Synolocker

[Whivez]

Sur la plupart des tutos sur les NAS Synology (ici ou ailleurs) la sécurité est abordé (changement des ports par défauts, noms, mots de passe...), mais chacun est libre de l'appliquer...

Sans tomber dans la paranoïa, comme l'a souligné aston, peu son touché, j'aimerais bien connaître les paramétrages de chacun. ça sent le tout par défaut !

[romme]

Bonjour à tous,

à priori d'après la news ici : http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 et l'info que l'on a quand on se connecte sur ce forum cela toucherait la version 4.3.

a+

steph

[sapique]

Et pourquoi donc "surement pas"?

Serait surprenant que Free supprime des les modèles plus récents des fonctionnalités existantes sur les précédents

(C'est une V5 dans mon cas mais je viens de vérifier: c'est pareil sur V6.)

Me semble que ce sont certaines box numericable qui ne savent pas faire ça.

Sur la v6 c'est pareil je confirme !

En tous cas le type ou la team fait fureur sur le net avec leurs merde de crypto !

Pour l'instant ma collection de Jackie Michel n'est pas altéré lol

[zesharck]

Pour l'instant ma collection de Jackie Michel n'est pas altéré lol

lol ouf le plus important est indemne

tu m'ouvres un port ?

[xhark]

+d'infos sur les versions DSM impactées : http://blogmotion.fr/systeme/synolocker-11821

[luckyduke]

Salut,

Et pour les gens comme moi qui on un ds 207 et qui sont bloqués en DSM 3.1 on fait quoi ( pour l'instant j'ai utilisé le coup de fil à un ami qui est allé débranché le NAS chez moi car je suis en vacances )

J'avais vérifié avant avec un accès externe ( filestation ) et tout semblait OK

Merci

[Jérôme_D]

C'est un peu HS mais j'ai un peu de mal à comprendre ce que font tous les gens qui ont un NAS jamais relié à internet ?

[Seb@stien]

Stockage de documents centalisés pour l'utilisation de plusieurs ordinateur à la maison, Serveur de sauvegardes réseau pour photos/video, Serveur multimédia (films, musiques, etc...) etc ....

[Du 82]

Pour l'instant ma collection de Jackie Michel n'est pas altéré lol

Si, désolé mais il manque "et" entre Jackie Michel

Modifié le 5 août 2014 par Du 82

[mika87]

Oui ou bien accéder à des contenus multimédias sur le réseau local avec pleins de supports différents (pc, smartphone, tv...)

[Whivez]

Si, désolé mais il manque "et" entre Jackie Michel

A ne pas "Googler" au boulot !

[xila]

Sinon pour le côté sécurité anti-synolocker, perso je n'ai pas blindé tous mes ports, mais juste mis en place du filtrage par IP et pays sur le firewall du syno mais aussi sur mon routeur (pfsense)

Du coup je me sens un peu plus à l'abris mais il est vraiment dommage de ne pas avoir de communiqué de la part de syno concernant les versions DSM impactées ainsi que les services potentiellement vulnérables... on demande pas un patch dans la minute mais au moins un peu de com savoir comment éviter le pire sans avoir à tout débrancher... quand on achète un NAS c'est quelque fois aussi pour la disponibilité 24/24 7/7 des données à travers le monde !

Sinon pour l'info pfsense sur une VM et configuré en passerelle dans vos vieux synology (pas forcément que eux...) devrait vous permettre de faire du filtrage par pays même sur les DSM < 5

Pour ma part j'utilise pfsense 2.2 beta (avec package pfblocker pour filtrage IP pays) dans une VM sur un ESXi 5.5 ça marche du tonnerre (avec la fibre optique j'ai préféré gérer une sécurité plus fine qu'avec une box grand public)

Modifié le 5 août 2014 par xila

[sapique]

http://www.nextinpact.com/news/89050-nas-pirates-synolgy-publie-ses-recommandations-quid-dsm-5-0.htm

Si, désolé mais il manque "et" entre Jackie Michel

Tant qu'ils ont pas monté brigitte pour sauté la haie tout vas bien mdr

[thierry.]

C'est un peu HS mais j'ai un peu de mal à comprendre ce que font tous les gens qui ont un NAS jamais relié à internet ?

Backup de Mac et PC vers le NAS, stockage de films et utilisation de DownloadStation pour les torrents.

Le mien est relié à internet pour téléchargements, mais normalement pas de connexion entrante. (Je m'y connecte pas de l'extérieur, ni accès aux données, ni Cloud, ni page web, etc).

[Jérôme_D]

A ne pas "Googler" au boulot !

Trop tard

Bloqué par le filtre du taf', ils vont me prendre pour un cochon

Merci Jacquie et Michel !

Bon sinon OK j'ai compris l'utilisation contralisée en local, je trouve juste que le NAS (en général) n'est peut-être pas le mieux adapté, mais les NAS Syno (en particulier) et leur DSM (quand ils ne sont pas inféctés) est effectivement royal pour en faire un serveur multimédia ludique et fonctionnel.

[IBM360]

C'est un peu HS mais j'ai un peu de mal à comprendre ce que font tous les gens qui ont un NAS jamais relié à internet ?

Un exemple : écouter chez moi ma CDthèque dématérialisée en lossless.

