HommeTranquille Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 (modifié) Depuis hier j'ai eu plus d'une centaine de tentatives d'intrusions sur le port SSH qui ont toutes été repoussées au bout de 3 échecs en moins de 10 minutes. Choses "demi-bizarres" : les adresses IP changent à chaque tentative et semblent venir de tous les pays du monde (sauf Chine et Russie ce qui d'expériences précédentes est un scoop... Je pense à l'utilisation de proxies), Mon port SSH n'était pas le 22 sur le NAT de ma box et était redirigé (j'ai changé ce matin la redirection pour voir et laissé le 22 désactivé) donc les attaques ont eu lieu sur la redirection qui était présente jusqu'à ce matin. Je conviens que le port que j'utilisais était "plutôt facile" à trouver mais "plutôt" ne signifie pas trivial ;-) Si vous avez des recommandations, des suggestions, des idées.... elles seront bienvenues. Modifié le 9 juin 2017 par HommeTranquille 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Bonjour HommeTranquille, Lit ca et applique le en partie ou en totalité tu devrais avoir moins de probléme. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Laisser le ssh accessible de l'extérieur n'est pas vraiment safe. Mieux vaut passer par le VPN pour accéder au NAS en SSH dans un tunnel sécurisé (voir le tuto de Fenrir sur le serveur VPN) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 (modifié) il y a une heure, firlin a dit : Bonjour HommeTranquille, Lit ca et applique le en partie ou en totalité tu devrais avoir moins de probléme. Merci de ton aide mais j'ai déjà fait ce travail (je vais relire quand même)... Ce qui m'inquiète le plus est en amont : Changement permanent des IPs, Découverte du port SSH qui n'était pas standard dans le NAT de ma boxe qui me rassure c'est la betise des "logon id" utilisés.... A part "postgres", et "root" tout le reste est une collection de noms "banals" sauf un "sistemas" qui est peut être "système" en espagnol.... (je ne connais rien en espagnol à part senorita ) il y a une heure, Mic13710 a dit : Laisser le ssh accessible de l'extérieur n'est pas vraiment safe. Mieux vaut passer par le VPN pour accéder au NAS en SSH dans un tunnel sécurisé (voir le tuto de Fenrir sur le serveur VPN) Pour l'instant j'ai redirigé le SSH/22 sur un autre port et cela s'est calmé provisoirement (peut être grâce au décalage horaire des ^pirates").... Aujourd'hui dans le paramétrage du Firewall, j'ai limité les IPs sources pour le port 22 à la France.. Mais je vais probablement travailler à la mise en place du VPN si cela recommence sous peu... Merci. Modifié le 9 juin 2017 par HommeTranquille 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Si tu n'as pas de raison d’ouvrir tous les ports au reste du monde (déplacement fréquent à l’autre bout de la planète ) limite toi à la France et a l'Europe si tu en as besoin. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 En 2017 croire que le changement des ports par défaut est suffisant, c'est aussi futile que de laissé le ssh ouvert sur le net... Tu ne connais pas les scanner de port ? En temps que modérateur je vois ton adresse IP... tu as un nombre incalculable de port ouvert... je te recommande de reprendre le conseil de firlin... j'ai vue le port ftp sur son port par défaut... l'interface du dsm en http, webdav en http, etc.... Tu parles de proxy.. il y a aussi des vpn... et il en existe en france aussi... donc la limitation géographique réduit l'impact, mais ne l'empêche pas... surtout si tu laisses ton nas en openbar 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 (modifié) Je n'ai jamais pensé cela et bien sûr je connais l'existence des scanneurs de ports... C'est une erreur de ma part que d'avoir compté sur le changement de port et d'avoir oublié ce problème... Je le reconnais bien volontiers. Ce qui m'a surpris c'est bien sûr ma propre erreur/mon oubli mais surtout l'attaque directe (du moins en apparence...) du port de substitution que j'avais mis en place. Tu exagères en parlant d'un nombre incalculable de ports ouverts. Moins de 12 et au pif de l'ordre de 10 (je vais vérifier). L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..). FTP n'est pas utilisé sur le NAS. Ce que tu vois c'est l'IP de ma box, pas celle du NAS.... et le trafic FTP est redirigé sur un PC à partir du NAT de la box. Je ne parles pas de proxy ou je deviens dingue et je ne me souviens pas de ce