Port Knocking Sur Syno ?

[bouing]

Bonjour,

Je suis nouveau sur le forum mais pour le moment j'ai pas vu d'echange sur le port knocking dans les discutions "sécurité".

Y a t'il des retours d'experience sur Syno ?

Pour l'avoir utiliser sur des vieux PC linux, je sais que c'est pas ultime comme solution mais ca peut avoir sa place dans un plan de sécu, même si la sécu par "obscurité" est pas terrible (ne pas utiliser comme unique securisation)

[L@f@yette]

Je relance ce vieux post car j'ai le même question. Quelqu'un aurait il des pistes ?

Merci.

[fcois93]

Je remonte le sujet pour savoir si quelqu'un a une solution sur synology svp ? 🙂

[PiwiLAbruti]

Si le but est d'empêcher du brute-force sur des ports sensibles (comme SSH sur le port tcp/22), il convient plutôt de ne pas exposer les ports par défaut et surtout de limiter leur exposition sur internet afin d'en réduire drastiquement la surface de détection (ce que je fais, résultat: zéro scan et/ou tentative de connexion depuis des années).

De mon point de vue, et en plus d'être déconseillé depuis quelques années maintenant, le port-knocking est l'une des pires solutions à adopter quand on souhaite améliorer la sécurité (on devrait plutôt dire augmenter la complexité en réalité). C'est peu fiable et dans certains cas ça peut même bloquer totalement l'accès à distance à un serveur si aucun autre moyen de connexion n'a été prévu (donc il ne resterait que l'accès physique pour débloquer la situation).

Si vous ne pouvez pas le mettre en place vous même (compilation de knockd et iptables-persistent, ou manuellement avec l'activation d'une règle de pare-feu associée à une séquence de connexion détectée dans les logs), seul Synology pourrait y faire quelque chose (ce dont je doute fort) : https://www.synology.com/fr-fr/form/inquiry/feature