tentative de connexion non stop

[annesoso]

Bonjour à tout le monde

J'ai un Nas synology DJ218 depuis quelques temps. Au moment de l'installation, j'ai suivi divers tuto pour bien configurer le parefeu bloquer les connexions de chine russie , n'autoriser que la france, désactivation du compte admin etc

Je pensais avoir bien sécuriser mon Nas. Mais je viens de me rendre compte depuis cet été, que des adresses ip tentent continuellement d'accèder à mon compte admin. Il y a 2 tentatives et cela change de IP et cela toute la journée. J'ai éteint mon serveur pdt 24H pour voir si ca calmait le truc mais pas du tout (avec le recul c'était un peu naif mais bon )

J'avais plusieurs questions.

1 est ce que le fait d'avoir désactiver le compte admin, me protège indéfiniment contre ces attaques?

2 comment faire pour ne avoir ces tentatives de connexion toute la journée?

3 mon serveur est un serveur perso pour garder et avoir accès à mes dossiers perso. il n'est pas associer à un site ou je ne sais quoi. Comment ont ils pu vouloir d'attaquer à mon serveur qui n'a aucun intéret pour quiconque à part moi et quelques proches? comment ont ils trouvé l'adresse?

 

Je remercie ceux qui auront du temps à consacrer à mes petites questions

Je vous souhaite à tous une bonne journée

 

Anneso

 

 

 

 

Modifié le 13 septembre 2021 par annesoso

[bliz]

Si c'est la même ip toute la journée, il suffit d'activer le blocage d'ip au bou de x tentative (paramètre, sécurité, protection), si c'est du genre ceci, laisse tomber, c'est pas méchant

 

Avertissement

Connexion

13/09/2021 12:32:01

anonymous

User [anonymous] from [89.248.167.131] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

12/09/2021 18:37:51

anonymous

User [anonymous] from [198.23.172.235] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

12/09/2021 18:34:03

anonymous

User [anonymous] from [71.6.167.142] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

11/09/2021 17:09:32

anonymous

User [anonymous] from [34.235.149.169] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

09/09/2021 21:42:29

test

User [test] from [23.148.145.71] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

09/09/2021 13:55:47

57iaastra

User [57iaastra] from [23.148.145.71] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

09/09/2021 06:09:50

admin

User [admin] from [23.148.145.71] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

08/09/2021 22:28:58

user

User [user] from [23.148.145.71] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

08/09/2021 15:01:01

admin

User [admin] from [23.148.145.71] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

08/09/2021 12:45:30

local

User [local] from [89.237.194.4] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

06/09/2021 11:43:53

anonymous

User [anonymous] from [198.23.172.235] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

06/09/2021 11:42:48

anonymous

User [anonymous] from [34.78.120.99] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

06/09/2021 11:42:03

anonymous

User [anonymous] from [198.23.172.235] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

06/09/2021 11:40:11

anonymous

User [anonymous] from [34.79.68.246] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

06/09/2021 11:37:43

anonymous

User [anonymous] from [93.174.95.106] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

05/09/2021 18:01:22

anonymous

User [anonymous] from [34.79.68.246] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

05/09/2021 05:03:05

termSip

User [termSip] from [162.214.230.219] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

05/09/2021 05:02:59

ftp

User [ftp] from [162.214.230.219] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

05/09/2021 05:02:55

PlcmSpIp

User [PlcmSpIp] from [162.214.230.219] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

02/09/2021 23:44:46

Administrator

User [Administrator] from [187.188.201.104] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

02/09/2021 23:44:36

Administrator

User [Administrator] from [187.188.201.104] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

02/09/2021 23:44:27

Administrator

User [Administrator] from [187.188.201.104] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

02/09/2021 23:44:20

Administrator

User [Administrator] from [187.188.201.104] failed to log in via [FTP] due to authorization failure.

Avertissement

Connexion

02/09/2021 23:44:09

Administrator

User [Administrator] from [187.188.201.104] failed to log in via [FTP] due to authorization failure.

