Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour à tout le monde

J'ai un Nas synology DJ218 depuis quelques temps. Au moment de l'installation, j'ai suivi divers tuto pour bien configurer le parefeu bloquer les connexions de chine russie , n'autoriser que la france, désactivation du compte admin etc

Je pensais avoir bien sécuriser mon Nas. Mais je viens de me rendre compte depuis cet été, que des adresses ip tentent continuellement d'accèder à mon compte admin. Il y a 2 tentatives et cela change de IP et cela toute la journée. J'ai éteint mon serveur pdt 24H pour voir si ca calmait le truc mais pas du tout (avec le recul c'était un peu naif mais bon 🙂 )

J'avais plusieurs questions.

1 est ce que le fait d'avoir désactiver le compte admin, me protège indéfiniment contre ces attaques?

2 comment faire pour ne avoir ces tentatives de connexion toute la journée?

3 mon serveur est un serveur perso pour garder et avoir accès à mes dossiers perso. il n'est pas associer à un site ou je ne sais quoi. Comment ont ils pu vouloir d'attaquer à mon serveur qui n'a aucun intéret pour quiconque à part moi et quelques proches? comment ont ils trouvé l'adresse?

 

Je remercie ceux qui auront du temps à consacrer à mes petites questions

Je vous souhaite à tous une bonne journée

 

Anneso

 

 

 

 

Modifié par annesoso
Posté(e)

Les adresses IP sont scannées en permanence, donc pas de surprise de ce coté.

Si une adresse a des ports ouverts -comme ici le ftp semble-t-il- les méchants essaient.

Pour solutionner ça, ne pas utiliser le compte admin est une première bonne réponse.

Personnellement, j’éviterais d'ouvrir le port ftp (qui n'est pas un protocole très sûr) et j'utiliserais plutôt le VPN du Syno.

Autre chose, activer l'auto blocage des adresses IP.

Enfin, si c'est faisable, avoir une liste d'adresses autorisées.

Posté(e)

jComme les IP changent tout le temps j'ai mis un blocage après 2 tentatives. mais effectivement cela ressemble à ce que je recois.

merci pour ta réponse 🙂

Il y a 18 heures, ml78 a dit :

Personnellement, j’éviterais d'ouvrir le port ftp (qui n'est pas un protocole très sûr) et j'utiliserais plutôt le VPN du Syno.

Autre chose, activer l'auto blocage des adresses IP.

Enfin, si c'est faisable, avoir une liste d'adresses autorisées.

Merci de ta réponse

je n'ai pas activé le ftp car pas d'utilité ds mon utilisation.

pour les adresses autorisées cela me parait compliqué car des membres de ma famille ont accès a certains dossiers. mais ils ne se connectent pas toujours du mm endroit (dc sauf erreur de ma part mais leur IP risque de changer, mais peut etre me trompe-je)

Conclusion : j'ai bien fait de bloquer mon compte admin.  dc je vais me fier à ce que vous me dites, je ne m'inquiète pas de ces tentatives de connexion

 

merci à vous 2.

Posté(e) (modifié)

Sois juste sûr d'avoir bien défini les règles du pare feu et dans le bon ordre.
Tu as un pare feu dans le Syno mais également un dans ton routeur.
Tu ne dois avoir que les ports utiles d'ouverts sur ton routeur pour maximiser ta securité.

Modifié par cadkey
Posté(e)

Quand je vois les logs de @bliz, il y a quand même un minimum à assurer avec une limitation géographique.

187.188.201.104 > Mexique

Limitez au moins les accès au(x) pays strictement nécessaire(s), ça élimine déjà plus de 99% des tentatives.

Posté(e) (modifié)
il y a 28 minutes, PiwiLAbruti a dit :

Quand je vois les logs de @bliz, il y a quand même un minimum à assurer avec une limitation géographique.

187.188.201.104 > Mexique

Limitez au moins les accès au(x) pays strictement nécessaire(s), ça élimine déjà plus de 99% des tentatives.

j ai limité a la france dc je pensais etre tranquille mais finalement pas tant que ca 🙂

merci pour ta réponse 🙂

il y a 35 minutes, cadkey a dit :

Sois juste sûr d'avoir bien défini les règles du pare feu et dans le bon ordre.
Tu as un pare feu dans le Syno mais également un dans ton routeur.
Tu ne dois avoir que les ports utiles d'ouverts sur ton routeur pour maximiser ta securité.

je pense avoir fait ce qu'il fallait mais comme j'avais un doute je préférais avoir l'avis de personnes plus aguérries 🙂

merci de ta réponse 🙂

 

Modifié par annesoso
Posté(e)
il y a 12 minutes, bliz a dit :

l'origine de l'accès de ton nas, n'as pas d'importance selon moi, car les français, pour ce genre de connexion, ne sont pas les derniers.

Il y a une tout de même une différence entre du trafic indésirable bloqué en amont (avec un pare-feu par exemple) et ce même trafic bloqué en aval après avoir atteint les services concernés. De plus, si le service devient vulnérable (faille de sécurité, vulnérabilité, ...), il sera beaucoup moins sensible à la compromission qu'un service totalement exposé.

