Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)

[maxou56]

Oui j'ai mis "authorization failure" en notification. Mais c'est trés rare 1/2 fois par an max, sauf pour les utilisateurs légitimes, là c'est plusieurs fois par semaine (mais avec l'IP c'est facile de le savoir)

Modifié le 4 août 2021 par maxou56

[toutnickel]

il y a 3 minutes, maxou56 a dit :

Il faut le limité à la France par exemple.

Sur les captures

on ne voit pas sur quelle régie c'est la 1 ou la 4 mais c'est pour la planète entière.

 

Sinon pou le pare-feu, plutôt mettre les règles locales en premières, et les autres règles après pour éviter de te bloquer par exemple. 

Un peu quand même (SSH... ouvert pour tout le monde), après ça dépendait ta BOX/Routeur (Régles NAT/PAT, UPNP)

je renvois le tableau complet et plus large, c'est peut être plus claire comme cela ?

Sur la box c'est très limité, 443,5001,7001, 32400

 

il y a 6 minutes, maxou56 a dit :

Oui j'ai mis "authorization failure" en notification. Mais c'est trés rare 1/2 fois par an max, sauf pour les utilisateur légitime là c'est plusieurs fois par semaine (mais avec l'IP c'est facile de le savoir)

OK, bon ba .... j'ai plus qu'a sécurisé encore un peu plus,

merci du retour

 

Dans le 1ere règle effectivement il y avais 22, 5353, 3507

je l'ai désactivé

[MilesTEG1]

@toutnickeltu gagnerais à bien suivre et lire ce tuto : 

 

 

[oracle7]

@toutnickel

Bonjour,

Je ne suis pas sûr qu'il faille ouvrir les ports 5001 et 7001 dans le pare-feu de la box. Pour le 5001, il y a même de fortes chance que ce soit l'origine (son ouverture qui permette) les attaques que tu constates.

Cordialement

oracle7😉

 

[MilesTEG1]

il y a une heure, oracle7 a dit :

@toutnickel

Bonjour,

Je ne suis pas sûr qu'il faille ouvrir les ports 5001 et 7001 dans le pare-feu de la box. Pour le 5001, il y a même de fortes chance que ce soit l'origine (son ouverture qui permette) les attaques que tu constates.

Cordialement

oracle7😉

 

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

[toutnickel]

Il y a 14 heures, oracle7 a dit :

@toutnickel

Bonjour,

Je ne suis pas sûr qu'il faille ouvrir les ports 5001 et 7001 dans le pare-feu de la box. Pour le 5001, il y a même de fortes chance que ce soit l'origine (son ouverture qui permette) les attaques que tu constates.

Cordialement

oracle7😉

 

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

je teste ...

il y a 6 minutes, toutnickel a dit :

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

je teste ...

testé, ba plus d'accès au NAS

[MilesTEG1]

@toutnickel Si tu supprimes les redirections de ta box, il est normal que le NAS ne soit plus accessible depuis l'extérieur 🙄

As-tu lu et appliqué le tuto sécurisation ?

 

Sinon : Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Incorporated

[toutnickel]

Il y a 13 heures, MilesTEG1 a dit :

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

oui effectivement, mais là cela me fait changer tous les liens d'accès , 

cela peut se faire bien sûr, là ,  je suis en congé et cela c'est une parti que je verrai quand je serai rentré.

il y a 3 minutes, MilesTEG1 a dit :

@toutnickel Si tu supprimes les redirections de ta box, il est normal que le NAS ne soit plus accessible depuis l'extérieur 🙄

As-tu lu et appliqué le tuto sécurisation ?

 

Sinon : Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Incorporated

hello MilesTEG1

c'est tout en Anglais ... si tu vois ce que je veux dire

[MilesTEG1]

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ).
Après c'est toi qui voit. 
On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet.
On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

[toutnickel]

Il y a 6 heures, toutnickel a dit :

oui effectivement, mais là cela me fait changer tous les liens d'accès , 

cela peut se faire bien sûr, là ,  je suis en congé et cela c'est une parti que je verrai quand je serai rentré.

hello MilesTEG1

c'est tout en Anglais ... si tu vois ce que je veux dire

et la il change d'adresse IP a chaque fois , comme je verrouille le cpte Admin au bout de 2 fois et 3 pour l'IP

 

 

Il y a 6 heures, MilesTEG1 a dit :

