Accès Sécurisé HCL et HC2 avec Reverse Proxy

[jojo]

merci @Lazer pour ce didacticiel précis (comme d'hab ) .

Je me pose encore 2 questions :

1. en quoi est-ce un problème de sécurité de voir le nom de domaine (mondomaine.com) : il est connu, et si on y accède, c'est qu'on le connait ? Je comprends bien qu'on veuille cacher les SOUS-domaines, ça me paraît plus "important"
2. et si pour le https on redireige un port alléatoire (4657, part exemple), n'est-ce pas mieux ? comme ça https://1.2.3.4. ou https://mondomaine.com ne retourne rien, car il faut en plus préciser le nom numéro de port (4657) ?

[Kana-chan]

Bonjour et merci pour cette explication.

 

J'ai donc créé un certificat auto-signé rien que comme certificat par défaut.

Avec l'adresse IP, tu ne vois pas le nom de domaine, mais si tu utilises les bons no;s de domaines avec les sous-domaines alors c'est tout bon.

 

Voilà ...

 

[Lazer]

@Kana-chan parfait

 

@jojo

1/ 99% des scans sont des robots, qui ne connaissent pas ton domaine, mais uniquement ton IP (forcément c'est pas là qu'ils arrivent). Idem pour un petit malin comme moi ou l'un de tes collègues au travail ou sur n'importe quel LAN qui s'amuse à récupérer ton IP publique.

Si il ne connait pas le domaine, il ne va pas plus loin.

Si il connait le domaine, il peut déduire un certain nombre de sous-domaine, et donc rentrer plus facilement.

 

2/ Bof.... changer les ports, c'est une technique de base pour cacher, mais encore une fois, ça ne fonctionne qu'avec les robots qui scannent les ports par défaut. Celui qui te veut du mal, avec un nmap il retrouve tes ports en moins de 2 (c'est le premier truc que j'ai testé tout à l'heure chez Benjy ), donc ça ne ralentie pas le mec plus de 2 Minutes.

Changer les ports est une mauvaise technique, en tout cas elle n'est pas suffisante.

Mais surtout, changer les ports, c'est s'exposer à des dysfonctionnements.

Car la plupart des proxy/firewalls d'entreprise ne laissent passer que les ports 80 et 443, donc tu ne pourras plus accéder chez toi. Si tu voyages, tu verras que c'est pareil à l'échelle entière de certains pays dont la censure est encore plus important qu'en France.

D'ailleurs, c'est la raison pour laquelle j'ai monté mon premier reverse proxy sur le port 80 il y a pas mal d'années, c'était justement pour m'y connecter de n'importe où.

PS : pour ceux qui font du OpenVPN, idem, il faut le mettre sur le port 443 afin de passer au travers des proxy/firewalll des entreprises.

[BenjyNet]

Ouais moi j'ai mis en place le reverse parce que ça me saoulait d'être bloqué dès que tu te balades. Au moins là je me casse au Portugal et je pourrais me regarder ma Casa de Papel tranquille à l'Hotel

[Sakkhho]

alors moi j'ai pas suivi ce tuto mais un truc plus basique de mémoire, mais si j'interroge http https mon ip et bien j'ai rien du tout :-)

 

j'ai bon ?

:)-)

Ce site est inaccessible
MONIP n'autorise pas la connexion.
Essayez les suggestions ci-dessous :

Vérifier la connexion
Vérifier le proxy et le pare-feu
ERR_CONNECTION_REFUSED
Vérifiez votre connexion Internet
Vérifiez les câbles et redémarrez votre routeur, votre modem ou tout autre périphérique réseau utilisé.
Autorisez Chrome à accéder au réseau dans les paramètres du pare-feu ou de l'antivirus.
S'il est déjà répertorié en tant que programme autorisé à accéder au réseau, essayez de le supprimer de la liste, puis de le rajouter.
Si vous utilisez un serveur proxy…
Vérifiez vos paramètres de proxy ou contactez votre administrateur réseau pour vous assurer que le serveur proxy fonctionne. Si vous ne pensez pas devoir utiliser de serveur proxy, procédez comme suit : Sélectionnez Applications > Préférences système > Réseau > Avancé > Proxys et désélectionnez les serveurs proxy sélectionnés.

