Threat Prevention est le nouveau nom – et la nouvelle version – de Intrusion Prevention destiné aux produits Synology. Pour rappel, il s’agit d’une application qui ajoute une protection supplémentaire à votre routeur. Son rôle est d’analyser les paquets et le cas échéant de détecter ceux qui sont malveillants. Ce dernier était en « bêta » jusqu’à la version 1.1 de SRM. Bien qu’assez efficace, il ralentissait le débit de la connexion Internet (voir cet article). Bonne nouvelle, avec Threat Prevention l’impact sur le débit est désormais du passé avec cette nouvelle version…
Threat Prevention et son nouveau moteur
Pour vérifier le débit, j’ai installé un speedtest qui est 100% HTML sur mon NAS DS916+. Ce dernier n’est pas sensible aux accès disque. Ainsi, il permettra donc de vérifier le débit et uniquement le débit. Il fonctionne bien sous Chrome et Safari (un peu moins bien avec Firefox) et il est raccordé sur le routeur et la box. En complément, j’ai utilisé des tests de type la fibre info (iperf), speedtest et nperf… même si ces tests peuvent être perturbés par des accès concurrents d’autres utilisateurs.
Nous avons donc:
- Box FAI: 192.168.1.1
- Routeur RT2600AC : 192.168.1.4 (IP du réseau 192.168.10.1) – prise LAN 1 de la box vers prise WAN
- NAS DS916+ prise Ethernet 1: 192.168.10.30 – prise LAN 2 du routeur
- PC/Mac prise Ethernet 1: 192.168.10.100 – prise LAN 3 du routeur
- NAS DS916+ prise Ethernet 2: 192.168.1.30 – prise LAN 2 de la box
- Routeur RT2600AC : 192.168.1.4 (IP du réseau 192.168.10.1) – prise LAN 1 de la box vers prise WAN
En me connectant depuis le routeur (192.168.10.1) vers l’IP du NAS connecté à la Box (192.168.1.30) je m’assure que le port WAN est bien sollicité… et en minimisant les aléas éventuels de la connectivité internet. Threat Prevention ne s’occupant QUE des flux entrants et sortants internet.
J’ai observé que l’impact sur le débit a été grandement amélioré. Lorsque Intrusion Prevention était actif, la bande passante était nettement réduite (en mode observation ou intervention). Avec la nouvelle version Threat Prevention, c’est marginal voire inexistant. Bon point !
Threat Prevention et sa nouvelle interface
L’interface a fait l’objet d’une belle amélioration. Seule la traduction peut sembler un peu étrange. Que signifie le terme « Ignorer » ? Tout simplement « drop » ou « supprimer« . Donc en activant l’option « Ignorer automatiquement les paquets à risque élevé« , Threat Prevention supprimera les paquets suspects soit « Supprimer automatiquement les paquets à risque élevé« . Mauvais point pour la traduction mais ça fonctionne !
L’événement du jeudi paquet
Les événements permettent d’afficher (voire d’analyser) les paquets qui ont été classifiés comme suspects. On retrouve la classification en fonction de la gravité : Élevé, Moyen, Bas. L’état correspondant à l’action qui a été réalisée (Ignorer = Supprimer ou Alerte). Il y a un troisième état qui est « Ne rien faire ». Il s’active en créant une règle personnalisée pour un événement donné.
L’affichage de l’événement est nettement plus clair à présent : à gauche les événements, à droite le détail. Synology propose un didacticiel ici pour vous aider à analyser une attaque potentielle.
En cliquant sur « Ajout d’une stratégie« , il est possible de décider si tel ou tel événement présente un risque réel… voire d’automatiser son traitement.
Ainsi, si un événement est vu comme à faible risque et que l’on souhaite le supprimer… ou l’ignorer, la stratégie personnalisée permet de gérer ce cas de figure. La notion de filtre venant alors préciser l’IP source et l’IP destination. Par exemple, si votre caméra IP génère des alertes intempestives alors que le comportement est normal, vous pouvez décider de « Ne rien faire » pour ne plus avoir à traiter ce genre de cas.
