous lire, après les trois premières règles permettant de laisser passer les trois types d’adresses IP (classes A, B et C), je m’attendais à ajouter un 443 TCP pour laisser passer mes app IOS depuis l’extérieur… mais non.

Je suis obligé d’ajouter le port 5001 TCP.

Pour info, voici la capture de ma BOX (qui sera prochainement couplée à un RT2600AC).

Si vous avez une idée du pourquoi, je suis à votre écoute.

Bien entendu, et comme vous pouvez le voir sur mes captures, le but du jeu est de passer toutes les communications en full HTTPS.

Autre point, est-il normal de devoir mettre .443 à l’adresse de connexion des app IOS ?

Sans cela, impossible de me connecter en 3G via le domaine signé par let’s encrypt.

 

Voilà !

Désolé pour ce premier poste, presque indigeste, mais j’ai préféré faire comme cela afin que vous puissiez avoir toutes les informations.

Enfin voilà !

Je reste à votre écoute et vais de ce pas… m’amuser avec :

• Le Webdav pour me connecter sur les dossiers partagés du NAS directement depuis le Finder
• Le CardDAV et CALDAV pour quitter iCloud
• Le MAIL SERVER… mais j’ai pas d’IP fixe (donc c’est peine perdu)
• Le VPN SERVER

Et je crois que c’est tout !

Sur ce, bonne soirée à vous et à très bientôt !

Modifié le 17 juin 2018 par alan.dub

[PPJP]

Bonsoir,

Les ports à ouvrir dépendent des services et apllications.

Voir la doc:

https://www.synology.com/en-us/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

[Invité Ric67]

Salut,

je vais pas pouvoir t'aider beaucoup car je suis également tout nouveau sur le forum mais à l'inverse de toi je découvre le monde du réseau...moi qui croyait que le NAS c'était du plug & play, je suis servi

Concernant ta config DSM, j'ai également suivi la plupart des conseils de fenrir. Je ne vois pas l'activation du SSH, port 22. L'as-tu fait? Chez moi en l'activant, je reçois un message de risque sécurité de l'interface conseiller de sécurité.

Sinon 3 questions concernant ton arborescence qui est peu ou prou comparable à celle que je veux mettre en place chez moi. Je vois que tu as créée des dossiers partagés "Documents" pour chaque utilisateur.

1. Pourquoi as-tu créée des dossiers partagés distincts pour chaque utilisateur. N'est-il pas possible de créer un seul dossier partagé "Documents" et ensuite de créer des sous-dossiers pour chaque utilisateur? Les droits d'accès à ces sous-dossiers ne peuvent-ils pas être définis pour chaque utilisateur ?

2. Lors de la création des dossiers partagés "Documents", as-tu activé la somme de contrôle des données pour l'intégrité avancée des données? Si oui as-tu compressé les données? Je me posai la question de l'utilité de cette activation

3. Si oui sur 2., l'as tu également fait pour d'autres dossiers paratgés comme par exemple le dossier "Media Photo"?

Merci pour ta réponse.

 

[goerges]

il y a 9 minutes, Ric67 a dit :

Je ne vois pas l'activation du SSH, port 22. L'as-tu fait? Chez moi en l'activant, je reçois un message de risque sécurité de l'interface conseiller de sécurité.

 

C'est normal, c'est un des premiers ports testé par les bots lorsqu'ils scannent des adresses IP visibles sur Internet.

Pour éviter le message, tu dois changer le numéro du port. Ce changement de port se fait facilement dans l'interface du DSM.

Georges.

[Invité Ric67]

Salut Georges.

Merci pour ton retour.

Le port 22 n'est ouvert que sur le nas et pas sur le routeur, d'ou mon interrogation. Faut-il que je désactive le contrôle de ce port par le conseiller de sécurité?

Dans le cas contraire quel numéro de port as-tu utilisé?

[PPJP]

Bonjour,

 

Si le port 22 n’est pas ouvert sur le routeur et que vous ne pensez pas subir d’attaque directement depuis votre LAN vous pouvez desactiver le contrôle de ce port par le conseiller de sécurité.

 

Changer le numéro du port SSH ne présente que peu d’intérêt, un scan rapide permet facilement de trouver les ports ouverts et les services qui sont derrière, cela ne généra pas beaucoup un hacher moyen.

