Retour d’expérience sur Synology Intrusion Prevention

Intrusion Prevention - Tuile d'installationUn des points forts du Routeur Synology RT2600ac c’est la possiblité d’ajouter des extensions (comme c’est le cas pour ses NAS). Même si actuellement le nombre d’extensions est un peu réduit, il y a Intrusion Prevention en version BETA. J’ai testé cette extension pendant un mois environ, et je vous livre ici quelques remarques sur son usage et les impacts au niveau performance.

Intrusion Prevention – une petite présentation

Il faut voir Intrusion Prevention comme une protection supplémentaire au Firewall qui bloque les ports uniquement (et parfois fait une analyse « SPI » Stateful Packet Inspection). Ce n’est pas non plus un antivirus – au sens strict du terme. C’est l’analyse (voire la suppression) des paquets suspects qui offre une protection en amont d’un antivirus – lorsqu’il existe.

Intrusion prevention propose deux modes de fonctionnement :

  • Le premier est d’observer sans intervenir. Intrusion Prevention va analyser les paquets et avertira en fonction des règles et de la gravité de celles-ci. C’est le meilleur moyen pour se faire une idée des données qui transitent et pour évaluer les risques.
  • Le second est d’observer avec intervention. Ce mode vient en complément du premier mode. En fonction des règles et de la criticité, il supprimera le paquet en question. Il s’agit donc d’une protection complémentaire au Firewall (flux entrant). Car Intrusion Prevention observera également les appareils connectés en interne qui vont émettre vers l’extérieur (par exemple une camera IP). Si vous avez configuré votre Routeur Synology avec des notifications par Mail (ou SMS)… au début vous devriez voir de nombreuses notifications arriver!

Intrusion Prevention - Mode de fonctionnementLa seconde chose à faire après activation, c’est de se focaliser sur les alertes « high » et de désactiver les autres alertes « medium » ou « low ».

Intrusion Prevention - Notification
Configuration des notifications et de la criticité des alertes

Alors… ça marche?

Mail Intrusion PreventionOui. Cela fonctionne. Je me suis rendu compte qu’un de mes « utilisateurs » (mes enfants) avait téléchargé un trojan sur son Raspberry PI. Plus de peur que de mal, car celui-ci n’était actif que sur Windows… pour le moment. J’ai également noté qu’une caméra IP précédemment installée provoquait une certaine panique à chaque fois que l’on accédait à celle-ci. Une erreur ? Dans le doute, j’ai désactivé celle-ci en attendant de comprendre ce qui ne va pas.

Intrusion Prevention - Vue d'ensemble

Le journal donne des détails, une carte est disponible également…

Intrusion Prevention - Journal

Impact sur les performances

C’est actuellement LE gros problème de cette extension. En effet, si votre connexion fait 5 Mbit/s, l’impact sur les performances devrait être léger voire nul. En revanche, sur une connexion fibre, un speedtest passe de 800 Mbit/s à 200 Mbit/s ! Et puis, un autre test depuis l’interface de la FREEBOX Revolution (où l’on peut télécharger un fichier de 1 Giga) donne les mêmes résultats. Oups?

Seul un arrêt pur et simple du service permet de rétablir les performances. Si vous avez configuré votre routeur avec deux connexions, la dé-sélection d’une interface ne changera rien. Toutefois, il est possible d’arrêter le capteur complètement sans désinstaller l’extension. Après tout, c’est marqué en bas en petit sur le site de Synology.

Remarques page produit Synology Routeur

Conclusion

Intrusion Prevention est en bêta actuellement. Cela explique peut-être pourquoi la solution proposée n’est pas encore achevée. Avec une connexion fibre optique, c’est une solution à installer et à configurer pour tester temporairement le réseau… car l’impact sur les performances semble réel. Si la sécurité prime sur la performance, cela devrait renforcer la sécurité de cet excellent routeur.

Avec une connexion xDSL voire câble (FFTB), c’est une solution à réellement envisager en se focalisant sur les alertes « high » uniquement. Néanmoins, il faudra peut-être tester le débit avec un speedtest ou nperf (voire fast.com) afin de mesurer s’il y a une réduction de la vitesse de téléchargement.

Il faudra surveiller les mises à jour ici.