Dimebag Darrell Posté(e) le 7 juillet 2020 Partager Posté(e) le 7 juillet 2020 Bonsoir tout le monde, Actuellement, je fais face à une tentative massive de connections en SSH sur mon NAS, essentiellement des IP étrangère (Chine, USA, Seychelle...) Malgré avoir désactivé le DDNS de mon NAS, les attaques continuent (mon NAS est tjs accessible en local 192.168.x.x) Je ne sais pas d'où ça pourrait bien venir Voici un log des différentes tentatives... Je suis à cours d'idées, les tentatives s'espacent mais sont tjs présentes 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) il y a une heure, Dimebag Darrell a dit : Actuellement, je fais face à une tentative massive de connections en SSH sur mon NAS, essentiellement des IP étrangère (Chine, USA, Seychelle...) Malgré avoir désactivé le DDNS de mon NAS, les attaques continuent (mon NAS est tjs accessible en local 192.168.x.x) Bonjour, Désactiver le DDNS ne change rien (le DDNS fait juste les liens avec ton IP, or l’ip est toujours accessible, jusqu’au changement si l’IP est dynamique) Second point, vérifier les réglages du pare-feu du NAS et les règles de routage sur la Box/Routeur (NAT-PAT) et si ce n’est déjà fait désactiver l’UPnP sur la Box/Routeur. Car d’après la capture le port 22 (SSH) est accessible à distance ⚠️ (le pare feu de ton NAS semble mal configuré ainsi que l’ouverture des ports sur la Box/Routeur) Modifié le 8 juillet 2020 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 (modifié) Merci Voici les règles firewall Bizarrement, le SSH est désactivé sur le NAS lui même La dernière règle est en refusée Modifié le 8 juillet 2020 par Dimebag Darrell 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 Sans les adresses IP, on ne peut pas savoir si tes règles de pare-feu sont bonnes ou non. Il este inutile de masquer le adresses IP privées, masque seulement les adresse IP publiques personnelles (s'il y en a). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 oups sorry 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 Bonjour Dimebag Darrell, Si je peux me permettre ( les autre confirmeront ou pas) Tu mets en 1er 10.0.0.0/255.0.0.0 ensuite 172.16.0.0/255.0.0.0 192.168.0.0/255.0.0.0 Belgiques puis la dernière Tous le reste tu peux le décocher (a moins que tu es besoin de tous cela en extérieur dans ces cas il te faut spécifier le pays, la tu as ouvert les port a toute la planète). En clair tu as trop de truc faut simplifier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) il y a une heure, firlin a dit : ensuite 172.16.0.0/255.0.0.0 192.168.0.0/255.0.0.0 Heu non attention là ça couvre aussi des IP publiques. C'est respectivement 172.16.0.0/255.240.0.0 et 192.168.0.0/255.255.0.0 au minimum pour couvrir les réseaux privés. Modifié le 8 juillet 2020 par .Shad. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 il y a une heure, firlin a dit : Bonjour Dimebag Darrell, Si je peux me permettre ( les autre confirmeront ou pas) Tu mets en 1er 10.0.0.0/255.0.0.0 ensuite 172.16.0.0/255.0.0.0 192.168.0.0/255.0.0.0 Belgiques puis la dernière Tous le reste tu peux le décocher (a moins que tu es besoin de tous cela en extérieur dans ces cas il te faut spécifier le pays, la tu as ouvert les port a toute la planète). En clair tu as trop de truc faut simplifier Par rapport à comment sécuriser son NAS (voir tuto), j'ai suivi ce qui était indiqué comme élémentaire SI vous avez des recommandations, je suis preneur Pour info, SSH est désactivé sur mon NAS, mais j'ai toujours des tentatives... bizarres non ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 J'entends bien mais d’après le tutos c'est beaucoup plus simple niveau adresse au niveau du pare-feux sachant que si tu utilise pas la place 10.0.0.0/255.0.0.0 et 172.16.0.0/255.0.0.0 tu peux les supprimer ce qui nous pose problème c'est l’ouverture des tous ces ports 32400, 6690, etc si tu en as pas besoin au niveau extérieur tu peux les désactiver. Pour ma part j'ai ça 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 Merci beaucoup, J'ai néanmoins une question, certes simpliste, mais comment se fait-il que le protocol SSH rejeté la connection, hors que celui-ci est hors service sur le NAS 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Juan luis Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) il