3 questions sur la sécurité de mon Nas

[KevM]

Salut,

Je reviens vers vous car j'ai 3 interrogations au niveau de la sécurité pour mon nas après le tuto sécu de Fenrir et d'autres sur le net.

1/ Sur un tuto j'avais vu cette règle de par feu et je l'ai mis bêtement, mais je me pose la question car ça ne me semble pas très sécure ! Votre avis ? D'où ma seconde question !

 

 

2/ Est il possible de faire en sorte de dire au Nas seulement quelles appareils ont le droit d'accéder au Nas ! Je n'ai rien trouvé de probant sur mon rapide coup d'oeil on the net.

J'avais pensé à rentrer les adresses ip publique de mes appareils, mais mon smartphone en 3G change tout le temps d'adresse ip publique, normal je me déplace. du coup ça me semble compliqué via le par feu. Une idée peut être ?

 

3/ Suite au tuto de Fenrir j'ai paramétré mon VPN, cependant le lien avec le certificat lets encrypt ne se fait pas, est ce réellement dangereux, ess login et mp circule via htpp du coup ? (malgré la redirection des connexions vers https et application du certif aux apps) ? 

Je vous invite à jeter un œil à un sujet que j'avais ouvert voir ma question Q5 sur mon dernier post ici : 

 

 

Bonne nuit et merci par avance pour vos réponses.

Modifié le 27 février 2019 par KevM

[Mic13710]

1. Règle à supprimer ! En clair, vous autorisez tous les ports pour toutes les adresses. Autant dire que le parefeu ne sert plus à rien.

2. Vous ne pouvez bloquer que des adresses publiques fixes. Les autorisations/blocages se font dans les règles de blocage auto de l'onglet compte dans le menu sécurité

3. Dans la config OpenVPN, vous remplacez votre IP fixe par votre ndd

[KevM]

Merci, pour votre retour rapide, d'accord pour la question 1 et 2 je modifie ça ce soir.

 

il y a 26 minutes, Mic13710 a dit :

3. Dans la config OpenVPN, vous remplacez votre IP fixe par votre ndd

Effectivement c'est ce que j'ai fait depuis que j'ai créé mon ndd et mon certificat lets encrypt, mais cela ne semble pas fonctionner, voici comment il est configuré actuellement.

Modifié le 27 février 2019 par KevM

[Mic13710]

Je ne sais pas si ça peut fonctionner avec une adresse Synology. Ca fonctionne en tout cas très bien avec un vrai ndd.

Le problème est probablement dû à l'absence de port. Avez-vous essayé d'indiquer le port de votre VPN (1194 par défaut) ?

[KevM]

Re-bonjour,

Juste pour être sur que je n'ai pas créé de confusion avec mes 2 posts, maintenant j'ai bien accès à mon nas via Open VPN, le seul bémol qui reste c'est le certificat qui n'est pas lié ou reconnu. Mais cela ne bloque pas l'accès au vPN ainsi qu'aux données hébergées sur le Nas. Je me demandais juste si ça posait un pb de sécurité et de comment lié le certificat.

 

il y a 39 minutes, Mic13710 a dit :

Je ne sais pas si ça peut fonctionner avec une adresse Synology. Ca fonctionne en tout cas très bien avec un vrai ndd.

    - Ok je vais voir si d'autre personnes ont déjà essayé avec un ndd syno.

il y a 39 minutes, Mic13710 a dit :

Le problème est probablement dû à l'absence de port. Avez-vous essayé d'indiquer le port de votre VPN (1194 par défaut) ?

    - Je n'ai pas pointé vers ce port là,  mais le port 443 (externe), qui est redirigé via nat pat vers le port 1194 (port interne), je vais voir ce soir si ça vient de là ! 

 

Modifié le 27 février 2019 par KevM

[Mic13710]

Il faut tout de même spécifier le port à la fin de l'adresse du remote. Pour info, on peut très bien utiliser un autre port que le 1194 au niveau du NAS. Perso, j'ai utilisé le 443 dans les paramétrages.

Ne pas s'inquiéter du message en rouge. Il dit simplement qu'il n'y a pas de protocole de vérification mis en place. Si le certificat n'était pas le bon, il n'y aurait pas de connexion.

[Thierry94]

Bonjour,

Une question relative au port 443 que vous utilisez pour le VPN.
Actuellement j'ai le port 443 comme entrée unique sur mon NAS et j'utilise le reverse proxy pour aiguiller vers la bonne application interne.
Est-il possible d'utiliser le reverse proxy pour le VPN en le faisant passer par le port 443?

