J'ai beau retourner le problème dans tous les sens je ne vois pas, c'est pourquoi un petit coup de main pour comprendre ce qu'il se passe serait le bienvenue.
J'ai suivi le tuto de @Fenrir concernant la sécurisation de son NAS et j'ai malgré tout encore des alertes (que je ne comprend pas bien, je dois l'admettre) sur Treat Prevention.

On dirait que des scanners de port arrivent à atteindre les ports de mon NAS situé pourtant derriére mon routeur synology. Il n'y a pourtant qu'avec le VPN ou le reverse proxy qu'il est "normalement" possible de l'atteindre.

Concernant mes FW du NAS et ROUTEUR voici deux copies d'écrans :

NAS :

ROUTEUR :

Voilà le type d'alerte que je rencontre de plus en plus souvent vers le NAS (DS416Play-1) :

J'ai essayé de savoir d'ou provenait ces IP avec https://censys.io/ipv4 mais sans comprendre réellement si cela était à prendre au sérieux.

De quoi s’agit-il ? Faux positif ?

Après avoir installé l'IDS sur mon routeur RT1900 ac, je me rends compte que je suis attaqué en permanence et de toute part sur le réseau Free.
Du coup j'ai des messages d'alertes toutes les 10 minutes et le compteur de menace en Low, médium, High est en train d'exploser. 

• Que puis-je faire pour réduire tout ça ? 
• Y a-t-il possibilité de réduire ces attaques un au minimum  ?

Je suis un peu dubitatif. 

• L'Ids ne servirait qu'à prévenir de la menace rien de plus ...? 
• Même en cochant l'option DROP les menaces, quel est son efficacité exactement ? 
• Est-ce que quelqu'un connaît ce paquet ?  

Bonne journée tout le monde. Si jamais des gens connaîtbien ce software et peuvent un peu plus m'expliquer. 

Bonne journée.

Après avoir attendu une année de développement avant de tester le paquet "Intrusion Prévention" des routeurs synology, je me suis lancé il y'a quelques semaines. 

Dans l'ensemble je dois dire que je suis plutôt satisfait de cet outil, ayant très peu "d'alertes de sécurité".  (merci le forum : sans aucun doute  🤫).

Néanmoins et c'est la raison de mon post aujourd'hui, j'ai une alerte récurrente avec la même ip WAN qui semble venir d'Allemagne: 

- ET INFO Observed Let's Encrypt Certificate for Suspicious TLD (.xyz) 

Lorsque j'observe le journal voici ce qu'on trouve : 

L'ip de destination est un laptop (Mac) 

J'utilise évidement des certificats Let's Encrypt pour l'accès à mon NAS et le renouvellement se fait par les 2 ip LE sur le port 80 ouvert en permanence (à ces seules ip).

Les alerte ne semblent survenir que lorsque le laptop est utilisé.

---

Ma question est donc simple : s'agit-il de Let's Encrypt ou bien est-ce malveillant ? Et auquel cas, que puis-je faire pour y remédier? 

-----

Merci d'avance à ceux qui prendront de leurs temps pour me répondre 😉 👍

Voici une alerte que je reçois par mail environ 40 fois par jour si ce n'est plus. Toujours la même IP qui tente d'attaquer mon IP fixe (wan).

J'ai beau l'avoir inscrit dans la liste des IPs bloquées, elle est toujours en train de tenter quelque chose.

On peut y faire quoi svp ?

heureux utilisateur d'un ds216play depuis quelques jours, et alors que le cpu était tous les jours 6/7% , je constate ce matin qu'il est à 57% sans activité. (parefeu non connecté) , je me connecte en ssh et lance la fonction top ..dans la ligne en haut de la fenetre ouverte il est note zombie 1 puis 3 bref de quoi se poser des questions. Je ne vois rien sur le net à ma portée pour donner une explication quant à savoir si à l'insu de mon plein gré mon nas n'est pas passé chez l'ennemi...:)

J'ai connecté connecté le pare feu, puis rebooté le nas. et me reconnecte en ssh, zombie est toujours a 1/2 avec un cpu à 11% ...

idée de ce qui a pu se passer ? 

d'avance merci.

Eric

Depuis hier je reçoit toutes les heures des notifications par email de mon NAS concernant le blocage d'adresse IP externes.

Le blocage auto est activé lorsque plus de 10 tentatives de connexion infructueuses sont effectués sous 5 minutes mais débloquées au bout de 1 jour.

Voici une liste des adresses IPv6 qui ont été bloquées en 2 jours :

• 2a02:1205:34ef:a7f0:7403:1065:7d39:96cc
• 2a02:1205:34ef:a7f0:450a:f0ee:c5e8:2e44
• 2a02:1205:34ef:a7f0:55a:a538:2f2e:525f
• mon ip publique a été bloqué !!!
• 2a02:1205:34ef:a7f0:4893:3aeb:7a27:c73b
• 2a02:1205:34ef:a7f0:887f:276c:3f07:5e80
• 2a02:1205:34ef:a7f0:d574:653b:4b55:57e8

J'ai éteins mon modem pendant 12 heures afin de changer d'adresse IP mais cela n'a eu aucun effet et je me retrouve toujours avec la même...

Le modem dispose d'un pare-feu mais en parcourant les paramètres par défaut de mon Synology je me suis aperçu que l'option Pare-feu n'est pas activé d'origine.

Est-ce réellement efficace et utile d'activer cette option ?

Est-ce que je dois me faire du souci ?