Aller au contenu

Tentatives d'attaque en SSH

byothe
 Partager

Messages recommandés

byothe Explorer

byothe

Posté(e)
Posté(e)

Bonjour,

Depuis quelques jours, je suis victime de tentatives de connexions sur mon NAS en SSH. Je reçois ainsi quelques dizaines de notifications par jour du style :

"L'adresse IP [118.130.133.110] a connu 3 tentatives échouées en essayant de se connecter à SSH ouvert sur **** dans un intervalle de 5 minutes, et a été bloquée à Mon Jun  3 08:27:03 2019."

N'Ă©tant pas trĂšs technique, je ne sais pas si j'encours un risque et ce que je dois faire ?

Merci pour votre aide.

 

0
Varx Collaborator

Varx

Posté(e)
Posté(e)

Bonjour,

Alors oui tu encours un risque. Celui-ci est que si la personne à l'autre bout a des mauvaises intentions, elle peut soit récupérer toutes les infos contenues sur ton NAS et / ou les détruire etc...

Pour limiter cela, tu as des solutions possibles :

  1.  Limiter les connexions en définissant des rÚgles dans ton pare-feu (panneau de configuration / sécurité / pare-feu) il y a un trÚs bon tuto qui parle de cela 

       2. Tu peux également désactiver la fonctionn SSH de ton NAS (panneau de configuration / Terminal et SNMP / terminal / Décocher "activer SSH")

 

Voilà quelques pistes qui t'aideront dans la sécurisation à l'accÚs à ton NAS et qui limiterons les tentatives de connexions non désirées.

0
byothe Explorer

byothe

Posté(e)
  • Auteur
Posté(e)
il y a 9 minutes, Lelolo a dit :

Je pense que si tu te poses la question la réponse est non :biggrin:

oui mais en mĂȘme temps j'avais lu dans le passĂ© que c'Ă©tait l'un des seuls moyens pour rĂ©cupĂ©rer l'accĂšs au NAS en cas de soucis...

0
Varx Collaborator

Varx

Posté(e)
Posté(e)
il y a 2 minutes, byothe a dit :

oui mais en mĂȘme temps j'avais lu dans le passĂ© que c'Ă©tait l'un des seuls moyens pour rĂ©cupĂ©rer l'accĂšs au NAS en cas de soucis...

Tu as raisons. Et dans le cas "OĂč", tu peux activer l'option SSH mais restreindre son accessibilité à ton seul PC / Mac (cela sous entends 1 chose)

1. Dans le pare-feu tu ajoutes une rÚgle autorisant l'accÚs en SSH à partir d'une IP ou d'une plage d'IP de ton réseaux local (souvent en 192.168.X.X) .

0
dd5992 Newbie

dd5992

Posté(e)
Posté(e)

Dans ce cas, le plus simple est de limiter à l'accÚs  au SSH à partir de ton réseau local (à faire en mettant une rÚgle ad hoc dans le pare-feu).

0
byothe Explorer

byothe

Posté(e)
  • Auteur
Posté(e)

Merci !

Donc dans ce cas, il faut que je créer une rÚgle sur le Port utilisé par le SSH dans le part feu ? C'est bien ça ?

Et si je créé un rÚgle spécifique pour le port du SSH, est-ce qu'il faut que je fasse des rÚgles pour les autres ports du coup ?

0
Varx Collaborator

Varx

Posté(e)
Posté(e)
il y a une heure, byothe a dit :

Merci !

Donc dans ce cas, il faut que je créer une rÚgle sur le Port utilisé par le SSH dans le part feu ? C'est bien ça ?

Et si je créé un rÚgle spécifique pour le port du SSH, est-ce qu'il faut que je fasse des rÚgles pour les autres ports du coup ?

Oui, la rÚgle est à créer dans le pare-feu.

Les rÚgles éditées dans le pare-feu vont te permettre d'autoriser / ou de refuser une connexion. Tu auras toutes les infos dans ce tuto "partie sécurité / pare-feu" 

 

0
Varx Collaborator

Varx

Posté(e)
Posté(e)
il y a 29 minutes, byothe a dit :

oui j'ai regardé ce tuto mais il n'est pas assez précis sur ces points

Et bien, les rÚgles définies pour le pare-feu dans le tuto répondrons à ta demande.

Imaginons que tes équipements réseaux (NAS, PC etc...) soient dans un sous réseau en 192.168.0.0 @255.255.0.0. En appliquant la rÚgle ci -dessous tu limitera les connexions à ton NAS à tes seuls équipements. 

