Eliminer Au Maximum Les Tentatives De Connexion

[Hexagone]

Bonjour,

J'aimerais savoir si certains d'entre vous auraient par hasard quelques astuces pour tromper la plupart des tentatives de connexion au DSM et autres accès aux services du NAS.

Je ne suis pas novice en matière d'administration de serveur web mais je suis quand même assez loin d'être un expert, d'autant plus que ce n'est pas mon domaine de prédilection.

Donc, j'aimerais, pour me rassurer avant tout, éviter de constater les nombreuses tentatives de connexions quotidiennes.

Avant de mettre en route mon NAS fraichement acquis, je n'avais pas idée du nombre de tentatives belliqueuses que l'on pouvait recevoir en une journée seulement. C'est en voyant que j'obtenais pas moins de 10 tentatives/jour en moyenne que j'ai rapidement décidé de faire quelques changements dans ma configuration.

Donc, ayant quelques notions en matière de sécurité informatique, j'ai pris le parti de ne pas utiliser les ports standard pour le HTTP et pour le reste.

Cette solution semble relativement efficace puisque les tentatives se sont réduites à 1 seule sur plusieurs jours. Mais bon, vu les ports que j'utilise, inutile de préciser que cela a dû nécessiter un scan de ports préalable...

Bref ! Je n'avais plus franchement mis le nez dans ce genre de problématique depuis des années et je me rends compte que ça s'est bien accentué mais bon, rien de très étonnant finalement.

C'est pourquoi, sachant que pour retarder l'effraction, une fois les recommandations standards appliquées, il faut s'attacher à brouiller les pistes, j'ai donc entamé quelques recherches dans ce domaine.

Tout d'abord, je viens de modifier la page 404 de façon à ne plus faire apparaître Synology dedans. Ben oui ! Pourquoi ne pas fournir l'ensemble des caractéristiques du NAS aussi tant qu'on y est. Ma page 404 est à présent une page parfaitement laconique, qui n'indique que le principal "Erreur 404". Bon, en réalité c'est moyennement efficace puisque j'ai mis un accès via HTTPS uniquement et que le certificat par défaut mentionne Synology... Je n'ai pas encore pris de certificat SSL car je n'ai pas de nom de domaine qui m'appartienne (pour le moment), je me contente du reverse DNS de Free puisque c'est mon fournisseur.

Il n'a pas été simple de configurer tous les services web en HTTPS, tout en faisant en sorte que le NAS reste accessible de l'extérieur. Et mon problème à présent, c'est que je vais devoir faire un peu machine arrière, notamment pour remettre le port HTTPS standard (443) sur ma configuration de Freebox. Avec un port non standard, il n'est pas toujours possible, depuis l'extérieur, d'accéder à un serveur web, FTP ou autre, selon le réseau à partir duquel on tente de se connecter. C'est notamment le cas dans l'entreprise où je travaille puisque je ne peux pas accéder à mon NAS personnel étant donné que la politique de sécurité du réseau empêche les requêtes sortantes sur des ports non conventionnels. Du coup, c'est un peu dommage.

Donc, voilà ma problématique pour le moment est de repasser sur des ports standards mais en faisant en sorte que la page de login ne soit plus accessible de façon automatique. J'ai notamment pensé à faire en sorte que pour l'obtenir, il faudrait fournir un paramètre tout à fait spécifique dans l'url, pour que celle-ci veuille bien s'afficher. Cela nécessiterait de modifier le fonctionnement par défaut de l'accès au DSM et autres services et donc, je me demandais si c'était faisable et de quelle manière précisément ?

Quelqu'un saurait-il me dire ce qu'il en pense, voire de m'indiquer d'autres techniques plus appropriées ?

Merci d'avance pour vos suggestions.

[Kramlech]

Tu aura beau essayer de te planquer, tu ne maitriseras jamais le monde autour toi ...

Si tu veux pouvoir accéder à ton Syno, il faut que d'une manière ou d'une autre, il soit visible ...

