Aller au contenu

[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7


.Shad.

Messages recommandés

Bravo pour ce tuto !!

En tant que débutant dans l'univers Synology, cela m'aide énormément.

J'ai donc commencé à le suivre et je me pose quelques questions de curiosité tout d'abord : 

Dans le Pare-feu, à quoi servent les 3 règles complémentaire à la règle sur le réseau 192.168 ? Celle-ci ne suffit pas pour un accès local ?

Au niveau des notifications, je n'ai pas tout à fait les même screenshot, par exemple je n'ai pas la possibilité d'utiliser le compte synology... Savez-vous pourquoi ? Je me demande aussi si l'activation du service push pour avoir directement les infos sur le smartphone est pertinent...

Enfin, avant de commencer la partie Accès externe, si je comprend bien, il vaut mieux utiliser la solution DDNS, c'est bien ça ?

Sachant que je souhaite un accès externe principalement pour pouvoir accéder à certains fichiers quand je suis pas chez moi, et surtout pouvoir sauvegarder les photos du téléphone de Madame régulièrement (qui prend énormément de photos !) et éviter d'avoir à effectuer la sauvegarde manuellement via un câble usb et PC...

Merci d'avance !

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Flamby55 a dit :

à quoi servent les 3 règles complémentaire à la règle sur le réseau 192.168 ? Celle-ci ne suffit pas pour un accès local ?

Ce sont les plages d'IP privées cad uniquement sur le LAN. Les 10.x.x.x sont généralement utilisées pour les liaisons VPN, les 172.16.x.x le sont pour des instances Docker.

Un peu de lecture : https://fr.wikipedia.org/wiki/Réseau_privé

Le tuto est généraliste. Vous pouvez laisser les plages proposées dans le tuto où les adapter à vos besoins.

il y a 14 minutes, Flamby55 a dit :

je n'ai pas la possibilité d'utiliser le compte synology... Savez-vous pourquoi ?

Peut-être parce que vous n'en avez pas encore ...

il y a 15 minutes, Flamby55 a dit :

il vaut mieux utiliser la solution DDNS, c'est bien ça ?

Oui. En ouvrant un compte Synology, vous aurez la possibilité de créer un ndd personnalisé xxxx.synology.me que vous pourrez utiliser pour joindre votre NAS.

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Je reviens vers vous pour l'accès distant suite à la sécurisation de mon NAS :

Tout d'abord j'ai eu une alerte sécurité, suite à l'activation du protocole SSH comme conseillé dans le tuto, et DSM m'indique que je devrais modifié le port SSH pour plus de sécurité... 

J'ai activé le DDNS, mais sans faire d'autres modifications tel qu'indiqué ensuite dans la partie Pare-feu accès à distance. Et en essayant depuis l'extérieur de me connecter à l'adresse que j'ai créé (monadresse.synology.me), je pensais obtenir une erreur de chargement (aucun renvoi de port sur ma box vers le NAS de configuré) mais la page qui s'est chargée est celle de la connexion à mon alarme ! Bref il y a quelque chose que j'ai pas compris, si quelqu'un pouvait m'éclaircir.  

Lien vers le commentaire
Partager sur d’autres sites

@Flamby55 Le fait de mettre en place un DDNS a simplement mis en évidence que ton alarme a probablement demandé la création d'une redirection de port à ta box via UPNP. Tu aurais autrefois tapé ton IP publique tu aurais eu problablement le même résultat.

Tu dois désactiver la possibilité d'UPNP sur ta box, et faire la redirection vers ton alarme si nécessaire, même si, si je comprends bien dans ton cas, tu souhaites tout simplement ne pas l'exposer.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad. merci pour ta réponse. J'ai par conséquent relu le tuto de Kramlech pour bien comprendre. En, fait, j'ai bien 2 redirection de port mon alarme afin de pouvoir la piloter à distance quand cela s'avère nécessaire, et surtout comprendre ce qui ce passe en cas d'intrusion. Ces redirections de port ont été définies manuellement au niveau de la box (pas en UPnP). J'imagine donc que n'ayant pas préciser de port en saisissant mon ddns, la box à réorienter vers l'un des port ouvert, en l'occurrence mon alarme.
Je n'avais pas compris que le DDNS ainsi créé avec le NAS permet d'accéder à l'ensemble des éléments ouvert de mon réseau. Il faut donc que je précise à chaque fois en plus de l'adresse DDNS le port du service que je veux accéder, et que celui-ci soit rediriger au niveau de la box, j'ai tout bon ?

