Reprise du message précédent :

Bonne réflexion.
Une bonne clef WiFi, et c'est toujours le FW du routeur qui décide ce qu'il offre ou pas, non?

Mais si donc tu ouvres de l'extérieur ton NAS, le/les ports adéquats, tu es d'accord que c'est la même config que tu vas mettre sur ton NAS, non? Donc si tu ouvres le port X sur ton routeur, tu fais la même chose sur ton NAS, tu ouvres le port X. Qui est déjà ouvert sur ton LAN. Donc quel est le but?
Dans toutes les sociétés où j'ai bossé, et celle où je suis actuellement, tu as un bon gros sérieux FW en entrée du réseau. Il n'en en a pas sur nos serveurs de fichiers... Il n'y en a pas d'autres sur le LAN.

Bloquer géographiquement?
Ah tu parles géographiquement sur ton LAN. L'analogie avec la cave
Ben si on reste sur cette analogie, la cave peut être un VLAN sur ton LAN. Donc déjà après le FW.
Sinon c'est un autre réseau et donc un autre FW en frontal.
Tu as laissé le FW de Windows sur tes postes toi? Vraie question hein

Maintenant, que je sois clair, je ne dis pas qu'il ne faut pas installer le FW du Syno. Je dis que je n'en vois pas l'intérêt. Tu donnes l'accès à ton NAS à l'extérieur, tu as déjà ouvert la porte à l'entrée de ton réseau

non si ta clef wifi est craquée le mec est comme chez lui dan ton reseau sans passer a traver le FW de ta box le mec est directement dans ton LAN

et libre a lui de s’amuser a rentrer dans ton NAS... pourquoi lui faciliter la vie en laissant la porte ouverte alors que t'as une porte blindé a disposition?
le but Du FW du NAS est qu'il est plus fin et que tu peux limiter a meme quelques IP voir une seule de ton LAN les acces a une fonction specifique: exemple autoriser uniquement le 192.16.0.zob a acceder au NAS en SMB... essaie de le faire depuis ta box.
deuxiemement sur ton nas  avec un ftp ouvert pour tes acces exterieurs (par exemple) tu peux empecher les acces  depuis tous les pays ou tu n'est pas pour laisser que france et/ou autre pays ou tu est... comment tu fait ça avec ta box?
de meme pour ssh etc...
et enfin quid des failles de securité de ta box?

conclusion le FW du NAS est loin d'etre inutil il apporte son lot de securtié en plus

j'utilise plus windows sur mes machines depuis environs 15 ans donc j'ai deja eliminé un grand potentiel de risque
et sur mes linux oui un Fw est installé... et sur les macs le FW d'origine aussi

t'as pas de serrure sur la porte des chiottes chez toi? (pourtant si personne ne peut entrer chez toi elle servent a rien ces serrures)

Bonne réflexion encore

Je ne suis pas devant mon Syno, mais tu peux bloquer un protocole sur une adresse? Par exemple donc du SMB en provenance d'une IP privée en direction du NAS? 192.1.1.X vers 192.1.1.Y ton NAS? Juste le protocole SMB?

En fait, ça serait surtout pour interdire à des postes sur ton LAN d'avoir accès à ton NAS. Mais est-on d'accord que si tu donnes l'accès de l'extérieur à ton NAS, alors la config du FW de ton NAS est identique à la config de ton FW? Le Syno fait office de serveur DNS. J'ouvre le port 53 vers le NAS. Si j'ai lancé le FW du NAS, je dois ouvrir aussi le port 53 sur cette config, sinon le DNS ne sera pas accessible. Or, le port 53 est déjà ouvert et dirigé vers le NAS. Tu vois ce que ce que je veux dire?

Tu parles aussi d'ouvrir des ports par rapport à ta présence géographique? Comment tu fais ça? Je suis en Angleterre, comment peux-tu dire que l'IP que j'utiliserai vient d'Angleterre dans la config FW du NAS?
J'ai eu un tas de routeurs entre les mains, jamais je n'ai vu une option qui permettait de refuser en fonction de tel ou tel pays.
Mais je ne suis pas devant le Syno, donc... Ce soir, je regarderai.

