NAS et Certificats

Démarré par albert91, 15 Février 2018 à 19:39:03

« précédent - suivant »

0 Membres et 1 Invité sur ce sujet

Un NAS peut permettre d'avoir un VPN pour le consulter à distance.
Là, il faut payer un certificat SSL.
ça évite que quelqu'un mal intentionné aille fouiller dans ton NAS ou dans ton réseau local grâce à des ports ouvert à tord et à travers.


Bonjour
Chez Qnap, c'est comme cela, chez Synlogie, je ne sais pas.
Je sais qu'il existait une société qui délivrait des certificats gratuitement mais il y a eu des problèmes de sécurité
Si tu as une solution, je suis preneur.




#6
Pour générer un certificat SSL.
Je n'avais pas compris ce qu'était Let's Encrypt
Pas de problème de compromission chez eux

Je regarde ça ce soir: il fait trop beau pour rester derrière un PC
Merci

Bonjour

Pour utiliser un certificat généré par Letsencrypt, il faut avoir certbot d'installé
le package certbot à la mode qnap n'existe pas
Par contre en fouillant dans mon interface d'administration, j'ai trouvé la possibilité d'obtenir un certificat de Letsencrypt, coup de chance.
Il faut donner un nom de domaine pour obtenir le certificat.
N'aillant pas de serveur web à la maison, je n'ai pas pris de nom de domaine.
Avec Knet, il me semble qu'on peut avoir une URL qui pointe vers l'adresse de mon routeur (A vérifier)
Es ce que je pourrais utiliser ça pour remplir ma case "nom de domaine"

#9
Citation de: albert91 le 17 Février 2018 à 12:05:28

Il faut donner un nom de domaine pour obtenir le certificat.


Euh bah c'est le principe en fait d'un certificat, en gros tu lui dis je veux aller chez MR TOTO et ton certificat TOTO répond oui c'est moi TOTO tu peux venir c'est safe  ;D

Donc si t'as pas de domaine et que tu attaques ton NAS juste par l'IP ça ne marchera pas !

#10
Dans l'interface knet, on a notre reverse DNS, est ce que ça peut convenir comme domaine ?
c'est du style xxx-xxx-xx-xx.ftth.cust.kwaoo.net
ça me semble bon

J'ai tester ping "mon reverse DNS": ça ping bien l'adresse IP de mon routeur coté Wan, c'est le but je sais
Testé sur mon NAS, la demande de certificat n'aboutis pas, il me dit que le port 80 n'est pas ouvert.
J'ai bien ouvert le port 80 en direction du NAS mais sur le NAS, je n'ai pas de serveur web qui tourne donc rien au bout de ce port 80.

Le but de tout ça est de faire tourner un serveur VPN sur mon NAS et un client VPN sur un PC portable qui pourrait se promener un peu partout, pas de monter un serveur web chez moi.
Il y a bien un certificat par défaut sur mon NAS, mais c'est même certificat que tout le monde, donc pas terrible

Je ne sais pas si nous sommes pas parti sur une fausse piste, la cryto ce n'est pas ma spécialité.

Citation de: albert91 le 17 Février 2018 à 14:17:38

Il y a bien un certificat par défaut sur mon NAS, mais c'est même certificat que tout le monde, donc pas terrible


Non ce n'est pas le même que tout le monde, c'est juste qu'il n'est pas signé par une authorité "publix" donc un navigateur (FireFox) par exemple ne peut pas savoir si c'est vraiment un bon certificat, mais dans le principe si toi tu connais le certificat et que tu dis je lui fais confiance le résultat sera le même à savoir crypter la conversation entre toi et ton NAS.

Dans l'interface, il est indiqué certificat par défault et Qnap indique que le certificat VENDU était plus sécuritaire
Ils ont tout intérêt à avoir une rente tous les ans mais bon ...

Dans l'interface de configuration du serveur VPN, j'ai un paramètre qui me dérange: Groupe des IP des clients VPN
S'il faut mettre l'IP que doit avoir le client, impossible, c'est fonction de l'endroit où je me connecte (wifi publique)
J'ai mis toute la plage des adresse LAN mais sans conviction

Tes clients VPN doivent avoir une adresse dans ton LAN.
C'est ça, il ne faut surtout pas attribuer ce que tu as fait, sinon les clients vont écraser des IP de tes machines et ça sera la cata.

Sinon c'est vrai que c'est plus sécuritaire : tu n'as pas besoin de confirmer une exception de sécurité. Vu que personne ne vérifie le certif dans ce cas, ça peut être un vecteur d'attaque, évité avec un vrai certif.