Sécurité!

[reddaron]

Bonjour,

Suite à l'installation de mon NAS avec votre aide et les tutos de Fenir sur la sécurité, je n'ai autorisé que les Ip venant de France. Quelques heures plus tard, mon NAS a été bloqué par une attaque venant d'Ukraine! j'ai reçu le message suivant:

Cher utilisateur,
L'adresse IP [193.201.224.212] a connu 10 tentatives échouées en essayant de se connecter à SSH ouvert sur nasapr dans un intervalle de 5 minutes, et a été bloquée à Fri Dec 22 02:16:15 2017.
Sincères salutations,  Synology DiskStation

Et en cherchant sur le net, j'ai trouvé ceci:

193.201.224.212 was found in our database!

This IP was reported 190 times. See below for details.

ISP	PE Tetyana Mysyk
Usage Type	Commercial
Country	Ukraine
City	Vinnytsya, Vinnytska oblast

 

Si vous avez des explications, je suis preneur!
Cordialement,
Red Daron

[Mic13710]

Sujet déplacé dans la bonne section.

Si votre parefeu n'a pas fait le boulot, c'est qu'il est mal configuré.

Postez une copie d'écran pour qu'on puisse vous dire où ça cloche.

[reddaron]

Au départ, j'avais mis les restrictions de région sur LAN1 uniquement car je ne pense pas avoir les autres interfaces.
mais quand je mets "toutes les interfaces", ça refuse la config... :-(

[Mic13710]

C'est confirmé. Vous avez créé une vraie passoire.

Vous êtes à des années lumières des paramétrages proposés par Fenrir.

En l'état actuel, vous ne bloquez absolument rien. Votre règle autorise tous les trafics venant de France (quid des trafics sur votre réseau privé ?) et si ça vient d'ailleurs, vous n'avez aucune règle qui bloque. Autrement dit, votre NAS est en open bar !

[reddaron]

Ben je bloque quand même tout ce qui ne vient pas de France, nan?

[Mic13710]

Non. Vous n'avez aucune règle bloquante. Relisez et surtout appliquez à votre cas ce qu'a proposé Fenrir.

[reddaron]

J'ai lu le tuto 14 fois, mais ça bloque toujours!
Sur mon DSM, ce n'est pas la même version que dans le tuto.
Et ce n'est pas clair les choix refuser ou accepter, ça concerne quoi?
Et que veut dire la phrase du bas: "Si aucune règle n'est remplie dans toutes les interfaces, les règles dans chaque interface seront remplies???

Pour le moment, j'aimerais par sécurité interdire l'accès externe, est-ce possible? Et tant pis si je ne peux me connecter à mon NAS en dehors de chez moi, tant que la sécurité n'est pas réglée...

Modifié le 22 décembre 2017 par reddaron

[PiwiLAbruti]

il y a 17 minutes, reddaron a dit :

Ben je bloque quand même tout ce qui ne vient pas de France, nan?

Ta règle dit simplement qu'elle autorise tout ce qui vient de France, et rien d'autre.

il y a 9 minutes, reddaron a dit :

Et que veut dire la phrase du bas: "Si aucune règle n'est remplie dans toutes les interfaces, les règles dans chaque interface seront remplies???

As-tu remarqué la liste déroulante en haut à droite ? 

[reddaron]

Merci Piwi,

Mais ça m'aiderais plus si tu m'expliquais comment autoriser France tout en bloquant le reste. Et à quoi ça sert de spécifier d'autoriser France si tout le reste est de toutes façons autorisé, De plus sur ma version de DSM (DSM 6.1.4-15217 Update 5), on ne peut bloquer que 15 pays à la fois...

Et pour la devinette: "As-tu remarqué la liste déroulante en haut à droite?" ben oui, d'ailleurs j'en parle dans ce post plus haut, avec de plus une copie d'écran.

[Mic13710]

il y a 57 minutes, PiwiLAbruti a dit :

Ta règle dit simplement qu'elle autorise tout ce qui vient de France, et rien d'autre.

Oui pour la règle, par contre rien ne bloque ensuite. Autrement dit cette règle ne sert à rien.

@reddaron si vous avez lu le tuto 14 fois et que vous en êtes toujours au même point, c'est que vous n'avez pas compris 14 fois. C'est pourtant simple. Dès qu'une règle permet une connexion, le parefeu autorise le trafic, et ce, quelles que soient les règles qui suivent. Il faut donc procéder par ordre d'adressage.

On autorise d'abord toutes les IP privées car il est assez rare de se faire attaquer de l'intérieur.

Ensuite on établi les règles externes pour tout ce qui peut passer. Votre règle par exemple pourrait suffire mais elle autorise absolument toutes les connexions d'IP françaises sans aucune discrimination. C'est bien trop ouvert à mon gré, mais cela vous regarde.

Une fois toutes les autorisations accordées, on bloque tout le trafic (la dernière règle dans le tuto de Fenrir). C'est de loin la règle la plus importante !

[reddaron]

Ça autorise les accès Français, mais ça a quand même le mérite de bloquer tout le reste du monde, comme le dit justement Fenir dans son tuto!

Et puis, ce serait sympa que vous, qui êtes comme des poissons dans l'eau avec les NAS, compreniez un peu les difficultés d'un nouveau venu qui appelle au secours et qui ne souhaite qu'apprendre, car le NAS c'est quand même un "tout petit peu" plus compliqué que windows... ;-)

[Mic13710]

il y a 20 minutes, reddaron a dit :

Ça autorise les accès Français, mais ça a quand même le mérite de bloquer tout le reste du monde, comme le dit justement Fenir dans son tuto!

