Asustor : se protéger avec le Défenseur Réseau d'ADM
Il y a quelques jours, les NAS de la marque Asustor ont été la cible d'une attaque massive à l'aide du cryptolocker Deadbolt. Suite à cette attaque, j'ai réalisé un live sur celle-ci et sur la protection de son NAS en général. Dans ce live, je vous transmettais toutes les bonnes pratiques à mettre en oeuvre pour sécuriser au maximum son NAS. Et l'une d'elle consistait notamment à utiliser le défenseur réseau proposé par ADM le système d'exploitation des NAS Asustor. Voyons aujourd'hui comment paramétrer ce défenseur réseau
Les NAS Asustor victimes d'une attaque
Avant de rentrer dans le vif du sujet, je vous propose de voir, ou revoir, mon live concernant l'attaque des NAS Asustor, et surtout, la seconde partie concernant les bonnes pratiques pour sécuriser au maximum son NAS. Il s'agit là de plein de petits conseils faciles à mettre en oeuvre mais qui peuvent peser dans la balance au final... Ce replay, à consommer et partager sans modération, est équipé des timescodes vous permettant d'aller directement aux chapitres qui vous intéressent...
Configuration du Défenseur Réseau d'ADM
Pour mettre en place la sécurité offerte par le Défenseur Réseau, connectez-vous sur votre NAS avec un compte disposant des droits d'administration. Je vous rappelle au passage qu'il est déconseillé d'utiliser le compte "admin" et que celui ci devrait être désactivé ! Une fois sur le bureau du NAS, ouvrez la fenêtre Réglages.
Dans la fenêtre qui s'ouvre, cliquez sur ADM Defender dans le menu à gauche. Dans la partie de droite de la fenêtre, sélectionnez l'onglet Défenseur Réseau. 4 catégories sont alors disponibles. Nous allons les examiner une par une.
La liste de confiance
La liste de confiance permet de définir des adresses ou des plages d'adresses considérées comme sûres. Cette liste permet d'exclure certaines adresses des règles de bannissement automatique, afin de ne pas perdre l'accès à son NAS, même en cas de mauvaises manipulations. Il est donc intéressant d'inscrire dans cette liste les adresses de son réseau local, ou à minima l'adresse de son PC (si celle-ci est fixe).
Pour connaitre l'adresse de votre réseau local, si vous êtes sous Windows, ouvrez simplement le menu démarrer, saisissez cmd puis appuyez sur la touche entrée. Dans la fenêtre qui s'ouvre tapez la commande suivante :
ipconfig
Notez simplement l'adresse IPv4 et le masque de sous-réseau (en jaune dans la capture ci-dessus). Retournez ensuite sur le Défenseur Réseau et dans la partie liste de confiance, cliquez sur le bouton Ajouter. Dans le menu déroulant, choisissez masque de sous reseau ipv4 puis renseignez les champs adresse IP et masque de sous réseau. Attention, il est nécessaire de remplacer le dernier octet de votre adresse IP par 0. Par exemple, dans mes captures d'écran, on voit que l'adresse IP de mon PC est 192.168.0.6 et que je renseigne dans le Défenseur Réseau l'adresse 192.168.0.0 afin d'inclure toutes les adresses de ce sous-réseau.
Il est aussi possible de définir seulement une IP spécifique ou bien une plage d'IP. Cela se fait via le menu déroulant Formater.
La liste noire automatique
La liste noire automatique est une fonction primordiale à activer si vous permettez l'accès à votre NAS depuis l'extérieur (soit via EZconnect soit via ouverture de port sur votre routeur). Cette liste noire automatique va permettre de bloquer les adresses IP qui essaieraient X connections de manières infructueuses. Comprenez ici que si quelqu'un de mal intentionné arrive jusqu'à votre NAS (quelque soit le protocole ouvert), et qu'il essaie des combinaisons utilisateur/mot de passe pour tenter de s'introduire sur le NAS (brute force par exemple) le NAS bloquera automatiquement son adresse et l'attaque ne sera plus possible. Pour activer cette fonction, cochez donc Activer Liste Noire Auto. Cliquez ensuite sur le bouton Appliquer en bas de page puis sur le bouton Réglages dans la zone liste noire automatique pour accéder aux paramètres.
Ici, vous allez pouvoir régler les conditions qui vont aboutir au banissement des adresses IP :
- Tentatives de connexions : nombre de tentatives infructueuses pour déclencher un ban
- Période de temps : intervalle de temps durant lequel les tentatives infructueuses doivent s’exécuter
- Bloquer période : durée de blocage de l'adresse IP. Cela peut être un blocage temporaire ou permanent
- Services à bloquer : services qui font être surveillés pour déclencher les bannissements
Ainsi, dans la configuration ci-dessous, 3 échecs d'authentification en 1 minute sur les protocoles cochés entraineront un bannissement permanent.
