[Réseau/NAS]Le topic des gros nas

[ook4mi]

En fait, il y a 2 différences importantes entre la version J et la version "normale". Le fait de pouvoir ajouter de la ram (1 slot) et que le processeur soit un x86 (intel) et non un arm.
De ce fait, tu as beaucoup plus de liberté dans les applications (quasi autant que sur un pc tradi) et le fait de monter à 10go de RAM (ce que j'ai fait). Ainsi, tu as un vrai petit serveur qui peut te servir à faire tout et n'importe quoi sans te soucier de la puissance.

Et non, de mon côté je n'ai pas fait l'upgrade vers la version 7 et je pense laisser passer au moins 1 an avant de la faire.

Tu as déjà mesurer la consommation électrique de ta version nonJ ? Cela donne combien de W ? Par pure curiosité

[Tonton_Ben-J]

En fait, il y a 2 différences importantes entre la version J et la version "normale". Le fait de pouvoir ajouter de la ram (1 slot) et que le processeur soit un x86 (intel) et non un arm.
De ce fait, tu as beaucoup plus de liberté dans les applications (quasi autant que sur un pc tradi) et le fait de monter à 10go de RAM (ce que j'ai fait). Ainsi, tu as un vrai petit serveur qui peut te servir à faire tout et n'importe quoi sans te soucier de la puissance.

Et non, de mon côté je n'ai pas fait l'upgrade vers la version 7 et je pense laisser passer au moins 1 an avant de la faire.

Je m'emmêle peut-être les pinceaux mais le DS220J est un processeur 64 bits non ? Le DS218 à l'air d'avoir le même aussi ? (tu le classe bien dans la version "normale" ?)

[Bentic]

sauf que ce matin je vois qu'il ne répond plus ...

Obligé de le débrancher / rebrancher car même le bouton d'extinction ne l'éteignait pas.

Est-ce que vous avez mis à jour vers DSM 7 pour les possesseurs de Syno ?

Possesseur de Syno depuis environ une semaine (dans sa boîte), après 4 jours et 18h de Bulk HDD Testing, j'ai enfin déballé l'engin, mis les disques dedans et démarré le tout.
Il m'a installé la dernière version de DSM 6.x qu'il a trouvée automatiquement, et ayant vu que DSM 7 était sorti officiellement, après réflexion, je l'ai réinitialisé et installé manuellement pour ne pas risquer d'avoir des surprises de compatibilités matérielles ou logicielles plus prises en charge, et ne pas avoir à configurer deux fois certaines choses qui se feraient peut-être différemment.

Après l'avoir laissé encore pendant 11h optimiser le SHR en arrière-plan sans le solliciter pour être sûr, j'ai transféré la config des applications qui tournaient en conteneurs sur mon NAS maison précédent et ai tout redéployé, je n'ai pas grand chose mais pas de problème à signaler pour le moment. Du coup j'ai lancé la copie de toutes les données de mon ancien NAS, ça va mouliner encore un moment avant de pouvoir commencer à ranger tout ça proprement et mettre des backups corrects en place.

J'ai quand même eu un souci d'accès à DSM deux fois, mais j'avais bêtement oublié que j'avais changé le nom machine (je n'ai pas assigné d'IP fixe), et ensuite les ports par défaut. La deuxième fois, je me suis quand même demandé ce qu'il se passait parce que j'avais toujours accès à Portainer et en SSH, et find.synology.com ne le trouvait pas. Il ne cherche apparemment que sur les ports par défaut. J'ai finalement installé l'assistant Synology qui me l'a retrouvé avec le nouveau port.

Vu que le tien était déjà configuré depuis un moment, ça ne devait sûrement pas être la même chose (et le bouton d'extinction, en laissant appuyé quelques secondes, éteignait bien le boîtier (proprement, apparemment)), mais voilà, c'était ma petite expérience.

D'ailleurs, en passant, est-ce que certains d'entre vous ont un peu comparé les applications natives Synology par rapport à Next/OwnCloud ?

[wafwafe]

Je m'emmêle peut-être les pinceaux mais le DS220J est un processeur 64 bits non ? Le DS218 à l'air d'avoir le même aussi ? (tu le classe bien dans la version "normale" ?)

Les modèles en version j sont équipés d'un SocARM et non d'un processeur x86. Les ARM peuvent être de type 32bits ou 64 bits.
Ce que j'appelle la gamme "normale", ce sont les versions non j (ds220) ou les versions '+' (ds220+). L'entrée de gamme étant les j et avant il existait aussi les play qui visait les serveurs multimédia (mais qui ont disparu avec les modèles x20).

@ook4mi : aucune idée. On peut faire ça sans appareil spécifique ?

