Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Let’s Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Le plus dur n'est pas ce que l'on croit

Avatar de l'auteur
David Legrand

Publié dans

Internet

22/01/2016 7 minutes
50

Let's Encrypt et DSM 6.0 : comment créer et installer un certificat sur votre NAS Synology

Vous pouvez désormais obtenir et activer simplement un certificat Let's Encrypt pour votre NAS Synology. Pour cela, il vous suffit d'utiliser la version 6.0 bêta 2 du DSM et suivre quelques petites étapes.

Hier, Synology a mis en ligne la seconde bêta de son DSM 6.0. Attendue par tous les adeptes de la marque, elle intègre de nombreuses nouveautés annoncées lors de la présentation (voir notre analyse), mais surtout, elle introduit le support de Let's Encrypt

Synology propose un support simple de Let's Encrypt

Cette fonctionnalité est importante car elle permet de générer un certificat gratuit et reconnu par tous les navigateurs afin de disposer d'un accès HTTPS à l'interface du NAS depuis l'extérieur. Vous pouvez ainsi vous y connecter sans que le mot de passe circule en clair (voir un précédent article sur le sujet) et plus généralement chiffrer l'ensemble des échanges entre le NAS et votre machine. 

Jusqu'à maintenant, la seule solution proposée était de générer un certificat auto-signé (et donc non reconnu par les navigateurs à moins de l'ajouter manuellement) ou d'installer un certificat généré par une autorité de certification reconnue.

Synology Let's Encrypt
Avec un certificat auto-signé, c'est l'erreur assurée

Ici, le but est de disposer d'une solution gratuite et simple à mettre en place pour tous. Nous avons donc testé cette fonctionnalité afin de voir si cette promesse était tenue.

Tout d'abord il faut savoir qu'un certificat SSL/TLS (X.509) tel qu'il est utilisé ici, est généré pour assurer de la propriété d'un domaine et éventuellement de sous-domaines. Vous ne pouvez donc l'utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.

Configurez votre routeur pour un accès externe

Pour ce faire, vous devez rediriger un domaine vers l'IP de votre NAS mais aussi vous assurer que les ports nécessaires sont ouverts et renvoyés vers votre NAS via votre routeur. Si vous hébergez vous-même votre NAS vous devrez faire la manipulation à la main en fonction de votre réseau local.

Synology propose un outil Configuration du routeur permettant de simplifier la procédure accessible dans le panneau de configuration dans la section Accès externe. Si vous avez opté pour un NAS hébergé par des services comme Infomaniak par exemple, tout est déjà en place.

Par défaut, l'accès HTTPS à votre NAS Synology se fait sur le port 5001, mais vous avez la possibilité de modifier ce choix par sécurité. Il faudra aussi penser à faire de même pour les différents services que vous voulez utiliser. Attention, pour que l'ajout d'un certificat Let's Encrypt fonctionne, le port 80 doit aussi être ouvert et redirigé vers votre NAS.

Accès à votre NAS depuis l'extérieur : quelques points à vérifier

Attention tout de même : laisser un accès depuis l'extérieur à un NAS permettant d'accéder à vos données n'est pas anodin. Pensez à activer les différentes options proposées dans la section Sécurité du panneau de configuration : le pare-feu, le blocage automatique en cas d'utilisation d'un mauvais mot de passe de manière répétée, la protection contre les attaques par déni de service, l'interdiction d'intégration dans une iFrame, etc. 

Vous pouvez aussi décider d'activer la connexion avec une vérification en deux étapes (2FA) dans les paramètres avancés de la section Utilisateur. Cela vous permettra d'ajouter une couche de sécurité supplémentaire avec l'utilisation d'une application qui génèrera un code aléatoire nécessaire pour se connecter.

Synology publie de son côté tout un ensemble de recommandations qui pourront vous aider.

Redirigez un domaine vers votre NAS

Pour ce qui est de l'obtention et de la redirection d'un nom de domaine, vous avez deux possibilités. Soit vous en avez déjà un à disposition et vous demandez à votre prestataire de mettre en place une redirection vers l'IP de votre NAS. C'est en général assez simple, des formulaires simplifiés vous permettant de gérer une telle demande automatiquement chez les hébergeurs et autres registrars.

