Aller au contenu

Synolocker


Einsteinium

Messages recommandés

La seule façon de réduire au Max les problèmes, c'est le server vpn hébergé sur le syno

Celui suis n'a connu que 2 gros problèmes de sécurité (faille heartB et un user de test non supprimé)

Cela vous oblige a vous connectez au vpn (j'ai un seul user pour ça, et qui a les droits pour perso), ensuite accéder comme si vous étiez chez vous à votre réseau complet.

Le syno n'est ainsi plus exposé en direct sur le net ;-)

Lien vers le commentaire
Partager sur d’autres sites

Bon voila je me retrouve avec qu'un seul port (différent de ceux qui sont connu) d'ouvert sur ma box qui me permet d'utiliser mes applis tranquillement (https) j'ai reconfiguré mon pare feu avec les autorisation pour le reseau local et j'ai autorisé que les IP venant de France et j'ai banni tout le reste ....

J'ai également créé un compte client totalement limité au dossier de download et je me connecte avec ce compte depuis le Synodroid ....

Qu'est ce que je peux faire d'autre ? par ce que là j'avoue j'ai plus trop d'idée :unsure:

Dans tous les cas c'est toujours mieux que ce que c'était avant ....

Modifié par Norvegian
Lien vers le commentaire
Partager sur d’autres sites

La seule façon de réduire au Max les problèmes, c'est le server vpn hébergé sur le syno

Celui suis n'a connu que 2 gros problèmes de sécurité (faille heartB et un user de test non supprimé)

Cela vous oblige a vous connectez au vpn (j'ai un seul user pour ça, et qui a les droits pour perso), ensuite accéder comme si vous étiez chez vous à votre réseau complet.

Le syno n'est ainsi plus exposé en direct sur le net ;-)

C'est aussi une autre solution, plus contraignante. Pour ma part, je n'ai pas eu de tentatives de connexion sur mon unique port depuis des lustres. Et quand bien même il y en aurait, il faudrait encore pouvoir passer le pare-feu, ce qui n'est pas gagné.

Lien vers le commentaire
Partager sur d’autres sites

Tu ouvre un port, tu ouvre donc une porte dans ton pare feu, donc ton pare feu n'y pourras rien.

Si tu permet via ton unique port. L'accès a l'interface admin et qu'il y a une faille dans celle ci, c'est la porte ouverte à la totalité de ton réseau et de ton syno.

De toute façon mise a part faire un reseau local fermée, je ne voit pas comment comment protégé un syno contre une faille ? Du moment qu'on ouvre un port c'est un passage potentiel après manque une faille , et quelle système est infaillible ? aucun je pense.

Le mieux est peut etre encore de faire attention a bien copier nos données. A ne pas laisser trop de portes ouvertes ( et pas des évidentes, en changeant par exemple les numéros de ports ). et de faire les mise a jours régulièrement ! Apres que faire de plus ?

Lien vers le commentaire
Partager sur d’autres sites

Donc selon vous je ne pourrais pas faire mieux en matière de sécurisation du NAS ?

Franchement on fait tout pour essayer de rendre le truc le plus sécurité possible mais je suis d'accord pour dire que la sécurité absolue n'existe pas à moins de la couper physiquement du net . Et puis lorsqu'on voit les possibilité qu'offre un NAS ça serait quand même bien triste que de s'en servir qu'en simple système de stockage non ?

Si vous voyez des idées pour améliorer ce que j'ai déjà fait, n'hésitez pas à me le dire et dites moi également si pour vous je suis arrivé au max de ce qui est possible.

Cordialement

Norv'

Lien vers le commentaire
Partager sur d’autres sites

Vous pourrez retourner la question des accès réseau dans tous les sens, vous ne trouverez aucun moyen de sécurisation fiable à 100%.

Personnellement je n'ai rien changé aux ports ouverts depuis cette faille car mes données sont en sécurité sur un disque dur USB de sauvegarde qui n'est branché au NAS que le temps de faire les sauvegardes. Que mon NAS se fasse pourrir ne me fait ni chaud ni froid.

Arrêtez de vouloir révolutionner la sécurité réseau et faites des des sauvegardes, ça vous fera gagner du temps.

Lien vers le commentaire
Partager sur d’autres sites

Vous pourrez retourner la question des accès réseau dans tous les sens, vous ne trouverez aucun moyen de sécurisation fiable à 100%.