Mon NAS est habituellement connecté à l'internet mais compte tenu des circonstances, je vais attendre un peu pour le remettre...

[aston]

Un porte-parole de Synology a donné à ZDNET quelques informations concernant l'avancée de l'enquête. « Selon nos premières observations, le problème affecte uniquement les NAS Synology qui utilisent les anciennes versions de DSM (DSM 4.3-3810 ou plus anciennes). Il exploiterait une faille de sécurité corrigée en décembre 2013. A l'heure actuelle, nous n'avons pas repéré une telle vulnérabilité dans le DSM 5.0. » La situation semble donc se préciser, même s'il faut attendre désormais un communiqué officiel de la part de l'entreprise.

[DenisPac]

Un porte-parole de Synology a donné à ZDNET quelques informations concernant l'avancée de l'enquête. « Selon nos premières observations, le problème affecte uniquement les NAS Synology qui utilisent les anciennes versions de DSM (DSM 4.3-3810 ou plus anciennes). Il exploiterait une faille de sécurité corrigée en décembre 2013. A l'heure actuelle, nous n'avons pas repéré une telle vulnérabilité dans le DSM 5.0. » La situation semble donc se préciser, même s'il faut attendre désormais un communiqué officiel de la part de l'entreprise.

D'après la communication la faille de sécurité exploitée a été corrigée en décembre 2013.

Sur la version 4.3, ça correspond à l'une de ces mises à jour :

Version: 4.3-3810 Update 3

(2013/12/19)

Compatibility and Installation

1. DSM 4.3-3810 Update 3 can only be installed on Synology products running DSM 4.3-3810 via DSM Update. Please log in to DSM and go to Control Panel > DSM Update to install the update.

Change Log

1. Enhanced system security to prevent unauthorized access via File Station, Windows File Service (SMB), WebDAV, DSM from HTTP and telnet.(CVE-2013-4475, CVE-2013-6987)
2. Fixed an issue where backup tasks might be deleted when the external drive was ejected, if the external drive was selected as the backup destination.

Version: 4.3-3810 Update 2

(2013/12/5)

Compatibility and Installation

1. DSM 4.3-3810 Update 2 can only be installed on Synology products running DSM 4.3-3810 via DSM Update. Please log in to DSM and go to Control Panel > DSM Update to install the update.

Fixed Issues

1. Fixed an issue where the system partition will probably have insufficient free space if logs of Windows File Service is enabled.
2. Fixed an issue where the system partition of DS213+ and DS413 will probably have insufficient free space in some network environments.
3. Enhanced the stability of DS213+ and DS413 when they are connected with Synology expansion units.
4. Enhanced the overall stability of DSM.

En rouge les failles de sécurité corrigées à cette occasion.

Malheureusement la version 4.2 que j'utilise sur mon DS409+ n'inclut pas ces corrections...

A voir si mon raisonnement tient la route !

[Du 82]

A ne pas "Googler" au boulot !

je ne risque pas de me faire réprimander par le patron, je suis à mon compte et seul.

[sapique]

Un bon moyen pour passé en 5.0 en changeant de matos !

[Jérôme_D]

Non, il s'agit d'une connexion sortante, pas entrante.

Mais si tu veux bloquer l'accès au internet de ton NAS, il te suffit de supprimer sa passerelle (et accessoirement ses DNS).

Et dernière chose, quand le DSM se met à jour (téléchergement et installation via DSM), il passe par quel port 'standard' ? ça reste possible avec les redirections désactivées ?

[xhark]

Et dernière chose, quand le DSM se met à jour (téléchergement et installation via DSM), il passe par quel port 'standard' ? ça reste possible avec les redirections désactivées ?

HTTP (proxyfiable)

[Lapin]

Pour ceux qui active les règles dans le firewall ne pas oublier d'ajouter les IPS du réseau local !!!! Sinon plus d'accès depuis la maison. Je me suis fait une grosse sueur froide en rentrant ce soir...

Modifié le 5 août 2014 par Lapin

[Kramlech]

Et dernière chose, quand le DSM se met à jour (téléchergement et installation via DSM), il passe par quel port 'standard' ? ça reste possible avec les redirections désactivées ?

Il ne faut pas confondre les connexion sortantes et les connexions entrantes ...

Une connexion sortante, c'est quand une machine de ton réseau interne veux interroger un serveur à l'extérieur à ton réseau (quand ton DSM veux télécharger une nouvelle version ou un nouveau paquet, ou alors simplement quand tu interroges Google depuis le navigateur de ton PC). Dans ce cas, il n'y a aucun besoin de redirection de port.

Une connexion entrante, c'est quand une machine à l'extérieur de ton réseau veux accéder à une machine de ton réseau interne. Comme tu n'as qu'une seule adresse IP externe (celle que t'a fourni ton FAI), et que tu peux avoir plusieurs machines derrière ton routeur, il faut que le routeur sache sur quelle machine interne il doit rediriger une requête qui vient de l'extérieur. C'est à cela que sert la redirection de ports ....

[PiwiLAbruti]

Et dernière chose, quand le DSM se met à jour (téléchergement et installation via DSM), il passe par quel port 'standard' ? ça reste possible avec les redirections désactivées ?

Tout comme c'est le cas pour les autres machines de ton réseau, il n'y a besoin d'aucune redirection de port pour que ton NAS ait accès à internet.