Un Nas Synology, Des Responsabilit

[Terrano]

Bonjour,

Je vous propose ce petit mode d'emploi, qui consiste a assurer la sécurité de votre installation.

Pourquoi ? Simplement parce que ce genre de matériel très répandu est souvent visé par des attaques extérieures. A titre d’exemple, depuis 5 jours que mon NAS est opérationnel, il a été « testé » par 17 IP différentes en provenance de Chine, de Panama, des Etats Unis et de France.

Ce qu’il faut savoir c’est que ces matériels sont bien connus, il est donc important de s’assurer de sa propre sécurité avant d’y stocker les photos de familles ou vos sites web.

Je ne reviendrais pas en détail sur comment faire chaque étape, la communauté, que je remercie grandement en passant, propose déjà bon nombre de guides et tutos pour les points que je reprends ci-dessous.

1. Soyez exigeant

Les premières choses à faire sont évidentes :

· Configurez une DMZ qui pointe vers une adresse IP non utilisée de votre réseau

· Mettre un FireWall (Box, routeur, ou switch managé) entre votre NAS et internet

· Privilégier les baux DHCP fixes permanents (basés sur les adresses MAC de vos interfaces réseaux)

· Limiter le nombre d’adresse du DHCP au strict minimum (Nombre de matériels connectés + 1 pour la DMZ)

· Bloquez par défaut tous les ports vers votre NAS soit par une règle au niveau du routeur où est connecté le NAS, soit en utilisant le FireWall inclus dans DSM)

· N’oubliez pas à laisser le port TCP 5000 ouvert dans un premier temps

Personnellement, je préfère utiliser un matériel dédié à la gestion des règles de routage et de ports plutôt que DSM car dans le principe, si « l’ennemi » arrive déjà au niveau du firewall du DSM, je considère qu’il est déjà rentré dans votre réseau…

1. Soyez identifié

Les choses à faire en priorité :

· Activez la gestion de la stratégie des mots de passe la plus forte possible

· Créez un nouveau utilisateur placé dans le groupe Administrateur avec un password fort

· Déconnectez vous du compte Admin et connectez vous avec ce nouveau compte

· Désactivez le compte Admin

· Activez la double authentification sur votre nouveau compte, l’application Google Authenticator est vraiment extraordinaire

Voici pour le compte qui vous permettra de gérer votre NAS. Mais ce n’est pas terminé, il est hors de question de laisser les ports standards sur votre NAS. Comme je l’ai dit, ce matériel est grandement connu et leurs ports et services n’ont pas de secret.

· Il faut déjà changer les ports par défaut de DSM

· Il faut activer le SSL

· Il faut forcer le passage de http vers HTTPS

· N’oubliez pas d’ouvrir les nouveaux ports sur votre routeur vers le NAS et de fermer le port 5000

A ce niveau là, vous risquez d’avoir un message d’alerte concernant un certificat SSL invalide, c’est normal. Je vous invite à vous référer à divers tutos concernant la mise en place d’un certificat SSL de niveau 1 en passant par StartSSL.

Par contre, attention à certaines contraintes :

· Vous devez avoir un nom de domaine (loué chez un hébergeur avec ip-fixe ou en utilisant Dyn-DNS)

· Vous devez avoir une messagerie fonctionnelle sur cette adresse de domaine avec un compte « webmaster »

En effet, l’obtention de ce certificat nécessite la vérification du nom de domaine et donc une validation par mail envoyé à une adresse de ce même domaine.

Je vous invite donc à installer les paquets Mail Server et Mail Station et de créer un simple utilisateur webmaster que vous pourrez désactiver par la suite.

A noter des limitations concernant ce type de certificat niveau 1 :

· Il certifie l’adresse www.mondomaine.fr mais pas les sous-domaines

o Ceci nécessite un certificat niveau 2 wildcart payant

· Il ne permet pas de certifier plusieurs domaines

o Ceci nécessite un certificat niveau 3 CU (communication unifiée) payant

A partir de là, vous pourrez accéder à DSM de manière sécurisée y compris à distance.

1. Soyez à jour

Je sais que certains n’aiment pas les mises à jour automatiques car quand un système fonctionne avec une version de paquet, il peut ne plus fonctionner après une mise à jour…

Mais le plus important est votre confort ou votre sécurité ? Pour moi et ma famille je privilégie la sécurité, je vous invite donc sans vergogne :

· A activer toutes les options de mise à jour automatique, que ce soit de DSM ou des paquets

· A ne vous fier qu’à des paquets signés

· A limiter au maximum le recours au SSH et au root (d’ailleurs, je l’ai même désactivé personnellement)

1. Soyez informés

Autre chose qui est importante, la réactivité.