j'ai écrit... Je n'ai rien contre les VPNs même si j'ai toujours craint les problèmes de performance et de facilité de mise en oeuvre... Comme je le dit plus haut, je vais y travailler. PS : Merci quand même de ta réponse même si j'en trouve le ton sévère et un tantinet moqueur. Il y a 3 heures, firlin a dit : Si tu n'as pas de raison d’ouvrir tous les ports au reste du monde (déplacement fréquent à l’autre bout de la planète ) limite toi à la France et a l'Europe si tu en as besoin. Bien compris.. Merci. Modifié le 9 juin 2017 par Mic13710 inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 il y a une heure, HommeTranquille a dit : L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..). Tes logins en clair par exemple ? Comme pour le ftp... Tu parles bien de proxy plus haut, refait la lecture de tes posts... Bref ton nas est une vraie porte ouverte et il est temps que potasse certains post qu'on te recommande, sauf si vraiment tu n'accorde aucune confidentialité aux données que Tu stock sur ton nas et la porte ouverte qu'il donne sur ton réseau interne... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 (modifié) J'ai vérifié les portes du NAS.... 7 sont ouvertes... 8 lorsque le FTP n'est pas fermé.... J'ai passé un scanner de portes (Free Port Scanner de http://www.nsauditor.com) et il me trouve ouvert le port 53 (DNS) qui n'est pas listé dans les ports vu par le NAS... Je peux tenter de le déclarer et de le bloquer dans le NAT de la box mais je vais tenter de glaner des infos là-dessus sur le net avant de faire n'importe quoi. Modifié le 9 juin 2017 par HommeTranquille 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 (modifié) Je fais parti de ceux qui recommandent de ne pas changer les ports par défaut quand c'est possible car ça n'apporte presque rien coté sécurité (c'est même plutôt le contraire dans certains cas). Dans l'absolu, laisser le port SSH ouvert à la planète n'a pour seule conséquence que de remplir les logs SI ET SEULEMENT SI le service est correctement configuré : authentification uniquement par clef Ed25519 ou RSA (>= 4096) root interdit, même avec clef les utilisateurs autorisés ne doivent pas être dans sudo les ciphers ssh doivent être limités ... Dans le cas des Synology, ce n'est pas possible de le configurer correctement => pas de ssh ouvert depuis Internet pour synology il y a une heure, HommeTranquille a dit : L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..). Je te donne un exemple, si tu te connectes depuis un réseau non sécurisé à ton nas en http (par exemple un hotspot, le réseau ouvert des voisins, en 3G/4G) => toutes les personnes à portée peuvent connaitre les login/pass utilisés, modifier les requêtes, modifier les réponses (et t'envoyer ce qui veulent). Idem pour le FTP ou tout autre protocole d'échange non signé. Il y a 5 heures, HommeTranquille a dit : les adresses IP changent à chaque tentative et semblent venir de tous les pays du monde (sauf Chine et Russie ce qui d'expériences précédentes est un scoop... Je pense à l'utilisation de proxies), Pour info, les "pirates" (en pratique il s'agit de programmes 100% automatisé) passent par différents "intermédiaires" pour masquer leurs traces et faire croire qu'ils sont en France, il peut s'agir de proxy, de vpn, de ... mais en pratique c'est rarement utilisé car il est nettement plus simple de se servir de machines infectés dans différents pays (botnet). Modifié le 9 juin 2017 par Fenrir 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 (modifié) @Einsteinium il y a 24 minutes, Einsteinium a dit : Tu parles bien de proxy plus haut, refait la lecture de tes posts... Pardonne mon coté "tête de mule" mais je ne trouve pas cette allusion dans mes écrits... Tu pourrais compter les posts depuis le début et me dire ? @Fenrir Merci de tes infos très utiles pour me faire prendre conscience des risques... Je ne suis pas très inquiet pour HTTP/HTTPS car seuls les comptes users lambda passent par Internet... Les comptes administrateurs, sont utilisés par "bibi" uniquement sur le LAN. J'espère que mon raisonnement tient la route... Modifié le 9 juin 2017 par HommeTranquille -1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Il y a 4 heures, HommeTranquille a dit : @Einsteinium Pardonne mon coté "tête de mule" mais je ne trouve pas cette allusion dans mes écrits... Tu pourrais compter les posts depuis le début et me dire ? Fenrir quote pourtant bien ton message avec le mot clef en gras... Tu utilises un scanner de port alors que tu bloques les pays extérieur à la France Port : 21,1290,2022,5000,5001,5005,5006,5022,9007,9008,13214,22976,59821. