Qnap Supprimer les attaques ?

R

Rogger

Nouveau membre
10 Avril 2020
1
0
0
SUISSE
Bonjour,

Le but est d’utiliser mon NAS qnap comme un cloud (type Onedrive ou iCloud) enfin comme tout le monde quoi.

1. L’accès se fait à distance, sur plusieurs système PC, Mac, iOs et android.

2. Seul 5 utilisateurs y ont accès (la famille)

3. L’accès est utilisé pour de la consultation et de la modification.

4. Beaucoup de photos et quelques dossiers de famille. (passeport certificats etc. . .)

5. Nous utilisons Qfile qui est très pratique et rapide (utilisation multi-plateforme)

Mon problème : Ces deniers temps j’ai de nombreuses attaques (env. 1000 par jour). J’ai fait quelques réglages pas plus de 5 connections par IP etc, etc. les attaques ont diminué mais j’ai plus confiance en mon NAS (surtout que c’est ma sauvegarde principale).

 J’ai bien regardé plusieurs solutions certificat SSL, VPN il y a plein de sortes ! quelle est la meilleure ? et est-ce vraiment fiable ?

Ma question : Comment configurer mon NAS simplement pour que seulement 5 personnes y ont accès, avec leurs smartphones, PC tablettes etc. Y a il un moyen garanti sans que aucune attaque de l’extérieur soit possible, rendre le NAS invisible pour « Monsieur tout le monde ». Continuer à utiliser l'accès avec Qfile mais Hyper sécurisé.

Voilà pour le moment mon NAS est débrancher du réseau car j’trop peur de nouvelles attaques. Alors merci d’avance pour votre conseil ;)

Bonnes salutations. Rogger
 
Salut,
Afin d'éviter se genre de tentative, il faut en 1er lieu n'ouvrir que les ports nécessaires dans la box et sur le pare-feu du NAS, mais aussi chose importante, ne pas utiliser les ports par défaut !
 
Salut,

Peut-être également donner les droits admin à un user "X" et désactiver le user "admin" qui est bien sûr le plus sollicité par les attaques vu qu'on ne peut changer son nom.
La seule contrainte, c'est que si on veut intervenir sur le NAS over SSH, il faut réactiver le user Admin pour s'y connecter car même si on se connecte avec un user ayant les droits admin certaines modifs (voire toutes, je ne sais pas) ne seront pas validées.
 
Chacun a sa propre sensibilité en matière de sécurité, et on s'est probablement tous posé cette question en activant l'accès au NAS dans la box.
Les attaques que l'on reçoit ne sont pas ciblées, elles tentent juste de se connecter facilement à des équipements qui seraient laissés ouverts bêtement ou très mal sécurisés.

Les solutions que je recommande personnellement :
- Utiliser des "vrais" mots de passe : des mots de passe longs, et non triviaux. Pour tous les utilisateurs.
Un mot seul, une date de naissance, "azerty", le surnom de Madame, tout ça c'est nase. Prendre trois ou quatre mots sans rapport entre eux, séparés par !, /, %, $, @, ou même un simple tiret, c'est plus facile à mémoriser qu'une suite de consonnes aléatoire avec un mélange de majusscules ou de minuscules, et c'est plus facile à saisir sur un smartphone dans QManager ou QFile. Exemple au pif : "!!montagne*HARICOT*poubelle*LAPIN!!".
Un bon exemple de générateur de mots de passe qui illustre ça : https://xkpasswd.net/s/
et un outil permettant de tester la qualité d'un mot de passe : http://www.passwordmeter.com/
Inutile de les changer trop souvent, il est beaucoup plus utile d'avoir un bon mot de passe mémorisable qu'un Post-It sous le clavier...

- Activer la double authentification. Pour tous les utilisateurs. Pas d'exceptions.
Même si on ne sort pas son smartphone pour avoir le code à chaque fois (perso, je le fais pas souvent), ça rajoute une deuxième couche de répondre à la question posée.
- N'ouvrir que les ports "utiles" de l'extérieur (pour moi, le 443 pour le HTTPS).

- Faire un VPN entrant (facile avec une Freebox, les autres je ne sais pas) pour les cas où l'on a besoin de créer un accès "interne" (SSH,, tous les ports non ouverts sur l'extérieur, autres machines locales, etc). Là encore, utiliser des mots de passe dignes de ce nom.