Activés les notifications de votre système par mail, par SMS, par Push pour être au courant de l’état de ce dernier :

· Mises à jour disponibles

· Problèmes matériels

· Problèmes de backup

· Attaques

Lors d’une attaque, il est important de réagir rapidement, il faut prendre les bonnes décisions rapidement :

· Si l’attaque échoue et que l’ip est bloquée par DSM :

o Vérifiez d’où vient l’ip avec le site http://www.monwhois.fr/

o Contactez le FAI à qui appartient l’ip avec l’adresse mail dans le champ Abuse

o Bloquez la plage d’IP au niveau du Firewall directement

o Vérifiez que l’attaque ne ciblait pas une vulnérabilité connue

· Si l’attaque réussie mais que vous avez des traces d’activités incohérentes

o Mouvement de fichiers ou transferts anormaux

o Utilisation importante de la bande passante

o CPU et RAM utilisées hors normes

o Bloquez tout de suite votre NAS dans le firewall (d’où l’utilité d’un firewall indépendant du NAS)

o Récupérez tous les logs et analysés les pour identifier les actions qui ont été menées

o Contactez Synology pour leur demander leur expertise

1. Soyez raisonnable

Maintenant, avant d’installer toutes sortes de paquets et d’ouvrir des flux à tout bout de champs, posez-vous plusieurs questions :

· D’où vient le paquet ?

· En ai-je vraiment besoin ?

· Quels ports utilise-t-il ?

· Puis-je changer les ports par défaut ?

· Quels comptes ou services utilise-t-il ?

· A quelles ressources a-t-il accès ?

Plus votre système s’étend, plus les points vulnérables peuvent être nombreux et la maintenance plus exigeante.

Il vaut mieux des fois séparer les besoins pour ne pas mettre en péril l’ensemble, ne pas mettre tous les œufs dans le même panier si vous préférez.

1. Soyez responsable

En conclusion, tout est question de moyen. Avec du temps et de l’argent, on peut avoir un système digne de la meilleure entreprise, mais est-ce nécessaire ?

Qui a besoin de voir les photos de famille sur le net ? De regarder des films HD en 4G ? Tout ceci est attrayant et c’est marrant… Mais est-ce nécessaire pour vous et votre sécurité ?

Un article récent très intéressant de Google tendait à démontrer que la sphère privée, ce cocon qui est notre chez nous l’est de moins en moins… De plus en plus d’appareils connectés, de services en mobilité, de traçage et de flicage… N’est-on plus assez bien chez soi pour vouloir retrouver ce chez soi partout ailleurs ?

Je vous invite donc à penser très fortement à cette adage que ma femme m’a rappelé y’a pas si longtemps : « Pour vivre heureux, vivons caché »

P.S. : Pour information, j’ai choisi un NAS, Synology entre autre, pour pouvoir « rapatrier » toutes mes informations sur un chez moi privatisé et ne plus dépendre de Apple, de Google, de serveur d’hébergement Web, de Free, etc… Quel plaisir de se dire que ses mails, ses contacts, ses rendez-vous, ses documents partagés, etc… ne se retrouvent plus dans la nature. C’est ma raison principale de mon projet, et vous ?

[nasmanu]

excellent post qui récapitulatif beaucoup, voir tous les points critiques.

cela va en aider plus d'un je pense.

un petit plus pour les nouveaux utilisateurs : les liens vers les posts en question

sinon le coup de la DMZ vers une IP non utilisée je n'y avais pas pensé, ca ressemble a un Honey Pot non ?

Merci

[Terrano]

Pour les liens bonne idée, je vais les rajouter oui.

Pour la DMZ, c'est exactement ça, orienter les potentielles tentatives vers une adresse inexistante qui "cache" les vrais ports et ip utilisées.

[Dex]

Bonjour,

C'est quoi l'intérêt de mettre un IP non utilisée en DMZ ?

Je ne vois pas non plus l’intérêt de changer le port par défaut ( http://lmgtfy.com/?q=+inurl%3Awebman%2Findex.cgi)...

A+

[Terrano]

Tout d'abord il convient de comprendre ce qu'est une DMZ, un petit lien pour aider : http://www.commentcamarche.net/contents/991-dmz-zone-demilitarisee

Ce qu'il faut savoir c'est qu'une box ADSL n'est pas un firewall, ce n'est pas parce que l'on map les ports que le trafique sur les autres n'est pas autorisé...

Par conséquent, si on n'active pas de DMZ, il est très facile de savoir quels sont les ports qui répondent et ceux qui ne répondent pas.

Une DMZ va donc se positionner entre la BOX et le routeur (donc directement relié à la box) et permettra de répondre a quelqu'un qui teste un port que tous les ports sont ouverts.

Quand je dis IP non utilisée, c'est en fait un élément passif du système (chez moi un vieux PC sous Windows où il n'y a rien d'installé.

L'intérêt ?

