Aller au contenu

[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

.Shad.

Par .Shad.
dans Tutoriels

 Partager

Messages recommandés

MilesTEG1 Veteran

MilesTEG1

Posté(e)
Posté(e)
 

Le problème est que lorsque j'ai désigné Authy comme application d'authentification, DSM ne m'a jamais affiché le moindre code. J'ai désactivé le 2FA compte tenu de problèmes matériels rencontrés sur mon smartphone. Mais lorsque j'ai voulu le réactiver en désignant à nouveau Authy comme application d'identification, DSM m'a demandé un code que je n'avais pas car je n'ai jamais utilisé Synology Secure Signin.

Lorsque tu actives le 2FA dans DSM tu as plusieurs choix :
yysVtMD.png

Si tu choisis la 2ème option :

AOr4zFp.png

 Z9mVejf.png


Tu utilises ton application favorite pour la gestion des codes 2FA.

wSjjCrB.png

Si tu te contentes de scanner le QR-Code, tu n'auras pas la clé TOTP, il faut cliquer sur "Vous ne parvenez pas à le scanner ?" :

koaXCPO.png

 

Si tu n'as pas conservé cette clé en le mettant dans un client qui permet de l'afficher, c'est mort, il faut désactiver le 2FA, et le refaire.

 

Je viens de faire l'essai de désactiver le 2FA sur mon test-user : et bien je n'ai pas eu besoin de rentrer un quelconque code pour cette désactivation...

 

1
  • Réponses 132
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

.Shad.
.Shad.

Pour qui ? Depuis plusieurs années, ce tutoriel rédigé par @Fenrir est LA référence en matière de sécurisation des accès à un NAS. C'est de loin le tutoriel le plus lu du forum, et c'est une bonn

.Shad.
.Shad.

@CyberFr Je vais essayer de tourner les explications de mes collègues différemment. C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque

Mic13710
Mic13710

@firlin, @.Shad., @PiwiLAbruti J'ai déplacé la question de firlin sur le ping dans un autre sujet car il n'avait pas de rapport avec la sécurisation des NAS  

Images postées

Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
il y a 3 minutes, MilesTEG1 a dit :

Si tu te contentes de scanner le QR-Code, tu n'auras pas la clé TOTP, il faut cliquer sur "Vous ne parvenez pas à le scanner ?" :

C'est ce qui est indiqué dans le tuto 😉.

Ceci dit, en scannant dans une application qui permet l'affichage des paramètres (FreeOTP+ dans mon cas), on retrouve cette fameuse clé. On peut aussi la scanner de l'application pour l'insérer dans d'autres applications. Ainsi, la sauvegarde de la clé n'est pas forcément indispensable, mais elle est fortement conseillée.

1
CMDC Enthusiast

CMDC

Posté(e)
Posté(e) (modifié)

Après, personnellement, quand j'ai généré le QRCode, je l'ai scanné avec FreeOTP+ et avec Synology Secure SignIn, ça évite de se faire des nœuds au cerveau .

EDIT> et pour éviter les désagrément liés à la perte ou la panne de ma phablette, j'ai dupliqué tout ça sur un PC avec Authy ... sur les conseils éclairés des participants  de ce tuto 

My two cents :wink:

Modifié par CMDC
0
  • 4 semaines après...
Dr Jerry Apprentice

Dr Jerry

Posté(e)
Posté(e) (modifié)

Un tuto clair, détaillé et rassurant pour un débutant dans le domaine. On m'avait prévenu que je trouverais de riches informations sur ce forum. Je suis heureux de constater que l'on ne m'a pas menti.

Merci à tous pour votre investissement.

Modifié par Dr Jerry
1
  • 2 semaines après...
Kramlech Proficient

Kramlech

Posté(e)
Posté(e)
il y a 41 minutes, Stegnot a dit :

Le local master browser active l'utilisateur Guest, il faudrait intégrer les defaults unix permission.

C'est marrant, même avec Google Translate je n'arrive pas à comprendre cette phrase (ni son contexte !!!)

