GeeKNewZ.fr

Sécurisez votre NAS avec SSL (StartSSL & OVH)

Posté le 1 février 2012

Notre nouveau sujet pour 2012 sera la sécurité ! Maintenant que vous maîtrisez un peu mieux votre NAS Synology, je vous propose de sécuriser l’accès au DSM et aux différents services par sécurité SSL (cryptage httpS) suivez le guide !

1. Introduction

Parce qu’il arrive souvent qu’on ait besoin d’accéder aux services de son NAS depuis une connexion Internet, on passe par un chemin non crypté susceptible d’être décodé par des hackers qui pourraient bien prendre le contrôle de votre machine. Loin de moi l’idée de vous faire peur, cependant, lorsque je vois qu’en ce moment des dizaines d’adresses IP inconnues forcent l’accès à mon NAS, je me dit qu’il serait grand temps de disposer d’un certificat SSL pour obtenir un chemin crypté de confiance !

Le but de ce tuto c’est de vous proposer un accès aux services au moyen des liens http sécurisés (https) le tout crypté autour d’une clé à chiffrement 2048 bits (rien que ça) mais surtout d’éviter les messages d’erreurs : En effet, si vous réalisez votre propre certificats (et vous êtes obligés de le faire vous même), dès lors que vous vous connectez à votre page, votre navigateur vous informe d’un risque potentiel car il ne reconnaît pas votre certificat. Pour le faire valider, il faut bien souvent avoir recourt à des services en lignes qui vous propose de le faire (moyennant une somme comprises entre 3 et 4 chiffres annuelle) pas de panique, voici une solution miracle

2. Prérequis

- Un modem routeur capable de faire de la translation d’adresse (NAT)
– Un NAS Synology
– Un nom de domaine enregistré chez OVH (ou ailleurs) qui ne vous coûtera que 5 à 10€/an en moyenne

3. Présentation de l’idée générale

Voici comment cela se passe pour l’accès externe de votre NAS :

Votre modem qui dispose d’une IP sur Internet (exemple 81.12.11.10) route (grâce à sa fonction Routeur) les paquets d’informations (pages web, fichiers, mails, etc) du réseau Internet à votre réseau local (votre ordinateur bien souvent ayant l’ip du genre 192.168.1.10). Ceci étant valable pour accéder depuis votre ordinateur à Internet

Dans le sens contraire, personne depuis Internet ne peut venir sur votre réseau local, sauf au moyen du NAT (Translation d’adresse) qui permet, en affectant un port spécial, de rediriger une demande arrivant de l’Internet à destination d’un équipement de votre réseau.

Du coup, Si votre NAS (ip 192.168.1.15) est hébergeur de page web, le fait de taper l’adresse IP de votre connexion dans un navigateur web sous la forme : http://81.12.11.10:80 avec le NAT activé dans le modem (redirection du port 80 vers l’adresse ip du réseau 192.168.1.15) alors la page web s’affichera. Idem pour tout autre service comme par exemple le DSM (le bureau de travail de votre NAS).

Afin d’éviter de se souvenir de l’adresse IP de votre connexion (qui en plus peut changer assez souvent), nous avons recours aux services en ligne de DNS Dynamique (DynDNS), le DynDNS permettra d’accéder à une adresse plus pratique comme par exemple : Monadresseperso.dyndns.org ou autre service du même genre Monadresseperso.mon-ip.org

Cependant, s’ils font correctement leur boulot, ces système de DNS Dynamique gratuit enregistrent votre compte gratuitement en sous domaine (vous êtes propriétaire de monadresseperso.dyndns.org mais pas de dyndns.org) or, pour enregistrer un domaine en SSL, il faut être propriétaire de votre niveau 1 (mondomaine.com) ! Il existe une solution chez Dyndns mais il vous en coutera 40/50€ par an. Voici une solution simple utilisable par vous pour la modique somme de 0 euros (ou 6€ si vous n’avez pas encore le moindre nom de domaine sur Internet) par an.

A savoir : Si vous avez besoin de configurer le NAT voir ici les explication.

4. Configuration du DNS Dynamique chez OVH sur Synology

Et oui, vous ne le saviez probablement pas (moi non plus je l’ai découvert cette semaine par hasard) mais OVH permet bien de faire de la redirection dynamique et depuis un NAS Synology ! Bien qu’il n’apparaisse pas dans la liste des compatibles, il suffit de transformer un petit fichier sur le NAS pour débloquer la fonction !

