Blocage après "n" tentatives de connexion

[StéphanH]

Bonjour,

 

J'ai activé sur mes NAS (218+, 718+) le blacklistage auto des @IP qui font des tentatives infructueuses rapprochées.

Je reçois ce matin un mail me disant que le compte admin a fait trois tentatives infructueuses, et que l'auteur est blacklisté pour 24h.

Les problèmes :

• Le compte admin est désactivé depuis longtemps. Il peut bien essayer de se connecter, il devrait être hors scop.
• La liste des @IP blacklistée est vide.
• La date de fin de blocage dans le mail généré est égale à la date d'émission du mail, comme si le délai de 24h n'étais pas pris en compte.
  "Cette protection sera automatiquement annulée à Thu Aug 18 10:37:33 2022"

qu'est ce que c'est que ce souk ???

[StéphanH]

Merci pour ta réponse.

L'expéditeur du mail est bien l'@mail que j'ai spécialement créée pour cette tâche.

 

et rebelote à l'instant.

En fait, depuis 09h30 ce matin, j'ai beaucoup de tentatives sur ce compte admin depuis les rares pays que j'ai autorisé.

Je suis très étonné d'être notifié d'une tentative avec mot de passe erroné alors que le user admin est désactivé

[Kramlech]

il y a 48 minutes, StéphanH a dit :

Je suis très étonné d'être notifié d'une tentative avec mot de passe erroné alors que le user admin est désactivé

Le fait que le user admin soit désactivé n’a jamais empêché une tentative de connections avec ce user !!!! Il faut bien que le user soit saisi pour que le système sache qu’il faut le rejeter …

[Einsteinium]

Tu devrais utiliser un domaine et mettre des sous domaines exotiques, tu réduiras très fortement les attaques de bot 🙂

[StéphanH]

il y a 7 minutes, Einsteinium a dit :

Tu devrais utiliser un domaine et mettre des sous domaines exotiques, tu réduiras très fortement les attaques de bot 🙂

Encore faudrait il que je sache le faire 🙂

il y a une heure, Kramlech a dit :

Le fait que le user admin soit désactivé n’a jamais empêché une tentative de connections avec ce user !!!! Il faut bien que le user soit saisi pour que le système sache qu’il faut le rejeter …

oui, tu n'as pas tort.

Mais le niveau de risque n'est pas le même entre une tentative de connexion sur un user actif et une autre sur un user inactif.

[Kramlech]

il y a une heure, StéphanH a dit :

Mais le niveau de risque n'est pas le même entre une tentative de connexion sur un user actif et une autre sur un user inactif.

D’où l'importance d'un mot de passe fort et la double authentification.

[StéphanH]

Les deux sont en place ...

[Mic13710]

Rien n'empêche n'importe qui dans la zone géographique autorisée de tenter de se connecter au NAS avec des identifiants farfelus. Ce n'est pas l'identifiant en lui mème qui crée le blocage mais la tentative de connexion à partir d'une IP.

Si tu tentes de te connecter au NAS avec un utilisateur "Toto" qui n'existe pas, DSM refusera la connexion et c'est le parefeu qui fera ensuite son travail si le nombre de tentatives infructueuses a été atteint.

Dans ton cas, il y a bien tentative de connexion sur un compte qui existe mais qui est désactivé, mais le processus est le même que si le compte n'existe pas.

[StéphanH]

Oui, tu as raison.

il semble "qu'il" ait cessé... le tout en changeant d'@IP à chaque essai ...

Dans ce cas, c'est le user "admin" qui devrait être blacklisté depuis tout terminal non approuvé non ?

[Mic13710]

Le parefeu du NAS n'a pas vocation à bloquer des comptes utilisateurs inexistants ou désactivés. Il ne travaille que sur des ports et des IP. C'est seulement DSM qui s'occupe des identifiants et des autorisations des utilisateurs.

Par contre, je ne sais pas t'expliquer pourquoi le mail de notification donne un délais de 24h mais que l'IP est débloquée tout de suite. Bug du parefeu ? A surveiller et contacter le support si besoin.

[StéphanH]

J'ai passé le nombre de jours de blocage à 2.

mais j'avais en tête que pour bloquer une @IP il fallait n tentatives infructueuses depuis la même @IP.

Là, ce n'est pas le cas. C'est le user qui fait des tentatives en boucle. je ne sais pas où les User sont blacklistés. Le mail que je reçois m'indique juste que le User n'est plus autorisé à se connecter sauf depuis un terminal approuvé. Cela signifit-il que DSM aurait désactivé le user admin sauf pour ces terminaux durant x jours ?

[Einsteinium]

Tu as un mode de protection pour les comptes si beaucoup de tentative envers un même compte, peu être cela.

Pour un domaine, cela est relativement rapide et facile à mettre en place 🙂

[StéphanH]

Etonnant qu'on ne trouve nul part la liste des users mis en quarantaine ...

Pour cette histoire de Domaine, je n'ai pas trouvé de tutoriel. Il y en a un quelque part ???

[maxou56]

Il y a 3 heures, StéphanH a dit :

Etonnant qu'on ne trouve nul part la liste des users mis en quarantaine ...

Bonjour,

Dans Panneau de configuration > Sécurité > compte > protection du compte > "Gérer les comptes protégés" ou "Gérer les clients fiables", il n'y a rien?

Mais le bloquage pour un compte semble limité dans le temps, maximum 999 minutes.

[StéphanH]

Bingo !

Merci @maxou56

[Einsteinium]

Il y a 9 heures, StéphanH a dit :

Pour cette histoire de Domaine, je n'ai pas trouvé de tutoriel. Il y en a un quelque part ???

Achète un domaine chez ovh et on ce fait sa en teamviewer + appel tel 🙂

Au passage moi j'ai prix un domaine .eu chez netim à 14€ les 10 ans.. que j'ai migré derrière chez ovh, sa fait du -20€ les 10 ans, la promo était régulière pendant un moment, c'est le genre de bon plan a visé 🙂

Actuellement je vois une promo sur les .fr chez ovh en prenant 3 années, la 4ième est offerte, cela fait 16.78€ les 4 années.

[StéphanH]

En quoi un Domaine ovh ou autre serait-il moins attaquable qu'un DDNS Syno ?

[Kramlech]

Il y a 6 heures, StéphanH a dit :

En quoi un Domaine ovh ou autre serait-il moins attaquable qu'un DDNS Syno ?

Quelque soit le domaine, quelque soit l'IP, tout est attaquable !!!

Par contre avoir son propre nom de domaine est plus confortable : on peut en faire ce que l'on veut. Pour moi, la différence est la même qu'entre louer un chambre chez un particulier, et avoir acheté son propre appartement...

[Einsteinium]

Il y a 11 heures, StéphanH a dit :

En quoi un Domaine ovh ou autre serait-il moins attaquable qu'un DDNS Syno ?

Car avec un domaine, tu vas faire un wildcard et tes sous domaines seront exotique.

Le ddns de synology de base même directement à ton dsm... et il est facile d'avoir la liste 🙂 (certainement ce qui a conduit au attaque de masse des dsm non mise à jour...)