[ml78]

Les adresses IP sont scannées en permanence, donc pas de surprise de ce coté.

Si une adresse a des ports ouverts -comme ici le ftp semble-t-il- les méchants essaient.

Pour solutionner ça, ne pas utiliser le compte admin est une première bonne réponse.

Personnellement, j’éviterais d'ouvrir le port ftp (qui n'est pas un protocole très sûr) et j'utiliserais plutôt le VPN du Syno.

Autre chose, activer l'auto blocage des adresses IP.

Enfin, si c'est faisable, avoir une liste d'adresses autorisées.

[annesoso]

jComme les IP changent tout le temps j'ai mis un blocage après 2 tentatives. mais effectivement cela ressemble à ce que je recois.

merci pour ta réponse

Il y a 18 heures, ml78 a dit :

Personnellement, j’éviterais d'ouvrir le port ftp (qui n'est pas un protocole très sûr) et j'utiliserais plutôt le VPN du Syno.

Autre chose, activer l'auto blocage des adresses IP.

Enfin, si c'est faisable, avoir une liste d'adresses autorisées.

Merci de ta réponse

je n'ai pas activé le ftp car pas d'utilité ds mon utilisation.

pour les adresses autorisées cela me parait compliqué car des membres de ma famille ont accès a certains dossiers. mais ils ne se connectent pas toujours du mm endroit (dc sauf erreur de ma part mais leur IP risque de changer, mais peut etre me trompe-je)

Conclusion : j'ai bien fait de bloquer mon compte admin.  dc je vais me fier à ce que vous me dites, je ne m'inquiète pas de ces tentatives de connexion

 

merci à vous 2.

[cadkey]

Sois juste sûr d'avoir bien défini les règles du pare feu et dans le bon ordre.
Tu as un pare feu dans le Syno mais également un dans ton routeur.
Tu ne dois avoir que les ports utiles d'ouverts sur ton routeur pour maximiser ta securité.

Modifié le 13 septembre 2021 par cadkey

[PiwiLAbruti]

Quand je vois les logs de @bliz, il y a quand même un minimum à assurer avec une limitation géographique.

187.188.201.104 > Mexique

Limitez au moins les accès au(x) pays strictement nécessaire(s), ça élimine déjà plus de 99% des tentatives.

[annesoso]

il y a 28 minutes, PiwiLAbruti a dit :

Quand je vois les logs de @bliz, il y a quand même un minimum à assurer avec une limitation géographique.

187.188.201.104 > Mexique

Limitez au moins les accès au(x) pays strictement nécessaire(s), ça élimine déjà plus de 99% des tentatives.

j ai limité a la france dc je pensais etre tranquille mais finalement pas tant que ca

merci pour ta réponse

il y a 35 minutes, cadkey a dit :

Sois juste sûr d'avoir bien défini les règles du pare feu et dans le bon ordre.
Tu as un pare feu dans le Syno mais également un dans ton routeur.
Tu ne dois avoir que les ports utiles d'ouverts sur ton routeur pour maximiser ta securité.

je pense avoir fait ce qu'il fallait mais comme j'avais un doute je préférais avoir l'avis de personnes plus aguérries

merci de ta réponse

 

Modifié le 13 septembre 2021 par annesoso

[cadkey]

Là tu as une Ip du Mexique. Tes regles de Pare feu ne sont pas bonnes.

[bliz]

l'origine de l'accès de ton nas, n'as pas d'importance selon moi, car les français, pour ce genre de connexion, ne sont pas les derniers. Pour le ftp, j'ai vu il y a plusieurs années, il regardait si le compte anonymous sur le ftp était ouvert, en créant un répertoire invisible pour l'administrateur du serveur (je  peu dire maintenant comment ils faisaient puisque ça a du être résolu depuis : ils créaient des répertoires sans nom du genre mkd ..///mon répertoire.) dans l'exemple, deux répertoire étaient créés, et comme il n'avait pas de nom, il n'était pas visible dans l'explorateur. C'était galère à nettoyer. Et on se retrouvait comme serveur de stockage de produits pirates. Je parle de ça, mais je crois que le windows à l'époque était win95 ou xp. Et ceux qui avaient attaqués étaient de source française.

