Bonjour,

Je voulais vous faire part de différentes connexions entrantes/sortantes depuis DSM 7 qu'on ne retrouve pas forcément sur DSM 6.

Point important : aucun accord n'a été donné de ma part dans l'envoi de données à Synology ou autrui et tout est désactivé dans les différents appareils, applications et NAS !

Malgré ça, Synology continue quand même de prendre certaines informations liées à notre utilisation. Vive la loi RGPD 🤣

 

Pour désinstaller ou simplement stopper les paquets "Secure Signin" et "Active Insight", lancez ces quatre commandes en SSH (sudo requis) puis aller dans chacune de ces applications dans le centre de paquets 😉

sed -i 's/ctl_stop="no"/ctl_stop="yes"/g' /var/packages/SecureSignIn/INFO
sed -i 's/ctl_uninstall="no"/ctl_uninstall="yes"/g' /var/packages/ActiveInsight/INFO
sed -i 's/ctl_stop="no"/ctl_stop="yes"/g' /var/packages/ActiveInsight/INFO
sed -i 's/ctl_uninstall="no"/ctl_uninstall="yes"/g' /var/packages/SecureSignIn/INFO

 

Active Insight :

Il est à noté que Active Insight passe par un serveur en Allemagne et qu'ils ont bien des informations sur nos NAS, l'utilisation, localisation etc...

 

Voici ce que mon serveur DNS AdGuard retient des connexions faites avec Synology depuis DSM 7 (DSM 6 aussi pour certains domaines) et sur quelles intervalles :

Résumé des domaines qui entrent en contact avec DSM 7 :

• pkgupdate.synology.com

• dataupdate.synology.com
• pkgautoupdate.synology.com
• utyautoupdate.synology.com
• global.download.synology.com

• sns.synology.com
• insight.synology.com

• static.insight.synology.com

• api.insight.synology.com

• secreport.synology.com

• account.synology.com

• identity.synology.com
• checkport.synology.com
• checkip.synology.com

 

Détails des domaines :

checkport.synology.com

 

Je ne sais pas à quoi sert ce lien exactement même si on peut supposer qu'il demande la liste des ports ouverts mais son intervalle de connexion est limitée. Bloqué de mon côté !

 

 

 

 

checkip.synology.com

 

Sur ce domaine que je suppose être pour vérifier l'adresse IP du NAS afin de configurer le DDNS a une petite intervalle avec une demande en moyenne entre 3 et 5 minutes.

Malgré une IP fixe, j'avais un DDNS de configuré pour mes clés de sécurité car obligatoire pour DSM 7.

 

 

Edit :

Il s'avère que même une fois le DDNS supprimé du NAS, Synology continue de vérifier et prendre l'adresse IP du NAS en permanence ! Bloqué de mon côté !

 

 

 

 

pkgupdate.synology.com

 

On peut voir que pour ce domaine, l'intervalle de connexion est aussi régulière.

 

 

 

dataupdate.synology.com (A REVOIR EN LIVE SOUS DSM 7 POUR CONFIRMATION)

 

La encore, je ne sais pas exactement à quoi sert ce domaine mais on peut se douter que c'est pour une recherche de MAJ. On constate aussi que c'est un domaine utilisé par DSM 6 car mon serveur Poseidon (192.168.10.110) est sur cette version.

Pour l'intervalle de connexion, on peut constater que c'est  environ

 

 

 

 

sns.synology.com

 

Je n'ai pas trouvé à quoi correspond ce domaine mais on peut constater qu'il est utilisé par plusieurs appareils ! Bloqué de mon côté !

 

Appareils référencés :

• Smartphone
• Routeur Synology RT2600AC
• NAS DSM 7
• PC Fixe

L'intervalle de connexion est régulière, entre 5 et 20 minutes en moyenne pour un même appareil.

Après différents tests, ça à l'air de provenir de l'application "CHAT" quand on l'ouvre. 

 

 

 

utyautoupdate.synology.com

 

Là encore, je n'ai rien trouvé lié à ce domaine mise à part qu'il est lié à des appareils hors NAS ou smartphones qui contiennent des applications Synology.

On peut supposer que c'est une vérification d'existence de MAJ pour chat, Note Station ou autre car ça concerne que des ordinateurs.

Dans l'exemple ci-dessous, on trouve un ordinateur fixe sous Windows, un ordinateur portable sous Windows mais bien qu'il ne soit pas dans la liste, je peux aussi mon Macbook PRO sous MAC OS.

 

 

 

global.download.synology.com

 

Ce domaine est lié au téléchargement de paquets ou d'applications que ce soit sur un NAS ou sur des ordinateurs Windows et MAC OS.

