Question S

[unPixel]

Bonjour,

J'ai configuré le NAS Synology pour qu'il bannisse une ip au bout de trois tentatives de connexion sans réussite sur deux minutes de temps.

Bizarrement, je n'ai encore donné aucunes informations à mon entourage sur la connexion possible au NAS mais j'ai déjà reçu en moins de 12h de possession du NAS une alerte mail qui m'indique avoir banni une adresse ip.

Message :

Cher utilisateur, chère utilisatrice,

L’adresse IP [49.212.124.197] a eu 3 échecs de tentatives de connexion en 2 minutes et elle a été bloquée à Wed Jan 11 14:32:45 2012.

Cordialement,

Synology DiskStation

Comment ça se fait qu'il y a déjà des tentatives de connexion ? Il est visible sur internet mon NAS et mon IP ?

Merci par avance pour l'apport de vos réponses...

[bud77]

Y'a ce qu'on appelle des "scans", en gros quelqu'un programme sa machine pour vérifier si il voir un port ouvert sur une plage d'adresse IP

Si il en voit un ouvert (et connu), il peux ensuite lui indiquer de tenter des connexions avec des login/pass générique

Tu as du ouvrir un ou des ports sur ton routeur ... D'ou l'utilité de ne pas utiliser les ports pas défaut sur une connexion internet

Modifié le 11 janvier 2012 par bud77

[unPixel]

Oui, j'ai ouvert les ports que Synology me conseille sur leur site pour bien faire fonctionner le nas

Par contre, je ne risque rien normalement en terme de sécurité ?!

[cricx]

si, tu risques toujours d'être piraté si les logiciels du syno présentent des failles ou si tes mots de passe sont triviaux.

le seul serveur sûr est un serveur déconnecté du réseau, ou éteint.

mais il ne faut pas non plus dramatiser et avoir un peu de bon sens :

- il ne faut pas ouvrir de services que nécessaire

- il faut autant que possible changer les ports par défaut (sauf smtp et http pour un site web standard)

- il faut surtout avoir des bons mots de passe, et ceci sur tous les comptes, mais plus particulièrement sur le compte admin

- il faut utiliser des protocoles sécurisés chaque fois que l'accès est protégé par mot de passe

Modifié le 11 janvier 2012 par cricx

[unPixel]

Donc en gros, les ports conseillé par Synology ne sont pas bons, c'est bien ça ?

[bud77]

Donc en gros, les ports conseillé par Synology ne sont pas bons, c'est bien ça ?

Pas tout à fait. Sur ton LAN, ces ports sont "bons"

Sur internet, ils sont "connus" donc plus à même d'être assaillis

[unPixel]

Bon de toute façon, ça sera mot de passe compliqué et il aura jamais le temps de pénétrer le nas logiquement si le nas fait son boulot puisque je bloque en deux minutes 3 mauvaises tentatives...

J'ai bon en pensant comme ça ?

[cricx]

regarde sur ton syno le fichier /etc/services

il contient la liste des services et des ports associés.

tout le monde a cette liste, il est donc facile de scanner tous les ports (notamment ceux des protocoles courants, ou réputés peu sûrs comme le port 445, voir http://www.journaldunet.com/solutions/securite/classement-spam-phishing-et-virus-informatiques-bilan-ete-2011/port-et-pirate.shtml).

il est donc tentant de modifier les ports pour lesquels c'est possible, notamment le port 22 (ssh) ou les ports d'administration du syno.

par exemple, tout le monde sait que le port 22 est le port ssh, beaucoup d'attaques vont donc être tentées sur ce port.

si, au niveau de ton routeur, tu rediriges le port 14622 vers le port 22 de ton syno, il y a moins de chance qu'il y ait une attaque, il pourra y en avoir avec des robots qui scannent systématiquement tous les ports (tu peux aussi modifier la conf de ssh pour qu'il écoute sur un autre port, à la place ou en plus du 22).

Bon de toute façon, ça sera mot de passe compliqué et il aura jamais le temps de pénétrer le nas logiquement si le nas fait son boulot puisque je bloque en deux minutes 3 mauvaises tentatives...

J'ai bon en pensant comme ça ?

j'ai mis deux tentatives en 1 mn

[unPixel]

Je viens aussi de modifier en 2 tentatives et 1 minute. Je viens d'ailleurs de recevoir un nouveau mail pour me prévenir d'une IP bannie.

