Aller au contenu

Messages recommandés

Posté(e)

Bonjour à tous

Je suis sous la dernière version de DSM 5, j'ai vérifié mes logs, aucune tentative suspecte pour l'instant. Avant de bloquer le port 5000 dans ma livebox à titre temporaire, en lisant les posts précédents, je me suis intéressé au blocage des IPs étrangères. Actuellement, dans mon pare-feu, voila ce que j'ai :

DSM_2014.08.04_0.JPG

Donc là, si j'ai bien compris, le monde entier peut accéder :-)

J'ai donc modifié chaque ligne pour limiter l'accès aux IPs françaises. Sauf qu'au moment de sauvegarder, j'ai eu ce message..

DSM_2014.08.04_1.JPG

.. et mes modifs n'ont pas été prises en compte.

Aurais-je oublié quelque chose ?

Bonjour,

Même message au moment de sauvegarder.

Si quelqu'un a une idée.

En attendant une proposition, j'ai désactivé toutes les redirections de ports sur ma Freebox.

Posté(e) (modifié)

Comme dit en page d'accueil du forum :

  • Retirer votre NAS Synology de la zone DMZ
  • Modifier les ports DSM (5000/5001)
  • Fermer l'accès à TELNET 23 et SSH 22
  • Fermer Web Station port 443 / 80
  • Fermer l'accès FTP port 21
  • Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays
  • Activer le blocage automatique des IP's
  • Utiliser le serveur VPN et fermer l'accès externe à votre NAS.

Je rajouterai le fait de désactiver le compte admin par défaut, de créer un autre compte admin avec un nom différent bien sûr et de mettre un mot de passe fort qui ne soit pas découvrable par une attaque type force brute dictionnaire. A cela je rajoute aussi la création d'un autre compte admin de secours au cas où le principal se corrompt pour x raison... ceinture et bretelles...

Le point "positif" à cette situation est que bon nombre d'utilisateurs vont prendre conscience de l'intérêt d'une vraie politique de sécurité à mettre en place sur ce genre d'équipement mais aussi et surtout de l'importance de vrais backup offline. C'est une bonne avancée.

Petite pensée aux gars de chez Syno qui doivent bosser comme des fous depuis la découverte de ces problèmes.

Modifié par zephil
Posté(e)

Bonjour,

il y a tellement d'infos sur le sujet, que cela est totalement inexploitable.

X donne sa solution, Y le contredit.

Avec la merde lancée, semble t'il, par les chinois certains sur ce forum rajoutent la leur.

Merci à la communauté solidaire

Posté(e)

J'ai un syno à l'étranger avec le DSM 4.3 derrière un watchguard pas de problème d'attaque Synolocker.

Bonjour,

il y a tellement d'infos sur le sujet, que cela est totalement inexploitable.

Les infos en page d’accueil du forum suffisent largement :)

Posté(e) (modifié)

Bonjour,

il y a tellement d'infos sur le sujet, que cela est totalement inexploitable.

X donne sa solution, Y le contredit.

Avec la merde lancée, semble t'il, par les chinois certains sur ce forum rajoutent la leur.

Merci à la communauté solidaire

tu fais allusion à mon post en disant cela ?? :huh:

Il y a qq règles de bon sens à respecter c'est tout et les infos données en page d'accueil sont tout à fait exploitables en prenant le temps de relire le forum, les solutions sont données et expliquées via copie d'écran... rien d'insurmontable donc et si c'est trop compliqué ben on éteint son NAS si cela n'est pas vital et on attend sagement la solution officielle. :)

Modifié par zephil
Posté(e)

J'ai fait une critique ci-dessus, je vais en remettre une couche.

Je lis :

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays.

A se tordre de rire et à se pisser dessus, tellement c'est risible, mais triste

Il y a moyen de se faire passer pour un internaute chinois (ou autre) pour un internaute de notre merveilleux pays ou tout autre de son choix.

Alors ce conseil, je le juge plutôt pourri et à virer de ces conseils.

Posté(e)

message modifié au lancement du DSM, relativement clair et sinon tu ne peux plus ouvrir les documents stockés car cryptés


du 82 : Quelles sont alors tes recommandations ? critiquer c'est une chose et tu as le droit mais participer de façon constructive en est une autre et tu as le droit aussi...

Posté(e)

Mon NAS est off line, redirections de ports désactivées.

Par contre est-ce qu'un informatien pourrait m'éclairer sur un point : si mon NAS a un IP fixe en local, mettons 192.168.1.X., ce n'est pas "niveau débutant" pour un hacker d'entrer par la box, de faire le tour de tous les IP locaux, et d'attaquer le 192.168.1.X une fois trouvé ? En gros de faire la redirection de port par lui-même de l'extérieur...

Posté(e)

tu fais allusion à mon post en disant cela ?? :huh:

Il y a qq règles de bon sens à respecter c'est tout et les infos données en page d'accueil sont tout à fait exploitables en prenant le temps de relire le forum, les solutions sont données et expliquées via copie d'écran... rien d'insurmontable donc et si c'est trop compliqué ben on éteint son NAS si cela n'est pas vital et on attend sagement la solution officielle. :)

il y a 6 pages sur le sujet, et tu prends ma constatation constructive contre toi, lorsque je veux régler un problème je cite directement ma cible.

