Besoin d'un avis sur la configuration du parefeu sur un Nas synology

[Vespaman]

Salut les experts ! J'essaye d'augmenter au maximum (en fonction de mes besoins d'utilisateur) la sécurité de mon NAS en jouant sur le parefeu.

Voici mon installation :

• Freebox en mode Bridge / Routeur Pour le LAN (192.168.x)
• Routeur : redirection de port configurée en direction du port DSM / Deux serveurs VPN actif avec des plages 10.6.0.x & 10.8.0.x (Parefeu actif)

Au sujet de l'utilisation du NAS :

• Depuis le LAN : Echange de fichiers / DSM / Drive Client / Plex / Photo / VM home assistant
• Depuis les PC Distants, via VPN : Echange de fichiers / DSM / Drive Client / Plex / Photo / VM home assistant
• Depuis les Smartphones (Sans VPN) : Principalement DS File et Photo / VM Home assistant (ces périphériques sont généralement localisés en France)

Voici la configuration que j'ai mis en place au niveau du parefeu :

• Aucune règle sur les interfaces LAN1 / LAN2, PPoE / VPN (avec la configuration de refus d'accès si aucune règle ne s'applique).
• dans "toutes les interfaces" voici les règles configurées :

1. "DSM, Reverse proxy", TCP, IP Source France, Flux autorisé.
2. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.6.0.x, Flux autorisé.
3. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.8.0.x, Flux autorisé.
4. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 192.168.50.x, Flux autorisé.
5. "Port 32400" (Pour Plex), TCP, IP Source : 10.6.0.x, Flux autorisé.
6. "Port 32400" (Pour Plex), TCP, IP Source : 10.8.0.x, Flux autorisé.
7. "Port 32400" (Pour Plex), TCP, IP Source : 192.168.50.x, Flux autorisé.
8. "Tous", "Tous", "Tous", Flux refusé

La règle numéro 1 est uniquement crée pour l'utilisation des service DSM par mes Smartphones (Hors VPN)

Il y a une chose que je ne suis pas certain de maitriser. Si une règle ne corresponds pas, le parefeu essaye d'appliquer la suivante si j'ai bien compris. Mais que se passe t'il si la première est applicable ? Les suivantes sont simplement ignorées ?.

Pensez vous que cette configuration est totalement adaptée à mon besoin  ? Ai-je possibilité de faire mieux ?

D'avance Merci pour vos avis éclairés,

Vespaman

[Mic13710]

il y a 23 minutes, Vespaman a dit :

Les suivantes sont simplement ignorées ?

Oui

il y a 23 minutes, Vespaman a dit :

Ai-je possibilité de faire mieux ?

Certainement. Pourquoi limiter les services sur les plages d'IP privées ? Vous craignez votre entourage ? Si vous autorisez toutes les plages privées, alors les règles de 2 à 7 sont inutiles.

Je vous conseille d'aller jeter un oeil (et plus que ça) sur le tuto concernant la sécurisation de nos NAS.

[Vespaman]

il y a 34 minutes, Mic13710 a dit :

Oui

Certainement. Pourquoi limiter les services sur les plages d'IP privées ? Vous craignez votre entourage ? Si vous autorisez toutes les plages privées, alors les règles de 2 à 7 sont inutiles.

Je vous conseille d'aller jeter un oeil (et plus que ça) sur le tuto concernant la sécurisation de nos NAS.

Ce ne sont pas forcément des craintes au sujet de l'entourage mais si j'en crois le log du parefeu de mon routeur certains équipement mobiles de mes ados remontent parfois des alertes. Comme ils sont, au domicile, connectés au LAN, je préfère assurer la sécurité de mon NAS. Leurs équipement ne sont pas forcément mis à jour (par négligence ou vétusté) et j'avoue être plus angoissé par cela que par la sécurité des équipements de type PC. Les smartphones sont très souvent blindés d'applications par forcément toutes "safe" et tous ne sont pas des smartphones de marques que je pense aussi solides que certaines grandes marques. de plus certains équipements connectés au LAN sont des SmartTV, dont certaines ne sont pas récentes et très peu suivies en matière de MAJ. En revanche, en vous répondant, je viens de me dire que dans ce cadre, les règles 2,3, 5 & 6 ne seraient effectivement pas forcément utiles pour le moment mais si je les supprime, les flux seront bloqués par la dernière.

Modifié le 29 septembre par Vespaman

[Mic13710]

Je comprends bien vos craintes, mais à partir du moment où vous leur donnez l'accès (règles 4 et 7), ça ne fera aucune différence une fois qu'ils sont connectés.

Ce que je voulais dire c'était que vous pouviez avoir le même résultat en élargissant les plages des IP tout en limitant les services sur ces même plages, bien que je ne pense pas que ça soit utile (pour les services).

Vous pouvez vous inspirer des règles du tuto dont je vous ai donné le lien en limitant les plages aux seules utilisées si vous le voulez.

Autre chose, je placerais la première règle en dernier, juste avant le blocage. La logique c'est d'abord les IP privées puis les liaisons externes.