Synology Débloquer le pare-feu pour le renouvellement du certificat SSL

cooper dit : Faisable ? Bien sûr mais pas avec DSM.

LOL ! Ca, j'avais cru comprendre... Peux-tu nous en dire un peu plus sur le sujet ?
Ou du moins (car je me doute qu'un tuto complet serait sans doute énorme et chronophage), nous fournir les grandes ligne du sujet et/ou les liens "qui vont bien" ? Au mieux, je me lancerai, au pire je serai moins idiot demain !

La partie pare-feu global à mon LAN ainsi que pour mes VLANs, j'utilise FreeBSD qui gère tout ça (via ipfw(8) et vlan(4)) installé sur un XPC Cube SW580R8 de Shuttle.
Cela me permet également de gérer la partie DHCP, NAT/PAT et les limitations de vitesse (gérées par ipfw(8)) des terminaux du LAN.

Cette machine (XPC Cube) peut contenir jusqu'à 4 disques (et 3 emplacements M.2) et me sert outre le routage et filtrage interne au LAN à des données professionnelles (celles personnelles sont sur mon DS918+).

cooper dit : Le cas du 2FA est vraiment inhérent aux connexions aux services.
Une "cold key" est bien sûr idéale mais la 2FA proposée par DSM est bien fichue et légèrement suffisante 😉

Oui, la 2FA proposée par DSM est plutôt bien fichue et suffisante, c'est d'ailleurs la méthode que des sites tels que Google, Ebay, ou d'autres nous incitent à utiliser... Mais je trouve cette méthode plutôt contraignante et pas très confortable.
Je préfèrerai utiliser un système de reconnaissance faciale, comme le fait Windows actuellement, mais je n'ai rien encore trouvé sur le sujet.
A défaut, je m'orienterai certainement vers la clé type Yubikey...

Qui dit renforcement de la sécurité, dit contraintes supplémentaires. Je n'utilise et ne connais pas Windows mais il doit pouvoir exister un moyen de lier une cold key à une méthode de déverrouillage du système, triplant ainsi l'authentification.
 
Dernière édition:
La partie pare-feu global à mon LAN ainsi que pour mes VLANs, j'utilise FreeBSD qui gère tout ça (via ipfw(8) et vlan(4)) installé sur un XPC Cube SW580R8 de Shuttle.
Cela me permet également de gérer la partie DHCP, NAT/PAT et les limitations de vitesse (gérées par ipfw(8)) des terminaux du LAN.

Cette machine (XPC Cube) peut contenir jusqu'à 4 disques (et 3 emplacements M.2) et me sert outre le routage et filtrage interne au LAN à des données professionnelles (celles personnelles sont sur mon DS918+).
En voila une idée qu'elle est bonne !
Bon, si trouver un serveur supplémentaire, un xpc cube ou autre (je suppose), ne me posera pas trop de problème, lui installer FreeBSD me fait peur, dans la mesure où je ne viens pas du "monde Unix/Linux" et contrairement à d'autres, je ne suis jamais "tombé dans la marmite", plus par manque de temps et surtout par manque de la formation adéquate.
Le "monde Unix/Linux" offre des possibilités incroyables, j'en suis convaincu, mais mais si tu ne possèdes pas quelques "clés" pour démarrer, ça devient vite assez infernal car peu intuitif et peu convivial, ce qui en fait quelque chose de "réservé aux initiés" : Il y a ceux "qui savent" et les autres qui face aux difficultés, laissent tomber en se disant "ce n'est pas fait pour moi" et qui se tournent finalement vers Microsoft ou Mac.
Si la plupart des postes de travail sont sous OS Windows ou Mac, même si c'est payant, ce n'est pas un hasard et si les applis Open Source sont de plus en plus proposées en versions Windows ou Mac en plus des versions Linux, ce n'est pas non plus un hasard...
Fort heureusement que Synology, bien que son OS soit un Linux, a rendu "friendly user" ses interfaces ! Malheureusement, je déplore toujours les difficultés d'installations des applications sous Docker pour lesquelles, sans les tutos détaillés de Marius il me serait impossible d'installer proprement quoi que ce soit...
Qui dit renforcement de la sécurité, dit contraintes supplémentaires. Je n'utilise et ne connais pas Windows mais il doit pouvoir exister un moyen de lier une cold key à une méthode de déverrouillage du système, triplant ainsi l'authentification.
Windows, c'est précisément "l'antithèse" de Linux/Unix, même si à l'origine son ancêtre le DOS était issu de l'Unix de l'époque...
Je vais continuer à utiliser le 2FA en attendant de trouver une cold key ou mieux : qu'une mise à jour Syno ou une appli Docker propose la reconnaissance faciale.
Vu que Windows l'a déjà intégrée et que ça fonctionne bien, on devrait d'ici peu voir se pointer une équivalence en Open Source.
 
