Attaque sur SSH alors qu'il est désactivé

[thefbi]

Bonjour,

j'ai un petit souci, j'ai de temps en temps un message qui me dit qu'une adresse IP a été bloquée car elle a essayé 10 fois d'accéder à SSH ouvert sur mon cloud.

Donc, comme je ne l'utilise pas (le ssh), je me suis dit que j'allais cherché comment le désactivé. J'ai trouvé qu'il fallait aller dans Terminal et SNMP, mais là, la case de "Activer le service SSH" n'est pas cochée. Donc, comment peut-on attaquer un service inactif ? 

Ou alors, je n'ai pas trouvé le bon endroit...

Merci pour votre aide.

Frédéric

[catimimi]

Bonjour,

Personnellement, j'édite le fichier "/etc/services" et je change les ports telnet et ssh. Ensuite pour appeler ssh je fais "ssh IP port".

Ensuite je bloque les ports d'origine sur le routeur.

Cordialement.

Michel.

 

[PiwiLAbruti]

Il y a 16 heures, thefbi a dit :

Donc, comment peut-on attaquer un service inactif ?

Les requêtes externes parviennent jusqu'au NAS car tu as redirigé le port tcp/22 vers l'adresse IP du NAS dans les règles PAT de ta box/routeur.

[devildant]

Bonjour,

 

le service SFTP doit être activé :)

 

[loli71]

Ou bien tu utilises le service de sauvegarde réseau (rsync) avec encryption (SSH) mais dans tous les cas comme le dit Piwi :

il y a une heure, PiwiLAbruti a dit :

Les requêtes externes parviennent jusqu'au NAS car tu as redirigé le port tcp/22 vers l'adresse IP du NAS dans les règles PAT de ta box/routeur

Modifié le 4 juillet 2016 par loli71

[thefbi]

OK, merci pour ces réponses, je vais suivre ces pistes. Je précise par contre que mon NAS est en ligne, dans un datacenter et non physiquement chez moi.

[loli71]

Donc cela veut dire qu'il est connecté directement à internet ?

Dans ce cas, je te conseille mettre des règles de firewall pour tout refuser sauf les ports spécifiques dont tu as vraiment besoin (en gardant une entrée de secours pour tous les protocoles depuis une adresse IP fixe d'un PC si tu as cela).

Et si tu utilises SCP et/ou la sauvegarde réseau encryptée, tu devrais aussi changer le port SSH utilisé par défaut.

[thefbi]

OK ok... 

J'avoue que je m'y perd un peu avec ce pare-feu. Ce que j'ai fait au niveau du NAS, c'est changer les ports par défaut HTTP et HTTPS.

Donc, j'ai besoin de pouvoir monter mes disques depuis un Mac et un PC, j'imagine que je dois donc autoriser :

- Serveur de fichiers Windows
- Partage de fichiers avec Mac

J'utilise aussi mon NAS comme serveur de sauvegarde via FTP.

J'aurais un IP fixe d'ici quelques jours, je reviendrai donc sur l'idée.

Si je verrouille tout, ne vais-je pas me bloquer l'accès à l'admin ???

 

 

Ha et oui, il est connecté directement à internet.

[thefbi]

Re, je me répond, voici ce que j'ai fait actuellement dans mon pare-feu :

Tout verrouillé sauf :

- Accès interface de gestion (donc mes ports modifiés HTTP et HTTPS). J'ai vu que je ne pouvais me verrouiller, car le par-feu refuse si je me bloque, bien ça :)
- Partage Mac et Windows (sinon, je monte plus sur Mac, j'ai pas encore réussi à monter sur PC...)

J'ai activé ces ports pour les régions Suisse (ou je réside) et France (pour partage avec belle-famille).

Modifié le 4 juillet 2016 par thefbi

[loli71]

Ouf ... moi je dirais que c'est chaud de chez chaud un partage windows ouvert sur internet ..... mais bon .. à toi de voir

J'ai un peu de mal à comprendre ce que tu souhaites faire exactement, mais je pense qu'il doit exister d'autres moyen que de devoir monter des disques distant sous windows par internet ;-)

[thefbi]

Ben en fait, j'utilise le NAS pour stocker mes photos, vidéos et dossiers. Mon but étant de tout avoir sur le NAS. Donc, si je veux utiliser mes fichiers qui sont sur mes dossiers, je me connecte au serveur et monte mes dossiers partagés. 