Quant aux failles de sécurité de ma box, déjà je n'utilise justement pas ma box en tant que routeur ou en tant que FW. Elle fait bridge. Tout passe par mon routeur perso. Et si il y a des failles, ben ça sera comme avec n'importe quel autre routeur. Elles sont corrigées dés qu'elles sont découvertes.
Après, tu vas me dire que tout le monde n'a pas la même config que moi. Mais je pense que les box sont mises à jour comme le reste, non? Ma box redémarre souvent pour mises à jour.

Elles ne servent à rien parce que
Après, pour l'analogie, la porte blindée, c'est sur l'entrée de l'appart. Le FW. Les autres portes, je n'ai pas de serrure (sauf les toilettes) mais je dirai que la fermeture serait plutôt le cryptage.
Disons qu'un FW sur un poste, c'est plutôt pour contrôler ce qui sort du poste. Ce qui y rentre, c'est en fonction de tes applis.

oui et non justement comme je le disais to FW a l'entrée n'est pas aussi fin que celui du NAS sur ta box  tu peut ouvrir le port 22 a l'exterieur mais pas uniquement aux français/russes/nord coreen/younameit ....sur celui du syno si!
ton gros FW a l'entree il permet d'ouvrir ou pas... celui du NAS permet en plus de selectionner ceux a qui t'ouvre au niveau mondiale ou au niveau LAN en selectionnant l'adresse IP unique qui a le droit a tel service.
va voir c'est pas mal et ca evite d'avoir beaucoup de tentatives d'acces venant d'autre pays qui n'ont rien a faire dans ton NAS (et si pas de tentatives  a acceder a mon FTP / SSH/ VPN perso  ben moins de risques)
 
 

 
moi je dirais plutot que la le cryptage serait que tu planque le PQ  

Justement. Tu n'as pas écouté les profs. A commencer par Syno
Donc je maintiens. Ce n'est pas à moi, simple élève aussi, de faire tes devoirs si tu n'as pas l'envie d'aller en cours    
 
Bon après voilà sur ce coup là je fais un peu ma tête de mule, j'avoue. Si tu suivais un peu plus ce topic. Tu verrai que la plupart du temps je donne des liens vers des explications
Mais là franchement pour le cas de Mujol. Je n'ai clairement pas envie
D'ailleurs il ne réagi pas à cette convers' qui est partie de lui à la base. C'est bien qu'il n'en a rien à foutre des conseils qu'on lui donne
 
 

Oui je te permet    
 
   
 

Encore une fois. Tu part du mauvais principe. Celui sur lequel que vu qu'il n'y connais rien. Eh bien il n'a rien touché
Regarde la solution qu'il a trouvé à son problème. C'est juste n'importe quoi ... Comment tu peu ne pas émettre un doute sur la configuration de sa box ???
 
Je suis tout à fait d'accord que si rien est ouvert. Les tentatives n'aboutiront pas. Mais au hasard d'un mauvais paramétrage, si il a mis sa box en DMZ. Alors on se doit d'au moins lui indiqué qu'il faut qu'il revois le paramétrage de son NAS pour limiter la casse. Même chose si un jour il a voulu testé l'accès extérieur puis a abandonné l'idée faute de résultat ... D'ailleurs même chose aussi si il compte le faire un jour. Il va ouvrir les ports mais à coté de ça le NAS sera direct en libre accès  
 
Et non. les risques ne viennent QUE de TES logiciels ... Une tentative de connexion qui réussi à aboutir. Ca donne un utilisateur non désiré qui peu faire ce qu'il veux de ton NAS ... Y compris y introduire un logiciel ou un code que tu ne verra jamais
 
 

C'est la déduction que j'ai fait quand j'ai lu des trucs du genre "Le FW d'une box est large suffisante". Ou "Les risques ne viennent que des logiciels que l'utilisateur installe sur son poste"
 

En gros il a juste redonner à ses utilisateurs (admin et guest), la permission d'écrire sur son HDD
 
 

Pour être franc. Aucune portes blindés chez moi. Ce n'était pas compris dans l'achat de ma maison ^^
Contrairement à ma box qui a un FW intégré. Et a mon NAS qui en a aussi un d'intégré et qui est beaucoup plus paramétrable que celui de la box ... Bref j'ai des outils de sécurité intégré à mon matériel. Donc j'essaye de m'en servir au maximum de mes connaissances (qui ne sont pas bien lourde je te l'avoue)
 