En voila une idée qu'elle est bonne !

C'est l'avantage de ces systèmes (*BSD, GNU/Linux ou tout autre Unices).

Bon, si trouver un serveur supplémentaire, un xpc cube ou autre (je suppose), ne me posera pas trop de problème, lui installer FreeBSD me fait peur, dans la mesure où je ne viens pas du "monde Unix/Linux" et contrairement à d'autres, je ne suis jamais "tombé dans la marmite", plus par manque de temps et surtout par manque de la formation adéquate.
Le "monde Unix/Linux" offre des possibilités incroyables, j'en suis convaincu, mais mais si tu ne possèdes pas quelques "clés" pour démarrer, ça devient vite assez infernal car peu intuitif et peu convivial, ce qui en fait quelque chose de "réservé aux initiés" : Il y a ceux "qui savent" et les autres qui face aux difficultés, laissent tomber en se disant "ce n'est pas fait pour moi" et qui se tournent finalement vers Microsoft ou Mac.

La documentation sur un Unix se trouve très facilement; cependant il y a des variantes des outils standards entre chaque branches donc la consultation des pages de manuel internes reste de mise. L'avantage est que l'on est sûr du résultat attendu.
Après c'est comme tout nouveau domaine, il faut un début à tout.

Si la plupart des postes de travail sont sous OS Windows ou Mac, même si c'est payant, ce n'est pas un hasard et si les applis Open Source sont de plus en plus proposées en versions Windows ou Mac en plus des versions Linux, ce n'est pas non plus un hasard...
Fort heureusement que Synology, bien que son OS soit un Linux, a rendu "friendly user" ses interfaces ! Malheureusement, je déplore toujours les difficultés d'installations des applications sous Docker pour lesquelles, sans les tutos détaillés de Marius il me serait impossible d'installer proprement quoi que ce soit...

Les tutoriels c'est bien mais il faut déjà avoir une base. J'entend par là qu'il faut se documenter sur le logiciel que l'on souhaite utiliser; les tutos et autre FAQ donnent certaines clefs mais n'abordent pas toute la sémantique inhérente au soft utilisé.

Windows, c'est précisément "l'antithèse" de Linux/Unix, même si à l'origine son ancêtre le DOS était issu de l'Unix de l'époque...

Tout à fait, même si la copie était mal faite selon moi.
 
C'est l'avantage de ces systèmes (*BSD, GNU/Linux ou tout autre Unices).
Oui, c'est vrai ! J'admire ceux qui naviguent là dedans comme des poissons dans l'eau, mais ce n'est pas évident, pour le néophyte que je suis !
La documentation sur un Unix se trouve très facilement; cependant il y a des variantes des outils standards entre chaque branches donc la consultation des pages de manuel internes reste de mise. L'avantage est que l'on est sûr du résultat attendu.
Après c'est comme tout nouveau domaine, il faut un début à tout.
Oui, coté Unix, il y a des bouquins (heureusement !). Après, les commandes Unix, c'est comme les commandes Dos, ça s'apprend et dans mon cas, ça s'utilise en fonction des besoins, généralement (pour moi), des scripts pour des batchs ou des crons...
Là où ça se complique à mon niveau, c'est pour des mises en œuvres, telles des installations de bases de données Oracle, d'un serveur Apache, ou autre, sous Unix/Linux, cela représente des heures et des heures d'investissement...
Au final, certes on apprend en faisant, mais souvent le temps investi en apprentissage, crises de nerfs et fatigue mentale, se font au détriment du temps à consacrer par la suite à l'applicatif final à réaliser...
Souvent, des versions Windows existent et elles fonctionnent bien, donc on va au plus rapide, au plus facile, au plus connu, etc. D'autant plus que pour moi, le plus souvent ces installations ne servent que de support provisoire à des développements, qui une fois réalisés sont expédiés à un administrateur chargé de l'installation définitive sur un serveur... Le cœur de mon métier, c'est le développement d'applications, pas les OS, ni les réseaux, même si je possède à minima quelques notions indispensables.

