Aller au contenu

Utilisation du NAS restreinte à l'accès aux fichiers partagés sur réseau local


Messages recommandés

Bonjour à tous,

Mon DS est installé depuis presque 5 ans avec des données non importantes (films, musique, ...) mais comme je vais devoir migrer dessus des données importantes suite à la perte d'un autre NAS vient la question de la sécurité des données.

Tout d'abord, je compte bien lire le tuto "[TUTO] Sécuriser les accès à son nas" mais dans l'immédiat, dans le cadre d'une utilisation personnelle (càd non professionnelle), si je ne souhaite utiliser le NAS que sur mon propre réseau local pour accéder aux fichiers partagés (sans aucune autre fonctionnalité serveur donc), est-il possible de s'assurer rapidement et de manière sûre que l'accès vers l'extérieur (Internet) est coupé et que les données sont donc sécurisées ?

La seule exception est que j'utilise "Download Station" mais je peux m'en passer sans problème pour le moment.
Ma priorité est vraiment de savoir les données sécurisées de l'extérieur.

Merci

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

A mon avis le plus simple, puisque tu as suivi le tuto Sécuriser les accès à son nas, c'est de ne garder dans le pare-feu du NAS que les lignes autorisant les accès internes au réseau et d'interdire tous les autres en dernière ligne.

Tu peux rajouter juste avant la dernière ligne l'accès aux ports de downstation que tu n'actives que lorsque tu t'en sers. 

Mais est-ce suffisant ? Je laisse des plus calés que moi conclure 😊

Lien vers le commentaire
Partager sur d’autres sites

Il faut activer le pare-feu et de créer uniquement les règles suivantes :

image.png.b12165520e2461388f026933e1930579.png

Cette image est tirée du topic que tu mentionnes dans ton post, tout sera plus clair à sa prochaine lecture. 🙂
Deuxième chose, tu désactives QuickConnect, et tu ne te connectes qu'avec ton user/password.
Dernière recommandation, je t'invite après la lecture du dit tutoriel, à envisager la mise en place d'un serveur VPN, c'est la solution la plus sûre pour accéder à son réseau depuis l'extérieur.

Il y a beaucoup d'autres choses à faire, mais celles-là me semblent les plus cruciales.

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos retours rapides et qui se rejoignent sur le fond.

J'ai eu un gros stress récemment donc je suis un peu parano.

Pour info, le "conseiller sécurité" du NAS m'indique après analyse que tout est OK (pour un profil "utilisation privée et personnelle").

QuickConnect a toujours été désactivé et je n'ai pas de compte Synology, juste des comptes utilisateurs avec mots de passe.

Par contre, le pare-feu est désactivé, cela doit être une valeur par défaut car je ne pense pas y avoir touché.

 

Ok pour ajouter ces règles qui incluent les 3 types de réseaux privés. Il me semble que mettre uniquement celle relative à mon réseau local serait suffisant, je me trompe ?
Quoique il vaut peut-être mieux les ajouter toutes les 3 si un jour je change de type d'adresses j'imagine ?

Les mises à jour automatiques de DSM et des paquets vont toujours fonctionner avec ces règles ?

Petite question sur la pertinence d'ajouter ces règles: Actuellement, j'utilise la box (modem/routeur) de mon opérateur qui est par défaut en mode IPV4/IPV6 et j'ai laissé tout vide dans la configuration NAT (pas de ports FW).
Est-ce que l'ajout de ces règles n'est dès lors pas superficiel ? Même si cela ne peut être qu'une garantie supplémentaire.

 

Citation

Dernière recommandation, je t'invite après la lecture du dit tutoriel, à envisager la mise en place d'un serveur VPN, c'est la solution la plus sûre pour accéder à son réseau depuis l'extérieur.

Merci pour le conseil mais je pense que je vais rester encore un (long) moment ainsi donc le problème ne se pose pas, je n'ai jamais utilisé le DS depuis l'extérieur et ne compte pas particulièrement le faire à l'avenir.
Je te concède que c'est un peu dommage au vu des possibilités mais je préfère dormir tranquille.
Peut-être qu'un jour je regarderais pour mettre en place un serveur VPN mais ce n'est pas pour tout de suite.

Dans l'immédiat, je me pose aussi d'autres questions comme la nécessité ou pas d'un onduleur pour ma petite utilisation.
Au départ, pour lutter contre la chaleur, j'étais en train de me renseigner pour commander un ventilateur d'extraction pour mon rack 19" qui comprend aussi un module contre les surtensions, c'est déjà pas mal je trouve.
Ce serait peut-être mieux que je crée un nouveau sujet.

