NAStucieux Posté(e) le 10 octobre 2022 Posté(e) le 10 octobre 2022 (modifié) Bonjour, Depuis 1 heure, tentatives de connexion avec des IP du monde entier avec identifiant "admin" ou "administrator". Bien sûr mon compte "admin" est désactivé depuis longtemps, et mes paramètres actuels bloquent toute IP qui se trompe dès la 1ere tentative. Ca me rappelle le mois d'août dernier.... Modifié le 10 octobre 2022 par NAStucieux 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) J'ai pareil depuis hier soir sur 2 NAS différent... Je viens de bloqué tout les pays dans le pare-feu. Cela semble arrêter les attaques: EDIT: Fause alerte, cela continue... Modifié le 11 octobre 2022 par Geoff1330 0 Citer
NAStucieux Posté(e) le 11 octobre 2022 Auteur Posté(e) le 11 octobre 2022 Bonjour, Toujours 2 tentatives de connexion par minute... J'ai aussi essayé de modifier le pare-feu pour n'autoriser que la France, mais les connexions du monde entier continuent 0 Citer
El_Murphy Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Bonjour NAStucieux , Il serait peut être judicieux de completer votre profil de règles du pare-feu . Pour bloquer les requetes venant du monde il faut que la dernière règles soit tous tous tous refuser. exemple : Je vous conseil de suivre la partie Firewall du tuto de Fenris : 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Vos pare-feux sont mal configurés, je ne peux que vous recommander de lire ce tutoriel : Je déconseille fortement de créer des règles dans la section [Toutes les interfaces] (liste déroulante en haut à droite), mais plutôt de les créer pour chaque interface utilisée. Il est inutile de créer des règles de blocage, il est plus efficace d'identifier les sources auxquelles vous voulez autoriser les accès et de créer les règles associées. 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) le pare-feu est configuré depuis des années suite a se tuto... Venir dire qu'il est mal configuré est un peu fort.... de plus, dans le tuto: Citation ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoin Modifié le 11 octobre 2022 par Geoff1330 0 Citer
.Shad. Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Quelques questions à se poser avant : Est-ce que le port SSH de votre NAS est exposé publiquement ? Si oui, est-ce que le combo login/password est assez robuste ? Un paramétrage comme celui de @El_Murphy est ce qu'on attend classiquement sur un NAS, modulo les éventuels services que vous exposeriez publiquement, et dans quelle limite géographique. Pour mon VPS, le port 22 est exposé publiquement, mais ce n'est pas forcément un problème, il leur faut obligatoirement une clé privée dont la clé publique est enregistrée dans le trousseau SSH du VPS. Si on ajoute encore fail2ban à cela, sauf faille béante du paquet SSH, mon serveur ne court strictement aucun risque de ce côté-là. Et votre NAS dispose des mêmes mécanismes de sécurité, si vous les avez configurés, je ne vois pas de raison de s'inquiéter. 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Pour ma part, je pense etre dans le bon depuis le debut SSH est désactivé. Cela n’empêche pas les alertes 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Le tutoriel sur la sécurité date et aurait besoin d'une mise à jour, mais le principal y est. Utiliser des règles dans la partie globale a une incidence sur la sécurité des connexions VPN (d'autres clients du même service VPN peuvent avoir accès au NAS), c'est pour ça que je déconseille son utilisation. Quelle est l'action par défaut pour l'interface LAN ? (à sélectionner dans la liste en haut à droite) Est-ce qu'un client VPN est configuré sur le NAS ? Est-ce que le NAS a une adresse IPv6 publique attribuée ? (autre que fe80::/10) Quel le type des adresses IP signalées ? (IPv4, IPv6) @Geoff1330 Tu autorises tout un pays (la Belgique) à accéder à ton NAS (ce que je ne recommanderais pas non plus). Les adresses signalées sont peut-être également originaires de Belgique. Tu aurais un échantillon des adresses IP bloquées que je fasse quelques vérifications ? 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 @PiwiLAbruti Je n'ai, évidemment, aucune action par défaut pour l'interface LAN (jamais configuré. J'ignorais ce que tu dis par rapport à cela) Même chose pour OpenVPN. Les IP's sont toutes des V4 Voici une liste User [admin] from [220.133.114.62] failed to log in via [DSM] due to authorization failure. User [admin] from [185.49.168.31] failed to log in via [DSM] due to authorization failure. User [admin] from [81.201.58.86] failed to log in via [DSM] due to authorization failure. User [admin] from [124.148.176.86] failed to log in via [DSM] due to authorization failure. User [admin] from [83.52.56.69] failed to lo 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 à l’instant, Geoff1330 a dit : Je n'ai, évidemment, aucune action par défaut pour l'interface LAN Si, en bas de la fenêtre : Si aucune règle n'est remplie : 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 il y a 1 minute, PiwiLAbruti a dit : Si, en bas de la fenêtre : Si aucune règle n'est remplie : "Autoriser l'accés" 😅 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Évidemment... Normalement ça n'a pas d'incidence si une règle de blocage totale est présente dans la section globale, mais dans le doute... 