firlin Posté(e) le 11 octobre 2022 Partager Posté(e) le 11 octobre 2022 (modifié) Il y a 2 heures, PiwiLAbruti a dit : Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès". c'est par défaut ce paramètre, car il me semble que j'y ai jamais touché pour ma part. Non je viens de vérifier sur un autre nas et c’était pas le cas Modifié le 11 octobre 2022 par firlin 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 11 octobre 2022 Partager Posté(e) le 11 octobre 2022 Bonjour, Pour info, seul mon NAS en 6.2 est attaqué, pas celui en 7.x mais il n'a pas la même IP externe nos plus. Jusqu'à maintenant 100% des IP bloquées que j'ai testées ont un Syno en 6.2 qui répond derrière... Ca me semble louche comme coïncidence. Je viens de déconnecter mon nas en 6.2 d'internet (Il me servait de sauvegarde externe 😞 ) en attendant que cela se tasse ou que Syno publie que chose. A+ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 11 octobre 2022 Partager Posté(e) le 11 octobre 2022 Il y a 6 heures, PiwiLAbruti a dit : Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées. À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330. edit : Ça m'apprendra à faire la moitié des tests 😅 Protocole de test : Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement. Ajouter en-dessous une règle qui bloque tout. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès". Valider les paramètres de pare-feu. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global]. Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut). Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ? Je vais modifier edit : je mettrais en rouge demain, sur mobile impossible. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 11 octobre 2022 Partager Posté(e) le 11 octobre 2022 J'ai un gros paquet d'IP free et Orange dans la liste des bloquées 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Ça c'est pas bon @Dex, ça voudrait dire qu'un paquet de NAS ont été infectés 😕 Apparemment ça concernerait les NAS sous DSM 6. Tu peux m'envoyer la liste de tes IP bloquées en MP, je vais identifier les appareils concernés et faire un retour à Synology (sans les IP évidemment). Ca fait longtemps que DSM 6 n'a pas reçu de mise à jour de sécurité. Le plus probable est qu'une faille ait été exploitée massivement. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Le pire est que sur certains NAS, quand tu te connectes dessus, tu te retrouves avec la page premier accès comme quand tu l'installes la première fois... Ca pue. J'ai coupé (supprimé les redirections au niveau de la bos) le NAS en 6.2 qui n'est pas chez moi, j'ai généré un CSV hier mais je suis pas chez moi, je te passe des screen shot en MP. A priori, il n'y a pas que les 6.2 d'attaqués, même si c'est majoritaire. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Geoff1330 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Il y a 17 heures, PiwiLAbruti a dit : Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées. À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330. edit : Ça m'apprendra à faire la moitié des tests 😅 Protocole de test : Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement. Ajouter en-dessous une règle qui bloque tout. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès". Valider les paramètres de pare-feu. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global]. Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut). Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ? Merci beaucoup pour ta participation et tes analyses. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Il y a 18 heures, PiwiLAbruti a dit : Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées. À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330. edit : Ça m'apprendra à faire la moitié des tests 😅 Protocole de test : Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement. Ajouter en-dessous une règle qui bloque tout. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès". Valider les paramètres de pare-feu. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global]. Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut). Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ? Bonjour @PiwiLAbruti Je viens de réaliser ton protocole de test. Et bien chez moi, la dernière ligne qui refuse tout sur tout fonctionne, malgré que dans les interfaces dédiées j'ai rien mis en refuser : J'ai modifié ces règles depuis mon pc windows, IP = 192.168.2.199 et depuis mon mac en IP = 192.168.2.25 je ne peux accéder au NAS : Ce site est inaccessible. Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Geoff1330 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Pour bien comprendre, il est donc préferable de ne pas faire les règles dans la section Globale, mais sur chaque interphase. je peux donc faire exactement les mêmes règles dans l'interphase LAN1 puis supprimer dans Globale? Que dois-je mettre comme règles pour l'interphase VPN? y a t-il un lien avec l'interphase LAN (le VPN utilise son propre range IP, mais cela passe par la prise LAN...) il y a 2 minutes, MilesTEG1 a dit : J'ai modifié ces règles depuis mon pc windows, IP = 192.168.2.199 et depuis mon mac en IP = 192.168.2.25 je ne peux accéder au NAS : Ce site est inaccessible. Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne. Es-tu en DSM 6.2 ou 7? Visiblement, cela a un impacte. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 (modifié) il y a 42 minutes, Dex a dit : Le pire est que sur certains NAS, quand tu te connectes dessus, tu te retrouves avec la page premier accès comme quand tu l'installes la première fois... Ca pue. J'ai coupé (supprimé les redirections au niveau de la bos) le NAS en 6.2 qui n'est pas chez moi, j'ai généré un CSV hier mais je suis pas chez moi, je te passe des screen shot en MP. A priori, il n'y a pas que les 6.2 d'attaqués, même si c'est majoritaire. Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane (Voir plus bas, un seul essai par IP sur mon 7.1 donc pas de blocage vue son paramétrage). Ca a commencé le 10/10 à 20h14, ca c'est arrêté hier à 12h59. @PiwiLAbruti je te passe les logs. Modifié le 12 octobre 2022 par Dex 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 il y a 12 minutes, Geoff1330 a dit : Pour bien comprendre, il est donc préferable de ne pas faire les règles dans la section Globale, mais sur chaque interphase. je peux donc faire exactement les mêmes règles dans l'interphase LAN1 puis supprimer dans Globale? Que dois-je mettre comme règles pour l'interphase VPN? y a t-il un lien avec l'interphase LAN (le VPN utilise son propre range IP, mais cela passe par la prise LAN...) Es-tu en DSM 6.2 ou 7? Visiblement, cela a un impacte. Mon 920+ est en DSM 7.1.1-42962 Update 1 (Notes de version) il y a 9 minutes, Dex a dit : Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane. Pour être sûr que je les ai bien ces notifications, c'est où ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Panneau de config, Notifications, Système, adresse IP bloquée. En fait il n'y a eu qu'un essai par IP et donc pas de blocage sur mon 7.1 (pas de blocage si seulement un essai) donc pas de message. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bibou64 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 il y a 24 minutes, Dex a dit : Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane (Voir plus bas, un seul essai par IP sur mon 7.1 donc pas de blocage vue son paramétrage). Ca a commencé le 10/10 à 20h14, ca c'est arrêté hier à 12h59. @PiwiLAbruti je te passe les logs. Je confirme, pareil chez moi en 7.x et un arret vers 13h 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 il y a une heure, MilesTEG1 a dit : Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne. Je fais les tests avec un ping continu vers un NAS en DSM 6. C'est un mauvais test car le ping continu fonctionne même si un blocage a été activé. Il faut stopper le ping continu quelques secondes et le relancer pour constater le blocage. Conclusion : Une règle de blocage dans la section [Global] bloque bien le trafic. Il y a 13 heures, Einsteinium a dit : Je vais modifier edit : je mettrais en rouge demain, sur mobile impossible. Finalement, fausse alerte (cf. ci-dessus). Ça restera malgré tout une bonne pratique. 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 -------- Après quelques investigations (merci @Dex pour les logs), les tentatives d'intrusion sont menées par un bon vieux botnet constitué de diverses machines. L'écrasante majorité d'entre elles sont des NAS Synology fonctionnant sous DSM 6. Il y a aussi des NAS QNAP, des routeurs Draytek, des pares-feu SonicWall, des serveurs Microsoft IIS7 ... Certaines d'entre elles sont même encore cryptolockés par DeadBolt. Les tentatives viennent de tous les pays possibles, France/Belgique/Suisse incluses. Les NAS Synology depuis lesquels sont lancées les tentatives d'intrusion ont presque tous les ports tcp/5000 et/ou tcp/5001 ouverts aux quatre vents. Le point commun entre toutes ces machines est l'absence de restriction d'accès par IP (= absence de pare-feu correctement configuré). Vous aurez beau ajouter n'importe quelle sécurité en aval de celle-ci (mot de passe fort, 2FA, blocage auto IP, ...), elle sera inopérante car il suffit qu'un service vulnérable soit atteignable pour qu'il soit détecté et que les failles puissent être exploitées. Tout ça pour souligner l'extrême importance de bien configurer son pare-feu (au minimum un filtrage GeoIP limité au pays de résidence), surtout dans le contexte actuel où les tentatives d'instrusion sont de plus en plus fréquentes. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 Vous m'avez fait peur, du coup je viens de vérifier le centre des journaux (RAZ) bon après j'ai que 3 Port ouvert (Plex et B torrent ) . Sachant que le plex a son adresse Ip pour lui tous seul. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
