[Réseau/NAS]Le topic des gros nas

[Mr Slurp]

C'est peut-être un bug de ma version de Kodi qui n'est pas la plus récente vu les limitations dues à la version d android que je peux installer sur ma box. Le truc que je sais pas c'est si activer le smb 1 sur mon nas est vraiment un risque ou pas.

Activer un protocol qui a des failles est un risque sur réseau ouvert, si tu es chez toi, sans ouverture de port spécifique sur ton routeur, le risque est proche de 0.

[Bah]

Je peux accéder à mon nas depuis l'extérieur, donc je suppose que ça veut dire que j'ai des ports ouverts (j'y connais rien en réseau, je me contente de suivre des tutos pour tenter d activer les trucs qui m'intéressent ou d'utiliser les outils qui simplifient tout ça, style Quick connect de synology pour accéder depuis l'extérieur. Du coup je suis vraiment pas au point).

[Mr Slurp]

Je ne connais pas les NAS Synology ni leur techno "quick connect", mais je vais miser sur :
- une ouverture de port auto en UPNP (ou équivalent), comme le font pas mal de jeu et appli, qui sont normalement bien fait et suffisamment restrictif pour pas ouvrir de faille béante dans ton réseau.
ou
- Un lien via un serveur tier

Je pense que d'autre possesseurs de NAS Synology un peu plus réseau pourront confirmer ou infirmer mes propos.

Petit préambule de vulgarisation pour aider la compréhension (désolé pour les puristes et admin réseaux qui voudront me tuer):
Un port réseau, c'est un petit trou dans la porte de ton réseau, y'en a beaucoup... 65535 au total (2 puissance 16 -1), et ils sont par défaut tous fermé sur ton routeur (lui c'est le videur). Quand tu utilises une application UPNP ou truc similaire, l'application va dire au routeur "hé soit cool j'ai des amis qui vont passer par le trou numéro N, laisse les passer et envoie les directe au trou numéro L de la porte de mon bureau, sans les autoriser à voir quoi que ce soit d'autre." (c'est ce qu'on appel : une règle de routage).

Mais si rien n'a jamais été autorisé, les couillons ils peuvent taper aussi fort qu'ils en ont envie sur la porte plein de trou fermé, ils vont pas faire grand chose.

Pour le SMB, de base ça utilise les port 139 et 445, si ces ports sont pas ouvert par une app qui le demande, ou si tu l'as pas fait manuellement... bah ça craint rien parce que tu es sur un réseau privé avec un routeur qui protège pas mal tout ce qu'il y a derrière lui.

Le danger restant? Si une des machines de ton réseau est infecté parce que tu as téléchargé en tipiak un truc vérolé, alors un protocole mal sécurisé comme SMB 1 peut devenir un trou ouvert vers les équipement qui le propose.

J'espère avoir éclairé ta lanterne,

[Bah]

Oh là là merci beaucoup pour ces explications ! Je comprends un peu mieux ce qui se passe dans ces machins qui pour moi sont des boîtes noires.

[jfamiens]

Je peux accéder à mon nas depuis l'extérieur, donc je suppose que ça veut dire que j'ai des ports ouverts (j'y connais rien en réseau, je me contente de suivre des tutos pour tenter d activer les trucs qui m'intéressent ou d'utiliser les outils qui simplifient tout ça, style Quick connect de synology pour accéder depuis l'extérieur. Du coup je suis vraiment pas au point).

Bah, quand tu installes un paquet sur ton Synology, il ouvre systématiquement les ports sur le pare-feu interne de ton NAS. Si tu as suivi des tutos, je te conseille de suivre un tutorial permettant de sécuriser ton nas (recherche google, il y en a un très bon sur le forum du site nas-forum).

Sur ton DSM, tu peux regarder dans le panneau de configuration si Quick connect est utilisé, dans ce cas, il est généralement conseillé de passer sur une solution plus "sure". MP si besoin d'aide

[Bah]

J'ai effectivement fait 2-3 manip conseillées pour sécuriser, mais je me suis vite heurté à mes limites...

