Aller au contenu

Threat Prevention : Aide à l'utilisation


MilesTEG1

Messages recommandés

Bonjour 🙂

J'ai installé le paquet Threat Prevention, et je vous avoue que ce n'est pas limpide d'utilisation pour moi.

Première chose, les MAJ automatiques n'étaient pas activées, donc je suis aller voir, et je ne sais pas quelle différence il y a entre les deux sources de MAJ possibles ?

O17BmhN.png

 

J'ai déjà 6 alertes :
C08I4bF.png

 

Que dois-je faire avec ?
Je voudrais pas bloquer le fonctionnement des appareils...

Merci d'avance pour votre aide 🙂


@Einsteinium @Diabolomagic @cadkey @church @maxou56 @Balooforever

 

Si je clique sur le bouton "Ajouter une stratégie" sur un des évènements j'ai ces possibilités =

oYoHHAJ.png

 

Du coup, y a rien qui indique un blocage ?
Est-ce que Alerte bloque la requète ?
Que fait Ignorer ?
Et Ne rien faire ?
Y-a-t-il une différence entre ces deux derniers ?

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

Alors déjà on active que sur l'interface qu'on utilise, inutile de surveiller des interfaces inutilement, tu peux aussi choisir les appareils et donc retiré ce qui est du type télévision, pont (hue), ne laisser que les ordinateurs, serveurs & mobiles quoi (voir domotique chinoise)

On voit ce que tu as mis en surbrillance, mais aussi plus bas un port scan, je me demande comment tu as ouvert ton nas sur le net pour avoir un scan de port bloqué (Il est en DMZ ? beaucoup de port ouvert ?)

Et open = on a les règles avec un décalage de 30 jours, ce qui est au final pas mal si mal, sa évite des problèmes si une mauvaise règle tombe et qu'il faut attendre le prochain update et mettre une exception. (safe access si tu m'entends 😄 )

Et pro = en temps réel, le prix est prohibitif, vise des sphères au dessus de nous simple mortel 😉

Lien vers le commentaire
Partager sur d’autres sites

Ok, merci pour les précisions.

Alors le NAS n'est pas en DMZ, c'est le routeur lui même qui l'est sur la livebox.
J'ai un AdGuardHome dans un conteneur docker avec une IP macvlan (et une IP virtuelle pour le NAS), et d'autres services en docker.

Dans le routeur je ne forwarde quasi aucun port : seuls les 80, 443 et 6690.
J'ai configuré le parefeu du routeur comme ça :
HMxlIGv.png

 

Sinon dans les paramètres du paquet, je vois ça

5rjayih.png

à quoi correspond le niveau de charge ?

il y a 9 minutes, Einsteinium a dit :

Alors déjà on active que sur l'interface qu'on utilise, inutile de surveiller des interfaces inutilement, tu peux aussi choisir les appareils et donc retiré ce qui est du type télévision, pont (hue), ne laisser que les ordinateurs, serveurs & mobiles quoi (voir domotique chinoise)

Est-ce là que tu retires des périphériques de la protection comme tu le suggères ?

 

Pour les interfaces surveillées, j'ai fait ça : 
6l9fNUw.png

Mais je ne suis pas sur pour le VPN... Pour la 3G/4G, je peux être amené à brancher mon téléphone dessus pour partager sa connexion 4G, donc je laisse activé.

 

 

Voilà, mais surtout, ce sont les évènements détectés qui me font un peu peur.
Et par exemple ça depuis l'iphone de ma femme :

1TZD97T.png

Un peu plus bas dans le détail il y a ça : (ce serait l'application Tous Anti Covid)
JuK4NSq.png

 

 

Mais du coup, que fait le paquet pour ces Alertes ??
Le paquet est transmis, arrêté ?

Je ne comprends pas du tout le fonctionnement...

 

Pour les évènements concernant mon alarme, je pense que c'est pour vérifier mon IP et la transmettre au service car un nslookup sur l'IP renvoie ça : 
YunsxhS.png
Et dans les données utiles je vois mon adresse IP (masquée) :
XwQ6zzj.png

Je pense que c'est pas une menace 😉 
Comment j'ajoute ça en "non menace", liste blanche ou autre ?

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Personnellement lorsque j'ai une alerte qui revient souvent, je vais sur https://www.abuseipdb.com/

et je regarde si l'IP à été signalé un grand nombre de fois et ce qu'il en est. Qui en est propriétaire, etc etc ....

