Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)

[oracle7]

@MilesTEG1

Bonjour,

il y a 5 minutes, MilesTEG1 a dit :

Faudrait que je réduise la plage d’ip autorisée à ce niveau là, mais ça va m’obliger à mettre une ligne de plus pour le réseau VPN en 192.168.10.x.

Certes, mais cela aurait l'avantage d'être explicite. Maintenant c'est toi qui voit ...🤣

Cordialement

oracle7😉

[YvesBert]

Salut @adelac

Si cela peut te rassurer, je me suis "amusé" de mars 2018 à octobre 2020 à référencer toute les adresses IP des attaques sur le compte admin désactivé dans les 38 nas que je supporte.

Les modèles vont de DS216 à des 415, 418, 918, etc. J'ai référencé les différences de config, les versions DS, quickconnect activé ou pas etc etc, sans y trouver un quelconque point commun

Les origines des ip (selon www.ip-adress.com) varient entre la Russie, Singapour, les US ou encore la Chine. Certains NAS ont eu plus de 10 attaques en une journée.

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

C'est la meilleures des configuration que j'aie trouvé.

Belle journée à toi. Yves

[oracle7]

@YvesBert

Bonjour,

C'est effectivement une excellente et efficace approche 😀

Cordialement

oracle7😉

[MilesTEG1]

il y a 22 minutes, YvesBert a dit :

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

 

Attention toutefois à bien mettre la règle qui bloque tout en tout dernier 😉 
mais sinon c'est une excellente technique que j'ai appliquer ^^

il y a une heure, oracle7 a dit :

Certes, mais cela aurait l'avantage d'être explicite. Maintenant c'est toi qui voit ...🤣

Oué oué oué 😄
Mais du coup, me faudra 3 lignes en tout 🤪
une pour mon LAN : 192.168.2.0/24
une pour le LAN de ma box : 192.168.1.0/24 (mais là, peut-être que seule l'IP de la box suffirait ? Qu'en penses-tu @oracle7 vu que tu es dans une configuration très similaire à la mienne de ce coté là (LB4 -> RT2600AC -> Swtich(s) / LAN.))
et une dernière pour le VPN :  192.168.10.0/24

Et en fait je me dis que j'ai aussi dans le RT un réseau wifi invité entre 192.168.3.10 et 192.168.3.20 quand je l'active. Faut-il que je les rajoute ? 
À la réflexion, non, car je n'ai pas besoin que les invités accèdent au NAS s'ils se connectent en wifi...
Et certains sont sur mon LAN principal car ils castent sur ma TV...

[YvesBert]

Il y a 1 heure, MilesTEG1 a dit :

Attention toutefois à bien mettre la règle qui bloque tout en tout dernier 😉 
mais sinon c'est une excellente technique que j'ai appliquer ^^

@MilesTEG1Ta réflexion m'interpelle.  Est-ce à dire que si je le place en tête des règles, plus rien en dessous ne sera pris en compte ?  Ou dans l'autre sens, si je veux rajouter une nouvelle règle, cela signifie que je dois supprimer la règle de tout-tout-tout, faire ma nouvelle règle, puis recréer ma règle tout-tout-tout ??

[MilesTEG1]

@YvesBert

Le parefeu Synology (NAS, Routeur), (pour les autres marques je ne sais pas), fonctionne en mode descendant : la dernière règle de la liste (la plus basse) étant la dernière règle appliquée, après chacune des précédentes.

Exemple :

• Règle n°1
• Règle n°2
• Règle n°3
• Règle n°4 : interdisant tout

Les règles sont lues et appliquées dans l'ordre descendant. La dernière bloque tout.

Mais si tu fais ça :

• Règle n°1
• Règle n°2 : interdisant tout
• Règle n°3
• Règle n°4

Les règles n°3 et n°4, quoiqu'elles autorisent ne servent à rien car la n°2 interdit tout.

Et pas besoin de tout supprimer quand tu veux ajouter une règle après-coup, tu n'as qu'à les glisser avec les trois traits de gauche :

 

En fait c'est bien décrit en bas de la zone du pare-feu 😮 

[Mic13710]

@YvesBertle parefeu applique les règles à la suite. La vérification s'arrête lorsqu'une règle s'applique. S'il rencontre une règle qui stoppe tout, il n'ira pas plus loin puisque par définition cette règle s'applique dans tous les cas. Ce qui suit ne sera pas testé.

Si vous voulez ajouter une règle, il faut la placer avant celle du refus. Inutile d'effacer la règle du refus, vous pouvez déplacer les règles directement dans le parefeu.