Quick connect est effectivement activé, parce que c'est le moyen que j'arrive comprendre pour me connecter... Faudrait probablement que je me bouge les fesses et que j apprenne à accéder à mon nas manuellement depuis l'extérieur.

[Mr Slurp]

J'ai effectivement fait 2-3 manip conseillées pour sécuriser, mais je me suis vite heurté à mes limites...

Quick connect est effectivement activé, parce que c'est le moyen que j'arrive comprendre pour me connecter... Faudrait probablement que je me bouge les fesses et que j apprenne à accéder à mon nas manuellement depuis l'extérieur.

Le faire depuis l'extérieur sans le quick connect requière d'avoir soit une adresse IP fixe... soit de mettre en place un dynhost. Parce que si ton IP change et que tu n'as pas un "nom de domaine" qui pointe chez toi, ça va pas être possible.

[Bah]

Ah merde oui, j'avais pas pensé à l ip dynamique...

[ylyad]

Ah merde oui, j'avais pas pensé à l ip dynamique...

Oui, c'est un peu pénible. Gérable mais pénible. Mais mon FAI (quickline, j'ai pas le choix si je veux passer par le câble) me facture l'IP fixe 20 balles par mois et ça c'est non

[mikeul]

@Bah : pour ajouter une info à ton problème, j'ai un Kodi v17.6 installé sur une nvidia shield. Je passe par du NFS sans aucun souci. Je ne suis pas chez moi, donc je n'ai plus la config en tête mais ce que tu as posté me paraît bon. La seule différence chez moi, c'est que je n'ai autorisé que la shield (et pas toutes les machines).
De mémoire, pas de souci non plus avec Kodi v16 (mais j'étais sur une base linux à l'époque)

[Bah]

Je suis en 16.1. Le problème vient peut être de ma box android (minix).

[Bah]

Bon, autre truc que j'arrive pas faire donc je viens demander conseil. J'ai donc sur mon réseau ma box android avec un disque dur. J'aimerais pouvoir accéder à ce disque depuis mon NAS. Je suis sous synology et j'ai vu qu'il existait des outils pour créer des "remote connection" et la possibilité de "mount remote folder" sauf que comme je sais pas trop quoi utiliser et que je suis pas au point du tout sur la syntaxe à utiliser, j'y arrive pas (et je trouve pas d'aide sur le net pour m'en sortir).

Vous utiliseriez quoi vous ? Et comment (sachant que ma box est sur une IP 192machin et que pour y accéder en samba y'a un login et un mdp) ?

[mikeul]

Bon, autre truc que j'arrive pas faire donc je viens demander conseil. J'ai donc sur mon réseau ma box android avec un disque dur. J'aimerais pouvoir accéder à ce disque depuis mon NAS. Je suis sous synology et j'ai vu qu'il existait des outils pour créer des "remote connection" et la possibilité de "mount remote folder" sauf que comme je sais pas trop quoi utiliser et que je suis pas au point du tout sur la syntaxe à utiliser, j'y arrive pas (et je trouve pas d'aide sur le net pour m'en sortir).

Vous utiliseriez quoi vous ? Et comment (sachant que ma box est sur une IP 192machin et que pour y accéder en samba y'a un login et un mdp) ?

Il y a un premier point à vérifier : ta box android permet-elle le partage samba de disque ?
Et si oui, est-il activé ?

Si tu veux, dans l'interface du NAS, accéder à ce disque (en partant de l'hypothèse que le partage fonctionne), tu vas dans File Station, puis outils->monter partage CIFS (un truc comme ça)
https://www.synology.com/fr-fr/knowl...ntremotevolume

Si tu veux faire apparaître le dossier distant comme partage de ton NAS (c'est tordu mais pourquoi pas ), là, je ne sais pas. Mais j'imagine que si l'étape précédente a été réalisée, ça doit être possible...

[mcgrill]

Hello, pour y accéder à distance sans IP fixe ce n'est pas un problème.
Sur le syno allez dans le control center > External Access et DDNS a configurer. Ça fera les requêtes automatiquement pour que vous ayez un nom de domaine en synology.me ou autre vers l'IP de chez vous.
Je ne recommande pas CIFS et NFS ouvert vers l'internet.