Vous pouvez paramétrer le blocage auto pour un nombre d’essais plus faible sur un temps plus long,

 

Si vous changez le port 22 remplacez le par n’importe quel n° non utilisé par un autre service ou application ( >1024 et voir lien que j’ai mentionné quelques post au dessus).

[Invité Ric67]

Les utilisateurs du LAN étant les membres de la famille, le risque de subir une attaque est à priori nulle...à moins qu'un des utilisateurs se prenne un malware ou autre cochonnerie.

Un des intérêts du SSH d'après ce que j'ai compris étant de pouvoir dépanner un NAS qui ne répond plus...c'est bien ça?

[PPJP]

Bonjour,

 

Le SSH sert souvent a dépanner un NAS.

Il permet également de faire certaines opérations non directement accessible par le DSM.

Paramétrage par modification de fichiers du système,

Suppression de fichier trop encombrants (Fichiers Log en particulier)...

 

Pour alan.dub

Concernant l’ajout de .443 à l’adresse de vos applications IOS, je pense que c’est parce que vous n’avez pas préfixé ces adresses par https:// (je ne connais pas le monde de la pomme !)

 

Enfin concernant votre désir de tout passer par le port 443, c’est faisable en utilisant votre NDD et le reverse proxy.

Modifié le 18 juin 2018 par PPJP
Précision destinataire

[alan.dub]

Il y a 20 heures, PPJP a dit :

Bonsoir,

Les ports à ouvrir dépendent des services et apllications.

Voir la doc:

https://www.synology.com/en-us/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Oui je connais cette page, mais ma question tient toujours (voir mes captures BOX et captures pare-fu du NAS).

Sur ma BOX... ça me "semble" logique.

Mais sur le NAS (coté pare-feu donc), je dois laisser passer le port 5001 et non 443 contrairement à ce que je vois sur le TUTO de FENRIR, sinon ça ne fonctionne pas.

Ou alors je comprends mal, ce qui est très probable.

Il y a 10 heures, Ric67 a dit :

Salut,

Je ne vois pas l'activation du SSH, port 22. L'as-tu fait? Chez moi en l'activant, je reçois un message de risque sécurité de l'interface conseiller de sécurité.

Sinon 3 questions concernant ton arborescence qui est peu ou prou comparable à celle que je veux mettre en place chez moi. Je vois que tu as créée des dossiers partagés "Documents" pour chaque utilisateur.

1. Pourquoi as-tu créée des dossiers partagés distincts pour chaque utilisateur. N'est-il pas possible de créer un seul dossier partagé "Documents" et ensuite de créer des sous-dossiers pour chaque utilisateur? Les droits d'accès à ces sous-dossiers ne peuvent-ils pas être définis pour chaque utilisateur ?

2. Lors de la création des dossiers partagés "Documents", as-tu activé la somme de contrôle des données pour l'intégrité avancée des données? Si oui as-tu compressé les données? Je me posai la question de l'utilité de cette activation

3. Si oui sur 2., l'as tu également fait pour d'autres dossiers paratgés comme par exemple le dossier "Media Photo"?

Merci pour ta réponse.

 

 Je ne me suis pas encore occupé du SSH.

Concernant les dossiers partagés, c'était pour supprimer un clic dans l'arborescence, et... c'était plus WAF...

Je n'ai activé aucune "somme de contrôle des données", juste des dossiers partagés classiques.

Pour la sécurité des données je n'utilise pour l'instant qu'une synchronisation via Hyper Backup (sans version).

Pour info, pour l'instant je n'utilise presque que le compte admin car je suis encore en phase d'apprentissage, mais plus tard chacun ne verra que ce qu'il doit voir.

Il y a 3 heures, PPJP a dit :

Concernant l’ajout de .443 à l’adresse de vos applications IOS, je pense que c’est parce que vous n’avez pas préfixé ces adresses par https:// (je ne connais pas le monde de la pomme !)

 

Enfin concernant votre désir de tout passer par le port 443, c’est faisable en utilisant votre NDD et le reverse proxy.

Malheureusement, avec ou sans HTTPS, cela revient au même, ça ne fonctionne que si je mets :443 à la fin.

En fait, FENRIR semble en parler dans son tutoriel, mais au niveau du portail des application (que je n'utilise pas).

Ou alors je comprends mal, ce qui est très probable... encore.

Modifié le 18 juin 2018 par alan.dub

[alan.dub]

C'est bon !

J'avance !

Si je fais comme ça...

