Aller au contenu

[Résolu]Pare-feu et QuickConnect


Messages recommandés

Bonjour, 

 

Je viens de créer mes règles de pare-feu pour n'autoriser que des IP françaises ainsi que les IP locals entre 192.168.0.0 et 192.168.1.255, ma dernière règle est de bloquer tous.

 

Le problème est lorsque je fais un essais en me connecter en Belgique avec mon quickConnect, celui-ci arrive à ce connecter. Logiquement je devrais être bloqué non ?

 

Merci à tous pour votre aide. 

 

 

Capture d’écran 2020-08-16 à 11.44.00.png

Modifié par Pandore62
Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Pandore62 a dit :

Je viens de créer mes règles de pare-feu pour n'autoriser que des IP françaises

Bonjour,

⚠️ La 1ère n'est pas bonne, tu autorises tous les ports du NAS pour les IP Française, il faut autoriser seulement certains ports.

2nd point, le pare feu est pour la LAN1 uniquement (dans ce cas la LAN2 est configuré?), il faut mieux configurer dans toutes les interfaces, sauf si tu souhaites des réels spécifiques pour chaque interfaces.

 

 

Ensuite il n'y a pas beaucoup de personne sur le forum qui utilise "QuickConnect"

Les données transitent par les serveurs de Synology.

 

Il faut mieux utiliser un DynDNS et ouvrir les ports sur la box (Régles NAT/PAT).

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse, j’utilise quickconnect car on m’a dit que les dyndns gratuit n’était pas sécurisé. Ne sachant pas j’ai plutôt fait confiance à Synology, après je suis ouvert, car je souhaite améliorer la sécurité de mon Syno.

pour le lan 1, c’est parce que je compte mettre par la suite mes caméras sur le lan 2 (réseau vraiment coupé du réseau local avec ma box) car je n’ai pas confiance en la sécurité des caméras (jamais de mise à jour etc)

Lien vers le commentaire
Partager sur d’autres sites

Le DDNS de Synology suffit si tu n’as pas ip fixe (dispo dans accès externe).

 

il y a 17 minutes, Pandore62 a dit :

c’est parce que je compte mettre par la suite mes caméras sur le lan 2

👍 c’est ce que je fait sur une VLAN dédié aux caméras.

Lien vers le commentaire
Partager sur d’autres sites

Le 16/08/2020 à 17:15, maxou56 a dit :

Bonjour,

⚠️ La 1ère n'est pas bonne, tu autorises tous les ports du NAS pour les IP Française, il faut autoriser seulement certains ports.

Bonjour,

Je suis d’accord qu’ouvrir tous les ports à toute la France n’est pas bon, mais là le risque est minime puisque ce n’est pas le Syno qui est en frontal d’internet mais la Box FAI qui elle ne NAT que ce qu’on lui dit, donc il n’y a pas de risque d’attaque, on parle là juste de bonnes pratiques..

Le 16/08/2020 à 17:15, maxou56 a dit :

Ensuite il n'y a pas beaucoup de personne sur le forum qui utilise "QuickConnect"

Les données transitent par les serveurs de Synology.

Je ne suis pas d’accord avec ça, ce ne sont pas les données qui transitent par les serveurs de Syno, et heureusement, mais seulement les clés de chiffrement du https. Le risque c’est que si un tiers récupère la clé privée de Syno par piratage, il saura intercepter les requêtes et donc potentiellement des identifiants, mais pas les données non 😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, kasimodem a dit :

Je ne suis pas d’accord avec ça, ce ne sont pas les données qui transitent par les serveurs de Syno, et heureusement

Et comme ça ce passe si aucun port est ouvert dans la BOX (ou en 4G), qui est justement le but de QuickConnect ?

Lien vers le commentaire
Partager sur d’autres sites

Et bien c’est ce que je disais, si tu fais une règle firewall qui autorise tout, ou si tu désactives le firewall, ce qui reviens au même, puisque la Box n’autorise aucune translation de port, alors qu’importe, le Syno n’est jamais exposé.

