[Résolu] Tentatives de piratage récurrentes

[j3r3m51]

Bonjour à tous,

Depuis plusieurs années, j'ai un nom de domaine qui pointe sur le dossier web de mon Syno.

De plus, j'ai créé quelques sous-domaines afin d'avoir accès rapidement accès à Audio Station, Video Station, Photo Station, Surveillance Station et Surveillance Station.

Cela m'évite ainsi d'avoir recours à QuickConnect, ce qui est pour moi beaucoup plus simple à retenir et surtout, m'affiche un décalage moindre dans Surveillance Station, là où il est 10 fois plus important via QuickConnect.

Cependant, depuis maintenant 2-3 mois, je suis victime d'environ une tentative de "piratage" par semaine. Par piratage, j'entends simplement des tentatives de connexion à DSM.

Les comptes sont protégés par la double authentification et j'ai réglé le nombre de tentative de connexions avant bloquage IP à 2.

Je pense que la personne utilise un VPN, puisque les tentatives de connexion viennent toutes de Moscou. Et ce qu'il y a sur mon NAS n'intéressera jamais Poutine, c'est certain!

J'avais pensé à rediriger les ports par défaut de DSM, notamment les ports d'accès à l'interface d'administration 5000 et 5001, mais effectuer cela m'interdit ensuite l'utilisation des applications Synology sur mobile. De plus, cette solution ne serait que très temporaire puisque je pense que scanner les ports actifs du nom de domaine ne doit pas être trop complexe pour certaines personnes.

J'ai bien conscience qu'utiliser QuickConnect serait une solution pour éviter cette situation, mais j'ai vraiment envie de conserver mes sous-domaines.

Dans ces conditions, qu'est-il possible de mettre en place pour éviter que cela perdure?

Je vous remercie par avance de vos réponses.

Modifié le 23 novembre 2018 par j3r3m51

[Kramlech]

Bonjour

D'abord, je pense qu'il vaut mieux voir des tentatives d'accès qui échouent que de ne pas voir des tentative d'accès qui réussissent !!!

Et que la seule solution absolue pour ne plus avoir aucune tentative de connexion, c'est ... de débrancher la prise électrique de ton Nas ...

Ceci dit, dans ton cas, il faudrait connaître les ports que tu as ouverts. Les principales règles sont les suivantes :

• Ne JAMAIS ouvrir le port 22 (c'est celui qui est le plus scanné)
• Eviter d'ouvrir les ports standard du DSM.
• Avoir des mots de passe fort (et utiliser la double autentification).

Tu peux aussi lire et appliquer l’excellent tuto de Fenir : [TUTO] Sécuriser les accès à son nas

Mais de toute manière sache que si toi tu peux accéder à ton Nas depuis l'extérieur, d'autres personnes le peuvent aussi ....

[PiwiLAbruti]

Si ton NAS n'a pas besoin d'être accédé depuis un autre pays que le tien, tu peux configurer une restriction géographique dans le par-feu du NAS (cf. tuto de Fenrir donné ci-dessus par Kramlech).

Il y a 6 heures, j3r3m51 a dit :

J'avais pensé à rediriger les ports par défaut de DSM, notamment les ports d'accès à l'interface d'administration 5000 et 5001, mais effectuer cela m'interdit ensuite l'utilisation des applications Synology sur mobile.

Je suppose que tu avais configuré un proxy inversé pour accéder à DSM. Si c'est le cas, il suffit simplement de préciser le port utilisé dans les applications mobiles.

Par exemple, en supposant que tu accèdes à DSM via l'adresse https://nas.domain.tld/, il suffit de saisir nas.domain.tld:443 dans les applications mobiles.

Modifié le 20 novembre 2018 par PiwiLAbruti

[Mic13710]

Et pour compléter ce que mes petits copains ont écrit, on n'utilise surtout pas les ports http pour se connecter de l'extérieur au NAS, et encore moins le port 5000 qui est l'accès à DSM. Toujours par des ports https, c'est un minimum pour avoir un peu de sécurité et de confidentialité des échanges.

