Aller au contenu

[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

.Shad.

Par .Shad.
dans Tutoriels

 Partager

Messages recommandés

monfiston Contributor

monfiston

Posté(e)
Posté(e) (modifié)

bonjour

j'ai mis à jour mon nas par rapport à ton tuto, merci

j'ai un reverse proxy qui fonctionne

Avec ces paramètres mes serveurs domotique (jeedom, HA) qui sont dans virtual manager, fonctionneront bien et auront bien toutes les connexions qu'ils leurs faut?

, et que je ne suis pas bloqué comme mon message hier?

 

 

image.png

Modifié par monfiston
0
  • Réponses 144
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

.Shad.
.Shad.

Pour qui ? Depuis plusieurs années, ce tutoriel rédigé par @Fenrir est LA référence en matière de sécurisation des accès à un NAS. C'est de loin le tutoriel le plus lu du forum, et c'est une bonn

.Shad.
.Shad.

@CyberFr Je vais essayer de tourner les explications de mes collègues différemment. C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque

Mic13710
Mic13710

@firlin, @.Shad., @PiwiLAbruti J'ai déplacé la question de firlin sur le ping dans un autre sujet car il n'avait pas de rapport avec la sécurisation des NAS  

Images postées

CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
Le 26/08/2023 à 10:13 AM, .Shad. a dit :

Il est conseillé de laisser les notifications du pare-feu tout en les refusant quand elles apparaitront à l'installation de paquets, afin d'être informé des ports utilisés par les dits paquets.

Bonjour @monfiston,

Compte tenu de ce qui est dit dans le tuto, il est préférable de cibler les ports dont tu as besoin plutôt que de les laisser ouverts en fonction des applications installées. Par exemple File Station utilise par défaut les ports 5000 en HTTP et 5001 en HTTPS.

Il y a 13 heures, monfiston a dit :

j'ai un reverse proxy qui fonctionne

Si tu utilises un reverse-proxy il est inutile d'ouvrir des ports dans le pare-feu puisque tout le trafic passe par le port 443.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
il y a une heure, CyberFr a dit :

Par exemple File Station utilise par défaut les ports 5000 en HTTP et 5001 en HTTPS.

Non, 7000 et 7001. Les 5000 c'est DSM 😉

il y a une heure, CyberFr a dit :

Si tu utilises un reverse-proxy il est inutile d'ouvrir des ports dans le pare-feu puisque tout le trafic passe par le port 443.

Ah bon ? Drive (6690), les ports VPN, Hyperbackup et j'en passe aussi ?

De plus, le reverse proxy ne fait que diriger vers les services, mais si le service est bloqué dans le parefeu, ça ne passera pas. Donc, oui, il faut absolument que le parefeu autorise le trafic. Ce qui en réalité détourne cette obligation pour le reverse proxy ce sont les règles sur les IP privées qui autorisent tous les ports pour tous les services.

0
  • 2 mois après...
Skarabaus Apprentice

Skarabaus

Posté(e)
Posté(e)

Bonjour, 

Je viens vers vous car je rencontre des difficultés de connexions en local.
Ne voulant pas ouvrir tous les ports relatifs aux applications (et ne voulant pas m'aventurer dans les reverses/DNS pour le moment), seul OpenVPN 1194 est ouvert sur le NAS et ma box.

Mon problème est que pour me connecter depuis mon poste local à :

- DSM & File Station 

  • en me connectant avec l'adresse IP 192.168.x.x:HTTPS, l'accès DSM est possible sans contraintes.
  • en me connectant avec l'adresse xxx.synology.me/porthttps, je ne peux pas m'y connecter.

- File Station :

  • en me connectant avec l'adresse IP 192.168.x.x:HTTPS, j'ai une erreur 404 Bad Request ou bien par moment le rappel de la connexion non privée.
  • en me connectant avec l'adresse xxx.synology.me/HTTPS, je ne peux pas m'y connecter.

 

Depuis l'extérieur :

  • sans passer par OpenVPN, et en me connectant uniquement via la 4G, aucune connexion possible depuis le navigateur vers DSM ou les applis.
  • en me connectant avec OpenVPN,via la 4G, ni l'IP ni le DNS ne sont utilisables pour File Station/Photos/Drive, seuls 10.8.x.x fonctionne (avec alerte de certificat alors que mis en place grâce au tutoriel).

