[Probleme] Acces Web

[RCNAS]

Bonjour à tous,

J'ai lié l'IP de mon NAS à un nom de domaine sur internet. En dur, c'est à dire que c'est le nom de domaine qui redirige direct vers l'IP publique qui tape sur le NAS; L'IP du nas est la DMZ.

L'avantage réside dans le fait que je n'ai plus besoin de la retenir, beaucoup plus pratique, également lorsque je crée des users et donner des accès à d'autres personnes.

Cela dit, je me heurte à des blocages d'IPs. Car certains robots (ou hackers?) d'internet j'imagine, tente d'y accéder et du coup le NAS bloque l'IP car ne trouve pas le bon mot de passe, 5 tentatives échouées.

Existe t'il une mesure de sécurité à mettre en place ?

Car un de ces jours, un de ces robots trouveront le mot de passe, c'est probable ?

Merci de votre aide !

http://www.zimage.fr/images.php?nom=160483blocage.png

[bud77]

Déjà, ne pas mettre le nas en DMZ, et seulement ouvrir les ports dont tu as besoin sur ton routeur

Et tu auras toujours des bots en train de scanner tant que tu ouvres des ports "standard"

[oli.oli]

Hello,

Il n'y a rien d'infaillible, mais de la rigueur s'impose...

Comme le dit Bud77, le NAS en DMZ n'est pas nécessaire.

En revanche, des mots de passes complexes pour tous les utilisateurs sont un minimum.

Ensuite, tu maintiens le blocage des IP.

Enfin, tu surveilles régulièrement les logs d'IP bannies et les logs de connexions.

Maintenant, il est toujours possible que quelqu'un trouve ton mot de passe du premier coup... Comme moi de gagner à l'Euromillion...

Edit : Tu précises que tu donnes accès à ton NAS à différents utilisateurs, il faut imposer à TOUS tes utilisateurs des mots de passes complexes (longueurs, caractères spéciaux, chiffres, majuscules, etc...).

Modifié le 22 août 2013 par oli.oli

[domlas]

Il m'a semblé lire que tu renvoyais ton nom de domaine sur l'IP du Nas. Ca ce n'est pas bon.

Il faut renvoyer ton nom de domaine vers ton IP publique, celle qui est fournie par ton FAI pour accéder à ta box.

Et dans cette box il faudra rediriger le sports des services que tu veux utiliser (comme le port 21 pour le serveur FTP) vers l'adresse IP interne du syno sur ton réseau.

Maintenant la "complexité" des mots de passe est une vue de l'esprit humain. Pour un robot "toto" est aussi compliqué que "0gF5", mais pour nous autant le premier est facile à retenir...

Une grande sécurité est donnée par la fonction de blocage des IP "malveillantes" du syno. Cette fonction compte le nombre (réglable) de tentatives d'accès d'une IP externe durant un temps assez court (réglable) et notifie cette IP comme interdite si ces quotas sont dépassés. Par exemple, après 5 tentatives d'entrée en moins d e10mn de la même IP, Le syno pensera qu'il s'agit d'un robot et bloquera cette IP. A moins d'un coup de pot monumental le robot ne trouvera pas le MdP avec aussi peu d'essais, même toto.

Si tu savais le nombre d'entreprises qui se servent de 123456 comme mots de passe et à qui il n'est jamais rien arrivé en plusieurs années, j'en reste toujours estomaqué !

Modifié le 22 août 2013 par domlas

[pluton212+]

salut,

pour connaitre la "force" d'un mot de passe:

http://www.passwordmeter.com/

(toto = 0)

(123456 = 4%)

(0gF5 = 36%)

Ça doit avoir de l'importance un mdp un peu complexe.

Modifié le 23 août 2013 par pluton212+

[oli.oli]

Maintenant la "complexité" des mots de passe est une vue de l'esprit humain.

Hello,

Concernant la complexité des mots de passe, il y a bien longtemps que les robots ont évolué pour adopter la vue de l'esprit humain.

Plus personne (humain ou robot) ne fait d'attaque "brute force" à présent. Les attaques se font sur des bases de dictionnaires avec notamment les mots de passe les plus courants, d'où ma remarque sur la complexité (c'est d'ailleurs valable partout où il faut un mot de passe en informatique).