 

[Lazer]

Euh, là c'est comme si tu n'avais aucun port ouvert, en tout cas ni le 80 ni le 443

 

Mais si tu n'as pas suivi ce tuto, tu as suivi quoi ?

Est-ce que tu as mis en place un reverse proxy, ou alors tu as fait une simple redirection de ports (auquel cas tu as surement ouvert des ports différents)

[Sakkhho]

oui j'ai un reverse proxy en place pour accès à mes HIVKSION et ma HC2.

j'ai ouvert un autre port que le 80 et 443 - donc si je https://MONIP:MONPORT , je tombe effectivement sur la page de login mon DSM.

grave ?

 

[Lazer]

Oui et non.

Voir mon discours précédent sur l'utilité ou non de changer les ports par défaut.

En synthèse, si tu as confiance dans la sécurité de ton reverse proxy, cela ne sert à rien de changer le port, au contraire cela entraîne des dysfonctionnement si tu veux te connecter depuis un réseau d'entreprise.

[ADN182]

Bien vu @Lazer, avec le Syno et le reverse proxy intégré ça renvoi vers mon nom de domaine "principale" quand je tape sur l'adresse IP Publique ! 

 

Du coup pour tous ceux qui utilise le reverse proxy Syno avec les Certificats Let's Encrypt ça doit être pareil  !

 

J'ai générer un certificat auto-signé "Let's" avec mon reverse ip pubique. et j'aii  configuré les Paramètres Système par défaut pour pointé dessus : 

 

[ADN182]

Vous avez également la redirection qui se fait du 443 vers le 5001 lorsque que vous adresser l'adresse IP Publique ? Parce que c'est une faille également, on sait qu'il y a un Syno derrière . Par contre j'ai pas trouvé dans le DSM comment supprimer cette redirection .

 

https://52.65.22.12 => acceptation du certificat reverse => https://52.65.22.12:5001 (rien n'apparait (vu que j'ai pas forward le 5001) mais ça indique qu'il y a quelque chose et qu'il redirige vers le 5001.

[Lazer]

Tu n'aurais pas forcé le HTTPS dans les paramètres du Syno ?

Il y a une option dans le panneau de config, il faut la décocher.

Sinon ça redirige tout seul sur le 5001 car le Syno croit que le l'utilisateur est en local (il n'a pas conscience du reverse proxy)

Modifié le 2 mai 2018 par Lazer

[ADN182]

Je viens de tester plusieurs choses, rien à faire, j'ai tous décocher, j'ai quand même le DSM qui essaye de redirigé . (Mon 80 est dirigé vers le 80 du Syno, idem pour le 443)

 

Si je fait :

http://84.25.31.257 => http://84.25.31.257:5000 

https://84.25.31.257 => http://84.25.31.257:5001 

 

Tu parle de ce paramètre @Lazer ?  : 

[Lazer]

Oui c'est bon c'est bien paramétré, c'est bien de ça que je parlais.

Du coup c'est peut être la faute du paramètre HSTS, et là c'est la merde pour le virer celui-là... même pas certain que vider le cache du navigateur suffise.

 

 

PS : trop bien l'adresse IP en 257, on se croirait dans un film de hackers au cinéma hollywoodien

 

[minos]

@ADN182

peut être là ...?

 

[minos]

Le 02/05/2018 à 18:35, ADN182 a dit :

Vous avez également la redirection qui se fait du 443 vers le 5001 lorsque que vous adresser l'adresse IP Publique ? Parce que c'est une faille également, on sait qu'il y a un Syno derrière

Moi j 'ai déclaré un autre port que  443  , certes @Lazer a raison .. on peut sniffer les ports .