 

Je n'arrive vraiment pas à voir là j'ai pu faire une erreur et comprendre là où je trime.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Avez-vous lu ma réponse dans un autre sujet ?

Pour les connexions en HTTPS avec une IP, on ne cesse de le répéter, c'est impossible sans mettre une exception. Tout simplement parce qu'il faut un certificat et qu'un certificat ne s'applique QUE pour des noms de domaines.

Il y a 2 heures, Skarabaus a dit :

Ne voulant pas ouvrir tous les ports relatifs aux applications (et ne voulant pas m'aventurer dans les reverses/DNS pour le moment)

C'est soit l'un soit l'autre. Si vous ne voulez pas ouvrir les ports des applications, il faut passer par le reverse proxy ou le portail de connexion qui permet maintenant de se connecter aux applications avec un ndd personnalisé.

0
Skarabaus Apprentice

Skarabaus

Posté(e)
Posté(e)

Merci @Mic13710

Desolé je ne l’avais pas encore lu à ce moment là

 

il y a une heure, Mic13710 a dit :

Pour les connexions en HTTPS avec une IP, on ne cesse de le répéter, c'est impossible sans mettre une exception. Tout simplement parce qu'il faut un certificat et qu'un certificat ne s'applique QUE pour des noms de domaines.

Vous avez répondu à ma question => certificat uniquement sur des noms de domaines. Donc que l’on soit en https sur 192.x.x.x ou 10.8.x.1, on aura toujours cette alerte de certificat (vu que 10.8 redirige vers du 192.)

 

il y a 59 minutes, Mic13710 a dit :

C'est soit l'un soit l'autre. Si vous ne voulez pas ouvrir les ports des applications, il faut passer par le reverse proxy ou le portail de connexion qui permet maintenant de se connecter aux applications avec un ndd personnalisé.

Ok donc devoir potentiellement ouvrir 443,5001 et tutti qu’anti selon les applications. Pour le portail des applications en effet je vais aller regarder ça. Sinon ce sera le reverse proxy. Au pire revente.

0
  • 2 mois après...
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e)

Bonjour

Un grand merci pour ce tuto, que je viens de lire en même temps que je reprenais les paramétrages initiaux qui avaient été faits par le vendeur venu m'installer l'engin.
Désolé si je n'emploie pas la bonne terminologie et si ca parait brouillon mais il est fort possible que je fasse des raccourcis et que je dise des inepties.

Je suis sur un DS220J avec DSM 7.2.2-72806 Update 3 en local et je fais une sauvegarde sur un DS124 distant acquis tout récemment. Je ne mentionne ci dessous que les parametrages concernant le DS220J.

J'ai supprimé le QuickConnect et j'avais deja un nom DDNS , donc pour me connecter j'utilise mon_nas.synology.me, ce qui me donne accès à mon interface DSM,  après une 2FA en local (LAN) ; Bons nombres de recommendations faites dans ce post étaient déjà appliquées....Ouf !!!

L'une des differences est que j'ai désactivé l'IPv6. J'ai lu sur un forum que ca pouvait créer des soucis et en fait ca me déconnectait mon server dans le finder toutes les nuits. Donc je l'ai désactivé et plus de déconnexion.

L'autre , c'est la partie QRCode et clé d'accès du certificats : impossible de le retrouver ;  et aussi ajuster les valeurs de tentatives de connexions et blocages pour les accès à distance.

Enfin, j'avais l'installation des mises à jour importantes sur automatiquement...Je l'ai laissé comme ca , n'ayant jamais eu de souci.

En revanche, le pare-feu ce n'était pas ça ( et je me demande pourquoi ? ) 
J'ai ajouté dans mon pare feu ce qui a été indiqué dans le tuto pour la partie LAN en ajoutant 192.168.0.0 / 255.255.0.0 et en l'activant, Donc pour un accès sur le réseau local, je suis bon, semble-t-il.
J'ai aussi pigé que je pouvais encore restreindre cette plage ; On verra plus tard.

