Comportement du compte admin désactivé

[StéphanH]

Mes deux NAS (DS218+ et DS718+) sont en DSM 7.2

Le compte admin est désactivé dans les deux cas.
Le pare-feu est réglé de la même façon sur les deux NAS.

Le journal du DS718+ mentionne de très nombreuses  tentatives de connexion sur le compte admin
Le journal du DS218+ n'a aucune tentative sur admin.

je croyais que les tentatives d'accès sur un compte désactivé n'étaient pas loguées dans le journal. vous confirmez ? mon compte admin serait "mal" désactivé ?
Toutes les tentatives proviennent d'IP françaises (donc autorisées dans mon pare-feu . je ne me souvenait pas avoir cela il y a encore quelques mois. Faites vous le même constat ?
 

 

[maxou56]

Il y a 5 heures, StéphanH a dit :

je croyais que les tentatives d'accès sur un compte désactivé n'étaient pas loguées dans le journal.

Bonjour,

Les comptes désactivés ou fictifs, sont bien affichés dans le journal.

Par exemple avec "toto" (j'ai pas de compte toto 😃 )

Modifié le 1 juin 2023 par maxou56

[StéphanH]

Merci @maxou56

Effectivement, j'ai  confirmé entre temps avec un compte temporaire ...

du coup, je suis très étonné de voir que sur mes deux NAS (tous les deux derrière une Fibre Orange, avec la même config NAT / Pare-feu)

Le DS718+ est bombardé de tentatives sur le compte admin mais également root/SSH
Le DS218+ n'a strictement rien dans ses logs.

[Mic13710]

C'est que les hackers en herbe ne se sont pas encore intéressés à ton 218.

Perso, je n'ai pas de tentatives suspectes sur les comptes admin de tous les NAS dont je m'occupe, ce qui ne présage en rien que ça ne puisse pas arriver un jour. Et il n'y aurait rien d'anormal puisque ces NAS sont ouverts vers l'extérieur. Mais je suis serein : le compte admin est désactivé et le parefeu fait son boulot en bloquant le malotru qui se présente sans y être invité. Après, on n'est pas à l'abri d'une faille de DSM que certains pourraient exploiter.

[MilesTEG1]

@StéphanHil faudrait regarder les réglages de tes pare-feu.

et aussi , ton 718 et ton 218 sont-ils accessibles de la même manière sur internet ?

ou bien y en a t’il un qui fait reverse proxy ?

Il faut investiguer car ça n’est pas normal ce que tu décris .

je suis dans le même cas que @Mic13710: nas accessible pour pleins de services sur internet mais 0 tentatives sur le compte admin ou un autre.

regarde déjà ce qu’il en est du port ssh : est il ouvert sur le net ? Si oui c’est une bine mauvaise idée … 

je reviens à ce que j’ai dit juste avant : pare-feu ! Montre nous leur configuration.

[StéphanH]

Les deux configurations sont identiques.

Les Box NAT les ports dont j'ai besoin (en IPv4 et v6).

Le compte admin est désactivé

Le port SSH (pas le 22, un port personnel) est ouvert temporairement pour les besoins d'un ticket ouvert au support Synology.

Les deux pare-feu ont cette config (je suis au courant pour SMB ...)

[Mic13710]

@StéphanH ton parefeu est pour le moins étrange.

Il me semblait que tu avait un VPN entre tes NAS. Or je ne vois pas de règle autorisant les IP en 10.x.x.x

C'est quoi ce port 445 ?

Ensuite, la règle 445 qui refuse tout ne sert à rien puisque tu filtres juste avant toutes les adresses qui viennent de France. Avec cette règle, les autres provenances sont implicitement rejetées.

Il manque la règle de blocage finale qui refuse tous les ports de toutes les provenances

 

[MilesTEG1]

@Mic13710 Ses règles de parefeu sont en effet un peu étranges.
Mais il n'a pas besoin de dernière règle refusant tout sur tout car il est dans une interface spécifique, et tout en bas il a coché "Refuser l'accès" si aucune règle n'est remplie.