La liste noire
La liste noire permet de bloquer certaines IP ou certaines plages d'adresses IP. Cela peut servir si par exemple vous constatez de temps en temps dans le journal du NAS que certaines adresses (ou plages d'adresses) essaient de se connecter, sans forcément rentrer dans les critères de bannissement de la liste noire automatique... On verra par la suite que cela pourrait permettre aussi de bloquer le trafic depuis certains régions, certains pays. Pour activer la liste noire, cochez simplement la case Activer liste noire puis cliquez ensuite sur Ajouter pour ajouter les IP ou plages d'IP que vous souhaitez bloquer.
La liste blanche
Dernière liste présente dans le Défenseur Réseau : la liste blanche. Cette liste permet de restreindre l'accès aux protocoles SAMBA, AFP, FTP, ADM et SSH aux seules adresses déclarées ici. Là encore, pour activer cette liste, cochez la case Activer la liste blanche puis cliquez sur Ajouter. Et là, on retrouve la même fenêtre que précédemment, pour définir, une IP, une plage IP ou un sous-réseau complet.
Allez plus loin avec GeoIP Database
Bon la liste noire et la liste noire automatique, c'est intéressant, mais est ce qu'il ne serait pas encore plus intéressant de pouvoir bloquer le trafic en provenance d'un pays ou d'une région ? Et bien c'est possible ! Et pour cela il faut installer l'application GeoIP Database. Il s'agit simplement d'une base de données répertoriant les plages d'adresses IP par pays. Pour cela, rendez-vous dans AppCentral, et dans Toutes les applications recherchez Geo IP et cliquez sur Installer.
Laissez vous guider pour installer l'application, et une fois que c'est fait, retourner dans ADM Defender. Dans la section Liste Noire, cliquez sur le bouton Ajouter. Désormais le menu déroulant propose une option supplémentaire : Filtre pays. Sélectionnez cette option.
Sélectionnez ensuite la région du monde et le pays.
Répéter ensuite l'opération autant de fois que nécessaire pour inclure tous les pays que vous souhaitez bloquer.
Veuillez noter que vous pouvez aussi procéder à l'inverse avec la liste blanche pour n'autoriser que le pays de votre choix (par exemple la France). Et c'est d'ailleurs ce que je vous conseille !
Et bien voilà ! Vous avez désormais toutes les clés pour sécuriser au mieux votre NAS Asustor ! 🙂
Partager la publication "Asustor : se protéger avec le Défenseur Réseau d'ADM"
![[Tuto] Synology : DLNA dans DSM et transcodage vidéo](https://www.justegeek.fr/wp-content/themes/justegeek_2018/assets/front/img/thumb-medium.png)
Bonjour, je trouve qu'autoriser la liste blanche sur un pays entier est très risqué. Un hacker avec VPN sur serveur Français pourra bombarder les accès au NAS sans se faire bloquer jusqu'à trouver la faille qui va bien. Mois dans ma liste blanche je ne mt que ma plage IP lan et mon IP fixe WAN.
toute autre provenance est suspecte en cas d'erreurs de connexion réitérées.
Hello ! C'est effectivement large mais c'est mieux que rien. Après ça dépend du besoin de chacun... Mais il est vrai que le mieux est verrouiller au max.
Impeccable ! Je viens de la faire. Merci pour la description très claire.
J'ai une une question en rapport avec le commentaire de lanthalas :
Ok pour la restriction de plage IP lan : j'imagine que c'est pour bloquer un malin qui s'immiscerait sur mon réseau wifi (c'est ça?)
Mais pour l'IP fixe WAN, je ne comprends pas. C'est pour accéder à partir d'un autre PC qui serait fixe mais ailleurs ? (de chez mami par exemple)
Enfin la question qui me vient :
Peut on lister un smartphone ou portable sachant qu'ils sont ambulants ?
Merci beaucoup
Hello. Tu peux vouloir que ton NAS soit accessible depuis l'extérieur de chez toi (le WAN), par exemple pour autoriser l'accès à ADM lorsque tu n'est pas chez toi, ou bien pour permettre une connexion SSH depuis un autre serveur pour de la synchro/sauvegarde... Bref... Si par exemple tu permet cet accès extérieur en ouvrant des ports sur ta box, n'importe quelle IP sera autorisée à communiquer avec ton NAS...
La liste blanche te permettrai de n'autoriser que les IP françaises. Ensuite tu peux la cumuler avec la liste noire auto, qui fait que si une attaque venait de France, l'adresse IP de l'attaquant pourrait être bannie au bout de X tentatives...
Après pour répondre à ta question, ton smartphone n'aura pas une IP fixe sur ta connexion 3g/4g/5g... donc tu ne pourras pas le lister... Pour un pc portable... ça dépendra avec quoi il se connecte....
J'espère avoir répondu à ta question...
En fait si on ne veut pas se faire bloquer en cas d'erreur sur son l'an, il vaut mieux mettre la plage IP lan dans la liste blanche. Ça ne répond pas à une intrusion wifi parcontre évidemment.idem pour la plage IP fixe. Tout ça parce qu'en cas de blocage sur son propre réseau il faut réserver le n'as est c'est pas marrant.