La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: Darkjeje le 20 août 2022 à 11:58:52
-
Bonjour à tous,
Grâce à votre aide et à de nombreux tuto sur Internet, j’ai pu mettre en place un reverse proxy Nginx sur mon raspberry, renvoyant vers un site web en local et mon NAS QNAP, via 2 noms de domaine, le tout en HTTPS/TLS 1.3 uniquement et lets’encrypt.
Mon NAS n’étant que peu utilisé et ne se mettant jamais en veille, probablement à cause du firewall installé dessus, j’aimerai le rendre accessible que depuis le raspberry et protéger ce dernier via ufw.
J’ai activé ufw, ainsi que fail2ban sur le Raspberry, mais je ne pense pas que les tentatives erronées de connexion sur le NAS soient détectées par fail2ban du Raspberry.
J’ai aussi testé de mettre une demande de login/mot de passe dans la conf du script Nginx du NAS, mais le problème c’est qu’une fois le login/mot de passe saisie, celui-ci m’a été demandé en boucle lorsque j’ai lancé une application sur le NAS. Je suppose que le mot de passe est demandé à chaque connexion tcp servant à afficher la page. Je l’ai donc provisoirement désactivé.
Mon NAS est aussi sécurisé par la double authentification et a IPv6 d'activé.
Que me conseillez-vous de faire pour améliorer la sécurité du NAS sans avoir besoin du firewall sur celui-ci ?
Mon idée d’utiliser ufw avec fail2ban est-elle bonne ? Comment rendre accessible à fail2ban les refus de connexion du NAS ?
Dois-je ajouter une liste d’adresses IP à bannir d’office ?
Je vous remercie pour toute idée, conseille, tuto que vous pourrez m’apporter.
Bon week-end.
Jérémy
-
Peut-être le déconnecter du réseau ;D
Dois-je ajouter une liste d’adresses IP à bannir d’office ?
Plus simple et efficace : une liste des IP autorisées à se connecter
-
Plus simple et efficace : une liste des IP autorisées à se connecter
En effet, pourquoi ce prendre la tête. Je viens d'autoriser l'accès aux IPv4 et v6 locale et de Wireguard.
Merci pour l'idée.
-
Grâce à votre aide et à de nombreux tuto sur Internet, j’ai pu mettre en place un reverse proxy Nginx sur mon raspberry, renvoyant vers un site web en local et mon NAS QNAP, via 2 noms de domaine, le tout en HTTPS/TLS 1.3 uniquement et lets’encrypt.
Plutôt qu'un reverse proxy qui filtre peu, je préfère mettre en place un VPN en entrée du lan, et n'autoriser aucun accès depuis l'extérieur hors vpn. La surface d'attaque du serveur vpn est considérablement réduite par rapport au couple proxy/nas, et la maintenance en est simplifiée d'autant. Certes c'est plus compliqué à configurer sur le client, c'est souvent le dilemme entre simplicité d'utilisation et sécurité ;)
-
Plutôt qu'un reverse proxy qui filtre peu, je préfère mettre en place un VPN en entrée du lan, et n'autoriser aucun accès depuis l'extérieur hors vpn. La surface d'attaque du serveur vpn est considérablement réduite par rapport au couple proxy/nas, et la maintenance en est simplifiée d'autant. Certes c'est plus compliqué à configurer sur le client, c'est souvent le dilemme entre simplicité d'utilisation et sécurité ;)
Le problème c'est que mon NAS héberge un service de streaming comme Plex. Je dois donc empêcher l'accès au NAS sauf à ce service.
Actuellement, le NAS est accessible 3n direct via son IPv6, via le reverse proxy pour les seules IP de mon VPN Wireguard et des adresses IP locales.
Pour le streaming, il est accessible via le reverse proxy et une demande de mot de passe via Nginx et une seconde via l'application de streaming.
J'envisage de ne donner l'accès au streaming qu'aux IP Wireguard et locales, mais cela empêcherait l'accès aux TV hors de chez moi.
Que puis-je faire de plus à ton avis ?
-
Le problème c'est que mon NAS héberge un service de streaming comme Plex. Je dois donc empêcher l'accès au NAS sauf à ce service.
Plex peut aussi fonctionner sur un vpn, mais si tu veux plus de facilité d'utilisation lorsque tu es en dehors de chez toi alors il faut ouvrir le port correspondant en effet.
-
Bonjour,
Personnellement je ferai bien plus simple et sans prise de tete. A partir du moment ou le NAS est derrière le routeur/Box FAI, il n'est pas joignable depuis internet sans une règle NAT.
Je desactiverais IPV6, et resterai en IPV4, pour empecher tout accès direct (mode paranoia ON)
Sur le routeur/box FAI, une simple regle NAT vers le service Plex. Et rien d'autre que le service plex ne sera accessible. Pas besoin de firewall supplémentaire ou de fail2ban...
Dans ce cas de figure, à moins qu'il y ait une faille dans Plex, je ne vois pas comment on pourrait compromettre le NAS.
-
Je desactiverais IPV6, et resterai en IPV4, pour empecher tout accès direct (mode paranoia ON)
Mais quelle brillante idée...
-
Pour info les gars, on est en 2022 : ça fait bien longtemps que les RAT (remote admin tool) ou autres joyeusetés initient les connexions depuis l'intérieur de votre réseau vers l'extérieur. Votre NAT n'aura strictement aucun effet.
