PROJET AUTOBLOG

Shaarli - Mitsu'liens

Site original : Shaarli - Mitsu'liens

⇐ retour index

Note: Pare-feu de NAS

samedi 7 octobre 2017 à 14:00

L'hébergement domestique, c'est le bien. Mais en gardant le contrôle de ses données privées, on a aussi la responsabilité de définir une politique de sécurité pour son accès.

Tous les NAS actuels dignes de ce nom permettent de définir des règles de pare-feu, le plus souvent c'est une interface et la mécanique interne c'est iptables.
Rapidement on en vient aux questions suivantes:

  • règle générale: on bloque tous ports/applications, de toute source (cette règle est à glisser à la dernière place)
  • règle pour le téléchargement P2P: on autorise l'application pour toute source
  • règle pour les synchro spécifiques (CalDAV, CardDAV, IMAP...): on autorise les applications pour toute source depuis un pays spécifique
  • règle pour l'interface de gestion et le SSH: mmmh... il peut toujours m'arriver de devoir accéder "au coeur" de mon NAS pendant que je suis en vacances.. on autorise les applications pour toute source depuis un pays spécifique (NB: ne pas oublier d'ajouter le Japon en liste blanche avant le séjour)
  • règle pour le partage de fichiers, l'interface de gestion, le DHCP, le NTP...: on autorise les applications pour toute source dans le réseau local (par ex 192.168.0.0:255.255.255.0) bien sûr en conservant des authentifications d'accès, l'intrusion dans le réseau wifi ou le hack d'une machine locale étant pas impossible, ou même la box qui s'inviterait là où elle n'a rien à foutre
  • règle pour le service web: on met en liste blanche la plage IPv6 de CloudFlare (2400:cb00::/32) et toute autre source se fait rejeter (je doute qu'un NAS résiste à un DDoS SYN-ACK 300 Gb/s d'objets connectés donc autant ne le laisser répondre qu'à CloudFlare, et seulement en IPv6 parce qu'au besoin on peut changer l'IP du NAS, alors que l'IPv4 bah le grand public n'en reçoit qu'une..)

ps: oui les transferts de fichiers peuvent aussi être passé en IPv6 via adressage public, le débit le transfert de 85 Mo/s me confirme que ça franchit pas le modem ^^ donc je peux par exemple avoir un même profil SFTP dans Filezilla pour l'intranet et l'internet sur mon PC portable (gigabit ethernet à la maison, pauvre VDSL2 bien lent en déplacement)
— <a href="https://suumitsu.eu/links/?Vl-E0w" title="Permalink">Permalink</a>