Si vous n'avez pas de nom de domaine, que vous ne voulez pas en payer un, ou que votre connexion dispose d'une IP dynamique vous avez aussi la possibilité d'utiliser un service DDNS (Dynamic DNS). Le DSM de Synology en gère tout un tas, mais dans notre exemple nous avons décidé d'opter pour celui qui est proposé par la société : Synology.me. 

Synology Let's Encrypt

Pour en profiter, il vous suffit de disposer d'un compte Synology que vous pouvez directement créer depuis l'interface DSM avec une adresse email et un mot de passe. Une fois votre email confirmé, et si votre NAS et votre routeur ont bien été configurés, vous pourrez accéder à votre interface depuis une adresse type :

http://nom-choisi.synology.me

Une création de certificat Let's Encrypt en quelques clics

Une fois cette étape passée, passons à ce qui nous intéresse spécifiquement aujourd'hui : la création du certificat Let's Encrypt. Cela se passe dans la section Sécurité du panneau de configuration, dans l'onglet Certificat. Sélectionnez Ajouter, et vous pourrez alors créer un nouveau certificat ou alors remplacer un existant. Vous pourrez aussi préciser si c'est celui à utiliser par défaut ou non.

Dans tous les cas, une nouvelle option fera ensuite son apparition : Procurez-vous un certificat auprès de Let's Encrypt. Vous devrez alors préciser le domaine d'accès de votre NAS (testletsencrypt.synology.me dans notre exemple), un courrier électronique de contact, ainsi que d'éventuels noms alternatifs. Ceux-ci permettent de gérer des domaines alias permettant d'accéder à votre NAS de la même manière que votre domaine principal. Ils doivent être séparés par des « ; ».

Synology Let's EncryptSynology Let's Encrypt

Une fois ceci effectué, votre certificat sera activé et valable pour trois mois. Pour le moment, Synology ne semble pas proposer de solution de renouvellement, et ne précise pas si celui-ci est automatique. Cela devrait néanmoins être précisé et/ou mis en place d'ici la prochaine bêta ou la version finale attendue pour mars. Nous aurons donc l'occasion d'y revenir.

Activez l'accès HTTPS et configurez la suite de chiffrement

Pour profiter de l'accès HTTPS, il faut bien entendu penser à l'activer. Cela se passe dans les Paramètres de DSM dans la section Réseau du panneau de configuration. Vous pourrez y choisir les ports d'accès, activer la redirection automatique vers la version HTTPS et activer HTTP/2.

Notez que dans les paramètres avancés de la section Sécurité, vous avez aussi la possibilité de modifier les suites de chiffrement SSL/TLS que vous voulez utiliser. La version « Moderne » sera la plus restrictive, mais sera susceptible de poser problème si votre navigateur n'est pas à jour. C'est néanmoins celle que nous vous recommandons d'utiliser.

 Synology Let's Encrypt

Une intégration réussie, mais des options dispersées

Au final, la méthode mise en place par Synology semble donc assez simple. Pour le moment, le plus complexe pour les non-initiés restera en effet de paramétrer l'accès au NAS depuis l'extérieur via une URL spécifique. On pourra tout de même regretter que les options relatives à l'accès HTTPS soient parfois accessibles dans des sections dispersées du panneau de configuration plutôt que d'être entièrement regroupé. 

Reste maintenant à voir comment cela évolue et si Synology fait encore évoluer les choses d'ici la version finale de son DSM 6.0, notamment sur la question du renouvellement du certificat.

Il sera aussi intéressant de voir si ses concurrents comme ASUSTOR et QNAP décident de faire de même dans les semaines à venir, donnant un peu plus de poids à Let's Encrypt qui est déjà proposé par certains hébergeurs comme Gandi ou Infomaniak, OVH n'ayant pour le moment toujours pas mis en place le support annoncé

50

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Synology propose un support simple de Let's Encrypt

Configurez votre routeur pour un accès externe

Accès à votre NAS depuis l'extérieur : quelques points à vérifier

Redirigez un domaine vers votre NAS

Une création de certificat Let's Encrypt en quelques clics

Activez l'accès HTTPS et configurez la suite de chiffrement

Une intégration réussie, mais des options dispersées

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (50)


<img data-src=" /> J’ai un nas chez moi et j’ai tout de configuré. j’utilise un certificat de startssl et ça à été un peu galère à générer et comme j’ai rajouté d’autres sous domaines à mon nas baaah j’ai la flemme de refaire d’autre certifs.

la ça va etre tellement simple pour en refaire !


