Reprise du message précédent :

 
Je vais tester ça    
 

 
C'est justement ce que je ne voulais pas faire (ouvrir SMB1)
 
Je teste et je reviens
 

J'allais dire "mais non c'est un outil additionnel qui va permettre de faire ça" mais non c'est bien intégré à Windows  

Ça permet d’autoriser une adresse ip à accéder un share, sans avoir besoin d’authentification, par exemple

Ha oui ça peut être intéressant dans certains cas ^^
 
(ça me fait pensé que je crois avoir essayé de configurer ça pour ma TV... sans y réussir... du coup j'ai créé un user dédié à la TV avec un mdp facile à taper avec la télécommande )

bon, sur mon ordi W10 pro j'ai bien ce choix pour activer le client NFS, mais pas sur le portable W10 Family qui doit accéder au NAS sous DSM 3.1

J'ai trouvé ça : https://www.cohortfs.com/project/windows-nfs-clients  je vais me renseigner et tester

Apparemment sur Win10 il y aurait tout d'intégré mais il faut activer : https://graspingtech.com/mount-nfs-share-windows-10/

Autre possibilité : connexion FTP via l’explorateur de fichiers, au moins c’est natif

 
Comme écrit plus haut, fonctionne en édition Entreprise, en édition Pro, mais pas avec l'édition famille. Le choix n'existe pas.

On a l'OS qu'on mérite on va dire

Traefik FTW  

 
Mais oui, pourquoi je n'y ai pas pensé !  configuré et ça roule !
Merci    
 
 

 
Mon plus vieux NAS est sous 5.2 (les autres sous 6.2.2) et je n'ai que du W10Pro. Mais bon, quelques fois, j'essaie d'aider d'autres qui ont un laptop qui a 6 ans (W7 => W10 gratuit) et un NAS encore un peu plus vieux mais qui fonctionne
 
En tous cas, j'ai configuré le NAS par FTP et ça roule !
 
Merci à tous

Personne n'a de rapports tel que celui-là?

j'avais un disque avec une reco qui était en parfait état de marche depuis des années, il a été remplacé car trop petit. je vais le remettre dans un autre NAS à terme.
Pas lieu de s'inquiéter selon moi.

J'en ai un aussi à "Nombre de reconnexions du disque: 30" depuis des années (au moins 2015) et ça ne pose pas de soucis ^^

Okodiki merci de vos réponses

 
Tiens, et du coup ça permettrait à une commande rsync lancée sur un nas d'accéder à un share d'un autre nas local sans devoir installer de clé ssh ? (rsync passerait par NFS et j'aurais autorisé au préalable l'IP du nas qui lance la commande).

A première vue, ça me paraît faisable.

  ca semble etre une grosse faille de securité non? il suffirait qu'un intervenant simule cette ip et il aurait acces ?
avec ça on peut laisse guest activé et admin aussi hein on augmentera pas de beaucoup les risques de vol de données. (je ne m'etais jamais penché sur le fonctionnement de NFS mais je vais y regarder de pres)
edit : ben ouais:
https://www.tldp.org/HOWTO/NFS-HOWTO/security.html

This is not terribly secure. If someone is capable of spoofing or taking over a trusted address then they can access your mount points. To give a real-world example of this type of "authentication": This is equivalent to someone introducing themselves to you and you believing they are who they claim to be because they are wearing a sticker that says "Hello, My Name is ...."

bref c'est franchement moyen pour un reseau qui s'ouvre sur l'exterieur (mais ok pour un reseau domestique sans internet avec toi et ta femme et que des données non sensibles.)

NFS dans ses anciennes versions fonctionne comme ceci, oui.
En version 4, on utilise en général Kerberos.

 
Alors dans mon cas cela voudrait effectivement dire qu'une machine ayant la bonne IP aurait accès au NAS. Ce NAS est un NAS de sauvegarde où toutes les données perso sont chiffrées (hbk chiffré). Après, peut-être qu'on peut aussi autoriser le NFS pour certains shares et pas d'autres ? Dans mon cas la commande rsync joue avec des données absolument pas personnelles.
 
Cela étant dit, mon NAS n'est pas configuré pour être accessible de l'extérieur (et le pare-feu n'autorise normalement pas autre chose que le trafic local).  
 
