Bonjour,
J'aimerais savoir si certains d'entre vous auraient par hasard quelques astuces pour tromper la plupart des tentatives de connexion au DSM et autres accès aux services du NAS.
Je ne suis pas novice en matière d'administration de serveur web mais je suis quand même assez loin d'être un expert, d'autant plus que ce n'est pas mon domaine de prédilection.
Donc, j'aimerais, pour me rassurer avant tout, éviter de constater les nombreuses tentatives de connexions quotidiennes.
Avant de mettre en route mon NAS fraichement acquis, je n'avais pas idée du nombre de tentatives belliqueuses que l'on pouvait recevoir en une journée seulement. C'est en voyant que j'obtenais pas moins de 10 tentatives/jour en moyenne que j'ai rapidement décidé de faire quelques changements dans ma configuration.
Donc, ayant quelques notions en matière de sécurité informatique, j'ai pris le parti de ne pas utiliser les ports standard pour le HTTP et pour le reste.
Cette solution semble relativement efficace puisque les tentatives se sont réduites à 1 seule sur plusieurs jours. Mais bon, vu les ports que j'utilise, inutile de préciser que cela a dû nécessiter un scan de ports préalable...
Bref ! Je n'avais plus franchement mis le nez dans ce genre de problématique depuis des années et je me rends compte que ça s'est bien accentué mais bon, rien de très étonnant finalement.
C'est pourquoi, sachant que pour retarder l'effraction, une fois les recommandations standards appliquées, il faut s'attacher à brouiller les pistes, j'ai donc entamé quelques recherches dans ce domaine.
Tout d'abord, je viens de modifier la page 404 de façon à ne plus faire apparaître Synology dedans. Ben oui ! Pourquoi ne pas fournir l'ensemble des caractéristiques du NAS aussi tant qu'on y est. Ma page 404 est à présent une page parfaitement laconique, qui n'indique que le principal "Erreur 404". Bon, en réalité c'est moyennement efficace puisque j'ai mis un accès via HTTPS uniquement et que le certificat par défaut mentionne Synology... Je n'ai pas encore pris de certificat SSL car je n'ai pas de nom de domaine qui m'appartienne (pour le moment), je me contente du reverse DNS de Free puisque c'est mon fournisseur.
Il n'a pas été simple de configurer tous les services web en HTTPS, tout en faisant en sorte que le NAS reste accessible de l'extérieur. Et mon problème à présent, c'est que je vais devoir faire un peu machine arrière, notamment pour remettre le port HTTPS standard (443) sur ma configuration de Freebox. Avec un port non standard, il n'est pas toujours possible, depuis l'extérieur, d'accéder à un serveur web, FTP ou autre, selon le réseau à partir duquel on tente de se connecter. C'est notamment le cas dans l'entreprise où je travaille puisque je ne peux pas accéder à mon NAS personnel étant donné que la politique de sécurité du réseau empêche les requêtes sortantes sur des ports non conventionnels. Du coup, c'est un peu dommage.
Donc, voilà ma problématique pour le moment est de repasser sur des ports standards mais en faisant en sorte que la page de login ne soit plus accessible de façon automatique. J'ai notamment pensé à faire en sorte que pour l'obtenir, il faudrait fournir un paramètre tout à fait spécifique dans l'url, pour que celle-ci veuille bien s'afficher. Cela nécessiterait de modifier le fonctionnement par défaut de l'accès au DSM et autres services et donc, je me demandais si c'était faisable et de quelle manière précisément ?
Quelqu'un saurait-il me dire ce qu'il en pense, voire de m'indiquer d'autres techniques plus appropriées ?
Merci d'avance pour vos suggestions.