Bonjour

Perso en attendant une réponse de syno, le port 5000 est autorisé pour une seule ip depuis l'extérieur.

Activation du blocage automatique si plus d'une connection erronée en moins d'une minute.

Sinon , quelqu'un connait le nom du processus qui crypte le syno ?
Si oui, il y a moyen de créer un script en python qui vérifie si ce processus tourne et le kill ?

Modifié le 4 août 201411 a par maxfacel

Salut,

J'ai un ds112j. Pour empêcher l'accès depuis l'extérieur, j'ai juste a désactiver les redirections de ports de ma freebox vers le syno? De ce fait, mon nas ne sera visible que depuis mon réseau et sera donc hors danger?

Merci.

Bonjour,

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.
Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

.../...

n'as-t-on pas plutôt intérêt à mettre peu de tentatives, mais sur un temps long (par exemple 3 tentatives sur 2h)?

Comme ça, si la même IP n'est testée qu'une fois par tentative d'effraction, mais revient à la charge par exemple après 1h (au lieu que quelques minutes, voire secondes habituellement) elles est bannie, alors qu'elle ne l'aurait pas été si le "dispositif d'attaque" utilise des IP tournantes de façon à ce qu'une même ip ne soit pas utilisée 2 fois de suite dans un temps court?

Modifié le 4 août 201411 a par Oooops!

Salut,

J'ai un ds112j. Pour empêcher l'accès depuis l'extérieur, j'ai juste a désactiver les redirections de ports de ma freebox vers le syno? De ce fait, mon nas ne sera visible que depuis mon réseau et sera donc hors danger?

Merci.

Exact, mais reboot ta freebox que les paramètres s'applique bien si c'est une V5, V6 inutile.

Bonjour,

n'as-t-on pas plutôt intérêt à mettre peu de tentatives, mais sur un temps long (par exemple 3 tentatives sur 2h)?

Comme ça, si la même IP n'est testée qu'une fois par tentative d'effraction, mais revient à la charge par exemple après 1h (au lieu que quelques minutes, voire secondes habituellement) elles est bannie, alors qu'elle ne l'aurait pas été si le "dispositif d'attaque" utilise des IP tournantes de façon à ce qu'une même ip ne soit pas utilisée 2 fois de suite dans un temps court?

Ba que tu bloque sur 5 minutes ou sur 24h, celui qui utilisera une liste de Proxy changera D'ip comme il le voudra, je dirais que même mettre 3 tentatives en 1 minute c'est déjà suffisant, de toute façon, même si le gas grille qu'il y a le blocage D'ip, cela donne déjà l'alerte si notification active, après en brute force si on ne peut pas mitraille sans relâche l'attaque devient useless en brute force et on passe à la cible suivante.

Modifié le 4 août 201411 a par Einsteinium

Et à défaut de tout couper, si on change tout simplement le port 5000 ??

Perso c'est ce que j'ai fait, j'ai mis le port 4000 et 4001 à la place de celui par défaut.

Pour ma part pas de SSH pas de telnet pas de FTP ouvert sur le WEB

uniquement Web ( ) et DSM 5000

blocage auto au bout de 3 erreurs

et pour le moment tout va bien.

DSM 5.0 4493 U3sur 1512+

Pourvu que cela dure car j'ai 10 Site Web sur le NAS

A quel niveau ? Niveau routeur ?

par exemple : exterieur 5000 -> redirection vers 4000 par la box ?

ou 4000 partout, avec redirection de 4000 à 4000 ?

ou (encore plus vicieux), 3425, avec redirection de 3425 à 4000 ?

J'hésite...

Perso c'est ce que j'ai fait, j'ai mis le port 4000 et 4001 à la place de celui par défaut.

pareil, aucun port standard ouvert mais des ports tres hauts perchés.

J'ai cru lire quelques part que le bots scannaient les ports standards et seulement les 1000 ou 2000 premiers ports (valeurs non sûres et a prendre avec des pincettes) pour

ne pas perdre trop de temps sur une IP

Comment tu fais ?

Sur mon NAS, la valeur est grisée.

Je suis en DSM 5 dernier update.

Mon NAS est en IP Fixe et non en blocage dans le DHCP. Peut être pour ça que j'ai accès à ce parametre

heureux posséseur d'une freebox, servez-vous du VPN pptp (config freebox ultra simple) pour vous connecter a votre réseau local, ensuite bloquer le port forwarding de votre freebox en direction de votre diskstation.

Pour ceux qui utilise mail station, passer le tout en SSL et laisser les port 143 993 25 ouvert ...

Dans le parefeu, n'autorise l'accés au services Web que par les pays que vous souhaitez,

Bloquer tout le reste !

Je n'ai pas donné accès à mon NAS depuis le web, je crains rien ?