Et en général, les gens pensent tellement aux connexions entrantes, qu'ils oublient que le sortant est ouvert aux 4 vents :)
-
Un bon moyen d'augmenter la sécurité est de désactiver IPv4.
Il y a très peu d'attaque en IPv6. Si tu as de l'IPv6 sur tes clients, bloquer IPv4 permet de supprimer presque entièrement les tentatives d'intrusions faites avec des robots.
-
Et en général, les gens pensent tellement aux connexions entrantes, qu'ils oublient que le sortant est ouvert aux 4 vents :)
Ça n'est pas tout faux, mais à remettre en perspective pour un lan domestique : 1) le RAT a bien du s'installer préalablement à son activation, et 2) il me semble que les vagues récentes de crypto-lockers ciblant les NAS ont exploité des failles de l'OS sur des ports entrants.
-
Je vous remercie pour vos retours.
Optix, j'imagine que pour sécuriser les connexions sortantes, il faut arriver à identifier toutes les connexions légitimes sortantes et bloquer toutes les autres. Mais cela doit vouloir dire garder le firewall sur le NAS et donc empêcher la mise en veille du NAS.
Vivien, j'ai étonnamment beaucoup plus de connexion bloquée en IPv6 qu'en IPv4.
Ne redirigeant aucun port de la box vers le NAS, pour moi toutes les connexions IPv4 passent donc par le reverse proxy du Raspberry.
Ce qui m'étonne c'est d'avoir des connexions bloquées en IPv4, alors que le NAS n'est accessible que via 2 noms de domaines.
L'un qui n'est accessible que via une IP de Wireguard, l'autre après avoir saisi le bon login/mot de passe demande par le reverse proxy Nginx.
Qnap n'indique pas les évènements bloqués et je n'ai pas encore pu analyser les captures effectués régulièrement.
-
Pour info les gars, on est en 2022 : ça fait bien longtemps que les RAT (remote admin tool) ou autres joyeusetés initient les connexions depuis l'intérieur de votre réseau vers l'extérieur. Votre NAT n'aura strictement aucun effet.
Et en général, les gens pensent tellement aux connexions entrantes, qu'ils oublient que le sortant est ouvert aux 4 vents :)
Oui mais la on parle d'un NAS pas d'un PC sous windows. l'utilisation est différente, je ne pense pas qu'il va recevoir des "joyeusetés" dessus. bref...
Et pour que que "ca sorte" il aura bien fallu qu'a un moment ca rentre. On est un sur un forum d'initiés quand même, je pense qu'on sait tous se prémunir contre ses "joyeusetés".
Si on part du principe que l'attaque peut venir de l'intérieur alors ce n'est plus le même sujet, il faut parler de sécuriser tous les PC de la maison suceptible de véroler le NAS...
2) il me semble que les vagues récentes de crypto-lockers ciblant les NAS ont exploité des failles de l'OS sur des ports entrants.
oui, le port qui permet l'administration du NAS.
-
On est un sur un forum d'initiés quand même,
Et tu recommandes de désactiver IPv6, normal :)
-
Si Wireguard est votre seule porte d'entree depuis l'exterieur, je ne suis pas sur de comprendre votre problematique.
Sinon, votre cas de figure pourrait assez typiquement relever d'un chargement dynamique de regles de pare-feux.
Si la problematique est de se proteger de son propre LAN, cela meriterait, a minima, quelques dizaines de lignes de developpement.
-
Si Wireguard est votre seule porte d'entree depuis l'exterieur, je ne suis pas sur de comprendre votre problematique.
Bonjour,
Mon NAS est accessible depuis son adresse IPv6, le réseau local et Wireguard pour la partie accès par identification.
Emby (concurrent de Plex) est installé sur le NAS et accessible via son nom de domaine passant par le reverse proxy Nginx du Raspberry. Reverse proxy pour lequel j'ai rajouté une demande de login/mot de passe pour l'accès à Emby.
N'hésitez pas à me dire si vous estimez que je peux me passer du firewall du NAS.
-
N'hésitez pas à me dire si vous estimez que je peux me passer du firewall du NAS.
Mettre des firewall à tous les niveaux où c'est possible est une excellente pratique, ça s'appelle la défense en profondeur, donc garde-le, en plus du reste :-)
-
Attention par contre à ne pas baisser la garde sur le reste.
Je vois des boites "J'ai un firewall, donc pas besoin de mettre les patchs de sécurité sur les machines qui sont derrière le firewall".
Si vous regardez, il y a des consultations publiques avec indication de la présence d'OS qui ne sont plus supportés.
Rien qu'aujourd'hui le lit "Corbeil-Essonnes : l'hôpital Sud Francilien victime d'une cyberattaque avec demande de rançon" (le 22 aout). Je n'en sais pas plus, mais on a vu ici un hôpital qui déployait du Windows 7 alors qu'il n'était plus maintenu (le nouveau système Windows 7 complètement obsolète venait en remplacement de Windows XP).
Bref, un Firewall c'est bien si cela ne vient pas faire baisser la garde sur le reste.
-
Merci pour vos retours !
Pour ma part, c'est MAJ Androïd de mon smartphone tous les matins au réveil 8) et dans la semaine qui suit pour le NAS, je me laisse ainsi quelques jours au cas où la MAJ était buggé.
-
Par contre ça me fait chier que mon NAS ne passe pas en veille à cause probablement à cause du firewall (faut que je vérifie que c'est bien de sa faute), alors que mon ancien syno n'avait aucun soucis.
-
La mise en veille est un bon moyen pour flinguer les disques !