MilesTEG1

Voilà, j'ai viré plein de trucs qui ne servait pas 🙂 Les 3 premières règles sont pour les différents réseaux LAN. Je garde la possibilité d'ouvrir les ports 80 et 443 au monde complet quand je renouvellerais les certificats. Jusqu'à ce que je décide de passer sur SWAG 🙂

@.Shad. J'avais prévenu que ce serait pas terrible 😉 Je sais que j'ai un certains nombre de règles redondantes au niveau du LAN, ce sont celles-là que je vais devoir virer. Après le reste me semble plutôt propre...

@Diabolomagic Merci. Je vais voir ce que dira @Einsteinium🙂 Sinon, petite dernière pour la journée 😉 J'ai refait les 3 règles du parefeu du routeur qui étaient créées automatiquement par le transfert de port que j'ia donc désactivé afin de pouvoir spécifier sur les ports transférés une zone FRANCE uniquement acceptée : Je garde une règle pour autoriser toutes les IP sur les ports 443 et 80 quand j'aurais besoin de renouveler mes certificats (faudra que je pense à SWAG un de ces 4 😄 ) Bref, du coup, même si je sais que les IP FR peuvent être sources d'attaques, je pense limiter ainsi déjà fortement les sources... Qu'en pensez-vous ? Merci pour tous vos conseils 😉 et bonne soirée.

J'en ai quand même pas mal. En tout j'en ai 21 là avec comme destination mon NAS. Et 28 avec comme ip source celle de mon NAS, et en destination celle de ma livebox, qui n'est même pas dans le même sous-réseau : 192.168.1.1. Je ne me rappelle pas avoir été sur l'interface web de ma LB4... mais le NAS qui veuille y aller... ? o_O Avec en plus le mot de passe en clair dans les Données utiles d'un évènement Haaaa purée, si je sais !! C'est mon conteneur Telegraf qui va chercher des infos sur la LB4 😄 Purée, la trouille 😱 C'est donc normal ouf 😛 Sinon, par rapport aux alertes de classes moyenne. Est-ce que tu mettrais systématiquement comme ce qui est encadré en rouge ? Ou bien comme en vert (en laissant l'IP source) ? (l'IP de destination était initialement le NAS, mais je laisse vide pour que le blocage soit sur toutes les IP...)

Et quand le périphérique est un NAS, on fait comment ? Car sur mon PC j'ai Bitdefender Total Security 😉 mais pas sur le NAS 😮

@Kramlech Je m'en suis douté 😄

Hello ! Bien vu ! Je vais aller préciser ça dans le tuto. Je ne me rappelle plus trop comment j'avais fait mon 1er compte... Mais du coup si on ne veut pas recréer le conteneur avec la variable à false après avoir créé le premier compte, il faut se faire une invitation via la console d'administration. Il me faut donc bien entendu modifier mon tuto. Je vais aller faire ça de ce pas. Merci bien pour cette remarque 🙂 PS : je suis présent aussi sur l'autre forum 😉 vous auriez pu laisser un message là-bas 😉

@Diabolomagic ha si j'avais une autre question concernant l'attaque bloquée par le TP (Threat Prevention). Dans l'évènement, il est marqué : Du coup faut faire quoi comme vérification ? Si TP a bien intercepté et bloqué l'attaque, normalement c'est bon, le NAS n'a rien ? Ça n'est pas très rassurant tout ça... Je suis partagé entre : avant je savais pas, je n'avais pas de crise de panique savoir maintenant ce qui est bloqué, est stressant, surtout de ce dire qu'avant je ne le savais pas 😮

Ok merci 🙂 Ça me rassure 😉 Petite question (encore une 😉 ) Pour les paquets qui concernent à priori Tous Andti Covid, tu décocherais aussi la case Destination ? Parce qu'il semble y avoir pas mal d'IP pour ça... et toutes les avoir risque d'être long... Mais purée, que ça rame quand on valide une règle personnalisée...