[ook4mi]

@ook4mi : aucune idée. On peut faire ça sans appareil spécifique ?

non :/

[Tonton_Ben-J]

Possesseur de Syno depuis environ une semaine (dans sa boîte), après 4 jours et 18h de Bulk HDD Testing, j'ai enfin déballé l'engin, mis les disques dedans et démarré le tout.
Il m'a installé la dernière version de DSM 6.x qu'il a trouvée automatiquement, et ayant vu que DSM 7 était sorti officiellement, après réflexion, je l'ai réinitialisé et installé manuellement pour ne pas risquer d'avoir des surprises de compatibilités matérielles ou logicielles plus prises en charge, et ne pas avoir à configurer deux fois certaines choses qui se feraient peut-être différemment.

Après l'avoir laissé encore pendant 11h optimiser le SHR en arrière-plan sans le solliciter pour être sûr, j'ai transféré la config des applications qui tournaient en conteneurs sur mon NAS maison précédent et ai tout redéployé, je n'ai pas grand chose mais pas de problème à signaler pour le moment. Du coup j'ai lancé la copie de toutes les données de mon ancien NAS, ça va mouliner encore un moment avant de pouvoir commencer à ranger tout ça proprement et mettre des backups corrects en place.

J'ai quand même eu un souci d'accès à DSM deux fois, mais j'avais bêtement oublié que j'avais changé le nom machine (je n'ai pas assigné d'IP fixe), et ensuite les ports par défaut. La deuxième fois, je me suis quand même demandé ce qu'il se passait parce que j'avais toujours accès à Portainer et en SSH, et find.synology.com ne le trouvait pas. Il ne cherche apparemment que sur les ports par défaut. J'ai finalement installé l'assistant Synology qui me l'a retrouvé avec le nouveau port.

Vu que le tien était déjà configuré depuis un moment, ça ne devait sûrement pas être la même chose (et le bouton d'extinction, en laissant appuyé quelques secondes, éteignait bien le boîtier (proprement, apparemment)), mais voilà, c'était ma petite expérience.

Tu as quel modèle ?

Ce que je pige pas c'est que la RAM sollicitée et le CPU reste similaire que lorsque j'avais DSM 6 ... C'est comme si le système s'était emballé à un moment sans raisons particulières, du coup je me demande si c'est pas un BUG lié à DSM 7 et non un problème de capacité.

Les modèles en version j sont équipés d'un SocARM et non d'un processeur x86. Les ARM peuvent être de type 32bits ou 64 bits.
Ce que j'appelle la gamme "normale", ce sont les versions non j (ds220) ou les versions '+' (ds220+). L'entrée de gamme étant les j et avant il existait aussi les play qui visait les serveurs multimédia (mais qui ont disparu avec les modèles x20).

Ok

[Bentic]

Tu as quel modèle ?

J'ai pris le DS1821+, histoire d'avoir un peu de marge

[Pouetster]

petite question noob, je n'ai pas de besoin NAS precisement, pas de site a heberger ou de stream 4K de videos. Juste de la doc, photo, du PDF que j'aimerais securiser sur un support physique, depuis mon tel.

J'utilisais principalement icloud et onedrive, mais l'un sature vite parce qu'il copie tout du tel (ces saleté de tof animées en .mov+jpg ), et l'autre est limité a 1Go, ce qui est peu.

j'ai une box free qui fait NAS, comme toutes les box constructeur je suppose depuis longtemps. Une clé USB 64 Go, ou un recyclage de HDD ancien me suffirai, mais.... c'est le mais, dans l'appli free sur iphone, je ne peux sauver que mes tofs...

Peut etre qu'il y a une appli istore genre NAS manager qui pointerait sur ma box meme en 4G?

[Wobak]

Alors à froid comme ça je te conseillerais eventuellement d'installer une VM ou un container sur ta freebox qui monte ta clé ou ton HDD et qui fait tourner une appli type nextcloud ou owncloud. Mais doit y'avoir plus simple

[Foksadure]

Attaque bruteforce en cours ciblant les NAS Synology exposés sur internet :
https://www.cachem.fr/nas-synology-stealthworker/

Un communiqué a été rédigé par le fabricant de NAS : « Synology PSIRT (Product Security Incident Response Team) a récemment vu et reçu des rapports sur une augmentation des attaques par force brute (brute-force) contre les appareils Synology. Les chercheurs en sécurité de Synology pensent que le botnet est principalement dirigé par une famille de logiciels malveillants appelée « StealthWorker ». À l’heure actuelle, Synology PSIRT n’a vu aucune indication que le malware exploite des vulnérabilités logicielles ». Il ajoute : « Ces attaques s’appuient sur un certain nombre de dispositifs déjà infectés pour essayer de deviner les informations d’identification admin et, en cas de succès, elles accèdent au système pour installer leur logiciel malveillant, qui peut inclure un ransomware. Les dispositifs infectés peuvent mener des attaques supplémentaires sur d’autres dispositifs basés sur Linux, y compris les NAS Synology ».