Par contre, je ne vois pas du tout comment changer tous ses ports. Il n'y a pas un tuto sur la sécurité des Syno ?

Modifié le 11 janvier 2012 par InfoYANN

[bud77]

Le changement des ports se fait sur ton router/box adsl

Par exemple :

IP_du_syno port 22 en interne <-> port 12345 depuis internet

Sur ton lan, rien ne changera, seul l'accès depuis internet sera modifié

[PiwiLAbruti]

Ferme rapidement tous les ports que tu as ouverts, ne conserve que le nécessaire (5001, 443).

Un simple nmap sur ton IP est particulièrement compromettant.

[unPixel]

Le changement des ports se fait sur ton router/box adsl

Par exemple :

IP_du_syno port 22 en interne <-> port 12345 depuis internet

Sur ton lan, rien ne changera, seul l'accès depuis internet sera modifié

Il faut que je cherche dans ma Freebox Revolution car je n'ai jamais vu cette possibilité... Ouvrir un port, je sais faire, mais redirigé un port, jamais vu

Merci en tout cas pour l'aide apportée

Ferme rapidement tous les ports que tu as ouverts, ne conserve que le nécessaire (5001, 443).

Un simple nmap sur ton IP est particulièrement compromettant.

Oui, j'ai tout modifié dans l'autre post. Et j'ai supprimer tous les ports que j'avais ouvert. Je vais reprendre une par une celles dont j'ai besoin et les réouvrir.

[bud77]

Dans la console de gestion free, tu as ceci

Redirections de ports: Port | Protocole | Destination | Port

il faut y mettre

port lan | tcp ou udp | adresse ip du nas | port extérieur

[unPixel]

Je te remercie encore d'essayer de m'aider. Dans ma console Free, j'ai ça exactement.

Donc si j'ai bien compris, je devrais faire ça par exemple :

Port externe : 443

Protocole : TCP

IP : 192.168.0.X

Port internet : 12345

Commentaire : Synology port 443

C'est bien ça ?

Edit, voici ma config actuelle au niveau ip locale.

C'est bon ou encore risqué svp ?

regarde sur ton syno le fichier /etc/services

Tu fais comment pour avoir ça stp ?

Perso, j'ai que mes dossiers créés...

Modifié le 11 janvier 2012 par InfoYANN

[bud77]

Je te remercie encore d'essayer de m'aider. Dans ma console Free, j'ai ça exactement.

Donc si j'ai bien compris, je devrais faire ça par exemple :

Port externe : 443

Protocole : TCP

IP : 192.168.0.X

Port internet : 12345

Commentaire : Synology port 443

C'est bien ça ?

Edit, voici ma config actuelle au niveau ip locale.

C'est bon ou encore risqué svp ?

Ma config que tu as là, c'est les ports standard

On va prendre l'exemple du port 443 :

Il faut supprimer l'ouverture actuelle

Crée :

Port externe : 12345

Protocole : TCP

IP : 192.168.0.X

Port interne : 443

Commentaire : SSL Syno (libre à toi)

Et là tu pourras accéder depuis internet à ton DSM via https://TON_IP_FREE:12345

[PatrickH]

Non tu as mal lu, c'est "interne" pas "internet" donc ca doit être

Port externe : 12345

Protocole : TCP

IP : 192.168.0.X

Port interne: 443

Commentaire : Synology port 443

Damned....encore grillé par Bud !

Patrick

[unPixel]

Oui c'était juste une faute de frappe pour "internet" Désoler

Alors c'est bon, ça donne ça :

Quel est le port max que je peux attribué dans ma console de gestion Freebox svp ?

Et par contre, je viens d'essayer et en effet, ça fonctionne pour https://monip:12345 mais maintenant, je ne peux plus ouvrir Photo Station par exemple car ça me fait ceci :

[bud77]

Max est 65536 il me semble (2^16)

Pour photostation, il me semble qu'il faut ouvrir le port 7000 ou 7001 pour la version SSL

Modifié le 11 janvier 2012 par Patrick21
non se sont les ports Filestation par défaut

[unPixel]

Après divers tests, il s'avère que c'est le port 443

Et comme je l'avais modifié, bah il fallait le rentrer tout comme il faut préciser le https dans l'adresse sinon, ça ne fonctionne pas !

Modifié le 11 janvier 2012 par InfoYANN