Chloroplaste Posté(e) le 11 juillet 2016 Partager Posté(e) le 11 juillet 2016 Bonsoir à tous, Novice en réseau, je viens tout juste de débuter l'ouverture de mon NAS sur Internet, non sans mal via un simple accès FTP pour des amis afin de partager quelques films de vacances. Mais qui dit NAS ouvert sur le net, dit potentielle faille de sécurité. J'aimerais donc avoir vos avis sur ce que j'ai fait. Sur mon NAS synology : - IP Fixe en dehors de la plage DHCP de ma livebox - Activation service FTP (actif sur port 21 et passif sur ports standards 55536-5543) - Filtrage IP sur la NAS (autorisation uniquement des IP France et ports standards FTP - Création d'un compte utilisateur avec droits très restreints (Lecture seulement sur dossier video, et autorisation uniquement sur "Application" ftp). - Blocages habituels sur echec connexion session... - Compte "admin" désactivé Sur ma Livebox : - Reroutage NAT du port 21 interne afin d'utiliser un autre port côté Internet (ex: 1925) - Ouverture des ports suivants en TCP : 1925, 55536-55543 - Upnp désactivé Le première faille que je vois est l'utilisation du FTP plutôt que le SFTP ou FTP/SSL, mais j'avais un peu peur que ces deux derniers ne diminuent trop drastiquement le taux de transfert et augmentent la charge CPU de mon NAS DS215j. De plus, j'ai déjà bien galéré pour arriver à paramétrer cela, donc chaque chose en son temps. Quel est votre avis, ai-je oublié des choses élémentaires en terme de sécurité ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Zappi Posté(e) le 12 juillet 2016 Partager Posté(e) le 12 juillet 2016 Bonjour, Sur mon syno je ne fait que du scp/sftp, le ftp envoi tout en claire mdp compris donc meme pour des films s'est light niveau secu. Sinon le reste est bon (compte restreint, blocage..) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chloroplaste Posté(e) le 12 juillet 2016 Auteur Partager Posté(e) le 12 juillet 2016 Merci pour votre retour. Y'a-t-il une grosse différence au niveau charge CPU entre FTP et SFTP ? Idem pour la bande passante ? Juste pour avoir un ordre d'idée. [Edit] : Bon, je viens juste de cocher la case "Activer le service de chiffrage FTP/SSL" Je pensait que le SSL nécessitait un certificat mais rien est mentionné sur les tutos Internet. Comme si cocher la case suffisait (si la paramétrage FTP préalable est bon). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Zappi Posté(e) le 13 juillet 2016 Partager Posté(e) le 13 juillet 2016 Y'a-t-il une grosse différence au niveau charge CPU entre FTP et SFTP ? Infime Idem pour la bande passante ? Non aucune difference Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chloroplaste Posté(e) le 16 juillet 2016 Auteur Partager Posté(e) le 16 juillet 2016 Bon, je viens d'activer le FTP/SSL en me contentant simplement de cocher la case du service FTP/SSL dans mon synology. Sauf que maintenant le lcient Filezilla distant ne peut plus se connecter : Quand je repasse en FTP uniquement, la connexion s'établie à nouveau correctement. Avez-vous une idée ? Y'a-t-il un paramètre complémentaire à modifier suite à l'activation du SSL ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Zappi Posté(e) le 16 juillet 2016 Partager Posté(e) le 16 juillet 2016 Normalement non. je regarderais demain la config de mon syno Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chloroplaste Posté(e) le 16 juillet 2016 Auteur Partager Posté(e) le 16 juillet 2016 J'ai lu à certains endroit que le SSL par-dessus le protocol FTP pouvait générer des erreurs lors de serveurs derrière règles NAT. Certains disent que le SFTP est plus simple à mettre en oeuvre. Lien vers le commentaire Partager sur d’autres sites More sharing options...
piwi82 Posté(e) le 29 juillet 2016 Partager Posté(e) le 29 juillet 2016 Le 16/07/2016 à 15:58, Chloroplaste a dit : L'erreur se situe au niveau du message Statut: Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur. As-tu bien coché la case □ Renvoyer l'IP externe en mode PASV dans la configuration FTP du NAS ? Le FTP non-chiffré n'est pas recommandé. Mais s'il n'est utilisé qu'avec des comptes restreints (lecture sur du contenu non sensible et pas d'écriture), ce n'est pas forcément un souci. Je te conseille d'activer le pare-feu du NAS et d'autoriser tous les réseau privés (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) et de bloquer tout le reste par défaut. Ensuite ajoute les règles correspondantes aux ports ouverts sur ta box et limite en l'accès aux adresses IP françaises (par exemple). Ça limite déjà énormément le périmètre de vulnérabilité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.