1
Stegnot Newbie

Stegnot

Posté(e)
Posté(e) (modifié)
Le 18/12/2023 à 10:53 PM, Kramlech a dit :

C'est marrant, même avec Google Translate je n'arrive pas à comprendre cette phrase (ni son contexte !!!)

Pourtant avec Local Master Browser synology tu aurais dû trouver quelque chose de même avec les defaults unix permissions.
Je faisais référence aux services de fichiers : smb en l'occurrence mais il va de même pour les autres.
Je trouve simplement qu'il manque des points non abordés et des choses non activées qui devraient l'être mais soit chacun son avis.

 

Modifié par Stegnot
0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

Salut @Stegnot, les raisons pour lesquelles je ne recommande pas l'utilisation de ces options :

  • LMB : Ca active le compte guest, ça va à l'encontre de l'idée de sécurisation développée dans ce tutoriel. 
  • Appliquer les permissions UNIX par défaut : L'aide en ligne précise que l'activation de cette option peut entrainer des problèmes d'incohérence de permission entre les différents protocoles de transfert de fichiers. De plus, ça supprime les ACL Synology, qui sont l'élément central de contrôle des permissions dans DSM. Donc outre la sécurité ça diminue le niveau de confort d'utilisation, surtout pour des débutants.
1
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 11 heures, Stegnot a dit :

Je trouve simplement qu'il manque des points non abordés et des choses non activées qui devraient l'être mais soit chacun son avis.

Ce tuto n'est pas figé dans le marbre et chacun est invité à apporter ses connaissances pour le faire évoluer. Il ne faut pas oublier qu'il s'agit d'une sécurisation de premier niveau qui s'adresse à tous les possesseurs de NAS tournant sous DSM7.

Dire qu'il y a des manques et des options qui devraient être activées, c'est possible, mais sans dire lesquelles ni les expliciter ne fait rien avancer.

Pouvez-vous nous éclairez svp ?

0
CMDC Enthusiast

CMDC

Posté(e)
Posté(e)
Il y a 8 heures, Mic13710 a dit :

Ce tuto n'est pas figé dans le marbre et chacun est invité à apporter ses connaissances pour le faire évoluer. Il ne faut pas oublier qu'il s'agit d'une sécurisation de premier niveau qui s'adresse à tous les possesseurs de NAS tournant sous DSM7.

Heu... comment dire ... non, je n'ai rien dit , oubliez !  

 

communiquer.53.gif

0
  • 1 mois après...
StéphanH Rising Star

StéphanH

Posté(e)
Posté(e)

Bonjour,

Je reviens sur les discussions concernant le 2FA.

j’ai activé cette option pour certains comptes de niveau admin, mais j’ai conservé un compte de niveau admin sans OTP, mais avec un contrôle par clé (clé logicielle sur Mac), et j’ai activé l’adaptative FA.

C’est cette notion d’adaptative FA qui me donne un doute, non pas en théorie, mais en terme d’implémentation. D’autant que ce n’est pas facile à tester, le système lui même déterminant si une connexion nécessite ou non une double authentification.

En savez-vous plus sur la pertinence et  la fiabilité de cette solution proposée par Synology ?
La conseillez-vous ?

0
StéphanH Rising Star

StéphanH

Posté(e)
Posté(e)
Le 04/02/2024 à 11:02 AM, StéphanH a dit :

Bonjour,

Je reviens sur les discussions concernant le 2FA.

j’ai activé cette option pour certains comptes de niveau admin, mais j’ai conservé un compte de niveau admin sans OTP, mais avec un contrôle par clé (clé logicielle sur Mac), et j’ai activé l’adaptative FA.

C’est cette notion d’adaptative FA qui me donne un doute, non pas en théorie, mais en terme d’implémentation. D’autant que ce n’est pas facile à tester, le système lui même déterminant si une connexion nécessite ou non une double authentification.

En savez-vous plus sur la pertinence et  la fiabilité de cette solution proposée par Synology ?
La conseillez-vous ?

Je m'autoUp ...

je suis réellement preneur de vos retours sur la pertinence en terme de sécurité de l'Adaptative FA proposé par Synology ...