 

Et je suis tout a fait d'accord
Seulement tu parle des principales causes et tu reste bloqué la dessus. Mais qu'en est il des autres ? Les causes minoritaires mais qui existent quand même ? on les oublies car justement elles sont minoritaires ? Oo
 
Mais je ne comprend pas trop ton discours du coup. Tu vante les mérites du FW des box alors que toi même tu l'as esquivé. Oo
De plus si les box étaient suffisante niveau sécurité d'entrée de ligne internet. Pourquoi les grosses entreprises se ferait chier à monter des serveurs avec des FW ultra perfectionnés ? oO
 
Perso je pense que le FW de la box est suffisant pour certains cas. Mais n'est clairement pas parfait et donc suivant l'utilisation. Il faut absolument un complément de sécurité
Sur un NAS où est généralement stocké une bonne partie de notre vie, et qui en plus possède d'origine une protection supplémentaire. Je pense qu'il faut absolument se pencher sur le sujet. Et non le mettre de coté car il y a déjà une protection
 
Pour la sécurité des box. Il ne faut pas non plus penser qu'elles sont sécur'. Sache que par exemple les Livebox 3 et Livebox 4 ne gèrent que le SMBv1. Orange n'a jamais fait de mise à jour pour combler cette faille de sécurité ... Et j'imagine que c'est le cas pour d'autres box ...
 

T'inkiet on est plutôt calme je trouve
On discute sans s'insulter, ni sans gros foutages de yeule comme c'est le cas sur d'autres topics ...
 

Tkt c'est pas a toi de juger si c'est calme ou pas  

Hello,
 
situation
nouveau NAS
installation avec 2 HD en SHR (les 2  que j'avais déjà) => rien d'installé hormis DSM
commande de 2 HD supplémentaires (2 sites différents, 2 HD différents)
Le 1er disque arrivé
Je le monte, je lance l'ajout du nouveau disque dans le groupe et là, surprise, ça met des plombes ! il est à 20% et ça fait déjà 9h qu'il mouline ! Je ne pensais pas que ça prendrai autant de temps... (j'ai fais la commande SSH donnée en FP. ) d'apres mdstat : il reste encore 33h...
 
Du coup, vous me voyez venir... je me pose 2 questions :
1. qu'est-ce qui se passe si j'éteins le NAS pendant l'ajout du disque ? (vu qu'il n'y a rien dessus hormis DSM)
2. comme il n'y a encore rien dessus hormis DSM et que j'étais sensé monter le dernier HD aujourd'hui, est-ce qu'il ne serait pas plus rapide de monter le dernier HD et de réinstaller le NAS à partir de 0 plutôt que de lancer à nouveau un ajout de HD au groupe ?

Oui en effet on peu voir ça comme ça ...
 
D'un autre coté. Etant complètement impliqué dans la conversation. J'ai le droit donné mon avis, non ?
Je trouve que l'échange avec LeKeiser est plutôt intéressant et courtois. Il y a des avis différents et chacun les développe comme il peu. Il n'y a rien d'extraordinaire pour un dialogue à distance entre des personnes qui ne se connaissent pas
 
Fin bref après oui je te l'accorde. Je ne suis pas "juge" ...
 
 

hello o/

J'aurai du mal à répondre n'ayant jamais vraiment jouer avec le SHR ... Mais à première vu en effet plus de 40h pour dupliqué quasi rien. Ca parait un peu beaucoup
Tu peu précisé il est à 20% de quoi ? (création du volume ? controle d'une parité quelconque ? ...)
Ce sont des disques de quelle capacité ?

1: Je suis curieux de savoir la réponse aussi ^^
A mon avis le Volume va passer en mode dégradé car la procédure aura été lancée mais pas terminée. Et le nouveau HDD ne pourra plus être intégré à un volume SHR tant qu'il n'aura pas été formaté entre temps ???

