Aller au contenu

Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)


Messages recommandés

@MilesTEG1

Bonjour,

il y a 5 minutes, MilesTEG1 a dit :

Faudrait que je réduise la plage d’ip autorisée à ce niveau là, mais ça va m’obliger à mettre une ligne de plus pour le réseau VPN en 192.168.10.x.

Certes, mais cela aurait l'avantage d'être explicite. Maintenant c'est toi qui voit ...🤣

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Salut @adelac

Si cela peut te rassurer, je me suis "amusé" de mars 2018 à octobre 2020 à référencer toute les adresses IP des attaques sur le compte admin désactivé dans les 38 nas que je supporte.

Les modèles vont de DS216 à des 415, 418, 918, etc. J'ai référencé les différences de config, les versions DS, quickconnect activé ou pas etc etc, sans y trouver un quelconque point commun

Les origines des ip (selon www.ip-adress.com) varient entre la Russie, Singapour, les US ou encore la Chine. Certains NAS ont eu plus de 10 attaques en une journée.

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

C'est la meilleures des configuration que j'aie trouvé.

Belle journée à toi. Yves

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, YvesBert a dit :

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

 

Attention toutefois à bien mettre la règle qui bloque tout en tout dernier 😉 
mais sinon c'est une excellente technique que j'ai appliquer ^^

il y a une heure, oracle7 a dit :

Certes, mais cela aurait l'avantage d'être explicite. Maintenant c'est toi qui voit ...🤣

Oué oué oué 😄
Mais du coup, me faudra 3 lignes en tout 🤪
une pour mon LAN : 192.168.2.0/24
une pour le LAN de ma box 192.168.1.0/24 (mais là, peut-être que seule l'IP de la box suffirait ? Qu'en penses-tu @oracle7 vu que tu es dans une configuration très similaire à la mienne de ce coté là (LB4 -> RT2600AC -> Swtich(s) / LAN.))
et une dernière pour le VPN :  192.168.10.0/24

Et en fait je me dis que j'ai aussi dans le RT un réseau wifi invité entre 192.168.3.10 et 192.168.3.20 quand je l'active. Faut-il que je les rajoute ? 
À la réflexion, non, car je n'ai pas besoin que les invités accèdent au NAS s'ils se connectent en wifi...
Et certains sont sur mon LAN principal car ils castent sur ma TV...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, MilesTEG1 a dit :

Attention toutefois à bien mettre la règle qui bloque tout en tout dernier 😉 
mais sinon c'est une excellente technique que j'ai appliquer ^^

@MilesTEG1Ta réflexion m'interpelle.  Est-ce à dire que si je le place en tête des règles, plus rien en dessous ne sera pris en compte ?  Ou dans l'autre sens, si je veux rajouter une nouvelle règle, cela signifie que je dois supprimer la règle de tout-tout-tout, faire ma nouvelle règle, puis recréer ma règle tout-tout-tout ??

Lien vers le commentaire
Partager sur d’autres sites

@YvesBert

Le parefeu Synology (NAS, Routeur), (pour les autres marques je ne sais pas), fonctionne en mode descendant : la dernière règle de la liste (la plus basse) étant la dernière règle appliquée, après chacune des précédentes.

Exemple :

  • Règle n°1
  • Règle n°2
  • Règle n°3
  • Règle n°4 : interdisant tout

Les règles sont lues et appliquées dans l'ordre descendant. La dernière bloque tout.

Mais si tu fais ça :

  • Règle n°1
  • Règle n°2 : interdisant tout
  • Règle n°3
  • Règle n°4

Les règles n°3 et n°4, quoiqu'elles autorisent ne servent à rien car la n°2 interdit tout.

Et pas besoin de tout supprimer quand tu veux ajouter une règle après-coup, tu n'as qu'à les glisser avec les trois traits de gauche :
pvS4iCF.png

 

En fait c'est bien décrit en bas de la zone du pare-feu 😮 

Lien vers le commentaire
Partager sur d’autres sites

@YvesBertle parefeu applique les règles à la suite. La vérification s'arrête lorsqu'une règle s'applique. S'il rencontre une règle qui stoppe tout, il n'ira pas plus loin puisque par définition cette règle s'applique dans tous les cas. Ce qui suit ne sera pas testé.