Ca fonctionne et plus besoin des :443 and co en fin d'adresse https://... .synology.me 

Et comme vous pouvez le voir, j'ai aussi testé le WEBDAV sur iMac (en 3G) et sur iPhone / iPad (3G) et... ça fonctionne aussi !

J'suis content !

Pour vous, niveau ouverture des ports et pare-feu du NAS, ça vous semble bon ?

EDIT :

Ah... par contre, je suis quand même obligé de mettre https://... .synology.me:5001 lorsque je suis sur l'iMac en 3G (sous Safari).

Alors que sur les app IOS, ce n'est plus la peine.

Je ne vois pas pourquoi 😞

Modifié le 18 juin 2018 par alan.dub

[PPJP]

Bonsoir,

Je n’utilise pas ces applications donc ce qui suit reste à confirmer.

 

Ce qui ressort de vos capture d’images

Vos applications utilisent des ports par défaut (vers 5001 ou 5000pour DsFile).

Sous Safari vous devez mettre le port car sinon vous passez par le port 443 (HTTPS) et vous n’avez pas de reverse proxy (qui vous enverrait vers le port 5001 ou 5000).

 

Concernant votre routeur (ou votre box) les ports non sécurisés ne devrait pas être ouverts(5000 et 5005).

L’ouverture du port 443 sur le routeur est inutile (port fermé sur le NAS)

 

Pourquoi n’essayez vous pas le reverse proxy ou l’ouverture du seul le port 443 serait nécessaire ? (sur routeur et nas)

Mais nécessiterait de remettre le port 443 sur vos applications mobile)

[Mic13710]

Le 18/06/2018 à 00:38, alan.dub a dit :

Autre point, est-il normal de devoir mettre .443 à l’adresse de connexion des app IOS ?

Oui car sans indication, les applications DS prennent les ports par défaut, d'où la nécessité de le préciser.

[PiwiLAbruti]

Avec les règles de pare-feu que tu as entrées, ton NAS est une passoire.

Prends le temps de lire tout le tutoriel de @Fenrir sur la sécurité (ce que tu n'as pas fait) car il y est clairement précisé :

"Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée."

 

[alan.dub]

Et pourtant si :

"Tous les points ne sont pas nécessairement à suivre"

Je ne pensais pas "devoir" tout faire et... je ne dis pas tout comprendre.

Ce monde qu'est le "réseau" est nouveau pour moi, je connais de loin, mais uniquement de loin...

Surtout ces histoires de ports à ouvrir ou non ^^

Et c'est bien pour ça que j'ai préféré passer vous voir pour le cas où ^^

Enfin bref, voici une nouvelle configuration, plus simple, coté NAS et BOX.

En effet, pourquoi ai-je tout ouvert ? Aucune idée... la fatigue peut-être, et peut-être à cause d'autres captures croisées sur d'autres forums ^^

 

Tout fonctionne encore, simplement.

Dans un premier temps, est-ce mieux ainsi ?

Concernant le VPN Server, comme dit dans un précédant post, je dois m'en occuper.

Cette solution me sera en effet utile pour me connecter via mon Mac depuis l'extérieur... mais naviguer sur DSM via HTTPS 5001 est-elle si dangereux (parce que le portail des applications ne me le permettra pas, uniquement File Station et Download Station) ?

@ PiwiLAbruti, je voudrais quand même comprendre le fonctionnement via cette voie avant de partir du coté VPN SERVER, chose qui sera faite, mais dans un second temps.

Modifié le 19 juin 2018 par alan.dub

[PPJP]

Bonsoir,

Bien que la question ne me soit pas adressée, quelques réponses :

 

1- le fonctionnement actuel

 

Le port par défaut du DSM est le 5001 (on peut le changer)

donc logiquement dans le routeur on redirige ce port vers le nas et on ouvre ce port dans le parefeu du NAS.

DSFile est par défaut sur le port 5001, donc inutile de le préciser.

Sous Safari l’adresse en https correspond au port par défaut 443, il faut donc préciser le port 5001.

 

Même raisonnement pour DS File et le port 5006.

 

L’inconvénient de cette méthode est que l’on est obligé d’ouvrir de nombreux ports.

Chaque application n’est protégée que par un identifiant et son password associé. (donc mot de passe solide, limitation du blocage automatique à peu d’essais sur un temps assez long).

 

Vu les possibilités offertes par l’accès au DSM on évite généralement de l’exposer depuis internet.

