Connexion
Abonnez-vous

Faille DSM 4.3 : la dernière mise à jour de Synology ne suffirait pas toujours

Vivement le DSM 5.0 en version finale

Faille DSM 4.3 : la dernière mise à jour de Synology ne suffirait pas toujours

Le 12 février 2014 à 14h10

Au début de l'année, une faille de sécurité sur le DSM 4.3 des NAS Synology avait été découverte, et rapidement colmatée. Mais les choses ne seraient finalement pas aussi simples et la dernière mise à jour 4.3 - 3810 Update 4 ne suffit pas toujours. Explications.

Synology DSM 4.3

 

Début janvier, le National Institute of Standards and Technology (NIST) publiait un bulletin de sécurité indiquant que les NAS Synology fonctionnant avec le DSM 4.3 - 3810 Update 3 étaient à la merci d'une faille de sécurité sur le Windows File Service (SMB). Elle permettait d'écrire, de modifier et de supprimer des fichiers à distance. Des pirates l'avaient alors exploitée afin de leur faire miner des Bitcoins, entre autres choses. Synology avait mis en place le DSM 4.3 - 3810 Update 4 afin de corriger ce problème, mais tout n'est pas si simple pour ceux qui étaient déjà touchés.

 

En effet, sur le forum du fabricant, plusieurs utilisateurs signalent un comportement étrange de leur NAS, même après l'avoir mis à jour. Dans certains cas, des processus (situés dans /PWNED) continueraient d'utiliser massivement le processeur mais sans forcément apparaître dans le moniteur de ressource. Notez au passage que ce dernier fonctionnerait parfois de manière étrange (reboot, arrêt, etc.). De plus, de nombreuses commandes Linux auraient disparu en cours de route : « ps », « top », « rm » et « ls » seraient introuvables par exemple.

 

Après avoir interrogé le support technique, un utilisateur répondant au pseudo de Gozem aurait obtenu une réponse de la part de Synology : « Nos développeurs confirment que cette faille a été corrigée lors de la précédente mise à jour critique. Votre Disk Station a été piraté avant cette mise à jour critique et cela continuera tant que vous ne réinstallez pas le DSM. Vous devrez réaliser un hard reset afin de réinstaller le DSM via l'Assistant Synology, et s'il vous plaît mettez-vous ensuite à jour vers la dernière version du DSM ».

 

Le constructeur détaille ici la démarche à suivre pour réaliser un hard reset. Notez que cela n'efface normalement pas les données présentes sur vos périphériques de stockage. De notre côté, nous avons évidemment contacté Synology pour avoir plus de précisions. De votre côté, n'hésitez pas à nous faire part de vos retours si vous êtes dans une de ces situations.

 

Merci Laurent ;)

Commentaires (61)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Gab& a écrit :



Manger 50 attaques par jour et laisser venir, tu aimes le risque ^^ <img data-src=" />





Ce n’est pas le nombre d’attaques qui peut poser un problème, c’est leur qualité. J’ai largement plus de 50 tentatives d’attaques sur mon dédié, sauf que je n’en ai rien à faire : ce sont des scripts kiddies qui ne risquent pas de faire quoi que ce soit.


votre avatar







Gab& a écrit :



Comme dit plus haut (grilled mais je m’en balance), la base de la sécurité est de n’exposer sur internet que les ports dont tu as besoin et idéalement en n’utilisant pas le numéro de port pas défaut.



Manger 50 attaques par jour et laisser venir, tu aimes le risque ^^ <img data-src=" />





Je dois avouer avoir la même pratique, mon nas est en DMZ (avec blocage d’IP automatique). Vu le nombre de services que j’utilise de l’extérieur et la qualité de l’interface de la livebox play, je n’ai jamais trouvé le courage de faire toutes mes redirections.