Si vous voulez ajouter une règle, il faut la placer avant celle du refus. Inutile d'effacer la règle du refus, vous pouvez déplacer les règles directement dans le parefeu.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour compléter le message de @Mic13710

Si il n'y a pas de règle Tous > Tous > Refuser à la fin de "toutes les interfaces" ou si c'est vide le pare feu continuera et interrogera les règles des différentes interfaces. Donc bien cocher "si aucune règles n'est remplie: refuser l'accès" (= Tous > Tous > Refuser) pour chaque interfaces.

Lien vers le commentaire
Partager sur d’autres sites

Ce thread mériterait d'aboutir sur un tutoriel dédié à la configuration du pare-feu. Le tutoriel Sécuriser les accès à son NAS (rubrique Sécurité > Pare-feu) est déjà assez explicite sur le sujet même s'il est très dense à suivre pour un utilisateur novice.

Contrairement au tutoriel, je préconise de créer des règles pour chaque interface utilisée et de n'en mettre aucune dans Toutes les interfaces (ou alors pour du blocage ciblé). C'est même obligatoire pour ceux utilisant un client VPN sur leur NAS (autoriser des réseaux privés entrants sur une interface VPN, dont 10/8, c'est vraiment mal).

On pourrait aussi y expliquer comment identifier les plages d'adresses des opérateurs pour restreindre les accès au minimum nécessaire (comme 37.160/12 pour Free mobile, par exemple). C'est toujours plus efficace que d'exposer des services à la France entière.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, maxou56 a dit :

Si il n'y a pas de règle Tous > Tous > Refuser à la fin de "toutes les interfaces" ou si c'est vide le pare feu continuera et interrogera les règles des différentes interfaces. Donc bien cocher "si aucune règles n'est remplie: refuser l'accès" (= Tous > Tous > Refuser) pour chaque interfaces.

Tiens avec ce que tu dis sur les différentes interfaces (LAN1, LAN2, ... VPN),  j'ai regardé, et sur chacune de ces interfaces j'ai ça : "Si aucune règle n'est remplie : ☑️Autoriser l'accès" de cochée.
DfnoupG.png

Est-ce qu'il est préférable de laisser ainsi ? Ou bien de mettre sur Refuser ?
Sachant que j'ai une dernière règle dans "Toutes les interfaces" qui est sur Refuser pour Tous :
TrWBErN.png

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1 Sachant que tu as déjà une règle qui est systématiquement satisfaite dans la zone "Toutes les interfaces", les règles dans les zones des interfaces ne seront jamais vérifiées. Donc peu importe.

L'idéal est de déplacer recréer toutes les règles (sauf celle qui bloque tout) dans la zone de l'interface concernée, activer "Refuser l'accès", et supprimer toutes les règles dans la zone "Toutes les interfaces".

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, PiwiLAbruti a dit :

@MilesTEG1 Sachant que tu as déjà une règle qui est systématiquement satisfaite dans la zone "Toutes les interfaces", les règles dans les zones des interfaces ne seront jamais vérifiées. Donc peu importe.

Ok, c'est bien ce qu'il me semblait ^^

il y a 1 minute, PiwiLAbruti a dit :

L'idéal est de déplacer recréer toutes les règles (sauf celle qui bloque tout) dans la zone de l'interface concernée, activer "Refuser l'accès", et supprimer toutes les règles dans la zone "Toutes les interfaces".

😅😥😭 J'avais du tout supprimer et tout refaire pour suivre le tuto sécurisation 😅
Et je t'avoue que je préfère tout avoir sur la même page qui d'ouvre par défaut au chargement du pare-feu... déjà que c'est chiant sur DSM comparé à SRM, où il faut cliquer davantage pour accéder aux règles...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai aussi des attaques depuis la fin juillet. J'ai suivi une bonne partie des contremesures présentées ici et dans le tuto de sécurisation du nas.

Les attaques sont tout de même assez pertinentes :

- je recevais une attaque toutes les 5-10min provenant de n'importe quel pays. J'ai fait du blocage auto sur 1 tentative. Ai reçu une liste de 200-300 ip, plus d'attaque, puis une et à nouveau c'est reparti au même rythme.

