Aller au contenu

Sécuriser ses accès externes


Messages recommandés

Bonjour à tous,

Je suis en train de paramétrer mon NAS, et je souhaite pouvoir accéder depuis l'extérieur à certaines applications (DS Audio, DS Video, DS Note, etc). Cela fonctionne, mais j'ai du mal à comprendre pourquoi 😁.

Je me suis basé sur le tutoriel de @Fenrir

Voici ma configuration :

  • QuickConnect est désactivé
  • Dans les options 'Accès externe' :
    • J'ai un DDNS en XXXX.synology.me
    • Routeur désactivé
    • Avancé : j'ai comme nom d'hôte mon XXXX.synology.me et les ports http et https sont vides

image.png

 

  • Au niveau du pare-feu, j'ai les règles suivantes :

image.png.725804cdd7901c1a734084dc893a07d6.png

  • J'utilise le portail des applications pour accéder à mes appli , avec des numéro de port personnalisés :

image.png.be69d757eff9ddb154cf878190e13b4d.png

  • J'utilise également un reverse proxy :

image.png.e950c64189d47caa295dcdce9a632949.png

  • Au niveau de mon routeur (SFR RED) :
    • J'ai un réservation d'adresse locale pour mon NAS via son adresse MAC :
    • image.png.76cd8a906ae3f8a10c919592a5079a57.png
    • Mon pare-feu est réglé sur le mode 'élevé' :
    • image.png.bd786e5a30a16ecf3d45f544fd584ddc.png
  • Je n'ai aucune règle dans les redirections de port de mon routeur.

J'arrive à accéder à DS Audio, DS Photo, etc. depuis mon réseau local en saisissant le nom de domaine suivant : dsaudio.XXXX.synology.me:443. J'arrive également à y accéder depuis l'extérieur avec la même adresse. Or, je n'ai créé aucune règle dans mon routeur pour rediriger le port 443 vers l'adresse IP de mon NAS, je n'ai pas non plus de règle dans le pare-feu du NAS ou dans celui du routeur qui autorise les ports que j'ai saisi dans le portail des applications (7083 et 7043 pour DS Audio par exemple).

Au final, j'arrive au résultat escompté (accéder à ces applis depuis l'extérieur), mais je ne comprends pas comment c'est possible. Du coup, je crains que mon NAS ne soit ouvert aux quatre vents. Est-ce que quelqu'un pourrait m'aiguiller en m'indiquant où j'ai pu faire erreur ?

En vous remerciant par avance !

Ragnarou

Modifié par Ragnarou
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Comme tu as mis en place le reverse proxy les accès aux applications se font via le port 443 de la box puis du nas et sont dispatchées vers  l'application demandée sur son port http. Les ports https que tu as mis dans applications ne sont donc pas utilisés.

Es tu vraiment sûr que tu n'as pas de routage du 443 de la box vers le 443 du nas ?

N'aurais tu pas mis ton nas dans la dmz de la box ?

Lien vers le commentaire
Partager sur d’autres sites

S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités :

S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose).

S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, Thierry94 a dit :

Bonjour,

Comme tu as mis en place le reverse proxy les accès aux applications se font via le port 443 de la box puis du nas et sont dispatchées vers  l'application demandée sur son port http. Les ports https que tu as mis dans applications ne sont donc pas utilisés.

 

Merci pour ton retour @Thierry94.

Je comprends mieux ce point-là. Donc il est inutile de saisir des ports https dans le portail des applications ? Ou est-il plus sécurisé de rediriger les accès aux applications sur leur port https ?

il y a 2 minutes, Thierry94 a dit :

Es tu vraiment sûr que tu n'as pas de routage du 443 de la box vers le 443 du nas ?

N'aurais tu pas mis ton nas dans la dmz de la box ?

