[FTP] Ouvrir Syno et Sécurité

[Chloroplaste]

Bonsoir à tous,

 

Novice en réseau, je viens tout juste de débuter l'ouverture de mon NAS sur Internet, non sans mal via un simple accès FTP pour des amis afin de partager quelques films de vacances.

Mais qui dit NAS ouvert sur le net, dit potentielle faille de sécurité.

J'aimerais donc avoir vos avis sur ce que j'ai fait.

 

Sur mon NAS synology :

- IP Fixe en dehors de la plage DHCP de ma livebox

- Activation service FTP (actif sur port 21 et passif sur ports standards 55536-5543)

- Filtrage IP sur la NAS (autorisation uniquement des IP France et ports standards FTP

- Création d'un compte utilisateur avec droits très restreints (Lecture seulement sur dossier video, et autorisation uniquement sur "Application" ftp).

- Blocages habituels sur echec connexion session...

- Compte "admin" désactivé

 

Sur ma Livebox :

- Reroutage NAT du port 21 interne afin d'utiliser un autre port côté Internet (ex: 1925)

- Ouverture des ports suivants en TCP : 1925, 55536-55543

- Upnp désactivé

 

Le première faille que je vois est l'utilisation du FTP plutôt que le SFTP ou FTP/SSL, mais j'avais un peu peur que ces deux derniers ne diminuent trop drastiquement le taux de transfert et augmentent la charge CPU de mon NAS DS215j.

De plus, j'ai déjà bien galéré pour arriver à paramétrer cela, donc chaque chose en son temps.

 

Quel est votre avis, ai-je oublié des choses élémentaires en terme de sécurité ?

[Zappi]

Bonjour,

 

Sur mon syno je ne fait que du scp/sftp, le ftp envoi tout en claire mdp compris donc meme pour des films s'est light niveau secu.

 

Sinon le reste est bon (compte restreint, blocage..)

[Chloroplaste]

Merci pour votre retour.

 

Y'a-t-il une grosse différence au niveau charge CPU entre FTP et SFTP ?

Idem pour la bande passante ?

 

Juste pour avoir un ordre d'idée.

 

[Edit] : Bon, je viens juste de cocher la case "Activer le service de chiffrage FTP/SSL"

Je pensait que le SSL nécessitait un certificat mais rien est mentionné sur les tutos Internet. Comme si cocher la case suffisait (si la paramétrage FTP préalable est bon).

[Zappi]

Y'a-t-il une grosse différence au niveau charge CPU entre FTP et SFTP ? Infime

Idem pour la bande passante ? Non aucune difference

[Chloroplaste]

Bon, je viens d'activer le FTP/SSL en me contentant simplement de cocher la case du service FTP/SSL dans mon synology.

Sauf que maintenant le lcient Filezilla distant ne peut plus se connecter :

 

Quand je repasse en FTP uniquement, la connexion s'établie à nouveau correctement.

Avez-vous une idée ?

Y'a-t-il un paramètre complémentaire à modifier suite à l'activation du SSL ?

[Zappi]

Normalement non.

je regarderais demain la config de mon syno

[Chloroplaste]

J'ai lu à certains endroit que le SSL par-dessus le protocol FTP pouvait générer des erreurs lors de serveurs derrière règles NAT.

Certains disent que le SFTP est plus simple à mettre en oeuvre.

[piwi82]

Le 16/07/2016 à 15:58, Chloroplaste a dit :

L'erreur se situe au niveau du message Statut: Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.

As-tu bien coché la case □ Renvoyer l'IP externe en mode PASV dans la configuration FTP du NAS ? Le FTP non-chiffré n'est pas recommandé. Mais s'il n'est utilisé qu'avec des comptes restreints (lecture sur du contenu non sensible et pas d'écriture), ce n'est pas forcément un souci.

Je te conseille d'activer le pare-feu du NAS et d'autoriser tous les réseau privés (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) et de bloquer tout le reste par défaut. Ensuite ajoute les règles correspondantes aux ports ouverts sur ta box et limite en l'accès aux adresses IP françaises (par exemple). Ça limite déjà énormément le périmètre de vulnérabilité.