Bref, c'est un peu la base en sécurité.

Posté(e) (modifié)
Il y a 2 heures, bliz a dit :

l'origine de l'accès de ton nas, n'as pas d'importance selon moi, car les français, pour ce genre de connexion, ne sont pas les derniers.

oui mais ils sont moins vicieux.....à moins qu'ils ne soient moins bien équipés 🤣

Personnellement j'ai eu récemment des attaques similaires aux tiennes sur Mail Plus.  Là ça semble difficile de fermer les ports en permanence à moins de renoncer à l'utiliser.

J'ai regardé d'où venait l'attaque et ai interdit la provenance (Chine) ....plus d'attaque. J'ai déjà fait la même chose il y a un an avec des attaques venant d'USA, j'ai rétabli l'autorisation au bout de quelques mois sans problème.

C'est sûr que si un jour ça vient de France je serai plus gêné.😉

Modifié par Jeff777
Posté(e)
il y a 9 minutes, bliz a dit :

Si tu ferme les ip par exemple américains, pourra t on aller sur google ?

Je m'en fiche j'évite de l'utiliser dans la majorité des cas et je fais confiance à  Qwant.

En tous cas quand je dis que j'avais interdit les IP USA c'était uniquement pour les ports de MailPlus, ça n'empêche donc pas de faire des recherches avec Google 😉

Posté(e)

En fait je me sers peu de MailPlus pour le moment. C'est un projet que je n'ai pas encore mis en oeuvre. Je note ta remarque Merci !

Posté(e)
Il y a 2 heures, bliz a dit :

Maintenant, question, si on utilise le proxy du nas, directory server, ect... Si tu ferme les ip par exemple américains, pourra t on aller sur google ?

Oui car le trafic est uniquement bloqué dans le sens entrant.

Pour ce qui est d'ouvrir des accès lorsqu'on se trouve à l'étranger, le VPN est une bonne solution. Ça permet de faire les réglages nécessaires de n'importe où si besoin. C'est d'ailleurs le seul service totalement ouvert chez moi avec SMTP (tcp/25).

Posté(e)

Bien sûr que c'est de l'entrant, et c'est bien parce que c'est une usine à gaz que ce service n'est que très peu ciblé par les détections (ISAKMP sur udp/500). Je n'utilise que du L2TP/IPSec car c'est natif sur la grande majorité des systèmes et donc peu contraignant à configurer et à utiliser.

La limitation géographique diminue drastiquement les tentatives de connexion. Je vais même bien plus loin que ça en n'autorisant que certaines plages IP des opérateurs que j'utilise.

Par exemple, les services mail client (IMAP sur tcp/993 et SMTP sur tcp/587) ne sont accessibles que depuis le réseau 37.160/12 (Free Mobile). Je n'ai jamais vu une seule détection provenant de ce réseau.

Je n'essaye pas de te convaincre que c'est la meilleure façon de sécuriser des accès. Ce que je décris là arrive bien après l'utilisation de mots de passe forts à durée de vie limitée et du blocage automatique des échecs de connexion. Et la notion de sécurité devient complètement subjective à partir d'un certain seuil qu'on a tous les deux atteint 😉

Posté(e)

En appliquant les recommandations données par @Jeff777 et @PiwiLAbruti et celles données sur les tuto sécurisation :

et

 

car j'ai un routeur synology derrière ma Livebox.

Et donc depuis plusieurs années, je n'ai plus de tentative de connexion provenant d'attaques.

Je n'ai que le port 443 et le 6690 pour drive sync qui sont ouverts et routé sur mon NAS.

Lorsque je suis en dehors de chez moi, tout (sauf les connexions à Drive depuis les applications desktop) passe par le reverse proxy de mon NAS : accès à plex, à l'interface web de Drive, mon Gitea, Vaultwarden, Photos, et Surveillance station. 

Si je veux accéder au reste comme DSM, AdGuardHome, Portainer, Grafana, Tautulli, etc... si je ne suis pas chez moi, je passe par le serveur VPN de mon routeur (VPN Plus Server) qui est un peu plus fourni en possibilités que celui du NAS.
Pour le VPN, je passe principalement par L2TP quand je suis sur mon Mac, des fois SSL VPN (propre au VPN du routeur SYnology), ou OpenVPN. Mais L2TP est plus facile d'accès sur mon mac.
Par contre sur mon iPhone, c'est plutôt SSL VPN, voir des fois OpenVPN. J'ai aussi configuré le L2TP, mais là c'est SSL VPN qui est le plus facilement accessible.

Ces configurations VPN ont nécessités un peu de travail pour que tout fonctionne bien, mais une fois que c'est fait, plus de soucis ^^

Par contre, pour faire cela, il faut un nom de domaine. Synology en fourni un gratuitement via le panneau de configuration :
oBWGglO.png

Tu peux bien sûr avoir le tien à toi, par exemple OVH, avec un DynHOST.