[Mic13710]

il y a 8 minutes, MilesTEG1 a dit :

il n'a pas besoin de dernière règle refusant tout sur tout

J'avais bien vu qu'il était sur le paramétrage du LAN1 qui propose cette option par défaut. Néanmoins, deux précautions valent mieux qu'une, et en la mettant systématiquement, ça évite de l'oublier 😉. Mais tu as raison, elle n'est pas indispensable dans le cas présent.

@StéphanH pour continuer avec les étrangetés, la dernière règle ouvre tout grand les vannes pour tous les pays de ta liste. Là je pense que tu pourrais être plus restrictif en autorisant l'accès seulement à certains ports.

[StéphanH]

Merci pour vos réponse.

Mon VPN n'est pas en 10.x.x.x mais en 192.168.2.x (mes deux LAN sont en 192.168.0.x et 192.168.1.x)

445, c'est le port SMB (seul SMB3 est autorisé). Je ne l'autorise que pour la France.

Les autre ports sont ouverts sur la France, les US (exclusivement pour Lets Encrypt), et Taïwan (exclusivement lorsqu'un accès support syno est en cours, ce qui est le cas).
Je pourrai effectivement n'autoriser le port 80 (lets Encrypt) qu'aux US

A noter que mes Box filtrent les ports unitaires dont j'ai besoin (mais ne sait pas filtrer les pays). et ce en IPv4 et IPv6

[Mic13710]

J'avoue ne pas comprendre l'ouverture du port 445.

Si c'est pour des échanges entre tes NAS à travers le VPN, alors la première règle suffit.

[StéphanH]

Je me sers beaucoup de l’accès à mes dossiers depuis mes iMachin, en SMB (bien mieux intégré que WebDAV).

le seul client VPN implémenté par defaut dans les iMachin est L2TP IPSEC … qui n’aime pas IPv6 (sur le réseau Orange, IPv6 est privilégié)

d’où l’ouverture du 445

[PiwiLAbruti]

La version du protocole IP (4 ou 6) utilisée pour communiquer ne dépend que de l'adresse de l'hôte auquel on souhaite se connecter :

Si on spécifie une adresse IPv4 ou un nom se résolvant uniquement en IPv4, alors seul IPv4 sera utilisé. 

[StéphanH]

Tu veux dire qu'en désactivant IPv6 du NAS hôte (ou de la Box l'hébergeant), mon iPhone et son IPv6 pourra ouvrir un tunnel L2TP ?

[PiwiLAbruti]

Pas du tout. À aucun moment je n'ai parlé de désactiver quoi que ce soit 🤔

Quelle adresse est configurée dans ton client VPN ?

Si c'est une adresse IPv4 ou un nom se résolvant uniquement en IPv4, le client utilisera IPv4 uniquement. Ce qui ne posera donc aucun problème avec L2TP IPsec.

[MilesTEG1]

Pour information, je peux connecter mon mac sur le vpn L2TP (sur mon routeur synology) via le partage de connexion 4G de mon smartphone qui possède une ipv6.

mon routeur est derrière une Freebox Pop qui elle aussi possède une ipv6.

le routeur en possède donc forcément une musique je l’ai configuré en relais ipv6 pour pouvoir bénéficier de OQEE sur mon AppleTV.

 

bref tout ça pour dire que la connexion au VPN  en L2TP fonctionne même s’il y a dès ipv6.

par contre j’ai une ipv4 full stack sur ma connexion internet .

Et sinon le smb ça n’est pas vraiment sécurisé, non ?

donc l’ouvrir sur internet ne me parait pas du tout une bonne idée…

[StéphanH]

Il y a 5 heures, PiwiLAbruti a dit :

Pas du tout. À aucun moment je n'ai parlé de désactiver quoi que ce soit 🤔

Quelle adresse est configurée dans ton client VPN ?