[Mic13710]

Je ne pense pas et je n'y vois guère d'intérêt à partir du moment où l'accès ne se fait pas via un navigateur internet mais par une application.

Il suffit d'indiquer simplement dans openVPN le port 443 comme port de communication et ça fonctionne.

[KevM]

Merci @Mic13710 pour votre aide

Il y a 3 heures, Mic13710 a dit :

Il faut tout de même spécifier le port à la fin de l'adresse du remote. Pour info, on peut très bien utiliser un autre port que le 1194 au niveau du NAS. Perso, j'ai utilisé le 443 dans les paramétrages.

Oui cela est fait mais à la base je voulais éviter de communiquer les ports que j'utilisai, bien qu'il soit banaux.

 

Il y a 3 heures, Mic13710 a dit :

Ne pas s'inquiéter du message en rouge. Il dit simplement qu'il n'y a pas de protocole de vérification mis en place. Si le certificat n'était pas le bon, il n'y aurait pas de connexion.

D'accord je prend note.

 

Merci de ton retour Thierry94

Je jette un coup d’œil à ce que tu dit !

Après comme dit Mic13710 j'y accède par l'appli open vpn + explorateur windows sur pc, ainsi que open vpn + ds file sur mon smartphone

[KevM]

Il y a 8 heures, Thierry94 a dit :

Bonjour,

Une question relative au port 443 que vous utilisez pour le VPN.
Actuellement j'ai le port 443 comme entrée unique sur mon NAS et j'utilise le reverse proxy pour aiguiller vers la bonne application interne.
Est-il possible d'utiliser le reverse proxy pour le VPN en le faisant passer par le port 443?

Alors j'ai regardé, le reverse proxy (je n'ai pas essayé) mais en lisant des tutos explicatifs sur le reverse proxy et comment faire pour le mettre en place sur le nas. Je me suis rendu compte que ce n'était pas vraiment ce que je voulais faire, soit accéder au données stockée sur le nas via l'explorateur windows ou ds file !

Selon toi il serait possible de travailler directement sur un fichier stocké sur le nas via le navigateur avec un reverse proxy mis en place ?

Modifié le 27 février 2019 par KevM

[KevM]

Bonsoir,

 Solution pour open VPN smartphone

            _ Pour open vpn sur android, il suffit d'installer le fichier vpn normalement, ensuite il demande ce fameux certificat ssl et là il faut exporter le certif depuis dsm, qui nous sort des fichiers.pem et il faut les convertir en .pfx ! Je l'ai fait sur le net ici : https://www.httpcs.com/fr/convertisseur-ssl. Et quand l'appli demande le certificat il suffit d'aller le chercher là ou vous l'avez enregistré et le tour est joué. Vous pouvez supprimer le fichier .pfx par la suite open vpn à enregistré le certificat je ne sais pas trop où, mais il est conseillé de le suppr comme ça seul l'appli a accès à ces données.

 

Par contre sous windows j'ai toujours le message ' WARNING: No server certificate verification method has been enabled ' malgré mes multiples recherches et tests je n'ai pas trouvé la solution bien que je ne soit pas le seul à avoir eu se pb.

 

Bonne soirée

Modifié le 28 février 2019 par KevM

[Thierry94]

Merci KevM pour tes infos.

Je ne connaissais pas la solution pour pouvoir indiquer un certificat sur android. Par contre le faire convertir en externe ... je suis toujours septique par rapport à des sites que je ne connais pas ... car on lui confie tout d même notre certificat !

Pour ton besoin d'acces au fichier du NAS à partir de Windows tu veux le faire sur le réseau local ou en externe ?
Si c'est en réseau local il suffit d'indiquer \\nomnetbiosdunas ou \\nomdedomaine ou \\IPlocaldunas dans l'explorateur windows (tu peux aussi attribuer une lettre et en faire un lien permanent)
Si c'est en externe, le reverse proxy n'est utile que pour un acces DSfile via un port commun à plusieurs application (ce qui évite d'ouvrir un port spécifique sur le routeur pour DSfile).
L'autre solution est d'ouvrir un lien VPN avec le NAS et après tu te retrouves comme sur ton réseau local (par contre le \\nomnetbios ne fonctionne pas chez moi et il fut passer par les 2 autres solutions)

Pour ton problème de message Warning sur Windows as tu bien pris comme base le fichier client .opvn exporté par VPNServer car il contient les certificats nécessaires. Chez moi je n'ai pas ce message.