2: Vu ta situation. Je pense que c'est clair qu'il qu'il vaudrait mieux faire une sauvegarde des paramètres de DSM (option dispo dans le panneau de configuration). Et de tout refaire en intégrant directement les 4 disques. La construction du SHR prendra clairement moins de temps que l'ajout un à un des disques
Enuite la restauration du fichier de configuration de DSM ne prendre que quelques minutes

EDIT : J'imagine que tu n'as fait aucun Badbloks sur tes HDD. Un disque défectueux peut aussi expliquer des lenteurs

La restauration de la configuration avec le fichier dure trois secondes, pas quelques minutes.  
 
Quelle ligne de commande ssh a été lancée ?

 
20% de l'augmentation du volume. 36% maintenant...
2x3To que j'ai sorti de l'ancien NAS et j'ai ajouté un 1er 4To (l'autre sera également un 4To)
 
Pas de badblock, mais la vérification de DSM.
 

 
 

 
celle qui peut permettre d'accélérer l'intégration : echo 50000 >/proc/sys/dev/raid/speed_limit_min
 
https://forum.hardware.fr/hfr/resea [...] tm#t936249

tellement pas juge qu'il as été TT  

Ah bon ? Oo

à tous, ayant prévu de changer mes disques durs sur mon NAS existant (DS214)  
 
Quelle démarche dois-je effectuer sachant que ma sauvegarde est déjà dans mon PC (double sauvegarde) et du coup mes questions se posent:
 
- Puis-je simplement retirer les anciens pour mettre les nouveaux en mettant mon NAS hors service?
 
- Dois-je faire une sauvegarde des réglages du DSM avant de procéder au remplacement des DD?
 
Anciens DD: 2x WD Red 4To
Nouveaux DD: 2x WD Red 8To
 
 
Merci d'avance à vous

Quel est le type de volume de ces 2 x 4To ?

 
SHR

0-Vérifier le backup des données
1-Sauvegarder le fichier de config

Si les deux disques font partie du même SHR, il peut être intéressant de tout garder tel quel (configuration, paquets, etc) et ne faire qu'agrandir le volume. Si c'est bien le cas :

2-Sortir un des deux disques, insérer un disque neuf et l'ajouter au shr existant, reconstruire le volume
3-Une fois la reconstruction terminée, sortir le dernier disque 4To, mettre le second disque neuf, reconstruire le volume
4-Etendre le volume pour bien occuper les 8To (étape à vérifier, je ne sais lus trop)

C'est fini. C'est le même NAS, mais avec un volume SHR plus gros.

Quel modèle me conseillez-vous pour upgrader à partir d'un DS213 air, et qu'il me soit possible de faire tourner un pi-hole et jeedom ?

Promo correcte sur le 218+
https://www.dealabs.com/bons-plans/ [...] 53-1850663

Merci !

Moi, si pas besoin de RAID, j’aurais conseillé un DS118, je te laisse suivre la discussion (animée) sur le sujet quelques pages précédemment.

Des vm sur un 118 ?

bonjour, est-ce que vous avez une idée de combien de place j'ai besoin sur DD externe (USB) pour faire un backup complet de mon SHR qui fait 14,5To et utilisé à 62% soit 9To ?

Au hasard je dirais 9 To

justement, j'ai mal posé ma question, est-ce qu'il y a une option qui permette de faire de compression pour éviter d'avoir un backup sur autant de place que sur les disques ? est-ce que c'est sécure ?

Hum... pas vérifié ce détail...

Il doit u avoir moyen, mais selon le type de document à backuper le gain sera nul et au hasard, t’as deja tenté de créer une archive de 1To sur un vrai PC ? Si oui alors imagine le résultats sur 9 To avec un proco anémique sans ram.  

 
J'ai actuellement un NAS DS212j, j'en suis assez content mais je trouve l'interface web (que j'utilise pas mal) très lente.
Est-ce que c'est dû à l'interface web, ou est-ce qu'un upgrade vers un modèle plus récent pourrait aider?