Tiens, est-ce qu'on peut simuler une IP déjà attribuée sur un réseau ? (autrement dit : NAS 1 démarré, IP fixe, est-ce qu'on peut simuler l'IP du NAS alors qu'il est en train de tourner avec cette même IP ?).
 
Mais là je m'emballe, en fait, ma commande rsync fonctionne avec des dossiers distants. Je n'ai pas besoin de NFS. Mais bon, si on peut jouer  

Tu peux surtout paramétrer tes shares NFS avec des CIDR et non pas IP par IP et là c'est plus une petite porte d'entrée
 
Après voilà faut voir ce que peut effectuer quelqu'un de malveillant sur les fichiers

Et pour se faire passer pour une @IP déjà présente sur le réseau il n'y a rien de plus simple : chercher des choses tel que "man in the middle"

Let's Encrypt a découvert un bug dans sa CAA, tous les une partie des certificats vont être révoqués et devront donc être à nouveau générés : https://www.reddit.com/r/Traefik/co [...] t_caa_bug/

Seuls 2,6% des certificats sont concernés et seront révoqués : https://community.letsencrypt.org/t [...] h-4/114864
Une page web permet de vérifier les hostnames concernés : https://checkhost.unboundtest.com/

Au temps pour moi, j'ai lu trop vite
 
Le mien était concerné, testé avec cet outil fait pour Traefik : https://github.com/containous/acme-fixer

C'est normal, les premier mails envoyés et diffusés sur le net étaient alarmistes et ne détaillaient pas l'étendue des certificats concernés. Ils ont heureusement mieux précisé le problème par la suite.
Edit : et merci d'avoir alerté sur ce soucis, ça devrait intéresser beaucoup de monde   .

Bon au final j'ai supprimé le groupe de stockage après avoir backup et je vais installer un nouveau disque car il m'était impossible d'ajouter un disque à ce groupe (option non dispo)

Oui en effet j'avoue j'ai dis un chiffre au pif pour faire croire que j'étais un boss dans le domaine    
Fin bon après perso je m'en cogne que les gens pensent que je ne sais rien
 
Et NON. Le faite que je lui dise quel problème il y a, ne lui aurai servi à rien. Déjà car il ne saurai pas de quoi je parle. Et ensuite car il m'aurai répondu "oui OK" et aurait zapé pour se concentrer sur ce qui le dérangeais ... écrire sur son HDD
D'ailleurs si j'ai bien lu la suite. C'est exactement ce qu'il a fait ...
 
Aller pour le fun :
- Les comptes Admin et Guest ne sont pas désactivés. Ca fait parti des notions de base que conseil Synology dans sa documentation
- Il n'a pas créé de compte "personnel" avec les droits d'administration pour justement pouvoir désactiver les autres et surtout préserver le compte Admin de toutes modifications. Compte Admin qui peut permettre de se dépanner si le compte personnel à des problèmes
- Le SMBv1 activé dans le SMB mini ... Avec le tapage que ça a fait suite aux piratages qui le concerne. Je pense que tous ceux qui s'interessent un minimum à l'informatique doit être au courant depuis le temps. Et donc laisser son NAS comme ça me parait un peu risqué
 

"Assez protégé" avec le FW d'une box ? Oo
Je te laisse faire une petite recherche sur ce topic pour voir le nombre de cas qui parle de tentatives de connexions par des bots à l'autre bout de la terre
Au final on ne sait pas si il a ouvert son routeur ou pas. Il a très bien pu essaye d'acceder à son NAS à distance. Ou avoir essayé de jouer avec EZ-internet pour voir ce que ça donnais
 
Le FW du NAS permet de toutes façons un réglage bien plus fin
 
 

Justement non. Pas besoin d'installer quoi que ce soit pour subir des attaques. Le simple faite d'ouvrir un port par défaut de DSM, sur le routeur, et ça peu partir en sucette
 
 

Ou pas ...
Peut être qu'il était simplement connecté en Guest depuis son ordi ? Pas d'ID ni MDP pour accéder au NAS. D'autant plus si il a mis les mêmes permissions pour les comptes Admin et Guest
D'ailleurs c'est peut être le faite que son ordi soit connecté par samba en Guest qui fait qu'il ne peu pas désactiver ce compte lorsqu'il se connecte avec Admin sur l'interface de DSM ??? tant qu'il ne kill pas la connexion de Guest. Il ne peu être déactivé ???
 

