Qnap Que faire des avertissements ? "[Security] Added IP address (...) to IP block list"

[Philaga]

Je met en place un serveur NAS QNAP TS431+ ( v. 4.3.60959 ) qui dormait depuis une paire d'année.

J'ai donc une première question. J'ai un peu cherché dans le forum mais je n'ai pas trouvé de piste pour une compréhension du problème et sa résolution. Dois-je envisager une formation admin serveur first ?
Voila donc la question que je posterai aussi dans la rubrique spécifique probalement "Accueil du forum / QNAP / Installation, Démarrage, Configuration et Dépannage"

Mon serveur m'inonde de Warnings, que faut-il faire ?

App Name: Security
Category: Security Level
Message: [Security] Added IP address "112.85.42.238" to IP block list. Duration: for 5 minutes.

 

[EVO]

Bonjour,
Comment avez-vous exposé votre NAS a internet ? Ouverture de port sur la box ? ...
Le pare-feu du NAS est t'il configurer/actif ?

 

[QoolBox]

remplace les port standard et fait la mise a jour du firmware
installe le Malware remover (Appcenter)

et sécurise les accès en activant le bannissement sut SSH, FTP , HTTP(s) dans le menu sécurité , bloque pour 5 min toutes tentative infructueuse

 

[Philaga]

Merci @QoolBox et @EVOTk pour vos réponses, voici un peu plus d'information sur la situation.

Je pense que "inonder" n'est pas le terme à employer, une petite vingtaine de Warning par heure (cf. ci-dessous historique MalvareRemover sur les 2 dernières heures d'activité))

Mon routeur : une freebox HD, sur laquelle le routeur est Actif ( 192.168.0.254)
DHCP ACtif : 192.168.0.10 à 192.168.0.50
Adresse IP DMZ :192.168.0.0
Adresse IP Freeplayer :192.168.0.0
ping : Actif
Proxy WOL (Wake On Lan) : Inactif
UPnP (Universal Plug and Play): ACtif
Aucune redirection :
Redirections de ports
Redirections de plages ports
Baux DHCP permanents

Sur le qnap :
La protection d'accés reseau est activée, tous les ports sont bloqués sur 5 minutes.

Rapport MalwareRemover
Number Type Date Time Users Source IP Computer name Content
8056 Information 2020-06-24 13:55:08 System 127.0.0.1 localhost [Malware Remover] Scan completed.
8055 Warning 2020-06-24 13:52:27 System 127.0.0.1 --- [Security] Added IP address "112.85.42.229" to IP block list. Duration: for 5 minutes.
8054 Information 2020-06-24 13:51:45 System 127.0.0.1 localhost [Malware Remover] Started scanning.
8053 Information 2020-06-24 13:50:21 System 127.0.0.1 --- [Security] Removed IP "112.85.42.229" from IP block list.
8052 Warning 2020-06-24 13:45:20 System 127.0.0.1 --- [Security] Added IP address "112.85.42.229" to IP block list. Duration: for 5 minutes.
8051 Information 2020-06-24 13:44:18 System 127.0.0.1 --- [Security] Removed IP "112.85.42.229" from IP block list.
8050 Warning 2020-06-24 13:39:10 System 127.0.0.1 --- [Security] Added IP address "112.85.42.229" to IP block list. Duration: for 5 minutes.
8049 Information 2020-06-24 13:29:15 System 127.0.0.1 --- [Security] Removed IP "112.85.42.229" from IP block list.
8048 Warning 2020-06-24 13:24:04 System 127.0.0.1 --- [Security] Added IP address "112.85.42.229" to IP block list. Duration: for 5 minutes.
8047 Information 2020-06-24 13:06:33 System 127.0.0.1 --- [Security] Removed IP "112.85.42.238" from IP block list.
8046 Warning 2020-06-24 13:01:29 System 127.0.0.1 --- [Security] Added IP address "112.85.42.238" to IP block list. Duration: for 5 minutes.
8045 Information 2020-06-24 13:00:15 System 127.0.0.1 localhost [Malware Remover] Scan completed.
8044 Information 2020-06-24 13:00:09 System 127.0.0.1 --- [Security] Removed IP "112.85.42.238" from IP block list.
8043 Information 2020-06-24 12:57:06 System 127.0.0.1 localhost [Malware Remover] Started scanning.
8042 Information 2020-06-24 12:56:59 System 127.0.0.1 localhost [App Center] Malware Remover enabled.
8041 Information 2020-06-24 12:56:45 System 127.0.0.1 localhost [App Center] Installed Malware Remover 3.5.5.1 in "/share/CACHEDEV1_DATA/.qpkg/MalwareRemover".
8040 Warning 2020-06-24 12:55:08 System 127.0.0.1 --- [Security] Added IP address "112.85.42.238" to IP block list. Duration: for 5 minutes.
8039 Information 2020-06-24 12:53:24 System 127.0.0.1 --- [Security] Removed IP "112.85.42.238" from IP block list.
(...)
8024 Warning 2020-06-24 12:01:38 System 127.0.0.1 --- [Security] Added IP address "112.85.42.238" to IP block list. Duration: for 5 minutes.
8023 Information 2020-06-24 11:59:44 System 127.0.0.1 --- [Security] Removed IP "112.85.42.238" from IP block list.