Personnellement je n'ai rien changé aux ports ouverts depuis cette faille car mes données sont en sécurité sur un disque dur USB de sauvegarde qui n'est branché au NAS que le temps de faire les sauvegardes. Que mon NAS se fasse pourrir ne me fait ni chaud ni froid.

Arrêtez de vouloir révolutionner la sécurité réseau et faites des des sauvegardes, ça vous fera gagner du temps.

J'ai aussi mes sauvegardes sur HDD externe et c une obligation mais si on peut éviter d'avoir à formater son NAS et tout reinstaller parcequ'un petit chinois a trouver malin de faire chier le monde avec une attaque à la con .... en prenant certaines précaution supplémentaire c quand même pas plus mal non ?

Parce que je te cache pas que l'idée de transférer mes 5 TO de données sur mon NAS après formatage ne m'enchante guère :D

Modifié par Norvegian
Lien vers le commentaire
Partager sur d’autres sites

Si tout le monde mettait ses machines à jours...

Oui et non !

Si cette attaque avait pour cible la toute dernière version du DSM beaucoup plus de personnes serait dans le petrin actuellement.

Alors faut faire les mises à jours, mais c'est pas non plus un cage de sécurité !

Demain DSM peut être la cible d'une saloperie d'en le même genre que ce Synolocker.

Lien vers le commentaire
Partager sur d’autres sites

Je sais que c'est contraignant de devoir tout restaurer, mais on ne le fait pas tous les mois non plus (heureusement !) ;)

La solution reverse proxy est aussi assez sécurisante dans le sens où si l'attaquant n'a pas le sous domaine exact, il ne peut pas lancer d'attaque.
D'ailleurs les attaques massives n'utilisent que les adresses IP publiques.

Par exemple le DSM chez moi n'est accessible que depuis un sous domaine sur le port HTTPS par défaut (port tcp/443).
Pour y accéder j'utilise une adresse du type https://dsm.domain.tld/.
Pour ce type de configuration, je vous recommande chaudement (DSM 5 minimum).

Lien vers le commentaire
Partager sur d’autres sites

C'est pour ça qu'il faut traiter en grosse partie la sécurité en amont du syno, au niveau de sa box internet...Le meilleur moyen d'éviter de choper des saloperies et d'être "furtif" sur le net:

- Jamais de DMZ

- N'ouvrir que les ports "vraiment" nécessaires

- Utiliser les avantages du NAT : un port externe (coté internet) différent des ports par défaut du nas. (exemple: 6745 vers 5001 et surtout pas 5001 vers 5001).

- Pour joindre le syno jamais en clair que du https ou ssh

Les chinois du FBI scannent généralement les ports par défaut (22, 5000, 5001, 21, etc...). S'ils sont fermés, ils passent leur chemin. S'ils répondent, là ils vont s'y intéresser :( et je ne donne pas cher de nos syno...

Sur le syno:

- Activer le blocage IP

- N'autoriser que les IP françaises

- Créer un 2eme admin et désactiver le compte admin classique par défaut.

- Utiliser des mots de passe fort et les changer régulièrement

- Consulter les logs et surveiller son système

- Mettre à jour son DSM

En bref des règles de bon sens.... ;)

Lien vers le commentaire
Partager sur d’autres sites

C'est pour ça qu'il faut traiter en grosse partie la sécurité en amont du syno, au niveau de sa box internet...Le meilleur moyen d'éviter de choper des saloperies et d'être "furtif" sur le net:

- Jamais de DMZ

- N'ouvrir que les ports "vraiment" nécessaires

- Utiliser les avantages du NAT : un port externe (coté internet) différent des ports par défaut du nas. (exemple: 6745 vers 5001 et surtout pas 5001 vers 5001).

- Pour joindre le syno jamais en clair que du https ou ssh

Les chinois du FBI scannent généralement les ports par défaut (22, 5000, 5001, 21, etc...). S'ils sont fermés, ils passent leur chemin. S'ils répondent, là ils vont s'y intéresser :( et je ne donne pas cher de nos syno...

Sur le syno:

- Activer le blocage IP

- N'autoriser que les IP françaises

- Créer un 2eme admin et désactiver le compte admin classique par défaut.

