DSM 6.2.2 : certificat Let’s Encrypt automatique, de très nombreuses failles bouchées
En attendant DSM 7.0
Le 02 avril 2019 à 08h34
3 min
Hardware
Hardware
Synology vient de publier une mise à jour de son interface DSM estampillée 6.2.2. Elle contient plus d'une trentaine de changements, avec un accent important sur la sécurité.
Si les utilisateurs de NAS Synology attendent avec impatience DSM 7.0, sa bêta pourrait ne pas sortir avant plusieurs mois. Le constructeur continue donc de faire évoluer la branche actuelle.
Les notes de version de la version 6.2.2 font état de 17 nouveautés et 16 corrections de bugs. S'ils ne revêtent pas tous une importance primordiale, certains sont tout de même bienvenus.
Let's Encrypt automatique, Microsoft IWA et Google LDAP
Synology permet depuis plus de trois ans d'obtenir des certificats Let's Encrypt (lire notre analyse). Désormais, on peut le faire automatiquement lors de l'utilisation du Dynamic Domain Name Service (DDNS).
Parmi les autres nouveautés, signalons la prise en charge du protocole Integrated Windows Authentication (IWA) de Microsoft et de l'annuaire Google LDAP. De plus, lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il peut en changer directement.
L'iSCSI a droit à plusieurs petites attentions : des fonctions avancées à activer lors de la création d'un LUN, l'ajustement du message d'avertissement lorsque la taille du volume est insuffisante et la possibilité de modifier l'heure de déclenchement de la politique de conservation des instantanés dans iSCSI Manager.
Pour le reste, DSM 6.2.2 ouvre la possibilité de mettre à jour le firmware du contrôleur SAS sur les machines qui en sont équipées, peut vérifier la compatibilité des SSD avec les NAS haut de gamme des séries XS et FS, améliore la précision du calcul du taux de réponse du cache SSD, etc.
16 correctifs, près de la moitié liée à la sécurité
Du côté des correctifs, c'est là aussi relativement varié. Pêle-mêle, il est question de problème avec les informations retournées par le Moniteur de ressources, de la réduction du temps nécessaire pour l'authentification LDAP via AFP, de l'impossibilité de réuploader un fichier supprimé sur macOS 10.13 et d'ouvrir plusieurs documents Excel chiffrés simultanément sur macOS, ce qui n'était pas possible jusqu'à maintenant.
Bien évidemment, de nombreuses failles sont bouchées au passage. Les protections contre les vulnérabilités Spectre/Meltdown et leurs nombreuses variantes sont renforcées sur des NAS séries 18 et 19 avec un processeur Intel. Plusieurs autres sont comblées pour le noyau Linux, OpenSSL, OpenSSH, SQLite et Samba.
Bref, procédez à la mise à jour si ce n'est pas encore fait. Comme toujours, vous pouvez la télécharger directement depuis l'interface de gestion du NAS, ou récupérer le fichier « .pat » correspond à votre machine par ici pour ensuite l'installer manuellement. Son installation nécessite un redémarrage du NAS.
Avant de vous lancer, notez que le package sMedio DTCP Move n'est pas compatible pour le moment avec le DSM 6.2.2. Il sera mis à jour prochainement. Nous sommes par contre toujours sans aucune nouvelle du DSM 7.0 annoncé en octobre dernier et dont la bêta devait arriver au premier trimestre.
DSM 6.2.2 : certificat Let’s Encrypt automatique, de très nombreuses failles bouchées
-
Let's Encrypt automatique, Microsoft IWA et Google LDAP
-
16 correctifs, près de la moitié liée à la sécurité
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/04/2019 à 10h11
Intéressant la partie Lets Encrypt.
Est-ce que ça pourrait servir à sécuriser l’accès distant au contenu du NAS, ou je me trompe ?
Quand j’avais acheté mon nas, j’avais activé un webdav avant que 2 personnes distinctes me fassent flipper sur les risques que cela représente.
Pour ceux qui ont un nas syno, vous utilisez quelle méthode pour vous connecter ? (hors quickconnect qui relève plutôt du dépannage/occasionnel ?)
Le 02/04/2019 à 11h00
Tout dépend de ce que tu souhaites faire sur le NAS et de la fréquence.
Pour un accès ponctuel aux fichiers, un accès direct en web ou applis mobile est très bien.
Si c’est régulier, WebDAV est le plus simple. Natif dans la plupart des OS et facile d’accès dans les autres, il offre de bonnes performances via internet. Par contre, oui, il est indispensable de le chiffrer. Comme tout ce que tu ouvres sur internet.
Le 02/04/2019 à 11h31
Merci pour ton retour. J’ai oublié de préciser que bien sûr, je n’utilise que le protocole webdav chiffré (de mémoire, j’ai dû fermer le port utiliser pour le webdav non sécurisé, et changer le port du webdav s).
Ce que je ne comprends pas, c’est pourquoi on m’a déconseillé de laisser tourner 24⁄7 le service webdav (même sécurisé) car ça ne serait pas fiable d’un point de vue sécurité ?
Sinon, l’usage distant que je souhaite faire de mon nas, c’est un simple montage du disque pour pouvoir me balader dans l’arborescence et récupérer des fichiers (pas gros la plupart du temps).
Le 02/04/2019 à 15h19
Ouvrir un système sur internet n’est jamais anodin, surtout que Synology ne me semble pas hyper réactif pour publier les correctifs de sécurité.
Personnellement j’ai tout de même choisi d’ouvrir un des services de mon NAS sur le net mais en changeant le port par défaut et en activant l’option pour bannir les IPs qui font plus de X tentatives de connexion échouées.