Passez soit par un VPN, soit par du SSH mais sur un port autre que 2222 et 22 pour éviter les brute force basique sur ces ports là.

[Bah]

Il y a un premier point à vérifier : ta box android permet-elle le partage samba de disque ?
Et si oui, est-il activé ?

Si tu veux, dans l'interface du NAS, accéder à ce disque (en partant de l'hypothèse que le partage fonctionne), tu vas dans File Station, puis outils->monter partage CIFS (un truc comme ça)
https://www.synology.com/fr-fr/knowl...ntremotevolume

Mmmmh, je vais faire des tests de tout ça une fois à la maison. Merci beaucoup ! Pour le partage, ça doit passer, à l'époque j'arrivais accéder à cette box depuis mon ordinateur portable.

[mikeul]

Mmmmh, je vais faire des tests de tout ça une fois à la maison. Merci beaucoup ! Pour le partage, ça doit passer, à l'époque j'arrivais accéder à cette box depuis mon ordinateur portable.

Ok. Je posais la question parce que le partage samba sur la nvidia shield n'est plus possible depuis je ne sais plus quelle version.

[Bah]

Alors moi à priori ça devrait passer ouais. Je le fais plus parce que c'est uniquement du samba 1 et que je l'avais désactivé dans windows vu que c'était conseillé. Faut que je trouve le chemin exact de mon disque et ensuite je tente.

[Bah]

Mmmh, bon j'ai fait des essais et j'y arrive pas. D'après le browser de ma box android, mon disque dur est en /storage/external_storage/sbd1

Du coup dans le syno, je tente de mount la remote folder en tapant \\192.168.1.124/storage/external_storage/sbd1 et ça me dit que ça la trouve pas (j'ai essayé en remplaçant les / par des \ , parce que j'ai jamais compris ces trucs et ça change rien. Iem si je tente jsuite d'accéder à /storage).

Par contre truc intéressant, si je mets le bon user et le bon mdp il me dit qu'il trouve pas la folder. Mais si je mets un mauvais mdp, il me dit qu'il arrive pas se loguer avec ces credentials. Du coup il semblerait qu'il arrive connecter la box. Il trouve peut-être juste pas le dossier. J'arrive pas savoir si je dois mettre un truc entre l'IP et le /storage du coup. C'est peut-être là que ça merde. Ou alors "storage" ou la box est protégée en accès externe.

[mikeul]

Question bête mais tu as essayé depuis un PC ?

[Bah]

Faudrait que je retente. Je l'avais fait y'a pas mal de temps avant de désactiver le samba 1 sur mon pc. Je vais le réactiver et refaire le test, j'aurai peut-être des indices. En tout cas à un moment j'y arrivais ça c'est sûr.

[mcgrill]

Mmmh, bon j'ai fait des essais et j'y arrive pas. D'après le browser de ma box android, mon disque dur est en /storage/external_storage/sbd1

Du coup dans le syno, je tente de mount la remote folder en tapant \\192.168.1.124/storage/external_storage/sbd1 et ça me dit que ça la trouve pas (j'ai essayé en remplaçant les / par des \ , parce que j'ai jamais compris ces trucs et ça change rien. Iem si je tente jsuite d'accéder à /storage).

Le disque dur et la façon de le monter de l’extérieur sont deux choses différentes, c'est là qu'intervient le protocole de partage.
Sur un syno le chemin de tes répertoires n'est pas le même que la façon de les appeler. Tu fais un \\<USER@IP>\<RÉPÉRTOIRE> (ou SMB://USER@IP/REPERTOIRE depuis un mac/linux) alors que le chemin réel ressemble à /<VOLUMEXX>/<RÉPÉRTOIRE>. Le USER@ n'est pas obligatoire.
Essaye tout simplement de monter le disque sur la racine donc juste \\192.168.1.124

[Bah]

Essaye tout simplement de monter le disque sur la racine donc juste \\192.168.1.124

J'ai testé avec l'outil remote connection ou mount remote folder et dans les deux cas, j'y arrive pas. Le remote folder il me dit que si je mets juste \\192.168.1.124 ou \\192.168.1.124\ le chemin est invalide (apparemment c'est pas genre le chemin n'existe pas, c'est que pour lui il est faux parce qu'il manque la folder justement).