4-1. Se connecter à son Manager OVH puis sélectionner Domaine, Hébergement.

4-2.Cliquez sur le nom de domaine que vous voulez utiliser pour le Dyndns (vous pouvez même utiliser un sous domaine ensuite comme monnas.mondomaine.com)

4-3. Choisissez Domaine & DNS puis Zone DNS

4-4. Remplissez un nom de sous-domaine ainsi que votre IP actuelle sur Internet (si vous ne la connaissez pas : www.monip.org vous la donne) puis cochez la case pour créer votre identifiant DynHost et validez.

4-5. Vous allez ici pouvoir créer votre identifiant et mot de passe pour l’accès au DNS Dynamique d’OVH (information essentielle pour mettre à jour votre IP avec le service DDNS du Synology). Choisissez un identifiant (qui sera alors sous la forme mondomaine.fr-monID), indiquez le sous domaine précédement créé pour le DynDNS et enfin un mot de passe de votre choix puis validez.

C’est terminé avec OVH

5. Modification du DDNS sur Synology

Comme expliqué, le soft DDNS du Synology ne prend pas en compte tout les systèmes de DNS Dynamique existant sur terre. Nous allons donc modifier un fichier interne du Synology pour lui apprendre à utiliser celui d’OVH

5-1. Lancez une connexion Telnet ou SSH (avec PuTTy) à votre NAS (notez qu’il faut évidement que le service en question soit activé dans le programme TERMINAL sur le DSM du Synology). Faites démarrer > Exécuter > cmd <Entrée> et tapez Telnet 192.168.1.15 <Entrée> (Remplacez par l’IP de votre NAS)

5-2. Un login/mot de passe vous sera demandé : tapez Root et le mot de passe du compte Admin de votre NAS

5-3. Tapez maintenant : vi /etc/ddns_provider.conf <Entrée>

5-4. Défilez en bas de page (Page Down ou flèche bas du clavier) puis placez le curseur devant le dernier fournisseur : [Freedns.org], appuyez sur la touche « i » du clavier (pour insérer), tapez <Entrée> 3x pour insérer une nouvelle ligne vierge à chaque fois et insérez ce code à la place :

[Ovh]
       modulepath=DynDNS
       queryurl=www.ovh.com/nic/update?system=dyndns&username=__USERNAME__&
password=__PASSWORD__&hostname=__HOSTNAME__&myip=__MYIP__

Oui Modulepath=DynDNS et pas OVH c’est pas une erreur Si tout est OK, enregistrez en appuyant sur Echap puis tapez :wq
Vous pouvez quitter sans enregistrer en appuyant sur Echap puis tapez :q!

5-5. Répétez l’opération pour le fichier /etc.defaults/ddns_provider.conf (placez « vi » devant et renotez la ligne ci-dessus)

5-6. Quittez à nouveau ce fichier et tapez reboot pour redémarrer le NAS (attendez facilement 5 minutes avant de vous reconnecter au NAS)

5-7. Sur le système DDNS du DSM Synology, vous avez désormais la possibilité de choisir le DynDNS de votre domaine chez OVH ! Saisissez votre identifiant de la forme mondomaine.fr-monID et le mot de passe associé et admirez !

Votre NAS est désormais accessible sous la forme : http://monNAS.mondomaine.fr

6. Création du compte chez StartSSL

Comme expliqué précédemment, StartSSL ne permets pas de créer une liaison SSL sur un domaine Dyndns.org, mais le problème étant résolu parfaitement avec OVH, cela va maintenant être un jeu d’enfant ! Tout ce que vous devez savoir maintenant c’est que pour continuer la suite de ce tuto, vous aurez besoin de consulter votre boite mail postmaster@mondomaine.fr.

Perso comme j’utilise le service Google Apps pour gérer les mails de mon domaine du coup, il faut créer un groupe postmaster et déclarer votre utilisateur (votre adresse mail sur ce domaine) pour lui permettre de les lire tout simplement

6-1. StartSSL est un organisme reconnu par nombreux navigateur pour être certifié SSL. Grâce à cela vous n’aurez plus ce vilain message d’erreur à chaque fois que vous voulez vous connecter à votre NAS ! On démarre par le site www.startssl.com puis choisissez StartSSL™ Produits > StartSSL™ Free > Express Lane

6-2. Indiquez votre nom, prénom, mail, adresse etc. Pour vérifier votre mail et créer votre compte, StartSSL va installer un certificat sur votre navigateur Web. Attention : si vous perdez votre certificat, vous perdez votre compte ! Ne révoquez pas votre compte ni votre domaine de chez StartSSL : cette fonctionalité est payante !

