MilesTEG1

Yes 😄

Il me faut préciser ce que j'ai dit. Je suis retourner voir la conversation avec la personne avec qui j'avais discuter des reolink, et il s'avère que les caméras sur batterie ne peuvent pas fonctionner avec un NVR tiers, donc avec nos synology (surveillance station). La personne a pris une Argus Pro, et donc pas compatible avec SS, et pas de fonction d'envoi sur un FTP non plus. Donc il faut privilégier les caméras PoE ou alimentées avec un fil électrique, car celles sur batterie c'est pas possible avec SS.

@Kramlech et à tous les autres : j'ai mis à jour mon tuto Vaultwarden 🙂 à propos de la variable SIGNUP_ALLOWED.

J'ai 4 caméras Reolink oui ^^ Deux RLC-520, un RLC-420-5MP, et une RLC-510A. Toutes PoE. Et toutes configurée avec ONVIF 🙂 En conseillant quelqu'un récemment, j'ai pu constater que les caméras wifi avec chargeur solaire, la compatibilité avec un NAS n'est plus présente...

@.Shad. @Einsteinium Merci pour vos précisions. Je pense que quand mon badblocks sera temriné, je mettrais en place le tuto de @Einsteinium pour les certificats. en espérant ne pas avoir besoin de tout refaire quand DSM 7 fera son apparition en version finale... Je viens de supprimer la règle concernant les IP 10.0.0.0 car effectivement je pense que en n'en ai pas besoin. Pour le parefeu, étrangement je trouve celui du routeur mieux pensé, alors que SRM est basé sur un vieux DSM... Il manque par contre des deux cotés, un moyen d'exporter et d'importer des règles. Et donc tu ne mets de règles que pour les IP de ton LAN et aucune autres ? Donc au-delà des IP LAN peut-être un peu large, je pense que mon parefeu est maintenant plutôt bien configuré ^^ Bonne journée à tous 🙂

Salut @Synchrology On va partir du principe que ta sauvegarde est versionnée. Si ton nas est cryptolocké, et que Hyperbackup lance un backup, tu auras la dernière version faite qui sera cryptolockée... Mais comme tu as des versions antérieures, elles, ne seront pas touchées. Par contre, si tu n'as pas de versionning, là c'est mort si Hyperbackup fait une sauvegarde après le cryptolocking...

Ok, c'est déjà le cas : Ok, j'ai compris 🙂 Faudra que je creuse ça un jour. Tu ferais pas un petit tuto ?? 😄 Ça ajoute quoi par rapport à AdGuard Home (qui est un équivalent de PiHole, en peut-être un peu mieux ^^) Oué, je vais peut-être faire ça, le supprimer, et le remettre 😉 Mais depuis hier, et les modifications sur les pare-feu, j'ai quasi plus rien qui apparait dans les évènements. C'est peut-être aussi grace aux différentes règles que j'ai faites... Je vais voir déjà pour passer en "Joker" toutes celles qui ont une IP. Si c'est trop long/chiant je supprimerai le paquet pour le réinstaller. Merci pour les conseils en tout cas 👍🏻😇

Non je déteste personne, enfin presque 😛 J'ai juste suivi les recommendations du tuto : Et c'est aussi quand même plus pratique à gérer ainsi. Déjà que c'est pas super ergonomique d'accès... Voir réponse de @.Shad. Oui, je crois, mais surtout elle est présente dans le tuto (cf. citation précédente). Là comme ça, effectivement, ça ne sert pas à grand chose... Mais c'est une règles présente dans le tuto. Mais ça ne craint pas vraiment ça, ce ne sont que des IP locales, non ? OK j'irais voir en détail plus tard (j'ai un test badblocks en cours, je voudrais pas que ça le stoppe...). Mais j'ai vu que ta méthode utilisait l'API OVH, comme SWAG, et ça permet de ne pas avoir besoin de valider via les ports HTTP & S, c'est bien ça ? Par contre, y a moyen de garder un nom de domaine synology et donc un certificat LE pour certains services ? En plus de mon nom de domaine OVH pour d'autres services ? Quand j'aurais fini le test badblocks, et que j'aurais créé un nouveau nom de domaine (je veux changer l'actuel), je verrais avec ton tuto qui me semble quand même plus simple que celui sur SWAG 😉 Petite question toutefois, sans avoir lu très attentivement ton tuto, comment ça se passe quand on veut ajouter un nom de domaine ? Il est wildcard le certificat avec ta méthode ? Haa oui, je ne me rappelle plus vraiment pourquoi j'avais ouvert ça... Peut-être un misclic... (le support Synology peut-il demander à ouvrir Synology Assistant ?) Mais la suite était pour Drive Server... J'ai donc laissé que ce dernier dans la règle... Par contre, c'est quoi ce sauvegarde réseau qui est avec Synology Assistant ? Merci pour vos conseils 😉