[ylyad]

Tout dépend comment est paramétré le partage SMB de ta box (c'est natif? via une app?). Par exemple, le répertoire partagé sur mon Pi est accessible en \\192.x.x.x\share quel que soit le nom du répertoire et son emplacement. Sur le Syno, c'est comme le dit mcgrill. Le "mount remote folder" n'aide en rien à trouver l'erreur (j'ai bien galéré) mais une fois que tu as trouvé quoi mettre, ça fonctionne carrément bien et c'est bien pratique.

[Wobak]

J'ai testé avec l'outil remote connection ou mount remote folder et dans les deux cas, j'y arrive pas. Le remote folder il me dit que si je mets juste \\192.168.1.124 ou \\192.168.1.124\ le chemin est invalide (apparemment c'est pas genre le chemin n'existe pas, c'est que pour lui il est faux parce qu'il manque la folder justement).

Tu as pas un autre PC sur le réseau ?

Si tu fais juste \\192.168.1.124 sur un PC windows tu vois pas les shares dispo ?

[Bah]

Oh putain, merci les gars ! J'ai réactivé smb 1 sur mon PC pour voir ce que ça donnait et effectivement, le chemin exact était \\192.168.1.124/x8h/storage/external_storage/sdb1
Il me manquait le x8h.
Du coup ça passe. C'est génial ! Merci encore !

[mcgrill]

Ouais par contre smbv1 faut commencer à couper hein:
https://fr.wikipedia.org/wiki/EternalBlue

Exploit usé et abusé. Séparez bien les connexions en smbv1 du reste de votre réseau.

[Mr Slurp]

Ouais par contre smbv1 faut commencer à couper hein:
https://fr.wikipedia.org/wiki/EternalBlue

Exploit usé et abusé. Séparez bien les connexions en smbv1 du reste de votre réseau.

Tant qu'il n'ouvre rien sur le monde extérieur et que tout est cantonné au LAN, normalement c'est pas tellement un risque non? (à condition bien sur que le LAN reste propre)

[Bah]

J'ai cherché des ressources sur le problème de SMB1 et ça dépasse largement mon maigre niveau. J'arrive par exemple pas savoir si le problème c'est SMB1 de manière générale, ou si c'est SMB1 utilisé par une machine sous windows.

[mcgrill]

Tant qu'il n'ouvre rien sur le monde extérieur et que tout est cantonné au LAN, normalement c'est pas tellement un risque non? (à condition bien sur que le LAN reste propre)

Oui, le mieux du coup c'est d'avoir son nas dans un sous-reseau différent des machines utilisateur.
192.168.1.0 pour vos machines via vos machinbox et un 192.168.2.0/24 pour le nas. Entre les deux un Firewall et on autorise uniquement les machines qui doivent faire du smbv1 entre elles.
Ça évite qu'un malware viennent infecter le réseau et chope le nas et chiffre tout le contenu.
Pareil ne pas avoir vos disques montés en permance, comme ça en cas de problème ça ne se propage pas aux disques.

[Guapo]

J'ai cherché des ressources sur le problème de SMB1 et ça dépasse largement mon maigre niveau. J'arrive par exemple pas savoir si le problème c'est SMB1 de manière générale, ou si c'est SMB1 utilisé par une machine sous windows.

En gros, si tu chopes un malware sur un de tes PC (windows) et qu'il s'exécute, il va détecter un NAS ou un autre PC en SMBv1 (ou plusieurs machines à la fois), y accéder et prendre la main dessus sans aucun problème pour commencer à faire ce qu'il veut avec.
A noter que comme le dit mcgrill, un malware bien pensé peut aussi faire la même chose si ton disque est monté, pas besoin de SMBv1 pour ça, ni de droit administrateur sur le PC d'ailleurs. La différence est que ça devrait prendre plus de temps car il faut qu'il chiffre les données d'un répertoire distant et qu'il ne fonctionnera pas quand ton PC est éteint (et en plus ne se relancera probablement pas tout seul, donc tu peux le détecter avant chiffrement de tout le disque).