y a une heure, Dimebag Darrell a dit : Par rapport à comment sécuriser son NAS (voir tuto), j'ai suivi ce qui était indiqué comme élémentaire SI vous avez des recommandations, je suis preneur Pour info, SSH est désactivé sur mon NAS, mais j'ai toujours des tentatives... bizarres non ? Bonjour, Est ce que le modem de ton fournisseur internet possède un FW ? Est ce que tu as configuré du "port forwarding " ? , Car déjà à ce niveau tu devrais pouvoir limiter les connexions entrantes. Est ce que tu n’aurai pas également service de VPN dans ton réseau ? Modifié le 8 juillet 2020 par Juan luis 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 il y a 4 minutes, Juan luis a dit : Bonjour, Est ce que le modem de ton fournisseur internet possède un FW ? Est ce que tu as configuré du "port forwarding " ? , Car déjà à ce niveau tu devrais pouvoir limiter les connexions entrantes. Mon modem est en DMZ Par contre, derrière celui-ci, j'ai installé un security gateway (UNIFI), sur lequel, j'ai installé toutes mes règles 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Juan luis Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) Je pense que tu veux dire que c'est ton "security gateway" qui est en DMZ . Dans ce cas c'est lui qui est en frontal. A mon avis tu devrais aussi vérifier les règles de cet équipement car ça semble être une porte ouverte . Modifié le 8 juillet 2020 par Juan luis 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 (modifié) Enfait, de gauche à droite Internet ----- Modem (DMZ) ---- USG Unifi (Firewall, DHCP Server, VPN Server, Security) ---- Switch Unifi ----- Synology ------ Tous les différents clients (WIFI via access point) et RJ45 Modifié le 8 juillet 2020 par Dimebag Darrell 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 Bonjour, @Dimebag Darrell Déjà la première ligne "tous les ports du NAS ouvert pour toutes les IP Belge" ?? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 il y a 1 minute, maxou56 a dit : Bonjour, @Dimebag Darrell Déjà la première ligne "tous les ports du NAS ouvert pour toutes les IP Belge" ?? Oui, car je veux y avoir accès depuis l'extérieur Pour info, je viens de faire un scan online et les ports ouverts sont 80 et 443 via Angry IP Scanner : Ports: 53,443,1337,49200 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) il y a 23 minutes, Dimebag Darrell a dit : Oui, car je veux y avoir accès depuis l'extérieur ??? Cette ligne n'est pas bonne. Je le répète cela veut dire que tu as autorisé tous les ports du NAS pour toutes les IP de Belgique. Donc pour la Belgique le pare-feu est comme désactivé ⚠️, alors oui ton routeur filtre les ports (mais si tu le configure mal, bug, piratage, UPnP... Ton NAS sera complètement ouvert). Il faut ouvrir que les ports nécessaires et n'autoriser que quelques zones géographique nécessaire. Par ex le 32400 autorisé pour la Belgique seulement plutôt que pour le monde entier. Petite question, tu as besoin d'autant de ports d'ouverts dans les pare-feu du NAS? En local tous les ports sont déjà autorisé (via les règles 2,3 et 4 de la capture) Il y a 6 heures, Dimebag Darrell a dit : Je traduit en mots ton pare-feu: Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit. Modifié le 8 juillet 2020 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Juan luis Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 il y a 22 minutes, maxou56 a dit : Je traduit en mots ton pare-feu: Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit. Tout dépend de ce qui est configuré dans le USG Unifi . Il est vrai que de mettre 2 FW en cascade n'est pas une bonne idée ça devient compliqué. Peut être que le USG Unifi ,bien configuré , serait suffisant. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 Il y a 5 heures, Dimebag Darrell a dit : J'ai néanmoins une question, certes simpliste, mais comment se fait-il que le protocol SSH rejeté la connection, hors que celui-ci est hors service sur le NAS Le port tcp/22 est ouvert si SFTP est activé même si SSH est désactivé. Je ne sais pas si la règle de blocage fonctionne pour "Toutes les interfaces" (sélectionné en haut à droite). Je préfère créer les règles de pare-feu directement sur l'interface concernée ("LAN 1") et ne rien mettre dans "Toutes les interfaces". 