Par exemple concernant l'Iphone de ton épouse, l'adresse IP 148.253.97.86 donne ceci :

2106057847_Capturedcran2021-05-15133736.jpg.5ab02493e990c9fbc3190c67e19cb1a4.jpg

Là on voit bien qu'il n'y a aucun danger, tu peux cliquer sur "ajouter une stratégie" et sélectionner "ne rien faire".

Et ainsi de suite pour le reste, au début c'est chronophage et ça l'est de moins en moins au fur à mesure que tu avances.

Ce site est sympa aussi pour faire des vérifications d'URL : https://www.virustotal.com/gui/

 

Cet article peut aussi t'aider un peu :

https://www.cachem.fr/synology-srm-1-2-threat-prevention/

 

Modifié par Diabolomagic
rajout d'url vers cachem
Lien vers le commentaire
Partager sur d’autres sites

Merci bien 🙂 Je vais aller lire l'article, et je garde les liens en bookmarks ^^

Donc d'après ce que tu dis, "Ne rien faire", ça va laisser passer le traffic/paquet...
Et donc, "Alerte", ça bloque ?? Ou ça fait juste un évènement ?
Et du coup, le "Ignorer", lui bloque vraiment ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Diabolomagic a dit :

Ne rien faire --> laisse passer

Ignorer --> bloque

Mauvaise traduction EN vers FR

Haaaa ! 
Donc de base, tout est ignoré donc bloqué ! Enfin, pour les menaces élevées.
Pour les moyennes, alertes, ça fait rien de particulier sauf faire un évènement (ça nous alerte quoi) c'est ça ?
 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, MilesTEG1 a dit :

J'ai configuré le parefeu du routeur comme ça

Oh la la... quel bordel... déjà faut partir du principe que ton pare feu... c'est pour ce qui rentre de l'extérieur vers ton lan... donc les règles lan ne servent à rien... d'ailleurs par defaut j'espère qui tu as mis en refusé si aucun condition n'est remplie, bref c'est à refaire...

 

Il y a 1 heure, MilesTEG1 a dit :

à quoi correspond le niveau de charge ?

C'est le % de traffic analysé par les appareils... donc la par exemple ton iphone c'est 62% de ton traffic web à lui seul 🙂

 

Il y a 2 heures, MilesTEG1 a dit :

Mais du coup, que fait le paquet pour ces Alertes ??
Le paquet est transmis, arrêté ?

La oui on voit via le détail que c'est tousanticovid, donc "légitime", c'est une suspicion, donc c'est a toi de définir si c'est légitime ou pas derrière.

Il y a 3 niveaux : ne rien faire, alerté et ignoré, dans le cas présent à toi de faire une exception en laissant bien l'ip source, et en vidant la partie locale (comme sa cela inclus tous les appareils du réseau), des fois c'est l'inverse, voir on ne garde que la règle, c'est un petit travail de fond qui ce fait la première semaine.

@Diabolomagic AbuseIP c'est un peu du placébo... il faut savoir que les pays de l'est et du sud loue des serveurs dédibox/ovh... afin de mener leurs attaques en France et cela car de plus en plus de monde place des limites géographique.

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Einsteinium a dit :

Oh la la... quel bordel... déjà faut partir du principe que ton pare feu... c'est pour ce qui rentre de l'extérieur vers ton lan... donc les règles lan ne servent à rien... d'ailleurs par defaut j'espère qui tu as mis en refusé si aucun condition n'est remplie, bref c'est à refaire...

Oui c'est configuré en refusé 🙂

4VUjiuE.png

 

Merci pour les précisions 🙂

Je vais revoir les règles du parefeu aussi.

Par contre, pourquoi je ne vois pas de traces des "attaques" vers mon NAS dans les logs du NAS ?
Le parefeu bloque correctement ? (faut que je mette une capture des règles du parefeu du nas.

Lien vers le commentaire
Partager sur d’autres sites

Tu constates bien via les règles par defaut, que c'est bien un pare feu classique, qui bloc l'entrant et donc le wan entrant, on ne peut pas faire plus parlant.

Le pare feu du nas est comme celui du routeur, un pare feu classique, donc du lan vers lui même, il ne fait que d'ouvrir et fermé des ports en fonction des ip qu'on lui donne.