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Il y a 4 heures, HommeTranquille a dit : J'espère que mon raisonnement tient la route... Non Il y a 4 heures, Fenrir a dit : modifier les réponses (et t'envoyer ce qui veulent) Je reformule de manière plus explicite. Les trames n'étant pas signées (il ne s'agit même pas de chiffrement ici), un "attaquant" peut facilement se faire passer pour ton serveur (même sans faire de MitM) et t'envoyer des fausses réponses contenant, par exemple, une charge virale (ou n'importe quoi en fait, cookie traceur, image pédopornonazie, redirection vers un site tiers ...). En chiffrant, en plus de protéger le contenu des échanges, les paquets sont signés, donc il n'est plus possible de falsifier les réponses (c'est l'intégrité ci dessous). Citation TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité suivants : l'authentification du serveur ; la confidentialité des données échangées (ou session chiffrée) ; l'intégrité des données échangées ; Dit autrement, il ne faut JAMAIS se connecter à une ressource non chiffrée si on passe par un réseau non fiable. Un site comme ce forum qui ne propose du chiffrement que sur la page de connexion ne devrait pas être consulté depuis un hotspot par exemple. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 (modifié) Je suis bouché mais je ne demande qu'a comprendre... Si j'utilise pas de compte administrateur sur Internet, ils peuvent bricoler ce qu'ils veulent, ils ne pourront pas faire de dégats autres qu'un utilisateur basic qui entrerait sur mon NAS ? Ils ne pourront pas utiliser les privilèges d'un utilisateur admis comme admin ? Non ? Désolé d'être si long à comprendre mais quelque chose doit m'échapper.... Il y a 3 heures, Einsteinium a dit : Fenrir quote pourtant bien ton message avec le mot clef en gras... Tu utilises un scanner de port alors que tu bloques les pays extérieur à la France Port : 21,1290,2022,5000,5001,5005,5006,5022,9007,9008,13214,22976,59821. Fenrir doit probablement le faire mais je ne vois rien... Tu ne veux pas me dire où ? je dois être c... mais sincèrement je ne vois rien. J'ai utilisé le scanner sur une machine sur le LAN qui lui est autorisé. Ces plages d'adresses sont autorisées chez moi. 192.168.0.0 - 192.168.255.255 (65,536 IP addresses) 172.16.0.0 - 172.31.255.255 (1,048,576 IP addresses) 10.0.0.0 - 10.255.255.255 (16,777,216 IP addresses) Le scanner de port scanne en standard les portes 21-23,25,53,80,110,135,137-139,443,445,1080,1433,3128,3306,8080 auquel j'ajouté quelques portes redirigées.... et j'ai été surpris de trouver le port 53 (DNS) ouvert alors qu'il n'est pas mentionné dans le NAT de ma boxe. Modifié le 9 juin 2017 par HommeTranquille inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 9 juin 2017 Partager Posté(e) le 9 juin 2017 Je ne parle pas de la sécurité du serveur, mais du client. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 9 juin 2017 Auteur Partager Posté(e) le 9 juin 2017 il y a 4 minutes, Fenrir a dit : Je ne parle pas de la sécurité du serveur, mais du client. OK.. Je comprend ENFIN ;-) Ce fut laborieux mais on y arrive.... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 10 juin 2017 Partager Posté(e) le 10 juin 2017 Il y a 8 heures, HommeTranquille a dit : Je suis bouché mais je ne demande qu'a comprendre... Si j'utilise pas de compte administrateur sur Internet, ils peuvent bricoler ce qu'ils veulent, ils ne pourront pas faire de dégats autres qu'un utilisateur basic qui entrerait sur mon NAS ? Ils ne pourront pas utiliser les privilèges d'un utilisateur admis comme admin ? Non ? Désolé d'être si long à comprendre mais quelque chose doit m'échapper.... Un exemple concret : Bref... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
HommeTranquille Posté(e) le 10 juin 2017 Auteur Partager Posté(e) le 10 juin 2017 @einsteinium Merci de toutes ces infos - j'ai de la lecture pour un moment ;-) - Je vais explorer tout cela et cela va le faire du bien aux méninges car j'ignorais ce type d'attaque sur le matériel Synology mais j'aurais dû m'en douter car aucun matériel/logiciel n'est à l'abri de ces "co.....ards" 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.