Vous le faites exprès ou quoi ? Je vous ai dit trois fois que votre règle seule ne sert strictement à rien ! Il faut AUSSI une règle de blocage pour le reste du trafic sinon ça ne peut pas fonctionner. Comment être plus explicite ?

Je comprends tout à fait que la compréhension des NAS ne soit pas la même pour tout le monde, mais enfin, je me tue à vous répéter que votre parefeu ne peut pas fonctionner en l'état, je vous dis pourquoi et vous, vous persister à me dire le contraire.

Fenrir dit bien aussi de remplir la dernière règle qui est la plus importante. Mais attention, si vous remplissez la dernière règle, il faut IMPERATIVEMENT (je le mets en majuscule, souligné et gras pour que ce soit bien clair) que les IP privées soient autorisées en tête de liste. L'ordre des règles est très important. Vous comprendrez pourquoi en lisant correctement (et non en diagonale) mon message précédent.

[Fenrir]

Il y a 2 heures, reddaron a dit :

Ça autorise les accès Français, mais ça a quand même le mérite de bloquer tout le reste du monde, comme le dit justement Fenir dans son tuto!

Dans mon tuto c'est la dernière règle qui bloque le trafic, pour être précis, elle bloque tout ce qui n'est pas autorisé par une règle précédente.

Je vais éditer un peu le tuto sur ce point.

[unPixel]

Il y a 6 heures, reddaron a dit :

J'ai lu le tuto 14 fois, mais ça bloque toujours!
Sur mon DSM, ce n'est pas la même version que dans le tuto.
Et ce n'est pas clair les choix refuser ou accepter, ça concerne quoi?
Et que veut dire la phrase du bas: "Si aucune règle n'est remplie dans toutes les interfaces, les règles dans chaque interface seront remplies???

Pour le moment, j'aimerais par sécurité interdire l'accès externe, est-ce possible? Et tant pis si je ne peux me connecter à mon NAS en dehors de chez moi, tant que la sécurité n'est pas réglée...

 

Un conseil, revois tranquillement et à tête reposée le tuto de Fenrir qui est bien expliqué. Et voici une capture d'écran de son tuto que tu peux comparer avec celle que tu montres. Regarde bien mon encadré en rouge...

 

[pluton212+]

Il y a 9 heures, InfoYANN a dit :

 

Un conseil, revois tranquillement et à tête reposée le tuto de Fenrir qui est bien expliqué. Et voici une capture d'écran de son tuto que tu peux comparer avec celle que tu montres. Regarde bien mon encadré en rouge...

 

Avec ça il ne fait plus rien sauf en local...

C'est le but ?

Modifié le 23 décembre 2017 par pluton212+

[unPixel]

J'ai bien précisé de suivre l'encadré en rouge et ceux par rapport aux tentatives de connexions depuis l'extérieur qu'il subit. Et il a déjà une règle puisqu'il autorise tout pour la France mais rien pour interdire une autre provenance de se connecter...

 

Et puis à première vue, il vaut mieux qu'il commence par là avant de chercher à ouvrir quoi que ce soit...

Modifié le 23 décembre 2017 par InfoYANN

[goerges]

Bonjour,

Sans vouloir me la jouer défenseur de la veuve et de l'orphelin, si il met simplement sa règle et ceci

ce n'est pas suffisant ?

 

Georges.

[unPixel]

C'est pas sur le routeur cette option ?!


Envoyé de mon iPhone en utilisant Tapatalk

[Mic13710]

@goerges Oui mais cette règle n'est disponible qu'au niveau de chaque interface.

Lorsque les règles sont créées pour toutes les interfaces (ce qui est le cas ici), il n'y a plus ce choix et il faut rajouter la règle de blocage.

[PiwiLAbruti]

La règle de blocage peut être facultative, par contre il faut impérativement bloquer le trafic par défaut pour chaque interface.

[Fenrir]

Il y a 21 heures, PiwiLAbruti a dit :

La règle de blocage peut être facultative, par contre il faut impérativement bloquer le trafic par défaut pour chaque interface.

+1 de plus il faut impérativement bien réfléchir à l'enchainement des différentes règles au travers des différentes interfaces

Le 29/07/2017 à 22:39, Fenrir a dit :

À toi de voir, les 2 sont possibles, mais les règles ne seront pas appliquées de la même manière, c'est le principe :

• Toutes les interfaces => les règles sont appliquées à toutes les interfaces
• LAN => les règles sont appliquées à l'interface LAN
• ...

Sachant que les règles de "Toutes les interfaces" sont appliquées avant les règles par interface (ce qui est logique).

Exemple :

• Toutes les interfaces :
  • port TCP 1001 autorisé
  • port TCP 1002 bloqué
• LAN :
  • port TCP 1001 bloqué
  • port TCP 1002 autorisé
  • tout le reste bloqué

=>

Un paquet arrive via l'interface LAN :

• port TCP 1001 autorisé
• port TCP 1002 bloqué
• tout le reste bloqué

Un paquet arrive via l'interface VPN :

• port TCP 1001 autorisé
• port TCP 1002 bloqué
• tout le reste autorisé

Pour la plupart des utilisateurs il vaut mieux utiliser exclusivement les règles de "Toutes les interfaces", c'est plus simple