Aller au contenu

Où parle-t-on de la configuration de base


Messages recommandés

Posté(e)

Hello Tous.

Je n'ai pourtant pas encore pris l'apéro ... mais je ne trouve plus où parler de la configuration de base du Synology.

Concrètement, mon DS218+ est passé d'une connexion SFR 3G (dont en IP privée) à une connexion Fibre (IPv4 et v6 publiques et fixes).

Du coup, je fais un contrôle des moyens d'accès, et je me rends compte que l'accès via le port 5000 fonctionne, alors qu'il ne fonctionne pas sur mon DS 718+.

Dans les deux cas, le portail de connexion ne renvoit pas le 5000 sur le 5001, et le Firewall a le même paramétrage.

Comment fait-on pour refuser toute connexion non https ?

merci !

Posté(e)

Merci.

Je n'y trouve toutefois pas mon bonheur...

Il me semble avoir lu qu'il ne faut pas, à cause d'effets de bord, cocher la case qui permet de rediriger le 5000 sur le 5001

D'ailleurs, elle n'est pas cochée sur le 718+, et pourtant le 5000 ne répond pas. 

Que ce soit sur le pare-feu du 218+ ou du 718+, je ne vois rien de particuliers ...

Y a surement un truc idiot qui m'échappe ...

Posté(e)
Il y a 3 heures, StéphanH a dit :

Comment fait-on pour refuser toute connexion non https ?

Avec le fichier .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Posté(e)

Merci @Jeff777

Y surement plus simple que cela
Je n'ai jamais fait cela avec mon 718+ ...

C'est fou quand même qu'il n'y ait pas une case à cocher de base pour empêcher tout accès sans "S" ...

Bon ... il se fait tard .. on verra demain ... 
Bonne nuit à tous ...

Posté(e)
Il y a 9 heures, StéphanH a dit :

C'est fou quand même qu'il n'y ait pas une case à cocher de base pour empêcher tout accès sans "S" ...

Pour forcer l'acces en HTTPS à l'interface d'administration (5000/5001) il y ceci aussi:

image.png.b189b068f771e68a9941a28f84f28fdb.png

Toute tentative de connexion sur le port 5000 est automatiquement reroutée sur le port SSL.

Sinon il ne faut pas oublier que laisser l'acces HTTP ouvert n'est potentiellement risqué que pour les éventueles utilisateurs externes qui l'utilisent pour se connecter. Ca ne rend pas le NAS plus vulnérable, qu'il écoute activement sur ce port n'est pas un risque "en soi".

Posté(e)
il y a 34 minutes, StéphanH a dit :

C’est vrai que le port soit ouvert ou pas, tant que je m’en sers pas, le risque est faible.

Si le port est ouvert sur l'extérieur, un hacker peut tenter d'en profiter. Il vaut mieux interdire, via le pare-feu, tous les ports non utilisés et si possible ne pas ouvrir ces ports sur le NAS.

Posté(e)

Sur le principe, plus il y a de portes, plus il y a de moyens de rentrer ... Ok

Mais, une seule porte suffit !

Je pense plutôt qu'en sécurisant toutes les portes (par exemple, avec du 2FA et/ou du SecureSignIn), c'est plus efficace. Mais je peux me tromper ...

Posté(e) (modifié)
il y a 3 minutes, CyberFr a dit :

Si le port est ouvert sur l'extérieur, un hacker peut tenter d'en profiter

Il ne pourra rien faire de plus via le port 5000 que via le port 5001. Juste que le traffic entre le "hacker" et le NAS ne sera pas chiffré, pas de protection supplémentaire pour autant.

Mais bien entendu, pas la peine de l'ouvrir à l'extérieur non plus, le port SSL suffit.

Modifié par CoolRaoul
Posté(e)

Personnellement je redirige les connexions http vers https avec le fichier .htaccess, j'utilise HSTS (préload), le proxy-inverse (avec contrôle d'accès en local et VPN pour les applis qui ne doivent pas être accessibles aux tiers, je m'y connecte de l'extérieur avec VPN serveur). Mais je suis preneur de tout conseil ou mise en garde 😉

Posté(e) (modifié)
il y a 8 minutes, bliz a dit :

justement, dans un connexion wifi, cela change tout. L'envoie des peudo et pass sont en clair. Ils peuvent être récupéré, surtout si le wifi est public

Sur le port en clair ça sera les pseudo et pass que le "hacker" utilise lors de ses essais pour tenter de se connecter, quelle importance?

Je suis d'accord que fermer le port non SSL est légitime, mais simplement parce que ça ne sert à rien de le laisser ouvert, pas pour raison de sécurité.

Modifié par CoolRaoul
Posté(e)

Oui, mais si le port 5000 est ouvert et que personne ne s’en sert, il n’y a rien à écouter …

Mais je suis d’accord que c’est un risque.


Rédigé avec Tapatalk

Et j’en reviens à ma toute première interrogation …
Outre cette question de sécurité, ou aurais je dû poster cette question ?
Je ne vois plus le forum sur la conf de DSM.


