Synolocker

[Mic13710]

Je ne conteste en aucune façon ;-)

[Einsteinium]

La seule façon de réduire au Max les problèmes, c'est le server vpn hébergé sur le syno

Celui suis n'a connu que 2 gros problèmes de sécurité (faille heartB et un user de test non supprimé)

Cela vous oblige a vous connectez au vpn (j'ai un seul user pour ça, et qui a les droits pour perso), ensuite accéder comme si vous étiez chez vous à votre réseau complet.

Le syno n'est ainsi plus exposé en direct sur le net ;-)

[Norvegian]

Bon voila je me retrouve avec qu'un seul port (différent de ceux qui sont connu) d'ouvert sur ma box qui me permet d'utiliser mes applis tranquillement (https) j'ai reconfiguré mon pare feu avec les autorisation pour le reseau local et j'ai autorisé que les IP venant de France et j'ai banni tout le reste ....

J'ai également créé un compte client totalement limité au dossier de download et je me connecte avec ce compte depuis le Synodroid ....

Qu'est ce que je peux faire d'autre ? par ce que là j'avoue j'ai plus trop d'idée

Dans tous les cas c'est toujours mieux que ce que c'était avant ....

Modifié le 11 août 2014 par Norvegian

[Mic13710]

La seule façon de réduire au Max les problèmes, c'est le server vpn hébergé sur le syno

Celui suis n'a connu que 2 gros problèmes de sécurité (faille heartB et un user de test non supprimé)

Cela vous oblige a vous connectez au vpn (j'ai un seul user pour ça, et qui a les droits pour perso), ensuite accéder comme si vous étiez chez vous à votre réseau complet.

Le syno n'est ainsi plus exposé en direct sur le net ;-)

C'est aussi une autre solution, plus contraignante. Pour ma part, je n'ai pas eu de tentatives de connexion sur mon unique port depuis des lustres. Et quand bien même il y en aurait, il faudrait encore pouvoir passer le pare-feu, ce qui n'est pas gagné.

[Einsteinium]

Tu ouvre un port, tu ouvre donc une porte dans ton pare feu, donc ton pare feu n'y pourras rien.

Si tu permet via ton unique port. L'accès a l'interface admin et qu'il y a une faille dans celle ci, c'est la porte ouverte à la totalité de ton réseau et de ton syno.

[Invité]

Tu ouvre un port, tu ouvre donc une porte dans ton pare feu, donc ton pare feu n'y pourras rien.

Si tu permet via ton unique port. L'accès a l'interface admin et qu'il y a une faille dans celle ci, c'est la porte ouverte à la totalité de ton réseau et de ton syno.

De toute façon mise a part faire un reseau local fermée, je ne voit pas comment comment protégé un syno contre une faille ? Du moment qu'on ouvre un port c'est un passage potentiel après manque une faille , et quelle système est infaillible ? aucun je pense.

Le mieux est peut etre encore de faire attention a bien copier nos données. A ne pas laisser trop de portes ouvertes ( et pas des évidentes, en changeant par exemple les numéros de ports ). et de faire les mise a jours régulièrement ! Apres que faire de plus ?

[Norvegian]

Donc selon vous je ne pourrais pas faire mieux en matière de sécurisation du NAS ?

Franchement on fait tout pour essayer de rendre le truc le plus sécurité possible mais je suis d'accord pour dire que la sécurité absolue n'existe pas à moins de la couper physiquement du net . Et puis lorsqu'on voit les possibilité qu'offre un NAS ça serait quand même bien triste que de s'en servir qu'en simple système de stockage non ?

Si vous voyez des idées pour améliorer ce que j'ai déjà fait, n'hésitez pas à me le dire et dites moi également si pour vous je suis arrivé au max de ce qui est possible.

Cordialement

Norv'

[PiwiLAbruti]

Vous pourrez retourner la question des accès réseau dans tous les sens, vous ne trouverez aucun moyen de sécurisation fiable à 100%.

Personnellement je n'ai rien changé aux ports ouverts depuis cette faille car mes données sont en sécurité sur un disque dur USB de sauvegarde qui n'est branché au NAS que le temps de faire les sauvegardes. Que mon NAS se fasse pourrir ne me fait ni chaud ni froid.

Arrêtez de vouloir révolutionner la sécurité réseau et faites des des sauvegardes, ça vous fera gagner du temps.

[oges]

ouais et faites des maj in time les gars

[Norvegian]

Vous pourrez retourner la question des accès réseau dans tous les sens, vous ne trouverez aucun moyen de sécurisation fiable à 100%.