Ce que tu doit regarder, c'est dans les connexion failure, qu'il n'y ait pas trop souvent la même ip : tentative de connxion par liste ou brute force. Puis tu doit aussi regarder les connexions réssit qui ne correspondent pas à tes critères (genre un nouveau pseudo que tu ne connait pas ou un pseudo que tu connais mais qui se connecte depuis la chine ou les états unis. Mais si cela se produit, c'est qu'il y a eu en générale erreur humaine : par exemple, un des personnes qui utilise le nas, utilise le même pseudo et le même mot de passe pour tout (connexion à des sites internet, à ton nas, ect...)

[PiwiLAbruti]

il y a 12 minutes, bliz a dit :

l'origine de l'accès de ton nas, n'as pas d'importance selon moi, car les français, pour ce genre de connexion, ne sont pas les derniers.

Il y a une tout de même une différence entre du trafic indésirable bloqué en amont (avec un pare-feu par exemple) et ce même trafic bloqué en aval après avoir atteint les services concernés. De plus, si le service devient vulnérable (faille de sécurité, vulnérabilité, ...), il sera beaucoup moins sensible à la compromission qu'un service totalement exposé.

Bref, c'est un peu la base en sécurité.

[bliz]

Pour ce qui est du trafic, c'est tout à fait vrais, les requêtes d'accès étant éliminées, le débit s'en trouve tout autant allégé. Mais avec ma petite connexion adsl, je ne les sent même pas passer. Pour ce qui est des vulnérabilités, mis à par des serveurs bien spécifiques comme les bancaires et autres du même genres, que l'attaque vienne du même pays que le serveur ou d'un autre, en fermant certaines ip, on ne ferra gagner que du temps, et si la vulnérabilité n'est pas découverte par le créateur du système d'exploitation, qui lui résoudra le problème au bout de plusieurs appareils déjà piraté. Cette question de limite d'ip n'a de conséquence que de limiter dans le temps, la vulnérabilité, par une diminution des statistiques en diminuant les users. Mais dans les faits, pour les attaques, maintenant les personnes se servent de VPN qui déplace leurs ip dans les pays qu'ils veulent. Juridiquement, ils sont moins traçable, pour une question de juridiction entre les pays.

Dans les faits, je n'aime pas fermer les ports des pays, car si je part en vacance dans ce pays, par exemple. Je ne voudrais pas, qu'arrivé dans ce pays, je me dise que j'ai oublier d'autoriser l'accès à cette tranche d'ip et que je ne puisse pas accéder à mon nas. ça serait ballot.

Mais les réglages du nas sont adaptés selon les règles que son propriétaire veux lui donner et les besoins actuels et futur qu'il a "pensé" envisager. Elle est là, la priorité. Pour ma par, pour conclure, l'important est surtout de ne pas donner l'accès à quelque chose dont on est sur de ne pas l'envisager. Le but d'une configuration, n'est pas de venir régulièrement dessus pour la modifier, à moins de vouloir s’entraîner.

Prenons par exemple, comme des grand groupes comme exxon ou total. Les accès vpn ne sont pas limités aux ip du pays du serveur vpn, ils ont juste limité les vpn accessible depuis le pc aux seules vpn de l'entreprise par logiciel. Avec un type de vpn par responsabilité.

Mais, je suis d'accord avec toi, si tu es sur de ne jamais affaire avec les ip chinoise, autant interdire l'accès.

 

Modifié le 13 septembre 2021 par bliz

[Jeff777]

Il y a 2 heures, bliz a dit :

l'origine de l'accès de ton nas, n'as pas d'importance selon moi, car les français, pour ce genre de connexion, ne sont pas les derniers.

oui mais ils sont moins vicieux.....à moins qu'ils ne soient moins bien équipés 

Personnellement j'ai eu récemment des attaques similaires aux tiennes sur Mail Plus.  Là ça semble difficile de fermer les ports en permanence à moins de renoncer à l'utiliser.