C'est pas juste ainsi ?

[loli71]

Ben pas quand le nas est héberger directement sur internet et donc ouvert à toutes les attaques ..enfin c'est mon avis hein ;-)

il existe d'autres possibilités proposées par le NAS synology autre que le partage windows ou Mac (surtout utilisé en LAN !!!!) :

- FileStation intégré à l'interface Web du NAS: qui permet de voir aussi bien les répertoires/fichiers du NAS que ceux de ton PC de manière sécurisé

- WebDav intégré au NAS (avec une configuration en https pour la sécurisation)

- Mapper des connexions SFTP (donc utilisant le ssh) depuis windows et mac (ceux ne sont que des exemples trouvés par google):

     o windows: https://www.eldos.com/sftp-net-drive/

     o mac : http://prendreuncafe.com/blog/post/2007/05/30/Monter-un-lecteur-reseau-SSH/SFTP-sous-Mac-OS-X

     o mac et windows: http://www.tux-planet.fr/monter-un-dossier-distant-avec-sshfs/

 

Modifié le 4 juillet 2016 par loli71

[thefbi]

OK,

je te remercie pour ces informations, je vais donc fermer les portes et tester ces autres moyens. On trouve beaucoup d'info sur les Synology, mais il est vrai qu'il faut différencier que la plupart du temps ils sont configurer en local... 

Je suis donc content d'en apprendre un peu plus, surtout pour ma sécurité :)

[loli71]

il y a 13 minutes, thefbi a dit :

mais il est vrai qu'il faut différencier que la plupart du temps ils sont configurer en local... 

C'est exactement çà ;-)

Tu peux aussi jeter un coup d'oeil là dessus : http://www.tux-planet.fr/monter-un-dossier-distant-avec-sshfs/

Edit: oublie mon dernier lien, le site web n'existe plus ...regarde plutot là: https://github.com/dokan-dev/dokan-sshfs

Modifié le 4 juillet 2016 par loli71

[thefbi]

Hello,

oui, j'ai vu :) Bon, je trouve un peu problématique de devoir installer plusieurs petits programmes pour faire ce que je veux, c'est moins propre à mon goût.

Je suis en train de voir avec le cloud synch qui m'a l'air quand même assez bien. La question c'est que soit je fait de la synchro et donc je me retrouve avec 300G sur 3 ordinateurs + le serveur, soit je trouve un moyen d'accéder au NAS et je n'ai donc pas cette réplication.

Que penses-tu de faire un VPN avec le NAS ? De cette manière, je devrait pouvoir monter mon réseau VPN depuis mes différents ordi et donc me connecter à mes disques partagé, de manière sécurisée ?

[loli71]

Je ne vais pas pouvoir te répondre sur le VPN, je ne l'utilise pas pour ma part, et je ne sais pas si l'utilisation du VPN est compatible avec le partage Windows/Mac ... surtout dans ton cas .. avec ton serveur étant hébergé directement sur internet ...

[thefbi]

Merci quand même, mais je pense que je vais opter pour la synchro avec Cloud station drive, c'est ce qui me prendra le moins la tête et les possibilité de configurations sont assez élargies.

Je ferais certainement un essai de VPN par la suite et reviendrai poster ici mes résultats :)

[PAB52]

Le 04/07/2016 à 11:09, loli71 a dit :

Ou bien tu utilises le service de sauvegarde réseau (rsync) avec encryption (SSH) mais dans tous les cas comme le dit Piwi :

Salut. C'est exactement mon cas. J'ai des tentatives de connexion bloquées sur SSH ouvert depuis n'importe où dans le monde alors que le SSH n'est pas activé sur le Syno (du moins case non cochée dans Panneau de conf > Terminal) et que les règles du pare-feu autorisent uniquement les connexions depuis la France (pour tous les services). Par contre en effet j'utilise rsync avec encryption pour synchro avec un autre syno. Sais-tu comment faire pour bloquer ces tentatives de connexions tout en permettant le rsync ? Merci

[PiwiLAbruti]

Ce n'est pas parce que les services du NAS sont uniquement ouverts aux adresse IP françaises qu'il ne peut pas y avoir d'attaques depuis ces dernières.

Si la cible rsync est connue, autant créer une règle dédiée qui n'autorise que cette adresse IP plutôt que d'ouvrir le service rsync à toute la France.