C’est dû aux faibles ressources matérielles de ton nas

Cela dépend aussi si tu utilises ton nas uniquement en local http. Il devrait être le plus rapide dans cette situation.
Si tu l’utilises à distance tu peux le ralentir involontairement avec un reverse proxy mal paramétré.

dites, j'ai installé deux choses sur mon NAS aujourd'hui :  
 
 - un serveur FTP pour qu'un pote m'uploade des vidéos (c'est toujours en cours)
 
 - un serveur PLEX (qui ne travaille pas en ce moment)
 
je me rends compte que je n'ai quasi plus accès au serveur depuis mon PC (en local 10 Gbps), alors que normalement j'ai plus de 500 MBps en lecture. Quand j'arrive à copier un fichier, c'est à moins d'1 KBps, ce qui n'est pas fulgurant...
 
une idée du coupable ?
 
c'est un DS1517+ avec 5 * 6 TB.
 
le cpu est à 16%, la ram à 28%, et le réseau est à 32 KB/s up et 1 MBps down...
 
l'interface web est parfaitement réactive.

 
 
Le trojan de ton pote.    
 
Copie du nas au nas ? Du PC au NAS ? T’es sur que plex est pas encours d’indexation ?

Hello tout le monde !
 
Suite et (presque fin) de mes changements de NAS.
Un collègue ayant eu une mésaventure qui risque de lui coûter cher (suite à un cambriolage, il est menacé/rançonné de divulgations de photos de clients qui se trouvaient sur son NAS) j'envisage de chiffrer mes données.
 
Par contre, je ne vois pas trop comment le faire avec mon mode de fonctionnement actuel et je ne sais pas trop quoi modifier pour arriver au résultat désiré.
 
Ce que je faisais jusqu'à présent:
- Mes fichiers sont sur mon ordi.
- Backups quotidiens par syncback vers le NAS 1 qui est chez moi (418j)
- Synchronisation quotidienne du NAS1 vers un NAS2 distant (710+)
 
Suite à un ransomware ayant fait des dégâts chez quelqu'un de la famille, je n'ai plus de montage permanent du PC vers le NAS. Le montage se fait automatiquement par syncback et uniquement pendant la durée du backup (comme ça, si ransomware, il ne voit les fichiers sur le NAS, sauf s'il se lance pile pendant le backup, mais bon...)
 
Ce que j'aimerai faire : avoir un 2 dossiers partagés sur le NAS1. L'un en standard (les fichiers partagés sur le réseau local et qui ne sont pas importants) et l'autre qui soit chiffré (photos, documents etc). Seul ce dernier répertoire est répliqué en distant sur le NAS2.
 
Là ou j'ai un peu de mal, c'est avec la gestion du chiffrage des répertoires.  
 
1. Il y a ce fameux "magasin de clef". Je ne vois pas comment l'utiliser de façon "simple" et sans que, en cas de vol chez moi, l'utilisateur n'ai pas accès aux données.
Si j'ai bien compris, ce magasin peut être stocké soit sur une clef USB, soit sur une partition. Mais, dans ce cas, si cambriolage, il suffit au cambrioleur de tout rebrancher chez lui (PC et NAS local) et il pourra accéder aux fichiers non ?
 
2. Comment je peux faire pour accéder au répertoire chiffré lors du backup automatique PC=>NAS ? Un script à lancer avant syncback et un autre qui "referme" l'accès lorsque le backup est terminé?
 
3. Si j'ai bien compris, les données chiffrées se retrouvent sur le NAS dans 1 seul fichier. Du coup, ça fait que j'aurais tous les jours 1 fichier de xTo à transférer vers le NAS2. C'est bien ça ? Si oui : galère car pas possible...
 
Merci d'avance
 

nope
 
dans les deux sens. oui, sûr, j'ai attendu qu'il ait fini.
 
serveur rebooté et tout rentré dans l'ordre. bizarre.

Arf pour suivre tiens car tu m'as fait peur.
J'étais persuadé que pour acceder au données même si on te les voles il fallait le mot de passe.
Mais vu que physiquement il peut reinitialiser le mot de passe Admin, j'ai jamais pensé à ca...
Bon je sais à quoi m'occuper l'esprit cette semaine..(ca changera du corona machin qui va nous bouffer .. )

Contre le vol de données sensibles, il existes plusieurs parades complémentaires.