Ah oui oui j'ai bien lu alors ^^
Donc c'est kool tu accède à ton NAS comme tu veux
Par contre on est quand même 2 ou 3 à te dire que tu as des problèmes de sécurité avec tes comptes utilisateurs. Mais à priori c'est pas grave      

Encore une fois, au lieu de dire "je te laisse faire une recherche", tu pourrais plutôt poster les sources dont tu parles.
"Le nombre de tentatives de connexions"... Et alors? Tentatives, ça ne veut pas dire connexions.
Les box ont des FW, et en plus les box font routeurs. Si tu n'ouvres aucun port (parce que tu ne sais pas ce que ça peut faire), tu es déjà bien protégé.
Après, si tu ouvres des ports, c'est que soit tu sais ce que tu fais et donc tu devrais gérer la sécurité, soit tu ne sais pas et tu le fais parce qu'un logiciel te l'a demandé, et là, ben à toi de gérer malgré tout...

On sait qu'il ne sait pas grand chose.
Et je sais que je n'ai rien compris à ses derniers posts, mais du moment qu'il était content, alors Byzance.

Vu que mes NAS sont sur mon LAN, c'est le FW de mon routeur qui doit être bien réglé. Je ne vois pas l'utilité d'en installer un sur mes NAS. Ca serait comme mettre une deuxième porte blindée après ma porte d'entrée blindée mais ne protégeant qu'une pièce (le NAS)

Installe tout et n'importe quoi et de n'importe quelle provenance, et le problème ne viendra ni de ton routeur, ni de ton FW, ni de tes comptes... mais bien de l'interne
Un FW en carton sera toujours beaucoup plus sûr que des softs téléchargés sur la Mule & Cie.

Mais on est [HS] par rapport au thread.

Me poste une question d’ailleurs  
J’ai un domaine .eu qui pointe sur l’ip Livebox par cloudfare en DDNS
J’ai pu généré le certificat par let’s encrypt
Ça marche sur webstation sans problème mais pas sur diskstation, pourtant les ports sont bien routes.  
Et avec ip direct ça marche.
 
Par contre j’accède en local avec problème avec port local mais en https le certificat est pas bon, normal c’est pas le domaine externe
A l’usage je veux accéder par l’ip local
Comment fait on pour avoir un certificat valide pour le local ?
En self signed ? J’ai pas réussi

Ok donc à te lire. J'ai l'impression qu'à l'école tu étais du genre à attendre qu'on te donne les réponses pour rendre tes devoir à tes profs    
Donc non je ne vais donner aucun lien juste pour ne pas tomber dans le "machage de boulot"    
 
Une tentative n'est qu'une tentative ... Jusqu'au jour ou elle deviens une connexion car tu as négligé les tentatives ... Et là t'as l'air d'un con car un ransonware te demande 1000 balles pour récupéré tes données    
 
En effet si tu n'ouvre rien et que tu n'utilise aucun soft pour ouvrir. Le Firewall de la box doit suffire ... Mais tu ne connais pas les gens. Ni ce qu'ils ont tentés de faire, soit juste pour tester, soit juste en suivant un tuto de merde qui ne parle que avec des ports par défauts ...
Bref ma mère qui a un NAS que je lui ai mis en place et qui n'y connais rien en informatique. Là OK elle n'ira pas modifier sa box pour ouvrir des ports
Par contre la personne qui se démmerde bien en informatique et qui va investir dans un NAS peut très bien essayer d'y accédé depuis l'extérieur. Et n'y arrivant pas, laisse des trucs ouvert en se disant que bin c'est pas grave car si lui n'y accède pas. C'est que d'autres ne peuvent pas non plus
 
Bref continu de croire ce que tu veux. Ton cas à toi n'est pas la généralité et vu qu'on est sur un forum publique. Il ne faut pas "dédramatiser" la sécurité car certains peuvent avoir de la casse ...  
 