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ).
Après c'est toi qui voit. 
On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet.
On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

 

[MilesTEG1]

il y a 24 minutes, toutnickel a dit :

 

et la il change d'adresse IP a chaque fois , comme je verrouille le cpte Admin au bout de 2 fois et 3 pour l'I

 

Heu tu as le compte « admin » actif ???!!

il y a 25 minutes, toutnickel a dit :

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

🙄 tu n’as pas du bien chercher…

c’est présent depuis un moment…

[oracle7]

@toutnickel

Bonjour,

il y a une heure, toutnickel a dit :

tu veux dire que sur la box je peux supprimer ces redirections 5001 , 7001

Je crains que tu ne m'ai lu en diagonale ...

Je ne t'ai pas parler de supprimer ces redirections mais de NE PAS AUTORISER ces ports dans le pare-feu de la box, ce n'est pas la même chose ! Du coup si tu les supprimes ne t'étonne pas de ne plus avoir accès au NAS depuis l'extérieur.

Normalement tu n'as besoin que de transférer le port 443 (ou un autre comme te l'a suggéré @MilesTEG1) pour ensuite utiliser le reverse proxy sur le NAS qui lui filtrera les URL (avec un domaine) entrantes pour les rediriger vers les applications/services de ton choix en local.

@MilesTEG1 a aussi raison quand il te dit qu'il faut éviter d'accéder à DSM depuis l'extérieur et de réservé cet accès uniquement par le réseau local.

Maintenant c'est toi qui voit et qui reste maître de la sécurité de ton NAS et de tes données ...

Cordialement

oracle7😉

Modifié le 5 août 2021 par oracle7

[maxou56]

Il y a 17 heures, MilesTEG1 a dit :

Heu tu as le compte « admin » actif ???!!

Normalement non, mais si l'utilisateur existe, même désactivé, ça indique bien le nom [nom-utilisateur], si l'utilisateur n'existe pas c'est vide [ ].

 

Il y a 18 heures, toutnickel a dit :

il n'y a pas de reverse proxy pour DSM, enfin il me semble, juste pour les applis : filestation, audio , music etc

C'est justement au même endroit.

 

Le 04/08/2021 à 19:06, toutnickel a dit :

OK, bon ba .... j'ai plus qu'a sécurisé encore un peu plus,

merci du retour

 

Dans le 1ere règle effectivement il y avais 22, 5353, 3507

 

Comme dans le tuto tu mets d'abord les plages d'IP locales > Tous > autorisé

Et à la fin Tous > refusé.

Entre les 2 tu mets tes règles perso. Et en les limitant à certaines région du monde, par exemple la france.

Ouvrir le 5001 n'est pas forcément top, mais si tu limites à la France c'est  mieux.

Mais il reste des ports qui n'ont pas besoin d'être ouvert comme "bonjour" (c'est pour le réseau local)...

Ou 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

 

Tu as besoin d'ouvrir les port au monde entier pour tes utilisateurs?

Ou si c'est obligatoire, bloquer certain pays (en premier dans les règles perso mettre par ex chine, russie... tous > refuser)

Ou encore tu peux aussi bloquer préventivement certaines IP déclarer comme dangereuse. voir tuto Blacklist.

Modifié le 6 août 2021 par maxou56

[maxou56]

@toutnickel

https://www.cachem.fr/nas-synology-stealthworker/

 

Ça semble être ton cas, je viens de vérifier une des IP des tes captures "1.233.8.172:5000" est c'est bien DSM 6.

Modifié le 5 août 2021 par maxou56

[MilesTEG1]

il y a 27 minutes, maxou56 a dit :

Ouvrir le 5001 n'est pas forcément top, mais si tu limites à la France c'est  mieux.

La vague d’attaque en cours viens aussi de France…

[maxou56]

il y a 13 minutes, MilesTEG1 a dit :

La vague d’attaque en cours viens aussi de France…

D'où "c'est mieux" et pas c'est parfait 😉

[oracle7]

Bonjour,

il y a 3 minutes, maxou56 a dit :

et pas c'est parfait

De toutes façons, les malveillants louent maintenant des VM sur des serveurs en France justement pour contourner cette géolocalisation restrictive (lu dans HackMagazine de mémoire).

Mais je suis d'accord , cela limite tout de même un peu ces attaques.

