Synology Besoin d'aide et de renseignements pour un projet - NAS DS216J

Gz_

Nouveau membre
13 Mai 2018
2
0
0
Bonjour à tous.

Je viens vers vous pour avoir quelques renseignements et votre avis sur un projet que j'aimerai mettre en place avec mon NAS Synology.

Pour commencer, une petite description, j'ai un NAS DS216J depuis quelques mois. Je m'en sert actuellement comme stockage pour un serveur multimédia configuré sur un Raspberry Pi3. Il y a dedans deux disque durs dont un qui n'est pour le moment pas utilisé et qui me servirai pour mon projet futur. Aucun RAID n'est mis en place, je n'en ai pas l'utilité.

Cette utilisation ne sera pas retirée ou modifiée suite à la réalisation, dans la mesure du possible, du projet que j'ai en tête et que j'aimerai vous soumettre.

Alors voilà mon idée :

Dans un premier temps, je voudrai l'ouvrir sur le net et me connecter à l'interface graphique d'administration et de gestion du DSM en VPN, de préférence IPSec (mon proféré ^^).
Étant novice dans l'univers des NAS, j'ai cherché sur Internet et j'ai trouvé un tuto qui est très bien fait. Je pense donc me lancer dans ce tuto après avoir lu les informations et autres tutos sur la sécurisation du NAS. Toute fois je me demande quelque chose. Pour me connecter au NAS depuis le VPN, dois-je le faire via mon adresse en quickconnect.to ou via l'IP publique de ma box (incluant une redirection de port) ?

De plus, lors de la connexion au VPN, on est bien d'accord pour dire que mon NAS étant derrière ma box en réseau local, la connexion sur ce dernier se fera via l'intermédiaire d'un saut depuis la box ?
Dans ce cas qu'en est il du NAT ? Si je ne me trompe pas NAT et IPSec ne sont pas vraiment ami. Est il possible de mettre en place du NAT-T pour palier à ça ?


Dans un deuxième temps, j'ai pour projet de monter un site web à titre purement personnel et de l'héberger sur le NAS. Ce ne sera pas un site destiné à être diffusé au grand publique mais plutôt pour moi pour avoir la possibilité de créer, modifier et lire son contenu depuis Internet (principalement des articles, des scans et des pdf).

Est il possible de se connecter aussi au site via IPSec ? j'entends par la que moi seul pourrai le "voir" et y accéder vu qu'il serait "bien caché dans un tunnel".
Si ce n'est pas possible est il par contre faisable de mettre en place une connexion TLS sur le site afin de "sécuriser" un minimum tout ça et de n'autoriser qu'un seul compte à accéder et à voir son contenu ?

Autre question, j'ai "un peu peur" que si un jour mon site est compromis, le hacker puisse avoir accès au reste du disque dur du NAS depuis le contenu des fichiers et arborescence du site.

J'avais pense à créer le site dans un conteneur via docker mais apparemment mon NAS n'est pas compatible avec ce paquet :(
Existe t-il un équivalant à Docker ou une autre façon de faire ? voir tout simplement sans se prendre la tête a créer un conteneur, de sécuriser la navigation sur le disque dur à partir du répertoire qui contient le site ?

Si j'ai oublié certaines choses ou si vous avez besoin de plus d'informations n'hésitez pas à me demander.

Je vous remercie d'avoir lu mon message et pour votre aide.
Bonne journée.
 
Hello,

Alors tout d'abord, je te propose de faire un choix entre OPENVPN, L2TP/IPSec et PPTP grâce au paquet VPN Server (fourni par Synology). Il fonctionne vraiment bien et le paquet est mis à jour régulièrement... Ensuite, il faudra effectivement ouvrir la Box sur les ports concernés et rediriger vers le NAS.

Adresse IP ou DDNS : je choisis DDNS qui est plus simple à retenir qu'une adresse IP. Après, si elle est fixe et qu'elle ne change jamais... alors tu peux utiliser l'adresse IP ;)

Ensuite, pour le site personnel... tu peux le rendre accessible qu'en local (chez toi) et donc également à travers ton VPN uniquement.
 
Hello

Pour mettre en place le VPN Esteban à fait un tuto que tu peux trouvé là
https://www.forum-nas.fr/viewtopic.php?f=56&t=7233

Mais surtout sur ta box n'ouvre pas le 1701 seul le 450 et 4500 sont a ouvrir !

Pour ce faire haché sont NAS, on doit pas avoir de bol
Mais surtout ne pas ouvrir n'importe quel port sur ta box , la sinon tu te met en peril tout seul

Mais dans le nas change les ports de gestion soit le 5000 & 5001 ;)

Désactive direct le membre Admin qui est crée d' office

Un excellent article pour te protégé du monde extérieur !
https://www.cachem.fr/10-conseils-securite-nas/
 
Hello,

Changer les ports 5000/5001 n’est que psychologique. Sans aller dans le détail, ça ne sert pas à grand chose pour palier aux méchants hackers voire à rien.
Quickconnect très bof selon moi car on transiste forcément vers “ailleurs”.
Je rajouterai que le réglage du pare-feu et la connexion via un compte user simple pour l accès sont très importants.


Via Tapatalk
 
Un vrai hackeur, cest sur que ca l'arretera pas, on est d'accord!

Mais changer les ports par defaut, ca coute pas grand chose,
et ca evite deja les scriptkiddies et les bots, soit 95% des attaques potentielles.
 
Dans le cas présent, les ports 500/5001 ne seront pas ouverts, il me semble.
Mais je maintiens que meme un neophyte va scanner les ports et perdre quelques secondes. Quant aux bots, ils n'attaquent pas sur tel ou tel n° de port spécifiquement (hors 80/443). C'est un retour du serveur qui les guides en fait ... o_O

Mais t as raison, les changer se fait facilement et rapidement si ca fait plaisir :-D
Moins le nombre de ports est ouvert, moins le risques est présent.
 
Je ne parle pas sur ce cas precis, desolé pour la digression ;)

Si une eventuelle faille sur les interfaces de gestions Synology etait decouverte, dans les quelques minutes qui suivent,
il y a aura des scans sur les ports par defaut de ces interfaces sur toutes les plages IP possibles.

Changer le port par defaut d'un service ouvert sur internet, quand cest possible, cest quand meme la base pour eviter par mal d'ennuis pour moi