[NAS] Sécurité du réseau domestique

[Chloroplaste]

Bonjour,

 

Etant béotien dans le monde de la sécurité des réseaux informatiques, je viens poser une question.

Je possède un DS215j dont l'accès distant n'a pas encore été configuré. Ce dernier est donc simplement visible et accessible sur mon LAN.

On est donc d'accord qu'il ne constitue donc, pour le moment, aucune faille ou point d'entrée possible dans mon réseau LAN ?

 

Après le jour, où il s'agira d'ouvrir l'accès distant, j'imagine que ce sera une autre histoire...

[Ricard]

Tu as raison. Cependant, il peut toujours être vecteur d'attaque si il est corrompu (backdoor...) ou infecté par un malware.

[mantisis]

En theorie non il n'est pas vecteur d'attaque à moins que le firewall de ta box redirige certain port vers celui à cause de l'Upnp ou alors comme l'a dit Ricard s'il est infecté par une connerie.

Aprés si tu veux faire en sorte qu'il soit accessible de l'extérieur faudra faire les choses bien c'est à dire le rendre accessible en FTP avec SSL/TLS ou encore mieux utiliser la box comme point d'accès VPN (IPSec, Gre, PPTP ... ). Le tout sur des ports peu usuels histoire d'éviter un paquet de bot et de kevin qui scan les ports ouverts par défaut.

[Skywa]

En theorie non il n'est pas vecteur d'attaque à moins que le firewall de ta box redirige certain port vers celui à cause de l'Upnp ou alors comme l'a dit Ricard s'il est infecté par une connerie.

Aprés si tu veux faire en sorte qu'il soit accessible de l'extérieur faudra faire les choses bien c'est à dire le rendre accessible en FTP avec SSL/TLS ou encore mieux utiliser la box comme point d'accès VPN (IPSec, Gre, PPTP ... ). Le tout sur des ports peu usuels histoire d'éviter un paquet de bot et de kevin qui scan les ports ouverts par défaut.

 

Oui attention à l'Upnp surtout ( à désactiver sur la box de préférence et faire soit-même les redirections de ports ).

[Chloroplaste]

Bon j'ai suivi vos recommandations et désactivé l'upnp.

De toute manière, j'ai toujours eu du mal à voir son intérêt. Je sais qu'il m'avait causé quelques soucis du temps où je jouait à BF3 sur PC.

Mais là en 6 mois, il n'y a eu que 4 entrées de listées sous l'interface Upnp de ma livebox, ce qui ets vraiment rien.

Je verrais au besoin si jamais un programme est pas content

 

Concernant l'accès distant au NAS, j'attendrai de migrer vers une connexion VDSL, histoire d'avoir un upload minimum intéressant qui justifie l'intérêt de cette accès distant.

Merci pour vos retours en tout cas.

[gaetan.cambier]

bah, c parfois bien d'avoir un vpn pour pouvoir acceder à son reseau interne (bannir pptp surtout)

autrement, si c'est l'acces à dsm, le reverse proxy peux etre bien, on n'ouvre plus ce port 5000 ou 5001 synonyme de syno et ont fait tout passé par les port 80/443 standart,

moi en + j'ai cloudflare en frontend --> en cas d'attaque ils attaque cloudflare (qui a la bande passante pour le supporter)

et en cas d'acces direct à mon ip, je renvoit une erreur 500 après très longtemps faisant croire un problème serveur

[Chloroplaste]

bah, c parfois bien d'avoir un vpn pour pouvoir acceder à son reseau interne (bannir pptp surtout)

autrement, si c'est l'acces à dsm, le reverse proxy peux etre bien, on n'ouvre plus ce port 5000 ou 5001 synonyme de syno et ont fait tout passé par les port 80/443 standart,

moi en + j'ai cloudflare en frontend --> en cas d'attaque ils attaque cloudflare (qui a la bande passante pour le supporter)

et en cas d'acces direct à mon ip, je renvoit une erreur 500 après très longtemps faisant croire un problème serveur

 

On sent la connaissance dans le domaine. Malheureusement je suis encore loin de maîtrisé tout cela. Mais l'acquisition récente du syno me pousse à plus me renseigner sur tout cela.