SMB au travers d'internet ?

Le
pehache
Bonjour,

Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué

En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).

L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?

Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.

Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq

J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.


--
"sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gilles Pion
Le #26501684
Ref:
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).

Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN.
Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le
routeur:
https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup
Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme
les FreeBox)
--
Gilles
pehache
Le #26501697
Le 16/12/2018 à 16:10, Gilles Pion a écrit :
Ref:
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).

Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN.
Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le
routeur:
https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup
Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme
les FreeBox)

La box n'a pas de VPN, et le Syno est un petit modèle : s'il doit gérer
un VPN ça risque de le surcharger. A la limite si ce n'était que pour
moi je le ferais peut-être, mais là il y d'autres utilisateurs (famille)
et s'ils passent par le VPN pour tout ce qu'ils font (je les vois mal
penser à couper le VPN quand ils n'utilisent pas le montage SMB) ça ne
va pas le faire...
Si c'était possible d'utiliser directement SMB ça m'arrangerait.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
pehache
Le #26501861
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.

Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une
option valide, ça m'éviterait d'avoir à installer des clients sshfs sur
les ordis des utilisateurs.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Alain
Le #26501864
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une
option valide, ça m'éviterait d'avoir à installer des clients sshfs sur
les ordis des utilisateurs.


Bonsoir,
SSH présente une certaine sécurité seulement si avec des biclés.
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais
je ne sais pas si c'est possible sur une config de ce genre.
Côté clients, winscp va bien et est utilisable par des touristes si
configuré pour eux (clés et association des programmes pour lire les
divers types de fichiers).
Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais
pas.
a+
pehache
Le #26501894
Le 18/12/2018 à 01:36, Alain a écrit :
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les
utilisateurs, donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est
une option valide, ça m'éviterait d'avoir à installer des clients
sshfs sur les ordis des utilisateurs.

Bonsoir,
SSH présente une certaine sécurité seulement si avec des biclés.

biclés ? Clef publique/privée ?
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais
je ne sais pas si c'est possible sur une config de ce genre.

Oui on peut.
Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on
peut mettre des règles de blocage d'IP genre après 10 tentatives
infructueuses. Et déplacer le port 22 vers un port non standard pour
réduire les scans.
Côté clients, winscp va bien et est utilisable par des touristes si
configuré pour eux (clés et association des programmes pour lire les
divers types de fichiers).
Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais
pas.

A voir, OK. Sinon sur Mac c'est OSXFUSE+sshfs
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Alain
Le #26501955
On 18/12/2018 09:20, pehache wrote:
biclés ? Clef publique/privée ?

oui, générées par le programme sur le client (ex puttygen pour winscp)
ou à défaut en ligne de commande ssh-keygen.
Et une certaine surveillance (filtrage et logs) n'est pas inutile,
mais je ne sais pas si c'est possible sur une config de ce genre.

Oui on peut.
Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on
peut mettre des règles de blocage d'IP genre après 10 tentatives
infructueuses. Et déplacer le port 22 vers un port non standard pour
réduire les scans.

Re,
Oui, sur un serveur unix exposé sur Internet, on filtre ce qui entre
avec netfilter/iptables + fail2ban qui modifie les règles netfilter
d'après les logs d'authenfification.
On peut faire la même chose en smb/samba, mais on perd l'avantage du
bi-clés.
Sinology est je crois en unix BSD donc voisin du Mac ; on y accède par
SSH mais j'ignore ce qu'on peut faire ; peut-être en tous cas regarder
ce qu'il y a dedans.
Pour la sécurité, je ne connais que l'option "maximum", que les
nuisibles parviennent tôt ou tard à contourner.
Vu la fréquence des scans, on s'y fait prendre facilement ; suffit
d'installer un serveur avec une distribution où sshd est activé par
défaut, en oubliant de le mettre dans un réseau non-dmz et bien protégé.
a+
a+
pehache
Le #26502118
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.

je suis tombé sur cette discussion reddit (en anglais), qui donne plein
d'arguments tout à fait censés contre l'utilisation de SMB, même en v3,
sur internet :
https://www.reddit.com/r/sysadmin/comments/6wvvcm/experts_help_us_understand_smb3x_inflight/
L'argument le plus évident étant que SMB -quelle que soit la version- n'a
jamais été pensé pour cet usage par Microsoft.
Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son
cloud Azure :
https://docs.microsoft.com/fr-fr/azure/storage/files/storage-how-to-use-files-windows
Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se
permettre d'être négligents avec la sécurité, et ils ont apparemment
suffisamment confiance en SMB3 pour le faire utiliser à leurs client au
travers d'internet... Après, je suppose que tout est question de
configuration côté serveur, c'est là qu'il faut être très rigoureux.
Nicolas George
Le #26502124
Alain , dans le message a écrit :
SSH présente une certaine sécurité seulement si avec des biclés.

Faux. SSH présente une certaine sécurité y compris s'il est utilisé avec
un mot de passe.
pehache
Le #26502137
Le 18/12/2018 à 00:11, pehache a écrit :
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.

Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.

C'était un faux problème : la restriction aux admin ne concerne en fait
que l'accès au shell par ssh. sftp est par contre ouvert à tous les
utilisateurs, ce qui suffit pour sshfs.
Publicité
Poster une réponse
Anonyme