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, Syno415plus a dit :

Ok pour ajouter ces règles qui incluent les 3 types de réseaux privés. Il me semble que mettre uniquement celle relative à mon réseau local serait suffisant, je me trompe ?
Quoique il vaut peut-être mieux les ajouter toutes les 3 si un jour je change de type d'adresses j'imagine ?

Les règles en 10.x.x.x sont pour les clients VPN, si tu mets en place un VPN via le paquet VPN server.
Les 172.16.x.x c'est pour des machines virtuelles ou des containers docker.
Tu peux les enlever mais je ne pense pas que tu prennes grand risque à laisser ces règles si par ailleurs tu respectes les autres recommandations.

il y a 16 minutes, Syno415plus a dit :

Petite question sur la pertinence d'ajouter ces règles: Actuellement, j'utilise la box (modem/routeur) de mon opérateur qui est par défaut en mode IPV4/IPV6 et j'ai laissé tout vide dans la configuration NAT (pas de ports FW).
Est-ce que l'ajout de ces règles n'est dès lors pas superficiel ? Même si cela ne peut être qu'une garantie supplémentaire.

Les NAT de ta box est très basique, il filtre uniquement entre l'extérieur et l'intérieur de ton réseau local.
Or tu veux probablement pouvoir converser avec ton NAS à l'intérieur de ton réseau local ? 🙂 
Serveur multimedia, DLNA, rsync vers un autre périphérique, et éventuellement accéder à DSM 😛 
Si tu avais un vrai routeur derrière ta box en bridge (pfSense, OPNSense, DD-WRT pour ne citer que les plus connus), tu peux totalement contrôler qui peut parler à qui et comment, au sein de ton réseau local.
Dans ton cas il y a effectivement un risque, je prends l'exemple d'un virus qui infecte un laptop par exemple, sur lequel tu montes des dossiers partagés de ton NAS via l'utilisateur admin.
Tu vois le tableau ?
Mais ça relève dans ce cas-là d'un autre sujet, qui est la sécurisation de ton réseau local, et des bonnes pratiques de l'internet en général.
Personnellement, tous mes dossiers partagés montés sur mon laptop et mon ordinateur de bureau sont faits via un utilisateur en lecture seule.

il y a 16 minutes, Syno415plus a dit :

Dans l'immédiat, je me pose aussi d'autres questions comme la nécessité ou pas d'un onduleur pour ma petite utilisation.
Au départ, pour lutter contre la chaleur, j'étais en train de me renseigner pour commander un ventilateur d'extraction pour mon rack 19" qui comprend aussi un module contre les surtensions, c'est déjà pas mal je trouve.
Ce serait peut-être mieux que je crée un nouveau sujet.

Je ne peux que te conseiller l'achat d'un onduleur, avec extinction automatique par USB en cas de panne.
Tu trouveras sur le forum une liste d'onduleurs compatibles avec ton modèle de NAS.
Plus que pour les données, car si tu es consciencieux tu feras des sauvegardes régulières de tes données importantes, c'est simplement d'éviter de cramer ton NAS ou ses disques, une centaine d'euros pour très potentiellement en sauver plusieurs centaines, moi je trouve ça intéressant.

TL;DR : Lis les tutoriels, ça répondra à la majorité de tes questions et plus encore.

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Une idée si les mises à jour automatiques de DSM et des paquets vont toujours fonctionner avec ces règles ? 

Il y a 2 heures, shadowking a dit :

Les règles en 10.x.x.x sont pour les clients VPN, si tu mets en place un VPN via le paquet VPN server.
Les 172.16.x.x c'est pour des machines virtuelles ou des containers docker.
Tu peux les enlever mais je ne pense pas que tu prennes grand risque à laisser ces règles si par ailleurs tu respectes les autres recommandations.

D'accord, merci pour l'explication, je vais encoder ça.
Donc si j'ai un réseau local de type 192.168.0.0/255.255.255.0, la règle 3 avec 192.168.0.0/255.255.0.0 dans IPSource va autoriser l'accès à DS ? (histoire que je ne sois pas bloqué 8-)

Il y a 2 heures, shadowking a dit :

Les NAT de ta box est très basique, il filtre uniquement entre l'extérieur et l'intérieur de ton réseau local.
Or tu veux probablement pouvoir converser avec ton NAS à l'intérieur de ton réseau local ? 🙂 
Serveur multimedia, DLNA, rsync vers un autre périphérique, et éventuellement accéder à DSM 😛 

Oui mais je ne comprend pas le rapport avec les règles ci-dessus…?
Je comprend donc que l'ajout de ces règles n'est pas superficiel, c'est bien ça ?