Bien vu ! J'y ai pensé tout à l'heure en me disant que ce serait chouette de pouvoir choisir que les IP Françaises en autorisées, mais avec les règles créées automatiquement, c'est pas possible... Là j'ai eu l'idée de les supprimer et de les refaire moi-même 😄 Effectivement, toutes mes URLs sont en HTTPS sur le port 443. Je désactive le port 80 donc. Du coup voilà la dernière version 🙂 Heu, j'ai pas tout compris (ça doit être l'heure...) Comment je fais pour n'avoir des alertes que pour les menaces hautes ? Si je fais ça, je ne verrais plus du tout les menaces moyennes et faibles dans les évènements, non ? "pas mettre de jocker sur une règle entière pour une ip par exemple" ?? C'est pas du contrôle parental ça ? J'ai AdGuard Home déjà qui filtre les DNS, et qui élimine plein de cochoneries (Pub et bien davantage) et filtre plein de requêtes de tracking. Le Safe Access fait-il déjà cela ? Mieux ? Ai-je intérêt à avoir ça en plus ? Pfiou, la journée à été riche en nouveautés/découvertes/enseignements pour moi, Merci bien pour tous vos conseils, et pour tous ceux à venir 😉 @Einsteinium Et pour ça (dessous) ? Tu ferais quoi ? Je commence à avoir pas mal de lignes maintenant : Mais j'ai un peu moins de bazar qui arrive dans les évènements 🙂

Voilà, j'ai viré plein de trucs qui ne servait pas 🙂 Les 3 premières règles sont pour les différents réseaux LAN. Je garde la possibilité d'ouvrir les ports 80 et 443 au monde complet quand je renouvellerais les certificats. Jusqu'à ce que je décide de passer sur SWAG 🙂

@.Shad. J'avais prévenu que ce serait pas terrible 😉 Je sais que j'ai un certains nombre de règles redondantes au niveau du LAN, ce sont celles-là que je vais devoir virer. Après le reste me semble plutôt propre...

@Diabolomagic Merci. Je vais voir ce que dira @Einsteinium🙂 Sinon, petite dernière pour la journée 😉 J'ai refait les 3 règles du parefeu du routeur qui étaient créées automatiquement par le transfert de port que j'ia donc désactivé afin de pouvoir spécifier sur les ports transférés une zone FRANCE uniquement acceptée : Je garde une règle pour autoriser toutes les IP sur les ports 443 et 80 quand j'aurais besoin de renouveler mes certificats (faudra que je pense à SWAG un de ces 4 😄 ) Bref, du coup, même si je sais que les IP FR peuvent être sources d'attaques, je pense limiter ainsi déjà fortement les sources... Qu'en pensez-vous ? Merci pour tous vos conseils 😉 et bonne soirée.

J'en ai quand même pas mal. En tout j'en ai 21 là avec comme destination mon NAS. Et 28 avec comme ip source celle de mon NAS, et en destination celle de ma livebox, qui n'est même pas dans le même sous-réseau : 192.168.1.1. Je ne me rappelle pas avoir été sur l'interface web de ma LB4... mais le NAS qui veuille y aller... ? o_O Avec en plus le mot de passe en clair dans les Données utiles d'un évènement Haaaa purée, si je sais !! C'est mon conteneur Telegraf qui va chercher des infos sur la LB4 😄 Purée, la trouille 😱 C'est donc normal ouf 😛 Sinon, par rapport aux alertes de classes moyenne. Est-ce que tu mettrais systématiquement comme ce qui est encadré en rouge ? Ou bien comme en vert (en laissant l'IP source) ? (l'IP de destination était initialement le NAS, mais je laisse vide pour que le blocage soit sur toutes les IP...)