Du coup pour ces évènements marqués comme "Ignorés", j'ai rien à faire, ces attaques ont été bloquées, c'est bien ça ?

Hello par ici. Vu que j'avais fait des règles inutiles dans le parefeu de mon routeur Syno, je me dis que ça doit être aussi le cas pour le NAS. Du coup je viens poster ici une capture des règles que j'ai pour le NAS. Dites moi ce qu'il faut virer ou ajouter 😉 Merci d'avance.

@Einsteinium Donc je vire toutes les règles concernant les IP LAN, c'est ça ? En fait j'ai quasi aucune règle 😄 Je ne comprends pas la 1ère qui a été ajoutée par le routeur lui même quand j'ai fait un certificat LE. Pourquoi elle interdit le port LE qui est le 80 : Bon ça ne doit plus être trop utile vu que j'ai créé un nom de domaine chez synology pour le VPN et le certificat LE qui y est associée ne semble pas être renouvelé de la même manière que quand j'utilisais mon nom de domaine chez ovh... puisqu'il a pu être fait sans que je doive couper la redirection du port 443 et 80 vers mon NAS... Qu'en pensez-vous ?

Oui c'est configuré en refusé 🙂 Merci pour les précisions 🙂 Je vais revoir les règles du parefeu aussi. Par contre, pourquoi je ne vois pas de traces des "attaques" vers mon NAS dans les logs du NAS ? Le parefeu bloque correctement ? (faut que je mette une capture des règles du parefeu du nas.

Haaaa ! Donc de base, tout est ignoré donc bloqué ! Enfin, pour les menaces élevées. Pour les moyennes, alertes, ça fait rien de particulier sauf faire un évènement (ça nous alerte quoi) c'est ça ?

Merci bien 🙂 Je vais aller lire l'article, et je garde les liens en bookmarks ^^ Donc d'après ce que tu dis, "Ne rien faire", ça va laisser passer le traffic/paquet... Et donc, "Alerte", ça bloque ?? Ou ça fait juste un évènement ? Et du coup, le "Ignorer", lui bloque vraiment ?

Ok, merci pour les précisions. Alors le NAS n'est pas en DMZ, c'est le routeur lui même qui l'est sur la livebox. J'ai un AdGuardHome dans un conteneur docker avec une IP macvlan (et une IP virtuelle pour le NAS), et d'autres services en docker. Dans le routeur je ne forwarde quasi aucun port : seuls les 80, 443 et 6690. J'ai configuré le parefeu du routeur comme ça : Sinon dans les paramètres du paquet, je vois ça : à quoi correspond le niveau de charge ? Est-ce là que tu retires des périphériques de la protection comme tu le suggères ? Pour les interfaces surveillées, j'ai fait ça : Mais je ne suis pas sur pour le VPN... Pour la 3G/4G, je peux être amené à brancher mon téléphone dessus pour partager sa connexion 4G, donc je laisse activé. Voilà, mais surtout, ce sont les évènements détectés qui me font un peu peur. Et par exemple ça depuis l'iphone de ma femme : Un peu plus bas dans le détail il y a ça : (ce serait l'application Tous Anti Covid) Mais du coup, que fait le paquet pour ces Alertes ?? Le paquet est transmis, arrêté ? Je ne comprends pas du tout le fonctionnement... Pour les évènements concernant mon alarme, je pense que c'est pour vérifier mon IP et la transmettre au service car un nslookup sur l'IP renvoie ça : Et dans les données utiles je vois mon adresse IP (masquée) : Je pense que c'est pas une menace 😉 Comment j'ajoute ça en "non menace", liste blanche ou autre ?