En lisant les messages de ce post, j'ai compris que le 10.0.0.0/255.0.0.0 est généralement utilisé pour les liaisons VPN. donc pas de VPN pour moi donc pas de règles.

  • Correct ?


J'ai aussi lu que le 172.X.X.X., c'est généralement pour les instances Docker...J'ai bien vu un tuto sur Docker mais je n'ai pas encore eu le temps de le lire. Néanmoins, j'ai installé récemment un container openspeedtest via dockerhub. (https://hub.docker.com/r/openspeedtest/latest)

  • Dois-je donc ajouter la règle pour 172.16.0.0/255.240.0.0 ?


Les 2 autres règles de l'interface LAN (ci-dessous) étaient celles que j'avais avant et je les ai désactivées, m'en tenant pour le moment à un accès purement local.
Capturedecran2025-02-24a17_18_27.png.3ea970b53624bf81ae0f3c5719fea816.png

Je ne comprends pas pourquoi les règles présentent dans l'interface LAN (même celles désactivées), ne sont pas présentes quand je sélectionne comme ci-dessous toutes les interfaces. C'est normal ?

J'avais aussi ces règles et je les ai gardées et toutes désactivées.
Capturedecran2025-02-24a17_15_14.png.ba7f7cf3e1448f8ae26afead53331c8c.png

Enfin, pour un accès distant, donc dans mon cas via ma DDNS, je n'ai aucune règle à mettre ? 
Si oui c'a veut dire que mon seui rempart c'est le nom du DDNS que je suis le seul à connaitre, les login, passwords et 2FA. c'est bien ça ?


Merci

0
StéphanH Proficient

StéphanH

Posté(e)
Posté(e)

Bonjour,

Une question par rapport à cette phrase du tutoriel concernant les certificats Let's Encrypt 

  • L'adresse mail sert à Let's Encrypt pour vous notifier de l'expiration prochaine de votre certificat

Nous recevons en ce moment des mails de Let's Encrypt indiquant qu'ils n'enverrons désormais plus de mail d'expiration. Ce champs est donc désormais inutile bien qu'obligatoire ?
Sommes nous bien d'accord que le renouvellement automatique n'est pas remis en cause ?

0
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e)
Le 24/02/2025 à 6:40 PM, Lacouelle a dit :

Bonjour

Un grand merci pour ce tuto, que je viens de lire en même temps que je reprenais les paramétrages initiaux qui avaient été faits par le vendeur venu m'installer l'engin.
Désolé si je n'emploie pas la bonne terminologie et si ca parait brouillon mais il est fort possible que je fasse des raccourcis et que je dise des inepties.

Je suis sur un DS220J avec DSM 7.2.2-72806 Update 3 en local et je fais une sauvegarde sur un DS124 distant acquis tout récemment. Je ne mentionne ci dessous que les parametrages concernant le DS220J.

J'ai supprimé le QuickConnect et j'avais deja un nom DDNS , donc pour me connecter j'utilise mon_nas.synology.me, ce qui me donne accès à mon interface DSM,  après une 2FA en local (LAN) ; Bons nombres de recommendations faites dans ce post étaient déjà appliquées....Ouf !!!

L'une des differences est que j'ai désactivé l'IPv6. J'ai lu sur un forum que ca pouvait créer des soucis et en fait ca me déconnectait mon server dans le finder toutes les nuits. Donc je l'ai désactivé et plus de déconnexion.

L'autre , c'est la partie QRCode et clé d'accès du certificats : impossible de le retrouver ;  et aussi ajuster les valeurs de tentatives de connexions et blocages pour les accès à distance.

Enfin, j'avais l'installation des mises à jour importantes sur automatiquement...Je l'ai laissé comme ca , n'ayant jamais eu de souci.

En revanche, le pare-feu ce n'était pas ça ( et je me demande pourquoi ? ) 
J'ai ajouté dans mon pare feu ce qui a été indiqué dans le tuto pour la partie LAN en ajoutant 192.168.0.0 / 255.255.0.0 et en l'activant, Donc pour un accès sur le réseau local, je suis bon, semble-t-il.
J'ai aussi pigé que je pouvais encore restreindre cette plage ; On verra plus tard.

