Forums - Bbox-Mag

Bonjour
J’espère que vous allez bien, certains sont peut être en congé, d’autres en pleine crise de foie après ce week end Pascal.

Je bosse tranquillement sur mes installations domestiques avec un MacMini, un MacBook, un Nas Synology à la maison dont une sauvegarde se fait de manière hebdo sur un autre Nas Synology distant avec une règle NAT/PAT entre ma B&You et la Livebox de mes parents .
J’ai mis récemment un PiHole pour diminuer la pub sur les divers appareils.
J ai aussi découvert Tailscale qui fait office de VPN , pour le moment installé sur le Mac’Mini et Mac book , mon iPhone et mon PiHole (sur un Pi zero2w).
Je suis aussi en train de regarder la mise en place de
Tailscale sur le Nas à la maison (je crois que c est via Docker, mais c est un autre sujet).

Maintenant, je me demande comment bien m’assurer que mes accès sont bien sécurisés, car vous l’aurez pigé, je n ai que peu de compétences en matière de réseau, et même si je pige les grandes lignes .

Il faut de ce que j ai pigé bien sécuriser les accès SSH
Avec Tailscale, j ai pu me connecter facilement depuis l’extérieur à mon PiHole, et j ai depuis longtemps accès à mon Nas Synology sans problème majeur via les applis Syno , et j ai aussi viré les accès HTTP dessus pour HTTPS only.

Je ne sais plus par quelle manip j’ai changé le port d’accès SSH sur le PiHole. C’est un truc à faire je crois, en même temps que mettre en sommeil les users basiques dans les Raspberry.

Ok mais pour le reste, notamment les Mac je fais quoi ?
Est ce que Tailscale uniquement suffit ?

Sur la B&You j ai laissé la règle par défaut hormis la règle pour la sauvegarde du Nas.

J ai lu et essayé Fail2ban pour scanner les intrusions potentielles mais pour le coup c’est loin d être user friendly .

Voilà, j’aimerai savoir si il y a un set up à faire ou ne pas faire ?

Merci

Hello

Perso je laisse le pare-feu de la box par défaut et sur mon NAS j'utilise le quick connect qui me permet différentes actions en dehors de chez moi de manière sécurisé 'après si y'a une faille exploitable coté syno, je suis tjrs vigilant a mettre à jour le DSM et apps
et pour la domotique pareil j'utilise des éléments qui évitent d'avoir à modifier à la mano des paramètres de la box (la aussi ce n'est pas forcement parfait car les failles peuvent venir coté constructeur, il faut garder ça en tête (d'où aussi de faire attention à ce qu'on achète).

une règle si je ne comprends pas ce que je fais déjà et bien j'estime que c'est potentiellement un problème donc soit je me documente, soit je fais autrement (ou je ne fais pas en attendant de mieux)

Merci @ToFoo93

Mis à part la règle entre Nas@home et Nas distant, j'ai laissé le pare-feu par défaut.
Si c'est mis ainsi je me dis qu'il y a une bonne raison....et donc pour éviter toutes modifications malencontreuses, je me documente.
Il parait qu'il y a des failles sur le Quickconnect Synology mais c'est effectivement bien pratique. Je me connecte via l"application DS_Finder sur iPhone, ou bien via l'IP du Nas que j'ai référencé via Keeper ( meme si j'ai regardé Dashlane aussi mais bon , j'ai gardé mon habitude ).

Pour le peu de domotique que j'ai, pour le coup, je ne m'en fait pas, c'est vraiment rien quelques relais et prises bluetooth/wifi de chez Shelly, sans modif de quoique ce soit.

Ce sont plus les ordis (Apple et surtout les Raspberry) qui me pourraient etre faillibles, mais encore, j'ai quasi tout sur le NAS.
Le seul risque que je vois chez moi , c'est la prise en main à distance des Mac qui ont accès à tout qui est plus touchy.
Possible, mais j'ai activé le 2FA donc a ca devrait etre bon je crois.
Tailscale me parait etre un bon outils, facile à comprendre, installer, tres user Friendly.

