admin en 2FA seulement depuis internet?

[Herve5]

Bonjour à tous,

Tout est dans le titre : j'apprécie une reconnexion simple sur mon intranet, mais j'aimerais renforcer la sécurité en imposant un accès 2FA lorsque la demande de connexion provient d'internet.

Est-ce possible?

Je vois bien que je peux créer un second user avec les droits admin et une authentification 2FA pour lui, mais je ne vois pas comment dire "admin1 est sans 2FA mais restreint à intranet, admin2 peut venir de n'importe où mais avec 2FA"...

Tous vos conseils sont bienvenus!

D'avance merci,

Hervé

 

[Mic13710]

Une fois connecté au NAS, seuls les identifiants vous permettent de vous connecter.

Vous pouvez créer autant de comptes administrateurs que vous voulez, avec ou sans 2FA. Vous ne pouvez pas décider si tel utilisateur peut ou pas se connecter de l'extérieur.

Le plus simple c'est de n'avoir qu'un seul compte par administrateur (différent du compte utilisateur si à la fois administrateur et utilisateur), chaque compte avec le 2FA, et de définir des appareils de confiance qui peuvent passer outre le 2FA. Lors de la première connexion, à la saisie du 2FA vous rentrez le code et cliquez simplement sur "faire confiance à ce terminal" (ou quelque chose d'équivalent). Le 2FA ne vous sera plus demandé pour cet appareil. Cette option est parfois remise à zéro lorsqu'on supprime les cookies du navigateur. Il suffit de réitérer l'apprentissage.

Le 2FA ne vous dispense pas d'utiliser des identifiants forts (nom de compte admin connu de vous seul et mdp fort jusqu'au nombre de caractères maximum possible si vous pouvez).

Pour les identifiants, vous pouvez utiliser un gestionnaire de mots de passe qui vous permet de complexifier à l'infini vos identifiants et mots de passe.

[Herve5]

Merci!

Est-ce que je comprends correctement que l'on ne peut donc pas discerner l'origine d'une demande de connexion, LAN par opposition à WAN ?

Il n'y a aucun package, par exemple, qui permette de loguer les connexions?

Merci!

Hervé

[Mic13710]

Pas à ma connaissance.

[CoolRaoul]

j'apprécie une reconnexion simple sur mon intranet, mais j'aimerais renforcer la sécurité en imposant un accès 2FA lorsque la demande de connexion provient d'internet.

Lorsque la double authentification est activée sur un compte, lors de la première connexion on a le choix de mémoriser la machine source afin de ne plus avoir à saisir le code de validation à chaque login. En validant cette option on retrouve le comportement d'une connexion simple. Pas besoin de compte supplémentaire.

[Mic13710]

Et je rajouterais qu'il est préférable de ne pas se connecter à un compte admin à partir du web. Si le besoin s'en fait sentir, alors il existe la solution du VPN qui est bien plus sécurisée que le https.

A titrer perso, le NDD qui me donne accès à DSM n'est utilisable qu'en local via le serveur DNS du NAS. Je m'y connecte de l'extérieur uniquement via un VPN (Wireguard en ce qui me concerne, mais aussi OpenVPN ou L2TP/IPSec sur le NAS en cas de dysfonctionnement de Wireguard).

Pour résumer, si vous voulez sécuriser vos connexions d'administration : compte avec 2FA (qu'on peut inhiber sur les terminaux de confiance) et connexion à DSM via un serveur VPN local (NAS ou autre).

Il faut bien entendu ne pas générer le 2FA sur un unique appareil car il serait alors impossible de se connecter en cas de perte ou de destruction, et il faudrait alors passer par un reset mode 1. Tout cela est expliqué dans le tuto sur la sécurisation des NAS sous DSM7.