En lisant les messages de ce post, j'ai compris que le 10.0.0.0/255.0.0.0 est généralement utilisé pour les liaisons VPN. donc pas de VPN pour moi donc pas de règles.

  • Correct ?


J'ai aussi lu que le 172.X.X.X., c'est généralement pour les instances Docker...J'ai bien vu un tuto sur Docker mais je n'ai pas encore eu le temps de le lire. Néanmoins, j'ai installé récemment un container openspeedtest via dockerhub. (https://hub.docker.com/r/openspeedtest/latest)

  • Dois-je donc ajouter la règle pour 172.16.0.0/255.240.0.0 ?


Les 2 autres règles de l'interface LAN (ci-dessous) étaient celles que j'avais avant et je les ai désactivées, m'en tenant pour le moment à un accès purement local.
Capturedecran2025-02-24a17_18_27.png.3ea970b53624bf81ae0f3c5719fea816.png

Je ne comprends pas pourquoi les règles présentent dans l'interface LAN (même celles désactivées), ne sont pas présentes quand je sélectionne comme ci-dessous toutes les interfaces. C'est normal ?

J'avais aussi ces règles et je les ai gardées et toutes désactivées.
Capturedecran2025-02-24a17_15_14.png.ba7f7cf3e1448f8ae26afead53331c8c.png

Enfin, pour un accès distant, donc dans mon cas via ma DDNS, je n'ai aucune règle à mettre ? 
Si oui c'a veut dire que mon seui rempart c'est le nom du DDNS que je suis le seul à connaitre, les login, passwords et 2FA. c'est bien ça ?


Merci

si l'un des experts peut regarder un coup d'oeil à mon message ci dessus 😉
merci

0
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e)
Il y a 11 heures, PiwiLAbruti a dit :

@Lacouelle Les règles de pare-feu, c'est n'importe quoi.

Reprends les règles indiquées dans le tutoriel.

Hello
celles qui sont cochées/activees  ?

celles décochées, je suis d accord !

elles sont inactives 

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)
Le 24/02/2025 à 6:40 PM, Lacouelle a dit :

L'autre , c'est la partie QRCode et clé d'accès du certificats : impossible de le retrouver ;  et aussi ajuster les valeurs de tentatives de connexions et blocages pour les accès à distance.

Tu as bien un accès admin à DSM ?
Qu'entends-tu par clé d'accès du certificat ?

Le 24/02/2025 à 6:40 PM, Lacouelle a dit :

J'ai aussi pigé que je pouvais encore restreindre cette plage ; On verra plus tard.

Oui les règles proposées permettent d'assurer l'accès local à n'importe quelle plage privée fournie par ton routeur ou ta box. Quand tu as compris comment ça fonctionne libre à toi de restreindre à ta configuration propre.

Le 24/02/2025 à 6:40 PM, Lacouelle a dit :

En lisant les messages de ce post, j'ai compris que le 10.0.0.0/255.0.0.0 est généralement utilisé pour les liaisons VPN. donc pas de VPN pour moi donc pas de règles.

Il n'y a pas de règles, c'est juste quand 99% des cas la plage 192.168... est utilisée par les box, et la plage 10... par les applications VPN. C'est également le cas sur DSM.

Le 24/02/2025 à 6:40 PM, Lacouelle a dit :

J'ai aussi lu que le 172.X.X.X., c'est généralement pour les instances Docker...J'ai bien vu un tuto sur Docker mais je n'ai pas encore eu le temps de le lire. Néanmoins, j'ai installé récemment un container openspeedtest via dockerhub. (https://hub.docker.com/r/openspeedtest/latest)

  • Dois-je donc ajouter la règle pour 172.16.0.0/255.240.0.0 ?

Oui si tu veux que tes conteneurs puissent communiquer avec ton NAS et l'extérieur.

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)

Vous avez installé la version 7? Je ne l'ai pas encore essayée.