Les tutoriels c'est bien mais il faut déjà avoir une base. J'entend par là qu'il faut se documenter sur le logiciel que l'on souhaite utiliser; les tutos et autre FAQ donnent certaines clefs mais n'abordent pas toute la sémantique inhérente au soft utilisé.
C'est exact ! Encore faut il que la documentation du logiciel existe ! Bien souvent, ça se limite à 3 ou 4 lignes d'explications dans le meilleurs des cas !!! Si les "paquets" de Synology sont assez bien documentés, sont simples à installer et à configurer, du coté des applis Docker/Portainer, c'est une vraie galère ! Souvent je profite des tutos d'installation de Marius (plutôt bien détaillés), j'installe l'appli, pour au final la supprimer car elle ne correspond pas vraiment à ce que j'attendais (3 ou 4 lignes d'explications c'est plutôt mince pour se faire une idée précise)...
Tout à fait, même si la copie était mal faite selon moi.
LOL ! Mauvaise copie, sans aucun doute, mais Bill Gates a bien su le vendre !
Et aujourd'hui, si 80% des PC clients sont sous Windows, ce n'est pas un hasard ! Plus simple, plus convivial, plus facile, plus d'applis provenant d'éditeurs reconnus, etc, ont fait le succès de cet OS...
Le gars qui achète un PC entre 500 et 1500€ avec un OS Windows déjà pré-installé, OS qu'il connait déjà puisqu'il l'utilise au boulot depuis longtemps, prendra rarement le risque d'installer une version Linux qu'il ne connait pas et dont le résultat final reste incertain...
Au mieux, après quelques années et s'il a assez de place sur disque, il installera une VM avec un Red Hat ou autre, "juste pour voir", puis, à moins d'en avoir un réel besoin particulier, il démontra sa VM pour récupérer de la place disque, constatant que ça ne lui apporte rien de plus que ce qu'il a déjà...
Les "Linuxiens" ont fait leur propre mal auprès du grand public, de plus ils ont fait de leurs connaissances "des secrets d'initiés"...
Coté professionnel, notamment en terme de réseaux et serveurs, Linux est plus connu, mieux accepté, plus répandu. Là aussi, c'est normal : les administrateurs provenant eux même du monde Unix...
 
@cooper

Bon, revenons à nos moutons...
- Actuellement, j'en suis au point où tous les ports d'accès à mon Nas sont fermés sur ma box, sauf deux : le 443 (TCP et UDP) et le 80 (TCP).
- Le port 80, quant à lui est bloqué pour tout le monde et sur tous les protocoles par une règle de firewall sur le NAS.

L'idée m'avait tenté à un moment, de rerouter le port 443 vers un autre port, comme le 20443 (par exemple), mais au final "à quoi bon", vu que n'importe quel "sniffeur" un peu aguerri est capable de trouver le seul port ouvert d'une box, de plus cela entrainerait une modification de paramétrage, et j'ignore où ça se trouve, pour changer le port d'écoute par défaut 443 par 20443, afin d'éviter d'avoir à préciser ":20443" à la fin de chaque adresse lors des accès...

- Donc tous mes services ou applis passent désormais par le port 443 en TCP, y compris mon accès VPN mais lui reste en UDP. Il faut faire attention à ce point, car si on configure le VPN en TCP, ça bloque tous les autres accès (file station, photo station, etc., même le DSM !).
- Afin d'ouvrir le port 80 pour le renouvèlement des certificats, vu que je n'ai pas d'autre règle dans le firewall, j'ai créé une tâche planifiée à fréquence hebdomadaire en y incluant le 1er script que tu nous as donné :
/usr/syno/bin/synofirewall --disable
/usr/syno/sbin/syno-letsencrypt renew-all
/usr/syno/bin/synofirewall --enable

Il me restera donc à surveiller si ça fonctionne bien dans 3 mois...

