Je n'utilise plus Quickconnect, et pourtant ...

[Valmalenco]

Bonjour à tous,

Après avoir longuement parcouru le forum et autres tutoriels, j'ai compris qu'il valait mieux ne pas utiliser Quickconnect.
J'ai donc mis en place mon nom de domaine, et pourtant aujourd'hui, je constate des tentatives d'intrusion, certes, beaucoup moins que lorsque Quickconnect était activé, mais elles existent encore... Et je me posais justement la question, comment est-ce possible ? 

Est-ce que vous aussi vous rencontrez ce même problème ?

Citation

L'adresse IP [14.182.210.112] a connu 1 tentatives échouées en essayant de se connecter à SSH ouvert sur TheWire dans un intervalle de 180 minutes, et a été bloquée à Sun Aug 7 12:26:54 2016.

Je vous remercie d'avance,

[Fenrir]

Quickconnect facilite l'accès, le fait de ne pas l'utiliser ne veut pas dire que l'accès est bloqué.

Tu as surement laissé les ports ouvert sur ta box et sur ton syno, ou pire, tu utilises Configuration du routeur

nb : il ne faut pas s’inquiéter quand le syno envoi une alerte indiquant qu'il a bloqué un truc, il faut s'inquiéter de tout ce qu'il ne voit pas

[Mic13710]

Il faudrait peut-être commencer par faire les réglages qu'il faut dans le pare-feu.

L'adresse qui a été bloqué est au Vietnam. A moins que vous ayez des relations là-bas, vous pouvez déjà bloquer les accès par pays. Il suffit de faire une règle qui bloque tous les pays qui ne sont pas validés. Déjà ça va faire du ménage sans bruit et il y aura moins d'intrus en tous genres situés principalement en asie, russie et pays de l'est.

[Valmalenco]

Bonjour @Fenrir et @Mic13710,

Merci pour vos réponses ! 

 

Il y a 1 heure, Fenrir a dit :

Quickconnect facilite l'accès, le fait de ne pas l'utiliser ne veut pas dire que l'accès est bloqué.

Je pensais que les bots vérifiaient uniquement le nom de domaine QuickConnect, et que du coup, je serais tranquille sans !

 

Il y a 1 heure, Fenrir a dit :

Tu as surement laissé les ports ouvert sur ta box et sur ton syno, ou pire, tu utilises Configuration du routeur

Malheureusement, la box de chez SFR n'est pas aussi pratique qu'un "vrai" routeur et j'ai du autoriser DMZ.
J'attends le prochain routeur Synology, comme je te l'avais dis en privé. D'ailleurs, on en sait plus sur la date de sortie ?

 

il y a une heure, Mic13710 a dit :

Il faudrait peut-être commencer par faire les réglages qu'il faut dans le pare-feu.

L'adresse qui a été bloqué est au Vietnam. A moins que vous ayez des relations là-bas, vous pouvez déjà bloquer les accès par pays. Il suffit de faire une règle qui bloque tous les pays qui ne sont pas validés. Déjà ça va faire du ménage sans bruit et il y aura moins d'intrus en tous genres situés principalement en asie, russie et pays de l'est.

C'est déjà fais ! Du moins, au niveau du NAS...

 

Je pense qu'à ce niveau, je ne suis pas trop mauvais ! :D 

 

Bon dimanche,

[Fenrir]

il y a 7 minutes, Valmalenco a dit :

Je pensais que les bots vérifiaient uniquement le nom de domaine QuickConnect, et que du coup, je serais tranquille sans !

ils ne regardent même pas s'il y a un nom de domaine, ils scannent juste toutes les ip de la planète

il y a 8 minutes, Valmalenco a dit :

Malheureusement, la box de chez SFR n'est pas aussi pratique qu'un "vrai" routeur et j'ai du autoriser DMZ.

ça m’étonnerais que tu ne puisses pas faire une simple redirection de port

il y a 9 minutes, Valmalenco a dit :

C'est déjà fais ! Du moins, au niveau du NAS...

c'est un gruyère ton firewall

1. Tu autorises on ne sait pas quoi pour toute la planète (il y a probablement le ssh/scp dans la liste)
2. cette règle est ok mais ça devrait être la première
3. tu autorises TOUT depuis la France
4. cette règle est ok mais ne sert presque à rien avec les trous qu'il y a au dessus

=>version corrigée :

1. Autorise tout depuis 192.168.0.0/255.255.0.0
2. Autorise uniquement les ports que tu veux laisser ouvert depuis la France
   • n'autorise pas les ports d'administration (DSM, ssh,  snmp ...)
3. Autorise uniquement les ports que tu veux laisser ouvert depuis toute la planète, à mon avis tu n'as pas besoin de le faire, mais si c'est cas :
   • n'autorise pas les ports d'administration (DSM, ssh,  snmp ...)
   • limite aux pays nécessaires (ceux où tu voyages souvent, ceux de la famille ou des amis)
4. Bloque tout le reste

Si tu veux administrer depuis le net, utilises le serveur VPN du Synology, ça marche très bien et c'est très simple.

[CoolRaoul]

En complément à @Fenrir, le principe est que les règles du firewall s'appliquent de haut en bas. Des que la condition d'une règle est vérifiée, l'action correspondante (autoriser ou refuser) est sélectionnée et les règles suivantes sont par conséquent ignorées.

Si aucune condition s'applique, c'est l'action par défaut ("si aucune règle n'est remplie") qui est sélectionnée.

En général je préconise de commencer par une règle "open bar" qui autorise le réseau local (192.168.XX.YY en général) pour ne pas se retrouver bloqué. Et ensuite c'est selon son usage.