Pour moi, le plus important ce n'est pas que l'on ne me vois pas (ne pas utiliser les ports standards, c'est déjà une bonne protection), c'est surtout que l'on ne puisse pas rentrer ...

Donc si tu crains vraiment, tu définis un user et un mot de passe hyper complexe, et tu configures le blocage auto à une tentative par 24 heures

Bon, tu n'as pas intérêt à te planter lors de tes connexions ...

[PatrickH]

Et puis pour compléter...un syno complètement sécurisé est un syno ETEINT !

Patrick

[Hexagone]

Merci pour vos réponses.

Par contre, je ne suis pas naïf, je cherche à savoir ce qui se pratique et ce qui pourrait me permettre d'avoir l'esprit un peu plus tranquille.

Ma politique de mot de passe est assez poussée mais on n'est jamais à l'abri d'une faille qui ne se base pas sur les tentatives de connexion de manière classique. Donc, l'idée est simplement de masquer tout ce qui pourrait donner des indications sur la nature du serveur qui se trouve au bout d'une IP, à quiconque n'est pas censé faire de visite à celle-ci.

Voilà, donc si certains ont de bonnes idées, je suis tout ouïe.

[marcien]

Mes services ouvert a l'extérieur : service de fichier (seulement)

Ma sécurité aujourd'hui:

- L'acces au DSM se fait en https

- Bloquage par defaut

- Autorisé : 192.168.0.0 (mon reseau local, sinon, plus aucun acces)

- Autorisé : les IP de mes amis . IP configuré "grossièrement" : x.0.0.0 (cela represente "un peu" les FAI : ,82,85,88,89,92,109).

- Autorisé : 37.0.0.0 (free mobile). On a pas encore d'attaque par téléphone ! Donc je peux activer de nouvelles adresses IP avec mon tel...

- Mise en black liste pour 4 jours, si 5 tentatives infructueuses en 45 minutes

Avec cela , j'ai toujours des attaques bloqués par le Syno

Ce que je "pense" faire bientot :

- L'acces au DSM se fait en https

- Bloquage par defaut

- Autorisé : 192.168.0.0 (mon reseau local, sinon, plus aucun acces)

- Autorisé : les IP de mes amis . IP configuré "strictement" : x.y.z.a .

- Autorisé (en fonction de l'accessibilité VPN par tel mobil) : 37.0.0.0 (free mobile).

- Black-listage pour 4 jours, si 5 tentative infructueuses en 45 minutes

- Mise en place d'un VPN au niveau de mon routeur, pour aceder au NAS en "local"

Je ne sais pas s'il existe des Routeur/Firewall, ayant un client VPN Android !?!? Si vous en connaissez, je suis preneur !

[vlacsap]

Bonjour,

comment fait on pour

"Autorisé : les IP de mes amis . IP configuré "grossièrement" : x.0.0.0 (cela represente "un peu" les FAI : ,82,85,88,89,92,109)." ?

Je comprends que ça doit être approximativement les IP des FAI français et peut être un peu plus ?

(Je reconnais le premier nombre de la mienne).

Mais comment fait on ?

[marcien]

Dans le Pare-feu, tu configures les IP (ou plage d'IP) :

Pour x.*.*.* , faut configurer :

- plage : x.0.0.0

- masque : 255.0.0.0

[PascalZ]

Au risque de dire une enorme betise. Si il existe des organismes qui listent et "bannent" les IP identifiees comme pirates. Ne peut-on pas connecter les Synos a ce service ? (Car j'imagine que ces organismes font cela pour fournir un service par la suite et non pour se faire plaisir)

[marcien]

Si tout le monde avait une IP fixe, cela pourrait etre fait (sans compter les usurpation d'IP).

