Failles De S

[ludo71]

En me baladant sur le net à la recherche d'infos sur les synos, je suis tombé sur cet article d'un blog anglais plutôt alarmant.

Peut-être que certains d'entre vous avaient déjà eu écho de ces problèmes ? L'auteur souligne que la situation restait inchangée au mois de Septembre 2008. Je ne sais pas si Synology ont amélioré ça depuis. Cependant, l'auteur n'a pas l'air de considérer l'utilisation d'un firewall ce qui peut expliquer que nmap voit l'ensemble des ports comme ouverts ?

Si quelqu'un a de meilleures explications pour nous rassurer .

http://isisblogs.poly.edu/2008/04/04/multi...ology-products/

[ludo71]

Pour les ports ouverts j'avais déjà vérifier avec nmap (on y retrouve comme tu le dis ceux que je forwarde par ma livebox) mais il est vrai que la vérification des journaux est vraiment une chose à faire pour remarquer quelque chose d'anormal !

[pegasus]

OK avoir un grand nombre de ports ouvert est un mauvais point. Cependant vu le nombre de service proposé par Synology il n'est pas possible de faire autrement, et d'ailleurs avec un NAS à tout faire est plutôt intéressant.

Le problème selon moi est plus lié aux applicatifs derrière ces ports. Les applicatifs (packages) installés ne sont pas toujours les versions les plus à jour et par conséquent ne corrige pas forcément les failles de sécurité.

J'ai réalisé des tests sur le service web (port TCP/80) avec un outil de scan des vulnérabilités web sur Mac (pas le meilleur mais un indicateur) et certaines failles sont belles et bien présentes.

Parfois une simple vulnérabilité peut conduire à un accès total type root, et par conséquent remettre complètement en question l'intégrité du système.

Par conséquent je serais rassuré de voir Synolgy implémenter les packages les plus up to date. Surtout en ce qui concerne les ports type HTTP / SMTP.

Une authentification par certificats clients sur l'admin HTTPS serait un plus également !

A+ Yannick

[DidierA]

Je pense que le problème de sécurité n'est pas à prendre à la légère : de nombreux utilisateurs stockent des données tout-à-fait privées et ouvrent de très nombreux accès publics sur leur NAS, attirés (avec raison) par les très nombreuses fonctionnalités offertes, même si le produit est un NAS et pas un serveur web. Ceci dit, Synology s'est visiblement engagé à corriger un certain nombre de problèmes : il serait bienvenu que quelqu'un de (plus) compétent (que moi) en sécurité repasse le syno au crible pour mettre à jour "l'audit" de dguido. Pour ma part, mon utilisation de nmap et nessus reste assez rudimentaire et mécanique.