Cordialement

oracle7😉

[church]

https://www.macg.co/materiel/2021/08/des-attaques-par-force-brute-chez-synology-123233

[toutnickel]

Il y a 11 heures, oracle7 a dit :

@toutnickel

Bonjour,

Je crains que tu ne m'ai lu en diagonale ...

Je ne t'ai pas parler de supprimer ces redirections mais de NE PAS AUTORISER ces ports dans le pare-feu de la box, ce n'est pas la même chose ! Du coup si tu les supprimes ne t'étonne pas de ne plus avoir accès au NAS depuis l'extérieur.

Normalement tu n'as besoin que de transférer le port 443 (ou un autre comme te l'a suggéré @MilesTEG1) pour ensuite utiliser le reverse proxy sur le NAS qui lui filtrera les URL (avec un domaine) entrantes pour les rediriger vers les applications/services de ton choix en local.

@MilesTEG1 a aussi raison quand il te dit qu'il faut éviter d'accéder à DSM depuis l'extérieur et de réservé cet accès uniquement par le réseau local.

Maintenant c'est toi qui voit et qui reste maître de la sécurité de ton NAS et de tes données ...

Cordialement

oracle7😉

@oracle7

@MilesTEG1

Bonsoir,

- oui en plein dedans --> https://www.cachem.fr/nas-synology-stealthworker/

- Ha oui pardon, effectivement j'ai compris redirection, mais je ne vois pas ou je peux supprimer ces ports dans le pare feu de la box (freebox Delta)

- le reverse proxy c'est juste pour accéder aux appli ex : audio.mondomaine.synology.me , ca c'est ok bien compris et testé

- pour l'accès a DSM,  là,  je suis en vacances et j'ai donc besoin d'y accéder, donc pas le choix. et j'y accède souvent en dehors de mon réseau local, au retour, je vais modifier le port et le rediriger sur le port local 5001 mais comme je suis en vacances c'est pas le moment de couper la branche sur laquel je suis assis lol 

- comment faire pour limiter les réseaux indiqués uniquement a la France ? ceux là y sont déjà, non ??

est ce que c'est mieux ainsi ?

 

 

[toutnickel]

Il y a 7 heures, maxou56 a dit :

Normalement non, mais si l'utilisateur existe, même désactivé, ça indique bien le nom [nom-utilisateur], si l'utilisateur n'existe pas c'est vide [ ].

oui cpte Admin en désactivé, il faut que je le supprime ?

[maxou56]

il y a 3 minutes, toutnickel a dit :

oui cpte Admin en désactivé, il faut que je le supprime ?

Non (on ne peut pas, juste le désactiver), c'était pour répondre @MilesTEG1 si le compte existe (même désactivé) ça indique le non du compte dans les logs, si il n'existe pas c'est vide [ ].

[MilesTEG1]

Il y a 7 heures, toutnickel a dit :

- le reverse proxy c'est juste pour accéder aux appli ex : audio.mondomaine.synology.me , ca c'est ok bien compris et testé

Ce n'est pas que pour accéder aux applications... Ça peut aussi servir pour accéder à un site internet hébergé sur le NAS, un serveur Plex (docker), etc...

 

Il y a 7 heures, toutnickel a dit :

- pour l'accès a DSM,  là,  je suis en vacances et j'ai donc besoin d'y accéder, donc pas le choix. et j'y accède souvent en dehors de mon réseau local, au retour, je vais modifier le port et le rediriger sur le port local 5001 mais comme je suis en vacances c'est pas le moment de couper la branche sur laquel je suis assis lol 

C'est sûre...
Mais... tu devrais changer le port par défaut en commençant d'abord par router le nouveau port dans la box, et ensuite tu modifies dans DSM. Puis quand tu as vérifié que ça fonctionne, tu supprimes la redirection du port 5001, et là tu n'auras probablement plus ces attaques.

Ensuite, faudra que tu mettes en place le serveur VPN du NAS auquel tu te connecteras pour accéder à DSM, sans passer par le port ouvert de ta box, que tu pourras alors supprimer (la redirection dans la box).

Il y a 7 heures, toutnickel a dit :

- comment faire pour limiter les réseaux indiqués uniquement a la France ? ceux là y sont déjà, non ??

est ce que c'est mieux ainsi ?

