Bloquer l'accès au WAN

[lePetitCodeur]

Bonjour à tous,


Je débute encore avec TrueNas. Je cherche à l'utiliser pour qu'il soit accessible depuis tout mes appareils connectés à mon réseau. Autrement dit, je ne veux pas (du moins pour l'instant) qu'il soit accessible depuis l'extérieur.
Après plusieurs recherches j'ai pu apprendre qu'il fallait :
- désactiver les droits d'aministrateur
- désactiver le shell
- désactiver l'activer l'accès depuis l'extérieur le (WAN)

Pour les deux premières je voudrais savoir si c'est nécessaire. Mais pour le troisième, comment je peux désactiver l'accès depuis l'extérieur et le rendre invisible sur internet pour qu'il ne soit accessible que depuis mon LAN ?

Merci pour vos réponses

 

[Heracles]

- désactiver les droits d'aministrateur

C'est juste impossible... TrueNAS est conçu pour n'opérer que depuis le compte Root...

- désactiver le shell

C'est impossible. Il peut être configuré pour exiger le mot de passe mais le shell sur la console est toujours disponible. Quand au shell depuis l'interface Web, il est trop instable et ne devrait pas être utilisé. En général, il est préférable de ne pas utiliser le shell du tout, surtout quand on ne maîtrise pas TrueNAS à fond.

- désactiver l'activer l'accès depuis l'extérieur le (WAN)

Ça ne relève pas de TrueNAS mais du routeur / pare-feu devant lui. S'il serait possible de retirer la passerelle par défaut de sa configuration, TrueNAS ne pourrait plus appeler de DNS sur Internet, synchroniser son horloge, téléchargé des applications ou des mises-à-jour. Ainsi, c'est à nouveau impossible à faire correctement depuis TrueNAS.

Donc Zéro en trois ici...

 

[lePetitCodeur]

Merci Wizard tu m'as beaucoup éclaircis. Je vois selon ce que tu m'expliques que je ne pourrai pas programmer un backup vers Nextcloud si je de désactive l'accès depuis l'extérieur. Vu que ça marche dans les deux sens, ce qui au final ne m'arrange pas.



J'ai parcouru le forum mais aucun post ne répond vraiment à ma question, bien qu'elle soit courante chez les débutants. Alors comment je peux sécuriser mon système contre les piratages ?

 

[lePetitCodeur]

Je te pris de m'excuser pour le double post, j'ai écorché ton pseudo, je voulais dire merci Heracles

 

[Heracles]

Bonjour PetitCodeur,

Pour offrir un accès à distance sécuritaire vers un réseau, il est préférable d'utiliser les bons outils. Ici, ça veut dire un pare-feu digne de ce nom. En effet, TrueNAS est conçu avec l'hypothèse qu'il sera déployé dans un environnement sécurisé et non qu'il devra mettre en place toute sa propre sécurité.

Ici, j'utilise pfSense comme pare-feu. Pour l'accès à distance, il est possible de configurer un VPN. De cette façon, toute l'authentification, le chiffrement et le contrôle d'accès au niveau du réseau est assuré par ce VPN. Pour accéder directement Nextcloud depuis Internet sans VPN, j'utilise HAProxy pour faire le contrôle d'accès, le chiffrement SSL et la gestion des certificats.

L'important sera de ne pas exposer SSH ou l'interface Web de TrueNAS sur Internet. Si tu n'exposes que Nextcloud, le pire qui puisse arriver serait que Nextcloud soit compromis. Malgré cela, TrueNAS resterait intègre. Par exemple, si Nextcloud est compromis et que tout le contenu est effacé, TrueNAS resterait intègre et il serait possible de restaurer un snapshot pris avant l'incident.

 

[lePetitCodeur]

C'est très intéressant ! Mais du coup je me questionne sur plusieurs points :
- Pour pfsense, est ce que je dois utiliser une seconde machine ou bien il est possible d'avoir un module dans TrueNas ?
- Pourquoi utiliser HaProxy et pas un VPN pour accéder à Nextcloud ? Le VPN n'apporte pas une sécurité suffisante ?
- Et enfin, est ce qu'il y a un module HaProxy dans TrueNas ?