- Utiliser des mots de passe fort et les changer régulièrement

- Consulter les logs et surveiller son système

- Mettre à jour son DSM

En bref des règles de bon sens.... ;)

Alors question : Qu'est ce que le DMZ ?

Ensuite utiliser les avantages du NAT ok mais perso j'ai ouvert qu'un port dans ma box par exemple 6792 j'ai ouvert le port 6792 redirigé vers le 6792 et j'ai tout changé dans le DSM comme en conséquence ( partie port par défaut etc ... ) Même dans le DSM j'ai changé le port par défaut au lieu de laisser le 5000 et le 5001 et de faire le reroutage 6792 ---> 5000 ( ou 5001) dans ma Box .... est ce que cela change quelque chose ?

Sinon après pour le reste c fait ... c'est rassurant quand même !!

Petite question également : Combien il y a de port en tout sur une box ? ça va de 1 à ??? .... car là j'ai choisi un port au hasard mais je suis resté pas trop trop loin des port originel mais je me demandais si je pouvais me barrer et choisir un port chelou genre 38965 ...

J'ai cru lire qu'il y avait plus de 65000 ports en tout ....

Modifié par Norvegian
Lien vers le commentaire
Partager sur d’autres sites

Salut,

La zone de DMZ est une sorte de zone de "passe droit", sans filtrage ni rien.

En gros si tu active sa et que tu n'a aucun parfeu ou autre, alors tout les port de la box seront ouvert.

Lien vers le commentaire
Partager sur d’autres sites

1)DMZ : demilitarized zone

Comme le dit EVOTk c'est une zone sans filtrage, tous les ports sont ouverts.... :wacko:

Dans ta box tu as une partie DMZ si tu cherches bien. Tu peux y assigner une IP (par exemple ton syno). Le syno est alors directement sur le net sans protection, et ne peut compter que sur lui (et plus sur la box) pour se protéger...

2) Pas besoin de tout changer dans le syno justement. C'est ça l'avantage du NAT. C'est la box qui va rediriger ce qui arrive d'internet sur le port 6792 (ton exemple) vers le port 5001 (port local du syno):

Ainsi tu accède normalement à ton syno sur le port 5001 en local chez toi, mais en déplacement (à partir d'internet) il suffit de changer dans l'url de ton navigateur le :5001 par :6792

Tout changer est bien aussi, mais bon c'est se donner du boulot pour pas grand chose...

3) Concernant le nombre de ports : http://fr.wikipedia.org/wiki/Liste_des_ports_logiciels

Il y en a beaucoup... :D

Miki


La DMZ peut être très utile lorsque tu as un 2ème routeur en cascade derrière ta box par exemple.

Lien vers le commentaire
Partager sur d’autres sites

Pour déjà avoir rencontré le problème, il me semble que sur certaines box tu n'as pas le choix et qu'activer la dmz est la seule solution.

Dans ce cas, le mieux reste d'avoir un routeur derriere.

Lien vers le commentaire
Partager sur d’autres sites

Ok je comprends comme si tu aavais deux NAS relier à un routeur qui lui même est relié à la box par exemple ?

ça m'intéresse car je compte faire l'acquisition d'un deuxième NAS et je voulais mettre un routeur entre mes deux NAS et ma BOx

Modifié par Norvegian
Lien vers le commentaire
Partager sur d’autres sites

Pas besoin d'un 2ème routeur pour installer un 2ème NAS... Tu as 4 ports RJ45 sur une box généralement, en théorie tu peux donc avoir 4 NAS connectés sans avoir à acheter du matériel supplémentaire (par exemple un switch). :lol:

ouais je sais mais tout est plein , j'ai plus de port de libre sur ma box .... :lol:

Lien vers le commentaire
Partager sur d’autres sites

ouais je sais mais tout est plein , j'ai plus de port de libre sur ma box .... :lol:

Dans se cas achete un switch. J'ai un TP-Link SG10008D, c'est un 8 ports, il fonctionne tres bien !

Lien vers le commentaire
Partager sur d’autres sites

A ce moment là tu rajoutes un switch (comme celui par exemple : http://www.amazon.fr/Netgear-GS608-300PES-Switch-Design-Gigabit/dp/B000BZUGLM). Le switch va te prendre un des ports RJ45 mais tu en aura 7 de plus...


L'avantage du switch c'est que c'est transparent sur ton réseau, un peu comme une multiprise quoi!!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.