PS : y’a un moyen de sauvegarder sa config de livebox ?


votre avatar







Mig6r a écrit :



Pourquoi as tu activé l’expiration des blocages ? Pour leur laisser 4 autres chances ? <img data-src=" />







Les IP étant dynamique, je ne voit pas bien l’intérêt de créer une BL qui va être monstrueuse au bout de quelques mois et qui va bloqué des gens qui n’ont rien a voir avec les attaques.


votre avatar







kantfredo a écrit :



Les IP étant dynamique, je ne voit pas bien l’intérêt de créer une BL qui va être monstrueuse au bout de quelques mois et qui va bloqué des gens qui n’ont rien a voir avec les attaques.







D’ailleurs, est-ce que quelqu’un sait comment bloquer * - {IP Française} ?


votre avatar

Moi j’ai ma box avec 2 ports ouverts (le https syno donc 5001, et openvpn donc 1194), le pare-feux du syno fait de même vers l’exterieur, et est même restreint aux deux IPs (fixes) à même de monter un VPN avec lui.



Ca a du me prendre 10 minutes à configurer.



La liste de blocage auto est vide depuis 3 ans…

votre avatar







kantfredo a écrit :



Si, j’ai activé le blocage auto, j’en ai une 50 ene par jours environ d’IP bloqué. je les bloques pendant uen semaine a partir de 4 tentatives en moins de 5minutes.



Pour ce qui est du DMZ, je ne suis pas certains que la freebox soit plus sécurisé que le synology. ???





le parefeu du syno n’as pas beaucoup d’options et je ne sais pas trop comment il se comporte dans certains cas (réponse de ping wan, flood, etc)



après, si la mise en veille de ton Synoest activée, dès qu’un paquet arrive sur le parefeu du Syno, il démarre, alors que si c’est la freebox qui sert de parefeu et si le port n’est pas ouvert, le Syno reste en veille.



le mode DMZ est à utiliser en dernier recours, par exemple si la box bloque certains protocoles (GRE pour utiliser PPTP ou ESP pour IPSec) sans option type “passthrough”


votre avatar







romualdT a écrit :



Moi j’ai ma box avec 2 ports ouverts (le https syno donc 5001, et openvpn donc 1194), le pare-feux du syno fait de même vers l’exterieur, et est même restreint aux deux IPs (fixes) à même de monter un VPN avec lui.



Ca a du me prendre 10 minutes à configurer.



La liste de blocage auto est vide depuis 3 ans…







je me vois mal monter un vpn chaque fois que mon tel download un morceau qu’il n’a pas en local.



Après c’est sur que “Nater” 2 ports c’est pas tres long … même avec ma livebox pourrie <img data-src=" />


votre avatar

Perso … tout est derrière un firewall pfSense



Les services (y compris autre que Synology) sont accessibles uniquement via un reverse proxy :)



Il y a très peu de ports ouverts



C’est ce qu’il y a de plus secure à faire. Apres encore plus secure, c’est aucun accès internet au Syno. Que de l’interne !

votre avatar







Gab& a écrit :



D’ailleurs, est-ce que quelqu’un sait comment bloquer * - {IP Française} ?







En aoutant les plages fr.* que tu connais et dont la liste est disponible ici ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt



Selon les opérateurs désirés : fr.telecom, fr.sfr, fr.ldcomnet, fr.ncnumericable, fr.proxad, fr.freemobile, fr.grolier, …

Et au passage n’oubliez pas de bannir la Bibliothèque de France (fr.renater) qui se contrefout des fichiers robots.txt et qui aspire tout ce qu’elle peut sur toutes les IP françaises.

C’est un scandale et pourtant toute la presse (PCi inclus) s’en fout.


votre avatar







Network a écrit :



Je dois avouer avoir la même pratique, mon nas est en DMZ (avec blocage d’IP automatique). Vu le nombre de services que j’utilise de l’extérieur et la qualité de l’interface de la livebox play, je n’ai jamais trouvé le courage de faire toutes mes redirections.