[Bah]

Merci pour l info !

Si je comprends bien ça tente de deviner les identifiants, donc ce serait une sorte de brute force ? Perso j'ai à la fois un max de 3 ou 5 (je sais plus) tentatives de connexion avant un ban temporaire d IP et une identification par authenticator (en tout cas à la première connexion réussie depuis une nouvelle machine), à priori ça suffit pour être suffisamment défendu contre ce genre de trucs ?

[tompalmer]

J'ai un Mdp de 30 caractères auto généré que je ne connais pas moi même, ils peuvent y aller

[Tonton_Ben-J]

J'avais activé la double authentification seulement sur le compte qui a les privilèges d'admin, dans le doute je l'ai mis pour tous les comptes.

- - - Mise à jour - - -

J'ai un Mdp de 30 caractères auto généré que je ne connais pas moi même, ils peuvent y aller

Tu fais comment pour te connecter ? Tu utilises une appli "coffre fort" qui regroupe les mots de passe ?

[tompalmer]

Ouais

[ylyad]

C'est surtout que si le NAS n'est pas exposé sur le Net - en particulier les page web d'admin, SSH, Telnet, etc. bref tout ce qui sert à administrer le NAS - donc pour faire simple, si le NAS n'est pas dans une DMZ ou si les ports correspondants ne sont pas transmis par le routeur - et il n'y a aucune raison de le faire - ça devrait pas trop être un souci. Et oui, le serveur Plex qui tourne sur le NAS est, lui, exposé pour pouvoir regarder les vidéos de vacances dans le RER, de même que PhotoStation pour que Tata Ginette puisse admirer les photos de ses petits-neveux, etc. mais l'alerte ne concerne pas ces services.

Après, les recommandations ci-dessus restent valides

[Bah]

Moi je suis un noob qui utilises le quick connect de syno, donc tout ce que tu expliques je sais même pas si ça s'applique à moi ou pas...

[Tonton_Ben-J]

C'est surtout que si le NAS n'est pas exposé sur le Net - en particulier les page web d'admin, SSH, Telnet, etc. bref tout ce qui sert à administrer le NAS - donc pour faire simple, si le NAS n'est pas dans une DMZ ou si les ports correspondants ne sont pas transmis par le routeur - et il n'y a aucune raison de le faire - ça devrait pas trop être un souci. Et oui, le serveur Plex qui tourne sur le NAS est, lui, exposé pour pouvoir regarder les vidéos de vacances dans le RER, de même que PhotoStation pour que Tata Ginette puisse admirer les photos de ses petits-neveux, etc. mais l'alerte ne concerne pas ces services.

Après, les recommandations ci-dessus restent valides

D'ailleurs, comment ça se passe cette attaque ? C'est un scan de mass des adresses IP et pouf dès qu'il y a un syno on tente de se connecter dessus ou on peut repérer les syno d'une autre façon directement ?

J'ai un accès à DSM via un nom de domaine perso avec une redirection de port sur la BOX pour éviter d'utiliser le port par defaut à l'extérieur (mais d'après ce que j'ai compris ça sert pas à grand chose puisqu'on peut vite scanner les ports apparement ...), un access à synology drive et synology photo également exclusivement en https et avec double authentification via un sous domaine pour chacun. Les seuls ports ouverts = celui de DSM et 80 + 443 (d'ailleurs je me demande si c'est utile de laisser le port 80 sur ma BOX puisqu'il n'est pas censé être utilisé).

Tout le reste (SSH etc.) c'est désactivé et j'ai pas d'autres applications en particulier. Du coup je pense que ça devrait être bon

EDIT : ah oui je me suis jamais connecté au truc synology quick connect machin, contrairement à Bah qui va se faire pirater sévère

[ylyad]

C'est quoi l'intérêt pour accéder à DSM depuis l'extérieur? Et c'est vraiment nécessaire et si tu sais configurer ce que tu décris, pourquoi n'installes-tu pas plutôt un serveur VPN chez toi?

[honu]

Ça fait un moment que j'entends parler du fait que Quickconnect n'est pas fiable. Il l'est encore aujourd'hui ?
Si on veut rester simple, c'est à dire utiliser une fonction en quelques clics dans DSM, quelle alternative on a pour se passer de Quickconnect (qui a le mérite d'être très simple à paramétrer) ?

[Tonton_Ben-J]

C'est quoi l'intérêt pour accéder à DSM depuis l'extérieur? Et c'est vraiment nécessaire et si tu sais configurer ce que tu décris, pourquoi n'installes-tu pas plutôt un serveur VPN chez toi?