Je voulais justement faire la config avec un certificat Let’s Encrypt. Je vais le faire à la main pour l’instant, en attendant la sortie de la version finale, mais c’est encore un bon point pour Syno.


Quid des sous-domaines en toto.synology.me ?



Du genre : sousdomaine1.toto.synology.me sera aussi accepté par le certificat ?


<img data-src=" />



Quel intérêt ? Sinon non, Synology ne permet pas de créer une URL de ce type (le point n’est pas accepté dans le nom d’hôte)


Excusez moi pour cette question sûrement naïve mais n’étant pas du tout calé en sécurité…



Quel est le but de ce certificat ? D’authentifier le NAS lors d’une connexion externe ? Mais dans ce cas, que signifie “authentifier le NAS ?


Bon article !&nbsp;

Je me pose une question cependant. Il est indiqué que le port 80 est nécessaire. Or DSM permet de forcer la redirection de 80 vers 443. Est-ce fonctionnel ?



Sinon, c’est suggéré dans l’article mais je me permet d’insister : je recommande à tous de changer tous les ports par défaut, surtout lorsqu’ils sont ouvert vers l’extérieur.



De mon côté j’avais un certificat StartTLS gratuit, je suis pas certain que Let’s Encrypt m’apport plus. J’ai créé un sous domaine de mon serveur web qui pointe vers mon NAS et ça marche plutôt bien.



Autre conseil : étant donné qu’on ne peut pas utiliser autre chose que son nom de domaine pour accéder à son NAS en HTTPS, ça peut parfois être problématique lors d’accès en local. Car les DNS de notre PC vont obtenir l’IP externe et pas celle du réseau local… Donc j’ai installé le serveur DNS proposé par Synology que j’ai configuré pour que mon nom de domaine pointe vers l’IP locale et toute autre requête est renvoyée à un autre DNS. Puis j’ai configuré mon DHCP pour qu’il donne l’IP locale du NAS comme DNS. Comme ça, chez moi mon NDD tombe sur mon IP locale. A l’extérieur, il tombe sur l’IP de ma box et tout roule. :)


Question [naïve] : qu’en est-il des données potentiellement récupérées par Synology si on utilise un .synology.me plutôt qu’un nom de domaine perso ?



Lier son NAS à Synology est très pratique mais pour un serveur mail c’est pas top puisqu’on peut pas avoir de mail en [email protected] (si ?).


À supprimer.


En théorie, aucune donnée ne passera chez syno. Lorsque ton PC va demander à accéder à ton NAS via xxx.synology.me, il va interroger ses DNS (ceux de ton FAI, de google, etc) qui vont lui donner ton IP. Après il n’utilisera plus le nom de domaine mais l’IP qui est la tienne.&nbsp;Pour t’en assurer, dans une console, tappe “nslookup tondomaine.synology.me” et tu verras qu’il pointe vers ta box, pas synology.&nbsp;Si des experts passent par là, qu’ils me confirme ou infirme.








David_L a écrit :



<img data-src=" />



Quel intérêt ? Sinon non, Synology ne permet pas de créer une URL de ce type (le point n’est pas accepté dans le nom d’hôte)





L’intérêt est d’accéder directement aux bonnes applications. Ex : photostation.toto.synology.me -&gt; photostation pareil pour download station, vidéo station etc…



Synology ne le permet pas en natif mais un reverse proxy permet de le faire. Cela permet un poil plus de sécurité. Et aussi d’accéder à l’interface de sa box si celle-ci ne gere pas le https via https tout de même (freebox bonjour) ou ne permet pas l’accès depuis l’extérieur. https://box.toto.synology.me)

D’où la question qui du coup m’interesse également !



à pouvoir utiliser du HTTPS si tu veux te connecter à distance à ton NAS.


un nom de domaine synology.me me permet en aucune maniere d’acceder a tes données.

Un domaine est juste un ou plusieurs mots associés a une ip dans une table. Et quand on demande a cette table quelle est l’ip qui correspond a ces mots, ca renvoie des chiffres. C’est tout.

Y’a rien qui passe par Synology.



Au pire du pire, les seules infos qu’ils peuvent obtenir, c’est a quel moment tu te connectes sur ton syno. Et encore, pas a chaque fois car ta machine possede un cache local








vinky_ a écrit :



L’intérêt est d’accéder directement aux bonnes applications. Ex : photostation.toto.synology.me -&gt; photostation pareil pour download station, vidéo station etc…



Synology ne le permet pas en natif mais un reverse proxy permet de le faire. Cela permet un poil plus de sécurité. Et aussi d’accéder à l’interface de sa box si celle-ci ne gere pas le https via https tout de même (freebox bonjour) ou ne permet pas l’accès depuis l’extérieur. https://box.toto.synology.me)

D’où la question qui du coup m’interesse également !