Il m'est difficile d'être plus restrictif coté Firewall, notamment de bloquer des pays ou des continents, vu que mon NAS doit rester accessible un peu partout dans le monde, soit pour moi parce que je voyage pas mal, soit pour des amis (personnes de confiance) qui eux sont répartis sur les 5 continents.
D'autre part, vu qu'il n'y a qu'une seule "porte d'entrée" et que les services, applis et dossiers ont tous un accès géré via les autorisation par utilisateur ("à l'ancienne"), je ne vois pas trop ce que je pourrais faire de plus...
Enfin pour clôturer le tout, une authentification 2FA...
Je pense donc être assez bien "sécurisé", du moins pour un particulier, en utilisant seulement les moyens mis à disposition.
Si tu vois des défauts dans ma cuirasse, n'hésite pas à me les indiquer.

En te remerciant
 
Je me pose une question : n'est-il pas possible d'activer une règle particulière parmi toutes celles présentes ?
Ce serait plus sécurisé que de passer par la désactivation totale du pare-feu puis sa réactivation après le renouvellement du certificat.
 
Je me pose une question : n'est-il pas possible d'activer une règle particulière parmi toutes celles présentes ?
Ce serait plus sécurisé que de passer par la désactivation totale du pare-feu puis sa réactivation après le renouvellement du certificat.

Dans le 2ème script que Cooper a eu la gentillesse de fournir en début de page 1 de ce sujet , c'est précisément le cas :
Tu crées un autre profil sur le firewall, avec dedans une règle ouvrant le port 80 et tu actives ce profil, via une tâche planifiée une fois par semaine, juste le temps que les certificats soient renouvelés, puis tu rebascules sur ton profil "par défaut", donc avec "tes règles à toi", une fois que la demande de certificats renouvellement est passée.
Dans ton 2ème profile que tus crées, rien ne t'empêche d'ajouter tout ou en partie les mêmes règles que celles existantes dans ton profil par défaut.

A titre perso, vu que ma seule règle consiste à bloquer le port 80 dans mon profil par défaut, je ne me suis pas cassé la tête : je désactive simplement le firewall, le temps de renouveler le certificat.
De toute façon, dans mon cas, vu la rapidité d'exécution du script, il y a fort peu de chance qu'une tentative d'intrusion non souhaitée puisse aboutir durant ce laps de temps, ou alors ce serait vraiment un "coup de poisse" extraordinaire...

Il faut aussi penser que nous ne sommes QUE des particuliers et que les informations que nous hébergeons ne relèvent pas du "secret défense" ni du "secret industriel", donc nous ne représentons que très peu d'intérêt, du moins pour le moment, pour un pirate lambda. Par ailleurs nos machines ne nous permettront jamais d'atteindre le niveau de sécurisation de Google, IBM, Oracle, la sécurité sociale ou le pentagone !
Ma philo est donc simple : la sécurité, oui mais la sur-sécurité inutile, non, tout comme ta maison possède une porte fermée à clé, pour être plus rassuré tu peux installer une serrure 3 ou 5 point ou même une porte blindée, mais tu n'y mettras jamais la porte du coffre fort de la banque de France !
 
Je me pose une question : n'est-il pas possible d'activer une règle particulière parmi toutes celles présentes ?
Ce serait plus sécurisé que de passer par la désactivation totale du pare-feu puis sa réactivation après le renouvellement du certificat.

Dans le post suivant, il y a deux façons simples dont la seconde qui permet de continuer à avoir un profil sécurisé tout en laissant passer le trafic sur TCP/80 pour certbot.
 
