Synology Masquer le port HTTPS / Proxy inversé / Choix des ports

FTP

Chevalier Jedi
4 Septembre 2017
221
7
18
Salut,

J'ai quelques questions pour les gourous des réseaux :-P

J'ai installé un Synology DS918+ avec les toutes dernières versions de DSM et des Apps.
Puis j'ai fait tout le paramétrage de sécurité...
  • Désactivé le compte Admin
  • Imposé des mots de passe sécurisés
  • Activé la double authentification
  • Activé le blocage auto après un trop grand nombre de tentatives de connexions
  • Activé les notifications par email et SMS pour être informé de tout incident immédiatement
  • Redirigé toutes les connexions en HTTPS
  • Demandé et installé un certificat SSL sur un sous domaine personnel
  • Changé les ports par défaut (dont le HTTPS qui n'est plus le 5001)
  • Installé VPN Server en OpenVPN
  • Paramétré les redirections de port sur la Freebox
    (80 pour les renouvellements Let's Encript, 443 pour Photo Station/DS Photo, 1194 pour OpenVPN & mon port HTTPS exotique pour tout le reste)
  • Activé le firewall du NAS où tout est fermé à part les ports 80, 443, 1194 & mon port HTTPS exotique
  • Activé la protection DoS
  • Désactivé l’intégration de DSM dans des iFrame
  • Installé l'antivirus Synology
J'ai peut être raté un truc, mais pour un début ça me parait pas mal.
Et... TOUT MARCHE nickel ! :mrgreen:

Sauf que j'ai quelques questions qui me chagrinent :roll:

1/ Comme le port HTTPS du NAS, mon fameux "port HTTPS exotique", n'est pas le 443 (disons que c'est le 6789), du coup il devient visible dans toutes les URL :evil: :(
Ca me plait moyen.

Pour ça, j'ai lu qu'on pouvait le cacher en utilisant la fonctionnalité de proxy inversé. Même l'aide Syno indique qu'on peut le faire ("Les règles de proxy inversé peuvent vous aider à masquer les ports sensibles vis-à-vis des menaces potentielles")...
https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias

Mais sur le net j'ai trouvé aucun exemple clair qui permettre de le mettre en oeuvre.
Certain en parle bien, peut être que j'ai rien compris, mais jusqu'à maintenant mes tests n'ont pas été concluants.

Quelqu'un sait faire ça ?
Comment le paramétrer ?

2/ C'est quand même couillon de devoir ouvrir le 443 uniquement pour Photo Station / DS Station :roll:
Pareil, j'ai vu qu'on pouvait changer de port dans les paramétrages de Photo Station, ça devrait pas être sorcier, mais je me suis aussi cassé les dents dessus.
L'idée ça serait de ramener Photo Station / DS Station sur le même port HTTPS que les autres, le 6789.

Quelqu'un sait faire ?

3/ Quant au port 80, c'est tout aussi dommage de devoir l'ouvrir alors que j'ai tout en HTTPS, juste pour renouveler le certificat Let's Encrypt.
Mais là je suis pas sûr qu'on puisse faire quelque chose.
Si quelqu'un a une idée... je suis preneur.

Merci d'avance ! :-P
 
salut,

Si tu utilises le VPN, pq ouvrir les autres ports sur la box ? :-D -> tu n'en n'as pas besoin.
=> Le reverse proxy ne te serait plus utile.

De mon cote le port 80 est ferme -> qd il y a besoin, je l'ouvre ponctuellement pour le NAS et uniquement pour la tache de renouvellement certificat.
Ey qaunt au vpn, il est configuré sur un routeur et pas sur le NAS. => Inutile que le tt traffic passe par ce dernier... ;o)

Aussi, si tu cherches plus de sécurité, je t'invite à utiliser ta box en bridge et utiliser un vrai routeur. Les box sont des passoires.

Si tu peux rajouter des trucs a ta liste, un peu en vracs.
- desactive Upnp de ta box.
- utilisation dun gestionnaire de pwd
- au qutidien, utilisation d'un log du groupe "user".
 
Esteban a dit:
Si tu utilises le VPN, pq ouvrir les autres ports sur la box ? :-D -> tu n'en n'as pas besoin.
=> Le reverse proxy ne te serait plus utile.
Le VPN c'est pour les cas extrêmes, pas pour tous les jours.
C'est chiant d'ouvrir systématiquement un VPN pour toute consultation, ça réduit la vitesse et c'est pas très utile dans certains cas comme quand t'es en 4G direct chez l'opérateur en France.
En revanche, quand je passe par la Chine c'est indispensable et sur les Wifi public aussi.
Me suis déjà fait piraté une connexion Wifi dans un hôtel de Bangkok, donc pas 2 !

Esteban a dit:
qaunt au vpn, il est configuré sur un routeur et pas sur le NAS. => Inutile que le tt traffic passe par ce dernier... ;o)
Pour une utilisation permanente c'est clair, c'est ce que j'avais à Shanghai.
Mais encore une fois, là c'est juste pour des utilisations ponctuelles.

Esteban a dit:
De mon cote le port 80 est ferme -> qd il y a besoin, je l'ouvre ponctuellement pour le NAS et uniquement pour la tache de renouvellement certificat.
Ok mais comment tu fais ?
T'as des alertes ?

Esteban a dit:
Aussi, si tu cherches plus de sécurité, je t'invite à utiliser ta box en bridge et utiliser un vrai routeur. Les box sont des passoires.
Mouais, c'était ma config au début mais il y a trop d'inconvénient avec une Freebox.
Tu pers pas mal de services pour lesquels il faut ensuite faire des acrobaties pour les récupérer.
 
Sécu avant tout -
Débit effectivement réduit et dépendant de l upload du lieu du nas. Sans avoir la fibre, ça marche plutôt bien - 8 M en up.
Hôtel France / hotspot / amis / et même 4g -> vpn pour moi.

Pour le certificat - en fait, c’est quand j’y pense. Si j’ai pas dépasser la date - je supprime et je refais -> 2 min
Je pourrais aussi programmer le routeur que ça soit automatique. [emoji16]

Quelle service ? Tv ? Telephone ?
No pb et ce, sans faire de Vlan. Inconvénient -> impossible d’accéder au nas depuis le player... il branche en direct - telephone aussi.

Après je comprends tt a fait tes demandes, mais ça ouvre des failles.


Via Tapatalk