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

@StéphanH La MFA permet de mitiger les attaques si tu n'as pas activé la 2FA sur tes comptes admin.
Ca détecte les comportements inhabituels (par exemple tu te connectes en admin depuis un autre pays).
Si tu as déjà activé la 2FA pour tes comptes admin, ce n'est pas spécialement utile.

0
StéphanH Rising Star

StéphanH

Posté(e)
Posté(e)

Merci @.Shad.

J’ai conservé un compte sur le groupe admin sans 2FA, au cas où (je ne connaissais pas l’astuce pour récupérer la clé du code …). 

Ce que tu dis de l’adaptative FA semble répondre à mon besoin (sécuriser uniquement si c’est louche …) 

0
  • 2 semaines après...
Cyriu_ALB Rookie

Cyriu_ALB

Posté(e)
Posté(e) (modifié)

Merci @.Shad. et @Fenrir, les pages les plus lues du forum : ce n'est pas rien ! 👌

Le tuto est hyper bien fait : progressif et documenté. Merci 🙏 J'ajoute que les 3 pages qui suivent jusqu'ici sont également très éclairantes sur l'A2F. C'est top.

💡 Juste un petit complément qui m'est apparu nécessaire - car je me suis fait piéger moi-même qui ne suis pas débutant - et du coup certains débutants qui liront le tuto risquent aussi de se faire piéger :

  1. Je pense qu'il est important d'expliquer aux lecteurs en début de tuto dans la section "Cahier des charges" que s'ils suivent ce tuto, ils vont couper tous les accès à leur NAS en dehors de leur réseau local, c'est à dire en dehors de leur domicile (notamment depuis des PC ou Mac portable en mobilité), ainsi que toutes les applis sur leurs iPhones ou smartphones Androïd.

    Cahierdescharges.png.c4ae3d52e38df9a635f63181f1e1f072.png
     
  2. Du coup dans ce paragraphe "Cahier des charges" et dans une note masquée ou un paragraphe supplémentaire en dessous, je suggère de préciser :

    Ce que ce tutoriel couvre :
    La configuration des protocoles utilisés pour les accès au NAS depuis le réseau local (domicile ou locaux de l'entreprise conformément au lieu d'implantation du NAS),
    La configuration du pare-feu dans ce cas

    Ce que ce tutoriel ne couvre pas :
    .
    .
    .
    Revelerlecontenumasque.png.05f5d96a7ade67107951222b315d930f.png
    Par conséquent une fois suivi ce tuto, vous ne pourrez TEMPORAIREMENT plus vous connecter à votre NAS que depuis votre réseau local. C'est effectivement une configuration très sécurisée qui sert de base aux autres, et c'est celle que nous voulions commencer par expliquer dans ce tuto.

    Cependant si vous souhaitez accéder à votre NAS et à son contenu à distance, ou utiliser les applis Synology comme Photos Mobile, DS Note (...) c'est bien sûr possible !
    Il suffit de suivre les tutos correspondants, par exemple :
    · Ouverture d'un petit nombre de ports spécifiques du pare-feu,
    · Configuration du pare feu de votre box internet et routage des ports de la box vers le NAS
    · et/ou mise en œuvre de Quick connect,
    · et/ou mise en œuvre d'un proxy inversé,
    · et/ou mise en œuvre d'un VPN,
    · et/ou mise en œuvre d'un FTP/SFTP,
    · et/ou mise en œuvre de webdav,
    · etc.
     
  3. Car sinon le débutant peut se retrouver avec un NAS sécurisé sur son réseau local, mais inaccessible de l'extérieur et avec toutes ses applis désactivées : son calendrier, ses contacts, ses photos, etc. ce qui n'est quand même pas rien ! Et c'est d'ailleurs souvent pour l'accès extérieur et ces applis que l'on veut un NAS Synology, par opposition à un disque dur externe...
    Donc je me suis permis cette remarque pour éviter toute incompréhension ou frustration. A vous de juger si son ajout est pertinent.

A+++++

Modifié par Cyriu_ALB
0
  • 1 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.