Si c'est une adresse IPv4 ou un nom se résolvant uniquement en IPv4, le client utilisera IPv4 uniquement. Ce qui ne posera donc aucun problème avec L2TP IPsec.

Le DDNS Synology enregistre systématiquement une IPv4 et une v6 pour chacun de mes NAS.
Donc, lorsque je configure mon DDNS dans le fichier de conf d'OpenVPN, j'ai l'impression qu'il essai uniquement de se connecter en IPv6.

Si je remplace le DDNS par l'IPv4 publique, ça passe.

Il y a 5 heures, MilesTEG1 a dit :

Pour information, je peux connecter mon mac sur le vpn L2TP (sur mon routeur synology) via le partage de connexion 4G de mon smartphone qui possède une ipv6.

mon routeur est derrière une Freebox Pop qui elle aussi possède une ipv6.

le routeur en possède donc forcément une musique je l’ai configuré en relais ipv6 pour pouvoir bénéficier de OQEE sur mon AppleTV.

 

bref tout ça pour dire que la connexion au VPN  en L2TP fonctionne même s’il y a dès ipv6.

par contre j’ai une ipv4 full stack sur ma connexion internet .

Et sinon le smb ça n’est pas vraiment sécurisé, non ?

donc l’ouvrir sur internet ne me parait pas du tout une bonne idée…

Je n'ai pas essayé de puis longtemps, mais lors du passage du réseau Orange Mobile de v4 en v6, mon VPN L2TP a refusé de fonctionner. Mais c'était il y a longtemps...
Pour SMB3, je mesure peut être mal le risque. Mais il me semble qu'avec un mot de passe robuste, je ne prends pas plus de risque qu'un accès DSM Https.
Mais il est vrai que j'ai beaucoup de tentatives de connexion loguées (à priori en SMB1 ?)

[PiwiLAbruti]

Il y a 10 heures, StéphanH a dit :

Le DDNS Synology enregistre systématiquement une IPv4 et une v6 pour chacun de mes NAS.

C'est donc là qu'est le facteur limitant.

[MilesTEG1]

Pas sûr que ce soit ça qui coince...
Sur mon RT (Synology je reprécise, avec SRM 1.3....) j'ai configuré le DDNS synology pour le VPN Plus Server que j'ai installé dessus.
Et bien ce ndd obtient bien une adesse IPv4 et une IPv6 :

Je ne sais pas si sur DSM la gestion est différente, mais mon RT qui est en DMZ de la freebox possède bien les deux types d'adresses IP.

En revanche, pas mon NAS car j'ai désactivé l'IPv6 partout où je le pouvais dans le LAN.

[StéphanH]

Mais pourquoi cherchez vous absolument à désactiver IPv6 ?

Je suis plus dans une optique où il faut trouver le bon paramétrage pour que ça cohabite.

Et visiblement, cela gêne aussi le support Syno qui a du mal à comprendre 

[MilesTEG1]

Il y a 2 heures, StéphanH a dit :

Mais pourquoi cherchez vous absolument à désactiver IPv6 ?

Alors dans le LAN, ça cause bien plus de soucis qu'autre chose... Donc perso, je désactive l'IPv6. Sauf dans un cas particulier où je crois que je n'ai pas la possibilité de le faire : l'appleTV pour l'application OQee. C'est d'ailleurs pour cette dernière que mon routeur est relais IPv6 de la freebox. Sinon j'aurais aussi coupé l'IPv6 sur la connexion internet du routeur, enfin je veux dire que je n'aurais pas mis le RT en relais.

Pour internet, là je laisse comme c'est.

Et preuve que ça fonctionne bien 😉

L'autre raison, c'est que j'ai énormément de mal à assimiler les notions concernant l'IPv6... Je n'ai rien trouvé sur le net qui vulgarise le sujet suffisamment, ni trop pour que je puisse comprendre comment je peux affecter une IPv6 aux appareils sans les rendre vulnérables sur internet puisqu'en v6 il n'y a pas de port forwarding...