 

2. Seconde solution

On peut passer par le portail des applications

Cela permet de tout passer par un seul port (généralement le 443), mais a mon avis c’est le seul avantage.

 

3. Troisième solution

On utilise un VPN.

La connexion étant plus sécurisée on peut raisonnablement accéder à DSM.

 

En espérant que ces infos vous seront utiles.

 

Ce raisonnement est valable pour tous les accès à risque ; SSH..

[alan.dub]

Merci pour le commentaire PPJP, pour moi le brouillard commence à se dissiper 😅

Et tant qu'on y est... on peut se tutoyer 😁

 

Pour le 1, oui, l'histoire des ports me semble, non pas compliquée, mais étrange à comprendre. Je travail beaucoup en schéma pour comprendre, j'suis comme ça, mais sur ce sujet, j'ai du mal à me l'imaginer.

Juste pour info, voilà comment je suis suite à tous les conseils / remarques que j'ai pu assimiler :

 

Comme cela, toutes les connexions macOS et iOS (locales ou non) fonctionnent :

- macOS : Quickconnect (qui va dégager), VPN Server via L2TP IPSEC, HTTPS (sous Finder) via WebDAV, HTTPS (sous Safari) via IP fixe du NAS (en local) et via https://XXXXX.synology.me:5001 (non local).

- iOS : DS FINDER / DS FILE / DS GET, HTTPS via IP fixe du NAS (en local) et via XXXXX.synology.me (non local) avec HTTPS activé sur les trois app.

 

Pour le 2, il faut que je comprenne cette histoire et comment ça fonctionne réellement, il va me falloir encore quelques jours pour, peut-être, y arriver.

 

Pour le 3, c'est fait (depuis ce soir), et ça fonctionne !!! 😎😅

 

Enfin bref, il semble que le VPN (via VPN SERVER) écrase le HTTPS pour une connexion non local au DSM.

Moi qui pensais le HTTPS sécurisé, il ne semble pas l'être tant que ça... apparement ☹️

 

Modifié le 19 juin 2018 par alan.dub

[PPJP]

Bonsoir, si le VPN fonctionne il devrait être utilisé systématique de l’extérieur.

En conséquence, les règles des ports 5001 et 5006 devraient être supprimées du Pare feu du NAS (et du routeur?).

Ces ports sont autorisés en local par les règles supérieures (3ème)

Petite précision;

De l'extérieu, une fois le VPN activé, on peut utiliser les adresses locales.

Tout se passe comme si l'on était connecté au réseau local.

Modifié le 19 juin 2018 par PPJP

[Mic13710]

Il y a 11 heures, PPJP a dit :

Bonsoir, si le VPN fonctionne il devrait être utilisé systématique de l’extérieur.

Ce n'est pas si simple avec les applications DS. Dans ce cas, il est plus facile d'utiliser le reverse proxy du portail des applications et de n'ouvrir que le port 443.

Perso j'utilise le VPN uniquement pour accéder à DSM et aussi à mon réseau local. OpenVPN et L2TP/IPSec sont activés pour ne pas être confrontés à des blocages, et je passe par le 443 pour OpenVPN. Pour le reste, c'est le reverse proxy qui est sollicité, toujours par le 443 pour des questions de simplification d'adressage. Ainsi, les ports ouverts dans le routeur sont assez limités (surtout pas de 5000, 5001, 5006 etc... Ils sont accessibles via le VPN uniquement.)

[alan.dub]

Bonsoir,

OK, je vais regarder le reverse proxy et le coup du port only 443 🧐

Vous êtes pas drôles 😫😫😫😅

Moi qui ne pensais pas tout faire, je vais être obligé de tout passer en revu 😜

 

Bon... je vous tiens au courant pour la suite donc 😀

[PPJP]

Bonsoir,

 

Je ne vois pas de gros écarts entre les méthodes de MIC13710 et la mienne.

La seule différence c’est que de l’extérieur je passe systématiquement par un VPN.

 

Je n’ai sans doute pas été assez clair sur ma méthode (que personne n’est obligé d’appliquer).

 

Donc de l’extérieur je passe systématiquement par un VPN.

Je précise que j’ai bien un reverse proxy en place et qu’il est sollicité dans tous les cas.