- j'ai alors restreint les pays, même topo puis une attaque a suffit à faire recommencer les autres

- restriction hier soir sur la france. Une attaque puis à nouveau que des attaques depuis la france, logique mais que des ip française qui insistent (il n'y en avait quasiment jamais avant dans les jours précédents)

- changement du port dsm ce matin sur le routeur >OK

Bref, il suffit qu'une attaque repère le nas pour qu'ensuite les attaques se dirigent intelligemment depuis le bon endroit.

Surprenant !

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@professeurtiti

Bonjour,

Ce sont TOUS les Nas Synology qui sont attaqués dès lors qu'une faille de sécurité est détectée.

https://www.cachem.fr/nas-synology-stealthworker/

Synology cherche mais je crains qu'ils ne peuvent pas grand chose sauf à préconiser les contremesures de base que tout un chacun devrait avoir déjà mises en place : https://www.synology.com/en-global/company/news/article/BruteForce/Synology® Investigates Ongoing Brute-Force Attacks From Botnet

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

bonjour,
j'ai reçu cette nuit ce message provenance de @news.synology.com

 

synology
 
2190_banner.png
 
5 astuces pour protéger votre NAS
 
Notre équipe de sécurité a observé une augmentation du nombre d'attaques par force brute contre les systèmes d'authentification dans le monde entier. Ces attaques se servent de nombreux dispositifs infectés par des logiciels malveillants pour tenter de deviner les mots de passe administratifs et, si elles réussissent, accèdent au système et installent une charge utile malveillante.
 
Les attaques par force brute sont des attaques relativement courantes et impliquant très peu d'efforts, qui sont faciles à déjouer. Veillez à appliquer ces mesures simples pour assurer la sécurité de votre système.
 
 
1. Changez votre mot de passe d'administrateur en un mot de passe plus fort.
 
Les mots de passe forts sont constitués d'au moins 10 lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Évitez à tout prix les mots de passe courants ou les mots, car ces derniers sont vulnérables aux attaques par force brute. Ne réutilisez jamais les mots de passe. Cette précaution permet de réduire le nombre de services potentiellement affectés par une fuite de mot de passe. Vérifiez si vos informations d'identification ont fait l'objet d'une fuite en utilisant des services de contrôle fiables.
Songez à utiliser un gestionnaire de mots de passe tel que C2 Password pour simplifier la gestion des identifiants et créer des mots de passe uniques et forts en quelques secondes. Pour plus de sécurité, définissez des règles de syntaxe et des dates d'expiration pour les mots de passe dans DSM. En savoir plus
 
2. Activer le blocage automatique et la protection des comptes dans DSM
 
Le blocage automatique protège votre NAS en bloquant automatiquement les adresses IP qui effectuent un certain nombre de tentatives de connexion infructueuses. Parallèlement, la protection du compte a pour fonction de verrouiller votre compte DSM si ce dernier enregistre un certain nombre de tentatives de connexion infructueuses. Activez les deux paramètres dans le panneau de configuration DSM. En savoir plus
 
3. Désactiver SSH/telnet lorsqu'il n'est pas en service.
 
SSH et telnet peuvent permettre à des personnes mal intentionnées d'accéder à votre système si elles parviennent à obtenir votre mot de passe. Désactivez SSH/telnet lorsque vous ne les utilisez pas. En cas de nécessité absolue, assurez-vous de définir un mot de passe fort et de modifier le port SSH par défaut (22) pour plus d'obscurité. En savoir plus
 
4. Désactiver les services non utilisés
 
Les services supplémentaires et les paquets installés (surtout s'ils proviennent de tiers) élargissent la zone d'attaque potentielle. Effectuez des audits réguliers pour savoir quels services, paquets, conteneurs et MV ne sont plus utilisés et désactivez-les ou supprimez-les.
 
5. Mettez à niveau vers DSM 7.0 et tirez parti des nouvelles fonctionnalités de sécurité*
 
DSM 7.0 apporte plusieurs améliorations dans le domaine de la sécurité. L'une d'elles est l'application Secure SignIn, qui vous permet de vous connecter à votre NAS Synology avec une authentification pratique à deux facteurs. DSM 7.0 prend également en charge les clés de sécurité matérielles compatibles avec FIDO2 pour une sécurité maximale. En savoir plus
 
 
Quelle est l'étape suivante ?
 
