Aller au contenu

Nouvelle attaque force brute ?


NAStucieux

Messages recommandés

Bonjour,

Depuis 1 heure, tentatives de connexion avec des IP du monde entier avec identifiant "admin" ou "administrator".

Bien sûr mon compte "admin" est désactivé depuis longtemps, et mes paramètres actuels bloquent toute IP qui se trompe dès la 1ere tentative.

Ca me rappelle le mois d'août dernier....

Modifié par NAStucieux
Lien vers le commentaire
Partager sur d’autres sites

Bonjour NAStucieux , 

 

Il serait peut être judicieux de completer votre profil de règles du pare-feu .

Pour bloquer les requetes venant du monde il faut que la dernière règles soit tous tous tous refuser.

exemple :

firewall.PNG.8ab554474e09a9288d43307713982dfc.PNG

 

Je vous conseil de suivre la partie Firewall du tuto de Fenris :

 

Lien vers le commentaire
Partager sur d’autres sites

Vos pare-feux sont mal configurés, je ne peux que vous recommander de lire ce tutoriel : 

Je déconseille fortement de créer des règles dans la section [Toutes les interfaces] (liste déroulante en haut à droite), mais plutôt de les créer pour chaque interface utilisée.

Il est inutile de créer des règles de blocage, il est plus efficace d'identifier les sources auxquelles vous voulez autoriser les accès et de créer les règles associées.

 

Lien vers le commentaire
Partager sur d’autres sites

le pare-feu est configuré depuis des années suite a se tuto...

Venir dire qu'il est mal configuré est un peu fort....

 

de plus, dans le tuto:

Citation

ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoin

 

Modifié par Geoff1330
Lien vers le commentaire
Partager sur d’autres sites

Quelques questions à se poser avant :

  • Est-ce que le port SSH de votre NAS est exposé publiquement ?
  • Si oui, est-ce que le combo login/password est assez robuste ?

Un paramétrage comme celui de @El_Murphy est ce qu'on attend classiquement sur un NAS, modulo les éventuels services que vous exposeriez publiquement, et dans quelle limite géographique.

Pour mon VPS, le port 22 est exposé publiquement, mais ce n'est pas forcément un problème, il leur faut obligatoirement une clé privée dont la clé publique est enregistrée dans le trousseau SSH du VPS.
Si on ajoute encore fail2ban à cela, sauf faille béante du paquet SSH, mon serveur ne court strictement aucun risque de ce côté-là.

Et votre NAS dispose des mêmes mécanismes de sécurité, si vous les avez configurés, je ne vois pas de raison de s'inquiéter.

Lien vers le commentaire
Partager sur d’autres sites

Le tutoriel sur la sécurité date et aurait besoin d'une mise à jour, mais le principal y est. Utiliser des règles dans la partie globale a une incidence sur la sécurité des connexions VPN (d'autres clients du même service VPN peuvent avoir accès au NAS), c'est pour ça que je déconseille son utilisation.

Quelle est l'action par défaut pour l'interface LAN ? (à sélectionner dans la liste en haut à droite)

Est-ce qu'un client VPN est configuré sur le NAS ?

Est-ce que le NAS a une adresse IPv6 publique attribuée ? (autre que fe80::/10)

Quel le type des adresses IP signalées ? (IPv4, IPv6)

@Geoff1330 Tu autorises tout un pays (la Belgique) à accéder à ton NAS (ce que je ne recommanderais pas non plus). Les adresses signalées sont peut-être également originaires de Belgique.

Tu aurais un échantillon des adresses IP bloquées que je fasse quelques vérifications ?

Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbruti

Je n'ai, évidemment, aucune action par défaut pour l'interface LAN (jamais configuré. J'ignorais ce que tu dis par rapport à cela)

image.png.d092e98adeaceb84fe7c554f4d1ae4a2.png

Même chose pour OpenVPN.

Les IP's sont toutes des V4

 

Voici une liste

User [admin] from [220.133.114.62] failed to log in via [DSM] due to authorization failure.
User [admin] from [185.49.168.31] failed to log in via [DSM] due to authorization failure.
User [admin] from [81.201.58.86] failed to log in via [DSM] due to authorization failure.
User [admin] from [124.148.176.86] failed to log in via [DSM] due to authorization failure.
User [admin] from [83.52.56.69] failed to lo

 

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, PiwiLAbruti a dit :

Évidemment...

Normalement ça n'a pas d'incidence si une règle de blocage totale est présente dans la section globale, mais dans le doute...

Je veux bien le changer, mais n’étant pas chez moi, j'ai peur de ne plus avoir d'accès...

Ou je met les règles globale dans LAN?

Lien vers le commentaire
Partager sur d’autres sites

Peu importe, pour le moment il faut stopper les tentatives d'intrusion.

Ton accès sera autorisé puisque tu te connectes depuis la Belgique (je suppose), donc tu peux bloquer par défaut dans la section LAN.

D'après ce constat, le pare-feu est clairement mal configuré :

  • 220.133.114.62 : 🇹🇼 Taïwan
  • 185.49.168.31 : 🇪🇸 Espagne
  • 81.201.58.86 : 🇨🇿 République Tchèque
  • 124.148.176.86 : 🇦🇺 Australie
  • 83.52.56.69 : 🇪🇸 Espagne

Est-ce que cette bouse de QuickConnect est activé ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, PiwiLAbruti a dit :

Est-ce que cette bouse de QuickConnect est activé ?

Non

Dans un premier temps, j'ai fait ca pour LAN et VPN

image.png.b586824f6b4fe42a155729a64a9aa871.png

On est d'accord que ce n'est pas suffisant, mais avec les doutes, je pense que c'est mieux que rien.

Modifié par Geoff1330
Lien vers le commentaire
Partager sur d’autres sites

Donc ça serait quoi la conclusion ? Qu'une règle "Refuser tout" dans la section [Global] ne servirait à rien ? Je n'ai pas testé, mais si c'est bien le cas, il va devenir urgent de mettre à jour le tutoriel sur la sécurité 😕

Ce n'est pas décrit de manière explicite dans l'aide de Synology :

Citation

Priorité de la règle de pare-feu :

  1. Règles définies dans « Toute l'interface ».
  2. Les règles définies dans les interfaces respectives à laquelle la connexion appartient.
  3. Les règles par défaut dans les interfaces respectives auxquelles la connexion appartient.

 

 

Au passage, ta règle manuelle "Refuser tout" dans la section [LAN 1] est inutile si tu as cocher "Refuser l'accès" par défaut (en bas de la fenêtre).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, PiwiLAbruti a dit :

Donc ça serait quoi la conclusion ? Qu'une règle "Refuser tout" dans la section [Global] ne servirait à rien ?

Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées.

À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330.

edit : Ça m'apprendra à faire la moitié des tests 😅

Protocole de test :

  1. Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement.
  2. Ajouter en-dessous une règle qui bloque tout.
  3. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès".
  4. Valider les paramètres de pare-feu.
  5. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global].

Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut).

Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ?

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.