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 sur mon USG, les port 443 et 80 sont ouverts, c'est tout Quand je fais un test via Angry IP, il ne voit que les ports 53,443,1337,49200 (bizarrement il me trouve le port 53 et 1337 et 49200) Je reviens par rapport à ta remarque, comment devrais-je dès lors configurer le firewall sur le NAS Il y a 6 heures, maxou56 a dit : ??? Cette ligne n'est pas bonne. Je le répète cela veut dire que tu as autorisé tous les ports du NAS pour toutes les IP de Belgique. Donc pour la Belgique le pare-feu est comme désactivé ⚠️, alors oui ton routeur filtre les ports (mais si tu le configure mal, bug, piratage, UPnP... Ton NAS sera complètement ouvert). Il faut ouvrir que les ports nécessaires et n'autoriser que quelques zones géographique nécessaire. Par ex le 32400 autorisé pour la Belgique seulement plutôt que pour le monde entier. Petite question, tu as besoin d'autant de ports d'ouverts dans les pare-feu du NAS? En local tous les ports sont déjà autorisé (via les règles 2,3 et 4 de la capture) Je traduit en mots ton pare-feu: Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) Il y a 4 heures, PiwiLAbruti a dit : Je ne sais pas si la règle de blocage fonctionne pour "Toutes les interfaces" (sélectionné en haut à droite). Les règles de "Toutes les interfaces" sont prioritaires sur les règles des autres interfaces (LAN1, LAN2... BOND, VPN). Donc si on bloque dans "toutes les interface", le blocage sera effectif pour les autres interfaces (même si une il y a une règle contraire dans par ex LAN1). il y a 8 minutes, Dimebag Darrell a dit : sur mon USG, les port 443 et 80 sont ouverts, c'est tout Quand je fais un test via Angry IP, il ne voit que les ports 53,443,1337,49200 (bizarrement il me trouve le port 53 et 1337 et 49200) Les test d'ouverture de port ne sont pas fiable, si il voit un port ouvert, c'est qu'il est ouvert, pas contre l'inverse n'est pas vrai. Car si le port est ouvert, mais qu'il n'y a aucun service qui répond, ou si la réponse met trop de temps, ils considèrent le port comme fermé. Modifié le 8 juillet 2020 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 8 juillet 2020 Auteur Partager Posté(e) le 8 juillet 2020 il y a 4 minutes, maxou56 a dit : Les règles de "Toutes les interfaces" sont prioritaires sur les règles des autres interfaces (LAN1, LAN2... BOND, VPN). Donc si on bloque dans "toutes les interface", le blocage sera effectif pour les autres interfaces (même si une il y a une règle contraire dans par ex LAN1). Les test d'ouverture de port ne sont pas fiable, si il voit un port ouvert, c'est qu'il est ouvert, pas contre l'inverse n'est pas vrai. Car si le port est ouvert, mais qu'il n'y a aucun service qui répond, ou si la réponse met trop de temps, ils considèrent le port comme fermé. Si tu devais donner un exemple de règle à mettre en place dans le firewall, je suis preneur 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 8 juillet 2020 Partager Posté(e) le 8 juillet 2020 (modifié) Il y a 3 heures, Dimebag Darrell a dit : Si tu devais donner un exemple de règle à mettre en place dans le firewall, je suis preneur 😉 L'exemple du tuto: Edit: Exemples pour toi, comme tu souhaites uniquement avoir les ports 80 et 443 d'ouverts sur l'extérieur. (j'ai rajouté Hyper Backup pour l'exemple) Ports 80 et 443 uniquement ouverts pour la France. Et pour tous désactivé (à réactiver pour le renouvellement des certificats). Idem, ports 80 et 443 ouverts pour la France et vers les USA (pour le renouvellement de certificats par exemple) Autre exemple: si tu souhaite que les ports 80 et 443 soit accessible partout dans le monde, sauf pour certains pays à risques (Chine, Russie....) Modifié le 9 juillet 2020 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 9 juillet 2020 Auteur Partager Posté(e) le 9 juillet 2020 Merci @maxou56 Le dernière exemple ressemble beaucoup à ma config, Pour info, les attaques ont stoppé, c'était un port que j'utilisais en SFTP qui étaient ouverts 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 9 juillet 2020 Auteur Partager Posté(e) le 9 juillet 2020 Suite aux différents conseils concernant la configuration du firewall, je viens de faire un sacré nettoyage ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.