PS : y’a un moyen de sauvegarder sa config de livebox ?





typiquement l’exploitation de la faille décrite dans la news ne sera absolument pas bloquée par le blocage auto car il n’y a pas besoin d’être authentifié.



utilise au minimum le parefeu du Syno (en plus les règles sont pré-configurées en fonction du service, donc hyper simple à gérer)


votre avatar







piwi82 a écrit :



Et au passage n’oubliez pas de bannir la Bibliothèque de France (fr.renater) qui se contrefout des fichiers robots.txt et qui aspire tout ce qu’elle peut sur toutes les IP françaises.

C’est un scandale et pourtant toute la presse (PCi inclus) s’en fout.









renater c’est un poil plus que la bdf, c’est juste une très grosse partie des unis, labos de france… suis curieux, jamais rien vu passer chez moi



ps: Les organismes membres du GIP RENATER sont : CNRS, CPU, CEA, INRIA, CNES, INRA, INSERM, ONERA, CIRAD, Irstea, IRD, BRGM, ainsi que le Ministère l’enseignement supérieur et de la Recherche et le ministère de l’Éducation Nationale.


votre avatar







Network a écrit :



je me vois mal monter un vpn chaque fois que mon tel download un morceau qu’il n’a pas en local.



Après c’est sur que “Nater” 2 ports c’est pas tres long … même avec ma livebox pourrie <img data-src=" />







Le tel passe par le port https qui lui est ouvert à toute ip, mais ceci dit c’est aussi 10 min pour créer un vpn pptp sur ton android si tu le souhaites.


votre avatar







kantfredo a écrit :



Si, j’ai activé le blocage auto, j’en ai une 50 ene par jours environ d’IP bloqué. je les bloques pendant uen semaine a partir de 4 tentatives en moins de 5minutes.







Le souci n’est pas tant la confiance, mais plus le nombre de ports qui sont pret à communiquer avec l’exterieur.



La Freebox a le moins de services possibles qui communiquent avec internet.



Ici tu ajoutes en DMZ un NAS qui s’attend à être dans un reseau privé =&gt; il a de nombreux services ouverts et qui répondent (typiquement SMB).



C’est de toute façon une mauvaise pratique de sécurité <img data-src=" />


votre avatar







spidy a écrit :



typiquement l’exploitation de la faille décrite dans la news ne sera absolument pas bloquée par le blocage auto car il n’y a pas besoin d’être authentifié.



utilise au minimum le parefeu du Syno (en plus les règles sont pré-configurées en fonction du service, donc hyper simple à gérer)





<img data-src=" />


votre avatar







piwi82 a écrit :



En aoutant les plages fr.* que tu connais et dont la liste est disponible ici ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt



Selon les opérateurs désirés : fr.telecom, fr.sfr, fr.ldcomnet, fr.ncnumericable, fr.proxad, fr.freemobile, fr.grolier, …

Et au passage n’oubliez pas de bannir la Bibliothèque de France (fr.renater) qui se contrefout des fichiers robots.txt et qui aspire tout ce qu’elle peut sur toutes les IP françaises.

C’est un scandale et pourtant toute la presse (PCi inclus) s’en fout.





fr.wikipedia.org Wikipedia



c’est pas juste la BNF <img data-src=" />



edit : grilled ^^


votre avatar

Plus on va vouloir d’applis user friendly (ménagère de + de 50ans compatible) dans nos NAS et plus le problème sera récurrent . <img data-src=" />

votre avatar







piwi82 a écrit :



En aoutant les plages fr.* que tu connais et dont la liste est disponible ici ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt



Selon les opérateurs désirés : fr.telecom, fr.sfr, fr.ldcomnet, fr.ncnumericable, fr.proxad, fr.freemobile, fr.grolier, …

Et au passage n’oubliez pas de bannir la Bibliothèque de France (fr.renater) qui se contrefout des fichiers robots.txt et qui aspire tout ce qu’elle peut sur toutes les IP françaises.