Je n'ai pas redirigé le port 443 sur ma box, la seule redirection que j'ai est sur un autre port :

image.thumb.png.621e44ca7710cba2bbcf9ca9ea407325.png

De plus, mon NAS n'est pas non plus dans la DMZ de la box :

image.thumb.png.859ad73a4724f79330203cfc2ba5fc67.png

il y a 2 minutes, PiwiLAbruti a dit :

S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités :

S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose).

S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.

 

En complément de la réponse ci-dessus, j'avais déjà bien désactivité l'UPnP :

image.png.c9099c5c15619ada1b6edfa9a49e63f2.png

Lien vers le commentaire
Partager sur d’autres sites

il y a 31 minutes, Thierry94 a dit :

Aucun intérêt à utiliser dans le reverse proxy les ports https des applications plutot que les ports http.

C'est noté !

Ceci n'explique toujours pas pourquoi j'arrive à accéder à mes applications sur le NAS alors que je n'ai pas fait de redirection du port 443...

Lien vers le commentaire
Partager sur d’autres sites

La configuration du routeur est bien vide sur DSM :

image.thumb.png.5a5133ef4061648b5a62f942259fc13e.png

Selon la définition donnée par le routeur :

"Le déclenchement de port est une fonctionnalité avancée qui vous permet d'activer le transfert de port dynamique pour certaines applications. La passerelle surveille le trafic sortant sur les ports spécifiés par l'intervalle de déclenchement (Trigger Range). Quand elle détecte de l'activité sur ces ports, elle se « rappelle » l'adresse IP de l'ordinateur qui a envoyé les données et route le trafic sortant sur des ports faisant partie de l'intervalle cible vers cette adresse IP sur le réseau local.

Pour chaque déclenchement de port à activer il faut donc saisir le port de début et le port du fin de l'intervalle de déclenchements. Il s'agit des ports qui seront surveillés pour le déclenchement de la règle de transfert du port entrant. Ensuite saisir le port de début et le port du fin de l'intervalle cible. Il s'agit des ports entrants qui s'ouvriront lors du déclenchement. Puis sélectionnez le protocole des ports : TCP, UDP ou Les deux et cochez la case Activer pour activer le déclenchement de port."

En l’occurrence, je n'ai pas de règle de déclenchement de port de définie.

Lien vers le commentaire
Partager sur d’autres sites

Après avoir testé plusieurs choses sans comprendre pourquoi ça fonctionnait malgré l'absence de redirection du port 443 vers l'adresse IP de mon NAS, je me suis décidé à faire un RAZ de ma box.

Et maintenant, le comportement est celui attendu :

  • Sans redirection de port 443 vers le NAS paramétré dans le routeur, je ne peux pas accéder à mes applications via le reverse proxy ;
  • Si maintenant je mets cette redirection de port, alors j'arrive bien à accéder à mes applications depuis une adresse du type dsaudio.XXXX.synology.me:443

J'avoue que là, c'est un mystère de l'informatique (ou une preuve de plus de la fiabilité de SFR 😁). Mais mon problème est réglé !

Par contre, lorsque je créé un lien de partage via DS file, qui est du type https://XXXX.synology.me/sharing/aze12rt34yu, je n'arrive pas à y accéder. Cela ne passe pas par le port 443 ? Ou bien j'ai raté quelque chose ?

Lien vers le commentaire
Partager sur d’autres sites

@Ragnarou

il y a 52 minutes, Ragnarou a dit :

Si maintenant je mets cette redirection de port, alors j'arrive bien à accéder à mes applications depuis une adresse du type dsaudio.XXXX.synology.me:443

Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien !

J'en ai fait l'amère expérience il y a peu de temps.

il y a 54 minutes, Ragnarou a dit :

Par contre, lorsque je créé un lien de partage via DS file, qui est du type https://XXXX.synology.me/sharing/aze12rt34yu, je n'arrive pas à y accéder.

En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela.

De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, oracle7 a dit :

@Ragnarou

Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien !

J'en ai fait l'amère expérience il y a peu de temps.

En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela.

De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port.

Cordialement

oracle7😉

@oracle7 Merci pour ton retour.

Je n'ai pourtant pas changé les ports par défaut de DSM :

image.thumb.png.6111b66dce10db6344ba9c9c9438979a.png

Je ne dois quand même pas autoriser dans le pare-feu l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet ? C'est déconseillé dans le tuto de @Fenrir

Pour info, quand je tente d'accéder au lien DSFile, mon navigateur semble tourner dans le vide, que je sois sur mon réseau ou à l'extérieur.

Lien vers le commentaire
Partager sur d’autres sites

@Ragnarou

Bonjour,

il y a 6 minutes, Ragnarou a dit :

Je ne dois quand même pas autoriser dans le pare-feu l'accès en direct à DSM

Dans le pare-feu de la Box : sûrement pas mais dans celui du NAS : OUI. Dans la Box les ports 80 et 443 doivent simplement être transférés (NAT/PAT) vers le NAS. Rien de plus.

Pour DSFile depuis l'extérieur, il faut impérativement préciser le port 443 dans l'URL de connexion. C'est aussi valable pour toutes les appli DSx.

En local c'est étonnant, vérifie ton reverse proxy à tout hazare ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

J'arrive bien à accéder à dsfile, en local ou depuis l'extérieur, via l'adresse dsfile.nasbenisa.synology.me:443, donc le reverse proxy fait bien son travail à ce niveau-là.

Ce que je n'arrive pas à faire, c'est accéder au lien de partage généré par dsfile, de la forme https://XXXXX.synology.me/sharing/az123rtyu , même en rajoutant le port 443 dans l'adresse (https://XXXXX.synology.me:443/sharing/az123rtyu).

J'ai donc la bonne config dans ma box. Je n'avais par contre pas autorisé les ports 5000 et 5001 dans le pare-feu du NAS, voilà chose faite :

image.png.76c221d855a94fbd58a33ffec4355e4a.png

Maintenant, voici ce qui se passe lorsque je veux accéder au lien de partage généré par dsfile :

  • En local : Je suis redirigé vers la page de connexion du DSM (https://XXXX.synology.me:5001)
  • Depuis l'extérieur : rien, la page semble charger dans le vide

Je suis désolé d'être un boulet, mes lacunes en réseau sont vraiment gênantes 😓

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7

J'ai fait le test ; malheureusement, ça ne fonctionnait toujours pas.

Cependant, j'ai eu une idée qui s'est avérée fructueuse (merci les transports en commun 😆) : les liens partagés générés par DS File sont de la forme : https://XXXX.synology.me:5001/sharing/a1Z2E3R4T5

Comme j'ai un reverse proxy et que je n'autorise pas l'accès à DSM depuis l'extérieur, j'ai tenté d'accéder au fichier partagé en changeant l'url pour qu'elle corresponde à celle que j'ai définie pour DS File dans mon reverse proxy : : https://dsfile.XXXX.synology.me:443/sharing/a1Z2E3R4T5

Et ça a marché ! J'arrive bien à accéder au fichier partagé, en local comme à l'extérieur. Et ainsi, je n'ai pas besoin d'ouvrir le port 80, 5000 ou 5001 :

image.png.23c6aeb8ed1c458dcd549d07defdc01e.png

Ça semble être un bon compromis qui permet de ne pas ouvrir trop de ports , non ?

Lien vers le commentaire
Partager sur d’autres sites

@Ragnarou

Effectivement, à la base en utilisant DSFile on est pas censé passer par un reverse proxy donc avec un reverse proxy, modifier l'URL du lien ne me parait pas choquant en soit. Cela dit,garder les ports 5000 et 5001 ouverts dans le pare-feu du NAS me parait tout de même nécessaire (sous réserve d'une contre indication que personnellement je ne connais pas).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.