La première : chiffrer la source. Le répertoire contenant les données sensibles doit être chiffré. Si c'est l'ordinateur, il faut chiffrer tout ou partie du disque dur. Suivant les OS, plusieurs méthodes existent (FileVault sous macOS, BitLocker sous Windows, etc). La clé de chiffrement est quasi indéchiffrable aujourd'hui, donc en cas d'oubli, dites adieu à vos données. Sur le NAS, on peut chiffrer un ou plusieurs dossiers partagés. Même remarque sur la clé de chiffrement. Elle ne peut pas être réinitialisée et les shares chiffrés sont démontés au boot du nas, donc inaccessibles sans la clé. Suivant la puissance des machines et l'implémentation ou non de puce de déchiffrage matériel, les performances peuvent être très réduites. Pour info, sur DS713+ on passe de plus de 100Mo/s à 18-20Mo/s environ.

A propos des ransomwares : toujours utiliser un système avec les dernières mises à jour de sécurité (ordinateur et NAS). Utiliser un antivirus avec une protection temps réel. Passer un coup de scan sur la totalité des données de temps en temps. Avoir un comportement méfiant sur internet = ne pas surfer sur des sites "à risque" (je ne détaille pas davantage) avec une machine de production. Toujours utiliser un PC, ou une partition bootée sur un autre OS, ou une machine virtuelle dédiée à ça, et déconnectée du NAS.

Pour le backup : hyperbackup gère les versions, donc même si un ransomware crypte les données, il suffit de les restaurer à une date antérieure. Hyperbackup sauvegarde vers le NAS distant uniquement les écarts de données, il ne transfère pas la totalité du fichier de backup *.hbk qui peut être énorme.

 
C'est peut-être le cas, c'est justement ce que je cherche à comprendre car je trouve des informations contradictoires.
 
Si je prends le cas du magasin de clef en USB sur le NAS.
Il semblerait que, d'après la doc syno, en cas de hard reset, les répertoires chiffrés ne soient plus montés automatiquement, même en admin et avec la clef usb insérée dans le NAS.
J'ai du mal à comprendre comment le fait d'avoir le magasin de clef sur 1 clef USB qui est sur le NAS (déjà qu'est-ce qui se passe si la clef lâche ?) peut empêcher le montage automatique du répertoire en déchiffré du moment que la clef de chiffrage est branchée sur le NAS.
Peut-être que ça déchiffre uniquement lorsque l'utilisateur est connecté sur le NAS ? Mais si ça fonctionne comme ça, est-ce que ça va fonctionner également si l'utilisateur est connecté par un share ?
 
A priori (je vais tester tout à l'heure) lorsque l'on crée un dossier chiffré, il n'est pas nécessaire de passer par le magasin de clefs. Par contre, si on veut chiffrer un dossier déjà existant il faudrait passer par le magasin de clef.
Le magasin de clef semblant être la solution la moins sécurisée.

 
Pour la partie chiffrage local et ransomware, c'est ce que je fais aujourd'hui. Mais on n'est jamais trop prudent, surtout lorsque la protection supplémentaire ne coute rien (je n'ai pas besoin d'avoir accès à mes sauvegardes en permanence, donc ne pas mapper le share sur le PC en permanence mais uniquement lors des backups, ça me convient.
 
Je vais voir pour Hyperbackup (que je ne connais pas encore car je ne pouvais l'utiliser dans mon ancienne configuration (710+ et 207+) Mais s'il ne transfère que les écarts, même sur les répertories cryptés, ça me convient
 
 

Tiens, quelqu'un a déjà monté un hub USB derrière un syno ?
 
J'ai 2 ports USB, mais déjà occupés par une imprimante et l'onduleur. Du coup, si je veux chiffrer des répertories, plus de place pour une clef USB...

Je te conseille d'éviter cette histoire de clé de chiffrage sur clé USB, car le jour où tu auras besoin de la clé, elle aura été (rayez les mentions inutiles) :
- perdue
- réutilisée pour autre chose
- jetée parce que les clés usb ne sont pas ultra fiable
- non fonctionnelle et le share ne se déchiffrera pas

A ta place, voilà ce que je ferais :
tu crées un nouveau share chiffré, tu retiens la passphrase ou tu la notes quelque part en lieu sûr, tu copies toutes les données du share d'origine vers le share chiffré, tu passe un coup de moulinette de comparaison entre les deux shares pour être sûr que tout va bien, et tu effaces le share d'origine.