Aller au contenu

Tentatives d'attaque en SSH


Messages recommandés

Bonjour,

Depuis quelques jours, je suis victime de tentatives de connexions sur mon NAS en SSH. Je reçois ainsi quelques dizaines de notifications par jour du style :

"L'adresse IP [118.130.133.110] a connu 3 tentatives échouées en essayant de se connecter à SSH ouvert sur **** dans un intervalle de 5 minutes, et a été bloquée à Mon Jun  3 08:27:03 2019."

N'étant pas très technique, je ne sais pas si j'encours un risque et ce que je dois faire ?

Merci pour votre aide.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Alors oui tu encours un risque. Celui-ci est que si la personne à l'autre bout a des mauvaises intentions, elle peut soit récupérer toutes les infos contenues sur ton NAS et / ou les détruire etc...

Pour limiter cela, tu as des solutions possibles :

  1.  Limiter les connexions en définissant des règles dans ton pare-feu (panneau de configuration / sécurité / pare-feu) il y a un très bon tuto qui parle de cela 

       2. Tu peux également désactiver la fonctionn SSH de ton NAS (panneau de configuration / Terminal et SNMP / terminal / Décocher "activer SSH")

 

Voilà quelques pistes qui t'aideront dans la sécurisation à l'accès à ton NAS et qui limiterons les tentatives de connexions non désirées.

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Lelolo a dit :

Je pense que si tu te poses la question la réponse est non :biggrin:

oui mais en même temps j'avais lu dans le passé que c'était l'un des seuls moyens pour récupérer l'accès au NAS en cas de soucis...

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, byothe a dit :

oui mais en même temps j'avais lu dans le passé que c'était l'un des seuls moyens pour récupérer l'accès au NAS en cas de soucis...

Tu as raisons. Et dans le cas "Où", tu peux activer l'option SSH mais restreindre son accessibilité à ton seul PC / Mac (cela sous entends 1 chose)

1. Dans le pare-feu tu ajoutes une règle autorisant l'accès en SSH à partir d'une IP ou d'une plage d'IP de ton réseaux local (souvent en 192.168.X.X) .

Lien vers le commentaire
Partager sur d’autres sites

Merci !

Donc dans ce cas, il faut que je créer une règle sur le Port utilisé par le SSH dans le part feu ? C'est bien ça ?

Et si je créé un règle spécifique pour le port du SSH, est-ce qu'il faut que je fasse des règles pour les autres ports du coup ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, byothe a dit :

Merci !

Donc dans ce cas, il faut que je créer une règle sur le Port utilisé par le SSH dans le part feu ? C'est bien ça ?

Et si je créé un règle spécifique pour le port du SSH, est-ce qu'il faut que je fasse des règles pour les autres ports du coup ?

Oui, la règle est à créer dans le pare-feu.

Les règles éditées dans le pare-feu vont te permettre d'autoriser / ou de refuser une connexion. Tu auras toutes les infos dans ce tuto "partie sécurité / pare-feu" 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, byothe a dit :

oui j'ai regardé ce tuto mais il n'est pas assez précis sur ces points

Et bien, les règles définies pour le pare-feu dans le tuto répondrons à ta demande.

Imaginons que tes équipements réseaux (NAS, PC etc...) soient dans un sous réseau en 192.168.0.0 @255.255.0.0. En appliquant la règle ci -dessous tu limitera les connexions à ton NAS à tes seuls équipements. 

Du coup, plus de problème de tentative de connexion à ton NAS en SSH  via une IP venant de Corée.

image.png.2203d20226816926484c154316502bb6.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il me semble qu'au contraire c'est très précis mais il faut arriver jusque là :

s03.png

Après les autres règles entre la troisième et la quatrième ligne ça dépend de ta config.

De mon côté je n'ai autorisé que les IP venant de France ou de GB mais cela ça dépend de chacun. En tout cas, avant jamais de nombreuses attaques (surtout en présence du SSH mais pas que) venant majoritairement d'Asie et maintenant quasiment plus une seule.

 

Lien vers le commentaire
Partager sur d’autres sites

Avec les 4 règles de base proposées par @Fenrir dans son tuto, tu as déjà ce qu'il te faut : Les 3 premières règles autorisent tous les accès à partie de ton réseau local et la dernière interdit tout le reste. Tu peux insérer d'autres règles (juste avant la 4ème) si tu veux donner des accès de l'extérieur à certains services.

Edit :

@Varx et @Jeff777 : Trois messages simultanés pour dire la même chose, c'est assez exceptionnel!

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

oui mais justement, n'étant pas à l'aise avec tout ça, je suis obligé d'être moins sécuritaire... je veux pouvoir avoir accès à mon NAS depuis mon iPhone  en itinérance ou depuis un ordi portable donc je ne veux pas tout bloquer.

Par contre effectivement je n'ai aucun besoin du SSH à distance...

donc pour l'instant j'ai tout autorisé et j'ai fait une deuxième régle dans laquelle j'exclu le port du SSH en dehors de France (en attendant de rentrer à la maison pour retrouver mon adresse locale)

Lien vers le commentaire
Partager sur d’autres sites

Si tu restes sur l'idée d'autoriser tout de l'extérieur sauf l'accès au port SSH, il suffit de mettre une règle interdisant l'accès au port SSH entre les règles donnant accès à tout en local et la règle donnant accès à tout de l'extérieur.

Dans les règles du pare-feu, la première règle qui correspond à la situation détermine si l'accès est autorisé ou non et les règles suivantes sont ignorées.

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

à l’instant, dd5992 a dit :

Si tu restes sur l'idée d'autoriser tout de l'extérieur sauf l'accès au port SSH, il suffit de mettre une règle interdisant l'accès au port SSH entre les règles donnant accès à tout en local et la règle donnant accès à tout de l'extérieur.

Dans les règles du pare-feu, la première règle qui correspond à la situation détermine si l'accès est autorisé ou non et les règles suivantes sont ignorées.

ok merci c'est ce que je me demandai !

Lien vers le commentaire
Partager sur d’autres sites

Ce que je te conseille c'est de noter les IP des attaques et de voir  d'où elles proviennent (sur internet il y a des sites qui te permettent de localiser une IP. Par exemple :http://www.localiser-ip.com/)

Tu peux alors interdire les IP provenant de cette région en règle N°4.

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Jeff777 a dit :

Ce que je te conseille c'est de noter les IP des attaques et de voir  d'où elles proviennent (sur internet il y a des sites qui te permettent de localiser une IP. Par exemple :http://www.localiser-ip.com/)

Tu peux alors interdire les IP provenant de cette région en règle N°4.

ouais merci pour l'astuce !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.