Il y a quelques jours, les NAS de la marque Asustor ont été la cible d'une attaque massive à l'aide du cryptolocker Deadbolt. Suite à cette attaque, j'ai réalisé un live sur celle-ci et sur la protection de son NAS en général. Dans ce live, je vous transmettais toutes les bonnes pratiques à mettre en oeuvre pour sécuriser au maximum son NAS. Et l'une d'elle consistait notamment à utiliser le défenseur réseau proposé par ADM le système d'exploitation des NAS Asustor. Voyons aujourd'hui comment paramétrer ce défenseur réseau
Les NAS Asustor victimes d'une attaque
Avant de rentrer dans le vif du sujet, je vous propose de voir, ou revoir, mon live concernant l'attaque des NAS Asustor, et surtout, la seconde partie concernant les bonnes pratiques pour sécuriser au maximum son NAS. Il s'agit là de plein de petits conseils faciles à mettre en oeuvre mais qui peuvent peser dans la balance au final... Ce replay, à consommer et partager sans modération, est équipé des timescodes vous permettant d'aller directement aux chapitres qui vous intéressent...
Configuration du Défenseur Réseau d'ADM
Pour mettre en place la sécurité offerte par le Défenseur Réseau, connectez-vous sur votre NAS avec un compte disposant des droits d'administration. Je vous rappelle au passage qu'il est déconseillé d'utiliser le compte "admin" et que celui ci devrait être désactivé ! Une fois sur le bureau du NAS, ouvrez la fenêtre Réglages.
Dans la fenêtre qui s'ouvre, cliquez sur ADM Defender dans le menu à gauche. Dans la partie de droite de la fenêtre, sélectionnez l'onglet Défenseur Réseau. 4 catégories sont alors disponibles. Nous allons les examiner une par une.
La liste de confiance
La liste de confiance permet de définir des adresses ou des plages d'adresses considérées comme sûres. Cette liste permet d'exclure certaines adresses des règles de bannissement automatique, afin de ne pas perdre l'accès à son NAS, même en cas de mauvaises manipulations. Il est donc intéressant d'inscrire dans cette liste les adresses de son réseau local, ou à minima l'adresse de son PC (si celle-ci est fixe).
Pour connaitre l'adresse de votre réseau local, si vous êtes sous Windows, ouvrez simplement le menu démarrer, saisissez cmd puis appuyez sur la touche entrée. Dans la fenêtre qui s'ouvre tapez la commande suivante :
ipconfig
Notez simplement l'adresse IPv4 et le masque de sous-réseau (en jaune dans la capture ci-dessus). Retournez ensuite sur le Défenseur Réseau et dans la partie liste de confiance, cliquez sur le bouton Ajouter. Dans le menu déroulant, choisissez masque de sous reseau ipv4 puis renseignez les champs adresse IP et masque de sous réseau. Attention, il est nécessaire de remplacer le dernier octet de votre adresse IP par 0. Par exemple, dans mes captures d'écran, on voit que l'adresse IP de mon PC est 192.168.0.6 et que je renseigne dans le Défenseur Réseau l'adresse 192.168.0.0 afin d'inclure toutes les adresses de ce sous-réseau.
Il est aussi possible de définir seulement une IP spécifique ou bien une plage d'IP. Cela se fait via le menu déroulant Formater.
La liste noire automatique
La liste noire automatique est une fonction primordiale à activer si vous permettez l'accès à votre NAS depuis l'extérieur (soit via EZconnect soit via ouverture de port sur votre routeur). Cette liste noire automatique va permettre de bloquer les adresses IP qui essaieraient X connections de manières infructueuses. Comprenez ici que si quelqu'un de mal intentionné arrive jusqu'à votre NAS (quelque soit le protocole ouvert), et qu'il essaie des combinaisons utilisateur/mot de passe pour tenter de s'introduire sur le NAS (brute force par exemple) le NAS bloquera automatiquement son adresse et l'attaque ne sera plus possible. Pour activer cette fonction, cochez donc Activer Liste Noire Auto. Cliquez ensuite sur le bouton Appliquer en bas de page puis sur le bouton Réglages dans la zone liste noire automatique pour accéder aux paramètres.
Ici, vous allez pouvoir régler les conditions qui vont aboutir au banissement des adresses IP :
- Tentatives de connexions : nombre de tentatives infructueuses pour déclencher un ban
- Période de temps : intervalle de temps durant lequel les tentatives infructueuses doivent s’exécuter
- Bloquer période : durée de blocage de l'adresse IP. Cela peut être un blocage temporaire ou permanent
- Services à bloquer : services qui font être surveillés pour déclencher les bannissements
Ainsi, dans la configuration ci-dessous, 3 échecs d'authentification en 1 minute sur les protocoles cochés entraineront un bannissement permanent.
La liste noire
La liste noire permet de bloquer certaines IP ou certaines plages d'adresses IP. Cela peut servir si par exemple vous constatez de temps en temps dans le journal du NAS que certaines adresses (ou plages d'adresses) essaient de se connecter, sans forcément rentrer dans les critères de bannissement de la liste noire automatique... On verra par la suite que cela pourrait permettre aussi de bloquer le trafic depuis certains régions, certains pays. Pour activer la liste noire, cochez simplement la case Activer liste noire puis cliquez ensuite sur Ajouter pour ajouter les IP ou plages d'IP que vous souhaitez bloquer.
La liste blanche
Dernière liste présente dans le Défenseur Réseau : la liste blanche. Cette liste permet de restreindre l'accès aux protocoles SAMBA, AFP, FTP, ADM et SSH aux seules adresses déclarées ici. Là encore, pour activer cette liste, cochez la case Activer la liste blanche puis cliquez sur Ajouter. Et là, on retrouve la même fenêtre que précédemment, pour définir, une IP, une plage IP ou un sous-réseau complet.
Allez plus loin avec GeoIP Database
Bon la liste noire et la liste noire automatique, c'est intéressant, mais est ce qu'il ne serait pas encore plus intéressant de pouvoir bloquer le trafic en provenance d'un pays ou d'une région ? Et bien c'est possible ! Et pour cela il faut installer l'application GeoIP Database. Il s'agit simplement d'une base de données répertoriant les plages d'adresses IP par pays. Pour cela, rendez-vous dans AppCentral, et dans Toutes les applications recherchez Geo IP et cliquez sur Installer.
Laissez vous guider pour installer l'application, et une fois que c'est fait, retourner dans ADM Defender. Dans la section Liste Noire, cliquez sur le bouton Ajouter. Désormais le menu déroulant propose une option supplémentaire : Filtre pays. Sélectionnez cette option.
Sélectionnez ensuite la région du monde et le pays.
Répéter ensuite l'opération autant de fois que nécessaire pour inclure tous les pays que vous souhaitez bloquer.
Veuillez noter que vous pouvez aussi procéder à l'inverse avec la liste blanche pour n'autoriser que le pays de votre choix (par exemple la France). Et c'est d'ailleurs ce que je vous conseille !
Et bien voilà ! Vous avez désormais toutes les clés pour sécuriser au mieux votre NAS Asustor ! 🙂
Partager la publication "Asustor : se protéger avec le Défenseur Réseau d'ADM"