sécurité truenas

[mb69500]

bonjour a tout les membre du forum je suis nouveaux sur celui ci

je souhaiterais votre avis sur ma config au niveaux sécurité
voici ma config
box internet fibre
pare-feux pfsense sur la dmz de la box avec une ouverture du port 22 sur la wan du pare-feux
truenas connecté sur le Lan du parfeux via ssh connection avec un login et un pswd
je me connecte depuis un iphone via une application filebrowerGO avec le protocole sftp
que penser vous de ma config au niveaux securité et les attaque depuis internet du nas
j'ai aussi configure la partie envoie de mail afin de recevoir les alert du nas sur ma boite mail
je souheterais recevoir des allert de tout personne connecter au nas chose que je ne recois pas
merci beaucoup a tous

 

[Pitfrr]

Bonjour,

Alors c'est pas hyper clair tout ça je trouve... un petit schema aurait été plus facile (probablement aussi parce que je suis plus visuel je pense :-O).
Je pensais à un schéma de ce genre:

Et indiquer les services et ports ouverts.
Je connais pas FileBrowserGO et je n'utilise pas SFTP, donc je vais avoir du mal à évaluer la sécurité ici mais a priori, SFTP est assez bien sécurisé.
Je suppose également que tu n'exposes pas le NAS directement à internet?
Et depuis l'extérieur, tu ne te connectes qu'en SFTP?

truenas connecté sur le Lan du parfeux via ssh connection avec un login et un pswd

Qu'entends-tu par là?
Tu accès au NAS par SSH, ok... Depuis le LAN? Ou depuis l'extérieur aussi?
Et sinon, comment utilises tu ton NAS (partage SMB ou autre?)? Et y accèdes-tu depuis l'extérieur?

Perso, j'utilise un VPN et cela convient à mes besoins.

 

[mb69500]

Bonjour
Tout d’abord merci de m’avoir répondu
Voici un schéma de ma config pour me dire ce que tu en pense pour la sécurité
Y a t’il une option dans truenas pour m’envoyer une alerte quand une personne est connectée je reçois déjà des alertes pour le reste merci

 

[mb69500]

Désolé je n’est pas répondu a tes questions

Tu accès au NAS par SSH, ok...Depuis le LAN? Ou depuis l'extérieur aussi?
Depuit l’extérieur uniquement en ssh

Et sinon, comment utilises tu ton NAS (partage SMB ou autre?)? Et y accèdes-tu depuis l'extérieur?

Oui je l’utilise en smb uniquement depuis l’intérieur

Perso, j'utilise un VPN et cela convient à mes besoins.

Je sais que c’est mieux avec un vpn mais je problème est que je devrais chercher une application compatible avec un iPhone

 

[Pitfrr]

Alors, tu utilises uniquement le smartphone pour accéder en ssh au NAS depuis l'extérieur, avec l'appli FileBrowserGO pour accéder aux données du NAS, ok.
Une autre option qui pourrait être à considérer serait l'utilisation de NextCloud par exemple (que j'utilise mais à travers un VPN mais un reverse proxy fait semble-t-il aussi l'affaire. Je dis "semble-t-il" car je ne me suis pas encore plongé dans cette solution d'un point de vue sécurité.). Mais franchement, si ta solution te convient bien, pas de raison de changer (perso, c'est pas une solution que j'utiliserai mais normalement, d'un point de vue sécurité, si tu fais ça avec une clé SSH et mot de passe, ça me semble pas trop mal).

Pour le VPN, puisque tu utilises pfsense comme pare-feu, tu pourrais utiliser le service VPN (openVPN) intégré. Sinon TrueNAS possède aussi un service (serveur et client) openVPN. Et il semblerait qu'il y ait une application sur l'apple store. Mais je ne suis pas un connaisseur des produits apple...
Après la solution VPN peut-être un peu compliquée à mettre en oeuvre... c'est pas toujours évident.

Pour les alertes, je ne connais pas assez bien mais par défaut comme ça, je ne crois pas que TrueNAS puisse envoyer une alerte à chaque connexion. Tu auras peut-être plus facilement une alerte au niveau de pfsense lorsque un utilisateur veut accéder à une IP dans la DMZ? Mais là je ne connais pas non plus assez pour te dire...

 

[mb69500]

Merci pour ta réponse

Je viens juste de changer ma configuration
Je rentre toujours en ssh mais plus avec le port 22 j’ai changé le numéro de port afin de brouiller les pistes pour un pirate qui souhaiterais scanner tout les port surtout ceux qui sont connu
je vais voir si je peux mettre en place ma configuration en vpn via pfsense après le problème est de trouver la bonne application pour mon iPhone
Merci

 

[mb69500]

Bonjour,

Alors c'est pas hyper clair tout ça je trouve... un petit schema aurait été plus facile (probablement aussi parce que je suis plus visuel je pense :-O).
Je pensais à un schéma de ce genre:
View attachment 69450
Et indiquer les services et ports ouverts.
Je connais pas FileBrowserGO et je n'utilise pas SFTP, donc je vais avoir du mal à évaluer la sécurité ici mais a priori, SFTP est assez bien sécurisé.
Je suppose également que tu n'exposes pas le NAS directement à internet?
Et depuis l'extérieur, tu ne te connectes qu'en SFTP?


Qu'entends-tu par là?
Tu accès au NAS par SSH, ok... Depuis le LAN? Ou depuis l'extérieur aussi?
Et sinon, comment utilises tu ton NAS (partage SMB ou autre?)? Et y accèdes-tu depuis l'extérieur?

Perso, j'utilise un VPN et cela convient à mes besoins.