Modifié le 7 août 2016 par CoolRaoul

[Valmalenco]

Il y a 3 heures, CoolRaoul a dit :

En complément à @Fenrir, le principe est que les règles du firewall s'appliquent de haut en bas. Des que la condition d'une règle est vérifiée, l'action correspondante (autoriser ou refuser) est sélectionnée et les règles suivantes sont par conséquent ignorées.

Si aucune condition s'applique, c'est l'action par défaut ("si aucune règle n'est remplie") qui est sélectionnée.

En général je préconise de commencer par une règle "open bar" qui autorise le réseau local (192.168.XX.YY en général) pour ne pas se retrouver bloqué. Et ensuite c'est selon son usage.

Bonjour CoolRaoul, merci pour ton message et cette précision ! Je l'avais effectivement lu sur le forum, je vais expliquer plus bas, pourquoi cette première règle ;)

 

Il y a 3 heures, Fenrir a dit :

ils ne regardent même pas s'il y a un nom de domaine, ils scannent juste toutes les ip de la planète

C'est affolant ce truc.

 

Il y a 3 heures, Fenrir a dit :

c'est un gruyère ton firewall

1. Tu autorises on ne sait pas quoi pour toute la planète (il y a probablement le ssh/scp dans la liste)
2. cette règle est ok mais ça devrait être la première
3. tu autorises TOUT depuis la France
4. cette règle est ok mais ne sert presque à rien avec les trous qu'il y a au dessus

=>version corrigée :

1. Autorise tout depuis 192.168.0.0/255.255.0.0
2. Autorise uniquement les ports que tu veux laisser ouvert depuis la France
   • n'autorise pas les ports d'administration (DSM, ssh,  snmp ...)
3. Autorise uniquement les ports que tu veux laisser ouvert depuis toute la planète, à mon avis tu n'as pas besoin de le faire, mais si c'est cas :
   • n'autorise pas les ports d'administration (DSM, ssh,  snmp ...)
   • limite aux pays nécessaires (ceux où tu voyages souvent, ceux de la famille ou des amis)
4. Bloque tout le reste

Si tu veux administrer depuis le net, utilises le serveur VPN du Synology, ça marche très bien et c'est très simple.

Alors concernant la première règle, je n'avais pas fais attention, et effectivement elle me paraissait étranger.
Je n'avais plus autant de tentatives depuis plusieurs temps, et l'IP vietnamienne aurait du me faire réagir. Je pense qu'en modifiant un paramètre, j'ai du avoir la notification pour accepter une nouvelle règle, que j'ai du accepter.. merci de me l'avoir fais remarquer.

Je te remercie pour cette proposition corrigée,

Pour l'administration VPN du synology, le principe c'est ce que nous parlions en privé ? Pas nécessaire d'installer OpenVPN sur un serveur OVH..

En gros, je suis ce tutoriel ? https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup

Résultat, pour reprendre ta règle : 

 

1. Autorise tout depuis 192.168.0.0/255.255.0.0
2. Autorise uniquement les ports que je veux laisser ouvert depuis la france (pour les amis, famille comme SFTP/FTP/ou applications ? mais je n'autorise rien d'autre pour l'administration comme DSM,SSH,...)
3. Autoriser les ports d'autres pays, lorsque je pars en vacances, à l'étranger mais uniquement pour les transferts, et encore elle pourrait être remplacé par cette règle :
 3.1. Autoriser IP du VPN uniquement avec les ports que je souhaite, et si je veux administrer depuis le net, autoriser le DSM)
4. Bloquer tout le reste.

Merci à tous pour votre participation !

 

[Fenrir]

il y a 1 minute, Valmalenco a dit :

Pour l'administration VPN du synology, le principe c'est ce que nous parlions en privé ? Pas nécessaire d'installer OpenVPN sur un serveur OVH..

Le principe c'est qu'il n'est normalement pas nécessaire d'administrer le nas à distance 99% du temps, pour les 1% restant, un petit accès VPN de secours peut servir. Je ne vois pas ce que vient faire OVH dans cette histoire.

il y a 5 minutes, Valmalenco a dit :

En gros, je suis ce tutoriel ? https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup

oui mais ne choisis pas pptp, c'est plein de trous

 

[Valmalenco]

C'est vrai que quand j'y réfléchis. Je n'ai normalement pas besoin d'y accéder. Excepter le second NAS qui se trouve chez un membre de la famille.

ce que je voulais dire c'est qu'en utilisant VPN server, je le trouvais moins personnalisable que si n'installais OPENVPN sur un petit VPS 

[Fenrir]

il y a 24 minutes, Valmalenco a dit :

ce que je voulais dire c'est qu'en utilisant VPN server, je le trouvais moins personnalisable que si n'installais OPENVPN sur un petit VPS 

Ce n'est pas ton VPS chez OVH qui va te permettre d'accéder à ton nas chez toi

Pour ce qui est de la personnalisation, il te manque quoi comme réglage que tu utilises et qui soit vital ???

[Valmalenco]

Dans ce que j'utilise et qui est vitale, ce sont certains fichiers sur le NAS, que j'ai parfois besoin au bureau, de pouvoir y accéder facilement.
Donc, effectivement, l'accès au DSM externe, n'est pas nécessaire. Excepté pour celui ne se trouvant pas chez moi.
Si seulement j'avais une IP fixe, j'aurais pu accepter uniquement cette ip.

Dans les services, j'utilise donc le transfert FTP, uniquement en extérieur, DS Files et Transmission.