Inquiétude sur la sécurité de mon NAS...

Gilles² · Le 02/01/2015, à 17:33

Salut à tous,

... en vérifiant le journal des événements de mon NAS (Synology D213j), j'y est remarqué plusieurs fois le message suivant:

"IP adress (122.225.109.102) to xxxxxxx [le nom de mon NAS] has been blocked by SSH".

Le dernier en date est d'aujourd'hui, à 15 h 56. Une recherche sur le toile m'indique que cette adresse IP se trouve (... comme par hasard) en Chine. Dois-je m'en inquiéter, sachant que cette adresse IP est bloquée. A toute fin utile, je viens de modifier mon mot de passe (passé de 11 à 24 caractères...)

Je vous remercie par avance des conseils que vous saurez me prodiguer.

Gilles.

tiramiseb · Le 02/01/2015, à 18:32

Salut,

Ton NAS est directement accessible par Internet ? Tu as mis une redirection sur ton routeur / ta box ?
Autant sur un serveur bien géré et mis à jour ça ne me choque pas, autant sur un NAS j'ai des craintes quant à la sécurité du machin...

pires57 · Le 02/01/2015, à 21:22

En un mot : fail2ban

Gilles² · Le 03/01/2015, à 13:59

Salut à tous,

tiramiseb a écrit :

Salut,
Ton NAS est directement accessible par Internet ? Tu as mis une redirection sur ton routeur / ta box ?
Autant sur un serveur bien géré et mis à jour ça ne me choque pas, autant sur un NAS j'ai des craintes quant à la sécurité du machin...

... oui. Pour mes besoins pro, j'ai besoin d'un accès depuis l’extérieur.

EDIT: Pas de soucis, il y a bien une redirection sur la box. Celle-ci c'est faite automatiquement lors de ma création de mon adresse DDNS qui me permet d’accéder à mon NAS depuis l’extérieur.

Par contre, encore 5 tentatives d'intrusions depuis ce matin...

pires57 a écrit :

En un mot : fail2ban

Quoi qu'est-ce ???

Dernière modification par Gilles² (Le 03/01/2015, à 14:00)

tiramiseb · Le 03/01/2015, à 15:32

Sur un NAS, je ne suis pas sûr que tu puisses faire grand chose. Bien sûr que quand on a un port SSH accessible publiquement il y a des tentatives d'attaque, c'est normal et courant. Aucun inquiétude à avoir quant aux tentatives.

Par contre, laisser un NAS accessible publiquement, c'est vraiment limite, car tu ne maîtrises pas sa sécurité et ses mises à jour. Si vraiment tu as besoin d'y accéder, je conseillerais plutôt de mettre une machine vraiment sécurisée devant, une machine sous Debian par exemple, sur laquelle tu peux assurer une application systématique des mises à jour.

fail2ban est un outil qui permet de bloquer des adresses IP après un certain nombre de tentatives. Ça limite les risques en bloquant les gens qui essaient, mais ce n'est pas indispensable pour assurer une bonne sécurité. À mon sens, c'est surtout pour réduire la quantité de logs.

Compte anonymisé · Le 03/01/2015, à 18:03

tiramiseb a écrit :

Sur un NAS, je ne suis pas sûr que tu puisses faire grand chose. Bien sûr que quand on a un port SSH accessible publiquement il y a des tentatives d'attaque, c'est normal et courant. Aucun inquiétude à avoir quant aux tentatives.
Par contre, laisser un NAS accessible publiquement, c'est vraiment limite, car tu ne maîtrises pas sa sécurité et ses mises à jour. Si vraiment tu as besoin d'y accéder, je conseillerais plutôt de mettre une machine vraiment sécurisée devant, une machine sous Debian par exemple, sur laquelle tu peux assurer une application systématique des mises à jour.

