Bonne nouvelle, ce sujet contient 4 réponses et elles vous seront peut-être d'une grande aide !
Pour pouvoir les consulter, vous devrez être connecté au forum
Se connecter / S'enregistrer
SMB au travers d'internet ?
5 messages
Page 1 sur 1
-
-
Rang : Expert
ixboksx
- 16 déc 2018, 00:31
(je ne savais pas où poster ça, il manque une rubrique technique un peu générale...)
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois que ça ne l'était pas du tout, mais le protocole a évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Voilà les options que présente l'interface du NAS :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois que ça ne l'était pas du tout, mais le protocole a évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Voilà les options que présente l'interface du NAS :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
-
-
Rang : Professionnel
Salut,
Pour accéder a son nas depuis internet, mieux vaut utiliser soit Webdav, soit FTPS. Je crois aussi que Synology a une application pour y accéder facilement depuis internet.
SMB, c'est bien en local, mais pas très sécurisé.
"Je suppose qu'il s'agit de Samba" C'est bien ça
"Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local" Mais ça c'est normal, faut bien avoir le fichier pour l'ouvrir.
Pour accéder a son nas depuis internet, mieux vaut utiliser soit Webdav, soit FTPS. Je crois aussi que Synology a une application pour y accéder facilement depuis internet.
SMB, c'est bien en local, mais pas très sécurisé.
"Je suppose qu'il s'agit de Samba" C'est bien ça
"Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local" Mais ça c'est normal, faut bien avoir le fichier pour l'ouvrir.
-
-
Rang : Expert
RedShader a écrit :Salut,
Pour accéder a son nas depuis internet, mieux vaut utiliser soit Webdav, soit FTPS. Je crois aussi que Synology a une application pour y accéder facilement depuis internet.
SMB, c'est bien en local, mais pas très sécurisé.
"Je suppose qu'il s'agit de Samba" C'est bien ça
"Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local" Mais ça c'est normal, faut bien avoir le fichier pour l'ouvrir.
Ben non : quand on accède à un fichier par SMB seule la partie nécessaire à l'ouverture est téléchargée (c'est vrai aussi pour AFP, NFS, ou SSHFS). Le reste n'est téléchargé qu'en fonction des appels de lecture du soft qui a ouvert le fichier. Ces protocoles fonctionnent au niveau blocs (les tailles doivent varier), pas au niveau fichier. Et heureusement : s'il fallait qu'un film de 5Go lu en SMB sur un NAS soit entièrement téléchargé avant que la lecture commence, ce serait un peu long ! Webdav fonctionne apparemment au niveau fichier, par contre (FTP ou ses variantes FTPS/FTPES aussi).
Ma question sur la sécurité des versions récentes de SMB reste posée...
-
-
Rang : Amateur
oui c'est chiffré en SMB v3. Pas de SMB à travers le Wan à moins d'utiliser branchcache. quoique il me semble qu'un vpn ou DirectAccess soit nécessaire
-
-
Rang : Expert
je suis tombé sur cette discussion reddit (en anglais), qui donne plein d'arguments tout à fait censés contre l'utilisation de SMB, même en v3, sur internet :
https://www.reddit.com/r/sysadmin/comme ... _inflight/
L'argument le plus évident étant que SMB -quelle que soit la version- n'a jamais été pensé pour cet usage par Microsoft.
Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son cloud Azure :
https://docs.microsoft.com/fr-fr/azure/ ... es-windows
Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se permettre d'être négligents avec la sécurité, et ils ont apparemment suffisamment confiance en SMB3 pour le faire utiliser à leurs client au travers d'internet...
Après, je suppose que tout est question de configuration côté serveur, c'est là qu'il faut être très rigoureux (forcer SMB v3, désactiver tous les comptes genre guest/guest, imposer des mots de passe complexes, filtrage d'IP, règles de bans automatiques...)
https://www.reddit.com/r/sysadmin/comme ... _inflight/
L'argument le plus évident étant que SMB -quelle que soit la version- n'a jamais été pensé pour cet usage par Microsoft.
Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son cloud Azure :
https://docs.microsoft.com/fr-fr/azure/ ... es-windows
Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se permettre d'être négligents avec la sécurité, et ils ont apparemment suffisamment confiance en SMB3 pour le faire utiliser à leurs client au travers d'internet...
Après, je suppose que tout est question de configuration côté serveur, c'est là qu'il faut être très rigoureux (forcer SMB v3, désactiver tous les comptes genre guest/guest, imposer des mots de passe complexes, filtrage d'IP, règles de bans automatiques...)