Qnap Tentatives d'intrusions par milliers

[boujouman]

Bonjour à tous,
Depuis une dizaine de jours, si j'active la redirection de port 443 sur mon NAS, je suis alerté par des dizaines de mails m'indiquant une tentative de connexion avec le compte Admin.
Bien sûr ce compte a été désactivé depuis belle lurette
Néanmoins, j'hésite à l'activer de peur d'une intrusion.
Quels conseils auriez-vous à me donner sachant que :
J'utilise un réseau Unifi (UDM Pro), un NAS Qnap en version 5.0 (la dernière).
J'ai activé les recommandations de sécurité. Seul le changement de mot de passe tous les 180 jours est désactivé, j'ai suivi les autres recommandations.
J'ai un nom de domaine et j'ai fait des redirections avec nginx comme nas.nomdedomaine.fr.

Pour info, cela fait plus de 10 ans que j'utilise des NAS Syno et Qnap. C'est la première fois que cela arrive.
C'est vraiment pénible...

Merci de m'avoir lu.

 

[EVO]

Salut,
As tu activé QuFirewall ?

Voir : https://www.forum-nas.fr/threads/2-jours-dattaque-que-faire.18277/

 

[boujouman]

Je viens de l'activer.
J'avais aussi limité le nombre d'accès et le temps de blocage.
Malgré ces éléments, je reçois encore toutes les minutes des alertes de tentative d'accès.

 

[EVO]

Pouvez vous partager vos logs ?
Sur quel port / compte se passe cette attaque ?

 

[boujouman]

Oui quels longs voulez-vous ? et comment faire ?
port 443, compte admin

Merci du coup de main

 

[QoolBox]

toujours changer les ports du panneau de contrôle de QTS mettre des ports supérieurs à 10000


Menu Panneau de contrôle > Paramètres généraux > administration du système

Mettre des ports élevés par exemple 35880 et 35843 et ouvrir le port HTTPS (soit via le routage des ports de qnapcloud ou sur votre box/routeur directement)

toujours se connecter à votre interface depuis internet en HTTPS afin de crypter les trames réseaux
Mettre un certificat SSL Qnap ou lets Encrypt pour palier au message d'erreur de certificat non signé
ne jamais ouvrir HTTP.. et toutes les transactions doivent être cryptées en SSL de l'extérieur

HTTPS://mon_nom.myqnpacloud.com:<port_SSL> (https://monNAS.myqnapcloud.com:35843)

Toujours également utiliser un port SSH différent de 22 (si vous avez activé le protocole)

Menu Panneau de contrôle > Paramètres généraux > Telnet / SSH

Activez le bannissement des IP

Menu Panneau de contrôle > Sécurité > Protection d'accès des IP

activer SSH / TELNET /HTTP(s) /FTP

Mettre une règle

En 5 Minutes nombre de tentatives de connexion ayant échoué 3 Longueur du blocage de l'IP 1 heure

 

[boujouman]

Merci !
mon NAS est accessible uniquement via https sur l'adresse https://nas.nomdedomaine.com
le seul port ouvert est donc le 443 qui redirige sur mon NAS.
La question que je me pose, si je choisis un port comme 35880, si je fais une redirection 443 --> 35880. ça ne sert à rien.
Si j'ouvre le port 35880 sur le routeur, je perds l'intérêt de ne plus avoir le numéro de port sur mon adresse web, non ?

 

[EVO]

Oui quels longs voulez-vous ? et comment faire ?

Voir le 1er post que je cite, le membre post des impression ecran des tentative de connexion.

Si cela est possible utilisez le blocage géographique du pare-feu.
Avez vous controler que vos ports était bien fermé dans votre routeur ? Pas de Upnp, ou autre.

 

[boujouman]

Le blocage géographique a été choisi lorsque j'ai installé QuFirewall.
Concernant les ports, oui ils sont tous fermés sauf le 443.

 

[QoolBox]

ne fait pas de translation de port 443 --> 35843
utilise directement le 35843 ---> 35843

ajoute le port à la fin de l'URL de l'extérieur

verifie que cloudlink si utilisé est bien en mode privé , sinon désactive cloudlink si tu ne l'utilise pas (dans le menu myqnapcloud)

sur ton routeur supprime les règle UPNP GID déjà établis pour les remettre à zero ... et réapplique les sur le NAS pour le port 35843

 

[Horax]

Bonjour à tous.
Je me permet de rebondir sur ce post, afin de ne pas ouvrir un autre fil.
Tout d'abord, merci pour toutes ces réponses et explications (même si elles ne m'étaient destinées à la base ). Cela m'a pas mal été utile pour sécuriser un peu plus mon Nas. Je vais bientôt me pencher sur ma box. Une Bbox, que je ne connais pas du tout (plutôt habitué au freebox et box orange). Je me demandai, est-ce qu'un certificat SSL est vraiment utile pour un utilisateur lamba ? Sachant que j'aimerai à terme pouvoir accéder à mon Nas depuis l'exterieur de mon réseau local.

 

[boujouman]

Pour info, j'ai créé un autre sous-domaine et depuis je n'ai plus de tentative d'intrusion. Croisons les doigts pour que ça dure...

Pour Horax, tu peux aller chez Ionos pour avoir un nom de domaine avec un ssl wildcard. Le .fr est à 5 euros HT la première année puis 15 les suivantes. C'est vraiment pas cher.

 

[Horax]

Intérressant, merci à toi.
Je vais aller y faire un tour.

 

[boujouman]

en tout cas merci pour ces précieux conseils !