Aller au contenu

Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)


Messages recommandés

Oui j'ai mis "authorization failure" en notification. Mais c'est trés rare 1/2 fois par an max, sauf pour les utilisateurs légitimes, là c'est plusieurs fois par semaine (mais avec l'IP c'est facile de le savoir)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, maxou56 a dit :

Il faut le limité à la France par exemple.

Sur les captures

on ne voit pas sur quelle régie c'est la 1 ou la 4 mais c'est pour la planète entière.

 

Sinon pou le pare-feu, plutôt mettre les règles locales en premières, et les autres règles après pour éviter de te bloquer par exemple. 

Un peu quand même (SSH... ouvert pour tout le monde), après ça dépendait ta BOX/Routeur (Régles NAT/PAT, UPNP)

image.thumb.png.196e6c314f7359b99bebf915388e2e08.png

je renvois le tableau complet et plus large, c'est peut être plus claire comme cela ?

Sur la box c'est très limité, 443,5001,7001, 32400

 

il y a 6 minutes, maxou56 a dit :

Oui j'ai mis "authorization failure" en notification. Mais c'est trés rare 1/2 fois par an max, sauf pour les utilisateur légitime là c'est plusieurs fois par semaine (mais avec l'IP c'est facile de le savoir)

OK, bon ba .... j'ai plus qu'a sécurisé encore un peu plus,

merci du retour

 

Dans le 1ere règle effectivement il y avais 22, 5353, 3507

je l'ai désactivé

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

@toutnickel

Bonjour,

Je ne suis pas sûr qu'il faille ouvrir les ports 5001 et 7001 dans le pare-feu de la box. Pour le 5001, il y a même de fortes chance que ce soit l'origine (son ouverture qui permette) les attaques que tu constates.

Cordialement

oracle7😉

 

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, oracle7 a dit :

@toutnickel

Bonjour,

Je ne suis pas sûr qu'il faille ouvrir les ports 5001 et 7001 dans le pare-feu de la box. Pour le 5001, il y a même de fortes chance que ce soit l'origine (son ouverture qui permette) les attaques que tu constates.

Cordialement

oracle7😉

 

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

je teste ...

il y a 6 minutes, toutnickel a dit :

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

je teste ...

testé, ba plus d'accès au NAS

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, MilesTEG1 a dit :

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

oui effectivement, mais là cela me fait changer tous les liens d'accès , 

cela peut se faire bien sûr, là ,  je suis en congé et cela c'est une parti que je verrai quand je serai rentré.

il y a 3 minutes, MilesTEG1 a dit :

@toutnickel Si tu supprimes les redirections de ta box, il est normal que le NAS ne soit plus accessible depuis l'extérieur 🙄

As-tu lu et appliqué le tuto sécurisation ?

 

Sinon Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Incorporated

hello MilesTEG1

c'est tout en Anglais ... si tu vois ce que je veux dire

Lien vers le commentaire
Partager sur d’autres sites

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ).
Après c'est toi qui voit. 
On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet.
On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, toutnickel a dit :

oui effectivement, mais là cela me fait changer tous les liens d'accès , 

cela peut se faire bien sûr, là ,  je suis en congé et cela c'est une parti que je verrai quand je serai rentré.

hello MilesTEG1

c'est tout en Anglais ... si tu vois ce que je veux dire

image.png.333794deb5d54d757aa9282745bb3b03.png

et la il change d'adresse IP a chaque fois , comme je verrouille le cpte Admin au bout de 2 fois et 3 pour l'IP

 

 

Il y a 6 heures, MilesTEG1 a dit :

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ).
Après c'est toi qui voit. 
On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet.
On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, toutnickel a dit :

 

et la il change d'adresse IP a chaque fois , comme je verrouille le cpte Admin au bout de 2 fois et 3 pour l'I

 

Heu tu as le compte « admin » actif ???!!

il y a 25 minutes, toutnickel a dit :

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

🙄 tu n’as pas du bien chercher…

c’est présent depuis un moment…

Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

il y a une heure, toutnickel a dit :

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

Je crains que tu ne m'ai lu en diagonale ...

Je ne t'ai pas parler de supprimer ces redirections mais de NE PAS AUTORISER ces ports dans le pare-feu de la box, ce n'est pas la même chose ! Du coup si tu les supprimes ne t'étonne pas de ne plus avoir accès au NAS depuis l'extérieur.

Normalement tu n'as besoin que de transférer le port 443 (ou un autre comme te l'a suggéré @MilesTEG1) pour ensuite utiliser le reverse proxy sur le NAS qui lui filtrera les URL (avec un domaine) entrantes pour les rediriger vers les applications/services de ton choix en local.

@MilesTEG1 a aussi raison quand il te dit qu'il faut éviter d'accéder à DSM depuis l'extérieur et de réservé cet accès uniquement par le réseau local.

