mail suite échec de connexion

Indice NDT

(N)iveau requis, de l’utilisateur à l’expert.
(D)ifficulté : Simple, Moyenne, Complexe.
(T)emps estimé pour la réalisation.

Utilisateur Technicien Expert
Niveau
Simple Moyenne Complexe
Difficulté
– d’une heure + de 5 heures 12 heures et +
Temps

OcM

Objectif de l’article.
Contexte de la réalisation.
Modalité de l’éxécution.

Recevoir un mail d’alerte en cas d’échec de connexion.

NAS Synology sous DSM (5 à 6) avec l’application Centre des journaux.

Utilisation d’une option du centre des journaux.

Sécuriser son NAS c’est primordial. Mais aucune protection ne permet de se passer d’outillage d’investigation sur des tentatives de connexion. De plus, si l’option de sécurité « bloquer les adresses » après n tentatives est activée, il est intéressant de recevoir un mal si la tentative venait d’un utilisateur en théorie autorisé.

Cette option existe depuis DSM5 mais se présente et offre plus de journaux concernés sous DSM6.

Vérifier la mise en place des journaux


Par défaut tous les journaux de ne sont pas activés. C’est à faire selon les services opérationnels sur son NAS, mais on peut ajouter :

Journal des transferts FTP FTPS SFTP

  1. Panneau de configuration du NAS (en tant qu’admin ou membre d’admin)
  2. Service de fichier
  3. Onglet FTP
  4. Paramètres avancés
  5. On active le journal des transferts

Journal de FileStation

  1. FileStation en tant qu’admin ou membre du groupe admin
  2. Menu Paramètres
  3. Onglet Général
  4. On active le journal de FileStation

Application Centre des journaux


Par défaut l’application n’est pas installée. elle permet de regrouper les journaux principaux du NAS mais surtout de gérer une notification en fonction de critère personnel.

  1. Centre des paquets
  2. Centre des journaux

Une fois installée, on accède à l’application

  1. Section Notification
  2. On coche le type d’alerte souhaité
  3. le mot clé rencontré, ici:failed to log(attention à bien respecter la syntaxe et la casse des caractères).

Désormais, si une personne tente de se connecter au NAS via DSM (portail principal, audio vidéo etc..) via FTP, FTPS, SFTP, ou bien encore via FileStation … Et qu’elle n’y parvienne pas,  alors, un mail est envoyé avec

  • l’incident,
  • l’identifiant utilisé
  • ip concernée

Que faire avec cette information ?


Selon la fréquence on peut, localiser géographiquement l’utilisateur en ayant recours à un service dédié comme :

  • http://trouver-ip.com/
  • https://www.hostip.fr/

Localisation relative car si l’utilisateur utilise un accès VPN, c’est la localisation du serveur qui est rendue.

Interdire le pays dans le firewall du NAS…

On peut aussi se rendre compte que l’ip est celle de la Freebox de Tata Monique et la sortir des ip brulées du NAS…