Dans le post suivant, il y a deux façons simples dont la seconde qui permet de continuer à avoir un profil sécurisé tout en laissant passer le trafic sur TCP/80 pour certbot.
C'est le problème de compréhension sur les forums : de posts en posts, chacun y va de son "truc à lui" et le sujet initial devient "brouillon" donc difficile à suivre et à comprendre... Et je suis le premier à plaider coupable...
Typiquement, pour ce type de manip, il faudrait faire un tuto bien détaillé et bloquer les commentaires ! LOL
 
@cooper

Bon, revenons à nos moutons...
- Actuellement, j'en suis au point où tous les ports d'accès à mon Nas sont fermés sur ma box, sauf deux : le 443 (TCP et UDP) et le 80 (TCP).
- Le port 80, quant à lui est bloqué pour tout le monde et sur tous les protocoles par une règle de firewall sur le NAS.

L'idée m'avait tenté à un moment, de rerouter le port 443 vers un autre port, comme le 20443 (par exemple), mais au final "à quoi bon", vu que n'importe quel "sniffeur" un peu aguerri est capable de trouver le seul port ouvert d'une box, de plus cela entrainerait une modification de paramétrage, et j'ignore où ça se trouve, pour changer le port d'écoute par défaut 443 par 20443, afin d'éviter d'avoir à préciser ":20443" à la fin de chaque adresse lors des accès...

Avoir un port défini au lieu de router directement sur TCP/443 permet justement de ne pas exposer l'accès à DSM en tapant juste le nom de domaine (ou l'IP), ce qui à mon sens est utile.

Il m'est difficile d'être plus restrictif coté Firewall, notamment de bloquer des pays ou des continents, vu que mon NAS doit rester accessible un peu partout dans le monde, soit pour moi parce que je voyage pas mal, soit pour des amis (personnes de confiance) qui eux sont répartis sur les 5 continents.
D'autre part, vu qu'il n'y a qu'une seule "porte d'entrée" et que les services, applis et dossiers ont tous un accès géré via les autorisation par utilisateur ("à l'ancienne"), je ne vois pas trop ce que je pourrais faire de plus...
Enfin pour clôturer le tout, une authentification 2FA...
Je pense donc être assez bien "sécurisé", du moins pour un particulier, en utilisant seulement les moyens mis à disposition.
Si tu vois des défauts dans ma cuirasse, n'hésite pas à me les indiquer.

En te remerciant

Hébergeant des données professionnelles et services pour des collaborateurs chez moi, c'est la raison pour laquelle j'ai un pare-feu global et une séquestration des terminaux IoT mais au regard de données personnelles sur un Nas perso, c'est largement suffisant oui de mon point de vue (y)
Message automatiquement fusionné :

C'est le problème de compréhension sur les forums : de posts en posts, chacun y va de son "truc à lui" et le sujet initial devient "brouillon" donc difficile à suivre et à comprendre... Et je suis le premier à plaider coupable...
Typiquement, pour ce type de manip, il faudrait faire un tuto bien détaillé et bloquer les commentaires ! LOL

Effectivement, bonne idée. Vais m'y atteler quand j'aurai un peu plus de temps (y)
 
Avoir un port défini au lieu de router directement sur TCP/443 permet justement de ne pas exposer l'accès à DSM en tapant juste le nom de domaine (ou l'IP), ce qui à mon sens est utile.
Oui, j'ai eu le même raisonnement, d'ailleurs durant ma vie professionnelle, certains admins réseaux faisaient cela, d'autres non... Mais nous étions entre professionnels de l'informatique et les données hébergées étaient confidentielles ou sensibles.
Sur mon NAS, ce n'est pas le cas, il faut voir aussi que la plupart de mes users sont de simples utilisateurs et pour eux, taper un simple nom de domaine est plus simple, plus facile à retenir, plus confortable, etc...
Dit autrement, j'ai plus peur d'un pirate qui viendrait "foutre le souk" et rendrait inutilisable le NAS (peu importe la manière), que du simple vol ou copie des données.
Hébergeant des données professionnelles et services pour des collaborateurs chez moi, c'est la raison pour laquelle j'ai un pare-feu global et une séquestration des terminaux IoT mais au regard de données personnelles sur un Nas perso, c'est largement suffisant oui de mon point de vue (y)
Message automatiquement fusionné :
J'opterai certainement pour cette méthode, mais plus tard, lorsque je me serai familiarisé avec le monde Unix/Linux...
Effectivement, bonne idée. Vais m'y atteler quand j'aurai un peu plus de temps (y)
LOL ! On dit toujours ça !

Merci pour tes retours.