Il y a 2 heures, shadowking a dit :

Si tu avais un vrai routeur derrière ta box en bridge (pfSense, OPNSense, DD-WRT pour ne citer que les plus connus), tu peux totalement contrôler qui peut parler à qui et comment, au sein de ton réseau local.

C'est dans mes plans de passer le modem en bridge et d'ajouter un routeur…

Il y a 2 heures, shadowking a dit :

Dans ton cas il y a effectivement un risque, je prends l'exemple d'un virus qui infecte un laptop par exemple, sur lequel tu montes des dossiers partagés de ton NAS via l'utilisateur admin. Tu vois le tableau ?

Je n'utiliserais pas l'admin pour monter un dossier mais un compte utilisateur. Mais ok cela ne change pas grand chose si l'utilisateur a accès en écriture au dossier partagé. 

Il y a 2 heures, shadowking a dit :

Personnellement, tous mes dossiers partagés montés sur mon laptop et mon ordinateur de bureau sont faits via un utilisateur en lecture seule.

Pareil pour ceux que je ne modifie pas souvent. Et j'ajoute alors l'accès en écriture le temps d'ajouter des fichiers au share. Contraignant quand même.
Par contre, pour un dossier "de travail", je monte avec mon utilisateur perso en lecture/écriture.

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Syno415plus a dit :

Donc si j'ai un réseau local de type 192.168.0.0/255.255.255.0, la règle 3 avec 192.168.0.0/255.255.0.0 dans IPSource va autoriser l'accès à DS ? (histoire que je ne sois pas bloqué 8-)

192.168.0.0/255.255.0.0 te permet de couvrir la plage 192.168.0.0 ... 192.168.0.254 ... 192.168.1.0 ... 192.168.1.254 ... 192.168.254.254
192.168.0.0/255.255.255.0 te permet de couvrir la plage 192.168.0.0 ... 192.168.0.254

Toi seul sait quel sous-réseau tu utilises, si éventuellement tu prévois un réseau invité avec un plage différente, etc...

Si tu n'utilises qu'un seul sous-réseau, disons que ta box a l'IP 192.168.1.254, alors 192.168.1.0/255.255.255.0 sera adapté.

il y a 9 minutes, Syno415plus a dit :

Oui mais je ne comprend pas le rapport avec les règles ci-dessus…?
Je comprend donc que l'ajout de ces règles n'est pas superficiel, c'est bien ça ?

Le principe de ces règles est d'ouvrir tous les accès aux demandes émanant d'une source locale, qu'on considère sûre par postulat de départ.
Tous tes périphériques ayant une IP autorisé pourront converser pleinement avec ton NAS.
Tu n'as peut-être créé aucun transfert de port sur ta box, mais pour peu que l'UPNP soit activé sur ta box, un malware pourrait très bien exposer ton NAS au web en créant ses propres transferts.

il y a 26 minutes, Syno415plus a dit :

C'est dans mes plans de passer le modem en bridge et d'ajouter un routeur…

Erreur de ma part, je voulais dire vrai pare-feu à la place de routeur. Ce qui de toute façon ne correspond pas à ce que tu cherches.
C'est une bonne chose, les box sont la plupart du temps très limitées dans leurs fonctionnalités et les possibilités de personnalisation.

il y a 31 minutes, Syno415plus a dit :

Pareil pour ceux que je ne modifie pas souvent. Et j'ajoute alors l'accès en écriture le temps d'ajouter des fichiers au share. Contraignant quand même.
Par contre, pour un dossier "de travail", je monte avec mon utilisateur perso en lecture/écriture.

Tant que ton utilisateur a des droits limités sur le NAS, ce n'est pas dramatique. 🙂 Faut juste être conscient des risques.

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, shadowking a dit :

192.168.0.0/255.255.0.0 te permet de couvrir la plage 192.168.0.0 ... 192.168.0.254 ... 192.168.1.0 ... 192.168.1.254 ... 192.168.254.254
192.168.0.0/255.255.255.0 te permet de couvrir la plage 192.168.0.0 ... 192.168.0.254

Toi seul sait quel sous-réseau tu utilises, si éventuellement tu prévois un réseau invité avec un plage différente, etc...

Si tu n'utilises qu'un seul sous-réseau, disons que ta box a l'IP 192.168.1.254, alors 192.168.1.0/255.255.255.0 sera adapté.