voilà et pour parfaire le tout, avec port-knocking, tu sera le seul à y accéder (plus aucun chinois dans les logs) http://doc.ubuntu-fr.org/port-knocking

pires57 · Le 04/01/2015, à 00:48

Pas que cela tiramiseb. Fail2ban et son système de multiban augmente ta sécurité dans la mesure ou fail2ban va compter le nombre de tentative échoué et y appliquer les actions que tu défini.
Par exemple au bout de 3 echec en ssh je ban l'adresse ip 30 minute. Suite au ban une deuxième prison se met en place, si cette ip se fait ban encore une fois le ban suivant sera de 24h... tu défini des regles comme tu veut, les durée que j'ai donné ne sont qu'à titre d'exemple.

Ceci dit, il faut prendre en compte que ce genre de logiciel consomme en ressource.

Dernière modification par pires57 (Le 04/01/2015, à 00:49)

Gilles² · Le 05/01/2015, à 12:46

Salut à tous,

tiramiseb a écrit :

fail2ban est un outil qui permet de bloquer des adresses IP après un certain nombre de tentatives. Ça limite les risques en bloquant les gens qui essaient, mais ce n'est pas indispensable pour assurer une bonne sécurité. À mon sens, c'est surtout pour réduire la quantité de logs.

... Synology fait ça très bien à première vue.

Voici mes paramètres à ce sujet:

Onglet "Blocage auto":

Activation du blocage auto: Ok
Tentatives de connexion: 2
Activer l'expiration des blocages: Décoché
Débloqué après: Grisée

Dans cette configuration, l'adresse IP est bloquée définitivement.

Dès que je me suis aperçu de ces tentatives d'intrusions, j'ai immédiatement changé mon mot de passe, qui est passé de 11 à 24 caractères (... qui reste facile à retenir pour moi). Devrais-je aussi changer le nom de mon NAS d'après vous?

Merci pour vos conseils avisés.

Gilles.

Dernière modification par Gilles² (Le 05/01/2015, à 12:56)

tiramiseb · Le 05/01/2015, à 15:58

Dès que je me suis aperçu de ces tentatives d'intrusions, j'ai immédiatement changé mon mot de passe, qui est passé de 11 à 24 caractères

11 caractères c'était déjà pas mal, si c'était un mot de passe sûr (complexe, absent du dictionnaire, etc).

Devrais-je aussi changer le nom de mon NAS d'après vous?

Je ne pense pas que ça changerait quoi que ce soit.

Merci pour vos conseils avisés.

Mon conseil, c'est de ne pas mettre un NAS en accès direct sur Internet

Brunod · Le 06/01/2015, à 07:56

Oui, mais c'est aussi à ça que ça sert selon ce qu'on en fait.
Une autre piste est de laisser les accès en lecture et de n'autoriser les modifications que selon certaines tranches horaires ou d'une certaine plage ip publique (banir la chine).
Enfin si tu n'autorises que les connexions en ssh avec une grande clé, le risque devient négligeable.
Méfie-toi surtout des services offerts par le nas genre wordpress : il sont souvent peu à jour et toujours pleins de failles

tiramiseb · Le 06/01/2015, à 09:50

Brunod a écrit :

Méfie-toi surtout des services offerts par le nas genre wordpress : il sont souvent peu à jour et toujours pleins de failles

Par contre, pour pouvoir conseiller de laisser un NAS ouvert en SSH sur Internet, tu assures que le reste, notamment le noyau et le serveur SSH, sont parfaitement à jour et sans faille ?

voxpopuli · Le 06/01/2015, à 14:05

Ce que veut dire Brunod c'est qu'un NAS inaccessible depuis le web est très peu utile (on passe a côté de tout les trucs a la mode sur smartphone/tablette comme la synchro de calendrier/contact/musique, bibliothèque d'Ebook, proxy, VPN, etc). Depuis l'arrivée du raspberry pi les NAS fleurissent sur la toile (mais en effet il vaut mieux privilégier des machines correctement misent a jours)

Dernière modification par voxpopuli (Le 06/01/2015, à 14:07)

tiramiseb · Le 06/01/2015, à 15:43

Rendre un NAS accessible sur Internet, ouais pourquoi pas, s'il est à jour etc etc. Raspbian c'est très bien par exemple, tant qu'on applique les mises à jour.