NAStucieux Posté(e) le 12 octobre 2022 Auteur Partager Posté(e) le 12 octobre 2022 Petite question concernant les notifications du pare-feu: A titre de test j'ai mis dans les paramètres 1ere ligne : Tous _ Tous _ mes IP du réseau local _ Autoriser 2eme ligne: Tous_Tous_Tous_Refuser Et en cherchant à me connecter avec mon smartphone( en 4G), celui-ci a mouliné mais n'a pas pu se connecter Donc cela fonctionne apparemment comme prévu Mais je n'ai eu aucune notification du NAS (DSM 7.1.1-42962 Update1) alors que la case "Activer les notifications du pare-feu" est bien activée Avez-vous des notifications quand le pare-feu bloque une connexion non autorisée ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 12 octobre 2022 Partager Posté(e) le 12 octobre 2022 (modifié) Il y a 2 heures, NAStucieux a dit : Avez-vous des notifications quand le pare-feu bloque une connexion non autorisée ? Bonjour, Non aucune notification. Il y a 2 heures, NAStucieux a dit : alors que la case "Activer les notifications du pare-feu" est bien activée Il vaut mieux le désactiver, c'est lorsque tu installes, actives des paquets il y auras une notification pour créer des règles pare-feu automatiquement, et attention il faudra bien bien faire attention, soit décocher puis Ok, soit cliquer sur annuler. Modifié le 12 octobre 2022 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bibou64 Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 Alerte générale ! Ca recommence ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 Depuis hier en fin de journée chez moi en fait. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 (modifié) Tant que vous n'aurez pas restreint suffisamment l'exposition de DSM (ou SRM) sur internet via le pare-feu, les tentatives d'instrusions continueront d'atteindre votre NAS. @Dex : Les logs que tu mas envoyés contiennent environ 500 adresses IP correspondant à une 40aine de pays. Est-ce qu'une exposition aussi large de ton DSM est nécessaire ? Modifié le 13 octobre 2022 par PiwiLAbruti 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 il y a 3 minutes, PiwiLAbruti a dit : Tant que vous n'aurez pas restreint suffisamment l'exposition de DSM (ou SRM) sur internet via le pare-feu, les tentatives d'instrusions continueront d'atteindre votre NAS. @Dex : Les logs que tu mas envoyés contiennent environ 500 adresses IP correspondant à une 40aine de pays. Est-ce qu'une exposition aussi large de ton DSM est nécessaire ? J'avais jamais mis de restriction jusqu'à présent, j'en ai mis une hier sur le 6.2. C'est quand même dommage de n'avoir aucun moyen de prévenir les proprios de ces synos qu'ils sont infectés, au moins pour les Français. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 il y a 5 minutes, Dex a dit : C'est quand même dommage de n'avoir aucun moyen de prévenir les proprios de ces synos qu'ils sont infectés, au moins pour les Français. Il y aurait un moyen, publier un site qui indique au client si son adresse IP (présente les en-têtes de requête) a été détectée comme source d'attaque de botnet. Un tel site existe peut-être déjà. Pour automatiser tout ça, il faudrait centraliser les adresse IP bloquées par les NAS afin de constituer une base de comparaison. J'ai déjà tous les éléments techniques pour le faire, mais l'intérêt reste limité. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dex Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 Synology pourrait le faire, il connait ton IP externe et même si c'est une erreur legit, ils pourraient t'afficher un message comme quoi ton IP a essayée de se connecter à un autre NAS avec une erreur. Il suffirait que tu les autorises à recuperer les log des rejets sur ton NAS (ce que je ferais sans pb). Je viens de récupéré une IP d'une boite avec logo sur le page d'accueil de leur syno en DSM 6.2, "leader en sécurité" sur leur site web. Vais essayer de les contacter. David 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 13 octobre 2022 Partager Posté(e) le 13 octobre 2022 (modifié) Synology pourrait même intégrer ça dans le Conseiller de sécurité. il y a 13 minutes, Dex a dit : Je viens de récupéré une IP d'une boite avec logo sur le page d'accueil de leur syno en DSM 6.2, "leader en sécurité" sur leur site web. 😂 Modifié le 13 octobre 2022 par PiwiLAbruti 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.