Par contre me sers des applis depuis un iphone/tablette mais en local.

Je n'ai pas donné accès à mon NAS depuis le web, je crains rien ?

Par contre me sers des applis depuis un iphone/tablette mais en local.

Tu ne crains rien alors ;-)

Port 5001 ouvert sur la box j'ai prié toute la journée ^^

Heureusement pas de soucis en arrivant à la maison :-)

Bonjour à tous

Je suis sous la dernière version de DSM 5, j'ai vérifié mes logs, aucune tentative suspecte pour l'instant. Avant de bloquer le port 5000 dans ma livebox à titre temporaire, en lisant les posts précédents, je me suis intéressé au blocage des IPs étrangères. Actuellement, dans mon pare-feu, voila ce que j'ai :

Donc là, si j'ai bien compris, le monde entier peut accéder :-)

J'ai donc modifié chaque ligne pour limiter l'accès aux IPs françaises. Sauf qu'au moment de sauvegarder, j'ai eu ce message..

.. et mes modifs n'ont pas été prises en compte.

Aurais-je oublié quelque chose ?

Modifié le 4 août 201411 a par Gabalma

Je viens voir cette news, heureusement je n'utilise pas le port 5000 mais par précaution je vais éteindre le NAS tant que je ne suis pas rentré à la maison.

Bonjour à tous

Logique, il ne faut bloquer que pour la France les ports ouvert dans ta box, c'est une nouvelle sécurité qui empêche de se bloquer l'accès a l'interface d'administration en locale.

Pour ma part j'ai deux règle, une locale avec les différents service tel que dlna, administration, site... Avec une autorisation que sur les ip de mon réseau. (En cas de défaillance ou de faille du pare feu de ma box)

Exemple de 192.168.0.2 à 192.168.0.254 (.1 étant le routeur)

Une seconde règle qui contient les ports ouverts dans ma box (VPN) bloquer elle en ip France.

Modifié le 4 août 201411 a par Einsteinium

Bonjour

Comment vérifier si l'on a été attaqué.

Comment consulter les log sur le synology ?

D'avance merci

Bon voyant cela ce matin, j'ai débranché mon Syno.

Ce soir, je suis allé dans Freebox OS, Redirection de Port et j'ai désactivé toutes les redirections de ports (il faut que je me replonge dedans car je pense que j'en ai trop d'ouvert par rapport à ce que j'utilise...).

Puis-je rebrancher mon Nas et l'utiliser en local en toute sécurité ? Si bien sûr je ne me suis pas fait avoir avant...

Logique, il ne faut bloquer que pour la France les ports ouvert dans ta box, c'est une nouvelle sécurité qui empêche de se bloquer l'accès a l'interface d'administration en locale.

Pour ma part j'ai deux règle, une locale avec les différents service tel que dlna, administration, site... Avec une autorisation que sur les ip de mon réseau. (En cas de défaillance ou de faille du pare feu de ma box)

Exemple de 192.168.0.2 à 192.168.0.254 (.1 étant le routeur)

Une seconde règle qui contient les ports ouverts dans ma box (VPN) bloquer elle en ip France.

J'ai 3 ports ouverts dans ma livebox pour le syno : 5000 et 5001, plus un 3ème pour Surveillance Station.

Donc si j'ai bien compris, il faut créer une règle locale dans le pare-feu, en n'autorisant que les IPs françaises pour ces 3 ports ?

Perso j'ai laissé que l'accès en local le temps que Synology trouve une solution.

Beaucoup de 4.3 touché ?

Oup ! a la vue de cela , j 'ai mis hors tension le syno , je suis loin de chez moi je verrai ça en fin de semaine . :angry:

Sur le twitter feed de l'un des premiers contaminés, @MikeEvangelist, on peut y lire :

Qui confirme que le NAS était relié à internet mais seuls AFP (partage avec MacOSX) et Samba (partage avec Windows) étaient actifs.

Ce qui prouve que la faille ne semble pas provenir d'un brute force sur le SSH (Et que l'auto-block n'a pas pu rentrer en action).

Modifié le 4 août 201411 a par channie

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Comment obtenir cette liste ? pour voir si j'ai subi une attaque ?

Quid des utilisateurs de vieux Syno (DS107) carburant avec une vieille version du DSM (chez moi 3.1) ?

Impossible d'activer le blocage régional car la fonction n'existe pas.

Bref, faut il tout simplement mettre le Syno "off line" ?

Quid des utilisateurs de vieux Syno (DS107) carburant avec une vieille version du DSM (chez moi 3.1) ?

Impossible d'activer le blocage régional car la fonction n'existe pas.

Bref, faut il tout simplement mettre le Syno "off line" ?

Au moins tourne en local.