Aller au contenu

Sécurité autour du 443


Messages recommandés

Bonjour,

Tout d'abord je précise que j'ai bien suivi les recommandations de Fenrir pour sécuriser les accès à mon NAS (merci à lui pour ce très bon tuto).
Pour compléter je viens de mettre en place le reverse proxy pour les accès https aux applications (audio, photo, surveillance, ...) afin de n'avoir à ouvrir que le port 443 sur ma Box.
Tout fonctionne très bien, mais j''ai une interrogation quand au mécanisme de fonctionnement autour du port 443 et je n'ai pas trouvé d'explication.

Voici mon interrogation :

  • Une requête internet arrive sur le port 443 de ma Box
  • Le routage mis en place sur la box envoi la requête vers mon NAS sur le port 443
  • Le firewall du NAS vérifie que la requête respecte bien les conditions définie dans la règle du port 443 et la refuse si pas OK
  • Ensuite c'est le reverse proxy qui prend la en charge la requête et si il trouve une ligne correspondante à la source effectue le routage vers la destination interne paramétrée

Que se passe t-il lorsqu'aucune ligne du reverse proxy ne correspond à la requête entrante ?
Si je fais un parallèle avec le pare feu dans ce dernier j'ai bien une règle qui indique quoi faire si aucune règle n'est respectée (refuser l'entrée)
Y a t-il un équivalent pour le reverse proxy ?

 

Lien vers le commentaire
Partager sur d’autres sites

Merci Mic13710 pour ta réponse
OK je peux donc être tranquille avec mon port 443 ouvert vers le NAS.

Avant je passais par un port particulier pour l'accès externe à Photo Station et à Surveillance Station.
Mais grâce au Tuto de Fenrir sur le reverse proxy et le dns local, et ton retour sur ce tuto je me suis lancé dans la mise en place de reverse proxy et du DNS local … 

Maintenant c'est plus cool à gérer !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Citation

Une requête internet arrive sur le port 443 de ma Box

On est d'accord.

Le routage mis en place sur la box envoi la requête vers mon NAS sur le port 443

Oui

Le firewall du NAS vérifie que la requête respecte bien les conditions définie dans la règle du port 443 et la refuse si pas OK

Oui

Ensuite c'est le reverse proxy qui prend la en charge la requête et si il trouve une ligne correspondante à la source effectue le routage vers la destination interne paramétrée

Oui

Tu as vu, c'est simple 😂

Citation

Que se passe t-il lorsqu'aucune ligne du reverse proxy ne correspond à la requête entrante ?

La personne sera renvoyée sur une page d'erreur 403. Mais bon, à partir du moment ou tu n'as pas de certificat wildcard, il est très facile d'obtenir les domaines de ton domaine principal en checkant simplement le certificat.

Ex à l'instant avec un prit au hasard sur la toile :

APReQpS.png

 

Citation

Si je fais un parallèle avec le pare feu dans ce dernier j'ai bien une règle qui indique quoi faire si aucune règle n'est respectée (refuser l'entrée)

Là, ça prendra en compte uniquement les règles définies. En général, ça sera une histoire de port et/ou de destination si par exemple tu as interdit l'accès aux américains...

Citation

Y a t-il un équivalent pour le reverse proxy ?

Un équivalent à quoi ? Au pare feu ? Bah c'est le pare feu qui gère ça pour le reverse proxy.

Tu peux par contre personnaliser la page 403 et faire par exemple un renvoi automatique vers un site de bisounours. Rien te l'interdit 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Désolé Zeus je viens seulement de voir ta réponse .. merci pour tes précisions

Question de néophyte, en quoi le fait de connaitre les domaines de mon domaine principal est gênant sachant que derrière j'ai un contrôle user/pws et le blocage IP activé ?

Tu sembles dire qu'un certificat Wildcard est mieux mais comment l'obtient on sur DSM car je n'ai pas trouvé cette option à la création ?

Dernière question sur le reverse proxy, est il possible de la mettre en place pour un acces mail en imap ?

Lien vers le commentaire
Partager sur d’autres sites

Pour le certificat Wildcard, j'ai fait un petit tuto sur le forum. Une petite recherche t'aurait permit de le trouver.

Le certificat Wildcard en gros ne montre pas tous les domaines mais simplement les deux principaux étant dans la zone DNS à savoir ndd.tld et *.ndd.tld (ce dernier prend en compte tous les autres domaines).