Vous souhaitez obtenir d'autres conseils pour assurer la sécurité de votre NAS Synology ? Consultez les articles et les pages ci-dessous :
 
10 conseils de sécurité pour garder vos données en sécurité
 
Lisez notre blog détaillé pour plus d'informations et de conseils pour garder votre NAS Synology à l'abri des menaces extérieures. En savoir plus
 
Mettez en place une stratégie de sauvegarde 3-2-1
 
Les documents importants et les souvenirs précieux doivent être protégés au mieux. Protégez vos appareils professionnels et personnels avant qu'il ne soit trop tard. En savoir plus
 
Protection complète des infrastructures informatiques
 
Protégez votre entreprise en sauvegardant tous vos terminaux, machines virtuelles et applications SaaS à l'aide des outils de protection des données de Synology. En savoir plus
 
Protégez votre réseau avec un accès VPN
 
La tunnelisation de tout le trafic extérieur vers votre réseau domestique ou d'entreprise à travers un VPN est un excellent moyen de protéger les appareils de l'Internet. Vous possédez un routeur Synology ? Pourquoi ne pas essayer VPN Plus gratuit ! En savoir plus
 
*DSM 7.0 pour FS, SA, XS / XS +, et les séries DVA sera publié au 4ème trimestre 2021
 
Community       Blog
2019_enews_social_icon_facebook.png   2019_enews_social_icon_twitter.png   2019_enews_social_icon_youtube.png
 
Se désinscrire   Modifier les paramètres   Termes et conditions   Politique de confidentialité
Copyright © 2021 Synology Inc. Tous les droits sont réservés.
 
Lien vers le commentaire
Partager sur d’autres sites

@Antimousse Moi aussi, même email 😉

Il y a 2 heures, oracle7 a dit :

Ce sont TOUS les Nas Synology qui sont attaqués dès lors qu'une faille de sécurité est détectée.

Tous les NAS Syno sont susceptibles d'être attaqués. 
Y a pas si longtemps c'était les QNap via une faille de sécurité, plus difficilement contrable, à moins d'une MAJ du service défaillant.
Là pour nos Syno, c'est du brute force, plus facile de s'en prémunir ^^
Mais ça n'enlève pas du tout la gravité et l'ampleur de ce qui se passe actuellement 😕 

j'ai par acquis de conscience tenté de me connecté avec le compte admin pour voir si j'avais bien une alerte :
v6R38gS.png

Ouf, c'est bien le cas.

Donc pour le moment, j'ai pas été la cible de ces attaques... 😅

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, oracle7 a dit :

Ce sont TOUS les Nas Synology

Bonjour,

Je crois que c'est même toutes machine linux avec le compte admin (root??) d'activé.

Citation

Ces attaques exploitent un certain nombre d'appareils déjà infectés pour essayer de deviner les informations d'identification administratives courantes et, en cas de succès, accéderont au système pour installer sa charge utile malveillante, qui peut inclure un ransomware. Les appareils infectés peuvent mener des attaques supplémentaires sur d'autres appareils basés sur Linux, y compris le Synology NAS.

https://www.synology.com/en-global/company/news/article/BruteForce/Synology® Investigates Ongoing Brute-Force Attacks From Botnet

 

La dernière phrase explique pourquoi une partie des attaques sont mes depuis des appareils sous DSM 6.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 06/08/2021 à 12:04, YvesBert a dit :

Salut @adelac

Si cela peut te rassurer, je me suis "amusé" de mars 2018 à octobre 2020 à référencer toute les adresses IP des attaques sur le compte admin désactivé dans les 38 nas que je supporte.

Les modèles vont de DS216 à des 415, 418, 918, etc. J'ai référencé les différences de config, les versions DS, quickconnect activé ou pas etc etc, sans y trouver un quelconque point commun

Les origines des ip (selon www.ip-adress.com) varient entre la Russie, Singapour, les US ou encore la Chine. Certains NAS ont eu plus de 10 attaques en une journée.

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

C'est la meilleures des configuration que j'aie trouvé.

Belle journée à toi. Yves

C'est bien comme ça que le NAS est paramétré. Merci.

 

Toujours dans le domaine de la protection, je n'arrive pas à comprendre la protection de compte dans "Sécurité/Compte/Protection du compte" : où définit-on les clients fiables et non fiables ?

Pour l'instant, pour les clients non fiables j'ai 5 tentatives sous 1 minute et annulation 30 minutes plus tard ; pour les clients fiables j'ai 10 tentatives sous 1 minute et annulation 30 minutes après.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.