Et quand le périphérique est un NAS, on fait comment ? Car sur mon PC j'ai Bitdefender Total Security 😉 mais pas sur le NAS 😮

@Kramlech Je m'en suis douté 😄

Hello ! Bien vu ! Je vais aller préciser ça dans le tuto. Je ne me rappelle plus trop comment j'avais fait mon 1er compte... Mais du coup si on ne veut pas recréer le conteneur avec la variable à false après avoir créé le premier compte, il faut se faire une invitation via la console d'administration. Il me faut donc bien entendu modifier mon tuto. Je vais aller faire ça de ce pas. Merci bien pour cette remarque 🙂 PS : je suis présent aussi sur l'autre forum 😉 vous auriez pu laisser un message là-bas 😉

@Diabolomagic ha si j'avais une autre question concernant l'attaque bloquée par le TP (Threat Prevention). Dans l'évènement, il est marqué : Du coup faut faire quoi comme vérification ? Si TP a bien intercepté et bloqué l'attaque, normalement c'est bon, le NAS n'a rien ? Ça n'est pas très rassurant tout ça... Je suis partagé entre : avant je savais pas, je n'avais pas de crise de panique savoir maintenant ce qui est bloqué, est stressant, surtout de ce dire qu'avant je ne le savais pas 😮

Ok merci 🙂 Ça me rassure 😉 Petite question (encore une 😉 ) Pour les paquets qui concernent à priori Tous Andti Covid, tu décocherais aussi la case Destination ? Parce qu'il semble y avoir pas mal d'IP pour ça... et toutes les avoir risque d'être long... Mais purée, que ça rame quand on valide une règle personnalisée...

Du coup pour ces évènements marqués comme "Ignorés", j'ai rien à faire, ces attaques ont été bloquées, c'est bien ça ?

Hello par ici. Vu que j'avais fait des règles inutiles dans le parefeu de mon routeur Syno, je me dis que ça doit être aussi le cas pour le NAS. Du coup je viens poster ici une capture des règles que j'ai pour le NAS. Dites moi ce qu'il faut virer ou ajouter 😉 Merci d'avance.

@Einsteinium Donc je vire toutes les règles concernant les IP LAN, c'est ça ? En fait j'ai quasi aucune règle 😄 Je ne comprends pas la 1ère qui a été ajoutée par le routeur lui même quand j'ai fait un certificat LE. Pourquoi elle interdit le port LE qui est le 80 : Bon ça ne doit plus être trop utile vu que j'ai créé un nom de domaine chez synology pour le VPN et le certificat LE qui y est associée ne semble pas être renouvelé de la même manière que quand j'utilisais mon nom de domaine chez ovh... puisqu'il a pu être fait sans que je doive couper la redirection du port 443 et 80 vers mon NAS... Qu'en pensez-vous ?

Oui c'est configuré en refusé 🙂 Merci pour les précisions 🙂 Je vais revoir les règles du parefeu aussi. Par contre, pourquoi je ne vois pas de traces des "attaques" vers mon NAS dans les logs du NAS ? Le parefeu bloque correctement ? (faut que je mette une capture des règles du parefeu du nas.

Haaaa ! Donc de base, tout est ignoré donc bloqué ! Enfin, pour les menaces élevées. Pour les moyennes, alertes, ça fait rien de particulier sauf faire un évènement (ça nous alerte quoi) c'est ça ?

Merci bien 🙂 Je vais aller lire l'article, et je garde les liens en bookmarks ^^ Donc d'après ce que tu dis, "Ne rien faire", ça va laisser passer le traffic/paquet... Et donc, "Alerte", ça bloque ?? Ou ça fait juste un évènement ? Et du coup, le "Ignorer", lui bloque vraiment ?

Ok, merci pour les précisions. Alors le NAS n'est pas en DMZ, c'est le routeur lui même qui l'est sur la livebox. J'ai un AdGuardHome dans un conteneur docker avec une IP macvlan (et une IP virtuelle pour le NAS), et d'autres services en docker. Dans le routeur je ne forwarde quasi aucun port : seuls les 80, 443 et 6690. J'ai configuré le parefeu du routeur comme ça : Sinon dans les paramètres du paquet, je vois ça : à quoi correspond le niveau de charge ? Est-ce là que tu retires des périphériques de la protection comme tu le suggères ? Pour les interfaces surveillées, j'ai fait ça : Mais je ne suis pas sur pour le VPN... Pour la 3G/4G, je peux être amené à brancher mon téléphone dessus pour partager sa connexion 4G, donc je laisse activé. Voilà, mais surtout, ce sont les évènements détectés qui me font un peu peur. Et par exemple ça depuis l'iphone de ma femme : Un peu plus bas dans le détail il y a ça : (ce serait l'application Tous Anti Covid) Mais du coup, que fait le paquet pour ces Alertes ?? Le paquet est transmis, arrêté ? Je ne comprends pas du tout le fonctionnement... Pour les évènements concernant mon alarme, je pense que c'est pour vérifier mon IP et la transmettre au service car un nslookup sur l'IP renvoie ça : Et dans les données utiles je vois mon adresse IP (masquée) : Je pense que c'est pas une menace 😉 Comment j'ajoute ça en "non menace", liste blanche ou autre ?