Synology SRM 1.2 – Threat Prevention

Threat Prevention est le nouveau nom – et la nouvelle version – de Intrusion Prevention destiné aux produits Synology. Pour rappel, il s’agit d’une application qui ajoute une protection supplémentaire à votre routeur. Son rôle est d’analyser les paquets et le cas échéant de détecter ceux qui sont malveillants. Ce dernier était en « bêta » jusqu’à la version 1.1 de SRM. Bien qu’assez efficace, il ralentissait le débit de la connexion Internet (voir cet article). Bonne nouvelle, avec Threat Prevention l’impact sur le débit est désormais du passé avec cette nouvelle version…

Threat Prevention

Threat Prevention et son nouveau moteur

Pour vérifier le débit, j’ai installé un speedtest qui est 100% HTML sur mon NAS DS916+. Ce dernier n’est pas sensible aux accès disque. Ainsi, il permettra donc de vérifier le débit et uniquement le débit. Il fonctionne bien sous Chrome et Safari (un peu moins bien avec Firefox) et il est raccordé sur le routeur et la box. En complément, j’ai utilisé des tests de type la fibre info (iperf), speedtest et nperf… même si ces tests peuvent être perturbés par des accès concurrents d’autres utilisateurs.

Nous avons donc:

  • Box FAI: 192.168.1.1
    • Routeur RT2600AC : 192.168.1.4 (IP du réseau 192.168.10.1) – prise LAN 1 de la box vers prise WAN
      • NAS DS916+ prise Ethernet 1: 192.168.10.30 – prise LAN 2 du routeur
      • PC/Mac prise Ethernet 1: 192.168.10.100 – prise LAN 3 du routeur
    • NAS DS916+ prise Ethernet 2: 192.168.1.30 – prise LAN 2 de la box

En me connectant depuis le routeur (192.168.10.1) vers l’IP du NAS connecté à la Box (192.168.1.30) je m’assure que le port WAN est bien sollicité… et en minimisant les aléas éventuels de la connectivité internet. Threat Prevention ne s’occupant QUE des flux entrants et sortants internet.

J’ai observé que l’impact sur le débit a été grandement amélioré. Lorsque Intrusion Prevention était actif, la bande passante était nettement réduite (en mode observation ou intervention). Avec la nouvelle version Threat Prevention, c’est marginal voire inexistant. Bon point !

Threat Prevention et sa nouvelle interface

L’interface a fait l’objet d’une belle amélioration. Seule la traduction peut sembler un peu étrange. Que signifie le terme « Ignorer » ? Tout simplement « drop » ou « supprimer« . Donc en activant l’option « Ignorer automatiquement les paquets à risque élevé« , Threat Prevention supprimera les paquets suspects soit « Supprimer automatiquement les paquets à risque élevé« . Mauvais point pour la traduction mais ça fonctionne !

Synology Threat Prevention
Threat Prevention – Paramètres

L’événement du jeudi paquet

Les événements permettent d’afficher (voire d’analyser) les paquets qui ont été classifiés comme suspects. On retrouve la classification en fonction de la gravité : Élevé, Moyen, Bas. L’état correspondant à l’action qui a été réalisée (Ignorer = Supprimer ou Alerte). Il y a un troisième état qui est « Ne rien faire ». Il s’active en créant une règle personnalisée pour un événement donné.

L’affichage de l’événement est nettement plus clair à présent : à gauche les événements, à droite le détail. Synology propose un didacticiel ici pour vous aider à analyser une attaque potentielle.

En cliquant sur « Ajout d’une stratégie« , il est possible de décider si tel ou tel événement présente un risque réel… voire d’automatiser son traitement.

Ainsi, si un événement est vu comme à faible risque et que l’on souhaite le supprimer… ou l’ignorer, la stratégie personnalisée permet de gérer ce cas de figure. La notion de filtre venant alors préciser l’IP source et l’IP destination. Par exemple, si votre caméra IP génère des alertes intempestives alors que le comportement est normal, vous pouvez décider de « Ne rien faire » pour ne plus avoir à traiter ce genre de cas.

C’est une des raisons où l’adresse IP automatique a ses limites (DHCP). Pour ma part, j’ai déclaré une réservation d’adresse IP en fonction du matériel et des utilisateurs. En associant telle adresse IP avec telle adresse MAC, il est plus aisé d’avoir des règles efficaces et statistiques fiables.

Règles personnalisées

L’accès aux règles personnalisées est disponible dans Stratégie auto-définie > Politique. L’onglet « Classe/signature » permettant de voir les stratégies pour un événement. Petite explication : Une stratégie comme « A Network Trojan was detected » a des signatures. Une signature peut être activée ou non. Dans l’exemple ci-dessous, il y a 10616 signatures dont 8689 sont activées par défaut.

Synology Threat PreventionUn double clic permet d’afficher le détail des signatures:Synology Threat Prevention alerte

La possibilité est offerte d’activer pour une signature son action. Le bouton Configuration par lots permettant d’activer telle ou telle action pour toutes les signatures. C’est a priori puissant… mais je pense qu’il est préférable de ne pas y toucher. C’est louable de la part de Synology d’offrir cette possibilité. Encore un bon point!

L’important… c’est de savoir?

Synology Threat Prevention système protégé

Avec « Vue d’ensemble« , Threat Prevention donne un premier niveau d’information. Si le système démarre, un message s’affichera (cela peut prendre quelques minutes). Lorsque l’application n’est pas active, un bouton s’affichera pour l’activer. Enfin, en bas, la liste des périphériques nécessitant une analyse. Synology a complété cette vue par une vue statistique plus lisible par rapport à la version précédente. Un autre bon point !

Comme dans la version précédente, une vue carte est aussi disponible.

