Salut,
J'ai quelques questions pour les gourous des réseaux
J'ai installé un Synology DS918+ avec les toutes dernières versions de DSM et des Apps.
Puis j'ai fait tout le paramétrage de sécurité...
Et... TOUT MARCHE nickel !
Sauf que j'ai quelques questions qui me chagrinent
1/ Comme le port HTTPS du NAS, mon fameux "port HTTPS exotique", n'est pas le 443 (disons que c'est le 6789), du coup il devient visible dans toutes les URL :evil:
Ca me plait moyen.
Pour ça, j'ai lu qu'on pouvait le cacher en utilisant la fonctionnalité de proxy inversé. Même l'aide Syno indique qu'on peut le faire ("Les règles de proxy inversé peuvent vous aider à masquer les ports sensibles vis-à-vis des menaces potentielles")...
https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias
Mais sur le net j'ai trouvé aucun exemple clair qui permettre de le mettre en oeuvre.
Certain en parle bien, peut être que j'ai rien compris, mais jusqu'à maintenant mes tests n'ont pas été concluants.
Quelqu'un sait faire ça ?
Comment le paramétrer ?
2/ C'est quand même couillon de devoir ouvrir le 443 uniquement pour Photo Station / DS Station
Pareil, j'ai vu qu'on pouvait changer de port dans les paramétrages de Photo Station, ça devrait pas être sorcier, mais je me suis aussi cassé les dents dessus.
L'idée ça serait de ramener Photo Station / DS Station sur le même port HTTPS que les autres, le 6789.
Quelqu'un sait faire ?
3/ Quant au port 80, c'est tout aussi dommage de devoir l'ouvrir alors que j'ai tout en HTTPS, juste pour renouveler le certificat Let's Encrypt.
Mais là je suis pas sûr qu'on puisse faire quelque chose.
Si quelqu'un a une idée... je suis preneur.
Merci d'avance !
J'ai quelques questions pour les gourous des réseaux
J'ai installé un Synology DS918+ avec les toutes dernières versions de DSM et des Apps.
Puis j'ai fait tout le paramétrage de sécurité...
- Désactivé le compte Admin
- Imposé des mots de passe sécurisés
- Activé la double authentification
- Activé le blocage auto après un trop grand nombre de tentatives de connexions
- Activé les notifications par email et SMS pour être informé de tout incident immédiatement
- Redirigé toutes les connexions en HTTPS
- Demandé et installé un certificat SSL sur un sous domaine personnel
- Changé les ports par défaut (dont le HTTPS qui n'est plus le 5001)
- Installé VPN Server en OpenVPN
- Paramétré les redirections de port sur la Freebox
(80 pour les renouvellements Let's Encript, 443 pour Photo Station/DS Photo, 1194 pour OpenVPN & mon port HTTPS exotique pour tout le reste) - Activé le firewall du NAS où tout est fermé à part les ports 80, 443, 1194 & mon port HTTPS exotique
- Activé la protection DoS
- Désactivé l’intégration de DSM dans des iFrame
- Installé l'antivirus Synology
Et... TOUT MARCHE nickel !
Sauf que j'ai quelques questions qui me chagrinent
1/ Comme le port HTTPS du NAS, mon fameux "port HTTPS exotique", n'est pas le 443 (disons que c'est le 6789), du coup il devient visible dans toutes les URL :evil:
Ca me plait moyen.
Pour ça, j'ai lu qu'on pouvait le cacher en utilisant la fonctionnalité de proxy inversé. Même l'aide Syno indique qu'on peut le faire ("Les règles de proxy inversé peuvent vous aider à masquer les ports sensibles vis-à-vis des menaces potentielles")...
https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias
Mais sur le net j'ai trouvé aucun exemple clair qui permettre de le mettre en oeuvre.
Certain en parle bien, peut être que j'ai rien compris, mais jusqu'à maintenant mes tests n'ont pas été concluants.
Quelqu'un sait faire ça ?
Comment le paramétrer ?
2/ C'est quand même couillon de devoir ouvrir le 443 uniquement pour Photo Station / DS Station
Pareil, j'ai vu qu'on pouvait changer de port dans les paramétrages de Photo Station, ça devrait pas être sorcier, mais je me suis aussi cassé les dents dessus.
L'idée ça serait de ramener Photo Station / DS Station sur le même port HTTPS que les autres, le 6789.
Quelqu'un sait faire ?
3/ Quant au port 80, c'est tout aussi dommage de devoir l'ouvrir alors que j'ai tout en HTTPS, juste pour renouveler le certificat Let's Encrypt.
Mais là je suis pas sûr qu'on puisse faire quelque chose.
Si quelqu'un a une idée... je suis preneur.
Merci d'avance !