@Mic13710 : merci pour l'info sur l'utilisation possible du port 443 directement dans VPNServer ... je pensais qu'une fois le port 443 utilisé par le reverse proxy on ne pouvait plus l'utiliser pour une autre application d'ou ma demande de faire passer le VPN par le reverse proxy ! En fait lme reverse proxy utilise le TCP et OpenVpn l'UDP donc ça marche ...

 

Modifié le 28 février 2019 par Thierry94

[KevM]

Salut Thierry,

- Effectivement moi aussi je me suis posé la question de la sécurité de transmettre le certificat à un site internet, mais j'ai voulu essayer voir si cela fonctionnait. Il faudrait trouver peut être un logiciel capable de le faire. J'ai vu pas mal de truc sur le net pour la conversion certain via des consoles et d'autres à partir de ligne de commande mais je ne vois pas comment m'y prendre. Peut être peut tu me donner un tuyau ? Pense tu que si je remet à jour le certificat les valeurs vont changer et je converti le nouveau certif via une autre méthode ?

- En réseau local c'est ok, mappage lecteur réseau via syno assit ou directement via windows connecter un lecteur réseau.

- En réseau externe, j'ai accès à mes dossiers sur le nas via le vpn et l'adresse ip dynamique donné dans les paramètres vpn server, c'est ok donc mais ce qui me dérange c'est le message warning..... dans le fichir log

Oui j'ai exporté le fichier open vpn depuis dsm depuis vpn server/open vpn, mais ce qui me fait tiquer c'est que même sur android il a fallut que ce soit moi qui import le certif, je ne comprend pas pourquoi le fichier d'export open vpn ne prend pas en compte lui même le certificat du ndd. Je cherche du coup comment l'incorporer soit directement au fichier exporter open vpn, ou d'une autre manière comme sur android ! Ca soulève une autre question dans 90 jours lorsque le certificat lets encrypt va se mettre à jour je vais surement devoir le réimporter !?

 

Bonne journnée

 

EDIT [14h39]

Peut être une réponse la page 21 donné par jef_

J'avais essayer mais peut être pas de la bonne manière, je  retente ce soir !

 

Modifié le 28 février 2019 par KevM
Peut être une réponse sur le sujet voir le lien

[Thierry94]

Je viens de faire la manip de Jef et cela fonctionne très bien .... plus de message sur Android

[Mic13710]

Le NAS ne prend pas un certificat sorti d'un chapeau. Il faut supposer que lorsqu'il construit le fichier OpenVPN, il prend le certificat qui lui est attribué dans le module sécurité. Si vous en changez, il est bien évident que celui du fichier doit aussi être changé.

[Thierry94]

C'est bien le certificat exporté du NAS que j'ai intégré dans le fichier OpenVpn et la manip devra bien être refaite à chaque changement de certificat NAS.
 

[Mic13710]

Raison pour laquelle j'utilise pour le VPN le certificat par défaut qui est valable jusqu'à.... plutôt que le Let's Encrypt qu'il faut renouveler tous les trois mois. Comme je gère des NAS à distance via le VPN, mieux vaut avoir un certificat valide à tout moment.

[KevM]

Il est vrai @Mic13710 voici les fichiers log smartphone  dans les deux il y a une vérif de deux certificats

 

1/ Sans ajout du certificat lets encrypt quand l'appli le demande, le dossier open vpn comprend (un ca.crt / ca_bundle.crt et un fichier de config open vpn)

 

23:35:05.417 -- ----- OpenVPN Start -----

23:35:05.420 -- EVENT: CORE_THREAD_ACTIVE

23:35:05.448 -- Frame=512/2048/512 mssfix-ctrl=1250

23:35:05.451 -- UNUSED OPTIONS
1 [tls-client] 
3 [pull] 
5 [script-security] [2] 

23:35:05.456 -- EVENT: RESOLVE

23:35:06.377 -- Contacting XX.XXX.XXX.XXX:YYY via UDP

23:35:06.384 -- EVENT: WAIT

23:35:06.399 -- Connecting to [XXXXX.synology.me]:YYY (XX.XXX.XXX.XX) via UDPv4

23:35:06.614 -- EVENT: CONNECTING

23:35:06.638 -- Tunnel Options:V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

23:35:06.641 -- Creds: Username/Password

23:35:06.644 -- Peer Info:
IV_GUI_VER=OC30Android
IV_VER=3.2
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO=1

23:35:08.247 -- VERIFY OK : depth=1
cert. version     : 3
serial number     : 0A:01:41:42:00:00:01:53:85:73:6A:0B:85:EC:A7:08
issuer name       : O=Digital Signature Trust Co., CN=DST Root CA X3
subject name      : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
issued  on        : 2016-03-17 16:40:46
expires on        : 2021-03-17 16:40:46
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true, max_pathlen=0
key usage         : Digital Signature, Key Cert Sign, CRL Sign