Lien vers le commentaire
Partager sur d’autres sites

Ton alarme doit être sur le port 80, c'est le port implicite en HTTP, comme 443 l'est en HTTPS.
Oui tu as tout compris, le meilleur moyen de s'affranchir des multiples redirections de port c'est de mettre en place un reverse proxy :

 

Lien vers le commentaire
Partager sur d’autres sites

Me revoilà ! Alors j'ai mis en place le reverse Proxy et je me suis rendu compte d'un problème :

En local, quand je me connecte à DSM, le https dans mon navigateur est barré, et il m'indique connexion non sécurisé
image.png.568e74c17291d42772a52ff3e53e2e9c.png

Je me suis rendu compte après avoir vu en testant la connexion à distance et donc le reverse proxy via l'application mobile Drive, car j'ai eu ici aussi un avertissement comme quoi la connexion n'était pas sécurisée...

J'ai donc quelque chose de mal paramétré, mais j'ai beau relire le tuto, je ne vois pas. Si quelqu'un à un avis...

Lien vers le commentaire
Partager sur d’autres sites

Ok, merci, je ne savais pas ça (comme beaucoup d'autres choses que j'apprend par ce forum d'ailleurs et je vous en remercie !) 
Du coup, l'avertissement que j'ai sur l'appli mobile est normal ou pas (quand je suis sur un accès externe via drive.ndd.me:443 qui fait fonctionner mon reverse proxy) ?
IMG_1697.thumb.PNG.b3e6bbf10d8d279f3a92c26ab023201a.PNG

C'est que je voudrais être sûr d'être dans les clous niveau sécurité 😇

 

Modifié par Flamby55
Masquer NDD qui apparaissait !
Lien vers le commentaire
Partager sur d’autres sites

Là non. Vous devez avoir un certificat valide sur votre ndd dans la section des certificats, et il faut aussi que ce certificat couvre la ou les applications dans les paramètres des certificats. Tout ceci est expliqué dans le tuto.

Lien vers le commentaire
Partager sur d’autres sites

Ok, encore merci @Mic13710.

J'ai vérifié, mon certificat est bien valide, je l'ai créé il y a quelques jours seulement et modifié aujourd'hui pour le reverse proxy afin d'y ajouter le "www.ndd.synology.me"

Seulement je viens de capter que j'ai supprimé la partie wildcard *.ndd.synology.me

Mais quand je veux modifier à nouveau le certificat afin de remettre cette Wildcard via Ajouter/Remplacer un certificat existant/Se procurer un certificat depuis Let's encrypt... quand je valide, j'obtient le message d'erreur suivant

image.png.f200a39c48d6465ecd6911b845e8275c.png

Pourtant j'ai ressaisi les même informations ndd/mail et *.ndd.synology.me;www.ndd.synology.me dans le champs "autre nom de l'objet".

J'ai aussi essayé avec une adresse mail différent mais j'ai le même problème. Sachant que je ne peut pas supprimer ce certificat, est-ce que ma seule solution est tout recommencer en créant un nouveau NDD et un nouveau certificat ?

Désolé pour mes questions, qui dérivent un peu du sujet...

Lien vers le commentaire
Partager sur d’autres sites

@Flamby55 si vous avez fait plusieurs demandes de certificat, ça peut être la cause du refus de renouvellement. En effet, Let's Encrypt limite le nombre de demandes de duplicata (cad sur le même ndd racine) à 5 par semaine.

https://letsencrypt.org/fr/docs/duplicate-certificate-limit/

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 ok le message n'indique pas une erreur de limite de demande de certificat atteint. Je vais donc patienter un peu, en attendant j'ai configuré l'accès à distance via le protocole https comme décris dans ce tuto...

Si le problème persiste, j'ouvrirai un sujet dédié. Merci en tout cas d'avoir pris le temps de répondre.

A propos de la sécurité, j'ai une alerte sur le port SSH comme quoi je n'ai pas modifié la valeur par défaut. Est-il nécessaire de le faire ?

