[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

[Flamby55]

Bravo pour ce tuto !!

En tant que débutant dans l'univers Synology, cela m'aide énormément.

J'ai donc commencé à le suivre et je me pose quelques questions de curiosité tout d'abord : 

Dans le Pare-feu, à quoi servent les 3 règles complémentaire à la règle sur le réseau 192.168 ? Celle-ci ne suffit pas pour un accès local ?

Au niveau des notifications, je n'ai pas tout à fait les même screenshot, par exemple je n'ai pas la possibilité d'utiliser le compte synology... Savez-vous pourquoi ? Je me demande aussi si l'activation du service push pour avoir directement les infos sur le smartphone est pertinent...

Enfin, avant de commencer la partie Accès externe, si je comprend bien, il vaut mieux utiliser la solution DDNS, c'est bien ça ?

Sachant que je souhaite un accès externe principalement pour pouvoir accéder à certains fichiers quand je suis pas chez moi, et surtout pouvoir sauvegarder les photos du téléphone de Madame régulièrement (qui prend énormément de photos !) et éviter d'avoir à effectuer la sauvegarde manuellement via un câble usb et PC...

Merci d'avance !

[Mic13710]

il y a 13 minutes, Flamby55 a dit :

à quoi servent les 3 règles complémentaire à la règle sur le réseau 192.168 ? Celle-ci ne suffit pas pour un accès local ?

Ce sont les plages d'IP privées cad uniquement sur le LAN. Les 10.x.x.x sont généralement utilisées pour les liaisons VPN, les 172.16.x.x le sont pour des instances Docker.

Un peu de lecture : https://fr.wikipedia.org/wiki/Réseau_privé

Le tuto est généraliste. Vous pouvez laisser les plages proposées dans le tuto où les adapter à vos besoins.

il y a 14 minutes, Flamby55 a dit :

je n'ai pas la possibilité d'utiliser le compte synology... Savez-vous pourquoi ?

Peut-être parce que vous n'en avez pas encore ...

il y a 15 minutes, Flamby55 a dit :

il vaut mieux utiliser la solution DDNS, c'est bien ça ?

Oui. En ouvrant un compte Synology, vous aurez la possibilité de créer un ndd personnalisé xxxx.synology.me que vous pourrez utiliser pour joindre votre NAS.

[Fennec72]

Bonjour,

Concernant virtual machine manager, il un point que je voudrait éclaircir:
son usage est-il gratuit ou payant?

Merci d’avance,

Cordialement,

Hervé

Modifié le 3 juin par Fennec72

[Mic13710]

@Fennec72 quel est le rapport avec ce tutoriel ?

Veuillez svp poser votre question dans la section du forum dédiée.

[Flamby55]

Hello,

Je reviens vers vous pour l'accès distant suite à la sécurisation de mon NAS :

Tout d'abord j'ai eu une alerte sécurité, suite à l'activation du protocole SSH comme conseillé dans le tuto, et DSM m'indique que je devrais modifié le port SSH pour plus de sécurité... 

J'ai activé le DDNS, mais sans faire d'autres modifications tel qu'indiqué ensuite dans la partie Pare-feu accès à distance. Et en essayant depuis l'extérieur de me connecter à l'adresse que j'ai créé (monadresse.synology.me), je pensais obtenir une erreur de chargement (aucun renvoi de port sur ma box vers le NAS de configuré) mais la page qui s'est chargée est celle de la connexion à mon alarme ! Bref il y a quelque chose que j'ai pas compris, si quelqu'un pouvait m'éclaircir.  

[.Shad.]

@Flamby55 Le fait de mettre en place un DDNS a simplement mis en évidence que ton alarme a probablement demandé la création d'une redirection de port à ta box via UPNP. Tu aurais autrefois tapé ton IP publique tu aurais eu problablement le même résultat.

Tu dois désactiver la possibilité d'UPNP sur ta box, et faire la redirection vers ton alarme si nécessaire, même si, si je comprends bien dans ton cas, tu souhaites tout simplement ne pas l'exposer.

[Flamby55]

@.Shad. merci pour ta réponse. J'ai par conséquent relu le tuto de Kramlech pour bien comprendre. En, fait, j'ai bien 2 redirection de port mon alarme afin de pouvoir la piloter à distance quand cela s'avère nécessaire, et surtout comprendre ce qui ce passe en cas d'intrusion. Ces redirections de port ont été définies manuellement au niveau de la box (pas en UPnP). J'imagine donc que n'ayant pas préciser de port en saisissant mon ddns, la box à réorienter vers l'un des port ouvert, en l'occurrence mon alarme.
Je n'avais pas compris que le DDNS ainsi créé avec le NAS permet d'accéder à l'ensemble des éléments ouvert de mon réseau. Il faut donc que je précise à chaque fois en plus de l'adresse DDNS le port du service que je veux accéder, et que celui-ci soit rediriger au niveau de la box, j'ai tout bon ?