J'ai regardé d'où venait l'attaque et ai interdit la provenance (Chine) ....plus d'attaque. J'ai déjà fait la même chose il y a un an avec des attaques venant d'USA, j'ai rétabli l'autorisation au bout de quelques mois sans problème.

C'est sûr que si un jour ça vient de France je serai plus gêné.

Modifié le 13 septembre 2021 par Jeff777

[bliz]

je peux assurer que les tentatives d'accès que j'ai proviennent aussi de France. Les français ne sont pas les derniers à faire ce genre de truc, mais ils sont comment dire, un peu plus en avance à ce que l'on voit ici. Pour faire simple, en ftp, l'accès par anonymous sur un ftp ne s'emploi plus depuis 20 ans, hors, c'est ce que l'on voit ici. Le seul but de anonymous est un scan d'une rangé d'ip pour voir si un serveur ftp pourrait être accessible. Par contre, ceux qui utilisent l'user PlcmSpIp est beaucoup plus ciblé et essaye d'exploiter une faille.
Après, ça dépend ce que vous appelé attaque, dans ce que j'ai présenté, rien de méchant, au pire, c'est un scan d'ip. Si c'était une attaque par brute force, j'espère que la case que j'ai coché sur le syno palliera cette attaque vieillotte.
Mais la fermeture d'accès d'ip ne doit pas devenir automatique, c'est mon avis, seul compte l'utilisation que l'on va faire du nas.

Pour les pays qui attaquent le plus souvent, c'est en premier lieu les pays de l'est (ex unions soviétiques), les américains, puis la chine et l'europe de l'ouest (France comprise). En gros, les pays les plus développé. Tu verras plus rarement des pays d’Afriques. 

Maintenant, question, si on utilise le proxy du nas, directory server, ect... Si tu ferme les ip par exemple américains, pourra t on aller sur google ?

[Jeff777]

il y a 9 minutes, bliz a dit :

Si tu ferme les ip par exemple américains, pourra t on aller sur google ?

Je m'en fiche j'évite de l'utiliser dans la majorité des cas et je fais confiance à  Qwant.

En tous cas quand je dis que j'avais interdit les IP USA c'était uniquement pour les ports de MailPlus, ça n'empêche donc pas de faire des recherches avec Google 

[bliz]

oh, pas ça...
Restons zen

le blocage des ip américaines dans ce cas (blocage seulement d'un port et non pas d'une source) a bloqué aussi la correspondance avec les possesseur de compte email outlook, Gmail, ect...

Ne me dit pas que tu t'en fou, que tu ne communique qu'avec des personnes qui ont des comptes de messageries française ! Et la continuité de service, elle est où ?

Bref, tout ça pour dire que pour la fermeture d'ip n'est pas à prendre à la légère, de ce coté, je suis plus nuancé.

[Jeff777]

En fait je me sers peu de MailPlus pour le moment. C'est un projet que je n'ai pas encore mis en oeuvre. Je note ta remarque Merci !

[PiwiLAbruti]

Il y a 2 heures, bliz a dit :

Maintenant, question, si on utilise le proxy du nas, directory server, ect... Si tu ferme les ip par exemple américains, pourra t on aller sur google ?

Oui car le trafic est uniquement bloqué dans le sens entrant.

Pour ce qui est d'ouvrir des accès lorsqu'on se trouve à l'étranger, le VPN est une bonne solution. Ça permet de faire les réglages nécessaires de n'importe où si besoin. C'est d'ailleurs le seul service totalement ouvert chez moi avec SMTP (tcp/25).