 

[fbernard]

Bonjour,

L'adresse IP 112.85.42.229 est située en Chine. 112.85.42.238 aussi bien sûr (pour vérifier : https://www.iplocation.net/ip-lookup ).
Si il y a des tentatives bloquées de ce genre sur le NAS, c'est forcément qu'il y a une redirection de ports active.

Attention, la fonctionnalité UPnP ("UpnP IGD", par opposition à l'UPnP AV) permet à n'importe quel périphérique du réseau local (donc le NAS) de paramétrer automatiquement les redirections de ports dont il a besoin dans la Freebox.

Il faut décocher cette fonctionnalité (dans la Freebox Delta c'est sous Paramètres de la Freebox/Réseal local/UPnP IGD, je ne sais pas où ça se situe sur la FreeboxHD).
Il y a une liste des redirections actives dans la même fenêtre. Attentions, les redirections n'apparaissent pas dans les règles définies par l'utilisateur (évidemment, puisqu'elles ont été définies à son insu, c'est pour son bien...).
On peut les voir par contre dans la liste des connexions entrantes (Paramètres de la Freebox/Connexion Internet/Gestion des Ports/Connexions entrantes).
Il faut les désactiver aussi (le fait de couper l'UPnP empêche simplement le NAS de les recréer, ça le les coupe pas).

L'UPnP IGD est une belle saloperie, plutôt que d'expliquer clairement aux gens comment faire pour se mettre en danger ouvrir leurs ports en connaissance de cause, on le fait sans le leur dire, c'est plus simple...

Il ne faut pas bannir les adresses pendant 5 minutes, mais 24h au minimum, ou définitivement (sauf pour le SSH qui ne devrait servir qu'en interne de toute façon. Là, 5 minutes c'est bien, ça permet de se planter sur son mot de passe). Dans ton bout de log, ce sont les deux mêmes adresses qui réessayent, parfois quelques secondes seulement après avoir été débloquées...

Et s'il y a un besoin réel de connexion entrante, utiliser le serveur OpenVPN de la Freebox (y en a-t-il un dans la Freebox HD? Voir dans Paramètres de la Freebox/Connexion Internet/Serveur VPN). A défaut, le serveur IPSEC s'il n'y a pas d'OpenVPN). Tuto ici par exemple.

 

[zypos]

Je rejoins ce qui à été déjà dit il faut déactiver l'UPNP Et ouvrir les ports manuellement . Maintenant des choses m'interpelle dans la configuration
Quel IP à le Nas :?:
Sur quel équipement pointe

Adresse IP DMZ :192.168.0.0

; EN DMZ tout les ports sont ouvert donc l'équipement sur cette adresse IP est exposé

 

[nas75]

+1

En complément (accès un peu différent), je conseille également de changer le user par défaut (admin) du serveur UPNP/DLNA si on veut éviter que n'importe quel lecteur du réseau puisse accéder à tous les fichiers multimédia...