C’est un scandale et pourtant toute la presse (PCi inclus) s’en fout.







En ajoutant les plages où ? À la main dans le firewall ? J’aimerais mieux importer une liste…


votre avatar

Et les gas il y a pas un package OpenVPN dans votre DSM? niveau sécurité ça serait quand même beaucoup mieux….



Le lien pour les fainéant :



http://www.synology.com/fr-fr/support/tutorials/459



http://www.synology.com/fr-fr/support/tutorials/592

votre avatar







freetomfr a écrit :



Et les gas il y a pas un package OpenVPN dans votre DSM? niveau sécurité ça serait quand même beaucoup mieux….



Le lien pour les fainéant :



http://www.synology.com/fr-fr/support/tutorials/459



http://www.synology.com/fr-fr/support/tutorials/592





c’est ce que je fait, d’ailleurs seul le port pour openVPN est ouvert (d’ailleurs ce n’est pas celui par défaut)


votre avatar







spidy a écrit :



c’est ce que je fait, d’ailleurs seul le port pour openVPN est ouvert (d’ailleurs ce n’est pas celui par défaut)







Interressant, comment fais-tu pour changer le ports du serveurs ?


votre avatar

Petite question toute bête :



Comment fait-on pour savoir si on a été infecté sur le NAS …



J’ai bien fais les maj du DSM mais si je comprend bien on peut être infecté encore là ?

votre avatar







romualdT a écrit :



Intéressant, comment fais-tu pour changer le ports du serveurs ?





au niveau de la configuration de l’ouverture des port (au niveau de la box en général) il faut préciser un port externe et un port interne (+ l’ip interne du nas) donc en port externe je mets celui que je veux (10000 par exemple) et en port interne 1194 (port openvpn par défaut du nas)



il ne faut pas oublier de modifier le fichier de config des clients (ligne “remote”) aussi.


votre avatar







fmazoue a écrit :



Petite question toute bête :



Comment fait-on pour savoir si on a été infecté sur le NAS …



J’ai bien fais les maj du DSM mais si je comprend bien on peut être infecté encore là ?







Pour savoir c’est ici :pcinpact.com PC INpact



Sinon si tu as la dernière version, tu ne devrait plus pouvoir être infecté. Le souci ici c’est que une fois infecté, la seule solution reste le hard reset de ton Syno…


votre avatar







spidy a écrit :



fr.wikipedia.org Wikipedia



c’est pas juste la BNF <img data-src=" />



edit : grilled ^^







Oui je ne l’ai pas précisé, mais ça s’adresse surtout aux initiés. Allez faire un scan du côté du l’allocation 194.19916, et plus précisément des subnets 194.199.724 et 194.199.824.



La BNF n’éprouve aucune honte à employer ce genre de pratique car c’est parfaitement légal (le fichier robots.txt n’ayant aucune valeur légale) :





Ce non-respect du robots.txt n’entre pas en conflit avec la protection de la correspondance privée garantie par la loi, car toutes les données mises à la disposition sur l’Internet sont considérées comme publiées, qu’elles soient ou non filtrées par le robots.txt.



Source :http://www.bnf.fr/fr/outils/a.dl_web_capture_robot.html



Comme quoi la légalité n’a pas que du bon. Personnellement je trouve ça consternant.


votre avatar







sniperdc a écrit :



Ou fainéant <img data-src=" />

Certaines fois utiliser le FTP peut être si rébarbatif pour certains dev’ <img data-src=" />







Autant utiliser la synchro de repertoire et exposer juste le 5001 en https… C’est fastoche et ca marche du tonnerre…







kantfredo a écrit :



C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).