Personnellement je n'ai rien changé aux ports ouverts depuis cette faille car mes données sont en sécurité sur un disque dur USB de sauvegarde qui n'est branché au NAS que le temps de faire les sauvegardes. Que mon NAS se fasse pourrir ne me fait ni chaud ni froid.

Arrêtez de vouloir révolutionner la sécurité réseau et faites des des sauvegardes, ça vous fera gagner du temps.

J'ai aussi mes sauvegardes sur HDD externe et c une obligation mais si on peut éviter d'avoir à formater son NAS et tout reinstaller parcequ'un petit chinois a trouver malin de faire chier le monde avec une attaque à la con .... en prenant certaines précaution supplémentaire c quand même pas plus mal non ?

Parce que je te cache pas que l'idée de transférer mes 5 TO de données sur mon NAS après formatage ne m'enchante guère

Modifié le 12 août 2014 par Norvegian

[Foxdream94]

Si tout le monde mettait ses machines à jours...

Oui et non !

Si cette attaque avait pour cible la toute dernière version du DSM beaucoup plus de personnes serait dans le petrin actuellement.

Alors faut faire les mises à jours, mais c'est pas non plus un cage de sécurité !

Demain DSM peut être la cible d'une saloperie d'en le même genre que ce Synolocker.

[PiwiLAbruti]

Je sais que c'est contraignant de devoir tout restaurer, mais on ne le fait pas tous les mois non plus (heureusement !)

La solution reverse proxy est aussi assez sécurisante dans le sens où si l'attaquant n'a pas le sous domaine exact, il ne peut pas lancer d'attaque.
D'ailleurs les attaques massives n'utilisent que les adresses IP publiques.

Par exemple le DSM chez moi n'est accessible que depuis un sous domaine sur le port HTTPS par défaut (port tcp/443).
Pour y accéder j'utilise une adresse du type https://dsm.domain.tld/.
Pour ce type de configuration, je vous recommande chaudement (DSM 5 minimum).

[mikijone]

C'est pour ça qu'il faut traiter en grosse partie la sécurité en amont du syno, au niveau de sa box internet...Le meilleur moyen d'éviter de choper des saloperies et d'être "furtif" sur le net:

- Jamais de DMZ

- N'ouvrir que les ports "vraiment" nécessaires

- Utiliser les avantages du NAT : un port externe (coté internet) différent des ports par défaut du nas. (exemple: 6745 vers 5001 et surtout pas 5001 vers 5001).

- Pour joindre le syno jamais en clair que du https ou ssh

Les chinois du FBI scannent généralement les ports par défaut (22, 5000, 5001, 21, etc...). S'ils sont fermés, ils passent leur chemin. S'ils répondent, là ils vont s'y intéresser et je ne donne pas cher de nos syno...

Sur le syno:

- Activer le blocage IP

- N'autoriser que les IP françaises

- Créer un 2eme admin et désactiver le compte admin classique par défaut.

- Utiliser des mots de passe fort et les changer régulièrement

- Consulter les logs et surveiller son système

- Mettre à jour son DSM

En bref des règles de bon sens....

[mikijone]

Le mérite de synolocker est au moins d'avoir remuer les syno users à se poser de bonnes questions vis à vis de la sécurité de leur syno.

[Norvegian]

C'est pour ça qu'il faut traiter en grosse partie la sécurité en amont du syno, au niveau de sa box internet...Le meilleur moyen d'éviter de choper des saloperies et d'être "furtif" sur le net:

- Jamais de DMZ

- N'ouvrir que les ports "vraiment" nécessaires

- Utiliser les avantages du NAT : un port externe (coté internet) différent des ports par défaut du nas. (exemple: 6745 vers 5001 et surtout pas 5001 vers 5001).

- Pour joindre le syno jamais en clair que du https ou ssh

Les chinois du FBI scannent généralement les ports par défaut (22, 5000, 5001, 21, etc...). S'ils sont fermés, ils passent leur chemin. S'ils répondent, là ils vont s'y intéresser et je ne donne pas cher de nos syno...

Sur le syno:

- Activer le blocage IP

- N'autoriser que les IP françaises

- Créer un 2eme admin et désactiver le compte admin classique par défaut.

- Utiliser des mots de passe fort et les changer régulièrement

- Consulter les logs et surveiller son système

- Mettre à jour son DSM

En bref des règles de bon sens....

Alors question : Qu'est ce que le DMZ ?