La ou tread est un parefeu "avancé", il analyse tous les paquets qui rentrent et qui sortent, bloque les ports scans, et j'en passes. (exemple ta une cam chinoise qui communique avec un relais en p2p, tread va le détecté et stopper net la communication, un autres exemple toutes les ip signalés comme dangereuses sont directement bloquées...)

Lien vers le commentaire
Partager sur d’autres sites

@Einsteinium
Donc je vire toutes les règles concernant les IP LAN, c'est ça ? En fait j'ai quasi aucune règle 😄 

6gpv0rk.png
Je ne comprends pas la 1ère qui a été ajoutée par le routeur lui même quand j'ai fait un certificat LE. Pourquoi elle interdit le port LE qui est le 80 : 
o7eivaP.png

Bon ça ne doit plus être trop utile vu que j'ai créé un nom de domaine chez synology pour le VPN et le certificat LE qui y est associée ne semble pas être renouvelé de la même manière que quand j'utilisais mon nom de domaine chez ovh... puisqu'il a pu être fait sans que je doive couper la redirection du port 443 et 80 vers mon NAS...

Qu'en pensez-vous ?

Lien vers le commentaire
Partager sur d’autres sites

Ok merci 🙂

Ça me rassure 😉

 

Petite question (encore une 😉 )
Pour les paquets qui concernent à priori Tous Andti Covid, tu décocherais aussi la case Destination ?

Y50pZ4g.png

 

Parce qu'il semble y avoir pas mal d'IP pour ça... et toutes les avoir risque d'être long...

Mais purée, que ça rame quand on valide une règle personnalisée...

Lien vers le commentaire
Partager sur d’autres sites

@Diabolomagic ha si j'avais une autre question concernant l'attaque bloquée par le TP (Threat Prevention).
Dans l'évènement, il est marqué :
LWu0V8I.png

Du coup faut faire quoi comme vérification ?
Si TP a bien intercepté et bloqué l'attaque, normalement c'est bon, le NAS n'a rien ? Ça n'est pas très rassurant tout ça...

Je suis partagé entre :

  • avant je savais pas, je n'avais pas de crise de panique
  • savoir maintenant ce qui est bloqué, est stressant, surtout de ce dire qu'avant je ne le savais pas 😮 
Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, MilesTEG1 a dit :

Pour les paquets qui concernent à priori Tous Andti Covid, tu décocherais aussi la case Destination ?

Sans problème ! C'est même mieux.

 

il y a 13 minutes, MilesTEG1 a dit :

Q1 - Du coup faut faire quoi comme vérification ?

Q2 - Je suis partagé entre :

  • avant je savais pas, je n'avais pas de crise de panique
  • savoir maintenant ce qui est bloqué, est stressant, surtout de ce dire qu'avant je ne le savais pas 😮 

Q1 - S'il revient trop souvent dans TP, tu peux faire un scan avec malware anti malware + un antivirus du type bitdefender ou kaspersky si tu as un doute sur le périphérique en question.

Q2 - C'est souvent des faux positif, ton stress va s'estomper peu à peu 😈😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Diabolomagic a dit :

Q1 - S'il revient trop souvent dans TP, tu peux faire un scan avec malware anti malware + un antivirus du type bitdefender ou kaspersky si tu as un doute sur le périphérique en question.

Et quand le périphérique est un NAS, on fait comment ?
Car sur mon PC j'ai Bitdefender Total Security 😉 mais pas sur le NAS 😮 

Lien vers le commentaire
Partager sur d’autres sites

J'en ai quand même pas mal.
En tout j'en ai 21 là avec comme destination mon NAS.
Et 28 avec comme ip source celle de mon NAS, et en destination celle de ma livebox, qui n'est même pas dans le même sous-réseau : 192.168.1.1. Je ne me rappelle pas avoir été sur l'interface web de ma LB4... mais le NAS qui veuille y aller... ? o_O Avec en plus le mot de passe en clair dans les Données utiles d'un évènement

Haaaa purée, si je sais !! C'est mon conteneur Telegraf qui va chercher des infos sur la LB4 😄 Purée, la trouille 😱 C'est donc normal ouf 😛 

 

Sinon, par rapport aux alertes de classes moyenne. Est-ce que tu mettrais systématiquement comme ce qui est encadré en rouge ? Ou bien comme en vert (en laissant l'IP source) ? (l'IP de destination était initialement le NAS, mais je laisse vide pour que le blocage soit sur toutes les IP...)

lrfePQa.png

Lien vers le commentaire
Partager sur d’autres sites

Je t'avoue ne pas faire de règles pour les événements de gravité moyen et bas ... 🤐
Je n'ai pas trop bidouiller les règles par défaut. Je ne me penche que sur les détections classées en gravité "haute".