Vois-tu ton pseudo dans mon post ?

Posté(e)

J'ai fait une critique ci-dessus, je vais en remettre une couche.

Je lis :

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays.

A se tordre de rire et à se pisser dessus, tellement c'est risible, mais triste

Il y a moyen de se faire passer pour un internaute chinois (ou autre) pour un internaute de notre merveilleux pays ou tout autre de son choix.

Alors ce conseil, je le juge plutôt pourri et à virer de ces conseils.

Effectivement il est très simple de changer son IP pour pouvoir passer pour un gentil Suisse. Cependant la liste des attaques montre à 90% des IP chinoises (pour mon cas). 90 % des attaques sont donc "basique", et seront bloquée tout bêtement par ce filtrage par pays. N'importe quelle sécurité supplémentaire, même basique, est bonne à prendre je trouve !

Posté(e)

Houla, on se calme, tout va bien mais ta réponse arrive juste après la mienne alors je me pose la question quant à cet heureux hasard c'est tout. L'incident est clos.

Posté(e)

Mon NAS est off line, redirections de ports désactivées.

Par contre est-ce qu'un informatien pourrait m'éclairer sur un point : si mon NAS a un IP fixe en local, mettons 192.168.1.X., ce n'est pas "niveau débutant" pour un hacker d'entrer par la box, de faire le tour de tous les IP locaux, et d'attaquer le 192.168.1.X une fois trouvé ? En gros de faire la redirection de port par lui-même de l'extérieur...

Il faut bien différencier Hacker, Pirate et Bot.

Ici il s'agit d'un bot, donc d'une attaque automatisée utilisant une faille (Synology la recherche actuellement). Un hacker ou pirate trouvera le moyen de rentrer dans un système informatique, certains arrivent bien à déjouer les systèmes de sécurités de grosses boîtes. Mais bon il faudrait qu'il y ait des trucs super intéressants sur ton réseau.

Posté(e) (modifié)

Si vous utilisez mail station et que vous bloquez tous les pays sauf la France, ALORS vous ne recevrez des emails que de serveur ayant une adresse IP française !! par exemple, les serveurs mail de google sont américains(IP USA) ... donc ils seront bloqués...

Faites quand même attention surtout si vous utilisez votre NAs en entreprise...

POur les plus avertis, connecter vous en ssh sur votre nas et lancez la commande

iptables -L

cela vous donnera la logique de filtrage de votre firewall, le sens des règles à sont importance !!!

Modifié par pouda21
Posté(e)

Si vous utilisez mail station et que vous bloquez tous les pays sauf la France, ALORS vous ne recevrez des emails que de serveur ayant une adresse IP française !! par exemple, les serveurs mail de google sont américains(IP USA) ... donc ils seront bloqués...

Faites quand même attention surtout si vous utilisez votre NAs en entreprise...

POur les plus avertis, connecter vous en ssh sur votre nas et lancez la commande

iptables -L

cela vous donnera la logique de filtrage de votre firewall, le sens des règles à sont importance !!!

Les entreprises doivent faire un choix, restreindre certains services ou tenter le coup. Personnellement j'ai temporairement fermé quelques services pour mes clients... c'est préférables que de devoir leur expliquer que leur données sont cryptées et certainement inaccessibles pendant plusieurs jours.

Chacun doit adapter une stratégie pour continuer à utiliser son NAS en sécurité, le temps que la faille soit découverte et bouchée par Synology.

Posté(e)

Mon NAS est off line, redirections de ports désactivées.

Par contre est-ce qu'un informatien pourrait m'éclairer sur un point : si mon NAS a un IP fixe en local, mettons 192.168.1.X., ce n'est pas "niveau débutant" pour un hacker d'entrer par la box, de faire le tour de tous les IP locaux, et d'attaquer le 192.168.1.X une fois trouvé ? En gros de faire la redirection de port par lui-même de l'extérieur...

Salut,

Il faudrait pour cela qu'il parvienne à rentrer sur ton routeur via une faille ou un accès Telnet ou SSh (avec un mdp faible par exemple). La problématique est la même que pour un nas ou un pc.

Mais franchement, ça m'étonnerait qu'il se fasse ch... à faire cela! De plus il n'est même pas encore sûr de trouver qque chose d'intéressant (piratable) après dans ton réseau local!

Georges

Posté(e)

J'ai fait une critique ci-dessus, je vais en remettre une couche.

Je lis :

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays.

A se tordre de rire et à se pisser dessus, tellement c'est risible, mais triste

Il y a moyen de se faire passer pour un internaute chinois (ou autre) pour un internaute de notre merveilleux pays ou tout autre de son choix.

Alors ce conseil, je le juge plutôt pourri et à virer de ces conseils.

Quelle est la raison d'une telle réaction ?

Comme il a été dit plusieurs fois, les attaques sont à priori des bots qui font du bruteforce avec des IP dynamiques (probablement du monde entier d'ailleurs).