<img data-src=" />


votre avatar







atomusk a écrit :



Pour savoir c’est ici :pcinpact.com PC INpact



Sinon si tu as la dernière version, tu ne devrait plus pouvoir être infecté. Le souci ici c’est que une fois infecté, la seule solution reste le hard reset de ton Syno…







Le problème semble être le suivant :

“une utilisation CPU anormalement élevée sur leur NAS (100 % en permanence), la cause étant le processus « Minerd » qui exploite toutes les ressources disponibles” : mais du coup la maj du DSM a supprimer ce processus ou juste bloqué son installation ?



Du coup même après la maj le processus peut toujours tourner ? Est-il toujours visible ?


votre avatar







piwi82 a écrit :



La BNF n’éprouve aucune honte à employer ce genre de pratique car c’est parfaitement légal (le fichier robots.txt n’ayant aucune valeur légale) :





Source :http://www.bnf.fr/fr/outils/a.dl_web_capture_robot.html



Comme quoi la légalité n’a pas que du bon. Personnellement je trouve ça consternant.







Tiens c’est marrant çà, et si on met une “page de connexion qui déconne” on peut les attaquer comme un certain bloggeur ? <img data-src=" />


votre avatar







fmazoue a écrit :



Le problème semble être le suivant :

“une utilisation CPU anormalement élevée sur leur NAS (100 % en permanence), la cause étant le processus « Minerd » qui exploite toutes les ressources disponibles” : mais du coup la maj du DSM a supprimer ce processus ou juste bloqué son installation ?



Du coup même après la maj le processus peut toujours tourner ? Est-il toujours visible ?







Comme indiqué sur la news : je t’encourage à aller voir les retours sur le forum :

http://forum.synology.com/enu/viewtopic.php?f=19&t=80857&sid=b071220992e…



(désolé je peux pas trop t’aider, vu que j’ai pas le souci perso <img data-src=" />)


votre avatar







CryoGen a écrit :



Tiens c’est marrant çà, et si on met une “page de connexion qui déconne” on peut les attaquer comme un certain bloggeur ? <img data-src=" />







Encore faudrait-il prouver que le robot a vu la page de connexion et qu’il a continué <img data-src=" />



Mais l’argument “vu que c’est sur internet c’est publié” … comment dire … “un certain bloggeur” aimerai bien que la loi soit aussi claire <img data-src=" />


votre avatar

Sinon, comme j’ai pas mal d’utilisateur de syno dans le coin, question :





  • Vous avez des attaques en brut-force en ce moment ?



    Perso tout est fermé sauf le port 5001 pour un accès en https sur le syno (je l’utilise, donc c’est ouvert), les ports en SMTP et IMAPS pour le serveur mail. Je pense pas avoir de problèmes d’intrusion mais j’ai une 40aine d’IP bloqué chaque jour depuis 3-4 jours (blocage infini si 5 mauvais mot de passe en 3 minutes, suffit pour bloquer les bots), j’en avais eu aussi peu avant la découverte de la faille. Des infos la dessus ?



    ça me traumatise pas plus que ça, 4 mdp testé toute les 5 minutes, j’ai de la marge avant qu’il trouve sachant que la session admin est désactivé et vu le gueule de mdp mais c’est relou d’avoir sa boite mail surchargé par les avertissements (que je préfère garder en cas de problème).

votre avatar

hello,

c’est moi qui ait envoyé l’info à la rédaction. les seuls ports ouverts chez moi étaient BitTorrent, le 5000 pour l’interface web, et le ssh sur un autre numéro que le 22.

La faille semble être soit sur l’interface web, soit sur des fichiers torrents vérolés …

pour se débarrasser du PB une maj du DSL doit résoudre les soucis mais il faut faire les manips signalées sur le forum syno pour être sûr.

votre avatar







mrpitou a écrit :



hello,

c’est moi qui ait envoyé l’info à la rédaction. les seuls ports ouverts chez moi étaient BitTorrent, le 5000 pour l’interface web, et le ssh sur un autre numéro que le 22.