Bonjour 🙂 J'ai installé le paquet Threat Prevention, et je vous avoue que ce n'est pas limpide d'utilisation pour moi. Première chose, les MAJ automatiques n'étaient pas activées, donc je suis aller voir, et je ne sais pas quelle différence il y a entre les deux sources de MAJ possibles ? J'ai déjà 6 alertes : Que dois-je faire avec ? Je voudrais pas bloquer le fonctionnement des appareils... Merci d'avance pour votre aide 🙂 @Einsteinium @Diabolomagic @cadkey @church @maxou56 @Balooforever Si je clique sur le bouton "Ajouter une stratégie" sur un des évènements j'ai ces possibilités = Du coup, y a rien qui indique un blocage ? Est-ce que Alerte bloque la requète ? Que fait Ignorer ? Et Ne rien faire ? Y-a-t-il une différence entre ces deux derniers ?

Salut @Synchrology Je ne pense pas que ce que tu souhaites faire soit possible. Tu sembles vouloir accéder aux fichiers comme sur un Drive, or Synology C2 n'est absolument pas ça. C2 c'est de la sauvegarde, donc tes données sont certes accessibles, mais faudra télécharger le fichier voulu à la date voulue, et tu ne pourras pas le re-envoyer si tu le modifies... Après ca dépend du forfait que tu prends, mais OneDrive est bien plus intéressant de mon point de vue, mais ce n'est pas une solution de backup à proprement parler. J'ai toujours trouvé Synology C2 un poil cher, et pas assez flexible sur les différentes capacité de forfait... Perso j'aurais besoin de 2To de type Plan I, mais pas moyen, faut prendre un Plan II qui est carrément plus cher... j'ai pas besoin de Sauvegarde horaire... Bref, après si les 100 Go te suffisent et qu'à ce prix là ça te convient... 🙂 Tu ne pourras pas envoyer en direct les vidéos de Surveillance Station dans C2 Backup. Il faut faire une tâche Hyperbackup pour faire une sauvegarde. (mais 100Go ça risque d'être très léger en stockage pour de la vidéosurveillance... et pour des sauvegardes classiques...) Par contre ce que tu peux faire, et que j'avais mis en place (avant d'être à demeure chez moi) c'est une synchronisation en continue vers OneDrive (on a 1To avec un abonnement O365). Pour celà, il faut configurer CloudSync sur un dossier partagé. Puis, dire à Surveillance Station de placer les vidéos dans ce partage. Par contre, faut la fibre pour l'envoi, sinon ça sert à rien.

Ok, et bien si tu as déjà tenté la suppression du réseau VPN sur le téléphone et de l'application, puis tout réinstallé et reconfiguré, je sais pas ce qui peut causer le problème. Toujours est-il que ça devrait fonctionner...

@church le nom de domaine que tu utilises, c'est bien celui qui est déclaré dans la section Accès Externe/DDNS ?

Yep, j'en ai profité pour bannir tout traffic internet pour mes caméras, mes imprimantes. Et je me demande si j'aurais pas intéret à faire pareil pour les switchs... Qu'est-ce que tu en penses @.Shad. ?

Holala... En effet... bon courgage... Sinon tu fais un nouveau ticker 😅

Oui c'est vrai, vu que je n'ai jamais trouvé d'intérêt à Moments, je l'ai désinstaller et je n'ai plus fait de nom de domaine depuis un moment... Et on est d'accord que Photos de DSM7 va remplacer PhotoStation ET Moments ?

Comment on sait s'il y a un relais Quickconnect ? Lorsque tu crées le nom de domaine Synology via l'onglet DDNS d'Accès Externe, c'est pas juste un nom de domaine "simple" qui ne fait que pointer sur une IP ?

Et moi je dis que ça fonctionne depuis mon iPhone, avec le TLS1.3 forcé sur le nom de domaine synology : Pour les serveurs qui sont pas à jour, ça peut en effet expliquer pourquoi avec QuickConnect ça ne fonctionne pas. Mais avec le nom de domaine, ça devrait fonctionner, que les serveurs Syno soient ou non à jour pour le TLS1.3.