 

A partir d’un navigateur (ce que j’utilise exclusivement)

adressage par https://xxx.ndd (sans indication de port) aussi bien du WAN que du LAN (xxx suivant application ou périphérique à atteindre)

 

Pour les applications mobiles ( que je n’utilise pas)

adressage par https://xxx.ndd:443 ne devrait pas poser de pb.

 

Ainsi même adressage à partir du LAN et Du WAN.

Pas de ports à ouvrir en plus de ceux des VPN (pas de 443).

 

Cela me paraît assez simple.

A mon age, il faut ménager le peu de neurones qu’il me reste !

[alan.dub]

Bonsoir tout le monde et toutes mes excuses pour ce retard 😞

 

Les soirées sont courtes et j'avais oublié qu'un enfant de 6 mois se réveillait autant la nuit (la première fois c'était il y a 5 ans...^^).

Donc après plusieurs re et re et... relecture de vos messages, je vais rester sur l'idée de passer en full VPN et oublier tout le reste ^^

 

Donc, installation du VPN (L2TP) sur toutes mes plateformes :

Mac Famille / iPad Famille / iPhone Monsieur / iPhone Madame.

 

Sur macOS : VPN OFF

• En LAN via Safari : https://192.168.1.100
• En LAN via Finder : afp://192.168.1.100

Sur macOS : VPN ON

• En WAN via Safari : https://10.2.0.0
• En WAN via Finder : afp://10.2.0.0

 

Sur iOS : VPN OFF

• En LAN via app : 192.168.1.100

Sur iOS : VPN ON

• En WAN via app : 10.2.0.0 (mais aussi 192.168.1.100… pourquoi donc ?)

 

Comme ça :

• Si LAN, obligation d’avoir le VPN déconnecté.
• Si WAN, obligation d’avoir le VPN connecté.

 

Pour la petite histoire, je me suis amusé sous macOS à me faire des petites applications via automator afin de connecter automatiquement au Finder tous mes dossiers partagés en 0 clic ^^

 

Coté sécurité : (comme indiqué dans le tutoriel de FENRIR, j’ai fait attention au port 1701)

 

 

Juste pour information (contrairement à ce qui est mentionné dans le tutoriel de FENRIR), j’ai indiqué coté clients mon adresse serveur par nomdedomaine.synology.me… et ça marche. La raison est simple, je n’ai pas d’IP publique fixe… mais j’ai un DDNS Synology certifié Let’s Encrypt (à voir si le certificat se réactualise automatiquement tous les trois mois ou si je dois le faire manuellement).

 

Enfin bref, maintenant est-ce que tout est suffisamment sécurisé ?

[alan.dub]

Avant que vous me répondiez à ma précédente question, à savoir :

Enfin bref, maintenant est-ce que tout est suffisamment sécurisé ?

J'ai remarqué que le partage de liens ne fonctionne plus 😞

En effet, sans QuickConnect, plus de "gofile" mais quelque chose comme https://mondomaine.synology.me:5001/XXX/XXX... OK, pourquoi pas.

Problème, je n'ai pas (plus) ce port dans le pare feu NAS et NAT / PAT de la BOX.

 

En plus de ce 5001 pour le partage de liens, il va bien falloir aussi que j'ouvre les ports :

- 5006 pour WebDAV Server (pour retirer mes calendriers d'iCloud...)

- 8443 pour CardDAV Server (pour retirer mes contacts d'iCloud...)

Là je vais avoir besoin de vous, car à part ouvrir comme précédemment les ports (NAS et BOX), je ne vois pas comment faire 😞

On me dit (à juste titre, je vous fais confiance) de ne pas ouvrir 5001, mais là je vais bien être obligé.

Bon certes, je n'utiliserais jamais se port pour me connecter directement à DSM via https://mondomaine.synology.me:5001... je reste sur le VPN ^^

Modifié le 23 juin 2018 par alan.dub

[alan.dub]

Non ?

Personne ?

^^

[Brunchto]

reverse proxy pour les caldav / carddav

pour les liens, j'ai modifié ça:, panneau de configuration, accès externe, avancé: le nom de domaine d'accès + ports 80 et 443

[alan.dub]

Merci !

Mais malheureusement, ça ne marche pas 😞

Dois-je rajouter quelque chose dans le pare feu du NAS ou dans ma BOX ?

Pour rappel, voici ce que j'ai pour l'instant (en somme... rien que le VPN L2TP via IPSEC) :

 

Modifié le 26 juin 2018 par alan.dub