Les applis synology utilisent les ports pour se differencier. Et si tu places un proxy reverse, tu fous tes certificats dessus directement, pas besoin de bricoler dans le syno pour ca



C’est une question compliqué qui oblige une petite intro au chiffrement.



Pour chiffrer/déchiffrer, il faut deux “clés”. Une privée que la machine garde pour elle et une publique qui est distribuée à tout le monde.&nbsp;La clé privée permet de déchiffrer un message qui a été chiffré par la clé publique.



Le NAS va donc envoyer sa clé publique à ton PC. Tu vas l’utiliser pour chiffrer un message, puis envoyer ce message chiffré à ton NAS. Le NAS va ensuite utiliser sa clé privé pour le déchiffrer. Donc seul ton NAS est capable de déchiffrer ce message.



Le problème est que ton PC a utilisé une clé de quelqu’un d’autre (le NAS) pour chiffrer le message. Il faut donc s’assurer que la clé que tu récupère est celle du NAS. Il faut “authentifier” la clé que ton PC reçoit pour être certain que seul le NAS saura déchiffrer le message que tu lui envoi. Et pour ça, un organisme de certification (ici Let’s Encrypt) te certifie que la clé que tu as reçu appartient à NAS et personne d’autre.



J’espère que je suis clair, c’est pas certain ^^‘.


et Anozer





Ok, merci.

Le gros intérêt que je vois de ce système est la facilité d’utilisation, notamment avec une IP dynamique. Ça reste moins sexy qu’un ndd quand même. :)








KP2 a écrit :



Les applis synology utilisent les ports pour se differencier.





On est bien d’accord, c’est d’ailleurs ce qu’utilise le reverse proxy. Mais c’est pas terrible en sécurité. Le reverse proxy est quand même bien plus approprié. Sans compter que ça implique pleins de port et donc plein de probabilité de non accès sur un réseau limité/bloqué/sécurisé. En faisant ça, tu peux tout faire passer dans le même port.



Bref, il y a pas à chercher, rien ne vaut le reverse proxy pour diverses raisons donc la question est clairement légitime et faut arrêter de vouloir trouver d’autres solutions en disant “ca sert à rien votre truc” suffit de se renseigner sur le sujet ;)







KP2 a écrit :



Et si tu places un proxy reverse, tu fous tes certificats dessus directement, pas besoin de bricoler dans le syno pour ca





Donc concrètement avec Let’s encrypt on fait une demande pour chaque sous domaine ? Cela ne fonctionne pas en sous domaine pour tous les xxxxx.toto.synology.me ?



Pour audiostation on peut mettre un alias personnalisé, j’y accéde avec l’adresse

chezmoi.synology.me:5001/audiostation



Cela doit être possible pour les autres applications.








Anozer a écrit :



Le problème est que ton PC a utilisé une clé de quelqu’un d’autre (le NAS) pour chiffrer le message.&nbsp;





Je m’autocite car j’ai une précisions à apporter. Dans le cas d’un NAS perso, la clé publique qu’on récupère elle est pas inconnu. Puisque c’est nous même qui l’avons installé sur le serveur. Rien ne nous empêche donc de l’installer à la main sur notre PC aussi. Il n’y a plus besoin de tiers de confiance. Il suffit de créer un certificat “auto-signé” sur le NAS, récupérer ce certificat et l’installer sur chacun de ses appareils.



Mais si on veut y accéder chez un ami, le PC de l’ami lui ne saura pas que la clé est bone, puisque le certificat n’est pas “authentifié” par organisme de certification.



[/quote]





vinky_ a écrit :



Donc concrètement avec Let’s encrypt on fait une demande pour chaque sous domaine ? Cela ne fonctionne pas en sous domaine pour tous les xxxxx.toto.synology.me ?







Je ne crois pas que let’s encrypt prend en charge les certificats wildcard.



Mais bon, si tu t’emmerdes à mettre en place un reverse proxy devant ton syno (et d’autres trucs), achète toi un nom de domaine. Ca coute 10 balles par an et tu pourras faire ce que tu veux avec.