 

 

 

 

insight.synology.com

api.insight.synology.com

 

Je met les deux domaines ensemble parce que mon serveur DNS AdGuard n'arrive pas à filtrer uniquement le premier domaine...

Là aussi on peut voir que les intervalles de connexions sont importantes alors même que le service est installé mais non configuré ni utilisé... Bloqué de mon côté !

 

 

 

 

static.insight.synology.com

 

Là, je constate donc que c'est des statistiques de connexion qui ne peuvent être qu'envoyer depuis un navigateur sur ordinateur (dans le cas présent en tout cas). Bloqué de mon côté !

Je n'ai encore rien déterminé sur l'intervalle d'envoi des données à Synology car semble aléatoire et non lié à une connexion en direct.

 

Passe par un serveur aux USA et par les services de Google.

 

 

 

 

 

 

pkgautoupdate.synology.com

 

Sur ce domaine, je suppose que c'est lié au packets installés et une éventuelle demande de MAJ de ces derniers de la part de Synology sur nos NAS.

En tout cas, c'est lié à DSM 7 et à DSM 6 ! On peut constater qu'une demande est effectuée à Synology lorsqu'on se connecte à notre NAS via l'interface web.

 

 

 

secreport.synology.com

 

Là encore je n'ai pas beaucoup d'informations sur ce domaine à part que le serveur est situé à Taiwan et que la connexion est demandées via un ordinateur fixe. Bloqué de mon côté !

 

 

 

 

 

account.synology.com

 

Je suppose dans ce domaine que c'est lié au compte Synology que l'on a enregistré sur nos NAS. On peut voir qu'il est demandé par les NAS mais aussi d'autres appareils comme ordinateurs ou smartphones.

Le serveur est aux USA et utilise aussi les services de Google. Bloqué de mon côté !

 

 

 

identity.synology.com

 

Là, je ne sais pas du tout ce que peut être ce domaine. On voit par contre que le serveur se situe aux USA et qu'il est demandé par des NAS sous DSM 7 et des ordinateurs (navigateur). Bloqué de mon côté !

 

 

 

 

 

 

Voilà en gros ce que j'ai trouvé pour le moment.

 

Modifié le 12 octobre 20205 a par unPixel

Merci pixel pour les infos
Question tu as fait un signalement de toutes ces connections à qui de droit?


Envoyé de mon iPhone en utilisant Tapatalk

Pas encore mais je compte bien le faire dès que j'ai un moment.

Déjà à l'époque quand j'ai constaté qu'ils ne respectaient pas la loi RGPD quand ils ont intégrés les prises de statistiques sur différentes applications iOS et Android, je leur avais fait savoir.

 

@unPixel
 bonjour, 
je vois que tu as fait très fort et c'est très argumenté.
 Merci d'avoir publié le résultat de ton investigation et de me conforter dans les résultats que j'avais trouvé par le sniffage de mon réseau et cela depuis quelque temps déjà.
J'avoue que je n'ai pas fait personnellement toutes les investigations tout seul... je suis toujours en contact avec de bons anciens collègues qui sont plus jeunes, plus vifs et plus au fait des nouvelles technologies car depuis ma retraite, j'ai un peu laissé cela de coté.
je reconnais ne pas avoir eu le courage de 'soulever le lièvre' de ces connexions 'sournoises'. je n'aurais pas (plus) eu tous les mots, explications et démonstrations pour appuyer mes suppositions.
Me permettras-tu de donner le résultat de tes recherches à mes anciens collègues (toujours des copains) pour qu'ils se fassent les dents.. (rire)
merci encore pour ton retour.

anti🍺

Bien entendu, c'est posté ici donc tu peux le partager 😉

Je n'ai pas trop poussé par manque de temps mais je voulais quand même en avoir le cœur net connaissant les récentes méthodes de Synology...

Bonjour,

Très intéressant ce post. y a t il le même pour DSM 6?

J'utilise personnellement PI-Hole dans un docker sur le syno. Est-ce qu'un blocage avec cette apps peut faire la même chose?

 

Merci

Adguard et Pi-hole font sensiblement la même chose, à quelques exceptions près.
Le blocage de domaines est évidemment disponible pour chacun d'eux, c'est même leur fonction principale. 😉 

Et suite à la réponse de .Shad., non il n'y a pas ce topic sur DSM 6.

A l'époque, DSM 6 n'était pas intrusif et l'est devenu "légèrement" par la suite mais rien comparé à DSM 7.