[Kramlech]

Juste pour mon information personnelle, un petit sondage : y a-t-il des personnes qui se sont fait pirater leur Syno après avoir mis des mots de passe "raisonnable" et activé le bocage auto des IP ? (et bien sur sans avoir installé des applications "à risque")

[Hexagone]

Merci marcien pour ces infos. Effectivement, je n'avais pas franchement idée de rajouter des règles dans le pare-feu, surtout les plages IP que tu indiques.

Par contre, le fait de ne permettre l'affichage de la page de login (en HTTPS) que lorsque l'url contient un paramètre particulier (inconnu du grand public), ça ne semble pas une idée intéressante selon vous ?

Modifié le 11 juin 2012 par Hexagone

[marcien]

@Kramlech : mon syno est souvent attaqué sur des comptes : root, administrator, system (le pirate doit voir que le DSM est un linux).

Or ceci n'existe pas chez moi ou ne sont pas activé : root (option acces telnet).

Par contre si tu heberges un site, regardes sur le forum pour contrer les attaques de base (deplacement de repertoires, ...)

@Hexagone : ton idee ne doit pas etre possible. Le syno est accessible via http://ip_box:5000 ou https://ip_box:5001 (et py c'est tout !). Tu peux changer les port 5000/5001 mais tu peux pas complexifier le reste !

[Hexagone]

@marcien : Disons que dans l'absolut c'est faisable mais ce n'est sans doute pas souhaitable ou pas simple dans le cas présent.

Par contre, je pensais qu'il serait plus simple de supprimer la redirection et customiser le chemin racine.

Donc, ne pas renvoyer https://ip_box_ou_domain_name:5001/ vers https://ip_box_ou_domain_name:5001/webman/index.cgi et de fait remplacer webman par un nom improbable.

Ca me paraît plus simple mais peut-être pas très viable, si jamais il y a des URL codées en dur dans les cgi...

J'essaierai de modifier les fichiers Apache mais à la limite si quelqu'un a déjà tenté et qu'il sait que ce n'est pas viable, qu'il ne se prive pas de le dire .

[cricx]

Tu peux utiliser un reverse proxy (mais il te faut un domaine), tu devrais aussi pouvoir utiliser une directive scriptalias ou alias

[Hexagone]

@CricX : Effectivement, je ne me doutais pas pouvoir faire cela de cette manière. Merci.

Donc, j'imagine comment procéder :

Je configure ma box pour quelle redirige le port 443 vers un port 5551 par exemple.

Sur le NAS, je configure un reverse proxy pour qu'il écoute le port 5551.

Si le proxy reçoit une requête ne comportant pas le chemin attendu (et inconnu du grand publique) alors la requête est envoyée vers le néant.

Et je configure également ce proxy pour qu'une requête comportant le chemin attendu pointe sur l'URL classique sur le DSM avec le port 5001.

Voilà comment je vois les choses. Je ne dis pas de bêtise ?

Je vais me pencher sur le sujet.

Merci

Modifié le 17 juin 2012 par Hexagone

[crakotte]

bonjour à tous,

question de débutant : " Que faut-il faire pour voir les tentatives d'intrusion sur son NAS ?"

merci

[jee27]

@CricX : Effectivement, je ne me doutais pas pouvoir faire cela de cette manière. Merci.

Donc, j'imagine comment procéder :

Je configure ma box pour quelle redirige le port 443 vers une port 5551 par exemple.

Sur le NAS, je configure un reverse proxy pour qu'il écoute le port 5551.

Si le proxy reçoit une requête ne comportant pas le chemin attendu (et inconnu du grand publique) alors la requête est envoyée vers le néant.

Et je configure également ce proxy pour qu'une requête comportant le chemin attendu pointe sur l'URL classique sur le DSM avec le port 5001.

Voilà comment je vois les choses. Je ne dis pas de bêtise ?

Je vais me pencher sur le sujet.