23:35:08.252 -- VERIFY OK : depth=0
cert. version     : 3
serial number     : 03:BC:D9:C1:3B:9A:A8:18:F3:5D:54:FB:97:45:95:D0:29:B4
issuer name       : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
subject name      : CN=XXX.synology.me
issued  on        : 2019-02-23 15:42:06
expires on        : 2019-05-24 15:42:06
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : XXX.synology.me
key usage         : Digital Signature, Key Encipherment
ext key usage     : TLS Web Server Authentication, TLS Web Client Authentication

23:35:10.377 -- SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

23:35:10.382 -- Session is ACTIVE

23:35:10.385 -- EVENT: GET_CONFIG

23:35:10.407 -- Sending PUSH_REQUEST to server...

23:35:10.472 -- OPTIONS:
0 [route] [10.8.0.0] [255.255.255.0] 
1 [route] [10.8.0.1] 
2 [topology] [net30] 
3 [ping] [10] 
4 [ping-restart] [60] 

 

2/ Avec ajout du certificat lets encrypt quand l'appli le demande, le dossier open vpn comprend (un ca.crt / ca_bundle.crt et un fichier de config open vpn)

 

22:52:47.229 -- ----- OpenVPN Start -----

22:52:47.230 -- EVENT: CORE_THREAD_ACTIVE

22:52:47.506 -- Frame=512/2048/512 mssfix-ctrl=1250

22:52:47.513 -- UNUSED OPTIONS
1 [tls-client] 
3 [pull] 
5 [script-security] [2] 

22:52:47.515 -- EVENT: RESOLVE

22:52:47.519 -- Contacting XX.XXX.XXX.XXX:YYY via UDP

22:52:47.521 -- EVENT: WAIT

22:52:47.526 -- Connecting to [XXXXX.synology.me]:YYY (XX.XXX.XXX.XX) via UDPv4

22:52:48.452 -- EVENT: CONNECTING

22:52:48.465 -- Tunnel Options:V4,dev-type tun,link-mtu 1602,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA512,keysize 256,key-method 2,tls-client

22:52:48.470 -- Creds: Username/Password

22:52:48.475 -- Peer Info:
IV_GUI_VER=OC30Android
IV_VER=3.2
IV_PLAT=android
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO=1

22:52:49.899 -- VERIFY OK : depth=1
cert. version     : 3
serial number     : 0A:01:41:42:00:00:01:53:85:73:6A:0B:85:EC:A7:08
issuer name       : O=Digital Signature Trust Co., CN=DST Root CA X3
subject name      : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
issued  on        : 2016-03-17 16:40:46
expires on        : 2021-03-17 16:40:46
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true, max_pathlen=0
key usage         : Digital Signature, Key Cert Sign, CRL Sign

22:52:49.902 -- VERIFY OK : depth=0
cert. version     : 3
serial number     : 03:BC:D9:C1:3B:9A:A8:18:F3:5D:54:FB:97:45:95:D0:29:B4
issuer name       : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
subject name      : CN=[XXXXX.synology.me

issued  on        : 2019-02-23 15:42:06
expires on        : 2019-05-24 15:42:06
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : [XXXXX.synology.me
key usage         : Digital Signature, Key Encipherment
ext key usage     : TLS Web Server Authentication, TLS Web Client Authentication

22:52:51.931 -- SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

22:52:51.934 -- Session is ACTIVE

22:52:51.937 -- EVENT: GET_CONFIG

22:52:51.943 -- Sending PUSH_REQUEST to server...

22:52:52.058 -- OPTIONS:
0 [route] [10.8.0.0] [255.255.255.0] 
1 [route] [10.8.0.1] 
2 [topology] [net30] 
3 [ping] [10] 
4 [ping-restart] [60] 
5 [ifconfig] [10.8.0.10] [10.8.0.9] 

22:52:52.061 -- PROTOCOL OPTIONS:
  cipher: AES-256-CBC
  digest: SHA512
  compress: LZO
  peer ID: -1

22:52:52.062 -- EVENT: ASSIGN_IP

22:52:52.115 -- Connected via tun

22:52:52.123 -- LZO-ASYM init swap=0 asym=0

 

 

A croire qu'il n' y a pas de différence je vois juste qu'il interroge les certificats dans le désordre et il y en a un qui sort de je ne sais où, celui en gras noir, en gras vert c'est celui que j'ai créé, mais les deux sont de lets encrypt !