Opus ! Trompé de sujet

Modifié par Jeff777
0
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e)

hello

@shad, merci pour tes réponses.
 

il y a une heure, .Shad. a dit :

Tu as bien un accès admin à DSM ?
Qu'entends-tu par clé d'accès du certificat ?

oui j'ai me suis créé un compte admin, en pensant aussi à désactiver celui d'origine
Par la clé d'accès certificat, je n'arrive plus à retrouver mais c'est un QRCode avec une clé (code alphanumérique) qu'il est précisé de bien garder...
Désolé si je suis super flou sur ça , mais je n'arrive pas à retrouver ou ca se trouve...Passons sur ce point on verra après.

Ok pour le VPN, ce ne sont pas des règles dans le dur, mais des usages métiers ou autres .

 

il y a une heure, .Shad. a dit :

Oui si tu veux que tes conteneurs puissent communiquer avec ton NAS et l'extérieur.

Ok, merci , je vais le faire .

sinon, j'ai bien vu que les regles décochées et donc désactivées que j'avais mis dans mes impressions écrans sont du grand n'importe quoi ...elles étaient la avant que je lise ce post et m'interesse à parametrer correctement mon NAS source suite à l'achat d'un Nas cible de sauvegarde.

 

il y a 8 minutes, Jeff777 a dit :

Vous avez installé la version 7? Je ne l'ai pas encore essayée.

oui , sur les 2 j'ai la DSM 7.2.2-72806 Update 3, amis je n'ai aucune qualification pour un retour d'expérience 🤣

0
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e) (modifié)
Le 26/08/2023 à 10:13 AM, .Shad. a dit :

securite_19.PNG.3c40af2854c8f79dc53d1083e404c12c.PNG

AVANT DE CONTINUER : Cliquez sur Vous ne parvenez pas à le scanner, prenez ABSOLUMENT note de la clé secrète affichée.
Celle-ci vous permet :

  1. de configurer un périphérique qui ne dispose pas de caméra pour scanner le code (navigateur, application sur pc/laptop, etc...)
  2. de récupérer l'accès à votre compte en cas de perte du mobile

securite_20.PNG.bc761caeb052c3b9e63cf09bee006d6d.PNG

Sachez également que la plupart des applications d'authentification à 2 facteurs permettent d'exporter les codes OTP, et de façon chiffrée. Il est prudent d'avoir une copie de ce fichier ailleurs que sur le smartphone, par exemple sur votre NAS et sur le cloud.

@shad je parlais de cette partie pour la "clé d'acces" que je mentionne plus haut ; désole mauvaise terminologie ; mais c'est plus la clé secrete

Modifié par Lacouelle
0
Lacouelle Apprentice

Lacouelle

Posté(e)
Posté(e)

Bonsoir

J'ai donc modifié et supprimé les règles inactives pour que ce soit plus propre et repris le tuto pas à pas.
 donc ci dessous le set up  notification du parefeu et les règles. LAN et toutes les interfaces.

Ca vous semble correct surtout pour toutes les interfaces ?
J'ai un gros gros doute car j'ai lu que ce n'était pas bon de donner accès à tous pour le DSM, si j'ai bien compris, et que interface de gestion (deuxième image) c'est DSM n'est ce pas ?

sachant qu'en accès externe et en ayant décoché QuickConnect, je me mets soit sur DSFiles sur mon iPhone  soit sur mon MacBook depuis généralement la France, Europe, UK, plus rarement certains pays touristiques du  reste du monde.

Donc dans la deuxième image , je me limite pour le moment à la France, ne pouvant pas mettre une IP spécifique pour le MacBook ou l'iPhone (sauf si il y avait un moyen, un soft, j'ai lu rapidement des posts ou l'on parle de Tailscale, mais je préfère y aller pas à pas).
Qd je vais etre hors du territoire, il faut que je prévois en amont d'autoriser les emplacements ? ou bien je peux ajouter d'ores et deja les règles sans diminuer la sécurité .?

Merci pour votre aide

Capturedcran2025-03-0219_37_53.thumb.png.00e03a90b992b2460d262aeef37e780f.png

 

Capturedcran2025-03-0219_41_34.thumb.png.25170bd51fb2867100ff58ac518e230d.png

Capturedcran2025-03-0219_41_51.thumb.png.7e16467aa325fc5de43967fb3fee2ee3.png

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.