[maxou56]

Bonjour,

Pour compléter le message de @Mic13710

Si il n'y a pas de règle Tous > Tous > Refuser à la fin de "toutes les interfaces" ou si c'est vide le pare feu continuera et interrogera les règles des différentes interfaces. Donc bien cocher "si aucune règles n'est remplie: refuser l'accès" (= Tous > Tous > Refuser) pour chaque interfaces.

[PiwiLAbruti]

Ce thread mériterait d'aboutir sur un tutoriel dédié à la configuration du pare-feu. Le tutoriel Sécuriser les accès à son NAS (rubrique Sécurité > Pare-feu) est déjà assez explicite sur le sujet même s'il est très dense à suivre pour un utilisateur novice.

Contrairement au tutoriel, je préconise de créer des règles pour chaque interface utilisée et de n'en mettre aucune dans Toutes les interfaces (ou alors pour du blocage ciblé). C'est même obligatoire pour ceux utilisant un client VPN sur leur NAS (autoriser des réseaux privés entrants sur une interface VPN, dont 10/8, c'est vraiment mal).

On pourrait aussi y expliquer comment identifier les plages d'adresses des opérateurs pour restreindre les accès au minimum nécessaire (comme 37.160/12 pour Free mobile, par exemple). C'est toujours plus efficace que d'exposer des services à la France entière.

[YvesBert]

Bon Diou @Mic13710 je n'avais jamais vu que l'on pouvait déplacer des règles !!  Quel flan je fait. Merci pour l'info.

ps: je raffole ce forum, on en apprend tout les jours, et ça, ben c'est cool. Merci à tout ceux qui interviennent

[MilesTEG1]

Il y a 1 heure, maxou56 a dit :

Si il n'y a pas de règle Tous > Tous > Refuser à la fin de "toutes les interfaces" ou si c'est vide le pare feu continuera et interrogera les règles des différentes interfaces. Donc bien cocher "si aucune règles n'est remplie: refuser l'accès" (= Tous > Tous > Refuser) pour chaque interfaces.

Tiens avec ce que tu dis sur les différentes interfaces (LAN1, LAN2, ... VPN),  j'ai regardé, et sur chacune de ces interfaces j'ai ça : "Si aucune règle n'est remplie : ☑️Autoriser l'accès" de cochée.

Est-ce qu'il est préférable de laisser ainsi ? Ou bien de mettre sur Refuser ?
Sachant que j'ai une dernière règle dans "Toutes les interfaces" qui est sur Refuser pour Tous :

[PiwiLAbruti]

@MilesTEG1 Sachant que tu as déjà une règle qui est systématiquement satisfaite dans la zone "Toutes les interfaces", les règles dans les zones des interfaces ne seront jamais vérifiées. Donc peu importe.

L'idéal est de déplacer recréer toutes les règles (sauf celle qui bloque tout) dans la zone de l'interface concernée, activer "Refuser l'accès", et supprimer toutes les règles dans la zone "Toutes les interfaces".

[MilesTEG1]

il y a 1 minute, PiwiLAbruti a dit :

@MilesTEG1 Sachant que tu as déjà une règle qui est systématiquement satisfaite dans la zone "Toutes les interfaces", les règles dans les zones des interfaces ne seront jamais vérifiées. Donc peu importe.

Ok, c'est bien ce qu'il me semblait ^^

il y a 1 minute, PiwiLAbruti a dit :

L'idéal est de déplacer recréer toutes les règles (sauf celle qui bloque tout) dans la zone de l'interface concernée, activer "Refuser l'accès", et supprimer toutes les règles dans la zone "Toutes les interfaces".

😅😥😭 J'avais du tout supprimer et tout refaire pour suivre le tuto sécurisation 😅
Et je t'avoue que je préfère tout avoir sur la même page qui d'ouvre par défaut au chargement du pare-feu... déjà que c'est chiant sur DSM comparé à SRM, où il faut cliquer davantage pour accéder aux règles...

[toutnickel]

@MilesTEG1

Merci pour ce retour, la mer était bien bonne !

a +

bonne soirée

[professeurtiti]

Bonjour,

J'ai aussi des attaques depuis la fin juillet. J'ai suivi une bonne partie des contremesures présentées ici et dans le tuto de sécurisation du nas.

Les attaques sont tout de même assez pertinentes :

- je recevais une attaque toutes les 5-10min provenant de n'importe quel pays. J'ai fait du blocage auto sur 1 tentative. Ai reçu une liste de 200-300 ip, plus d'attaque, puis une et à nouveau c'est reparti au même rythme.

- j'ai alors restreint les pays, même topo puis une attaque a suffit à faire recommencer les autres

- restriction hier soir sur la france. Une attaque puis à nouveau que des attaques depuis la france, logique mais que des ip française qui insistent (il n'y en avait quasiment jamais avant dans les jours précédents)

- changement du port dsm ce matin sur le routeur >OK

Bref, il suffit qu'une attaque repère le nas pour qu'ensuite les attaques se dirigent intelligemment depuis le bon endroit.