- Configurer le 'ban' automatique des IPs qui tentent de se connecter dès 5 erreurs, sur tous les protocoles (même s'ils ne sont pas ouverts vers l'extérieur, si jamais on ouvre un port supplémentaire on n'a pas besoin de se poser la question). Bon, tous sauf Samba, celui-là il ne sert vraiment qu'en interne.

Sur une machine virtuelle que j'ai loué chez OVH, j'ai installé un script qui me permet de bloquer directement les connexions en fonction du pays de l'IP source (je vais rarement en Russie). Ca serait bien si on pouvait faire la même chose sur QTS...
 
Chon a dit:
Salut,

Peut-être également donner les droits admin à un user "X" et désactiver le user "admin" qui est bien sûr le plus sollicité par les attaques vu qu'on ne peut changer son nom.
La seule contrainte, c'est que si on veut intervenir sur le NAS over SSH, il faut réactiver le user Admin pour s'y connecter car même si on se connecte avec un user ayant les droits admin certaines modifs (voire toutes, je ne sais pas) ne seront pas validées.
Cliquez pour agrandir...

Bonjour , j'ai subit deux attaques le 17 et 19 avril dernier avec 272 itérations à chaque fois, j'ai tracé les adresses IP, bon pas de suspens l'une Palo Alto en Californie, l'autre ché plus quelle ville dans le Nebraska donc des positions bidon je pense vpn et des trucs dans le genre, donc j'ai changé le mot de passe et mis en place la double authentification.
J'ai ouvert un ticket sur le service d'assistance de QNAP, et voici les conseils:
Bonjour,

ne routez que les ports nécessaire sur votre routeur
utilisez le bannissement d'ip via le menu sécurité
modifier le port d'administration de QTS 8080 et 443 dans le panneau de contrôle > réglage de base par quelques chose de plus exotique
mettre des ports haut comme 27780 et 27743
modifier les ports SSH (ou le désactiver si non utilisé)
désactivez le serveur Web si non utilisé

Voila donc si ça peut servir ;)
 
The Burgund a dit:
Je pense que tu serais mieux dans la bonne section (ici Assustor) pour avoir une bonne réponse en fonction de ton Nas.
Pour éviter les attaques, moi j'ai tout bloqué... :geek:
Cliquez pour agrandir...

Salut heuuu, je crois que en fait on est au bon endroit :> Accueil du forum> QNAP >Installation, Démarrage, Configuration et Dépannage :geek:
 
Les attaques sur les Qnap sont pourtant assez rare si tu passe par le service : myqnapcloud.com . Les conseils donner par le support sont bon . Pour le serveur Web rien n’empêche de modifier le port par défaut il faudra donc faire la bonne redirection de ports dans la box et spécifier le port dans l'URL : xxxxxx.myqnapcloud.com:xxxx(port)
 
Bonjour à tous

j'ai exactement le même problème en ce moment, j'ai éteint mon NAS (Qnap) en attendant de trouver la solution

j'en suis à plus de 2000 tentatives de connexion sur mon NAS avec des adresses IP différentes à chaque fois. J'ai vu plusieurs choses comme désactiver le protocole UPnp mais sur une box Orange ça plante le décodeur TV...

Auriez vous des conseils pour supprimer cette faiblesse, en sachant que je souhaiterai toujours pouvoir accéder depuis l'extérieur à mon Nas via Plex, Qfile et MyQnapcloud ?

d'avance merci
 
Je suis preneur de la config de la Livebox
j'ai mis niveau de sécurité moyen dessus
Moyen (recommandé)Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes sont autorisées à l'exception des services Netbios.
Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes sont autorisées à l'exception des services Netbios.

comme solution j'ai testé dans le menu sécurité "permettre uniquement les connexion depuis la liste"
en mettant 192.168.1 a 192.168.1.255

mais cela est bricolo

je ne comprends pas que le traffic passe le firewall de la box .. .
 
Du coup j'ai suivi ces recommandations et depuis plus de problème de tentative de connexion sur mon NAS :

https://www.qnap.com/fr-fr/how-to/faq/article/quelle-est-la-meilleure-pratique-pour-am%C3%A9liorer-la-s%C3%A9curit%C3%A9-du-nas

Tous les services dont j'avais besoins restent fonctionnels en changeant les méthodes d'authentification.

Bonne journée à tous
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour