La fonctionnalité « Blocage auto » pour bloquer les attaques brute force

Intéressons-nous au blocage des attaques par brute force dans le but d'éviter qu'une personne malveillante puisse compromettre un compte utilisateur. Si DSM n'est pas configuré pour bloquer les attaques de ce type, un attaquant pourrait tenter de se connecter en boucle sur votre NAS jusqu'à trouver un identifiant et un mot de passe lui permettant d'accéder à DSM. Alors, oui, nous avons mis en place l'authentification multifacteurs (MFA) précédemment, ce qui représente une barrière supplémentaire et efficace. Néanmoins, le MFA n'est peut-être pas appliqué sur tous les comptes du NAS, donc il vaut mieux mettre en place cette mesure de précaution supplémentaire.

Rappel : une attaque par brute force consiste à essayer de se connecter en boucle sur un service, par exemple l'interface du NAS, en essayant des dizaines, des centaines, voire des milliers ou des dizaines de milliers de combinaisons "identifiants / mots de passe" différentes, jusqu'à trouver une combinaison qui fonctionne.

I. Activer la fonction "Blocage auto" sur DSM

Dès maintenant, nous allons configurer la fonctionnalité "Blocage auto" de DSM. Tout d'abord, ouvrez le "Panneau de configuration", cliquez sur "Sécurité" (1) puis sur l'onglet "Protection" (2). Ensuite, cochez l'option "Activer le blocage auto" (3) et configurez les options suivantes (4) :

Tentatives de connexion : 10
Sous (minutes) : 15

Qu'est-ce que cela signifie ? Cela veut dire que si une machine effectue 10 tentatives de connexion en échecs dans un intervalle de temps de 15 minutes, alors l'adresse IP sera bannie définitivement (vous pouvez utiliser d'autres valeurs). Dans le cas où vous souhaitez débannir les adresses IP au bout d'un moment, activez l'option "Débloquer après".

En complément, vous pouvez cliquer sur le bouton "Autoriser/Bloquer la liste" dans le but d'accéder à deux listes :

Liste des permissions pour ajouter une ou plusieurs adresses IP, voire même un sous-réseau, en liste blanche
- Personnellement, je vous recommande de partir du principe que l'on ne fait pas confiance à la moindre adresse IP, sait-on jamais !
Liste des blocages pour bannir une adresse IP spécifique, ou visualiser les adresses IP actuellement bannies, voire même supprimer un bannissement

Comme le montre l'image ci-dessous, lorsque vous décidez de bannir une adresse IP manuellement, vous pouvez le faire définitivement ou pour une durée spécifique.

Dans le cas où une adresse IP est bloquée, que ce soit une adresse IP privée ou publique, il y a plusieurs informations : l'adresse IP, la date et l'heure du blocage, la durée du blocage et le lieu.

II. Importer une liste d'adresses IP à bannir

Pour finir, je vais vous parler de cette possibilité d'importer une liste d'adresses IP à bannir ! Que cette liste provienne d'Internet ou d'un autre de vos outils, vous pouvez importer une liste d'IP sur votre NAS afin de bloquer des adresses IP qui ont la réputation d'être malveillantes. Pour cela, toujours dans le menu "Autoriser/Bloquer la liste", vous devez cliquer sur "Liste des blocages", sur la petite flèche à côté de "Créer" puis sur "Importer une liste d'adresses IP".

Ensuite, sélectionnez votre fichier : la liste des adresses IP qu'il contient va s'afficher. J'attire votre attention sur l'option "Ecraser les adresses IP existantes sur la Liste des blocages et la Liste des permissions" que je vous recommande de cocher. En fait, si une adresse IP est dans votre liste des permissions, mais qu'elle est dans votre fichier que vous souhaitez importer, elle sera retirée des permissions pour être ajoutée à la liste des IP bloquées. L'inverse est vrai également puisque l'on peut importer une liste d'adresses IP à autoriser.

Enfin, sachez que si vous utilisez un routeur Synology, vous avez la possibilité d'importer cette liste d'adresses IP directement au niveau du routeur. Pour le moment, et cela peut-être une piste d'amélioration pour Synology, il ne me semble pas qu'il y ait la possibilité de synchroniser les listes d'adresses IP bannies entre plusieurs NAS, ou entre un routeur Synology et un NAS Synology.

Suite à l'activation de la fonctionnalité "Blocage auto", votre NAS est capable de bloquer les adresses IP malveillantes ! L'activation de cette fonction est d'autant plus justifiée que les NAS sont souvent la cible d'attaques par brute force, et je pense notamment au botnet StealthWorker qui a fait parler de lui en août 2021. Désormais, nous allons voir qu'il est possible d'aller encore plus loin.

Chapitre Précédent

Retour au Module

Chapitre Suivant

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio

1 commentaire sur “La fonctionnalité « Blocage auto » pour bloquer les attaques brute force”

Laurent

16/10/2022 à 22:21

Bonjour Florian.
Un grand merci à vous pour vos explications claires et concrètes sur la sécurisation des NAS.
Grâce à vos précieux conseils, j’ai sécurisé au mieux mon serveur.
juste une observation de ma part au sujet de la sauvegarde sur un cloud. Je ne peux m’empêcher de penser que de copier ses données personnelles sur un serveur situé à l’autre bout de la planète est loin de constituer la panacée. On perd la main sur le niveau de sécurisation réellement attribuée à nos données, et surtout ces données sont stockées sur des serveurs accessibles à des tiers.
Enfin ce n’est que mon avis.
Cordialement
Laurent
Répondre