Pour les attaques aliènes (Russie, Chine et autres pays "amis"), il y a le parefeu qui permet d'en empêcher un grand nombre en créant des règles par pays.

[j3r3m51]

Merci de ces réponses!

Je n'utilise pas le Reverse Proxy, simplement car j'ai un peu de mal à en comprendre vraiment l'intérêt dans mon cas. Et surtout car la configuration est plus complexe.

Dans l'onglet Applications, j'ai simplement configuré les applications qui m'intéressaient pour qu'elles écoutent les sous-domaines en question (cams.domaine.fr, videos.domaine.fr, etc...).

J'ai également configuré un sous-domaine pour l'accès à DSM via Paramètres / Réseau / Paramètres de DSM / Activer un domaine personnalisé (nas.domaine.fr).

Accéder à domaine.fr mène sur la page d'accueil de Web Station, nas.domaine.fr mène sur la page de connexion à DSM, cams.domaine.fr mène sur la page de connexion à Surveillance Station, etc.

Cela fonctionne sans problème depuis des années, je n'ai donc pas cherché au-delà. J'ai tout de même ajouté une règle pour filtrer les pays dans le pare-feu du Syno et supprimé la redirection du port 5000 sur mon NAS.

Voici donc ma configuration actuelle :

Routeur - Redirection des ports

DSM - Pare-feu

 

Cependant, il est vrai qu'accéder à nas.domaine.fr semble mener sur la page de connexion à DSM en HTTP.

Depuis ces petites modifications, l'application DS Cam n'arrive plus à se connecter, même après avoir tenté d'attribuer un port d'écoute à l'application et en le redirigeant.

 

Ceci commence légèrement à sortir de mes compétences et j'en suis désolé.

[Mic13710]

Quelques petites choses :

Dans votre routeur, je vois 1 règle qui ne convient pas, c'est le port 1701. Il faut bien l'ouvrir dans le NAS mais ne pas l'ouvrir vers l'extérieur (voir le Tuto de Fenrir sur le serveur VPN)

Dans vos règles du parefeu, ne mettez pas de règle bloquante intermédiaire. Les règles sont lues par ordre chronologique. Vous mettez toutes les règles d'autorisation avec leurs restrictions et c'est la dernière règle qui bloquera le reste. Et donc, plutôt que de faire un blocage sur votre 2eme règle, supprimez cette règle et mettez des restrictions géographiques d'utilisation sur les ports 80 et 443 car c'est surement sur ces ports que vous avez subit des attaques puisqu'ils sont ouverts aux quatre vents. Si vous n'avez pas besoin du port 80, fermez le dans le pare feu. S'il est uniquement ouvert pour la mise à jour de Let's Encrypt, il suffit de n'autoriser l'accès aux deux adresses IP de Let's Encrypt qu'on peut vous communiquer si vous le souhaitez.

Toujours dans vos règles de parefeu, vous bloquez actuellement tous les services VPN puisque les plages d'IP ne sont pas ouvertes. Autrement dit, vous pouvez vous connecter au serveur VPN du NAS mais vous ne pouvez pas utiliser votre connexion pour accéder à votre réseau car le parefeu bloque. Il vous manque des règles.

Voir les tutos de Fenrir et notamment le plus important, celui sur la sécurisation des accès NAS dont kramlech vous a donné le lien ci-dessus.

votre adresse nas.domaine.fr passe par le port 80. Pour passer par le 443 c'est https://nas.domaine.fr

[j3r3m51]

Merci @Mic13710!

Citation

Dans votre routeur, je vois 1 règle qui ne convient pas, c'est le port 1701. Il faut bien l'ouvrir dans le NAS mais ne pas l'ouvrir vers l'extérieur (voir le Tuto de Fenrir sur le serveur VPN)

Effectivement, grosse faille de sécurité et je vous en remercie. Heureusement que je n'utilise que très exceptionnellement le VPN!