Les synology.me, c’est une petite facilité proposée par synology, c’est pas fabuleux non plus…



Je ne comprends pas trop, Photo Station est sur le domaine de base avec “/photo” de mémoire non ? Donc quel besoin de coller une URL spécifique et d’inventer un pseudo sous-sous-domaine ? En général comme dit plus haut, quand ce n’est pas une application interne au DSM, ça se différencie par le port, du coup là encore je ne vois pas l’intérêt de vouloir gérer ça avec des domaines différents.



Pour le reverse proxy, de toutes façon le chiffrement ne sera géré qu’entre lui et la machine par laquelle tu y accèdes et le certificat devra être installé à son niveau je pense. Mais là encore je vois mal pourquoi chercher à passer par une URL pareille. Si vraiment on veut mettre en place une usine à gaz, autant passer par un domaine et une série de sous-domaines non ? <img data-src=" />&nbsp;


.toto.synology.me ça n’existe pas. tu peux faire du .domaine.tld mais c’est du Wildcard et Let’s Encrypt n’en propose pas.&nbsp;




Vous ne pouvez donc l’utiliser que si vous accédez à votre NAS via une URL précise, et non son adresse IP.





Et crotte <img data-src=" /> Je savais bien que ça coincerait quelque part…


Pour le moment ;p

Dommage que le wildcard ne soit pas encore géré par Let’s encrypt. ca m’eviterais d’en faire pour toute mes applications de mon nas ^^


ça viendra sans doute après, ça semble assez largement demandé même hors de l’usage NAS. Mais pour le moment rien n’empêche d’utiliser une liste de sous-domaines de toutes façons <img data-src=" />&nbsp;Par contre j’ai du mal à saisir l’intérêt de gérer les apps du NAS par des sous-domaines, c’est si compliqué que ça de cliquer sur une icône sur le bureau du DSM ? <img data-src=" />&nbsp;








Z-os a écrit :



Pour audiostation on peut mettre un alias personnalisé, j’y accéde avec l’adresse

chezmoi.synology.me:5001/audiostation



Cela doit être possible pour les autres applications.







Je n’ai pas dit le contraire, mais cela n’a pas les avantages de sécurité du reverse proxy.&nbsp;









KP2 a écrit :



Comme dit : Sécurité…&nbsp;



https://fr.wikipedia.org/wiki/Proxy_inverse&nbsp;



Pour info, un NDD de domaine (toto.synology.me) qui redirige vers l’ip X.X.X.X fera que si tu tapes :http://X.X.X.X ouhttp://toto.synology.me tu n’auras absolument pas le même résultat. Dans mon cas,http://toto.synology.me me redirige sur mon NAS alors quehttp://X.X.X.X ne fonctionne pas.&nbsp;



Sauf qu’un domaine+sous domaine –&gt; certificat ssl plus cher (pour ne pas dire BEAUCOUP plus cher) et ça marche bien que si tu as une IP fixe…







David_L a écrit :



Je ne comprends pas trop, Photo Station est sur le domaine de base avec “/photo” de mémoire non ? Donc quel besoin de coller une URL spécifique et d’inventer un pseudo sous-sous-domaine ? En général comme dit plus haut, quand ce n’est pas une application interne au DSM, ça se différencie par le port, du coup là encore je ne vois pas l’intérêt de vouloir gérer ça avec des domaines différents.&nbsp;



Pour le reverse proxy, de toutes façon le chiffrement ne sera géré qu’entre lui et la machine par laquelle tu y accèdes et le certificat devra être installé à son niveau je pense. Mais là encore je vois mal pourquoi chercher à passer par une URL pareille. Si vraiment on veut mettre en place une usine à gaz, autant passer par un domaine et une série de sous-domaines non ?&nbsp;<img data-src=" />&nbsp;





&nbsp;Exactement comme précédemment&nbsp;&nbsp;



Pour le cas des utilisations externes au NAS mais sur le réseau local, cela permet de sécuriser la connexion sur toute la partie extérieur. Seule la partie local au réseau du NAS ne sera pas sécuriser. Mais au moins, tu ne vois pas tes logins/mdp passer en clair sur le réseau auquel tu t’es connecté (entreprise ou autre)&nbsp;







&nbsp;David_L a écrit :



.toto.synology.me ça n’existe pas. tu peux faire du .domaine.tld mais c’est du Wildcard et Let’s Encrypt n’en propose pas.&nbsp;&nbsp;





Merci, voici donc la réponse à ma question&nbsp;<img data-src=" />

&nbsp;

Dommage qu’il faille se mettre à poil et se justifier pour avoir la réponse.