Maintenant c'est toi qui voit et qui reste maître de la sécurité de ton NAS et de tes données ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, MilesTEG1 a dit :

Heu tu as le compte « admin » actif ???!!

Normalement non, mais si l'utilisateur existe, même désactivé, ça indique bien le nom [nom-utilisateur], si l'utilisateur n'existe pas c'est vide [ ].

 

Il y a 18 heures, toutnickel a dit :

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

C'est justement au même endroit.

 

Le 04/08/2021 à 19:06, toutnickel a dit :

OK, bon ba .... j'ai plus qu'a sécurisé encore un peu plus,

merci du retour

 

Dans le 1ere règle effectivement il y avais 22, 5353, 3507

 

Comme dans le tuto tu mets d'abord les plages d'IP locales > Tous > autorisé

Et à la fin Tous > refusé.

Entre les 2 tu mets tes règles perso. Et en les limitant à certaines région du monde, par exemple la france.

Ouvrir le 5001 n'est pas forcément top, mais si tu limites à la France c'est  mieux.

Mais il reste des ports qui n'ont pas besoin d'être ouvert comme "bonjour" (c'est pour le réseau local)...

Ou 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

 

Tu as besoin d'ouvrir les port au monde entier pour tes utilisateurs?

Ou si c'est obligatoire, bloquer certain pays (en premier dans les règles perso mettre par ex chine, russie... tous > refuser)

Ou encore tu peux aussi bloquer préventivement certaines IP déclarer comme dangereuse. voir tuto Blacklist.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

il y a 3 minutes, maxou56 a dit :

et pas c'est parfait

De toutes façons, les malveillants louent maintenant des VM sur des serveurs en France justement pour contourner cette géolocalisation restrictive (lu dans HackMagazine de mémoire).

Mais je suis d'accord , cela limite tout de même un peu ces attaques.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, oracle7 a dit :

@toutnickel

Bonjour,

Je crains que tu ne m'ai lu en diagonale ...

Je ne t'ai pas parler de supprimer ces redirections mais de NE PAS AUTORISER ces ports dans le pare-feu de la box, ce n'est pas la même chose ! Du coup si tu les supprimes ne t'étonne pas de ne plus avoir accès au NAS depuis l'extérieur.

Normalement tu n'as besoin que de transférer le port 443 (ou un autre comme te l'a suggéré @MilesTEG1) pour ensuite utiliser le reverse proxy sur le NAS qui lui filtrera les URL (avec un domaine) entrantes pour les rediriger vers les applications/services de ton choix en local.

@MilesTEG1 a aussi raison quand il te dit qu'il faut éviter d'accéder à DSM depuis l'extérieur et de réservé cet accès uniquement par le réseau local.

Maintenant c'est toi qui voit et qui reste maître de la sécurité de ton NAS et de tes données ...

Cordialement

oracle7😉

@oracle7

@MilesTEG1

Bonsoir,

- oui en plein dedans --> https://www.cachem.fr/nas-synology-stealthworker/

- Ha oui pardon, effectivement j'ai compris redirection, mais je ne vois pas ou je peux supprimer ces ports dans le pare feu de la box (freebox Delta)

- le reverse proxy c'est juste pour accéder aux appli ex : audio.mondomaine.synology.me , ca c'est ok bien compris et testé

- pour l'accès a DSM,  là,  je suis en vacances et j'ai donc besoin d'y accéder, donc pas le choix. et j'y accède souvent en dehors de mon réseau local, au retour, je vais modifier le port et le rediriger sur le port local 5001 mais comme je suis en vacances c'est pas le moment de couper la branche sur laquel je suis assis lol 

- comment faire pour limiter les réseaux indiqués uniquement a la France ? ceux là y sont déjà, non ??

est ce que c'est mieux ainsi ?

image.png.08ab5e420db620800a61e7fa4c802395.png

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, toutnickel a dit :

oui cpte Admin en désactivé, il faut que je le supprime ?

Non (on ne peut pas, juste le désactiver), c'était pour répondre @MilesTEG1 si le compte existe (même désactivé) ça indique le non du compte dans les logs, si il n'existe pas c'est vide [ ].

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, toutnickel a dit :

- le reverse proxy c'est juste pour accéder aux appli ex : audio.mondomaine.synology.me , ca c'est ok bien compris et testé

Ce n'est pas que pour accéder aux applications... Ça peut aussi servir pour accéder à un site internet hébergé sur le NAS, un serveur Plex (docker), etc...

 

Il y a 7 heures, toutnickel a dit :

- pour l'accès a DSM,  là,  je suis en vacances et j'ai donc besoin d'y accéder, donc pas le choix. et j'y accède souvent en dehors de mon réseau local, au retour, je vais modifier le port et le rediriger sur le port local 5001 mais comme je suis en vacances c'est pas le moment de couper la branche sur laquel je suis assis lol 

C'est sûre...
Mais... tu devrais changer le port par défaut en commençant d'abord par router le nouveau port dans la box, et ensuite tu modifies dans DSM. Puis quand tu as vérifié que ça fonctionne, tu supprimes la redirection du port 5001, et là tu n'auras probablement plus ces attaques.