Si lui ne sais pas grand chose. Nous en savons encore moins sur le reste de ses paramétrages
 
Perso je suis mécanicien. Un mec viens me dire que sa voiture manque de puissance car il kiff rouler à 200Km/h sur la nationale ... Je ne vais surement pas aller l'aider à augmenter les perf' de sa caisse pour ça ...
Ok c'est une autre échelle. Mais le principe est là. Je ne vais pas aller conforter un gars dans ses erreur juste pour qu'il prenne son pied    
 
 

Il n'y a rien à installer. C'est une fonctionnalité de inclue à DSM. Justement parce que Syno sait que ce genre d'outils est ultra important
 
Et c'est quoi le problème des portes blindé ? ^^
Il vaut mieux avoir 2 portes blindé (2 FW) + un système d'alarme (notifications tentatives de connexions ?) + des pièges (certains compte désactivés, mots de pass forts ...)
Tiens bimzarement c'est pile poil ce que conseil Synology. Oo
 

Pourquoi tu parle de trucs téléchargé je ne sais où. Personne n'a parlé de ça. Oo
Bien sur que si tu fait n'importe quoi. Et aura le droit à du n'importe quoi
Mais tu crois franchement que les tentatives de piratages attendent que tu télécharge un logiciel pour essayer de s'introduire ? Oo
Je parlais des failles de SMB dans mon post précédent. C'est justement le parfait exemple d'un cas qui n'a besoin de rien installé pour être victime ... La seule chose que l'on puisse faire c'est de paramètrer correctement nos ordi pour ne pas être impactés ... (d'ailleurs c'est ce que Microsoft à fait et qui a agacé certains)
 
Et NON, nous ne sommes pas H.S. (peut être un peu border-line ?) puisque nous parlons de la sécurité de nos NAS

Je rejoins l'avis de EE8.
Une tentative de connexion peut aboutir... et là c'est le drame...
S'il y a un firewall de base sur les NAS c'est pas juste pour que des cadors du réseau s'en servent...
 
 

Justement, comme il ne sait pas grand chose sur le réseau, sa configuration etc... il faut le conseiller correctement avec les notions de sécurité préconiser par tous les acteurs de la sécurité, dont Synology.
Il faut aussi qu'il ait l'envie de se former là-dessus, et là c'est pas évident de le savoir...
Je trouve déjà relativement risqué de s'acheter un NAS, produit réseau, quand on ne maitrise rien du tout là-dedans...
Perso je ne conseillerais pas ce type de produit à quelqu'un qui n'y connait rien du tout...
Mais après, il faut un début à tout.
 

Tu racontes n'importe quoi là...
D'un point de vue informatique ton raisonnement est une hérésie... et je ne parle pas si on se met d'un point de vue sécurité informatique...
Libre à toi de faire ce que tu veux, mais quand on est plusieurs à dire que ce genre de comportement est à bannir parce que très dangereux, c'est que c'est le cas... surtout que les grands acteurs de l'industrie informatique et de la sécurité le dise aussi...
Mais fait bien comme tu veux, mais ne conseille pas tes paramétrages non sécuritaire à un novice...
 

Là c'est toi qui est HS...
Et j'aurais tendance à penser que  tu es un troll    
 
 
 
@EE8 : je ne pense pas que ce soit du HS lorsqu'on parle de la sécurité de nos NAS, c'est dans le sujet, certe pas principal, mais quand même ^^

Qu'est-ce que tu entends par "mais pas sur diskstation" ?
 

Tu auras toujours un warning dans ce cas, un certificat est lié à un nom de domaine, pas à une IP.
 
En gros tu as 3 solutions :
- modifier le fichier hosts de ton PC
- mettre en place le "split DNS", avec un enregistrement DNS xxx.xxx.eu qui renvoie l'IP locale de ton NAS
- utiliser le NAT loopback / NAT hairpin / NAT reflection, qui consiste à accéder à ton IP publique depuis ton réseau local (mais il faut que ton routeur le supporte).

 
Ah... Ben tu m'expliques stp comment une connexion qui ne peut pas aboutir parce que le port est stealth peut aboutir comme ça... Genre le port va s'ouvrir par lui-même, et PAF!
 