Bonjour avec quelle application tu a fait ton schéma réseau ? Merci

 

[Pitfrr]

Rien de bien particulier, j'ai utilisé LibreOffice.

 

[mb69500]

Ok merci pour ta réponse
Quand pense tu du changement de port de ssh sa limite bien quand même les attaques ?

 

[Pitfrr]

Quand pense tu du changement de port de ssh sa limite bien quand même les attaques ?

Alors oui, c'est une bonne pratique de changer les ports par défaut. Par contre, est-ce que ça limite les attaques? Pas sûr...
On va dire que ça limite contre les hackers du dimanche (qui ne testent que les ports par défaut) mais pas contre une attaque plus ciblée ou sérieuse.

 

[mb69500]

Avant de changer de port j’avais tout la journée des attaques sur le port 22
j’étais obligée d’effacer le journal des log
Il était saturé
Après avoir changé de port plus rien
Incroyable la différence
Par contre j’ai des adresses IP bloqué entre le lan et le wan sur la firewall pfsense
truenas + un routeur wifi + Windows cherche a ce connecter a un serveur de temps
Udp por 123
Y a t’il un risque d’ouvrir ce port ?? merci a toi

 

[Pitfrr]

Après avoir changé de port plus rien

Ah ben au moins c'est une bonne chose!
J'aurai pas pensé que ça te saturerait les log quand même mais bon. :-O

Udp por 123
Y a t’il un risque d’ouvrir ce port ??

Ben c'est le port utilisé par NTP après je ne sais pas si il y a des vulnérabilités connues et exploitées sur ce port.
Après ce que tu peux faire aussi c'est utiliser pfsense comme serveur de temps pour ton réseau local.

 

[mb69500]

Salut
Oui mais c’est pareil pfsense va ce connecter au serveur de temps via le port udp 123 le port sera quand même ouvert ? Ou bien il utilise un autre protocole ?
Sa va changer quoi ?
Merci pour t’es réponds
tu est informaticien ?
Je suis informaticien junior j’ai fait une formation tsrit sur 9 mois et je t’avoue que beaucoup de choses reste floue pour moi

 

[Pitfrr]

pfsense va ce connecter au serveur de temps via le port udp 123 le port sera quand même ouvert

Sauf que la probabilité pour que pfsense (si à jour bien entendu) ait une faille sur le port 123 est minime (normalement) comparé à un autre système (un ou plusieurs d'ailleurs).

En plus, normalement, tu n'as pas besoin d'ouvrir le port pour que le NTP fonctionne car la requête va partir du réseau local (pfsense ou autre d'ailleurs) pour sortir vers internet et dans ce sens là, normalement, pas de problème.
Perso je n'ai pas ouvert le port et le PC met bien l'heure à jour par NTP.
Tu ouvres un port seulement si tu as besoin qu'une connexion soit initiée depuis l'extérieur (donc par exemple pour un VPN) ou, dans ton cas, quand tu te connectes avec FileBroswerGO.
Et en plus quand tu ouvres un port, généralement tu le rediriges vers un périphérique sur ton réseau (et là faut faire attention que ce périphérique soit bien à jour pour minimiser les possibles failles).

Oui, je suis informaticien (mais pas que), plus en développement soft (embarqué) que réseau.

 

[mb69500]

Je pense que je me suis mal exprimé
J’ai ouvert le port 123 du lan au wan
Pour que la requête puisse sortir sur l’extérieur voici une photo du log
L’adresse ip de mon routeur wifi est la 192.168.2.4 merci beaucoup pour tes conseils précieux

 

[Heracles]

Pour exposer SSH sur Internet, mieux vaut interdire l'authentification par mot de passe et exiger des clefs de chiffrement.

Aussi, tant qu'à avoir pfSense, tu pourrais utiliser un VPN entre le téléphone et pfSense pour ensuite connecter ton NAS. Ainsi, le NAS ne serait jamais exposé à Internet. Ce serait encore mieux.

Donc OpenVPN authentifié par certificat entre le mobile et pfSense pour ensuite connecter ton SSH authentifié par clefs de chiffrement plutôt que mot de passe. Ça ce serait beaucoup plus robuste.

 

[mb69500]

Oui je suis d’accord avec toi
Mais j’avance petit à petit il y a encore beaucoup de choses que je ne maîtrise pas

Après le souci et de trouver la bonne application je sais pas si je peux le faire avec FileBroswerGO mon application actuelle ?
Je me suis bien habitué à cette application
Merci

 

[mb69500]

Que pense tu de ce tuto pour la connexion via Cle publique et privée sur truenas
? Merci

TUTO - TrueNAS SSH KEY - Configurer et se connecter à votre NAS avec des clef SSH (4g, wifi, etc..)

● Software● Usagehttps://www.flaticon.com/https://obsproject.com/https://duckduckgo.com/https://alternativeto.net/● Site webhttps://astuceman.blogspot.com/?Y...

youtu.be

 

[mb69500]

Bonjour
J’ai une petite question s’il te plaît
Sur le journal de pfsense je vois une ip qui est bloqué 224.0.0.1 c’est bien pour le multicast ? de ma box 192.168.1.1 je ne sais pas si je peux ou pas laisser passer cette adresse dans le firewall ? Merci

​

 

[Pitfrr]

Oui, c'est une adresse utilisée pour le multicast.
Après pourquoi ta box envoie ça.... elle doit bien le savoir.
Je pense que je laisserai passer mais je t'avoue que je n'en sais trop rien... :-O
(j'essayerai de comprendre d'où ça vient (bon de la box mais quel service, pourquoi) et à quelle fréquence avant de décider du blocage ou non)