Aller au contenu

Alertes suspectes vers mon NAS

Diabolomagic

Par Diabolomagic
dans Intrusion Prevention

Messages recommandés

Diabolomagic Contributor

Diabolomagic

Posté(e)
Posté(e)

Bonjour,

J'ai beau retourner le problème dans tous les sens je ne vois pas, c'est pourquoi un petit coup de main pour comprendre ce qu'il se passe serait le bienvenue.
J'ai suivi le tuto de @Fenrir concernant la sécurisation de son NAS et j'ai malgré tout encore des alertes (que je ne comprend pas bien, je dois l'admettre) sur Treat Prevention.

On dirait que des scanners de port arrivent à atteindre les ports de mon NAS situé pourtant derriére mon routeur synology. Il n'y a pourtant qu'avec le VPN ou le reverse proxy qu'il est "normalement" possible de l'atteindre.

Concernant mes FW du NAS et ROUTEUR voici deux copies d'écrans :

NAS :

https://www.nas-forum.com/forum/uploads/monthly_2021_03/2007485050_fwnas.jpg.24142b9dcc90a5a6886d79be3531da93.jpg

ROUTEUR :

https://www.nas-forum.com/forum/uploads/monthly_2021_03/1033749571_fwrouteur.jpg.9569bdf377e98c5479f5d92c9151a17e.jpg

Voilà le type d'alerte que je rencontre de plus en plus souvent vers le NAS (DS416Play-1) :

https://www.nas-forum.com/forum/uploads/monthly_2021_03/954535631_threatprevention.jpg.2ac31b59608dcc641752529c615c4ff2.jpg

J'ai essayé de savoir d'ou provenait ces IP avec https://censys.io/ipv4 mais sans comprendre réellement si cela était à prendre au sérieux.

De quoi s’agit-il ? Faux positif ?

 

Lien vers le commentaire
Partager sur d’autres sites
Juan luis Enthusiast

Juan luis

Posté(e)
Posté(e)

Bonjour,

 

Tu as probablement configuré ton routeur en DMZ, au niveau la BOX. Dans ce cas il est normal que le routeur reçoive tous les scans dans la figure, ce qui rempli la log.

C'est pour cette raison que je préfère n'ouvrir que les ports nécessaires au niveau de la box.

Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Diabolomagic

Bonjour,

Juste pour comprendre, quel est l'intérêt d'autoriser dans le pare-feu du routeur toutes les @IP de tes réseaux locaux et sur tous les ports à accéder à tout ? (je te parle des lignes 2, 3, 4 de ta copie d'écran) ?

image.png.b053b9efd656b674592b0e3184abde7d.png

Je n'ai pas tous cela chez moi et je ne m'en porte pas plus mal ...

De plus, tu pourrais autoriser uniquement le NAS sur les ports 80 et 443 (en activant la règle n°5), ne serait ce pas suffisant ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites
maxou56 Mentor

maxou56

Posté(e)
Posté(e)
Il y a 3 heures, oracle7 a dit :

De plus, tu pourrais autoriser uniquement le NAS sur les ports 80 et 443 (en activant la règle n°5), ne serait ce pas suffisant ?

Bonsoir, @Diabolomagic

Elle est surtout à l'envers, car elle dans le sens NAS > Routeur > Internet. Et en sortie par défaut tous les ports sont autorisés.

Or je suppose que c'est ouvrir le port depuis internet qui était voulu? Donc IP sources "Tous" et IP destination "le NAS" ce qui est le cas par la règle automatique créer avec la transmission du port 443 (n°6 sur la capture).

 

Il y a 3 heures, oracle7 a dit :

Je n'ai pas tous cela chez moi et je ne m'en porte pas plus mal ...

Oui sur le Routeur aucun intérêt (le pare-feu ne concerne que les WAN1 ou le LAN1 si il est configuré en WAN2, pas le LAN comme sur les NAS), sauf si les ports en sortie sont aussi bloqués, ce qui n'est pas le cas ici.