Ensuite, faudra que tu mettes en place le serveur VPN du NAS auquel tu te connecteras pour accéder à DSM, sans passer par le port ouvert de ta box, que tu pourras alors supprimer (la redirection dans la box).

Il y a 7 heures, toutnickel a dit :

- comment faire pour limiter les réseaux indiqués uniquement a la France ? ceux là y sont déjà, non ??

est ce que c'est mieux ainsi ?

image.png.08ab5e420db620800a61e7fa4c802395.png

Les règles locales doivent être placées en 1er.
Sinon, ça me semble OK si tu n'as pas besoin d'ouvrir davantage de port sur la France. D'ailleurs, quels sont les services de la ligne n°3 de ta capture ?
Perso, je sépare en plusieurs lignes les différents services.
Voilà mes règles : 
t3Le0YH.png

  • Les deux 1ères lignes : pour le LAN et les réseaux de mes conteneurs.
  • 3ème et 4ème lignes : port 80 et 443 ouvert pour la France
  • 5ème ligne : Idem pour Drive server
  • 6ème : idem pour Plex (mais là c'est davantage pour mon LAN car depuis internet le port 32400 n'est pas ouvert ni routé sur le routeur...)
  • 7ème : ouvre le port 443 pour toutes les IP, cette règle est là pour que certains services fonctionnent car je ne sais pas quelles IP sont utilisées (par exemple pour les serveurs de Plex ou autre... faudrait que je désactive pour voir si ça déconne ou pas 😮 )
  • Lignes 8 à 10 : ce sont les IP du support Synology, quand ils ont du accéder à mon NAS pour vérifier un soucis de partitions (voir ce message posté sur le forum)
  • dernière ligne : on refuse tout ce qui n'a pas été autorisé précédemment.

Sur mon routeur, j'ai à peu près la même chose, mais en plus simple :
mQKG6hY.png

Car je ne laisse passer que ce qui arrive sur le port 443 (et 6690).
J'ai laissé des règles désactivées au cas-où j'en ai besoin à nouveau plus tard.

Dans ce routeur (un RT2600AC), je ne transfère que les port 443 et 6690 vers le NAS 😉 .

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, toutnickel a dit :

Question : vaut il mieux modifiez les ports 5000 / 5001 d'accès a DSM local et extérieur par ex 37500 37501 ou juste l'accès externe et rediriger vers le local 5000 et 5001

À priori juste changer le port ouvert sur l'extérieur devrait suffire.
Moi j'ai un NAS Synology depuis 2012, donc je traine un héritage difficilement changeable maintenant 😄 Je change direct les ports par défaut de toutes les applications installées avec DSM 😄 

Par contre, n'ouvre pas le port HTTP de DSM, juste le HTTPS, tu n'as normalement pas besoin du HTTP si tu accèdes bien en HTTPS.

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 @MilesTEG1

Encore un GRAND merci a vous pour votre aide,
je n'ai plus d'attaque suite aux modifs, OUFF !

il me reste encore quelques modifs pour que tout soit plus claire et plus propre ...

 

@MilesTEG1

- la règle indiquée dans le tuto de sécurisation mais pas dans ta copie d'écran : 10.0.0.0 sert a quoi ?

- a ta question 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

j'ai suivi la recommandation de oracle7

Toujours dans le pare-feu tu autorises le sous-réseau local 192.168.0.0 alors que précédemment dans une copie d'écran pour une redirection du reverse proxy tu pointes sur une @IP du sous-réseau 192.168.1.0.
De plus, pour ce sous-réseau 192.168.0.0 tu as mis un masque de 255.255.0.0 ce qui autorise 65534 @IP/machines possibles, tu as vraiment besoin d'autant d'@IP pour tes périphériques ?
Ne serait-il pas mieux d'utiliser un masque 255.255.255.0 qui lui, n'autorise que 254 machines ?

 

- j'ai vu que tu avais  2 règles HTTPS, reverse proxy pour, une pour  "tous et une autre pour "France"

 

je vous souhaite une excellente journée, je vais pouvoir partir a la plage tranquille , Lol

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, toutnickel a dit :

- la règle indiquée dans le tuto de sécurisation mais pas dans ta copie d'écran : 10.0.0.0 sert a quoi ?

Cette règle si que n’ai pas mis c’est pour le VPN car par défaut OpenVPN sera sur ce réseau. Mais j’ai configuré pour qu’il soit sur 192.168.10.x.

il y a 6 minutes, toutnickel a dit :

- a ta question 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

Tu peux suivre la recommandation de @oracle7. Faudrait que je réduise la plage d’ip autorisée à ce niveau là, mais ça va m’obliger à mettre une ligne de plus pour le réseau VPN en 192.168.10.x.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.