Le 02/04/2019 à 15h48
Mais toujours pas de dns dynamique avec le dhcp… :(
Le 02/04/2019 à 16h06
Let’s Encrypt ne sécurise pas, mais approuve une connexion sécurisé. Tu peux te brancher en https sans certificat si tu le souhaite mais tu aura un message de ton navigateur qui t’alertera et te demandera confirmation si tu veux te connecter.
Le mien est ouvert sur le net. J’ai beau utiliser un port spécial, pour que je puisse avoir un certificat L’sE il faut que ça soit accessible sur port 80 ou 443. C’est pénible. Certains on scripté les ouvertures de ports le temps du renouvellement.
J’ai décidé de faire confiance à Synology… mais ça implique de faire attention dans les paramètres de firewall et DSM. J’ai activé tout ce qui pouvais apporter de la sécurité, notamment la double authentif’ pour les comptes admin, le bloquage uto… J’ai eu depuis des IP russes qui ont tenté de se connecter chez moi et une allemande.
Le 03/04/2019 à 08h27
Ok, merci pour ces infos. Pour l’avertissement du navigateur j’avais oublié ce détail. Sur Mac/Linux je me connecte depuis le terminal ou l’explorateur de fichiers par la commande “webdav://” donc il me semble que je n’ai pas l’avertissement (ou alors que à la 1e connexion ?)
Dans les paramètres de Firewall/DSM j’imagine que l’idée est de laisser activé le moins de trucs possibles ? “blocage uto” tu entends blocage auto après X tentatives échouées de connexion ?
Pour info, un truc qui m’a semblé pas trop mal (en 1e ligne de défense on va dire), c’est de bloquer les IP des pays où on sait qu’on ira jamais (Chine, Russie, etc.). Vu qu’on ne peut pas cocher autant de cases qu’on veut (y a une limite max), ma solution était de prendre la liste des pays par Taille de population décroissante, puis de blacklister les 10 ou 20 les plus gros (hors USA / Europe de l’Ouest). Cf. Wikipedia
D’une manière générale, tu aurais des liens sur des bonnes pratiques/recommandations en matière de sécurité sur nas Syno ? Syno a fait un article, de mémoire, je sais pas si c’est ce qui se fait de mieux.
Le 03/04/2019 à 17h36
Non effectivement, l’avertissement dont je parlais c’est pour un accès GUI en https. En passant par un terminal tu n’aura pas ce problème. Sauf peut être en cas de certificats renouvelé tous les 90 jours… je n’ai pas l’expérience du webdav en ligne de commande.
Oui dans l’idéal. Par exemple sur une box orange, il propose la fonction DMZ, soit disant pour accéder a un ordinateur depuis internet. Ce qui est une très mauvaise idée. Bien que de toute façon il faut coupler une redirection de port (PAT) pour accéder à la dite machine. La meilleurs pratique étant (je pense) de tout verrouiller et ouvrir uniquement les ports avec les protocoles nécessaire dans les deux sens. Mais des applications peuvent utiliser des ports aléatoires pour sortir sur le web. Et ce sous réserve que le protocole utilisé (SSH, Webdav, RDP, …) n’ai pas une faille de sécurité. C’est la ou l’exposition H24 est embêtante. Par exemple, mon NAS est allumé qu’en journée ce qui réduit la surface d’attaque aussi dans le temps.
Oui, comme dis plus haut, le bloquage automatique après X tentatives pour éviter les attaques “en force brute”. D’autres mécanismes sont disponible pour sécurisé encore plus l’accès.
Oui c’est pas mal. Je ne l’ai pas mis en place car j’utilise un plan d’adressage non privé en ^^ j’aime bien faire compliqué parfois… /! Alors par contre tu fais dans le mauvais sens. On ne bloque pas au fur et a mesure, un firewall ça marche dans l’autre sens. On bloque tout par défaut, et tu autorise uniquement les pays que tu souhaite garder. Et puis tu vérifie bien que les règles non valide sont refusé.
Une règle d’or lors de mes premiers cours Cisco sur les ACL (valables pour tout ce qui touche aux pare feux) : Tout ce qui n’est pas explicitement autorisé est implicitement interdit.
Malheureusement non, je n’ai pas de lien sous la main. Je suis un petit Admin Sys’ avec les bases acquises tout au long de mes formations à l’IMIE, l’ENI et mes expériences. J’aimerai bien aussi avoir un guide pour ça. Un article NXI serait pas de trop sur ce point. :)
Mais maintenant que j’y pense, peu être que du coté de l’ANSSI on peu trouver des choses. Il y a un atelier avec plusieurs modules sur la sensibilisation en sécurité que je n’ai pas fini. Faut que je fouine…
Le 04/04/2019 à 13h07
Ok merci pour ces infos. Je reviendrai poster après avoir testé tout ça.
Pour le filtrage par pays effectivement ça serait pas bête de fonctionner plutôt en liste blanche.
Du côté de l’ANSSI je me souviens avoir vu un “guide d’hygiène informatique” (pdf) à destinations des gestionnaires de SI. Pas sûr que ça s’adapte à notre cas, les propos restaient très généralistes de mémoire (m’enfin ça coûte rien de le relire). Il y a peut-être d’autres documents.
Le 04/04/2019 à 17h23
SecNum académie
Voilà le chose dont je parlais. Je ne l’ai pas fini et il faut se dépêcher.
“accessible gratuitement jusqu’au mois d’avril 2020”
4 modules, 7h par modules d’après la FAQ
C’est un intervenant (passionn(é)ant) de Thales qui nous en avais parlé à l’ENI.
Quand j’ai commencé, tous les modules n’étaient pas fini. Pas facile facile à ingérer mais je me dis que même si ce n’est pas certifiant, un petit logo ANSSI sur le CV sur la sensibilisation en sécurité est peu être un plus.