6-3. Commençons par sauver votre certificat. Sur votre navigateur (ici Firefox) faites Outils > Options > Avancé > Chiffrement > Afficher les certificats

Puis Vos certificats > choisissez celui de StartCom sous votre nom puis Sauvegarder (au format .P12)

6-4. Fermez votre navigateur, rouvrez le et retournez sur le site StartSSL puis dans le menu « Panneau de configuration » pour cliquer sur Authenticate, le site va charger votre Certificat et afficher votre page « membre ». Sur l’onglat Validations Wizard, on va devoir vérifier que vous êtes le propriétaire du nom de domaine (avec un envoi de mail sur votre adresse postmaster@votredomaine.fr). Choisissez Domain Name Validation puis Continue

6-5. Renseignez votre sous domaine puis continuez

6-6. Choisissez une des adresses proposées pour valider que vous êtes bien le propriétaire du domaine (postmaster par défaut)

6-7. Vérifiez votre boite mail et donnez lui le code que vous avez reçu (quasi immédiat) : la procédure est terminée !

7. Création des certificats sur le Synology

Nous allons créer nos propres certificats SSL chiffrés sur 2048 bits (le minimum requis pour StartSSL) pour ensuite les faire reconnaitre chez StartSSL. Lancez une connexion Telnet ou SSH sur le NAS et entrez les lignes de codes suivantes :

7-1. cd /usr/syno/
7-2. mkdir ssl
7-3. cd ssl
7-4. wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
7-5. mkdir /volume1/public/ssl
7-6. cd /volume1/public/ssl
7-7. openssl genrsa -des3 -out ssl.key 2048

Un mot de passe à créer vous sera demandé, souvenez vous en ! c’est ce mot de passe qui sera utilisé tout au long de la procédure de création des clés et fichiers de certificat.

7-8. openssl rsa -in ssl.key -out ssl.nopp.key
7-9. openssl req -sha1 -nodes -new -key ssl.key -out ssl.csr

Cette dernière ligne de commande vous demande plusieurs renseignements. Mettez ce que vous voulez SAUF pour le Common Name, il s’agit de votre nom de domaine (sans http et sans www)

1. Votre mot de passe
2. Le code de votre pays en 2 lettres : FR
3. Etat ou Province : Lille
4. Localité (ville) : Lille
5. Organisation : Freeman
6. Organisation #2 : Freeman
7. Common Name : monnas.mondomaine.fr
8. Adresse mail : mon@mail.fr
EXTRA :
9. Challenge password : appuyez sur Entrée
10. Nom de compagnie optionnel : appuyez sur Entrée

Désormais se trouve dans le répertoire /volume1/public/ssl les fichiers suivant : ssl.key, ssl.nopp.key et ssl.csr

Récupérez ces fichiers sur votre disque dur (via FileServer ou sur le DSM en naviguant dans le sous répertoire SSL du dossier Public

8. Enregistrement du certificat chez StartSSL

8-1. Retournez sur le site StartSSL puis lancez à présent Certificates Wizard (le 2e onglet) et choisir Web Server SSL/TLS Certificate

8-2. On vous demande de générer la clé privé, cliquez sur Skip

8-3. Dans la boite, collez le contenu du fichier ssl.csr récupéré sur le NAS (/public/ssl/ssl.csr) éditez le simplement et copiez coller le contenu puis Continue

8-4. Une fois validé, rendez vous dans le menu Tool Box (le 1er onglet) puis cliquez sur Retrieve Certificate

8-5. Copiez simplement les lignes dans un fichier Texte de votre bureau et renommez le fichier en ssl.crt ! C’est terminé

9. Mise en place des certificats sur le DSM

9-1. Rendez vous sur le DSM du Synology, partie Service Web puis dans Service HTTP, importez les certificats avec comme Clé Privée : ssl.nopp.key et Certificat : ssl.crt

C’est fini ! Il ne vous reste plus qu’à redémarrer le NAS pour être sûr que tout fonctionne correctement

Merci aux sources pour m’avoir permis de réaliser ce tuto (et de le Françiser le plus simplement possible) : deadcode & isorez

???????? ?? ?????