@Einsteinium sera à mon sens de bien meilleur conseil 😉 pour répondre à ta question.

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

@Diabolomagic Merci. Je vais voir ce que dira @Einsteinium🙂


Sinon, petite dernière pour la journée 😉 

J'ai refait les 3 règles du parefeu du routeur qui étaient créées automatiquement par le transfert de port que j'ia donc désactivé afin de pouvoir spécifier sur les ports transférés une zone FRANCE uniquement acceptée :
g8dNOv7.png

Je garde une règle pour autoriser toutes les IP sur les ports 443 et 80 quand j'aurais besoin de renouveler mes certificats (faudra que je pense à SWAG un de ces 4 😄 )

Bref, du coup, même si je sais que les IP FR peuvent être sources d'attaques, je pense limiter ainsi déjà fortement les sources...

Qu'en pensez-vous ?

Merci pour tous vos conseils 😉 et bonne soirée.

Lien vers le commentaire
Partager sur d’autres sites

Tes 2 premières règles ne servent à rien… dans la mesure où tu as mis par défaut refuser sur l’entrant, les seules règles à mettre sont donc des « autoriser »

effectivement ne pas activer l’option de création automatique dans la transmission de port est une bonne chose, cela permet de mettre une filtration géographique à l’entrée du routeur.

Maintenant la plus part des navigateurs, quand on tape un domaine, il passe naturellement au https, désactive le port 80 et tu épargneras 95% d’attaques sur le serveur web.

Pour tread tu n’actives les alertes que sur les menaces « haute », quand tu as des alertes récursives là tu vas voir si c’est légitime ou pas et le cas échéant tu ignores en réglant bien la règles (pas mettre de jocker sur une règle entière pour une ip par exemple… sinon la règle ne protègera plus des vraies attaques le cas échéant…) pour les autres en moyen/bas, de temps en temps consulter et voir ce qu’il ce passe.

En complément je te recommande safe access avec api google, de mettre en dns doh cloudflare family, 😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, Einsteinium a dit :

Tes 2 premières règles ne servent à rien… dans la mesure où tu as mis par défaut refuser sur l’entrant, les seules règles à mettre sont donc des « autoriser »

Bien vu ! 

il y a 18 minutes, Einsteinium a dit :

effectivement ne pas activer l’option de création automatique dans la transmission de port est une bonne chose, cela permet de mettre une filtration géographique à l’entrée du routeur.

J'y ai pensé tout à l'heure en me disant que ce serait chouette de pouvoir choisir que les IP Françaises en autorisées, mais avec les règles créées automatiquement, c'est pas possible... Là j'ai eu l'idée de les supprimer et de les refaire moi-même 😄

il y a 19 minutes, Einsteinium a dit :

Maintenant la plus part des navigateurs, quand on tape un domaine, il passe naturellement au https, désactive le port 80 et tu épargneras 95% d’attaques sur le serveur web.

Effectivement, toutes mes URLs sont en HTTPS sur le port 443. Je désactive le port 80 donc.

Du coup voilà la dernière version 🙂 
9Wuht9m.png

 

il y a 21 minutes, Einsteinium a dit :

Pour tread tu n’actives les alertes que sur les menaces « haute », quand tu as des alertes récursives là tu vas voir si c’est légitime ou pas et le cas échéant tu ignores en réglant bien la règles (pas mettre de jocker sur une règle entière pour une ip par exemple… sinon la règle ne protègera plus des vraies attaques le cas échéant…) pour les autres en moyen/bas, de temps en temps consulter et voir ce qu’il ce passe.

Heu, j'ai pas tout compris (ça doit être l'heure...)
Comment je fais pour n'avoir des alertes que pour les menaces hautes ?
Si je fais ça, je ne verrais plus du tout les menaces moyennes et faibles dans les évènements, non ?

"pas mettre de jocker sur une règle entière pour une ip par exemple"  ??

il y a 23 minutes, Einsteinium a dit :

En complément je te recommande safe access avec api google, de mettre en dns doh cloudflare family, 😉

C'est pas du contrôle parental ça ?
J'ai AdGuard Home déjà qui filtre les DNS, et qui élimine plein de cochoneries (Pub et bien davantage) et filtre plein de requêtes de tracking.
Le Safe Access fait-il déjà cela ? Mieux ? Ai-je intérêt à avoir ça en plus ? 