Quickconnect demande à distance l’ouverture dynamique d’un port (upnp) puis négocie un canal ssl avec des clés de chiffrement qui sont ton login et mot de passe Synology. Une fois le canal établi, ça se passe entre ton Syno et le périphérique qui demande les données, mais en aucun cas tes fichiers ne vont partir chez Syno.. c’est le principe de base de tout certificat SSL.

Modifié par kasimodem
Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, kasimodem a dit :

l’ouverture dynamique d’un port (upnp)

Si l'upnp est désactivé (ce qu'il faut faire pour la sécurité!).

Ça ce passe comment ?? la question est uniquement rhétorique.

 

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

L’autorité de certification de quickconnect est Amazon, le plus gros fournisseur de cloud privé au monde, donc c’est quand même pas le petit hébergeur du coin à risques.

je vois pas en quoi c’est plus risqué que Positivessl, le fournisseur de certificats anglais de ovh. Pour moi dans les deux cas c’est solide et à part une attaque qui déroberait les clés privés de chiffrement pour intercepter tes identifiants, je vois pas en quoi quickconnect est un risque majeur.

il y a 16 minutes, maxou56 a dit :

Si l'upnp est désactivé (ce qu'il faut faire pour la sécurité!).

Ça ce passe comment ?? la question est uniquement rhétorique.

 

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

Mais non, c’est l’établissement de la connexion qui est relayé chez Syno, pas tes données !

Tu imagines le délais pour lire tes fichiers s’ils transitaient intégralement par un serveur de Synology quelque part dans le monde ? Ce serait une horreur ! Ce n’est que l’établissement du chiffrement ssl qui passe chez eux.

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, kasimodem a dit :

Tu imagines le délais pour lire tes fichiers s’ils transitaient intégralement par un serveur de Synology quelque part dans le monde ? Ce serait une horreur ! Ce n’est que l’établissement du chiffrement ssl qui passe chez eux.

Alors explique moi comment font les données font pour transiter si les ports sont fermés et que l'upnp est désactivé ?

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Et bien il faudra aller lire les livres blancs de Synology sur le sujet car moi je n’ai pas la réponse, mais probablement que puisque c’est le Syno Qui initie la connexion SORTANTE, ça bypass la Box logiquement, mais dans ce cas c’est un peu plus lent.

mais clairement non, aucun de tes fichiers ne passe par un serveur de Synology. Genre tu veux récupérer un ISO sur ton Syno de 4 Go, il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ? Heureusement que non ! Je maintiens que seul l’établissement du chiffrement de la connexion entre ton Syno et ton client passe par les serveurs de Synology.

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, kasimodem a dit :

moi je n’ai pas la réponse

Oui c'est ce que j'avais cru comprendre.

Pourquoi alors arriver de façon si affirmative, alors que tu n'en as aucune idée? 🤔

 

Car cette usage de QuickConnect (sans aucun port d'ouvert et l'upnp de désactivé) est majoritaire. 

 

il y a 34 minutes, kasimodem a dit :

il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ?

Cela montre une certaine incompréhension/confusion dans le fonctionnement des réseaux.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Je sais expliquer comment fonctionne une certificat SSL mais pas comment Synology ouvre dynamiquement des ports sur son matériel parce que non, je ne suis pas allé lire leurs livres blancs de sécurité et que donc je ne m’avancerai pas sans savoir ce point précis. Par contre toi tu prétends que toutes les données transitent chez Synology, tu n’en démords pas mais à aucun moment tu n’apportes d’éléments techniques pour cette affirmation et tu campes sur cette position en m’expliquant que je ne sais rien.

Donc vu que ce n’est pas mon topic et que c’est donc du hors sujet, je laisse, après tout chacun croit ce qu’il veut.

Bonne soirée.

Modifié par kasimodem
Lien vers le commentaire
Partager sur d’autres sites

Ne me considérant pas comme spécialiste et désireux d'apprendre, mais faute de mieux que "tu ne sais rien" comme contre arguments, je suis allé fouiller chez Syno et j'ai eu ma réponse.