Lien vers le commentaire
Partager sur d’autres sites

Pour les alertes de sécurité sur les ports par défaut, vous pouvez sans problème les désactiver. Ce n'est qu'un conseil, pas une obligation. Ça n'a strictement aucune importance du point de vue sécurité, surtout si vous passez par le reverse proxy. Il faut simplement s'assurer que ces ports ne soient pas ouverts vers l'extérieur dans le routeur (sauf bien entendu les ports propriétaires)

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Le 31/10/2023 à 2:52 PM, PiwiLAbruti a dit :

Aujourd'hui, les attaques par brute-force utilisent des botnets pour éviter ce type de blocage (beaucoup de tentatives sur un délai court). On utilise un polling très lent du type une requête tous les 24-48h par zombie. Ainsi, avec un nombre conséquent de zombies dans un botnet, on peut mener des attaques sur une même cible sans jamais être bloqué. D'où les paramètres donnés dans le tutoriel.

J'ai eu le cas cet été avec des tentatives d'authentification SMTP sur tcp/25. J'avais réduit le nombre de tentatives à 1 pour accélérer les choses, il a fallu un peu moins de 48h pour bloquer les 862 zombies du botnet.

Pour la liste blanche, la différence entre une IP ou un nom de domaine est la résolution DNS du nom de domaine. Si l'adresse IP est fixe, autant ne mettre que celle-ci.

Bonjour,

Je ne suis pas un expert en sécurité, mais concernant le blocage auto si j'ai bien compris en cas de 3 tentatives de connexion avec un mot de passé erroné dans un délai d'une semaine (10080 minutes) l'adresse IP sera bloqué pendant 31 Jours, c'est bien cela ?
Je ne comprend pas trop ce paramètre avec "beaucoup de tentatives sur un délai court"

Merci

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à tous,

J'ai 2 interrogations sur la partie certificat :

Tout d'abord et avant de connaitre ce forum, j'avais créer un accès quickconnect. Et depuis le certificat apparait toujours dans DSM. Je l'ai bien supprimé de mon compte synology mais du coup pour que ça soit plus propre, est-il possible de le supprimer de DSM ?

Si oui c'est suivant quelle astuce ? car quand je le sélectionne et que je clique sur "Actions", le choix Supprimé est grisé.

Deuxièmement, je croyais que le certificat créé via ce tuto serait renouveler au bout de 3 mois mais qu'il fallait pour cela ouvrir le port non sécurisé... Si c'est bien ça, le mien a été renouvelé sans manipulation de ma part. Cela veut-il dire que j'ai une faille quelque part ? Si oui, est-ce que quelqu'un peut m'aider car je commence à m'y perdre... 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, Flamby55 a dit :

Si oui c'est suivant quelle astuce ? car quand je le sélectionne et que je clique sur "Actions", le choix Supprimé est grisé.

Assure-toi que le certificat n'est plus utilisé par aucun service.
Dans Panneau de configuration -> Sécurité -> Certificats -> Paramètres, le certificat Quickconnect ne doit plus apparaître.
Même si au final tu n'arrives pas à le supprimer ce n'est pas gênant.

Il y a 12 heures, Flamby55 a dit :

Deuxièmement, je croyais que le certificat créé via ce tuto serait renouveler au bout de 3 mois mais qu'il fallait pour cela ouvrir le port non sécurisé... Si c'est bien ça, le mien a été renouvelé sans manipulation de ma part.

Est-ce que c'est le certificat du nom de domaine Synology dont tu parles ? Si oui, il n'y a rien à ouvrir, le renouvellement se fait au niveau de la zone DNS chez Synology, tout est automatisé.
Si c'est un nom de domaine personnel, il faut effectivement ouvrir les ports 80 et 443 vers l'extérieur, au moins au moment du renouvellement.
Ou alors passer par Docker et une image comme acme.sh ou certbot, mais dans ce cas-là ça ne passe plus par DSM mais via la console.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

 Bonjour 

J essaye de sécuriser mon nas,

J ai configuré un reverse proxy qui fonctionne bien, pour mes serveurs domotiques jeedom, ha,...

mais quand j active la dernière règle de mon pare-feu,  ça ne fonctionne pas, c est normal,  car certains services sont hors de la France( smarthings sur ha, ...),  mais où?

Comment me protéger correctement ?

 

Screenshot_20241001_065532_Chrome.jpg

Modifié par monfiston
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, monfiston a dit :

Comment me protéger correctement ?

Dans un premier temps applique déjà ce tuto.

Les deux première lignes sont prioritaires par rapport aux suivantes. ce qui veut dire que l'accès à toutes les applications listées dans ces lignes est libre depuis n'importe où. Dans ce cas je ne vois pas bien l'intérêt de la ligne 4, qui de plus, crée des pbs avec Jeedom.

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.