Ensuite utiliser les avantages du NAT ok mais perso j'ai ouvert qu'un port dans ma box par exemple 6792 j'ai ouvert le port 6792 redirigé vers le 6792 et j'ai tout changé dans le DSM comme en conséquence ( partie port par défaut etc ... ) Même dans le DSM j'ai changé le port par défaut au lieu de laisser le 5000 et le 5001 et de faire le reroutage 6792 ---> 5000 ( ou 5001) dans ma Box .... est ce que cela change quelque chose ?

Sinon après pour le reste c fait ... c'est rassurant quand même !!

Petite question également : Combien il y a de port en tout sur une box ? ça va de 1 à ??? .... car là j'ai choisi un port au hasard mais je suis resté pas trop trop loin des port originel mais je me demandais si je pouvais me barrer et choisir un port chelou genre 38965 ...

J'ai cru lire qu'il y avait plus de 65000 ports en tout ....

Modifié le 12 août 2014 par Norvegian

[Invité]

Salut,

La zone de DMZ est une sorte de zone de "passe droit", sans filtrage ni rien.

En gros si tu active sa et que tu n'a aucun parfeu ou autre, alors tout les port de la box seront ouvert.

[Norvegian]

Salut,

La zone de DMZ est une sorte de zone de "passe droit", sans filtrage ni rien.

En gros si tu active sa et que tu n'a aucun parfeu ou autre, alors tout les port de la box seront ouvert.

ok mais qui active ca ?c de le folie d'activer ça

[mikijone]

1)DMZ : demilitarized zone

Comme le dit EVOTk c'est une zone sans filtrage, tous les ports sont ouverts....

Dans ta box tu as une partie DMZ si tu cherches bien. Tu peux y assigner une IP (par exemple ton syno). Le syno est alors directement sur le net sans protection, et ne peut compter que sur lui (et plus sur la box) pour se protéger...

2) Pas besoin de tout changer dans le syno justement. C'est ça l'avantage du NAT. C'est la box qui va rediriger ce qui arrive d'internet sur le port 6792 (ton exemple) vers le port 5001 (port local du syno):

Ainsi tu accède normalement à ton syno sur le port 5001 en local chez toi, mais en déplacement (à partir d'internet) il suffit de changer dans l'url de ton navigateur le :5001 par :6792

Tout changer est bien aussi, mais bon c'est se donner du boulot pour pas grand chose...

3) Concernant le nombre de ports : http://fr.wikipedia.org/wiki/Liste_des_ports_logiciels

Il y en a beaucoup...

Miki

La DMZ peut être très utile lorsque tu as un 2ème routeur en cascade derrière ta box par exemple.

[synocdoche]

Pour déjà avoir rencontré le problème, il me semble que sur certaines box tu n'as pas le choix et qu'activer la dmz est la seule solution.

[Invité]

Pour déjà avoir rencontré le problème, il me semble que sur certaines box tu n'as pas le choix et qu'activer la dmz est la seule solution.

Dans ce cas, le mieux reste d'avoir un routeur derriere.

[Norvegian]

Ok je comprends comme si tu aavais deux NAS relier à un routeur qui lui même est relié à la box par exemple ?

ça m'intéresse car je compte faire l'acquisition d'un deuxième NAS et je voulais mettre un routeur entre mes deux NAS et ma BOx

Modifié le 12 août 2014 par Norvegian

[mikijone]

Pas besoin d'un 2ème routeur pour installer un 2ème NAS... Tu as 4 ports RJ45 sur une box généralement, en théorie tu peux donc avoir 4 NAS connectés sans avoir à acheter du matériel supplémentaire (par exemple un switch).

[Norvegian]

Pas besoin d'un 2ème routeur pour installer un 2ème NAS... Tu as 4 ports RJ45 sur une box généralement, en théorie tu peux donc avoir 4 NAS connectés sans avoir à acheter du matériel supplémentaire (par exemple un switch).

ouais je sais mais tout est plein , j'ai plus de port de libre sur ma box ....

[Invité]

ouais je sais mais tout est plein , j'ai plus de port de libre sur ma box ....

Dans se cas achete un switch. J'ai un TP-Link SG10008D, c'est un 8 ports, il fonctionne tres bien !

[mikijone]

A ce moment là tu rajoutes un switch (comme celui par exemple : http://www.amazon.fr/Netgear-GS608-300PES-Switch-Design-Gigabit/dp/B000BZUGLM). Le switch va te prendre un des ports RJ45 mais tu en aura 7 de plus...

L'avantage du switch c'est que c'est transparent sur ton réseau, un peu comme une multiprise quoi!!