Par contre, rendre un NAS Synology accessible sur Internet, ça me fait personnellement un peu peur.

Je ne fais pas confiance à des systèmes pour lesquels je ne peux pas maîtriser les mises à jour...

Brunod · Le 06/01/2015, à 18:55

tiramiseb a écrit :

Brunod a écrit :
Méfie-toi surtout des services offerts par le nas genre wordpress : il sont souvent peu à jour et toujours pleins de failles
Par contre, pour pouvoir conseiller de laisser un NAS ouvert en SSH sur Internet, tu assures que le reste, notamment le noyau et le serveur SSH, sont parfaitement à jour et sans faille ?

Sur Synology, je ne sais pas; sur le mien j'ai eu 4 màj firmware depuis octobre.

tiramiseb · Le 06/01/2015, à 19:18

Sur Synology, je ne sais pas

Oui, voilà, moi aussi je ne sais pas.
Dans le doute...

pires57 · Le 06/01/2015, à 21:56

A titre perso je le rendrais accessible uniquement via un VPN, ce qui permettras de sécuriser le nas au niveau des accès.

Dernière modification par pires57 (Le 06/01/2015, à 21:57)

Gilles² · Le 07/01/2015, à 10:51

Salut à tous,

pires57 a écrit :

A titre perso je le rendrais accessible uniquement via un VPN, ce qui permettras de sécuriser le nas au niveau des accès.

... certes, mais comment faire ?

De plus, il me semble qu'un VPN ralenti fortement la connexion depuis l'extérieur. Comme précisé, il n'est pas rare que je me connecte depuis l’extérieur pour pouvoir y récupérer / déposer des documents personnels...

Déjà qu'en temps normal ce n'est pas un foudre de guerre...

Gilles.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/01/2015, à 17:33

Inquiétude sur la sécurité de mon NAS...

#2 Le 02/01/2015, à 18:32

Re : Inquiétude sur la sécurité de mon NAS...

#3 Le 02/01/2015, à 21:22

Re : Inquiétude sur la sécurité de mon NAS...

#4 Le 03/01/2015, à 13:59

Re : Inquiétude sur la sécurité de mon NAS...

#5 Le 03/01/2015, à 15:32

Re : Inquiétude sur la sécurité de mon NAS...

#6 Le 03/01/2015, à 18:03

Re : Inquiétude sur la sécurité de mon NAS...

#7 Le 04/01/2015, à 00:48

Re : Inquiétude sur la sécurité de mon NAS...

#8 Le 05/01/2015, à 12:46

Re : Inquiétude sur la sécurité de mon NAS...

#9 Le 05/01/2015, à 15:58

Re : Inquiétude sur la sécurité de mon NAS...

#10 Le 06/01/2015, à 07:56

Re : Inquiétude sur la sécurité de mon NAS...

#11 Le 06/01/2015, à 09:50

Re : Inquiétude sur la sécurité de mon NAS...

#12 Le 06/01/2015, à 14:05

Re : Inquiétude sur la sécurité de mon NAS...

#13 Le 06/01/2015, à 15:43

Re : Inquiétude sur la sécurité de mon NAS...

#14 Le 06/01/2015, à 18:55

Re : Inquiétude sur la sécurité de mon NAS...

#15 Le 06/01/2015, à 19:18

Re : Inquiétude sur la sécurité de mon NAS...

#16 Le 06/01/2015, à 21:56

Re : Inquiétude sur la sécurité de mon NAS...

#17 Le 07/01/2015, à 10:51

Re : Inquiétude sur la sécurité de mon NAS...

Pied de page des forums