Lien vers le commentaire
Partager sur d’autres sites
Diabolomagic Contributor

Diabolomagic

Posté(e)
  • Auteur
Posté(e)

@oracle7@maxou56

Bonjour, les règles 2 et 3 sont utiles car elles permettent l'utilisation du VPN (via VPN Plus installé sur mon routeur), qui dans mon cas fournis des adresses IP privée de Classe A.

Idem pour les adresses IP privée de classe B mais pour une autre utilisation que le VPN.

@Juan luis

En fait concernant la dernière ligne, ce n'est pas une règle de parefeu, c'est une règle de transmission de port qui apparait dans les régles du parefeu.

1570011672_transmissionport.thumb.jpg.c76ad637d83755cbd956b3be6dcbbbbc.jpg

On peut via les parametres dans le menu "transmission de port" choisir de faire apparaitre ces règles ou pas dans les règles de parefeu.

Ma régle sur le port 443 sert a rediriger le trafic HTTPS pour photostation et applications diverses via le reverse proxy. Et du coup non on ne peut pas la modifier. Pas a ma connaissance en tout cas, c'est là qu'intervient le parefeu du NAS qui lui n'autorise que les IP situées en france.

Je n'active la régle qui redirige le trafic http sur le NAS uniquement quand je renouvelle le certificat let's encrypt.

 

Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Diabolomagic

Bonjour,

Il y a 2 heures, Diabolomagic a dit :

les règles 2 et 3 sont utiles car elles permettent l'utilisation du VPN (via VPN Plus installé sur mon routeur), qui dans mon cas fournis des adresses IP privée de Classe A.

Je te confirme que ces règles ne sont pas utiles au niveau du pare-feu du routeur, j'utilise, sans elles, aussi le VPN Plus du routeur avec VPN SSL et/ou OpenVPN et je n'ai aucun problème de connexion et trafic VPN en me connectant depuis l'extérieur d'une part et d'autre part j'accède du coup à tout mon réseau local en VPN.

@maxou56 Tu as bien fait d'apporter ces précisions.😀

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Diabolomagic

Bonjour,

Oui, le principe au niveau du routeur est de n'ouvrir que les ports nécessaires aux applications/services qui sont derrière lui et qui en ont besoin (80, 443 pour les NAS, 87 monitoring sous SNMP, 25, 587, 993 Mail Plus serveur, 1194, 500, 1701, 4500 VPN Plus, etc ...).Tout le reste est et doit être refusé.

Pour le port spécifique 22 SSH je n'active la règle que seulement si j'ai besoin d’accéder par exemple au NAS en SSH mais cela reste hyper ponctuel et juste le temps de la connexion.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites
Diabolomagic Contributor

Diabolomagic

Posté(e)
  • Auteur
Posté(e)

@maxou56@oracle7

Bonjour 🙂

Sur vos conseils j'ai fait un gros ménage de règles sur le parefeu du routeur ! Il doit être difficilement possible de faire plus drastique.984378080_rulesfw.thumb.JPG.f2769b05fdb643ab6e9c133c3bbcf813.JPG
J'ai laissé la transmission de port 443 vers le NAS pour le reverse proxy et l’accès vers VPN Plus et voilà, c'est tout ! J'active ma régle de transmission de port vers le NAS sur le port 80 uniquement le temps de renouveler le certificat quand cela est nécessaire.
Ayant le service SSH d'activer sur le routeur (pour pouvoir le dépanner en cas de besoin) j'ai essayé de m'y connecter via mon smartphone depuis mon réseau mobile et je me fait jeter.
Si vous avez d'autres remarques, n'hésitez pas je suis preneur🙂 Merci encore pour votre aide.

Pour conclure j'en déduit que les alertes que j'ai eu sur threat prevention concernant mon NAS étaient parvenus jusqu'à lui via le port 443. Je ne sais toujours pas si c'était a prendre au sérieux, la documentation se fait rare sur le net.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.