Du coup, plus de problÚme de tentative de connexion à ton NAS en SSH  via une IP venant de Corée.

image.png.2203d20226816926484c154316502bb6.png

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

Bonjour,

Il me semble qu'au contraire c'est trÚs précis mais il faut arriver jusque là :

s03.png

AprÚs les autres rÚgles entre la troisiÚme et la quatriÚme ligne ça dépend de ta config.

De mon cÎté je n'ai autorisé que les IP venant de France ou de GB mais cela ça dépend de chacun. En tout cas, avant jamais de nombreuses attaques (surtout en présence du SSH mais pas que) venant majoritairement d'Asie et maintenant quasiment plus une seule.

 

0
dd5992 Newbie

dd5992

Posté(e)
Posté(e) (modifié)

Avec les 4 rÚgles de base proposées par @Fenrir dans son tuto, tu as déjà ce qu'il te faut : Les 3 premiÚres rÚgles autorisent tous les accÚs à partie de ton réseau local et la derniÚre interdit tout le reste. Tu peux insérer d'autres rÚgles (juste avant la 4Úme) si tu veux donner des accÚs de l'extérieur à certains services.

Edit :

@Varx et @Jeff777 : Trois messages simultanĂ©s pour dire la mĂȘme chose, c'est assez exceptionnel!

Modifié par dd5992
0
byothe Explorer

byothe

Posté(e)
  • Auteur
Posté(e)

oui mais justement, n'Ă©tant pas Ă  l'aise avec tout ça, je suis obligĂ© d'ĂȘtre moins sĂ©curitaire... je veux pouvoir avoir accĂšs Ă  mon NAS depuis mon iPhone  en itinĂ©rance ou depuis un ordi portable donc je ne veux pas tout bloquer.

Par contre effectivement je n'ai aucun besoin du SSH Ă  distance...

donc pour l'instant j'ai tout autorisé et j'ai fait une deuxiÚme régle dans laquelle j'exclu le port du SSH en dehors de France (en attendant de rentrer à la maison pour retrouver mon adresse locale)

0
dd5992 Newbie

dd5992

Posté(e)
Posté(e) (modifié)

Si tu restes sur l'idée d'autoriser tout de l'extérieur sauf l'accÚs au port SSH, il suffit de mettre une rÚgle interdisant l'accÚs au port SSH entre les rÚgles donnant accÚs à tout en local et la rÚgle donnant accÚs à tout de l'extérieur.

Dans les rÚgles du pare-feu, la premiÚre rÚgle qui correspond à la situation détermine si l'accÚs est autorisé ou non et les rÚgles suivantes sont ignorées.

Modifié par dd5992
0
byothe Explorer

byothe

Posté(e)
  • Auteur
Posté(e)
à l’instant, dd5992 a dit :

Si tu restes sur l'idée d'autoriser tout de l'extérieur sauf l'accÚs au port SSH, il suffit de mettre une rÚgle interdisant l'accÚs au port SSH entre les rÚgles donnant accÚs à tout en local et la rÚgle donnant accÚs à tout de l'extérieur.

Dans les rÚgles du pare-feu, la premiÚre rÚgle qui correspond à la situation détermine si l'accÚs est autorisé ou non et les rÚgles suivantes sont ignorées.

ok merci c'est ce que je me demandai !

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

Ce que je te conseille c'est de noter les IP des attaques et de voir  d'oĂč elles proviennent (sur internet il y a des sites qui te permettent de localiser une IP. Par exemple :http://www.localiser-ip.com/)

Tu peux alors interdire les IP provenant de cette région en rÚgle N°4.

0
byothe Explorer

byothe

Posté(e)
  • Auteur
Posté(e)
il y a 13 minutes, Jeff777 a dit :

Ce que je te conseille c'est de noter les IP des attaques et de voir  d'oĂč elles proviennent (sur internet il y a des sites qui te permettent de localiser une IP. Par exemple :http://www.localiser-ip.com/)

Tu peux alors interdire les IP provenant de cette région en rÚgle N°4.

ouais merci pour l'astuce !

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
RĂ©pondre Ă  ce sujet


×   CollĂ© en tant que texte enrichi.   Coller en tant que texte brut Ă  la place

  Seulement 75 Ă©moticĂŽnes maximum sont autorisĂ©es.

×   Votre lien a Ă©tĂ© automatiquement intĂ©grĂ©.   Afficher plutĂŽt comme un lien

×   Votre contenu prĂ©cĂ©dent a Ă©tĂ© rĂ©tabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insĂ©rez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • CrĂ©er...

Information importante

Nous avons placĂ© des cookies sur votre appareil pour aider Ă  amĂ©liorer ce site. Vous pouvez choisir d’ajuster vos paramĂštres de cookie, sinon nous supposerons que vous ĂȘtes d’accord pour continuer.