Dans Panneau de config / Quickconnect / Avancé si on décoche Activer le relais, c'est un tunnel direct entre le Syno et l'hote demandeur qui se monte, ce qui transite par le serveur Synology est donc juste la négociation du tunnel avec les clés SSL comme je disais, pas les données.

Si par contre on coche l'option relais, là oui, le tunnel passe par le serveur Synology le plus proche géographiquement, mais ça reste dans un tunnel donc chiffré, rien n'est envoyé en clair. Et cette option est un dernier recours, Quickconnect essaie d'abord dans l'ordre le lien réseau local, puis le dyndns, puis le tunnel, et enfin si rien ne fonctionne le relais.

 

Lien vers le commentaire
Partager sur d’autres sites

@kasimodem, @maxou56, @PiwiLAbruti

J'ai trouvé cette "White Paper" de Synology qui explique parfaitement le fonctionnement de Quickconnect avec des synoptiques très clairs des flux échangés.

Ce qui me gêne c'est dans le cas où le "Hole Puching" ne parvient pas à établir un tunnel virtuel entre le NAS et le client demandeur, un serveur relay de Synology est activé pour rediriger les flux de données dans un tunnel spécifique.

Quelle confiance accorder à ce serveur relais qui voit passer alors les données même si celles sont cryptées, c'est quand même (si j'ai bien compris) le serveur Synology initial qui délivre lors du processus de connexion, les clés de chiffrement nécessaires pour cette communication "tunelisée". Je n'ai pas vu/compris qu'il utilisait les nôtres (privée/publique) d'où mon embarras ?????

Si quelqu'un pouvait approfondir ce point en expliquant ce qu'il en est effectivement ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Le problème de QuickConnect est que l'utilisateur ne sait à aucun moment laquelle des 5 méthodes est utilisée pour joindre son NAS :

  1. Accès direct (dans le cas où les ports sont ouverts sur le routeur et que les règles de pare-feu du NAS autorisent les serveurs QuickConnect à le joindre)
  2. Hole punching (les ports aléatoires de chaque client utilisés pour joindre le service QuickConnect sont utilisés pour les faire communiquer en direct)
  3. UPnP (à proscrire)
  4. Relais
  5. Portail web

C'est plus un problème de confiance qu'un problème technique.

Le but d'un NAS étant d'avoir son propre hébergement privé, l'utilisation d'un service tiers susceptible de relayer les échanges va à l'encontre de ce principe. Après ce n'est qu'une question de point de vue.

Modifié par PiwiLAbruti
Moi pas Français bien écrire
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, kasimodem a dit :

Ne me considérant pas comme spécialiste et désireux d'apprendre, mais faute de mieux que "tu ne sais rien" comme contre arguments, je suis allé fouiller chez Syno et j'ai eu ma réponse.

Je n'est pas dit que "tu ne savait rien", si tu l'as compris comme ça désolé. ☹️

 

Il y a 18 heures, maxou56 a dit :

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

J'ai indiqué que Synology pouvait utilisé des serveurs relais si tous les ports étaient fermés (upnp aussi), et c'est toi qui répond impossible.

Et si j'activais QuickConnect je serais dans ce cas là.

Voila le schéma que j'aurais pu/dû trouvé hier soir (mais je ne suis pas sur que ça aurait changé l'avis tranché de @kasimodem)

2098113868_Capturedcran2020-08-1813_50_29.thumb.png.b5bdf118d07cc4aca580b21986755d1e.png

 

Il y a 17 heures, kasimodem a dit :

mais clairement non, aucun de tes fichiers ne passe par un serveur de Synology. Genre tu veux récupérer un ISO sur ton Syno de 4 Go, il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ? Heureusement que non ! Je maintiens que seul l’établissement du chiffrement de la connexion entre ton Syno et ton client passe par les serveurs de Synology.

Les réseaux ne fonctionnent pas comme ça ("par saut de puce"), les serveurs, switch, routeur, relais ne téléchargent pas intégralement les fichiers, les stockent temporairement, pour ensuite les transmettrent au suivant...

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.