 

[Heracles]

il faudra effectivement installé pfSense sur un autre système.

Le VPN offre une sécurité excellente et suffisante mais ici, je souhaite que tous puissent accéder mon cloud privé, par exemple pour venir chercher des fichiers que je leur partagerais ou venir me déposer des fichiers. Ainsi, je veux que mon Nextcloud soit accessible aussi sans VPN.

Que HAProxy soit offert ou non dans TrueNAS, son rôle en est un d'infrastructure réseau, comme le pare-feu pfSense, et donc sa place est beaucoup plus logique sur un équipement autre que TrueNAS dont le rôle devrait se limiter à l'hébergement des données ou au maximum, à celui aussi des applications qui accèdent ces données.

 

[lePetitCodeur]

Toutes ces infos c'est de l'or pour moi. Ceci dit j'adorerais pouvoir me développer autant, si ce n'est plus mais ça a l'aire de demander pas mal de temps et d'investissement, mais je ne peux pas vraiment me permettre de prendre du retard sur mon activité.

Pour te détailler mes ambitions, j'ai mon NAS qui me sert à enregistrer mes fichiers (porte feuille client, URSAFF, fournisseurs,...). J'ai déjà paramétré les snapshots, mais je prévoyais de faire une copie zip de tous les fichiers sur Nextcloud que je puisse récupérer, si jamais un disque dur me lâche, s'il y a un incendie ou une inondation.

Je ne prévois pas d'avoir accès à ces fichiers à l'extérieur de mon bureau qui est chez moi, en tous cas, pas pour l'instant, peut être après quand mon activité se sera développée.

Donc si je comprends, reprends moi si je me trompe, dans ce cas de figure un VPN suffit ?

 

[Heracles]

Bonjour,

Oui, un VPN sera suffisant. Attention par contre aux sauvegardes : un snapshot n'est pas une sauvegarde adéquate. Pour un plan de sauvegarde complet, tu peux relire ma signature...

 

[lePetitCodeur]

Ça m'avance grandement. Bien sûr, l'intérêt du snapshot est de récupérer les données du moment que le système est intègre. Dans mon cas, vu que je code, il m'arrive de rater des commandes, c'est un bon moyen de récupérer mes datas perdus.

Je me doute bien aussi que faire une copie zip sur Nextcloud n'est pas la meilleure solution, si non autant y enregistrer directement les fichiers, mais c'est un bon moyen de se plonger dans l'administration système et la cybersécurité tout en répondant aux besoins de la société. J'espère par la suite avoir un local avec une deuxième installation qui me servira de backup et dont la sécurité sera plus poussée.

Par contre je suis nouveau sur le forum et je ne vois pas se signature sous tes messages ni sur ta fiche, alors où est ce que je peux lire le plan de sauvegarde ?

 

[Heracles]

Bizarre que tu ne vois pas la signature.... La voici dans mon message en plus :

3-copies Rule : Data need to exist in at least 3 copies to ensure protection against any single incident.
Copy No1 : Always online and onsite by definition.

At least one copy must be offsite to protect against physical incidents.
Copy No2 ; Offsite ; 400 Km away ; ZFS replication over site-to-site VPN.


At least one copy must be offline to protect against logical incidents.
Copy No3 ; Offline : Manually powered On and Off for a ZFS sync at least once a month

 

[Redcoat]

On the other hand, I am new to the forum and I do not see his signature under your messages or on your file,

You won't see the signature if you are on your phone...

 

[lePetitCodeur]

Thanks you Redcoat, effectively, I always use my phone

Et merci à toi Heracles, je comprends mieux l'installation à avoir, avec pfsense, openvpn, HAProxy. Je sais maintenant où je mets les pieds et comme sécuriser mon installation.

J'aimerais avoir assez de connaissances pour apporter autant que ce que tu m'as apporté

 

[Heracles]

Tu y arriveras. Sois certain que j'ai moi aussi commencé en posant plus de questions qu'en fournissant de réponses