Si tu n'autorises des IP que d'un seul pays, ne crois-tu pas que cela diminue considérablement les chances d'être hacké ?

Ou peut-être imagines-tu un petit chinois derrière son écran ("ah lui c'est un français, je vais prendre une IP française pour le hacké....").

Posté(e)

Bon de mon coté j'ai blacklisté les ips étrangères sans touché la France !

désactivation de telnet et ssh !

blocage ip , par feu ect...

pour l'instant que-dalle , j'ai aussi blacklister lip de celui qui a eu des requêtes a profusion sur son serveur soit :

pour l'instant rien d’inquiétant !

Posté(e) (modifié)

De mon coté deux Syno à la maison :

Un DS-1513+ avec DSM 5.0 4493 U3 en frontal sur le web pour certains services (DSM en https 5001, du Webdav en https aussi et le web 80 en gros)

Un DS-110J avec DSM 4.3 en local only, auncuns services actifs (destination de backup nocturne du DS-1513+)

(Les deux avec un mot de passe fort et non "dictionarisables" :rolleyes: )

RAS après vérification hier soir, hormis que j'étais persuadé que le 110J était bloqué au DSM 4.3 alors qu'en fait non :P J'en ai donc profité pour le passer en DSM 5.0 4493 U3

Je part en vacances ce soir, du coup j'ai joué la prudence en attendant le fin mot de l'histoire, toutes redirections coupées sur ma box, et firewall du DS-1513+ activé pour laisser passer que les connexions France/Locales.

Je verrais à mon retour comment ça a évolué ...

PS : A une époque j'avais voulu ouvrir le SSH / FTP sur le web, a peine activé c'étais déjà spammé de tentative de connexion en brute force, j'avais activé le blockage IP après 3 connexions infructueuses, mais c'étais toujours trop important à mon gout, j'ai recoupé vite fait et géré mon besoin autrement, donc de ce coté là c'est pas forcement nouveau comme comportement ...

Modifié par crash3236
Posté(e)

Comme dit en page d'accueil du forum :

  • Retirer votre NAS Synology de la zone DMZ
  • Modifier les ports DSM (5000/5001)
  • Fermer l'accès à TELNET 23 et SSH 22
  • Fermer Web Station port 443 / 80
  • Fermer l'accès FTP port 21
  • Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays
  • Activer le blocage automatique des IP's
  • Utiliser le serveur VPN et fermer l'accès externe à votre NAS.

Je rajouterai le fait de désactiver le compte admin par défaut, de créer un autre compte admin avec un nom différent bien sûr et de mettre un mot de passe fort qui ne soit pas découvrable par une attaque type force brute dictionnaire. A cela je rajoute aussi la création d'un autre compte admin de secours au cas où le principal se corrompt pour x raison... ceinture et bretelles...

Le point "positif" à cette situation est que bon nombre d'utilisateurs vont prendre conscience de l'intérêt d'une vraie politique de sécurité à mettre en place sur ce genre d'équipement mais aussi et surtout de l'importance de vrais backup offline. C'est une bonne avancée.

Petite pensée aux gars de chez Syno qui doivent bosser comme des fous depuis la découverte de ces problèmes.

J'ai fait tout cela. Merci

Parcontre pas de serveur VPN chez moi.

Retirer le serveur de DMZ il n'a y rien de cela sur ma config. Un NAS syno 214 branché sur la live box

Posté(e)

Les entreprises doivent faire un choix, restreindre certains services ou tenter le coup. Personnellement j'ai temporairement fermé quelques services pour mes clients... c'est préférables que de devoir leur expliquer que leur données sont cryptées et certainement inaccessibles pendant plusieurs jours.

Chacun doit adapter une stratégie pour continuer à utiliser son NAS en sécurité, le temps que la faille soit découverte et bouchée par Synology.

C'est de hypothétique mais pour moi, il n'y a aucune faille, juste un brute-force quelconque (DSM, SSH etc..).

Sinon des milliers de nas auraient étés touchés sachant qu'il faut pas 24h pour 1000 bots à scanner les bonnes ranges IP.

Actuellement je dirais que c'est le noobisme du client le problème, et pas Synology.

A suivre.

Posté(e)

Quelle est la raison d'une telle réaction ?

Ou peut-être imagines-tu un petit chinois derrière son écran ("ah lui c'est un français, je vais prendre une IP française pour le hacké....").

Il y a quatre ans, j'ai eu à subir une descente d’enquêteurs de Paris, deux mois après avec une mise en accusation et convocation par un juge d'instruction à Paris.

Les enquêteurs ont tout fouillé dans ma maison, mon ordinateur

Ils ont mis sous mon nez le listing de mon activité de ce jour là, listing fourni par son fournisseur adsl après la demande du juge d'instruction

Mon ip avait été utilisée pour hacker, un site politique français (destruction de certaines pages avec remplacement par des pages remplies de haine et d'insultes)

Après la plainte déposée par les responsables politiques, je suis passé par toute une série d'épreuve.

En juillet 2010, j'ai reçu le jugement : non lieu.

Je peux t'envoyer une copie si tu ne veux pas me croire.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.