En revanche, je rejoins Domlas sur le blocage des IP. Pour moi, c'est la principale sécurité de mon NAS qui est sollicitée (depuis des années et jusqu'à présent, 100% des attaques bloquées par ce mécanisme).

Modifié le 23 août 2013 par oli.oli

[RCNAS]

Bonjour,

Merci de votre aide, a tous. En gros, j'annule la DMZ et je renforce le mot de passe. (ainsi que ceux de mes users)

Plusieurs questions me viennent en tete :

- Comment etre absolument certains, qu'une fois bloquée, une IP le reste indefiniment? Y a t'il un endroit ou l'on peut visualiser les IPs et verifier qu'elles sont bloquées à jamais?

- Tout autre chose, Ok pour la DMZ, je vais changer. Mais si je redirige le port 21 vers le NAS, qu'en est il du FTP avec la freebox? Les requetes vers le port 21 seront dirigées uniquement vers l'IP du NAS et je pourrais plus accéder au disque dur de la free? Je dois me tromper quelque part ?

Merci

[tsar1958]

bonjour

je m'incruste un peu sur le sujet car j'ai le même souci de redirection de port en double

comment fait on quand on a besoin de rediriger le même port sur deux adresses différentes

[diegolvobanania]

N'est-t-il pas possible dans un client FTP d'entre ftp://ipdunas:1234 et de rediriger le port 1234 vers le NAS ?

[oli.oli]

N'est-t-il pas possible dans un client FTP d'entre ftp://ipdunas:1234 et de rediriger le port 1234 vers le NAS ?

Exactement...

En résumé, il suffit de faire, par exemple, les règles de NAT suivantes:

IP publique Port public IP Lan Port LAN

A.B.C.D 21 ---> @IP_NAS 21

A.B.C.D 2121 ---> @IP_FREEOX 21

Ainsi le ftp sur le port 21 enverra vers le NAS et sur le port 2121 vers la Freebox...

[bud77]

@RCNAS : dans le panneau de config, tu as une icone blocage IP

Sur le routeur, tu ne redirige que les requêtes externes, vers une ip interne . Ton ftp de la freebox fonctionnera en lan, mais pas si tu avais redirigé les ports extérieurs vers la freebox

[RCNAS]

OK Merci.

Voila ce que j'ai fait :

- DMZ desactivé

- Redirection des ports FTP etc...

Tout fonctionne nickel, mais regardez moi ce qu'il s' est passé hier soir !!

Quelqu'un aurait il une explication plausible? C'est la même IP a quelques secondes d’écart...Je croyais qu'elle etait blacklistée ?

J'ai du éteindre le NAS pour arrêter les attaques !

Modifié le 20 septembre 2013 par RCNAS

[bud77]

Trop petit le screen

Si ce sont des connexions successives, çà arrive souvent si tu utilises les ports "standards"

[Dex]

Hello,

Exactement...

En résumé, il suffit de faire, par exemple, les règles de NAT suivantes:

IP publique Port public IP Lan Port LAN

A.B.C.D 21 ---> @IP_NAS 21

A.B.C.D 2121 ---> @IP_FREEOX 21

Ainsi le ftp sur le port 21 enverra vers le NAS et sur le port 2121 vers la Freebox...

Juste sur ce point...

Perso j'ai fait de manière différente, j'ai monté le DD le la freebox dans l'arborescence du NAS via filestation, du coup en FTP j'ai accès au DD de la freebox. C'est plus pratique dans mon cas car je reste sur le port 21.

A+

David

[white.spirit]

Bonsoir,

FTP est à priori à bannir; le mot de passe peut bien être complexe, comme il circule en "clair" dans les tuyaux, la sécurité n'est du coup pas terrible. Si FTP est vraiment un mode nécessaire, plutôt privilégier SFTP.

Les tentatives non-identifiées sont très souvent avec le login root ou admin. Avoir un compte administrateur qui ne se nomme pas admin (et désactiver le compte admin) est une forme de protection supplémentaire.

[oli.oli]

+1 avec white.spirit, sftp fonctionne très bien, à privilégier sans hésiter par rapport au ftp...