Minikea a écrit :



à pouvoir utiliser du HTTPS si tu veux te connecter à distance à ton NAS.









Anozer a écrit :



C’est une question compliqué qui oblige une petite intro au chiffrement.



Pour chiffrer/déchiffrer, il faut deux “clés”. Une privée que la machine garde pour elle et une publique qui est distribuée à tout le monde. La clé privée permet de déchiffrer un message qui a été chiffré par la clé publique.



Le NAS va donc envoyer sa clé publique à ton PC. Tu vas l’utiliser pour chiffrer un message, puis envoyer ce message chiffré à ton NAS. Le NAS va ensuite utiliser sa clé privé pour le déchiffrer. Donc seul ton NAS est capable de déchiffrer ce message.



Le problème est que ton PC a utilisé une clé de quelqu’un d’autre (le NAS) pour chiffrer le message. Il faut donc s’assurer que la clé que tu récupère est celle du NAS. Il faut “authentifier” la clé que ton PC reçoit pour être certain que seul le NAS saura déchiffrer le message que tu lui envoi. Et pour ça, un organisme de certification (ici Let’s Encrypt) te certifie que la clé que tu as reçu appartient à NAS et personne d’autre.



J’espère que je suis clair, c’est pas certain ^^‘.







<img data-src=" />



Merci pour vos réponses









KP2 a écrit :



un nom de domaine synology.me me permet en aucune maniere d’acceder a tes données.

Un domaine est juste un ou plusieurs mots associés a une ip dans une table. Et quand on demande a cette table quelle est l’ip qui correspond a ces mots, ca renvoie des chiffres. C’est tout.

Y’a rien qui passe par Synology.



Au pire du pire, les seules infos qu’ils peuvent obtenir, c’est a quel moment tu te connectes sur ton syno. Et encore, pas a chaque fois car ta machine possede un cache local





En étant pointilleux, celui qui contrôle le nom de domaine, ici Synology, peut s’il le désire ou s’il se fait pirater, faire temporairement pointer le nom de domaine vers une machine lui appartenant, afin de faire un man-in-the-middle sur ton trafic. Donc je n’irais pas jusqu’à dire que synology.me ne permet “en aucune manière” d’accéder à tes données.



&nbsp;



Merci David pour cet article/tutaux :-). Ca me permis de mettre en place cela sur mon syno. jusqu’à présent j’utilisais la focntion quickconnect.

maintenant je peux y accéder via cette solution et j’ai c reconnu comme valide sur Chrome

&nbsp;


Avec du SSL, ca ne peut pas arriver…








vinky_ a écrit :



Comme dit : Sécurité…









Mouais, bof… Pour qu’un proxy inverse fasse réellement office d’équipement de sécurité, il faut mettre en place un WAF (Web Application Firewall) avec des règles adaptées aux applis syno. Autrement dit, il faut bien connaitre leur fonctionnement intime et forger des règles spécifiques… pas simple…

Sans ca, ton proxy fait juste office de passe-plats… même si les requêtes sont des attaques.

Après, sans aller jusque là, il y a bien moyen d’ajouter qq éléments de sécurité (genre fail2ban ou un firewall par exemple) mais le syno les possède déjà et globalement les syno ne défrayent pas souvent la chronique pour des problèmes de sécurité…



Et franchement coller une machine spécifique devant un syno domestique juste pour faire proxy, je trouve ça hyper overkill. Mais bon, chacun a bien le droit de s’amuser comme il veut, c’est surement pas moi qui vais dire quoique ce soit là dessus :)



Il ne faut pas une machine spécifique, le paquet Haproxy fait ça très bien.

&nbsp;Perso, je l’utilise surtout pour pouvoir accéder à mon nas de n’importe ou même lorsque les seuls ports ouverts sont le 80 et le 443, ce qui est souvent le cas dans les sociétés.

De plus, cela permet de ne pas se faire ch…. avec la configuration des ports du routeur, tu forwardes uniquement le 80 et le 443 et roule ma poule!








KP2 a écrit :



Mouais, bof… Pour qu’un proxy inverse fasse réellement office d’équipement de sécurité, il faut mettre en place un WAF (Web Application Firewall) avec des règles adaptées aux applis syno. Autrement dit, il faut bien connaitre leur fonctionnement intime et forger des règles spécifiques… pas simple…

Sans ca, ton proxy fait juste office de passe-plats… même si les requêtes sont des attaques.

Après, sans aller jusque là, il y a bien moyen d’ajouter qq éléments de sécurité (genre fail2ban ou un firewall par exemple) mais le syno les possède déjà et globalement les syno ne défrayent pas souvent la chronique pour des problèmes de sécurité…



Et franchement coller une machine spécifique devant un syno domestique juste pour faire proxy, je trouve ça hyper overkill. Mais bon, chacun a bien le droit de s’amuser comme il veut, c’est surement pas moi qui vais dire quoique ce soit là dessus :)











panicstation a écrit :



Il ne faut pas une machine spécifique, le paquet Haproxy fait ça très bien.

&nbsp;Perso, je l’utilise surtout pour pouvoir accéder à mon nas de n’importe ou même lorsque les seuls ports ouverts sont le 80 et le 443, ce qui est souvent le cas dans les sociétés.

De plus, cela permet de ne pas se faire ch…. avec la configuration des ports du routeur, tu forwardes uniquement le 80 et le 443 et roule ma poule!





@panicstation à tout dit…. Bref, manque de connaissance sur le sujet.&nbsp;Il faudra donc faire une demande par sous domaine, c’est tout ce que je voulais savoir. Plus qu’à espérer que l’automatisation du renouvellement soit mis en place :)



Syno propose aussi une telle fonctionnalité intégrée (dans la section applications de mémoire). Après ça reste un serveur qui tourne en // du reste, donc qui doit avoir son propre certificat, mais comme tu dis, c’est à mon avis plus utile quand on l’utilise par manque de choix au niveau des ports à forwarder ou quand on veut éviter d’en gérer 36. M’enfin chacun est libre de ses configurations (c’est juste que ça ne rentre pas du tout dans le cadre du papier en fait).


Comme dit dans le papier est dans les commentaires déjà, tu peux faire une demande pour x sous-domaines, mais pas pour un wildcard. Sinon, Syno propose avec DSM 6.0 d’avoir plusieurs certificats par machine désormais.


Je suis curieux, quel est le nom de cette application? EZ-Internet (que je n’utilse pas )?

J’en profite pour répondre a votre intervention concernant les sous-domaines (si j’ai bien compris). Perso, j’utilise pour chaque application un sous-domaine, photostation.xxx.com ou filestation.xxx.com … C’est bcp plus simple selon moi pour donner accès a un pote par exemple, il ne doit pas savoir ce qu’est le dsm ni cliquer sur quoi que ce soit, je lui donne l’adresse un userid et un mdp, c’est tout. De plus, je viens de constater que certaines applications sont toujours accessibles via le DSM même lorsque l’on ne le désire pas&nbsp; car on ne peut pas gérer ses droits , Plex par exemple.


Lorsque je parle d’application je parle de site web applicatif hebergé sur mon nas donc l’interet du sous domaine prend tout son sens ^^

car aller sur le dsm pour cliquer sur l’icone qui m’ouvre un onglet autant faire un sous domaine :p


ouais mais c’est un package non officiel…

Hum… comme je le disais : chacun joue comme il veut…








KP2 a écrit :



Avec du SSL, ca ne peut pas arriver…





Et ? Je n’ai jamais dis qu’on ne pouvait pas empêcher certaines attaques (et encore, on peut jouer avec sslsnif/sslstrip, ou encore se dire que dans 80% des cas l’utilisateur ne va pas tiquer quand son navigateur lui dira que le certificat est invalide…), j’ai juste dis qu’il était faux de dire “qu’en aucune manière on ne pouvait accéder aux données [en contrôlant le domaine]”. Si, il y a des manières possibles, et il faut en être conscient.

&nbsp;



J’ai un site perso sur mon syno, merci pour l’info. Pour l’instant je reste sous DSM5.2 et je vais ajouter le certificat à la main :).








David_L a écrit :



Comme dit dans le papier est dans les commentaires déjà, tu peux faire une demande pour x sous-domaines, mais pas pour un wildcard. Sinon, Syno propose avec DSM 6.0 d’avoir plusieurs certificats par machine désormais.





Oui oui, c’était en fait le wildcard (therme que je ne connaissais pas) le véritable sujet de ma question. Effectivement, il faudra le faire pour chaque sous-domaine du coup.







panicstation a écrit :



Je suis curieux, quel est le nom de cette application? EZ-Internet (que je n’utilse pas )?

J’en profite pour répondre a votre intervention concernant les sous-domaines (si j’ai bien compris). Perso, j’utilise pour chaque application un sous-domaine, photostation.xxx.com ou filestation.xxx.com … C’est bcp plus simple selon moi pour donner accès a un pote par exemple, il ne doit pas savoir ce qu’est le dsm ni cliquer sur quoi que ce soit, je lui donne l’adresse un userid et un mdp, c’est tout. De plus, je viens de constater que certaines applications sont toujours accessibles via le DSM même lorsque l’on ne le désire pas&nbsp; car on ne peut pas gérer ses droits , Plex par exemple.





Il y a un package non officiel nommé Haproxy, mais pas que… tu peux le faire en rajoutant des virtuals hosts en quelques lignes de commandes sous apache ou NginX&nbsp;







KP2 a écrit :



ouais mais c’est un package non officiel…

Hum… comme je le disais : chacun joue comme il veut…





&nbsp;Pas obligatoirement, cf au dessus. cela peut se faire totalement nativement…



Moi j’ai rajouté un élément de sécurité plutôt cool : knockport !



En fait le syno est complètement fermé à l’extérieur, mais il écoute sur certains ports (niveau 2).

Quand on “knock” (comme à la porte) avec la bonne séquence de ports et les bons protocoles (TCP/UDP), ça déclenche un script.



En l’occurrence mon script ouvre un seul port, celui de mon VPN. Ensuite il faut la clé (public/privée) du VPN, laquelle je trimballe verrouillées sur une clé USB. (donc sécurité forte, il faut à la fois me piquer un élément que j’ai -la clé- et un élément que je sais -le mdp de la clé).



Si le souhait est d’ouvrir l’accès https, le script peut tout à fait faire ça au lieu du port du VPN.



Et bien sûr, aussi un script pour fermer quand on n’en a plus besoin.



Du coup qu’ils y viennent sur mon Syno ! <img data-src=" />





Ah oui… et aussi il est pas défaut éteint (ce qui aide à sécuriser !) je l’allume à distance par WakeonLan/Wan quand j’en ai besoin… et quand j’en ai plus besoin, un petit shutdown -P now, et le tour est joué.


bonjour,



mon DDns est bon, port 80 redirigé ssl activé.



au moment de faire la demande de certificat, “echec de connexion, vérifier le nom de domaine”



chez vous cela fonctionne ?


non, comme toi, &nbsp; je pense avoir fait tout ce qu’il faut, &nbsp; renvoyé tous les ports possibles vers le syno, mais “echec de connexion, assurez-vous que le nom de domaine est valide”&nbsp;


Pour ma part j’ai installé webstation comme indiquée dans un tutorial que j’ai trouvé sur un site anglais et ça a fonctionner.



J’avais auparavant un message comme ceux indiquée ci dessus.



J’ai ensuite désinstaller le packet webstation.



Du coup si renouvellement automatique il y a, il risque de mal se passer.


webstation est déja installé chez moi, &nbsp;mais toujours l’erreur &nbsp;:-(

&nbsp;


Merci pour l’info :)



Update faite et certificat activé avec let’s encrypt : un jeu d’enfant&nbsp;<img data-src=" />


Webstation obligatoire … c’est bon pour moi


SI tu as le contrôle du DNS tu peux obtenir un certificat valide auprès de n’importe&nbsp; autorité de certification. Donc

SSL n’empêche certainement pas un MITM si l’attaquant gagne le contrôle du DNS.



Dans l’exemple donné par nevesl’attaquant peux très bien lancer ./letsencrypt sur la machine sur laquelle il vient de rediriger l’ip pour obtenir un certificat valide.

&nbsp;


Tu peux désactiver ensuite ;)&nbsp;




…Cette fonctionnalité est importante car elle permet de générer un certificat gratuit et reconnu par tous les navigateurs afin de disposer d’un accès HTTPS à l’interface du NAS depuis l’extérieur. Vous pouvez ainsi vous y connecter sans que le mot de passe circule en clair (voir un précédent article sur le sujet) et plus généralement chiffrer l’ensemble des échanges entre le NAS et votre machine…



Même en HTTP le mot de passe utilisé pour se loguer au DSM n’est pas transmis en clair, sont pas manchots à ce point chez Synology <img data-src=" />