 

 

Posté(e)
il y a 46 minutes, bliz a dit :

t'inquiete, je ne le prend pas mal, au contraire, j'aime ce genre de discussion, cela permet d'élargir le point de vue. Pour l'usine à gaz, je parlais de la configuration des points géographique à exclure.

Pour ce point, le plus simple reste de n'autoriser que la France et divers autres pays nécessaires, et de refuser toutes connexion autres.
Ça fait moins de manipulation que de cocher tous les pays à exclure 😄 

il y a 48 minutes, bliz a dit :

Mais je suis d'accord avec toi, si on s'en sert pas, il ne faut pas ouvrir. Je dit juste, que l'on doit faire attention à pas fermer par exemple les pays américains et vouloir se servir de gmail. Perso, ce qui compte pour moi, c'est les services rendu et avenir qui compte. Et l'avenir est difficile à prévoir, donc je ne ferme pas par géolocalisation, sauf cas particulier ou je veux par exemple fermer un vpn qui me sert de communication avec un autre nas géolocalisé ailleurs. Mais cela reste des cas particulier

Attention tu confonds les connexions initiées depuis ces pays avec les connexions vers ces pays que tu inities toi depuis un ordinateur ou un nas.
Pour le premier cas, ces connexions sont bloquées si le pays n'est pas autorisé, mais pour le second cas, tu peux quand même utiliser gmail et companie malgré que les USA soient bloqués.

Posté(e) (modifié)

Il est contre-productif de faire de l'exclusion géographique (ça n'a même aucun sens). Il est beaucoup plus efficace de n'ouvrir que pour le pays de résidence et d'autres pays dans lesquels on se rend régulièrement. En sécurité on ne commence à faire de l'exclusion (liste noire) que lorsqu'il n'est pas possible de passer par une inclusion (liste blanche).

⬆️ Grillé par @MilesTEG1

Mon serveur reçoit bien les mails de n'importe quel expéditeur (heureusement, c'est un peu le but), il faut pour cela n'ouvrir que le port SMTP tcp/25 (communications entre les MTA) au monde entier. Toutes les tentatives de connexions authentifiées (même avec des identifiants valides) sur ce port se solderont par un échec (considéré comme SMTP relay). On peut voir toutes ces tentatives dans MailPlus Server > Audit en cours > Journal de sécurité.

Les ports IMAP tcp/993 et SMTP tcp/587 ne servent que pour les clients mail (MUA), d'où leur restriction au strict minimum.

 

Modifié par PiwiLAbruti
Grillé par @MilesTEG1
Posté(e)
il y a 5 minutes, PiwiLAbruti a dit :

Il est contre-productif de faire de l'exclusion géographique (ça n'a même aucun sens). Il est beaucoup plus efficace de n'ouvrir que pour le pays de résidence et d'autres pays dans lesquels on se rend régulièrement.

C’est ce que je disais en moins bien dit certes 😇

Posté(e)

En gros, tu autorises uniquement ce que tu as besoin, et ta dernière règles (celle tout en bas), doit tout refuser partout.
C'est comme ça que ça se configure.
Si tu ne mets pas cette dernière règle, tu auras beau n'autoriser que ce que tu veux, la connexion que tu voudrais refuser se fera quand même car elle n'aura valider aucune des règles présentes dans la liste.
Le parefeu va lire les règles de haut en bas, et à la première règle satisfaite (que ce soit une autorisation ou un refus) le parefeu s'arrêtera, il n'ira pas voir les suivantes.
Et ainsi de suite pour toutes les connexions entrantes.

Posté(e) (modifié)
il y a 25 minutes, bliz a dit :

Bon, dans le tuto, à la fin de la ligne du parefeu, c'est bien une exclusion ?

oui il me semble que c'est la bonne pratique : faire des règles d'autorisation de connexion et si rien n'est satisfait exclure avec une dernière règle qui refuse tout.

Edit Ah @MilesTEG1 avait tout dit 😉

Modifié par Jeff777
Posté(e)
il y a une heure, bliz a dit :

Moi, ce que je dit, c'est que je part en voyage, et je me vois mal configurer le parefeu pour autoriser l'acces à ce pays ou je vais, puis l'interdire à mon retour.

Je ne vois pas ce qu'il y a de compliqué à configurer. Et même sans y penser, il suffit de laisser un accès VPN actif pour faire la modification à distance si nécessaire.

Posté(e) (modifié)

Si je ne me trompe, le fonctionnement du Pare feu est le suivant:
La première regle est lue, si elle s'applique, les regles suivantes ne sont pas lues.
Sinon passage à la 2eme regle meme logique, 3eme regle, etc.
Et enfin la dernière regle bloque tout, cari tout ce qui arrive à cette regle n'était pas autorisé par les regles précédentes.

Donc on autorise avec une ou plusieurs regles, et la dernière regle du Pare feu bloque tout.

Modifié par cadkey

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.