(Urgent) Probl

[iLex]

Bonjour,

J'ai récemment emménagé dans un immeuble d'appartements et j'ai utilisé mon boitier 213air Synology en tant que routeur wifi pour ma box internet qui ne fait pas wifi.

Le Nas est connecté en RJ45 à la box internet.

Le problème: je subis continuellement des tentatives d'intrusion sur le NAS. Je suppose que ça passe directement par la box car le réseau Wifi du Synology est protégé en WPA2 AES. De plus quand je fais un traceroute de certaines IP, je remonte jusqu'en Chine.

Ma/mes questions: que se passe t'il? Comment/pourquoi je subis ces intrusions? comment ces personnes ont vu/trouvé mon NAS aussi rapidement (-24h) et par quels moyens?

Actuellement j'ai réglé le pare feu pour kicker les IP qui tentent plus de 5 tentatives en moins de 5 min.

Modifié le 11 février 2013 par iLex

[PiwiLAbruti]

Ma/mes questions: que se passe t'il?

Comme pour toute machine avec des services ouverts sur internet, il y a des personnes malveillantes qui utilisent des scans automatiques pour identifier ces services et tenter de s'y connecter.

Comment/pourquoi je subis ces intrusions?

Pour monter un botnet malveillant, il faut quelques victimes.

comment ces personnes ont vu/trouvé mon NAS aussi rapidement (-24h) et par quels moyens?

Avec Nmap et la liste complète des allocations IP européennes généreusement fournie par le RIPE NCC, un gosse de 6 ans peut le faire.

Actuellement j'ai réglé le pare feu pour kicker les IP qui tentent plus de 5 tentatives en moins de 5 min.

Le blocage automatique est très utile, conserve ce paramétrage.

Ce que tu vois est tout à fait normal. Sauf qu'avant que tu aies des logs détaillées à ce sujet, tu ne le voyais pas.

99,9% de ces attaques utilisent la méthode brute-force pour trouver les mots de passe, d'où l'intérêt d'avoir un mot de passe complexe.

[psuken]

Salut,

Nous sommes tous victimes de ces attaques. Ce sont des bots qui tentent d'accéder avec des login/mdp classiques... et ils n'y arrivent pas souvent.

Il faut donc bien régler le blocage auto et le firewall.

Perso, le blocage auto est reglé sur 3 tentatives en 60 minutes.

Dès que j'ai une tentative d'accès, je regarde le pays d'origine et le range associé (via whois) et je bloque le Range entier dans le firewall. Depuis j'ai beaucoup moins d'attaques !

[Brunchto]

sur ta box, n'ouvre que les ports nécessaires pour un accès extérieur.

si tu fais du torrent ou du p2p, tu vas augmenter la probabilité de te faire scanner

[iLex]

Merci pour toutes vos réponses!

sur ta box, n'ouvre que les ports nécessaires pour un accès extérieur.

si tu fais du torrent ou du p2p, tu vas augmenter la probabilité de te faire scanner

ok je vais voir ça

Perso, le blocage auto est reglé sur 3 tentatives en 60 minutes.

Dès que j'ai une tentative d'accès, je regarde le pays d'origine et le range associé (via whois) et je bloque le Range entier dans le firewall. Depuis j'ai beaucoup moins d'attaques !

psuken je viens de regler à 3 tentatives sous 10min finalement

piwilabruti je suis au Canada mais le principe doit etre le meme ^^

pour les logs que je n'avais pas avant, tu parles du Synology en particulier ou pour les appareils en général?

[DjMomo]

Pour ma part, une IP bloqué l'est pour un an au moins. Au début j'avais pas mal de tentatives, maintenant tout au plus 1 par jour.

[PiwiLAbruti]

pour les logs que je n'avais pas avant, tu parles du Synology en particulier ou pour les appareils en général?

En général. Tu n'es pas le premier à poser la question des tentatives d'intrusion comme si elles n'existaient pas déjà avant.

[pluton212+]

bonjour,

fail2ban est-il utile sur un syno?

[Sp@r0]

Non il y a déjà un équivalent suffit de l'activer dans l'interface

[iLex]

Pour plus de sécurité, vaut il mieux que j'active un mappage réseau plutot qu'un autre ?

J'étais en mode "Routeur sans fil" jusqu'à maintenant.