Merci pour ta patience, j'ai bien compris maintenant. Il est possible sauver la config du DS dans un fichier ?
Une idée si les mises à jour automatiques de DSM et des paquets vont toujours fonctionner avec ces règles ? 

il y a 23 minutes, shadowking a dit :

Tu n'as peut-être créé aucun transfert de port sur ta box, mais pour peu que l'UPNP soit activé sur ta box, un malware pourrait très bien exposer ton NAS au web en créant ses propres transferts.

UPNP est bien désactivé sur la box. C'est un des premiers trucs auquel je regarde 😉

il y a 23 minutes, shadowking a dit :

Erreur de ma part, je voulais dire vrai pare-feu à la place de routeur. Ce qui de toute façon ne correspond pas à ce que tu cherches.

Ah oui carrément un pare-feu matériel. Perso je pense que c'est un peu too-much en tant que particulier.

il y a 23 minutes, shadowking a dit :

C'est une bonne chose, les box sont la plupart du temps très limitées dans leurs fonctionnalités et les possibilités de personnalisation.

On est bien d'accord.

Lien vers le commentaire
Partager sur d’autres sites

Ok, merci @shadowking

La fin du tuto ("Sécuriser les accès à son nas") spécifie comment sauver la configuration (Panneau de configuration > Mise à jour et restauration) mais cela semble ne pas inclure ces réglages, dommage.

J'ai suivi le tuto et j'ai donc désactivé l'IPV6 de mon DS. Faut-il le désactiver aussi sur la box ? Le mode par défaut est IPV4/IPV6. 

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, Syno415plus a dit :

J'ai suivi le tuto et j'ai donc désactivé l'IPV6 de mon DS. Faut-il le désactiver aussi sur la box ? Le mode par défaut est IPV4/IPV6. 

Sujet délicat ? Je vais laisser IPV4/IPV6 sur le modem routeur alors.

J'ai fini de lire le tuto et j'ai aussi un login 'admin' mais j'imagine que dans mon cas cela ne vaut pas la peine de le "changer" après le réglage ci-dessus, vous pouvez confirmer ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Tu parles de ceci je suppose ? Si si, j'ai tout lu mais j'avoue n'avoir pas tout compris. Je n'ai pas non plus tout appliqué. En résumé avec IPV6 on peut accéder à n'importe quelle machine d'un réseau privé ? J'ai du mal à y croire.

Je pense que j'avais déjà essayé IPV4 only mais j'avais eu des soucis, il faudrait que je gratte un peu dans mes archives.

Quid de ceci: "j'ai aussi un login 'admin' mais j'imagine que dans mon cas cela ne vaut pas la peine de le "changer" après le réglage ci-dessus, vous pouvez confirmer ?"
 

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, Syno415plus a dit :

Quid de ceci: "j'ai aussi un login 'admin' mais j'imagine que dans mon cas cela ne vaut pas la peine de le "changer" après le réglage ci-dessus, vous pouvez confirmer ?"

Il faut désactiver le compte "admin", après avoir créer un autre (ou +) utilisateur membre du groupe admin.

(Mais il faut que tu donnes ou modifie le mot de passe d'admin avant de la désactiver, car il sert en ssh pour passer en root ou lorsque qu'une commande commence par sudo)

 

il y a 32 minutes, Syno415plus a dit :

Tu parles de ceci je suppose ? Si si, j'ai tout lu mais j'avoue n'avoir pas tout compris. Je n'ai pas non plus tout appliqué. En résumé avec IPV6 on peut accéder à n'importe quelle machine d'un réseau privé ? J'ai du mal à y croire.

Je pense que j'avais déjà essayé IPV4 only mais j'avais eu des soucis, il faudrait que je gratte un peu dans mes archives.

Ça dépend si tu parles de la partie DHCP serveur ou de la partie connexion internet de la box (IP Public). Pour le DHCP, le réseau local l'IPV6 peut/doit être désactivé, pour la partie connexion il faut mieux laisser les réglages en automatique.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 49 minutes, Syno415plus a dit :

En résumé avec IPV6 on peut accéder à n'importe quelle machine d'un réseau privé ? J'ai du mal à y croire.

Pour l'IPV6 comme l'article le mentionne, pour schématiser (je ne suis pas un spécialiste) il y a deux modes de fonctionnement. 

Comme l'IPV4, c'est à dire un seul adresse IPV6 publique, (Routeur avec NAT) avec un réseau local en IPV6 privé ou en IPV4.