La faille semble être soit sur l’interface web, soit sur des fichiers torrents vérolés …

pour se débarrasser du PB une maj du DSL doit résoudre les soucis mais il faut faire les manips signalées sur le forum syno pour être sûr.







<img data-src=" />


votre avatar

Bloqué en DSM 4.0 (DS408), je ne suis pas INpacté. <img data-src=" />

votre avatar



les NAS Synology fonctionnant avec le DSM 4.3-3810 Update 3 étaient à la merci d’une faille de sécurité sur le Windows File Service (SMB). Elle permettait d’écrire, de modifier et de supprimer des fichiers à distance.





<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



A faire : bloquer les ports du protocole SMB sur ma box en rentrant du boulot.

votre avatar







papinse a écrit :



Bloqué en DSM 4.0 (DS408), je ne suis pas INpacté. <img data-src=" />







Bloqué ?

Ton NAS n’a pas doit aux nouvelle MAJ ou tu as volontairement pas mis à jours?


votre avatar

Pas etonnant, si le NAS est rootkité, c’est fini… il faut reinstaller completement.



La correctif a probablement bien colmaté la faille mais le rootkit en a ouvert beaucoup d’autres.

votre avatar

Euh, par défaut le SMB n’est pas ouvert si l’IP “externe” de la box, si ?


votre avatar







Commentaire_supprime a écrit :



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



A faire : bloquer les ports du protocole SMB sur ma box en rentrant du boulot.







Ouvrir SMB sur le net c’est déjà une faille de sécurité.

Je ne vois pas qui pouvait être impacté par cette faille à part les inconscients qui ont configuré leur NAS en DMZ.


votre avatar







Bill2 a écrit :



Euh, par défaut le SMB n’est pas ouvert si l’IP “externe” de la box, si ?







Non, il faut avoir configuré des redirections de ports specifiques pour que ca arrive…



Il faut vraiment etre fou pour exposer un partage SMB/CIFS sur le net <img data-src=" />


votre avatar







piwi82 a écrit :



Ouvrir SMB sur le net c’est déjà une faille de sécurité.

Je ne vois pas qui pouvait être impacté par cette faille à part les inconscients qui ont configuré leur NAS en DMZ.







Au changement de box, j’en ai profité pour virer la DMZ, purement et simplement. Mon NAS est partiellement accessible avec un redirecteur, No-ip pour ne pas le nommer, car j’ai changé la redirection de la box au NAS, en éliminant la DMZ à l’occasion.



J’ai rien ouvert en WAN pour les partages NFS, mais je n’ai pas configuré la box pour les bloquer par défaut, à voir…


votre avatar







KP2 a écrit :



Non, il faut avoir configuré des redirections de ports specifiques pour que ca arrive…



Il faut vraiment etre fou pour exposer un partage SMB/CIFS sur le net <img data-src=" />







Ou fainéant <img data-src=" />



Certaines fois utiliser le FTP peut être si rébarbatif pour certains dev’ <img data-src=" />


votre avatar

C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).

votre avatar

tu mets simplement a jour en update 4

votre avatar

Heureusement pour moi j’ai pas été toucher sur mon NAS, que j’avais mit à jour lors de votre première news. Après cela me semble normal, Syno bouche la faille, ils sont pas sensé corriger aussi les dégâts que cela a pu provoquer (enfin si en quelques sortes, mais ya tellement de cas différent…).



Le soucis après c’est que je n’ai aucune idée sur la diffusion de cette faille, je suis sur qu’il y a encore pas mal de NAS avec cette faille car non mit à jour…



Moi j’ai simplifier les choses, aucun accès extérieur, bloquer par ma box + pare feu, et je suis tranquille. Juste configurer un FTP au cas où, que je peux rapidement rendre accessible. Le reste du temps ça passe par un serveur dédié qui peut bien crash car je n’ai aucune donnée importante la dessus.