Rédigé avec Tapatalk

Posté(e)
il y a 24 minutes, CyberFr a dit :

c'est ceinture et bretelles

Et bien malgré ceci j'ai eu des tentatives d'intrusions et j'ai dû interdire la Chine dans le pare-feu pour les ports de MailPlus-Serveur 😅:

 

vertissement
Connexion
08/09/2021 14:31:20
postfix
User [helpdesk] from [2.56.59.40] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:26:10
postfix
User [farmacia] from [203.159.80.60] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:20:02
postfix
User [auditor] from [31.210.21.3] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:16:39
postfix
User [test] from [31.210.20.54] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 14:14:02
postfix
User [it] from [45.133.1.102] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:40:59
postfix
User [testuser] from [195.133.40.91] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:27:27
postfix
User [test123] from [37.0.11.215] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 13:20:09
postfix
User [demo] from [45.144.225.204] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 12:28:25
postfix
User [root] from [195.133.40.41] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 12:09:47
postfix
User [test1] from [45.133.1.58] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:44:57
postfix
User [guest] from [212.192.241.186] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:40:43
postfix
User [student] from [31.210.21.220] failed to log in via [MailPlus-Server] due to authorization failure.
Avertissement
Connexion
08/09/2021 11:37:19
postfix
User [test2] from [195.133.40.63] failed to log in via [MailPlus-Server] due to authorization failure.
Posté(e) (modifié)
il y a 46 minutes, bliz a dit :

si tu te coonecte en http, toute connexion n'étant pas crypté, récupérer les pseudo et pass pour un hackeur est un jeu d'enfant. Après, avec ça, pas compliquer de rentrer dans le nas et de mette le boxon.

Mais qui a suggéré de se connecter en http? On a simplement dit que laisser le port non chiffré ouvert était sans danger du moment qu'on ne l'utilise pas, rien de plus. (et donc, bien sur, que de ce fait c'est inutile de l'ouvrir à l'extérieur on est d'accord la dessus)

Cela dit, je répète, aucun danger à le laisser ouvert: vu qu'on ne l'utilise pas il n'y aura rien à capturer puisque aucun traffic. 

 

Modifié par CoolRaoul
Posté(e)
Il y a 1 heure, CyberFr a dit :

c'est ceinture et bretelles

Je ne crois pas non. C'est du simple bon sens.

Tout comme @Jeff777, je n'autorise pas les accès de l'extérieur aux équipements sensibles. Pour ceux-là, je passe par le serveur VPN : DSM, le routeur, la box, mes bornes Wifi, mes caméras, etc..

Pourquoi prendre des risques inutiles alors qu'il existe des modes de connexion plus sécurisés (L2TP, Open VPN, Wireguard ....)

Posté(e)
il y a 14 minutes, Mic13710 a dit :

je n'autorise pas les accès de l'extérieur aux équipements sensibles. Pour ceux-là, je passe par le serveur VPN : DSM, le routeur, la box, mes bornes Wifi, mes caméras, etc..

Ca doit poser problème pour le renouvellement auto de(s) certifcat(s) let's encrypt non?

image.png.f472478cbdfd6ddfbf135fc56d37818b.png

 

Posté(e)

@CoolRaoul

Bonjour,

il y a 8 minutes, CoolRaoul a dit :

Ca doit poser problème pour le renouvellement auto de(s) certifcat(s) let's encrypt non?

  • Oui pour ceux qui ont un certificat LE créé avec Synology DSM car c'est la méthode HTTP-01 qui est utilisée. Du coup, l'ouverture du port 80 est impérative au moment du renouvellement.
  • Non pour ceux qui ont un certificat LE créé par exemple avec Acme.sh (sous docker ou non) car là c'est la méthode DNS-01 qui est utilisée. Celle-ci ne nécessite l'ouverture d'aucun port pour le renouvellement. C'est le gros avantage en terme de sécurité.

Cordialement

oracle7😉

Posté(e)
il y a 17 minutes, oracle7 a dit :

c'est la méthode DNS-01 qui est utilisée

Oui c'est ce que j'utilise également 😉

 

Posté(e)
il y a 33 minutes, CoolRaoul a dit :

Ca doit poser problème pour le renouvellement auto de(s) certifcat(s) let's encrypt non?

Aucun problème. Renouvellement par le protocole DNS-01 par acme.sh, soit via Docker, soit via SSH. Aucun port à ouvrir.

Posté(e)
Je ne crois pas non. C'est du simple bon sens.
Tout comme [mention=5782]Jeff777[/mention], je n'autorise pas les accès de l'extérieur aux équipements sensibles. Pour ceux-là, je passe par le serveur VPN : DSM, le routeur, la box, mes bornes Wifi, mes caméras, etc..
Pourquoi prendre des risques inutiles alors qu'il existe des modes de connexion plus sécurisés (L2TP, Open VPN, Wireguard ....)

Je suis tout à fait d’accord, mais je ne l’ai pas fait …
Pourquoi ?
Mon iPhone, nativement, ne fait que du L2TP. Et ce n’est pas compatible IPv6 …
Et je dédie OpenVPN au trafic entre mes deux NAS.


(Rédigé avec Tapatalk)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.