Les règles locales doivent être placées en 1er.
Sinon, ça me semble OK si tu n'as pas besoin d'ouvrir davantage de port sur la France. D'ailleurs, quels sont les services de la ligne n°3 de ta capture ?
Perso, je sépare en plusieurs lignes les différents services.
Voilà mes règles : 

• Les deux 1ères lignes : pour le LAN et les réseaux de mes conteneurs.
• 3ème et 4ème lignes : port 80 et 443 ouvert pour la France
• 5ème ligne : Idem pour Drive server
• 6ème : idem pour Plex (mais là c'est davantage pour mon LAN car depuis internet le port 32400 n'est pas ouvert ni routé sur le routeur...)
• 7ème : ouvre le port 443 pour toutes les IP, cette règle est là pour que certains services fonctionnent car je ne sais pas quelles IP sont utilisées (par exemple pour les serveurs de Plex ou autre... faudrait que je désactive pour voir si ça déconne ou pas 😮 )
• Lignes 8 à 10 : ce sont les IP du support Synology, quand ils ont du accéder à mon NAS pour vérifier un soucis de partitions (voir ce message posté sur le forum)
• dernière ligne : on refuse tout ce qui n'a pas été autorisé précédemment.

Sur mon routeur, j'ai à peu près la même chose, mais en plus simple :

Car je ne laisse passer que ce qui arrive sur le port 443 (et 6690).
J'ai laissé des règles désactivées au cas-où j'en ai besoin à nouveau plus tard.

Dans ce routeur (un RT2600AC), je ne transfère que les port 443 et 6690 vers le NAS 😉 .

[MilesTEG1]

il y a 1 minute, toutnickel a dit :

Question : vaut il mieux modifiez les ports 5000 / 5001 d'accès a DSM local et extérieur par ex 37500 37501 ou juste l'accès externe et rediriger vers le local 5000 et 5001

À priori juste changer le port ouvert sur l'extérieur devrait suffire.
Moi j'ai un NAS Synology depuis 2012, donc je traine un héritage difficilement changeable maintenant 😄 Je change direct les ports par défaut de toutes les applications installées avec DSM 😄 

Par contre, n'ouvre pas le port HTTP de DSM, juste le HTTPS, tu n'as normalement pas besoin du HTTP si tu accèdes bien en HTTPS.

[toutnickel]

@oracle7 @MilesTEG1

Encore un GRAND merci a vous pour votre aide,
je n'ai plus d'attaque suite aux modifs, OUFF !

il me reste encore quelques modifs pour que tout soit plus claire et plus propre ...

 

@MilesTEG1

- la règle indiquée dans le tuto de sécurisation mais pas dans ta copie d'écran : 10.0.0.0 sert a quoi ?

- a ta question : 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

j'ai suivi la recommandation de oracle7

Toujours dans le pare-feu tu autorises le sous-réseau local 192.168.0.0 alors que précédemment dans une copie d'écran pour une redirection du reverse proxy tu pointes sur une @IP du sous-réseau 192.168.1.0.
De plus, pour ce sous-réseau 192.168.0.0 tu as mis un masque de 255.255.0.0 ce qui autorise 65534 @IP/machines possibles, tu as vraiment besoin d'autant d'@IP pour tes périphériques ?
Ne serait-il pas mieux d'utiliser un masque 255.255.255.0 qui lui, n'autorise que 254 machines ?
 

- j'ai vu que tu avais  2 règles HTTPS, reverse proxy pour, une pour  "tous et une autre pour "France"

 

je vous souhaite une excellente journée, je vais pouvoir partir a la plage tranquille , Lol

 

[MilesTEG1]

il y a 5 minutes, toutnickel a dit :

- la règle indiquée dans le tuto de sécurisation mais pas dans ta copie d'écran : 10.0.0.0 sert a quoi ?

Cette règle si que n’ai pas mis c’est pour le VPN car par défaut OpenVPN sera sur ce réseau. Mais j’ai configuré pour qu’il soit sur 192.168.10.x.

il y a 6 minutes, toutnickel a dit :

- a ta question : 192.168.1.0/255.255.255.0 a remplacer plutôt par 192.168.0.0/255.255.0.0 sauf raison spécifique

Tu peux suivre la recommandation de @oracle7. Faudrait que je réduise la plage d’ip autorisée à ce niveau là, mais ça va m’obliger à mettre une ligne de plus pour le réseau VPN en 192.168.10.x.