 

De plus j' ai changé les ports 5000 et 5001 du syno.

 

en résumé j ai un port spécifique pour le https d' ouvert qui me redirige vers le port spécifique déclaré du syno...et en plus vient se greffer le reverse proxy

 

@ => ippublique:port_https_ouvert=>monsyno:port_spécifique.

 

 

 

 

@ => (reverse) hc2.mondomaine.com:port_https_ouvert=>HC2 (80)

 

 

voilou je sais pas si c 'est hyper sécu ...

 

 

Modifié le 4 mai 2018 par minos

[ADN182]

Il y a 13 heures, minos a dit :

peut être là ...?

Hello @minos, Essayé également, mais je pense que ces paramètres sont la plus pour les liens envoyer directement à l'utilisateur :  https://mondomaine.com:monport par mail pour avec Google Docs...

[Lazer]

@ADN182 je pense que ton problème provient de l'option HSTS que tu as activé sur DSM.

Essaye sur un autre navigateur que tu n'as jamais utilisé pour te connecter au Syno et qui n'a donc jamais reçu le header HSTS, ça devrait fonctionner (= tu ne devrais pas avoir la redirection forcée)

 

Si vous avez suivi le même tuto, je ne comprends quand même pas pourquoi @ADN182 et @BenjyNet vous avez un comportement différent sur la présentation du certificat par défaut.

[ADN182]

Alors je pense savoir pourquoi. J'ai essayé @Lazer en Navigation Privée, plusieurs Navigateur suppression du cache mais rien :s.

 

Je n'avais pas besoin de WebStation (jusqu'a présent).

 

Si pas de WebStation => redirection vers 5000 ou 5001

Si WebStation => page 403

 

Du coup je pense de @BenjyNet dois avoir le paquet WebStation d'installé.

 

Au passage j'ai installé WebStation pour faire une redirection automatique HTTP => HTTPS 

C'est à dire que j'ai deux entrée dans mon reverse proxy Synology une en HTTP et une autre en HTTPS

 

Dans WebStation il faut créer un virtual Host pointant sur un répertoire avec à l'intérieur un fichier .htaccess

Contenu du fichier .htaccess : 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

 

 

Ensuite dans la partie Reverse Proxy il vous suffit de faire pointer la HTTP vers le Virtual Host Créé : 

http://mondomaine.com => localhost:8001

https://mondomaine.com => 192.168.0.1:443

 

Ansi quand vous accéder à http://mondomaine.com une redirection est faite directement vers : https://mondomaine.com pour passé en sécurisé.

 

Source : http://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/ et https://blog.golimb.com/2017/07/14/synology-reverse-proxy/

 

[Lazer]

Bien vu, mais ça devient compliqué.

Perso j'utilise toujours HAproxy, je n'ai pas eu besoin de faire tout ça.... Config ultra basique avec les paramètres par défaut dans le panneau de config de DSM, et je demande juste à HAProxy de forcer une redirection du http vers https :

frontend http
        ...
        acl is_dsm hdr(host) dsm.domaine.com !ssl_fc
        redirect scheme https code 301 if is_dsm
        ...

Et c'est tout.

[jojo]

j'ai enfin appliqué le tuto jusqu'au bout.

J'ai fait le test avec ma machine virtuelle jeedom (car elle n'a que le port 80, pour DSM, il y a des particularités, et pour ma LD, il y a deux ports). Donc les premier tests avec jeedom sont plus faciles.

 

au niveau de mon routeur perso j'ai redirigé le port 443 vers le port 443 de mon syno.

Au niveau d'OVH j'ai fait les redirections des sous-domaines, mais pas de redirection de mondomaine.com.

Comme browser, j'utilise Firefox pour MAC.

