Aller au contenu

[Probleme] Acces Web


Messages recommandés

Bonjour à tous,

J'ai lié l'IP de mon NAS à un nom de domaine sur internet. En dur, c'est à dire que c'est le nom de domaine qui redirige direct vers l'IP publique qui tape sur le NAS; L'IP du nas est la DMZ.

L'avantage réside dans le fait que je n'ai plus besoin de la retenir, beaucoup plus pratique, également lorsque je crée des users et donner des accès à d'autres personnes.

Cela dit, je me heurte à des blocages d'IPs. Car certains robots (ou hackers?) d'internet j'imagine, tente d'y accéder et du coup le NAS bloque l'IP car ne trouve pas le bon mot de passe, 5 tentatives échouées.

Existe t'il une mesure de sécurité à mettre en place ?

Car un de ces jours, un de ces robots trouveront le mot de passe, c'est probable ?

Merci de votre aide !

http://www.zimage.fr/images.php?nom=160483blocage.png

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Il n'y a rien d'infaillible, mais de la rigueur s'impose...

Comme le dit Bud77, le NAS en DMZ n'est pas nécessaire.

En revanche, des mots de passes complexes pour tous les utilisateurs sont un minimum.

Ensuite, tu maintiens le blocage des IP.

Enfin, tu surveilles régulièrement les logs d'IP bannies et les logs de connexions.

Maintenant, il est toujours possible que quelqu'un trouve ton mot de passe du premier coup... Comme moi de gagner à l'Euromillion... :wacko:

Edit : Tu précises que tu donnes accès à ton NAS à différents utilisateurs, il faut imposer à TOUS tes utilisateurs des mots de passes complexes (longueurs, caractères spéciaux, chiffres, majuscules, etc...).

Modifié par oli.oli
Lien vers le commentaire
Partager sur d’autres sites

Il m'a semblé lire que tu renvoyais ton nom de domaine sur l'IP du Nas. Ca ce n'est pas bon.

Il faut renvoyer ton nom de domaine vers ton IP publique, celle qui est fournie par ton FAI pour accéder à ta box.

Et dans cette box il faudra rediriger le sports des services que tu veux utiliser (comme le port 21 pour le serveur FTP) vers l'adresse IP interne du syno sur ton réseau.

Maintenant la "complexité" des mots de passe est une vue de l'esprit humain. Pour un robot "toto" est aussi compliqué que "0gF5", mais pour nous autant le premier est facile à retenir...

Une grande sécurité est donnée par la fonction de blocage des IP "malveillantes" du syno. Cette fonction compte le nombre (réglable) de tentatives d'accès d'une IP externe durant un temps assez court (réglable) et notifie cette IP comme interdite si ces quotas sont dépassés. Par exemple, après 5 tentatives d'entrée en moins d e10mn de la même IP, Le syno pensera qu'il s'agit d'un robot et bloquera cette IP. A moins d'un coup de pot monumental le robot ne trouvera pas le MdP avec aussi peu d'essais, même toto.

Si tu savais le nombre d'entreprises qui se servent de 123456 comme mots de passe et à qui il n'est jamais rien arrivé en plusieurs années, j'en reste toujours estomaqué !

Modifié par domlas
Lien vers le commentaire
Partager sur d’autres sites

salut,

pour connaitre la "force" d'un mot de passe:

http://www.passwordmeter.com/

(toto = 0)

(123456 = 4%)

(0gF5 = 36%)

Ça doit avoir de l'importance un mdp un peu complexe.

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

Maintenant la "complexité" des mots de passe est une vue de l'esprit humain.

Hello,

Concernant la complexité des mots de passe, il y a bien longtemps que les robots ont évolué pour adopter la vue de l'esprit humain.

Plus personne (humain ou robot) ne fait d'attaque "brute force" à présent. Les attaques se font sur des bases de dictionnaires avec notamment les mots de passe les plus courants, d'où ma remarque sur la complexité (c'est d'ailleurs valable partout où il faut un mot de passe en informatique).

En revanche, je rejoins Domlas sur le blocage des IP. Pour moi, c'est la principale sécurité de mon NAS qui est sollicitée (depuis des années et jusqu'à présent, 100% des attaques bloquées par ce mécanisme).

Modifié par oli.oli
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci de votre aide, a tous. En gros, j'annule la DMZ et je renforce le mot de passe. (ainsi que ceux de mes users)

Plusieurs questions me viennent en tete :

- Comment etre absolument certains, qu'une fois bloquée, une IP le reste indefiniment? Y a t'il un endroit ou l'on peut visualiser les IPs et verifier qu'elles sont bloquées à jamais?

- Tout autre chose, Ok pour la DMZ, je vais changer. Mais si je redirige le port 21 vers le NAS, qu'en est il du FTP avec la freebox? Les requetes vers le port 21 seront dirigées uniquement vers l'IP du NAS et je pourrais plus accéder au disque dur de la free? Je dois me tromper quelque part ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

N'est-t-il pas possible dans un client FTP d'entre ftp://ipdunas:1234 et de rediriger le port 1234 vers le NAS ?

Exactement...

En résumé, il suffit de faire, par exemple, les règles de NAT suivantes:

IP publique Port public IP Lan Port LAN

A.B.C.D 21 ---> @IP_NAS 21

A.B.C.D 2121 ---> @IP_FREEOX 21

Ainsi le ftp sur le port 21 enverra vers le NAS et sur le port 2121 vers la Freebox...

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

OK Merci.

Voila ce que j'ai fait :

- DMZ desactivé

- Redirection des ports FTP etc...

Tout fonctionne nickel, mais regardez moi ce qu'il s' est passé hier soir !!91460203.jpg

Quelqu'un aurait il une explication plausible? C'est la même IP a quelques secondes d’écart...Je croyais qu'elle etait blacklistée ?

J'ai du éteindre le NAS pour arrêter les attaques !

Modifié par RCNAS
Lien vers le commentaire
Partager sur d’autres sites

Hello,

Exactement...

En résumé, il suffit de faire, par exemple, les règles de NAT suivantes:

IP publique Port public IP Lan Port LAN

A.B.C.D 21 ---> @IP_NAS 21

A.B.C.D 2121 ---> @IP_FREEOX 21

Ainsi le ftp sur le port 21 enverra vers le NAS et sur le port 2121 vers la Freebox...

Juste sur ce point...

Perso j'ai fait de manière différente, j'ai monté le DD le la freebox dans l'arborescence du NAS via filestation, du coup en FTP j'ai accès au DD de la freebox. C'est plus pratique dans mon cas car je reste sur le port 21.

A+

David

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

FTP est à priori à bannir; le mot de passe peut bien être complexe, comme il circule en "clair" dans les tuyaux, la sécurité n'est du coup pas terrible. Si FTP est vraiment un mode nécessaire, plutôt privilégier SFTP.

Les tentatives non-identifiées sont très souvent avec le login root ou admin. Avoir un compte administrateur qui ne se nomme pas admin (et désactiver le compte admin) est une forme de protection supplémentaire.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.