 

Pfiou, la journée à été riche en nouveautés/découvertes/enseignements pour moi, 
Merci bien pour tous vos conseils, et pour tous ceux à venir 😉

 

@Einsteinium Et pour ça (dessous) ? Tu ferais quoi ?

Il y a 5 heures, MilesTEG1 a dit :

Sinon, par rapport aux alertes de classes moyenne. Est-ce que tu mettrais systématiquement comme ce qui est encadré en rouge ? Ou bien comme en vert (en laissant l'IP source) ? (l'IP de destination était initialement le NAS, mais je laisse vide pour que le blocage soit sur toutes les IP...)

lrfePQa.png

 

 

Je commence à avoir pas mal de lignes maintenant :
5cV19BN.png

1uwaCJN.png

Mais j'ai un peu moins de bazar qui arrive dans les évènements 🙂 

Lien vers le commentaire
Partager sur d’autres sites

Paramètres/notif/avancées et tu ne laisses cocher que les alerte élevés.

Quand je parle de jocker, c’est ne rien mettre en ip source/destination lorsque tu ajoute une stratégie.

Je m’embêtais avant avec un proxy aussi, mais depuis je passes par safeaccess avec une clé api google, dns doh cloudflare family en prime, plus de pub, tranquille quoi.

Pour tread le plus simple, supprime, reboot et remet le en configurant, tu gagneras du temps que tout delete.

A titre d’exemple je n’ai que deux règles, une vis à vis de iTunes et de Windows (update), concernant les alertes je reste Bénin, j’ai des alertes élevés quand madame télécharge sur des ekablog (pensant a un trojan à cause de la requête), je regarde de temps en temps les moyens/bas mais sa reste des pacotilles peu nombreuse, genre 10 max par semaine (ip bloqué sur le port web, via à vis de certificat de site web…) maintenant si tu as beaucoup de bas/moyen… c’est que tu as des applications de « merde » un peu trop indiscrète qu’il est temps de supprimé, via tread tu les découvriras vite 🙂

ps : comme tout pare feu, plus tu as de règles, plus tu surcharges le pare-feu 😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, Einsteinium a dit :

Paramètres/notif/avancées et tu ne laisses cocher que les alerte élevés.

Ok, c'est déjà le cas :
l7YZcBt.png

 

Il y a 7 heures, Einsteinium a dit :

Quand je parle de jocker, c’est ne rien mettre en ip source/destination lorsque tu ajoute une stratégie.

Ok, j'ai compris 🙂

Il y a 7 heures, Einsteinium a dit :

Je m’embêtais avant avec un proxy aussi, mais depuis je passes par safeaccess avec une clé api google, dns doh cloudflare family en prime, plus de pub, tranquille quoi.

Faudra que je creuse ça un jour. Tu ferais pas un petit tuto ?? 😄
Ça ajoute quoi par rapport à AdGuard Home (qui est un équivalent de PiHole, en peut-être un peu mieux ^^)

 

Il y a 7 heures, Einsteinium a dit :

Pour tread le plus simple, supprime, reboot et remet le en configurant, tu gagneras du temps que tout delete.

A titre d’exemple je n’ai que deux règles, une vis à vis de iTunes et de Windows (update), concernant les alertes je reste Bénin, j’ai des alertes élevés quand madame télécharge sur des ekablog (pensant a un trojan à cause de la requête), je regarde de temps en temps les moyens/bas mais sa reste des pacotilles peu nombreuse, genre 10 max par semaine (ip bloqué sur le port web, via à vis de certificat de site web…) maintenant si tu as beaucoup de bas/moyen… c’est que tu as des applications de « merde » un peu trop indiscrète qu’il est temps de supprimé, via tread tu les découvriras vite 🙂

ps : comme tout pare feu, plus tu as de règles, plus tu surcharges le pare-feu 😉

Oué, je vais peut-être faire ça, le supprimer, et le remettre 😉
Mais depuis hier, et les modifications sur les pare-feu, j'ai quasi plus rien qui apparait dans les évènements.  C'est peut-être aussi grace aux différentes règles que j'ai faites...
Je vais voir déjà pour passer en "Joker" toutes celles qui ont une IP. Si c'est trop long/chiant je supprimerai le paquet pour le réinstaller.

Merci pour les conseils en tout cas 👍🏻😇

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.