Ça sert par exemple à éviter des attaques ciblées sur certains services même si il y a d'autres moyens de les trouver.

J'ai par exemple mon gestionnaire de mot de passe en ligne et c'est parfait si le domaine n'appareit pas dans les détails du certificat.

Oui tu peux avoir ton adresse mail et faire fonctionner le reverse proxy pour l'accès au webmail.

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Je viens de prendre un certificat wildcard en remplacement de mon certificat simple … merci Zeus pour ton tuto !

J'ai essayé de mettre mon accès mail en reverse proxy et je n'arrive pas à le faire fonctionner :

Dans la box :
- Routage 993 Box vers 993 Nas supprimé
- Ajout routage 443 Box vers 443 du Nas

Dans le NAS :
- Ajout règle reverse proxy : https mail.ndd.tld 443 vers http localhost 143

- Ajout 143 dans firewall 

Dans Mail Server
- Ajout accès IMAP et IMAPS dans Mails Server

Dans le client mail :
- Modification du nom du serveur entrant IMAP en mail.ndd.tld 
- R
emplacement du port 993 par 443

Le problème est que mon client mail n'arrive pas à contacter le serveur mail (message "impossible de se connecter au serveur de messagerie pour contrôler les informations du compte. Aucune réponse du serveur")

Si je remet le nom de serveur IMAP ndd.tld, le port 993 et que je réactive le routage 993 box vers 993 Nas tout refonctionne ...

Ou est mon erreur ?

Lien vers le commentaire
Partager sur d’autres sites

Zeus je suis sur Mail Serveur car actuellement en DS212+ non compatible avec MailPlus Server mais la migration est à venir (en cours de préparation de mon DS718+)

Mon serveur de messagerie fonctionne bien depuis plusieurs années c'est uniquement son passage derrière le reverse proxy qui me pose problème  !
 

Lien vers le commentaire
Partager sur d’autres sites

J'ai récemment dépanné une membre du forum qui pour elle aussi tout fonctionnait bien et voulait elle aussi passer au proxy inversé.

En me rendant sur son serveur et routeur, je me suis aperçu que tout était ouvert aux quatres vents et que question sécurité, rien n'avait été fait correctement !

Que ça fonctionne ne veut pas dire que tout est parfait... On peut très bien rouler avec une roue crevée sur autoroute, il faut juste voir les conséquences derrière...

Lien vers le commentaire
Partager sur d’autres sites

Je ne pense pas être dans le même cas que la personne que tu as aidé. J'ai respecté le tuto de Fenrir securisation des acces au nas.

Pour la messagerie seuls les ports 25, 587 et 993 sont routés de ma box vers le nas.

J'ai les memes parametres que ceux que tu indiques dans ton tuto MailPlus Server a l'exception des verifications SPF, DKIM et DMARC car je n'ai pas d'IP fixe.

Pour l'envoi des mails j'utilise le relay SMTP vers le serveur d'OVH.

Est ce correct ?

Lien vers le commentaire
Partager sur d’autres sites

Par contre j'ai un pb que je ne comprend pas.

Avant mon enreg MX pointait directement sur mon nom de domaine, car je ne gerait pas de sous domaines. Donc dans mail server le nom d'hôte était ndd.tld . Comme j'ai pris un certif wildcard j'ai décidé de changer le nom du serveur en mail.ndd.tld.  

J'ai modifié le nom dans l'enreg MX d'ovh  et dans mail server.

Apres ces modifs et un delai d'attente pour la propagation DSN je peux bien envoyer des mails mais pas en recevoir.

A force d'essais je recois enfin les mails apres avoir ajouter ndd.tld dans autres domaines de mail server ... mais je ne m'explique pas pourquoi ?

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Absolument pas. Il te suffisait d'avoir une entrée A dans ta zone DNS destiné à mail et tu utilisais cette dernière pour accéder à ton webmail et pour la partie serveur mail.

Bref, regarde mon tuto et reprend toi dessus. Tu ne devrais pas avoir de soucis logiquement.

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

eus je vais abuser encore de tes connaissances car je suis bloqué et je ne comprend pas pourquoi.
Voici un historique de mes actions de la journées pour mettre en place un reverse proxy pour mon serveur mail

Depuis quelques années j'avais la situation suivante (mails opérationnels en entrée et sortie):

OVH : Zone DNS
ndd.xx        3600    MX    10 ndd.xx.
*.ndd.xx    3600    CNAME    ndd.xx.