Notifier ou pas… telle est la question!

Attention à ne pas trop recevoir de notifications… Je conseille d’activer le minimum et uniquement sur les événements de type Trojan.

Synology Threat Prevention paramètres

L’essentiel c’est d’agir… parfois

Que faire de tous ces événements, ces statistiques et de ce moteur ?

  1. Comme le moteur est nettement plus performant, activez l’option « Ignorer automatiquement les paquets à risque élevé« .
  2. Il est préférable d’avoir des adresses IP avec une réservation DHCP en mode « illimité » afin de pouvoir identifier les appareils qui sont potentiellement à risque.
  3. Si une IP externe semble fautive, il est possible de créer une règle personnalisée voire de la bloquer complètement au niveau du pare-feu.
  4. Si une IP interne semble fautive:
    • Déterminer le niveau de risque (parfois il s’agit d’une erreur… et dans ce cas il faudra créer une règle personnalisée de type « ne rien faire »)
    • Inventorier les applications installées, supprimer l’application si besoin voire bloquer un site
    • Éduquer les utilisateurs

Conclusion

A part les petits problèmes de traduction, l’application Threat Prevention est à présent une application fiable et performante permettant de mettre en place une espèce de pare-feu comportementaliste. Aucun pré-requis n’est nécessaire pour activer le mode par défaut (supprimant les paquets à risque élevés). En revanche, l’analyse des paquets nécessite plus de temps et des compétences plus poussées. Cette application ne remplace pas un anti-virus sur un appareil (quand c’est possible), mais elle devrait réduire les risques d’intrusion. Depuis la mise à jour, l’application est activée en permanence sur mon routeur.

Post-Scriptum

J’avais constaté quelques perturbations après mes tests. J’ai donc contacté le support de Synology – qui a été très réactif. Pour le moment, cela semble bien fonctionner (pas de réduction de débit). Le fait d’avoir un environnement de type Linux est un gros plus. Ainsi, le support m’a indiqué comment utiliser la commande htop pour voir l’ensemble des processus (il faut se connecter en root avec le mot de passe admin). Même si l’interface html est vraiment très bien, un accès au processus en temps réel avec ssh est très pratique quand on souhaite aller plus loin. Seuls les firmwares alternatifs comme dd-wrt proposent un accès ssh/telnet. Le matériel est bien conçu, intégrant un logiciel de qualité – avec des contributions open source pour ce paquet – et le service (le support) est là pour aider. C’est donc un bon investissement.

  1. Pour information Intrusion Prévention ralenti effectivement les performances du débit, car il doit filtré les données qui arrivent et qui sortent du routeur.

    Cette extension peut être utile quand on laisse la connexion internet à des ados par exemple (quand les parents partent un week-end) et que le PC est accessible.

    Après à chacun de choisir : Performance ou Protection (certes on peux avoir les deux mais dans un routeur ça reste une bonne utilité). D’autant plus que les BOX des opérateur reste des passoires à côté des routeurs de Synology.

    1. La baisse de performance était un problème avec la version BETA. Ce n’est plus – ou ne devrait plus – être le cas avec la version fonctionnant avec SRM 1.2. En cas de baisse de performance, il faut contacter le support Synology qui est vraiment très bien.

  2. Merci pour ce test, qui me permet de mieux comprendre et utiliser mon routeur.
    Cependant, il me reste une interrogation… une fois constaté des paquets récurrents bloqués depuis une machine du réseau, comment identifier sur la machine en question ce qui envois ces paquets ?
    J’ai bien essayé quelques outils standard de windows, mais ça donne les connexions en temps réel.
    Il faudrait mémoriser sur plusieurs jours et mettre en lien avec les alertes du routeur, ou établir une surveillance sur la machine, et alerter quand cela se produit.
    Quelles applications pour cela ?
    J’ai des paquets en provenance de pc windows et de téléphones android.
    Merci

    1. Bonjour,
      La première chose à faire est d’affecter une adresse IP par utilisateur/appareil (Réseau>Réseau>Réservation).

      Ensuite, lorsque le problème survient, l’adresse IP source et IP destination sont indiquées. On peut déterminer si le flux est entrant ou sortant en fonction de la notion d’IP source/destination. Ainsi un flux entrant aura une IP destination interne (192.x.x.x)… et un flux sortant aura une IP source interne.
      Une fois cela fait, il conviendra d’analyser l’appareil (voir quels sites ont été visités, applications installées etc…). Parfois c’est juste une publicité ou un traqueur publicitaire.

      Un bon antivirus – est-européen de préférence – devrait faire le travail. A compléter avec un outil spécialisé comme malwarebytes.com.
      Cordialement
      Alex

  3. Bonjour,
    Après avoir nommé les périphériques dans le menu « Contrôle du trafic » depuis le Centre de Réseau, leur nom remontent bien à la place des adresses IP dans les événements de Threat Prevention. Ce qui est visuellement bien pratique et ne nécessite pas de réserver les adresses IP via le serveur DHCP.

  4. Bonjour
    Je débute dans le monde du NAS. Comment fait-on pour installer l’application Threat Prevention ?

  5. bonjour
    à ce jour 01/12/2020 avec rt2600ac avec srm v1.2.4-8081 update1 et threatprevention 1.2.4-0793
    connexion 360 à 400 Mbps sans le threat prevention
    je dépasse pas les 100Mbps avec le threat prevention activé !

    problème toujours d’actualité

  6. Bonjour,

    J’ai une petite question (pas liée à cet article en particulier).

    Quelle est l’avantage d’avoir une prise lan du nas sur la box et une prise lan du nas sur le routeur lui même branché à la box?

    Comment cela se configure et comment cela fonctionne?

    Merci 🙂

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.