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 à l’instant, PiwiLAbruti a dit : Évidemment... Normalement ça n'a pas d'incidence si une règle de blocage totale est présente dans la section globale, mais dans le doute... Je veux bien le changer, mais n’étant pas chez moi, j'ai peur de ne plus avoir d'accès... Ou je met les règles globale dans LAN? 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Peu importe, pour le moment il faut stopper les tentatives d'intrusion. Ton accès sera autorisé puisque tu te connectes depuis la Belgique (je suppose), donc tu peux bloquer par défaut dans la section LAN. D'après ce constat, le pare-feu est clairement mal configuré : 220.133.114.62 : 🇹🇼 Taïwan 185.49.168.31 : 🇪🇸 Espagne 81.201.58.86 : 🇨🇿 République Tchèque 124.148.176.86 : 🇦🇺 Australie 83.52.56.69 : 🇪🇸 Espagne Est-ce que cette bouse de QuickConnect est activé ? 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) il y a 27 minutes, PiwiLAbruti a dit : Est-ce que cette bouse de QuickConnect est activé ? Non Dans un premier temps, j'ai fait ca pour LAN et VPN On est d'accord que ce n'est pas suffisant, mais avec les doutes, je pense que c'est mieux que rien. Modifié le 11 octobre 2022 par Geoff1330 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 il y a 39 minutes, Geoff1330 a dit : Même chose pour OpenVPN. Il y a donc un client OpenVPN configuré sur ton NAS ? 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) il y a 9 minutes, PiwiLAbruti a dit : Il y a donc un client OpenVPN configuré sur ton NAS ? oui, le openvpn est configuré avec le paquet vpn de synology Je viens, momentanément, de le déactiver. Modifié le 11 octobre 2022 par Geoff1330 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Ok, donc ce n'est pas un client VPN (on va y arriver...). 0 Citer
Geoff1330 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 il y a une heure, Geoff1330 a dit : Dans un premier temps, j'ai fait ca pour LAN et VPN On est d'accord que ce n'est pas suffisant, mais avec les doutes, je pense que c'est mieux que rien. Depuis que j'ai fais cela, il n'y a plus d'attaque. 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Donc ça serait quoi la conclusion ? Qu'une règle "Refuser tout" dans la section [Global] ne servirait à rien ? Je n'ai pas testé, mais si c'est bien le cas, il va devenir urgent de mettre à jour le tutoriel sur la sécurité 😕 Ce n'est pas décrit de manière explicite dans l'aide de Synology : Citation Priorité de la règle de pare-feu : Règles définies dans « Toute l'interface ». Les règles définies dans les interfaces respectives à laquelle la connexion appartient. Les règles par défaut dans les interfaces respectives auxquelles la connexion appartient. Au passage, ta règle manuelle "Refuser tout" dans la section [LAN 1] est inutile si tu as cocher "Refuser l'accès" par défaut (en bas de la fenêtre). 0 Citer
bibou64 Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 il y a une heure, Geoff1330 a dit : Depuis que j'ai fais cela, il n'y a plus d'attaque. Hello, Je ne l'ai pas fait, mais je n'ai plus d'attaque non plus. Je pense que ça a été bloqué à un autre niveau ou stoppé. 0 Citer
Einsteinium Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 @PiwiLAbrutiPour ma part je n’ai jamais utilisé le global, je règle sur chaque interface et aucun soucis. 0 Citer
PiwiLAbruti Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) Il y a 1 heure, PiwiLAbruti a dit : Donc ça serait quoi la conclusion ? Qu'une règle "Refuser tout" dans la section [Global] ne servirait à rien ? Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées. À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330. edit : Ça m'apprendra à faire la moitié des tests 😅 Protocole de test : Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement. Ajouter en-dessous une règle qui bloque tout. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès". Valider les paramètres de pare-feu. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global]. Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut). Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ? Modifié le 11 octobre 2022 par PiwiLAbruti 0 Citer
NAStucieux Posté(e) le 11 octobre 2022 Auteur Posté(e) le 11 octobre 2022 Effectivement, la dernière tentative d'intrusion a été bloquée à 12h57...avant que je ne me mette à essayer de comprendre comment configurer au mieux le pare-feu 😁 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.