J'avais arrêté l'utilisation du VPN puisque son fonctionnement était plutôt intermittent à l'époque. En effet, d'une heure sur l'autre, je ne pouvais plus forcément m'y connecter. Il était devenu plus simple d'ouvrir l'accès à DSM depuis le port 5001!

Il y a 13 heures, Mic13710 a dit :

Dans vos règles du parefeu, ne mettez pas de règle bloquante intermédiaire. Les règles sont lues par ordre chronologique. Vous mettez toutes les règles d'autorisation avec leurs restrictions et c'est la dernière règle qui bloquera le reste. Et donc, plutôt que de faire un blocage sur votre 2eme règle, supprimez cette règle et mettez des restrictions géographiques d'utilisation sur les ports 80 et 443 car c'est surement sur ces ports que vous avez subit des attaques puisqu'ils sont ouverts aux quatre vents.

Je pensais qu'imposer cette règle de refus dès le début ferait directement le tri des pays depuis lesquels je ne souhaite vraiment pas avoir de visites. Cela me paraissait plus simple que de créer des règles pour les pays autorisés. Cette règle pose vraiment problème? En modifiant les pays autorisés à se connecter aux ports HTTP et HTTPS, il faut effectivement que je pense à vérifier que le pays soit bien sélectionné avant d'y partir.

Mais effectivement, c'est très certainement depuis ces ports que les tentatives ont été effectuées!

Il y a 13 heures, Mic13710 a dit :

Si vous n'avez pas besoin du port 80, fermez le dans le pare feu. S'il est uniquement ouvert pour la mise à jour de Let's Encrypt, il suffit de n'autoriser l'accès aux deux adresses IP de Let's Encrypt qu'on peut vous communiquer si vous le souhaitez.

Les ports 80 et 443 sont utiles pour les visiteurs du site web hébergé sur Web Station. À l'heure actuelle, mondomaine.fr mène sur ce site et les différents sous-domaines mènent directement sur les applications Synology. Je vous remercie néanmoins de ces précisions et cette proposition concernant Let's Encrypt!

Il y a 13 heures, Mic13710 a dit :

Toujours dans vos règles de parefeu, vous bloquez actuellement tous les services VPN puisque les plages d'IP ne sont pas ouvertes. Autrement dit, vous pouvez vous connecter au serveur VPN du NAS mais vous ne pouvez pas utiliser votre connexion pour accéder à votre réseau car le parefeu bloque. Il vous manque des règles.

Effectivement, je comprends bien. À vrai dire, j'avais supprimé les règles concernant les plages IP de L2TP/IPSec en ne me souvenant plus de leur intérêt. Cela m'est vite revenu en retournant dans les réglages du Serveur VPN de Synology.

Il y a 13 heures, Mic13710 a dit :

votre adresse nas.domaine.fr passe par le port 80. Pour passer par le 443 c'est https://nas.domaine.fr

J'ai finalement coché la case "Redirections des connexions HTTP vers HTTPS". 🙂

[j3r3m51]

Voici la configuration actuelle de la redirection de ports de mon routeur :

Et voici celle du pare-feu du Syno :

 

Ce qui me donne un VPN fonctionnel et le fonctionnement des applications mobiles Synology. Retester le VPN m'a rappelé à quel point la connexion montante de mon domicile était horriblement faible... Ce qui ne donne vraiment pas envie de l'utiliser, je vous l'assure!

Les ports sont maintenant filtrés par pays, mais lorsque je supprime la règle sur le port 5001, les applications mobiles ne fonctionnent plus.

Modifié le 22 novembre 2018 par j3r3m51

[Mic13710]

Il y a 3 heures, j3r3m51 a dit :

Je pensais qu'imposer cette règle de refus dès le début ferait directement le tri des pays depuis lesquels je ne souhaite vraiment pas avoir de visites. Cela me paraissait plus simple que de créer des règles pour les pays autorisés. Cette règle pose vraiment problème?