[bliz]

Question, Et les VPN ne sont pas des accès entrants ?

attention tout de même, je n'ai jamais dit qu'il ne fallait jamais s'en servir. Mais perso, pour moi, cela devient une "usine à gaz", et qu'utiliser la restriction géographique, il faut en connaitre les conséquences, et ceci pour juste diminuer des stats de connexions. C'est juste mon avis.

Modifié le 14 septembre 2021 par bliz

[PiwiLAbruti]

Bien sûr que c'est de l'entrant, et c'est bien parce que c'est une usine à gaz que ce service n'est que très peu ciblé par les détections (ISAKMP sur udp/500). Je n'utilise que du L2TP/IPSec car c'est natif sur la grande majorité des systèmes et donc peu contraignant à configurer et à utiliser.

La limitation géographique diminue drastiquement les tentatives de connexion. Je vais même bien plus loin que ça en n'autorisant que certaines plages IP des opérateurs que j'utilise.

Par exemple, les services mail client (IMAP sur tcp/993 et SMTP sur tcp/587) ne sont accessibles que depuis le réseau 37.160/12 (Free Mobile). Je n'ai jamais vu une seule détection provenant de ce réseau.

Je n'essaye pas de te convaincre que c'est la meilleure façon de sécuriser des accès. Ce que je décris là arrive bien après l'utilisation de mots de passe forts à durée de vie limitée et du blocage automatique des échecs de connexion. Et la notion de sécurité devient complètement subjective à partir d'un certain seuil qu'on a tous les deux atteint

[MilesTEG1]

En appliquant les recommandations données par @Jeff777 et @PiwiLAbruti et celles données sur les tuto sécurisation :

et : 

 

car j'ai un routeur synology derrière ma Livebox.

Et donc depuis plusieurs années, je n'ai plus de tentative de connexion provenant d'attaques.

Je n'ai que le port 443 et le 6690 pour drive sync qui sont ouverts et routé sur mon NAS.

Lorsque je suis en dehors de chez moi, tout (sauf les connexions à Drive depuis les applications desktop) passe par le reverse proxy de mon NAS : accès à plex, à l'interface web de Drive, mon Gitea, Vaultwarden, Photos, et Surveillance station. 

Si je veux accéder au reste comme DSM, AdGuardHome, Portainer, Grafana, Tautulli, etc... si je ne suis pas chez moi, je passe par le serveur VPN de mon routeur (VPN Plus Server) qui est un peu plus fourni en possibilités que celui du NAS.
Pour le VPN, je passe principalement par L2TP quand je suis sur mon Mac, des fois SSL VPN (propre au VPN du routeur SYnology), ou OpenVPN. Mais L2TP est plus facile d'accès sur mon mac.
Par contre sur mon iPhone, c'est plutôt SSL VPN, voir des fois OpenVPN. J'ai aussi configuré le L2TP, mais là c'est SSL VPN qui est le plus facilement accessible.

Ces configurations VPN ont nécessités un peu de travail pour que tout fonctionne bien, mais une fois que c'est fait, plus de soucis ^^

Par contre, pour faire cela, il faut un nom de domaine. Synology en fourni un gratuitement via le panneau de configuration :

Tu peux bien sûr avoir le tien à toi, par exemple OVH, avec un DynHOST.

 

 

[bliz]

t'inquiete, je ne le prend pas mal, au contraire, j'aime ce genre de discussion, cela permet d'élargir le point de vue. Pour l'usine à gaz, je parlais de la configuration des points géographique à exclure.

Tu citais imap et smtp réservé sur le réseau mobile free. Donc, je suppose que le serveur est destiné à un cercle fermé de client email à ton nas. C'est à dire, que les emails tels que celles appartenant à d'autres entreprises ne peuvent envoyer ou recevoir sur cette boite aux lettres.