Est ce que si il y avait une tentative d'intrusion, la box nous alerterait ?
Fail2Ban semble faire le job, mais franchement pour mettre en place un reporting, malgré les tutos , j'ai abdiqué et désinstaller le soft qui je ne pige pas , comme tu le dis .

une tentative de connexion à l'IHM distant de la box tu px être alerté si t'as activé la notif (tu vois aussi les éléments dans son journal qui s'efface au reboot pour rappel), mais par exemple si je connais une porte dérobé pour accéder à une cam là la box ne le sait pas c'est pas son taf... d'où l'intérêt parfois de sécuriser à un appareil spécifique ou d'une façon que y'ait pas de tentatives via d'autres moyens (c'est un exemple pour rappel !)

Je viens de jeter un coup d'oeil au système de notification, et jai l'impression qu'il a été amélioré par rapport à ce que j'en avais vu quand je me suis abonné et j'avais bcp de messages d'erreurs d'envoi sur mes boites mails hors Bouygues.

Si c'est normal, c'est donc mes yeux, ce qui est possible, mais je vais regarder ca de plus pres.
Merci

Pour la camera, oui je pige, merci ; j'en ai effectivement une mais pour le coup ca doit etre encore plus facilement accessible car via routeur 5G.

merci, tout ca me plait bien et me fait penser que je ne suis donc pas trop mal, meme si le 0 risque, ca n'existe pas....

Bonne soirée , ou plutôt nuit

Bonjour,

Sécuriser c'est ouvrir le moins de choses possibles.

En premier lieu, se poser la question de la nécessité des accès externes. Par qui ? pour quoi faire ?

Ensuite, pour augmenter la sécurité tu peux utiliser des ports inhabituels, et donc être moins exposé aux robot scanneurs de ports (ils scan en général les ports usuels).

Un bon réglage de pare-feu permet un filtrage de l'adresse IP source, voire le l'adresse MAC d'origine.

Pour te donner un exemple perso, j'utilise webmin pour l'administration de mon serveur. Son pare-feu est réglé pour n'autoriser que les adresses de mon LAN. J'ai toutefois créé une règle permettant un accès ssh à cette machine mais en ne l'activant pas. En cas de nécessité d'accès distant à mon serveur, je me connecter tout d'abord à l'interface d'admin de la box pour activer la règle. Je me connecte ensuite en ssh à mon serveur pour autoriser mon adresse IP distante à l'interface d'admin de mon serveur. Je re-désactive l'accès ssh (toujours très attaqué) et ai à partir de ce moment accès à l'interface web de mon serveur. Je n'utilise pas, pour cette fonction , le port par défaut de Webmin.
Dès que possible, je désactive les portes ouvertes.

La solution la plus performante reste l'utilisation d'une connexion par VPN à ton LAN. Le VPN permet à la fois la machine et l'utilisateur qui se connecte. C'est toutefois relativement compliqué à bien configurer.

Mariotte91

Hello
Les accès externes , ce n’est que pour moi.
Éventuellement un jour , je donnerai accès à mon Nas à mes filles .
Et si je demande à ma femme de me connecter à distance …comment dire la techno, ce n est pas son truc du tout.
Donc ce n est que pour moi.

So je pige bien entre ce que @tofoo93 et toi me dites, il faut que je limite les accès , notamment SSh sur tous les appareils mon Mac mini, , mes raspberry , c’est bien ça ?

Si c’est ça pour SSH je les mets sur un port spécifique et pas le 22 et sur le RasPi en plus je vire les users root ( Mai’s je crois que c’est fait en natif) et le user et pwd de base

mon Nas mais avec l’appli Syno c’est fait .

Rien à faire côté BOX mis à part le set up de base ?