[.Shad.]

Ton alarme doit être sur le port 80, c'est le port implicite en HTTP, comme 443 l'est en HTTPS.
Oui tu as tout compris, le meilleur moyen de s'affranchir des multiples redirections de port c'est de mettre en place un reverse proxy :

 

[Flamby55]

Ok, merci pour cette confirmation, je vais regarder de plus près cette histoire de reverse proxy dans la semaine...

[Flamby55]

Me revoilà ! Alors j'ai mis en place le reverse Proxy et je me suis rendu compte d'un problème :

En local, quand je me connecte à DSM, le https dans mon navigateur est barré, et il m'indique connexion non sécurisé : 

Je me suis rendu compte après avoir vu en testant la connexion à distance et donc le reverse proxy via l'application mobile Drive, car j'ai eu ici aussi un avertissement comme quoi la connexion n'était pas sécurisée...

J'ai donc quelque chose de mal paramétré, mais j'ai beau relire le tuto, je ne vois pas. Si quelqu'un à un avis...

[Mic13710]

@Flamby55, une adresse IP ne peut pas avoir de certificat. Il est donc normal que votre navigateur vous indique que la connexion n'est pas sécurisée. Néanmoins, la connexion est bien chiffrée de bout en bout.

[Flamby55]

Ok, merci, je ne savais pas ça (comme beaucoup d'autres choses que j'apprend par ce forum d'ailleurs et je vous en remercie !) 
Du coup, l'avertissement que j'ai sur l'appli mobile est normal ou pas (quand je suis sur un accès externe via drive.ndd.me:443 qui fait fonctionner mon reverse proxy) ?

C'est que je voudrais être sûr d'être dans les clous niveau sécurité 😇

 

Modifié le 12 juin par Flamby55
Masquer NDD qui apparaissait !

[Mic13710]

Là non. Vous devez avoir un certificat valide sur votre ndd dans la section des certificats, et il faut aussi que ce certificat couvre la ou les applications dans les paramètres des certificats. Tout ceci est expliqué dans le tuto.

[Flamby55]

Ok, encore merci @Mic13710.

J'ai vérifié, mon certificat est bien valide, je l'ai créé il y a quelques jours seulement et modifié aujourd'hui pour le reverse proxy afin d'y ajouter le "www.ndd.synology.me"

Seulement je viens de capter que j'ai supprimé la partie wildcard : *.ndd.synology.me

Mais quand je veux modifier à nouveau le certificat afin de remettre cette Wildcard via Ajouter/Remplacer un certificat existant/Se procurer un certificat depuis Let's encrypt... quand je valide, j'obtient le message d'erreur suivant : 

Pourtant j'ai ressaisi les même informations ndd/mail et *.ndd.synology.me;www.ndd.synology.me dans le champs "autre nom de l'objet".

J'ai aussi essayé avec une adresse mail différent mais j'ai le même problème. Sachant que je ne peut pas supprimer ce certificat, est-ce que ma seule solution est tout recommencer en créant un nouveau NDD et un nouveau certificat ?

Désolé pour mes questions, qui dérivent un peu du sujet...

[Mic13710]

@Flamby55 si vous avez fait plusieurs demandes de certificat, ça peut être la cause du refus de renouvellement. En effet, Let's Encrypt limite le nombre de demandes de duplicata (cad sur le même ndd racine) à 5 par semaine.

https://letsencrypt.org/fr/docs/duplicate-certificate-limit/

[Flamby55]

@Mic13710 ok le message n'indique pas une erreur de limite de demande de certificat atteint. Je vais donc patienter un peu, en attendant j'ai configuré l'accès à distance via le protocole https comme décris dans ce tuto...

Si le problème persiste, j'ouvrirai un sujet dédié. Merci en tout cas d'avoir pris le temps de répondre.

A propos de la sécurité, j'ai une alerte sur le port SSH comme quoi je n'ai pas modifié la valeur par défaut. Est-il nécessaire de le faire ?