Mais je suis d'accord avec toi, si on s'en sert pas, il ne faut pas ouvrir. Je dit juste, que l'on doit faire attention à pas fermer par exemple les pays américains et vouloir se servir de gmail. Perso, ce qui compte pour moi, c'est les services rendu et avenir qui compte. Et l'avenir est difficile à prévoir, donc je ne ferme pas par géolocalisation, sauf cas particulier ou je veux par exemple fermer un vpn qui me sert de communication avec un autre nas géolocalisé ailleurs. Mais cela reste des cas particulier

[MilesTEG1]

il y a 46 minutes, bliz a dit :

t'inquiete, je ne le prend pas mal, au contraire, j'aime ce genre de discussion, cela permet d'élargir le point de vue. Pour l'usine à gaz, je parlais de la configuration des points géographique à exclure.

Pour ce point, le plus simple reste de n'autoriser que la France et divers autres pays nécessaires, et de refuser toutes connexion autres.
Ça fait moins de manipulation que de cocher tous les pays à exclure  

il y a 48 minutes, bliz a dit :

Mais je suis d'accord avec toi, si on s'en sert pas, il ne faut pas ouvrir. Je dit juste, que l'on doit faire attention à pas fermer par exemple les pays américains et vouloir se servir de gmail. Perso, ce qui compte pour moi, c'est les services rendu et avenir qui compte. Et l'avenir est difficile à prévoir, donc je ne ferme pas par géolocalisation, sauf cas particulier ou je veux par exemple fermer un vpn qui me sert de communication avec un autre nas géolocalisé ailleurs. Mais cela reste des cas particulier

Attention tu confonds les connexions initiées depuis ces pays avec les connexions vers ces pays que tu inities toi depuis un ordinateur ou un nas.
Pour le premier cas, ces connexions sont bloquées si le pays n'est pas autorisé, mais pour le second cas, tu peux quand même utiliser gmail et companie malgré que les USA soient bloqués.

[PiwiLAbruti]

Il est contre-productif de faire de l'exclusion géographique (ça n'a même aucun sens). Il est beaucoup plus efficace de n'ouvrir que pour le pays de résidence et d'autres pays dans lesquels on se rend régulièrement. En sécurité on ne commence à faire de l'exclusion (liste noire) que lorsqu'il n'est pas possible de passer par une inclusion (liste blanche).

 Grillé par @MilesTEG1

Mon serveur reçoit bien les mails de n'importe quel expéditeur (heureusement, c'est un peu le but), il faut pour cela n'ouvrir que le port SMTP tcp/25 (communications entre les MTA) au monde entier. Toutes les tentatives de connexions authentifiées (même avec des identifiants valides) sur ce port se solderont par un échec (considéré comme SMTP relay). On peut voir toutes ces tentatives dans MailPlus Server > Audit en cours > Journal de sécurité.

Les ports IMAP tcp/993 et SMTP tcp/587 ne servent que pour les clients mail (MUA), d'où leur restriction au strict minimum.

 

Modifié le 14 septembre 2021 par PiwiLAbruti
Grillé par @MilesTEG1

[MilesTEG1]

il y a 5 minutes, PiwiLAbruti a dit :

Il est contre-productif de faire de l'exclusion géographique (ça n'a même aucun sens). Il est beaucoup plus efficace de n'ouvrir que pour le pays de résidence et d'autres pays dans lesquels on se rend régulièrement.

C’est ce que je disais en moins bien dit certes

[bliz]

Bon, dans le tuto, à la fin de la ligne du parefeu, c'est bien une exclusion ?
car si rien n'est rempli dans le parefeu (même si cela parait bizarre), la connexion est autorisé

Alors si par défaut c'est autorisé, pourquoi faire des autorisation. Bon, il est vrai, pour une simplicité de configuration, si tout est autorisé, il est plus facile de paramétrer de tout refuser et autoriser au cas par cas.

Moi, ce que je dit, c'est que je part en voyage, et je me vois mal configurer le parefeu pour autoriser l'acces à ce pays ou je vais, puis l'interdire à mon retour.

Mais bon, en entreprise, si j'ai tout mes process dans le nas, ainsi que la compta et mes clients, et que toute ma zone de travail est limité à une zone géographique bien déterminé, là je le ferais.