C'est qu'un pirate pensant pouvoir rentrer par le port SSH 22 s'acharnera à rentrer sur ce vieux PC, PC qui n'a aucun droit d'accès à travers mon firewall (ip bloqué).

C'est là que rentre en compte le principe avancé plus haut du "Pot de Miel" (ou Honey Pot) dont un article intéressant est à lire ici : http://m.01net.com/article.html#art187399

Du coup, pourquoi changer les ports par défaut ? Tout simplement pour les noyer dans la masse.

Les pirates connaissent par coeur les ports utilisés, y compris pour nos Syno, vous tous vous disez en avoir un.... Donc si je veux venir voir ce que vous avez chez vous, je tenterais les ports standards, non ?

L'intérêt de tout ça est de ne pas indiquer à un pirate où chercher et où il va, on gagne du temps.

Et puis si on met des outils d'alertes sur l'élément en DMZ, on peut le bloquer direct sans soucis.

Oui, je sais, je suis parano.... et Vilain.... Quoique...

[gaetan.cambier]

dmz : aucun interet si il y a aucune machine derière, les port ne repondront pas et les seul qui repondront seront ceux qui sont reellement ouvert vers une machine phisique

--> mieux vaut laissé sans dmz et ainsi les ports seront filtrés

[Terrano]

J'ai pas dit de ne rien mettre derrière hein.... Lol, juste un élément non utilisé ou alors je n'ai pas été assez claire.

En ce qui concerne de ne pas mettre de DMZ, mauvaise idée, car entre un port qui répond et un port non mappé, t'a une sacré différence....

[gaetan.cambier]

alors, sans dmz : les port non ouvert sont en timeout ! (conportement standart de n'importe quel box)

avec dmz, windows ouvrant plein de port, ils seront au statut open et attirer l'attention des hacker (en + une machime windows sur la dmz, le pire des choix)

en plus, un honneypot, qui va le mettre en place ? faut une machile de libre, du temps, de l'electricité à perdre ....

un simple reverse proxy sur le nas qui empeche l'acces par ip --> plus aucun access au dsm par les scanner d'ip

simple, facile à mettre en place pour tous les possesseur de nas (haproxy existe dans les paquets) et pas besoin d'une autre machinee

en y pensant, ca doit bien faire 1 an que j'ai plus eu une seul alerte, personne n'aime scanné mon ip

[Terrano]

Ca se voit que tu n'as pas lu ma présentation lol.

Du temps j'en ai, des moyens j'en ai et de l'électricité j'en ai (suis en photovoltaïque 100% autonome)

Ensuite tu argumentes en mon sens avec des ports qui répondent timeout sans DMZ (et tes ports rerouté qui répondent) alors qu'avec ma DMZ ils répondent tous...

Peut être que quelque un se fera une joie de nous départager, mais ports et ip, pas le même combat...

Quand au reverse proxy, le placer sur le NAS, je rigole doucement... Vous m'entendez ?

Modifié le 2 février 2015 par Terrano

[gaetan.cambier]

chaque port supplemetaire ouvert étant un vecteur d'attaque supplémentaire, bref, c'est journée port(e)s ouvert avec ta config

[Terrano]

Je crois que tu cernes mal le fonctionnement d'un Honey Pot, de plus en plus utilisé d'ailleurs. L'inconvénient j'en conviens, c'est qu'il y a plus d'attaques visibles et donc ça peut faire peur. Mais en bloquant les ip systématiquement, on sécurise d'avantage la plateforme. Pas pour rien que c'est utilisé en entreprise.

Ce qu'il faut avoir peur c'est des attaques invisibles.

Oui, t'a plus de contraintes mais c'est un moyen préventif permettant de bloquer des adresses ip avant qu'elles agissent, je t'invite à lire cette article très instructif : http://www.securite101.com/blogue/2012/6/5/definition-pot-de-miel-honeypot.html

[gaetan.cambier]

je cite tes sources :

En entreprise, il est relativement rare de voir des pots de miels.

alors, qu'un particulier, sans connaissances informatiques pour la majorité, déploye cela ...

[Terrano]

Rho c'est ma fête.... IPv6 c'est rare aussi pour un particulier, on doit s'en priver ? Non mais sérieux je vous pensais plus constructif....

Je vais me taire ca sera mieux.

[Dex]

Du coup, pourquoi changer les ports par défaut ? Tout simplement pour les noyer dans la masse.

Les pirates connaissent par coeur les ports utilisés, y compris pour nos Syno, vous tous vous disez en avoir un.... Donc si je veux venir voir ce que vous avez chez vous, je tenterais les ports standards, non ?

Si tu suis le lien que j'ai mis dans mon message précédent, ce lien permet d'identifier clairement des synos, ainsi que le port utilisé par ces derniers même quand il n'est pas standard (tu en as un paquet dans les réponses qui utilisent autre chose que le 5000/5001).