OVH : Dynhost
.ndd.xx        xx.xx.xx.xx (IP externe)

Pour moi à ce niveau mail.ndd.xx renvoi sur ndd.xx qui renvoi sur IP externe

BOX routage
25 TCP    -> 25 TCP IP locale du NAS
587 TCP    -> 587 TCP IP locale du NAS
993 TCP    -> 993 TCP IP locale du NAS
443 TCP    -> 443 TCP IP locale du NAS

Mail Server
nom d'hôte (FGDN)    ndd.xx
Autre domaine        rien
Relay SMTP via Orange (fonctionne aussi avec OVH) 
Les autres paramètres sont conformes à ton tuto 

Client mail
Serveur entrant ndd.xx SSL 993
Serveur sortant ndd.xx TLS 587 authentification requise

Avec ces configs les mails partent en arrivent sans problème

--------------------------------------------------------------------------------------------------------------------------------------------
A partir de là j'ai voulu mettre en place le reverse proxy pour le serveur mail.
Dans mon idée c'était d'avoir le client mail IMAP qui passe par le port 443 pour accéder au serveur, j'ai donc fait les modifs suivantes :

Box
Suppression du routage sur 993

Reverse Proxy
Https    mail.ndd.xx    443    ->    http    localhost    143

Client mail
Serveur entrant mail.ndd.xx SSL 443
Serveur sortant pas de changement
Impossible d'obtenir de mettre à jour les informations (pas de réponse du serveur)
Pourquoi ça ne marche pas, est-ce une incompréhension de ma part sur le fonctionnement du reverse proxy ?

--------------------------------------------------------------------------------------------------------------------------------------------
Apres je me suis dit qu'il fallait que j'ai le bon nom de serveur dès le début.
j'ai essayé en modifiant directement le nom du serveur mail dans le DNS d'OVH
Dans un premier temps j'ai retiré le reverse proxy

OVH : Zone DNS
ndd.xx        3600    MX    10 mail.ndd.xx.
mail.ndd.xx    3600    CNAME    ndd.xx.
*.ndd.xx    3600    CNAME    ndd.xx.

OVH : Dynhost
.ndd.xx        xx.xx.xx.xx (IP externe)

Pour moi à ce niveau mail.ndd.xx renvoi sur ndd.xx qui renvoi sur IP externe

BOX routage
25 TCP    -> 25 TCP IP locale du NAS
587 TCP    -> 587 TCP IP locale du NAS
993 TCP    -> 993 TCP IP locale du NAS
443 TCP    -> 443 TCP IP locale du NAS

Mail Server
nom d'hôte (FGDN)    mail.ndd.xx
Autre domaine        ndd.xx (sans cette info infos les mail partent bien mais je ne reçois rien !     pourquoi ?    )

Après cela j'ai essayé de remettre le reverse proxy comme précédement mais cela n'a rien changé j'ai toujours la même erreur ...

Il y a forcément quelque chose que j'ai mal compris sur le reverse proxy pour un serveur mail mais je n'arrive pas à comprendre quoi ...  
 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Encore une fois, je n'utilisais pas la même chose que toi et j'avais mon propre serveur SMTP donc je ne saurais t'aider plus dans ta démarche.

D'ailleurs, je comprends pas pourquoi tu utilises le port 443. Aujourd'hui, on a plutôt tendance à utiliser les ports 25, 587 et 993.

Lien vers le commentaire
Partager sur d’autres sites

C'est simplement parce que j'ai basculé tous mes accès externes au NAS sur le reverse proxy donc avec un seul port ouvert 443 et qu'il ne restait que l'accès à la boite mail (993) a basculer.
Si cela n'est pas possible je vais rester comme avant avec mon port 993 ouvert 😉

Une dernière question tout de même : pourquoi ai je besoin d'ajouter ndd.xx dans "autres domaines" de Mail Server pour pouvoir recevoir les mails alors que mon enregistrement MX est sur mail.ndd.xx et que j'ai bien mail.ndd.xx dans le nom d'hôte de Mail Server ?

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Ok je comprend mieux ... donc si je passe par le 443 c'est par exemple atteindre Mail Station (client).

Effectivement comme j'utilise les clients mail de windows 10 et de Samsung je dois utiliser le 993.

Dans ces conditions je peux revenir comme avant avec mon enreg MX sur ndd.xx

Tout est maintenant un peu plus clair. Merci Zeus pour tes explications

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.