Déjà, les "cadors" du réseau n'installe pas de tel NAS sur leurs réseaux, désolé
Maintenant, quel est le but d'avoir un FW sur un NAS qui est déjà sur ton LAN si ce n'est alors juste pour protéger ton NAS?  
Tu as ta connexion internet, tu as ta box. Elle fait FW en plus de routeur. De base, quasiment sinon tout est fermé sur le FW de cette box. Si tu veux utiliser ton NAS comme FW, alors il faut rediriger toutes les connexions vers ce NAS. Et ça, c'est toi qui le décide et tu sais normalement tu sais ce que tu fais, tu touches déjà à la config de ta box.
 
Tu es sur le net, ta première et meilleure protection, c'est ta box (FW et routeur) ou ton routeur qui fait également FW. Après, tu peux mettre ce que tu veux sur tes postes bien sûr, mais la base de tout, c'est l'entrée de ta connexion.  
 
 

 
je suis bien d'accord avec toi là, pas de soucis.  
Mais encore une fois, la sécurité débute à l'entrée de son réseau, donc sa box ou son routeur. Après, libre à lui de faire des conneries, hein
 

 
Mais lis ce que j'écris bon sang!  
Là, on parle de FW, pas des comptes utilisateurs sur son NAS. On est bien d'accord qu'il doit suivre les consignes, créer un compte admin propre et dévalider le compte du Syno et le compte guest.  
Jamais dit le contraire.
 

Comme dirait une personne ici, baisse d'un ton...
Je disais HS parce qu'on déborde sur la sécurité réseau (je parle de réseau, pas du NAS ou...). Il y a des threads qui parlent de ces problèmes-là. Ici, me semble que c'est le NAS Syno, des configurations et des problèmes de stockages, etc... En petite partie, enfin je pense, des logiciels qui sont proposés. Par exemple, on va pas discuter des pages sur le serveur de messagerie, c'est pas vraiment l'endroit. Enfin, il me semble, non? D'où juste mon écrit "je pense qu'on est HS". Si tu penses le contraire et les autres aussi, alors continuons la discussion.
 
 
 

Tu sais, à l'école, quand un prof nous faisait un cours en classe, il expliquait de bout en bout ce qu'il nous inculquait. On ne nous disait pas "Pythagore, c'est comme ça, et on passe à autre chose."  
Là, quand tu affirmes quelque chose, avec autant de véhémence, ça serait bien de lâcher une URL ou deux...  
 

Bon alors tu me permettras de ne pas tenir compte de tes propos alors
 

Ok. Alors explique-moi comment une tentative peut aboutir quand les ports sont fermés, et même cachés.  
Je n'ai pas d'audit sur mon FW de mon routeur, mais je me doute que je dois avoir des tonnes de tentatives sur certains ports. Il n'aboutissent pas parce les ports sont fermés, sauf ceux que j'ai volontairement ouverts car je sais ce que je fais.  
Mais vraiment, et sans te chercher du tout, explique-moi ta réponse là.
Quant aux ransomware, encore une fois, si il y en a vraiment c'est que ça vient de tes logiciels, d'un truc louche. Tu n'auras pas de ransomware si tu es clean sur tes postes.  
J'ai eu une demande (comme beaucoup je pense) mais c'était un hoax bien connu.
 

A ce moment là, tu peux mettre n'importe quelle sécurité chez eux, tu peux installer whatmille FW, tu leurs laisses l'accès aux flingues, tu ne peux plus rien faire pour eux
 

Mais là encore, tu ne peux rien y faire.  
Si la personne ouvre tous les ports en début de connexion, si il dévalide son FW, il est évident que son LAN sera à risque.  
Maintenant, celui qui veut qu'on puisse accéder à son NAS de l'extérieur, il peut paramétrer son NAS pour celà, mais si il n'ouvre pas les ports nécessaires sur son FW d'entrée, ben rien ne passera, et son NAS ne sera pas accessible.  
 

Je ne dédramatise pas. Où as-tu lu cela dans mes posts?
 

Et je te rejoins là-dessus sans aucun problème.
Mujol (je crois que c'est lui je n'ai pas le temps de remonter les posts) s'annonce comme "maitrisant" ses postes sous Windows, mais pas le réseau. A la lecture de ses posts, on peut douter de ses dires en effet.
D'ailleurs, je me demande si ce qu'il a fait pour pouvoir solutionner ses problèmes est vraiment bon, j'ai été perdu dans ses réponses...
 