Merci

En effet , C'est comme cela que ca fonctionne , ( il y a un tuto très bien fait sur le forum ) par contre j'ai eu plusieurs problème avec le reverse proxy et filestation (impossible d'uploader de fichiers ) , et ca rallentissait aussi les requêtes chez moi

[vlacsap]

bonjour à tous,

question de débutant : " Que faut-il faire pour voir les tentatives d'intrusion sur son NAS ?"

merci

Bonjour,

Dans DSM4

"Information système" / "Journal" / "connexion"

J'avais eu 3 blocages. Là je viens de regarder, effectivement on voit sur quel service (FTP dans mon cas) et avec quel username ils essayent de se connecter (là c'est "administrator", "Anonymous FTP" ou "SYSTEM")

Les IP correspondent à la liste données ici :

post de pjport vers la fin.

Modifié le 17 juin 2012 par vlacsap

[Hexagone]

En effet , C'est comme cela que ca fonctionne , ( il y a un tuto très bien fait sur le forum ) par contre j'ai eu plusieurs problème avec le reverse proxy et filestation (impossible d'uploader de fichiers ) , et ca rallentissait aussi les requêtes chez moi

Je ne me suis pas encore lancé dans l'opération, j'attends de trouver un peu de temps pour m'y mettre tranquillement. Entre temps, par contre, j'ai réfléchi et je me dis qu'il n'y a pas forcément besoin de passer par un port intermédiaire...

Sinon, as-tu une explication sur tes problèmes de lenteur et l'impossibilité d'uploader ? Pour cette dernière, à première vue c'est parce qu'il manque une règle quelque part...

[PascalZ]

Bonjour,

Dans DSM4

"Information système" / "Journal" / "connexion"

J'avais eu 3 blocages. Là je viens de regarder, effectivement on voit sur quel service (FTP dans mon cas) et avec quel username ils essayent de se connecter (là c'est "administrator", "Anonymous FTP" ou "SYSTEM")

Les IP correspondent à la liste données ici :

post de pjport vers la fin.

C'est bizarre, chez moi il y a régulièrement des blocages d'IP mais quand je vais dans "Information système"/"Journal"/"connexion" c'est vide. Faut-il activer quelque chose ?

[crakotte]

merci Pascal,

je regarde régulière cette log également, je pensais plutot à un outil pour scruter les log apache ou autre.

Bonjour,

Dans DSM4

"Information système" / "Journal" / "connexion"

J'avais eu 3 blocages. Là je viens de regarder, effectivement on voit sur quel service (FTP dans mon cas) et avec quel username ils essayent de se connecter (là c'est "administrator", "Anonymous FTP" ou "SYSTEM")

Les IP correspondent à la liste données ici :

post de pjport vers la fin.

[PatrickH]

Tu peux activer tes log apaches et les rediriger vers le serveur Syslog...y a qu'a !

Patrick

[crakotte]

merci Patrick pour cette bonne idée, qui parait surement évidente aux plus expérimentés, mais qui, pour la bleusaille qui débute (comme moi), l'ai beaucoup moins, on ne sait pas trop par quel bout aborder ce type de recherche.. D'ailleurs, en cherchant un peu, j'ai retrouvé ton petit tuto pour rediriger les logs apache vers syslog : rediriger les logs vers le syslog de la même machine

.... trop facile Patrick

merci beaucoup, j'ai de quoi m'amuser avec ça

Tu peux activer tes log apaches et les rediriger vers le serveur Syslog...y a qu'a !

Patrick

Modifié le 20 juin 2012 par crakotte

[crakotte]

hello,

j'ai trouvé dans la log des connexions un truc bizarre, 2 lignes qui m'informent qu'une connexion CIFS au répertoire selfSB a été effectuée par un de mes pc via la connexion locale 192.168.*.*, mais je n'ai pas de répertoire partagé qui s'appelle selfSB....

ça vous ai déjà arrivé ?

[vlacsap]

merci Pascal,

je regarde régulière cette log également, je pensais plutot à un outil pour scruter les log apache ou autre.

Je n'avais pas compris. Là apache c'est trop compliqué pour moi .....