Synology change-t-il discrètement les règles du pare-feu.

[Jeff777]

Bonjour à tous, (titre volontairement provocateur 😏)

J'ai l'habitude de tester de temps en temps mon domaine que j'héberge sur mes nas  avec zonemaster. Normalement je n'ai qu'un "warning" concernant le PTR de mon serveur de nom IPV6 (impossible à configurer chez Free) et une notice concernant DNSSEC (pas possible d'implémenter sur Synology). La dernière vérification datait de mars dernier.

Semaine dernière je découvre une erreur concernant la non-accessibilité de mon serveur de nom en IPV6. Pourtant le domaine fonctionne normalement et d'autres testeurs de domaine confirme qu'il n'y a pas de problème.

J'écris à contact@zonemaster.net et très rapidement j'obtiens une réponse de leur expert qui me demande d'essayer d'autre sites zonemaster (Danemark et Suède) ....effectivement pas de problème sur ces sites; seuls zonemaster.net et zonemaster.fr retournent l'erreur de connexion.

Quelques échanges d'informations plus tard visibles sur github, Mats Dufberg, que je remercie pour sa disponibilité, me dirige vers un expert de l'Afnic en France.

Alex de l'Afnic (que je remercie également) me contacte, et après une série d'échanges et de tests il confirme que quelque chose sur mon réseau doit bloquer les requêtes IPV6 de zonemater.net (ou .fr) .

Je ne pense pas immédiatement à mon pare feu car j'avais déjà fait un test en le désactivant*. Je désactive pi-hole..... ça ne change rien.

Le week-end arrive je refais des tests en désactivant le pare-feu et cette fois-ci le test est positif et le journal de DNS serveur montre bien un échange.

*J'ai découvert que si l'on fait deux tests consécutifs sur zonemaster.fr à moins de 5 minutes c'est le premier résultat qui apparait, même si l'on fait les manips habituelles de vidage de cache.

Sur zonemaster.net c'est 10 minutes. Comme les historiques des deux sites sont distincts on peut jouer avec les deux.

Reste à trouver la ligne bloquante du pare-feu.

J'isole le responsable : l'interdiction des IP provenant de la Fédération de Russie que j'avais ajouté récemment avant la ligne autorisant le port 53.

Effectivement, dans le pare feu Synology, on peut voir les  IP bloquées en cliquant sur le pays concerné. Et je me rends compte que l'IPV6 des sites zonemaster.fr et .net appartiennent bien à ces gammes d'adresses bloquées.

Lundi je refais un test avec le blocage de la Russie (rien à voir avec mon problème mais une nouvelle version de zonemaster est disponible ce jour 😉) et cette fois-ci ça passe !

Et je découvre que les gammes IPV6 interdites par le pare-feu ont changé. Heureusement que j'avais conservé une copie d'écran.

Voir ci-dessous, à gauche semaine dernière, à droite ce lundi :

                          

 

Pas d'information de la part de Synology sur ce changement me semble-t-il. 

Je viens de déposer un ticket.

Modifié le 13 juin 2022 par Jeff777

[PiwiLAbruti]

Comme les bases de données GeoIP ne sont pas figées, les systèmes Synology (plus précisément DSM, SRM, ...) les mettent régulièrement à jour.

Ainsi, on peut se retrouver avec des effets de bord lorsque certains réseaux changent de nationalité.

Dans le cas présent il s'agit d'autre chose car je vois mal un aller-retour (Fr > Ru > Fr) s'effectuer dans un intervalle de temps aussi court, surtout sur un block IPv6.

Soit DSM/SRM s'est emmêlé les pinceaux lors de l'intégration de la base GeoIP, soit la source des données GeoIP était erronée.

Dans les deux cas tu as bien fait d'ouvrir un ticket auprès de Synology.

[Jeff777]

Le 14/06/2022 à 04:07, PiwiLAbruti a dit :

Dans le cas présent il s'agit d'autre chose car je vois mal un aller-retour (Fr > Ru > Fr)

et pourtant :

Modifié le 15 juin 2022 par Jeff777

[Jeff777]

Réponse du support technique (très réactif !) suite à ma demande de complément :

 

Dear customer,

IP assignments are not final and may change for a variety of reasons (like being sold to another company, etc.).

There is also a delay between the release of an updated GEOIP database when and it's availability on our NAS.

That's why we recommend multiple steps to provide efficient security on a NAS.

 

Je ne comprends pas trop ce qu'ils veulent dire par "multiple steps to provide efficient security". Je ne vois pas dans ce cas précis comment faire pour renforcer la sécurité. Si l'on empêche la mise à jour de la base GEOIP cela peut être aussi risqué non?

 

 

[.Shad.]

il y a 17 minutes, Jeff777 a dit :

Je ne comprends pas trop ce qu'ils veulent dire par "multiple steps to provide efficient security". Je ne vois pas dans ce cas précis comment faire pour renforcer la sécurité. Si l'on empêche la mise à jour de la base GEOIP cela peut être aussi risqué non?

Il ne faut surtout pas.
Ce qu'ils veulent dire par là c'est qu'il ne faut pas compter uniquement sur la sécurité offerte par le blocage géo-ip. Et utiliser les multiples couches de sécurité à disposition (VPN, 2FA, etc...).

Ce n'est pas propre à Synology, j'ai le même souci parfois sur pfSense, qui utilise aussi la base GeoIP pour filtrer les requêtes sur mon réseau domestique.

[Jeff777]

il y a 2 minutes, .Shad. a dit :

Ce qu'ils veulent dire par là c'est qu'il ne faut pas compter uniquement sur la sécurité offerte par le blocage géo-ip

Oui je peux bien comprendre cela si le blocage geo-ip laisse passer une adresse mais en l'occurence je ne vois pas ce qui aurait pu éviter le blocage erroné des requêtes de zonemaster. Ou alors il ne faut pas se servir de cette possibilité dans le pare-feu !!

 

[.Shad.]

Rien n'aurait pu l'éviter.
C'est un système utile mais qui a de grosses failles, d'où le fait de ne pas compter "que" là-dessus.
Je pense que c'est ça qu'ils voulaient dire.

[Jeff777]

 

il y a 16 minutes, .Shad. a dit :

ne pas compter "que" là-dessus.

Ouaih...tu veux dire ne pas compter là-dessus  😉