Pour ma part ça n’entache pas la qualité des NAS Syno, qui reste pour moi une référence en terme de qualité/ergonomie.

votre avatar







kantfredo a écrit :



C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).







L’avantage d’ouvrir port à port, c’est que tu limite la “surface d’attaque”. mettre en DMZ augmente donc significativement la surface (exemple : te mettre à la merci d’une faille SMB <img data-src=" /> )


votre avatar







kantfredo a écrit :



C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).







Le problème avec DMZ c’est que tu as tout simplement déplacé le probleme de sécurité à gerer sur ton nas.

Si tu n’a pas activé le firewall sur ton syno tu as donc l’integralité de tes ports ouvert sur internet. c’est typiquement la pratique la plus risqué qu’il y est…

si en plus tu n’a pas activé le blocage d’ip automatique ca doit etre une belle foire sur ton syno <img data-src=" />



Serieux prendre autant de risques pour éviter de perdre 20 minutes à configurer tes ports…



Si tu voyais les logs de mon firewall tu prendrais peur en voyant le nombre d’attaques que j’ai en l’espace d’une minute…


votre avatar







Mig6r a écrit :



Le problème avec DMZ c’est que tu as tout simplement déplacé le probleme de sécurité à gerer sur ton nas.

Si tu n’a pas activé le firewall sur ton syno tu as donc l’integralité de tes ports ouvert sur internet. c’est typiquement la pratique la plus risqué qu’il y est…

si en plus tu n’a pas activé le blocage d’ip automatique ca doit etre une belle foire sur ton syno <img data-src=" />



Serieux prendre autant de risques pour éviter de perdre 20 minutes à configurer tes ports…



Si tu voyais les logs de mon firewall tu prendrais peur en voyant le nombre d’attaques que j’ai en l’espace d’une minute…







Si, j’ai activé le blocage auto, j’en ai une 50 ene par jours environ d’IP bloqué. je les bloques pendant uen semaine a partir de 4 tentatives en moins de 5minutes.



Pour ce qui est du DMZ, je ne suis pas certains que la freebox soit plus sécurisé que le synology. ???


votre avatar

Pourquoi as tu activé l’expiration des blocages ? Pour leur laisser 4 autres chances ? <img data-src=" />

votre avatar







kantfredo a écrit :



C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).







Comme dit plus haut (grilled mais je m’en balance), la base de la sécurité est de n’exposer sur internet que les ports dont tu as besoin et idéalement en n’utilisant pas le numéro de port pas défaut.



Manger 50 attaques par jour et laisser venir, tu aimes le risque ^^ <img data-src=" />



votre avatar

Le DSM 5.0 arrive bientôt non ? Il ne règle pas le problème ?

votre avatar







spidy a écrit :



au niveau de la configuration de l’ouverture des port (au niveau de la box en général) il faut préciser un port externe et un port interne (+ l’ip interne du nas) donc en port externe je mets celui que je veux (10000 par exemple) et en port interne 1194 (port openvpn par défaut du nas)



il ne faut pas oublier de modifier le fichier de config des clients (ligne “remote”) aussi.









aah… j’espérais pouvoir changer le port par défaut du syno moi <img data-src=" />


votre avatar







romualdT a écrit :



aah… j’espérais pouvoir changer le port par défaut du syno moi <img data-src=" />







Ne pas oublier que les Syno sont sous Linux et que le compte root n’est pas verrouillé.



Active SSH (au moins temporairement) et tu pourras accéder à la ligne de commande via Putty ou Cygwin (si tu es sous Windows). Le mot de passe du compte root est le mot de passe du compte Admin (pense à sécuriser tout ça au passage).



A partir de là, tu fais ce que tu veux de la config de ton NAS.