Ce n'est pas un problème en soit, mais il est souvent plus simple et plus efficace de faire la liste des pays autorisés plutôt que celle de ceux qu'on ne veut pas (ils sont généralement beaucoup plus nombreux). Une fois que vous avez autorisé quelques pays d’Europe (pas tous), et les pays avec lesquels vous entretenez des relations, tout le reste peut être bloqué.

Pour les applis DS, vous pouvez spécifier le port 443 (mondomaine.fr:443), mais il faut pour cela que les requêtes soient redirigées vers les ports appropriés du NAS, d'où l'intérêt du reverse proxy !

[j3r3m51]

Il est vrai que l'accès aux pages Web est surtout intéressant pour les personnes francophones. Mais, à brider les ports à seulement ces visiteurs, j'ai peur de ne pas pouvoir accéder à mes applications (surtout DS Cam) lorsque je suis à l'étranger, ce qui m'arrive régulièrement.

Je vous remercie, je vais essayer de creuser l'utilisation du Reverse Proxy donc et reviendrai faire un bilan ici de ce que j'ai réussi à faire et comment.

[j3r3m51]

Il semblerait que je m'en sois plutôt bien sorti avec le Reverse Proxy, cela fonctionne!

Ça sera néanmoins légèrement plus complexe de communiquer les identifiants de connexion à mes amis et ma famille désormais 😛

 

Par contre, petite demande supplémentaire. Je souhaite que l'accès à DSM ne soit pas possible en dehors de mon réseau local (via un VPN ou lorsque je suis chez moi donc).

Dans Reverse Proxy, j'ai créé une règle qui pointe nas.domaine.fr vers 192.168.2.5 sur le port 5001.

Dans le Pare-feu, j'ai créé une règle qui accepte les connexions sur les ports 5000 & 5001 à partir du moment où les IPs sont de la plage 192.168.x.x et une autre règle pour la plage 10.x.x.x (VPN).

Cependant, j'arrive encore à me connecter à nas.domaine.fr depuis l'extérieur de mon réseau local. Qu'ai-je omis, s'il-vous-plait?

Modifié le 22 novembre 2018 par j3r3m51

[Mic13710]

Pour les connexions vers le NAS, préférez localhost à l'IP du NAS.

il y a 33 minutes, j3r3m51 a dit :

Dans le Pare-feu, j'ai créé une règle qui accepte les connexions sur les ports 5000 & 5001 à partir du moment où les IPs sont de la plage 192.168.x.x et une autre règle pour la plage 10.x.x.x (VPN).

Vous n'avez pas de règle supplémentaire à créer pour les IP privées puisque vos 3 règles de départ autorisent tous les ports.

Vous arrivez à vous connecter avec votre adresse nas.domaine.fr car vous n'avez pas de séparation de zone entre le LAN et le WAN. Et donc toute url sera résolue de la même manière.

Si vous voulez aller plus loin dans vos règles de domaine, il faudra passer par le serveur DNS. Là encore, vous avez l'excellent tuto de Fenrir, mais attention, il demande une certaine maitrise des réseaux et une connaissance des enregistrements des ndd.

Moi aussi j'ai un ndd nas.mondomaine, mais cette adresse est uniquement dans ma zone LAN. Elle est totalement inconnue côté WAN. Ceci grâce au serveur DNS.

Si vous vous lancez dans l'aventure, je vous conseille d'aller voir aussi mon intervention à la page 2 du tuto sur le serveur DNS.

[j3r3m51]

Merci encore de cette réponse! En effet, j'y ai pensé au cours de la nuit, mes dernières règles sont inutiles et le problème se situait autre part.

Dans tous les cas, ajuster les règles du pare-feu Syno et modifier la configuration du Portail des applications et du Reverse Proxy solutionnera sans le moindre doute les attaques dont il était question dans mon premier message. Merci encore!

Je vais étudier ce tutoriel et vous remercie de toutes ces réponses qui furent toutes efficaces et bienveillantes.

[Mic13710]

Pas de quoi. Ce fut un plaisir.