Au niveau de mon Syno, voici les certificats que j'ai :

1. L'auto-signé par défaut (suivant recommandation de @Lazer)
2. le wildcard pour mes sous-domaines (par SSLforFree)

 

Alors, voici les tests que j'ai faits :

• https://mondomaine.com => me retourne une belle erreur comme quoi le site n'existe pas
• https://www.mondomaine.com =>
  
  et si je clique sur "Ajouter une exception" puis "Voir", je suis bien sur le certificat self-signed
  => j'ai bien une erreur qui "valide" mon nom de domaine.
  => je vois qu'au niveau d'OVH, j'ai une redirection pour www.mondomaine.com. Donc je pourrais la supprimer ?
• https://nimportequoi.mondomaine.com => cfr https://www.mondomaine.comv
• https://www.nimportequoi.mondomaine.com => cfr https://www.mondomaine.com
• https://jeedom.mondomaine.com => j'arrive sur mon jeedom
• https://www.jeedom.mondomaine.com => erreur de certificat : il m'affiche que mon certif n'est pas valide pour <*.mondomaine.com>. Pas cool car il affiche directement mon nom de domaine ... Je comtinu de creuser

[minos]

@jojo  en MP stp

 

[Lazer]

@jojo oui tu peux supprimer le www.mondomaine.com si tu ne l'utilises pas.

Chez moi je l'ai laissé, mais il pointe n'importe où (chez OVH), mais pas chez moi. C'est bien ça fait perdre du temps au visiteur un peu trop curieux.

 

>>> https://www.jeedom.mondomaine.com => erreur de certificat : il m'affiche que mon certif n'est pas valide pour <*.mondomaine.com>. Pas cool car il affiche directement mon nom de domaine ... Je comtinu de creuser

 

Normal, tu as déjà tapé jeedom.mondomaine.com, donc c'est logique qu'il te présente ce certificat là.

De toute façon tu ne devrais pas utiliser www.jeedom.mondomaine.com, c'est moche et plus personne ne met de www devant un nom de domaine qui comprend déjà un sous-domaine (le "jeedom")

 

 

Sinon je viens de constater que quand ton Syno renvoie un 403 error, en affichant le code source de la page, il est un peu trop bavard, car on voit que c'est un Syno :

/* Copyright (c) 2018 Synology Inc. All rights reserved. */

Dommage, pas très malin de la part de Synology, ils veulent se faire de la pub, mais ça donne un indice au visiteur.... première règle de base quand on met un serveur Web en prod, c'est de commencer par cacher un maximum d'infos.

Faudrait fouiller dans le Syno pour retrouver la page Web en question et modifier manuellement le code source (en espérant que ça ne revienne pas à chaque mise à jour)

[jojo]

il y a une heure, Lazer a dit :

De toute façon tu ne devrais pas utiliser www.jeedom.mondomaine.com

oui c'est sûr, je ne l'utiliserai jamais, mais je souhaite éviter que des robots puissent identifier mon nom de domaine perso.

 

ici, ils expliquent comment transformer monsousdomaine.mondomaine.com en https://monsousdomaine.mondomaine.com

[Lazer]

@Jojo je ne comprends pas ce que tu dis.

" transformer monsousdomaine.mondomaine.com en https://monsousdomaine.mondomaine.com " ++> Je ne vois pas ce que tu veux dire par "transformer un DOMAINE en URL".

C'est comme dire transformer des Watts et Volts, ça n'a strictement rien à voir, ce sont des unités de mesures différentes.

 

[jojo]

je me suis sûrement très mal exprimé.

En fait quand tu entres dans ta barre d'adresse monsousdomaine.mondomaine.com c'est d'office du http.

avec webstation et la création du fichier .haccess avec le code

Citation

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

cela redirige automatiquement tes requêtes http en https.

C'est donc beaucoup user-friendly de taper monsousdomaine.mondomaine.com que de devoir taper https://monsousdomaine.mondomaine.com

 

suis-je plus clair maintenant ?