Surprenant !

 

 

 

[oracle7]

@professeurtiti

Bonjour,

Ce sont TOUS les Nas Synology qui sont attaqués dès lors qu'une faille de sécurité est détectée.

https://www.cachem.fr/nas-synology-stealthworker/

Synology cherche mais je crains qu'ils ne peuvent pas grand chose sauf à préconiser les contremesures de base que tout un chacun devrait avoir déjà mises en place : https://www.synology.com/en-global/company/news/article/BruteForce/Synology® Investigates Ongoing Brute-Force Attacks From Botnet

Cordialement

oracle7😉

[PiwiLAbruti]

il y a une heure, professeurtiti a dit :

Surprenant !

Pas du tout, c'est juste une botnet qui applique le schéma de détection qu'on lui a demandé.

[Antimousse]

bonjour,
j'ai reçu cette nuit ce message provenance de @news.synology.com

 

5 astuces pour protéger votre NAS   Notre équipe de sécurité a observé une augmentation du nombre d'attaques par force brute contre les systèmes d'authentification dans le monde entier. Ces attaques se servent de nombreux dispositifs infectés par des logiciels malveillants pour tenter de deviner les mots de passe administratifs et, si elles réussissent, accèdent au système et installent une charge utile malveillante.   Les attaques par force brute sont des attaques relativement courantes et impliquant très peu d'efforts, qui sont faciles à déjouer. Veillez à appliquer ces mesures simples pour assurer la sécurité de votre système.

1. Changez votre mot de passe d'administrateur en un mot de passe plus fort.   Les mots de passe forts sont constitués d'au moins 10 lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Évitez à tout prix les mots de passe courants ou les mots, car ces derniers sont vulnérables aux attaques par force brute. Ne réutilisez jamais les mots de passe. Cette précaution permet de réduire le nombre de services potentiellement affectés par une fuite de mot de passe. Vérifiez si vos informations d'identification ont fait l'objet d'une fuite en utilisant des services de contrôle fiables. Songez à utiliser un gestionnaire de mots de passe tel que C2 Password pour simplifier la gestion des identifiants et créer des mots de passe uniques et forts en quelques secondes. Pour plus de sécurité, définissez des règles de syntaxe et des dates d'expiration pour les mots de passe dans DSM. En savoir plus   2. Activer le blocage automatique et la protection des comptes dans DSM   Le blocage automatique protège votre NAS en bloquant automatiquement les adresses IP qui effectuent un certain nombre de tentatives de connexion infructueuses. Parallèlement, la protection du compte a pour fonction de verrouiller votre compte DSM si ce dernier enregistre un certain nombre de tentatives de connexion infructueuses. Activez les deux paramètres dans le panneau de configuration DSM. En savoir plus   3. Désactiver SSH/telnet lorsqu'il n'est pas en service.   SSH et telnet peuvent permettre à des personnes mal intentionnées d'accéder à votre système si elles parviennent à obtenir votre mot de passe. Désactivez SSH/telnet lorsque vous ne les utilisez pas. En cas de nécessité absolue, assurez-vous de définir un mot de passe fort et de modifier le port SSH par défaut (22) pour plus d'obscurité. En savoir plus   4. Désactiver les services non utilisés   Les services supplémentaires et les paquets installés (surtout s'ils proviennent de tiers) élargissent la zone d'attaque potentielle. Effectuez des audits réguliers pour savoir quels services, paquets, conteneurs et MV ne sont plus utilisés et désactivez-les ou supprimez-les.   5. Mettez à niveau vers DSM 7.0 et tirez parti des nouvelles fonctionnalités de sécurité*   DSM 7.0 apporte plusieurs améliorations dans le domaine de la sécurité. L'une d'elles est l'application Secure SignIn, qui vous permet de vous connecter à votre NAS Synology avec une authentification pratique à deux facteurs. DSM 7.0 prend également en charge les clés de sécurité matérielles compatibles avec FIDO2 pour une sécurité maximale. En savoir plus