C’est une des raisons où l’adresse IP automatique a ses limites (DHCP). Pour ma part, j’ai déclaré une réservation d’adresse IP en fonction du matériel et des utilisateurs. En associant telle adresse IP avec telle adresse MAC, il est plus aisé d’avoir des règles efficaces et statistiques fiables.
Règles personnalisées
L’accès aux règles personnalisées est disponible dans Stratégie auto-définie > Politique. L’onglet « Classe/signature » permettant de voir les stratégies pour un événement. Petite explication : Une stratégie comme « A Network Trojan was detected » a des signatures. Une signature peut être activée ou non. Dans l’exemple ci-dessous, il y a 10616 signatures dont 8689 sont activées par défaut.
Un double clic permet d’afficher le détail des signatures:
La possibilité est offerte d’activer pour une signature son action. Le bouton Configuration par lots permettant d’activer telle ou telle action pour toutes les signatures. C’est a priori puissant… mais je pense qu’il est préférable de ne pas y toucher. C’est louable de la part de Synology d’offrir cette possibilité. Encore un bon point!
L’important… c’est de savoir?
Avec « Vue d’ensemble« , Threat Prevention donne un premier niveau d’information. Si le système démarre, un message s’affichera (cela peut prendre quelques minutes). Lorsque l’application n’est pas active, un bouton s’affichera pour l’activer. Enfin, en bas, la liste des périphériques nécessitant une analyse. Synology a complété cette vue par une vue statistique plus lisible par rapport à la version précédente. Un autre bon point !
Comme dans la version précédente, une vue carte est aussi disponible.
Notifier ou pas… telle est la question!
Attention à ne pas trop recevoir de notifications… Je conseille d’activer le minimum et uniquement sur les événements de type Trojan.
L’essentiel c’est d’agir… parfois
Que faire de tous ces événements, ces statistiques et de ce moteur ?
- Comme le moteur est nettement plus performant, activez l’option « Ignorer automatiquement les paquets à risque élevé« .
- Il est préférable d’avoir des adresses IP avec une réservation DHCP en mode « illimité » afin de pouvoir identifier les appareils qui sont potentiellement à risque.
- Si une IP externe semble fautive, il est possible de créer une règle personnalisée voire de la bloquer complètement au niveau du pare-feu.
- Si une IP interne semble fautive:
- Déterminer le niveau de risque (parfois il s’agit d’une erreur… et dans ce cas il faudra créer une règle personnalisée de type « ne rien faire »)
- Inventorier les applications installées, supprimer l’application si besoin voire bloquer un site
- Éduquer les utilisateurs
Conclusion
A part les petits problèmes de traduction, l’application Threat Prevention est à présent une application fiable et performante permettant de mettre en place une espèce de pare-feu comportementaliste. Aucun pré-requis n’est nécessaire pour activer le mode par défaut (supprimant les paquets à risque élevés). En revanche, l’analyse des paquets nécessite plus de temps et des compétences plus poussées. Cette application ne remplace pas un anti-virus sur un appareil (quand c’est possible), mais elle devrait réduire les risques d’intrusion. Depuis la mise à jour, l’application est activée en permanence sur mon routeur.
Post-Scriptum
J’avais constaté quelques perturbations après mes tests. J’ai donc contacté le support de Synology – qui a été très réactif. Pour le moment, cela semble bien fonctionner (pas de réduction de débit). Le fait d’avoir un environnement de type Linux est un gros plus. Ainsi, le support m’a indiqué comment utiliser la commande htop pour voir l’ensemble des processus (il faut se connecter en root avec le mot de passe admin). Même si l’interface html est vraiment très bien, un accès au processus en temps réel avec ssh est très pratique quand on souhaite aller plus loin. Seuls les firmwares alternatifs comme dd-wrt proposent un accès ssh/telnet. Le matériel est bien conçu, intégrant un logiciel de qualité – avec des contributions open source pour ce paquet – et le service (le support) est là pour aider. C’est donc un bon investissement.