A votre avis, se peut-il que ces connections supplémentaires soient liées au monitoring de cette version Alpha et disparaissent dans la version finale ?

Alors attention déjà beaucoup de domaine sont connus sous dsm6, ne bloque pas comme ça à la légère @unPixel :

• pkgupdate.synology.com : Update des packets

• dataupdate.synology.com : Update de DSM
• utyautoupdate.synology.com : Update des applications
• pkgautoupdate.synology.com : Update des packets
• sns.synology.com : Pour le trouver le nas via Find
• insight.synology.com : Pour le lien insight

• static.insight.synology.com : Pour télémétrie insight
• api.insight.synology.com : Pour insight
• secreport.synology.com : Update conseiller sécurité
• account.synology.com : Plusieurs usages : licence, ...

Etc...

Pour moi la seule nouveauté c'est insight

Merci pour le détail.

SNS ne devrait pas fonctionner chez moi normalement car je n'ai pas autorisé la recherche du NAS par find justement...

Et ce qui me plait pas, c'est que certains domaines ne devraient rien demander si il est en OFF comme Insight ou Secure Signin.

Ouaip mais j'ai vue que l'option est disponible dans les paramètres, je penses qu'il y a un lien passif lier au compte synology (moi j'en est un par rapport aux licences)

Ou alors tu as les ports synology assistant ouverts ?

Pour Insight et secure signin sa reste la même chose, encore plus avec la nouveauté, un lien passif, perso sa me dérange pas plus que sa que sa ping moi, je sais que aucune donnée perso ne sort, par contre d'avoir désactivé secure  signin je ne sais pas qu'elle conséquence cela peut avoir sur la double auth (j'ai pas été voir le niveau d'intégration), donc attention à cela, ne pas avoir avoir de problème derrière.

Aucune incidence si on utilise la double auth via le code auto généré.

Et non, je n'ai aucun autre port d'ouvert en dehors de 80, 443 et 6690 (obligatoire pour Drive).

Oui enfin ce que tu ouvres dans le pare feu, c'est pour le rentrant, la nas en lui même peut communiqué avec qui il veut 🙂

Que tu penses...

Ce que je ne veux pas il ne peut pas ! Je contrôle ce qui rentre ou sort.

Je te rappelle qu'il n'y a pas que le pare feu qui contrôle ou gère ce qui passe sur le réseau...

Modifié le 12 octobre 20205 a par unPixel

Le 12/10/2020 à 12:12, Geoff1330 a dit :

Bonjour,

Très intéressant ce post. y a t il le même pour DSM 6?

J'utilise personnellement PI-Hole dans un docker sur le syno. Est-ce qu'un blocage avec cette apps peut faire la même chose?

 

Merci

Salut , juste pour savoir lors de la configuration de ton pi-hole, au niveau de Upstream DNS Servers tu as coché quoi ?

Le 15/11/2020 à 00:51, Sudo_Root a dit :

Salut , juste pour savoir lors de la configuration de ton pi-hole, au niveau de Upstream DNS Servers tu as coché quoi ?

Salut, j'ai coché les deux IPv4 sur Google (ECS)

@unPixel Bonsoir, stp tu as un bon tuto sur comment bien Optimiser Adguard ? je viens de l'installer pour le tester.

 

j'ai aussi un autre soucis avec l'attribution du DNS sur les périphériques.

j'ai deux routeurs dans mon réseau.

** celui de l’opérateur orange ( sur son Lan, j'ai un DHCP en 192.100.200.100 )

** Mon deuxième routeur ( Linksys EA9500, IP : 192.168.100.1)  est celui où est connecté mon NAS ( j'ai installé ADgaurd sur Docker avec l'adresse 192.168.100.240) avec l'adresse 192.168.100.250.

le WAN du deuxième routeur reçoit l'adresse IP automatiquement du routeur 1.

Dans la configuration du LAN de mon deuxième routeur, sur le DNS , j'ai mis directement l'adresse ip de mon Adguard.

en configurant manuellement les Adresses ip sur les équipements, je peux bien mettre le DNS adguard, mais en DCHP , ils prennent automatiquement l'adresse Ip du routeur 2.

mon problème se situe au niveau du DNS sur les équipements, est’il possible de faire à ce que les équipements prennent en compte l'adresse IP d'Adgouard comme DNS ( 192.168.100.240) au lieu de l'adresse ip du routeur 2 comme DNS par défaut ?

 

** Sur tes captures d’écran, est ce que l'adresse ip mentionnée au niveau de client a une importance ?

Modifié le 25 novembre 20205 a par Sudo_Root
pétite erreur