Je vais essayer le tuto que j'ai mis tout à l'heure. voir s'il y a une différence avec ces deux là !
 

Edit 28.02.2019

Effectivement ça marche pour android la méthode donné par jeff. Et j'ai vu que le fichié log était aussi identique au n2 que j'ai déjà posté !

Mais ne voulant pas m'arrêter là j'ai essayer de faire de même pour le fichier open vpn windows, mais cela ne fonctionne pas ! Du coup il ne faut pas ajouter les lignes comme le tuto le fait dans celui pour android. Comme vous avez dit Mi13710 et Fenrir en réponse à quelqu'un cela n'a pas l'air d'avoir d'importance. Par contre dans le fichier log aucune info comme sur android par rapport au certificat et ndd. Demain je demande à mon presta informatique du boulot (s'il a une solution) car au boulot nous n'avons pas de message Warning.... avec open vpn sur les syno de la boite, après la seul chose différente c'est que le vpn doit se connecter au serveur et non au nas directement, alors que chez moi je me co direct au nas.

Modifié le 1 mars 2019 par KevM

[KevM]

J'attend un retour de mon presta de ma boite et je vais clôturer et supprimer le sujet ! Car il n'a plus lieu d'être, en plus les réponses sont finalement dans les com du tuto fenrir et dans mon autre post que je remettrai à jour par la suite.

J'espère que les modos ne voit pas d'inconvénient à ce que je supprime le sujet.

Bonne soirée

Modifié le 28 février 2019 par KevM

[Mic13710]

Non seulement j'y vois un inconvénient, mais en plus je ne crois pas que votre niveau d'habilitation vous le permette. Si tout le monde supprimait ses demandes une fois le problème résolu, il ne resterait plus que des sujets sans solutions. Que les réponses se retrouvent sur d'autres posts du forum n'est pas une raison de suppression.

[KevM]

Il y a 7 heures, Mic13710 a dit :

Non seulement j'y vois un inconvénient, mais en plus je ne crois pas que votre niveau d'habilitation vous le permette. Si tout le monde supprimait ses demandes une fois le problème résolu, il ne resterait plus que des sujets sans solutions. Que les réponses se retrouvent sur d'autres posts du forum n'est pas une raison de suppression.

Bonjour @Mic13710, n'y voyez pas quelque chose de négatif, je pensai bien faire pour éviter de saturé le forum de multiples sujets identiques, qui au final apporte la même réponse, tuto fenrir et ces multiples réponses, ainsi que mon autre sujet situé dans VPN server que j'édite avec les solutions à chaque fois que je là trouve. 

Voir le dernier post qu'il me reste à mettre à jour : 

Après comme cela pose problème, je ne le supprimerai pas (enfin comme vous dite je n'ai à mon avis pas l'habilitation, mais via le haut de la page actions de modération le menu déroulant propose supprimer). Par ailleurs je suis bien d'accord avec votre point de vu, cela partait d'une bonne intention.

[KevM]

Pour revenir au sujet j'apporte une réponse lié au message Warning...... du certificat :

Le message est lié a l'interrogation du certificat qui se fait à cause du port 443 (https) le certificat est bien présent mais pas reconnu, si l'on passe par un autre port qui ne vérifie pas le certificat,  le message n'apparaît plus si j'ai bien compris le discours de mon presta, exemple par le port 445 si je ne me trompe pas le message n’apparaît pas. 

Comme vous le disiez Mic13710, si le certificat était manquant le vpn ne pourrait se connecter et créer le tunnel.

 

Voilà,  touts mes problèmes et interrogations sont résolus. Je vous remercie tous pour votre aide précieuse. 🙂

 

Modifié le 1 mars 2019 par KevM

[Mic13710]

il y a 56 minutes, KevM a dit :

le haut de la page actions de modération le menu déroulant propose supprimer

???? Vous ne devriez pas avoir accès à ce menu qui est normalement réservé aux modos, à moins que ce soit attribué aussi au créateur du sujet, mais j'en doute.

[KevM]

il y a 12 minutes, Mic13710 a dit :

???? Vous ne devriez pas avoir accès à ce menu qui est normalement réservé aux modos, à moins que ce soit attribué aussi au créateur du sujet, mais j'en doute.

Modifié le 1 mars 2019 par KevM

[Jeff777]

il y a 14 minutes, Mic13710 a dit :

à moins que ce soit attribué aussi au créateur du sujet, mais j'en doute.

Bonjour,

C'est bien attribué au créateur de sujet, j'ai la même chose sur un sujet que j'ai commençé.