Second mode, une plage d'adresse IPV6 publique, (IPV6/64), les machines du réseau local ont une adresse IPV6 sur cette plage, donc une IP Publique.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, maxou56 a dit :

Il faut désactiver le compte "admin", après avoir créer un autre (ou +) utilisateur membre du groupe admin.
(Mais il faut que tu donnes ou modifie le mot de passe d'admin avant de la désactiver, car il sert en ssh pour passer en root ou lorsque q'une commande commence par sudo)

J'ai bien compris la manip, c'est juste que je n'y vois pas d'intérêt dans mon cas au vu de la manipulation ci-dessus sur le pare-feu et je demandais juste une confirmation.
 

Il y a 3 heures, maxou56 a dit :

Ça dépend si tu parle de la parti DHCP serveur ou de la parti connexion internet de la box (IP Public). Dans la parti DHCP, pour le réseau local l'IPV6 peut/doit être désactivé, pour la parti connexion il faut mieux laisser les réglages en automatique.

Je n'ai pas ça sur ma box.

Lien vers le commentaire
Partager sur d’autres sites

il y a 25 minutes, Syno415plus a dit :

J'ai bien compris la manip, c'est juste que je n'y vois pas d'intérêt dans mon cas au vu de la manipulation ci-dessus sur le pare-feu et je demandais juste une confirmation.

Si ton NAS est accessible sur internet, il faut désactiver admin.

(en cas d'attaque par ex ransomware, ils tenteront le compte admin et avec un dictionnaire de mot de passe, même si tu as configuré par ex 5 tentatives de connexion en 5 min, ils disposent généralement de milliers d'adresses ip)

Mais même local tu n'est pas à l'abri qu'une de tes machines soit infecté, ou un ami, membre de la famille se connecte en wifi avec une machine infecté...

Ensuite les box opérateur niveau sécurité, c'est pas top. Une mise à jour et celle-ci réactive par ex l'uPnP. (il y quelques jours ma Livebox a décochée toutes mes Règles NAT/PAT, toute seule comme une grande, vu que mon réseau est assez complexe, j'ai mis du temps à trouver le problème)

Donc le compte admin désactivé et un mot de passe fort, c'est moins risqué.

 

Tu peux aussi voir le tuto BlackList

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Merci pour le tuto mais comme je ne suis pas exposé à l'extérieur, aucun intérêt dans mon cas je pense.

D'accord avec toi pour les box opérateurs, le mien est de les utiliser en bridge.

Je suis conscient du risque via le réseau interne mais je le prends. D'un autre côté, mon mot de passe est généré aléatoirement sur 30 caractères donc je n'ai pas de souci à me faire je pense. 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Créer un dossier partagé avec accès en lecture à "Everyone" comme Windows, ce n'est pas autorisé  ?

edit: apparemment c'est possible mais après la création du dossier partagé en passant par FileStation (merci de me corriger le cas échéant)

Merci

 

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je vais bientôt regarder pour utiliser HyperBackup.

Au vu de comment j'ai configuré le NAS au niveau de la sécurité:

1/ est-ce que cela va fonctionner de faire un backup dans GoogleDrive ?
2/ dans l'affirmative, est-ce que cela va rendre le NAS plus vulnérable ou l'exposer sur Internet ?
3/ si cela fonctionne sans rendre le NAS plus vulnérable, est-ce que les données sont bien sécurisées pendant le transfert et sécurisées une fois stockées dans le Cloud ?
4/ quel est le niveau de protection des données ? (est-ce toujours du AES-256 comme utilisé en hardware sur mon NAS ?)

@unPixel @Mic13710

merci

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

  1. Oui il n'y a pas de raison. Ça fonctionne de mon côté sans soucis...
  2. Non, ça n'ouvrira pas de vulnérabilités sur ton NAS.
  3. Oui les données sont chiffrées pendant le transfert si tu es bien en https et elles seront sécurisées si tu le demandes lors de la configuration de la sauvegarde dans Hyper Backup.
  4. Si mes souvenirs sont bons, Synology utilise bien AES-256 pour le chiffrement des données 😉

https://www.synology.com/fr-fr/dsm/feature/hyper_backup

Citation

Chiffrement et compression des données

Des technologies de chiffrement de niveau militaire, AES-256 et RSA-2048, permettent de protéger vos données de tout accès illicite. La compression permet de réduire le trafic sortant et la consommation de stockage.

 

Modifié par unPixel
Lien vers le commentaire
Partager sur d’autres sites

Merci du retour 👍

Il y a 1 heure, unPixel a dit :

Oui les données sont chiffrées pendant le transfert si tu es bien en https et elles seront sécurisées si tu le demandes lors de la configuration de la sauvegarde dans Hyper Backup.

Càd ? Je ne me connecte jamais en dehors de mon réseau local via http://synology:5000.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.