A vrai dire ça m'a servi exceptionnellement ces derniers jours par faute de temps quand je suis chez moi (oui j'ai plus de temps au taf ), mais oui là maintenant ça ne sert à rien je peux couper l'accès extérieur en effet.

Pour le VPN je ne sais pas faire encore mais j'ai vu qu'il y a des tutos, mais en vrai je ne sais pas si c'est utile surtout si au final je vire l'accès à DSM à l'extérieur.

[Bah]

:

EDIT : ah oui je me suis jamais connecté au truc synology quick connect machin, contrairement à Bah qui va se faire pirater sévère

Si c'est du brute force, j'ai pas trop peur. Par contre si ça utilise d'autres failles pour entrer, ouais là je suis un peu embêté. Vous savez ce qu'il en est ?

[Foksadure]

https://www.synology.com/en-global/c...0From%20Botnet

[Bah]

Ah top, merci !

Ca marche vraiment ces attaques brute force sur des NAS ? Parce que si un ultra noob comme moi a réussi à mettre des barrières à priori assez efficace contre ça, je suppose que la majorité des machines doivent être assez bien protégées.

Edit : ah oui, j'ai aussi désactivé de suite le compte admin, je suppose que le brute force doit souvent essayer ça comme username, sinon ça fait vraiment beaucoup de trucs à brute forcer.

[Foksadure]

Je ne suis pas expert, mais les recommandations du site Synology sont les mêmes que celles que propose le Conseiller de Sécurité du DSM6.2, qui me paraît bien fait pour l'utilisateur domestique. A priori, selon le communiqué, le botnet utilise des machines Linux compromises qui pourraient potentiellement lancer des tentatives d'authentification en bruteforce sur les NAS de la marque auxquels elles auraient accès, afin de les infecter à leur tour. Ceci sans qu'une faille particulière soit visée.

Il n'est pas très compliqué de trouver des @IP pointant sur des NAS Synology exposés à tous les vents (ou les applis tournant dessus) via Shodan.io.

Pour enfoncer des ports ouverts, on peut déjà tester les protocoles exposés sur internet sur l'@IP publique de la connexion via les outils en ligne de scan de port TCP/UDP.
Et s'assurer que cela ne corresponde qu'à ce qui est strictement nécessaire pour l'usage, par exemple le P2P, et qui été logiquement mis en place dans les règles de NAT du pare-feu du routeur en amont (sur lequel l'UPnP a naturellement été désactivé).
Certains conseillent de durcir également le contrôle en activant le pare-feu sur le NAS et en restreignant l'accès à certaines @IP, pour se prémunir contre des machines non référencées potentiellement infectées qui seraient connectées sur le LAN.

Mais pour quelqu'un qui ne fait que du partage de fichiers sur le LAN, avec des machines clientes de confiance, et qui n'expose aucun service générique du NAS sur internet, le risque est faible AMHA.

A propos des mises à jour, et notamment des NAS déclarés non éligibles à DSM7, je suis tombé sur ce site (Wordpress hébergé par OVH) hier :
https://synupdate.tech/
Bon moyen d'obtenir des @IP avec un Syno derrière... dont le mien.

[Graine]

Je poste ici mon message précédent car je l'avais posté dans un mauvais topic.

J'ai un routeur Asus sur lequel on peut brancher un HDD et faire des sauvegardes du LAN dessus.
Sauf que j'ai un taux transfert super faible là je suis en 4Mo/sec (temps restant 6H30 pour 100GB )(je sauvegarde mon disque système)) et là je suis en Ethernet

[Foksadure]

Pourquoi ne pas faire ça directement depuis le pc ?
Et quel genre d'USB ? 2.0 ou 3.0 (routeur et disque, SSD ou clé servant de stockage de masse).
S'il y a beaucoup de petits fichiers, la vitesse d'écriture peut rapidement s'effondrer, ce qui rend préférable la sauvegarde via une image système de plusieurs Go qui saturera le débit du maillon le plus faible, quel qu'il soit.

[Graine]

Oui mais comme j'ai 3 ordis j'aimerais faire les sauvegardes sans utiliser un disque dur en USB mais profiter du serveur de fichier sur le routeur. C'est du 2.0 je pense et c un gros fichiers compressé par easeus.
Apres c'est vrai que je peux utiliser ce disque pour chaque pc mais bon...

[Foksadure]

Si ce sont de gros fichiers, le problème est ailleurs. Quelles sont les réferences du routeur ? Et celles du support de stockage ? Le PC est bien en gigabit ethernet ?

[Graine]

Le routeur est à 100mb en ethernet(je n'ai pas la fibre). Quand je regarde l'utilisation réseau sur un de mes PC je suis à 30%

[Wobak]

100Mb ça limite à 12Mo/s au max.

Le disque c'est quoi comme modèle / type ?

Tu as plusieurs PC qui utilisent le disque en même temps ?