[Mic13710]

Pour les alertes de sécurité sur les ports par défaut, vous pouvez sans problème les désactiver. Ce n'est qu'un conseil, pas une obligation. Ça n'a strictement aucune importance du point de vue sécurité, surtout si vous passez par le reverse proxy. Il faut simplement s'assurer que ces ports ne soient pas ouverts vers l'extérieur dans le routeur (sauf bien entendu les ports propriétaires)

[L. Tech]

Le 31/10/2023 à 2:52 PM, PiwiLAbruti a dit :

Aujourd'hui, les attaques par brute-force utilisent des botnets pour éviter ce type de blocage (beaucoup de tentatives sur un délai court). On utilise un polling très lent du type une requête tous les 24-48h par zombie. Ainsi, avec un nombre conséquent de zombies dans un botnet, on peut mener des attaques sur une même cible sans jamais être bloqué. D'où les paramètres donnés dans le tutoriel.

J'ai eu le cas cet été avec des tentatives d'authentification SMTP sur tcp/25. J'avais réduit le nombre de tentatives à 1 pour accélérer les choses, il a fallu un peu moins de 48h pour bloquer les 862 zombies du botnet.

Pour la liste blanche, la différence entre une IP ou un nom de domaine est la résolution DNS du nom de domaine. Si l'adresse IP est fixe, autant ne mettre que celle-ci.

Bonjour,

Je ne suis pas un expert en sécurité, mais concernant le blocage auto si j'ai bien compris en cas de 3 tentatives de connexion avec un mot de passé erroné dans un délai d'une semaine (10080 minutes) l'adresse IP sera bloqué pendant 31 Jours, c'est bien cela ?
Je ne comprend pas trop ce paramètre avec "beaucoup de tentatives sur un délai court"

Merci

[Mic13710]

@L. Tech 3 tentatives en une semaine, c'est le temps long. Le blocage sera effectif s'il y a eu 3 tentatives de connexion avec la même IP durant ce temps long. Ce qui inclut de facto des tentatives rapprochées (temps court).

[L. Tech]

Très bien merci pour cette précision, et excellent tuto au passage.

[Flamby55]

Bonjour à tous,

J'ai 2 interrogations sur la partie certificat :

Tout d'abord et avant de connaitre ce forum, j'avais créer un accès quickconnect. Et depuis le certificat apparait toujours dans DSM. Je l'ai bien supprimé de mon compte synology mais du coup pour que ça soit plus propre, est-il possible de le supprimer de DSM ?

Si oui c'est suivant quelle astuce ? car quand je le sélectionne et que je clique sur "Actions", le choix Supprimé est grisé.

Deuxièmement, je croyais que le certificat créé via ce tuto serait renouveler au bout de 3 mois mais qu'il fallait pour cela ouvrir le port non sécurisé... Si c'est bien ça, le mien a été renouvelé sans manipulation de ma part. Cela veut-il dire que j'ai une faille quelque part ? Si oui, est-ce que quelqu'un peut m'aider car je commence à m'y perdre... 

 

[.Shad.]

Il y a 12 heures, Flamby55 a dit :

Si oui c'est suivant quelle astuce ? car quand je le sélectionne et que je clique sur "Actions", le choix Supprimé est grisé.

Assure-toi que le certificat n'est plus utilisé par aucun service.
Dans Panneau de configuration -> Sécurité -> Certificats -> Paramètres, le certificat Quickconnect ne doit plus apparaître.
Même si au final tu n'arrives pas à le supprimer ce n'est pas gênant.

Il y a 12 heures, Flamby55 a dit :

Deuxièmement, je croyais que le certificat créé via ce tuto serait renouveler au bout de 3 mois mais qu'il fallait pour cela ouvrir le port non sécurisé... Si c'est bien ça, le mien a été renouvelé sans manipulation de ma part.

Est-ce que c'est le certificat du nom de domaine Synology dont tu parles ? Si oui, il n'y a rien à ouvrir, le renouvellement se fait au niveau de la zone DNS chez Synology, tout est automatisé.
Si c'est un nom de domaine personnel, il faut effectivement ouvrir les ports 80 et 443 vers l'extérieur, au moins au moment du renouvellement.
Ou alors passer par Docker et une image comme acme.sh ou certbot, mais dans ce cas-là ça ne passe plus par DSM mais via la console.

[Flamby55]

Merci pour cette réponse claire ! 

En effet, le certificat quick connect n'est associé à aucun service dans les paramètres.
Et en effet, aussi, il s'agit du certificat fourni par Synology.

Me voilà rassuré