Garde en tête que les produits Syno, bien qu’étant de bons produits sont conçus pour fonctionner via DSM. Donc, faut pas trop le bricoler au risque que DSM n’arrive plus à fonctionner.


votre avatar







romualdT a écrit :



aah… j’espérais pouvoir changer le port par défaut du syno moi <img data-src=" />







Ce que j’avais fait pour un backup entre 2 synos



Éditer le fichier /etc/ssh/sshd_config sur les deux serveurs



  Enlever le dièse en début de la ligne Protocol 2   





Éditer le fichier /etc/ssh/sshd_config sur server2



  Enlever le dièse en début de la ligne PermitRootLogin et mettre no	   





On the source DS:

/etc/services

Edit: ssh 22/tcp to your wanted port

Edit: ssh 22/udp to your wanted port



/etc/ssh/sshd_config

Edit #Port 22 to the same port as above (Remove the “#”)



On the target DS:

/etc/services

Edit: ssh 22/tcp to your wanted port

Edit: ssh 22/udp to your wanted port



/etc/ssh/sshd_config

Edit #Port 22 to the same port as above (Remove the “#”)





votre avatar







romualdT a écrit :



aah… j’espérais pouvoir changer le port par défaut du syno moi <img data-src=" />





quel est l’intérêt ?


votre avatar

Debian POUAAAAAAAAAAAhhhhhhh !!!!

votre avatar







Jarodd a écrit :



Le DSM 5.0 arrive bientôt non ? Il ne règle pas le problème ?







Le problème est déjà réglé, c’est à dire que la faille est déjà corrigée via l’update 4 du DSM 4.3-3810. Ici on parle des NAS qui ont été infectés avant l’application du patch. L’application du patch ne supprime pas le miner BTC et les possibles rootkits laissés auparavant.

Synology aurait peut être pu déployer un petit tool pour nettoyer tout ça, en même temps que l’update 4.


votre avatar







spidy a écrit :



quel est l’intérêt ?









Changer le port par défaut qui est connu de tous -&gt; plus de sécurisation.



Ils te donne déjà la possibilité de changer le port du https ou d’autre appli, du coup pour le vpn ca me paraitrai aussi bien d’implémenter cette option.

J’ai restreint le pare-feu du syno aux deux IP pour le vpn donc bon c’est pas non plus la fin du monde.



Enfin évidemment, le beurre, la cremiere toussa quoi…


votre avatar







romualdT a écrit :



Changer le port par défaut qui est connu de tous -&gt; plus de sécurisation.



Ils te donne déjà la possibilité de changer le port du https ou d’autre appli, du coup pour le vpn ca me paraitrai aussi bien d’implémenter cette option.

J’ai restreint le pare-feu du syno aux deux IP pour le vpn donc bon c’est pas non plus la fin du monde.



Enfin évidemment, le beurre, la cremiere toussa quoi…





comme tu parle de l’accès vers l’extérieur, le fait d’avoir des règles de routage sur le routeur avec un port externe différent du port interne revient à ce que tu cherche.

après si le NAS est en DMZ ça n’est plus possible <img data-src=" />


votre avatar

et merde, apparemment j’ai le souci, je sais ce que je vais faire ce soir

votre avatar







spidy a écrit :



comme tu parle de l’accès vers l’extérieur, le fait d’avoir des règles de routage sur le routeur avec un port externe différent du port interne revient à ce que tu cherche.

après si le NAS est en DMZ ça n’est plus possible <img data-src=" />









Oui exact vu comme ca “c’est pas faux”


votre avatar







Commentaire_supprime a écrit :



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



A faire : bloquer les ports du protocole SMB sur ma box en rentrant du boulot.







Contrairement à ce qui est indiqué dans la news, la vulnérabilité ne s’exploite pas par le port SMB mais par l’interface Web du DSM. C’est donc lui que tu devrais plutôt bloquer :) (port 50005001 par défaut)



Il n’y a aucune référence à SMB dans les exploits de cette vulnérabilité, je ne sais pas d’où PCI sort cela.


Faille DSM 4.3 : la dernière mise à jour de Synology ne suffirait pas toujours

Fermer