Qnap Notifications : tentative connexion IP inconnus (danger ?)

Salut,

C'est en effet des tentatives de connexion à ton NAS.

Je ne suis pas sur QNap mais sur Asustor. Sur Asustor tu as ADM Defender dans les réglages qui te permettent de limiter ces connexions. Selon moi ça active un logiciel Linux qui se nomme fail2ban ou ça fait un truc équivalent en tous cas, et ça met "en prison" les adresses IP qui tentent de se connecter sans succès après un certain nombre de tentatives par ex.
Tu peux paramétrer ça pour libérer l'adresse IP au bout d'un certain temps. Donc :

1) tu peux définir une "liste noire". Cette liste noire peut être définie par rapport à l'adresse IP : dans ce cas ça ne sert à rien. Mais il y a un "filtre pays" que j'ai activé, j'ai défini les continents Afrique, Antarctique Asie etc. sauf Europe dans cette liste noire. Ca limite déjà pas mal de tentatives. Bien entendu il faut laisser Europe pour te permettre de te connecter d'ailleurs que chez toi, en France et en Europe. Si tu dois partir en dehors de l'Europe il faut pense à modifier ce paramétrage.

2) tu peux définir une "liste noire automatique" . Cette liste est fondée sur un certain nombre de tentatives ratées de connexions. Au-delà de par ex 3 connexions (c'est paramétrable) ADM Defender met en prison l'adresse IP qui a tenté de se connecter, pendant un certain temps. Par ex, j'ai configuré ça pour que au bout de 3 tentatives ratées en moins de 5 min, l'adresse IP est bannie de toute connexion pendant 1 semaine. Tu peux sélectionner les ports concernés, il faut au moins mettre ssh dans cette liste de ports.

3) Il faut penser à définir une "liste blanche" aussi. J'ai paramétré la plage 192.168.1.1-192.168.1.254 n'étant pas concernée par ces paramétrages, parce que sans ce réglage, avec l'exemple ci-dessus, si tu tentes de te connecter sur ton réseau local et que tu te plantes 3 fois en moins de 5 min, il te faudra attendre 1 semaine pour tenter de te reconnecter, c'est fâcheux.

Voilà, tu devrais trouver ces réglages dans le logiciel QNap, qui est plus abouti que celui d'Asustor.
Bonne journée

Sur Qnap tu peux également bloquer les tentatives de connexions infructueuses dans : Panneau de configuration / Sécurité
Sur ta capture d'écran , on remarque que comme souvent l'utilisateur utilisé est admin . Raison pour laquelle il est conseiller de désactiver le compte admin et de créer un compte xxxxx
avec les droits administrateur : admin ; user ; guest ; administrator sont des noms utilisateur à bannir
Tu devrais regarder dans le journal des accès au système car cela te donne le type de connexion employer ( http / ftp / ....)

Je profite de ce topic. J'ai fait ce que tu conseilles @Zypos mais lorsque j'ai créé un profil administrateur je ne peux supprimer le compte admin. Surement que je n'ai pas trouvé l'option.

Aussi, lorsque je vais dans Panneau de configuration / Sécurité j'ai:
-permettre toutes les connexions
-refuser les connexions depuis la liste
-permettre uniquement les connexions depuis la liste

J'imagine que c'est la dernière ligne qu'il faut cocher et dans mon cas trouver les adresses IP de tous les éléments sur le réseau et les rentrer; PC, télé et Box. Exacte?

Salut zizivert. Relis mon post ci-dessus. Dans cette partie du logiciel QNap dont tu parles tu vas retrouver ce que j'explique dans mon post, version Asustor.
Si tu ne veux pas accéder à ton NAS depuis internet, tu peux permettre uniquement les connexions depuis la liste et là, tu peux faire ça par ex pour permettre les connexions depuis n'importe où de ton réseau local, pas la peine d'entrer les IP une par une, sauf si tu as des adresses IP suspectes dans ton réseau mais ça m'étonnerait :


De cette façon seules les IP de ton réseau local sont autorisées à attaquer ton NAS.

En revanche si tu veux accéder d'internet à ton NAS (quand tu es en vadrouille et que tu veux t'y connecter) ou pour utiliser le port SSH ou HTTPS (si tu héberges un site par ex) il faut permettre toutes les connexions, mais aller aussi dans "Protection d'accès au réseau". Dans cette rubrique tu peux déterminer de quelle façon tu vas mettre les malotrus qui essaient de se connecter en prison avant qu'ils n'arrivent à se connecter.
Par ex ci-dessous je bloque le gars qui essaie de se logguer 5 fois en moins de 5 min sans succès, et son IP est mise en prison pendant 1 jour (cette IP ne pourra plus accéder à ton réseau).

Attention, il se peut que dans ce cas, tu te fasses bannir de ton NAS si tu te plantes 5 fois au login SSH, donc juste faire attention. C'est là que les listes blanches sont cool.
Tu n'as pas moyen de faire autrement. Si en fait, au moins pour les connexions SSH, mais c'est un peu plus compliqué, il faut bidouiller dans la config du serveur SSHD de ton NAS pour permettre des connexions SSH par système de clé publique/clé privée. C'est le top en matière de protection du port SSH. Mais c'est un autre sujet.

Pour le coup, je trouve que le système d'Asustor est plus avancé que QNap, avec le système liste blanche. Je n'en vois pas dans le système de QNap.

PS : j'ai retrouvé ça parce que j'ai un vieux NAS QNap et je l'ai rallumé pour être plus précis.

Perso je déconseillerais fortement de désactiver ou supprimer un compte admin, c'est justement un compte qui te permet de gérer ton NAS sans être root, s'il faut que tu le réactives chaque fois que tu as besoin de le gérer c'est plutôt galère. Ce n'est pas de cette façon que tu peux sécuriser ton NAS AMHA, c'est pour ça qu'il y a cette section sécurité dans le système. De toutes façons les gars qui essaient de se connecter pourraient tenter autant avec le login root, et tu ne vas pas supprimer root n'est ce pas

Attention : le compte admin ne peut pas être supprimer , mais désactivé :!: Le remplacer par un autre nom ayant les droits administrateur complique le travail de pirates éventuel :?
Pour bloquer les adresses IP il faut se rendre dans : Panneau de configuration / Sécurité / Protection d'accès des IP :

Ok. Cette action n'est possible que si je ne fais pas l'une des solutions donnée plus haut par @cutedrake.

Soit je sélectionne les IP que j'accepte, soit je laisse ouvert mais je protèges l’accès par ta solution @zypos.

Merci messieurs. Poulain, j'ai as fini d'en apprendre sur ces ptites bêtes.

Euh... Rien ne t'empêche de faire les deux en fait .
Mais j'aurai quand même peur de foutre un peu le dorbel dans mon NAS. Le uid et gid de l'autre user admin sera différent, du coup si tu fais de la gestion de NAS avec le nouveau user, ça risque de poser des problèmes par la suite.

Vu mon niveau j’aimerais bien que tu m’explique plus en détail.

Si je sélectionne permettre toutes les connexions j’ai accès à l’option protection d’accès des IPs. Par contre si je sélectionne permettre uniquement les connexions depuis la liste je n’ai plus accès à protection d’accès des IPs.

A moins que je n’ai pas compris ta réponse juste au dessus. Pour le moment j’abandonne l’utilisation d’un deuxième compte administrator. Je me fais la main déjà sur le compte admin classique et je verrai par la suite.

C'est logique pourtant. Si tu permets à des IP de se connecter et juste elles, c'est que tu as confiance en elles donc pas besoin de protection d'accès spécifique, c'est pour ça que l'onglet "protection d'accès" n'est pas activé. En revanche si tu ne mets pas de limitation au niveau des IP il faut que tu en mettes au niveau de l'accès aux ports du NAS, et c'est dans les protections d'accès au réseau que tu définis ces règles.

Bah je sais pas, juste au dessus tu as dit que rien ne m’empêchais de faire les deux en même temps. Moi je te dis juste que non je ne peux pas et la tu me dis que c’est logique.

Donc je pense que je n’ai pas compris ta réponse ou elle concerne un autre sujet d’où ma mauvaise interprétation.

Je voulais dire désactiver le compte admin et limiter l'accès au NAS pour certaines IP.

Désactivé le compte admin : oui à condition de créer un utilisateur ayant les droits administrateur . Cela ne change rien à la gestion du Nas sauf en SSH , mais tu peux y remédier dans la partie : telnet/ssh en accordant ce droit au nouvel utilisateur , et tu ne fait pas du ssh tous les jours

limiter l'accès au NAS pour certaines IP.

Cliquez pour agrandir...

Cela n'a guère de sens : soit tu es sur ton réseau local et là normalement tu ne crain rien ; pour les accès externe tu ne peux pas connaître les adresse IP que tu aura en 4g , ni même en connexion fixe car peux d'opérateurs garantissent une IP fixe publique ( sauf Free sur demande il me semble )

J'ai dit que c'était faisable (sous entendu techniquement) de faire les deux, j'ai pas dit que c'était pertinent de le faire, aurais tu raté mon emoticon qui rigole sur mon post ?
Concernant le compte admin qui s'appelle trucmuche, si tu crées des fichiers système, par exemple en installant des docker, des scripts, tu les créés avec des uid/gid différents du compte admin officiel, et par la suite ça peut être problématique. Je n'ai pas d'exemple en tête mais je pourrais en trouver en me creusant un peu la tête.
Franchement, à condition d'avoir un un mot de passe un peu sérieux, avec la protection des accès aux ports, il n'y a aucune chance qu'un gars trouve le mot de passe en 5 tentatives avant de se faire bannir.

zypos a dit:

et tu ne fait pas du ssh tous les jours

Cliquez pour agrandir...

Je vais même aller plus loin, je ne sais même pas de quoi tu parles ^^.

Non mais vous avez très bien répondu à mes questions. J'ai compris maintenant et peux adapter le tout en fonction de mon utilisation/de mes envies. Merci à vous deux.