 

 
On parle réseau là, hein?
Chez toi, tu as combien de portes blindées?  
Moi, une seule. Celle de l'entrée. Elle est bien blindée. Comme il faut. Elle ne laisse rentrer que ceux qui ont la clef. Les autres restent dehors.
Je n'ai qu'une porte blindée. J'ai d'autres portes dans mon appart, aucune n'est blindée. Le voleur qui serait chez moi, ben il est déjà chez moi, c'est qu'il a franchi ma porte d'entrée, blindée... Le FW dans cette analogie.
Si j'ai des trucs à protéger, ben c'est dans un coffre, sécurisé. Comme un fichier crypté.
 
 

Les principales causes de piratages proviennent de fichiers illégaux ou équivalent installés sur les postes. Genre quelqu'un qui ne veut pas payer la licence d'un programme, qui va le trouver sur des sites "louches" et qui va l'installer. Et là, PAF!  
Alors je vais faire comme toi, parce que je n'ai pas le temps là maintenant d'aller chercher les sources de mes dires, mais tu l'as aussi assez lu un peu partout. Et c'est valable sur tous les OS.  
 

 
Quand je disais donc HS, c'était pour ne pas déborder sur des questions plus appropriées sur des threads qui traitent de la sécurité. Mais pas de soucis.
 
Le SMB, chez moi, est le protocole qui ne ralentit pas mes vidéos sur Kodi. Si je passe en NFS, lags... Suffit de choisir le bon SMB.

   
Non mais je laisse tomber   Il est borné... et ne veut pas entendre/comprendre ce qu'on dit...
Tant pis...

Et si tu répondais plutôt à mon post? Je réponds au tien, tu pourrais en faire de même, non? Ca s'appelle de la discussion...
Sinon, c'est tellement facile de se dédouaner de la sorte.

j'espere que ton wifi est impénétrable et que t'as pas de voisins... parce que sinon le FW de ton routeur en full stealth  risque de servir a peu de choses. rien que ca  justifie a mes yeux de betoner le plus possible le fw d'un NAS pour ne laisser acces qu'au minimum de choses desirées... sachant que des mises a jour pour faille chez sino  il y en a de temps en temps c'est bien que si on laisse tout ouvert ou est exposé.
apres pour les acces de l'exterieur au NAS je ne connais pas de Box (peut etre que c'est classique mais pas par ici en tt cas) qui puissent bloquer l'acces seulement a certaines zones geographiques donc la encore le FW du NAS a son interet.
tu peux avoir une porte blindée a l'entree de ta maison et une autre pour ta cave a vin, c'est pas déconnant

Bonne réflexion.
Une bonne clef WiFi, et c'est toujours le FW du routeur qui décide ce qu'il offre ou pas, non?

Mais si donc tu ouvres de l'extérieur ton NAS, le/les ports adéquats, tu es d'accord que c'est la même config que tu vas mettre sur ton NAS, non? Donc si tu ouvres le port X sur ton routeur, tu fais la même chose sur ton NAS, tu ouvres le port X. Qui est déjà ouvert sur ton LAN. Donc quel est le but?
Dans toutes les sociétés où j'ai bossé, et celle où je suis actuellement, tu as un bon gros sérieux FW en entrée du réseau. Il n'en en a pas sur nos serveurs de fichiers... Il n'y en a pas d'autres sur le LAN.

Bloquer géographiquement?
Ah tu parles géographiquement sur ton LAN. L'analogie avec la cave
Ben si on reste sur cette analogie, la cave peut être un VLAN sur ton LAN. Donc déjà après le FW.
Sinon c'est un autre réseau et donc un autre FW en frontal.
Tu as laissé le FW de Windows sur tes postes toi? Vraie question hein

Maintenant, que je sois clair, je ne dis pas qu'il ne faut pas installer le FW du Syno. Je dis que je n'en vois pas l'intérêt. Tu donnes l'accès à ton NAS à l'extérieur, tu as déjà ouvert la porte à l'entrée de ton réseau