Quelle est l'étape suivante ?   Vous souhaitez obtenir d'autres conseils pour assurer la sécurité de votre NAS Synology ? Consultez les articles et les pages ci-dessous :   10 conseils de sécurité pour garder vos données en sécurité   Lisez notre blog détaillé pour plus d'informations et de conseils pour garder votre NAS Synology à l'abri des menaces extérieures. En savoir plus   Mettez en place une stratégie de sauvegarde 3-2-1   Les documents importants et les souvenirs précieux doivent être protégés au mieux. Protégez vos appareils professionnels et personnels avant qu'il ne soit trop tard. En savoir plus   Protection complète des infrastructures informatiques   Protégez votre entreprise en sauvegardant tous vos terminaux, machines virtuelles et applications SaaS à l'aide des outils de protection des données de Synology. En savoir plus   Protégez votre réseau avec un accès VPN   La tunnelisation de tout le trafic extérieur vers votre réseau domestique ou d'entreprise à travers un VPN est un excellent moyen de protéger les appareils de l'Internet. Vous possédez un routeur Synology ? Pourquoi ne pas essayer VPN Plus gratuit ! En savoir plus   *DSM 7.0 pour FS, SA, XS / XS +, et les séries DVA sera publié au 4ème trimestre 2021

Community       Blog   Se désinscrire   Modifier les paramètres   Termes et conditions   Politique de confidentialité Copyright © 2021 Synology Inc. Tous les droits sont réservés.

[MilesTEG1]

@Antimousse Moi aussi, même email 😉

Il y a 2 heures, oracle7 a dit :

Ce sont TOUS les Nas Synology qui sont attaqués dès lors qu'une faille de sécurité est détectée.

Tous les NAS Syno sont susceptibles d'être attaqués. 
Y a pas si longtemps c'était les QNap via une faille de sécurité, plus difficilement contrable, à moins d'une MAJ du service défaillant.
Là pour nos Syno, c'est du brute force, plus facile de s'en prémunir ^^
Mais ça n'enlève pas du tout la gravité et l'ampleur de ce qui se passe actuellement 😕 

j'ai par acquis de conscience tenté de me connecté avec le compte admin pour voir si j'avais bien une alerte :

Ouf, c'est bien le cas.

Donc pour le moment, j'ai pas été la cible de ces attaques... 😅

[maxou56]

Il y a 4 heures, oracle7 a dit :

Ce sont TOUS les Nas Synology

Bonjour,

Je crois que c'est même toutes machine linux avec le compte admin (root??) d'activé.

Citation

Ces attaques exploitent un certain nombre d'appareils déjà infectés pour essayer de deviner les informations d'identification administratives courantes et, en cas de succès, accéderont au système pour installer sa charge utile malveillante, qui peut inclure un ransomware. Les appareils infectés peuvent mener des attaques supplémentaires sur d'autres appareils basés sur Linux, y compris le Synology NAS.

https://www.synology.com/en-global/company/news/article/BruteForce/Synology® Investigates Ongoing Brute-Force Attacks From Botnet

 

La dernière phrase explique pourquoi une partie des attaques sont mes depuis des appareils sous DSM 6.

Modifié le 7 août 2021 par maxou56

[adelac]

Le 06/08/2021 à 12:04, YvesBert a dit :

Salut @adelac

Si cela peut te rassurer, je me suis "amusé" de mars 2018 à octobre 2020 à référencer toute les adresses IP des attaques sur le compte admin désactivé dans les 38 nas que je supporte.

Les modèles vont de DS216 à des 415, 418, 918, etc. J'ai référencé les différences de config, les versions DS, quickconnect activé ou pas etc etc, sans y trouver un quelconque point commun

Les origines des ip (selon www.ip-adress.com) varient entre la Russie, Singapour, les US ou encore la Chine. Certains NAS ont eu plus de 10 attaques en une journée.

Pour résumer... tu veux protéger ton nas, tu désactives guest et admin, et dans le fw tu bloques en entrée TOUT en provenance de TOUT concernant TOUTES les applications. Ensuite seulement, tu ouvres au fur et à mesure ce que tu as besoin.

C'est la meilleures des configuration que j'aie trouvé.

Belle journée à toi. Yves

C'est bien comme ça que le NAS est paramétré. Merci.

 

Toujours dans le domaine de la protection, je n'arrive pas à comprendre la protection de compte dans "Sécurité/Compte/Protection du compte" : où définit-on les clients fiables et non fiables ?

Pour l'instant, pour les clients non fiables j'ai 5 tentatives sous 1 minute et annulation 30 minutes plus tard ; pour les clients fiables j'ai 10 tentatives sous 1 minute et annulation 30 minutes après.

 

 

[oracle7]

@adelac

Bonjour,

Il y a 2 heures, adelac a dit :

où définit-on les clients fiables et non fiables ?

Tu vas tout simplement dans : Sécurité > Compte > Blocage Auto > Autoriser/Bloquer la liste

après c'est intuitif ...

Par ex :

Cordialement

oracle7😉

[adelac]

Il y a 22 heures, oracle7 a dit :

Tu vas tout simplement dans : Sécurité > Compte > Blocage Auto > Autoriser/Bloquer la liste

Tu as probablement raison, mais comme les libellés sont totalement différents, ça ne saute pas aux yeux.