Aller au contenu

Hacking - Multiple tentatives de connections en SSH sur mon NAS


Messages recommandés

Bonsoir tout le monde,

Actuellement, je fais face à une tentative massive de connections en SSH sur mon NAS, essentiellement des IP étrangère (Chine, USA, Seychelle...)
Malgré avoir désactivé le DDNS de mon NAS, les attaques continuent (mon NAS est tjs accessible en local 192.168.x.x)
Je ne sais pas d'où ça pourrait bien venir

Voici un log des différentes tentatives...

Je suis à cours d'idées, les tentatives s'espacent mais sont tjs présentes

 

Capture d’écran 19.png

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Dimebag Darrell a dit :

Actuellement, je fais face à une tentative massive de connections en SSH sur mon NAS, essentiellement des IP étrangère (Chine, USA, Seychelle...)
Malgré avoir désactivé le DDNS de mon NAS, les attaques continuent (mon NAS est tjs accessible en local 192.168.x.x)

Bonjour,

Désactiver le DDNS ne change rien (le DDNS fait juste les liens avec ton IP, or l’ip est toujours accessible, jusqu’au changement si l’IP est dynamique)

Second point, vérifier les réglages du pare-feu du NAS et les règles de routage sur la Box/Routeur (NAT-PAT) et si ce n’est déjà fait désactiver l’UPnP sur la Box/Routeur.

Car d’après la capture le port 22 (SSH) est accessible à distance ⚠️ (le pare feu de ton NAS semble mal configuré ainsi que l’ouverture des ports sur la Box/Routeur)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Dimebag Darrell,

Si je peux me permettre ( les autre confirmeront ou pas)

Tu mets en 1er 10.0.0.0/255.0.0.0

ensuite 172.16.0.0/255.0.0.0

192.168.0.0/255.0.0.0

Belgiques

puis la dernière

Tous le reste tu peux le décocher (a moins que tu es besoin de tous cela en extérieur  dans ces cas il te faut spécifier le pays, la tu as ouvert les port a toute la planète).

En clair tu as trop de truc faut simplifier

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, firlin a dit :

ensuite 172.16.0.0/255.0.0.0

192.168.0.0/255.0.0.0

Heu non attention là ça couvre aussi des IP publiques. C'est respectivement 172.16.0.0/255.240.0.0 et 192.168.0.0/255.255.0.0 au minimum pour couvrir les réseaux privés.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, firlin a dit :

Bonjour Dimebag Darrell,

Si je peux me permettre ( les autre confirmeront ou pas)

Tu mets en 1er 10.0.0.0/255.0.0.0

ensuite 172.16.0.0/255.0.0.0

192.168.0.0/255.0.0.0

Belgiques

puis la dernière

Tous le reste tu peux le décocher (a moins que tu es besoin de tous cela en extérieur  dans ces cas il te faut spécifier le pays, la tu as ouvert les port a toute la planète).

En clair tu as trop de truc faut simplifier

Par rapport à comment sécuriser son NAS (voir tuto), j'ai suivi ce qui était indiqué comme élémentaire

SI vous avez des recommandations, je suis preneur

Pour info, SSH est désactivé sur mon NAS, mais j'ai toujours des tentatives... bizarres non ?

Lien vers le commentaire
Partager sur d’autres sites

J'entends bien mais d’après le tutos c'est beaucoup plus simple niveau adresse au niveau du pare-feux

sachant que si tu utilise pas la place 10.0.0.0/255.0.0.0 et 172.16.0.0/255.0.0.0  tu peux les supprimer

ce qui nous pose problème c'est l’ouverture des tous ces ports 32400, 6690, etc si tu en as pas besoin au niveau extérieur tu peux les désactiver.

Pour ma part j'ai ça

image.png.2b64a0cdc52e95503c3fa08957395932.png

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Dimebag Darrell a dit :

Par rapport à comment sécuriser son NAS (voir tuto), j'ai suivi ce qui était indiqué comme élémentaire

SI vous avez des recommandations, je suis preneur

Pour info, SSH est désactivé sur mon NAS, mais j'ai toujours des tentatives... bizarres non ?

Bonjour,

Est ce que le modem de ton fournisseur internet possède un FW ? Est ce que tu as configuré du "port forwarding " ? , Car déjà à ce niveau tu devrais pouvoir limiter les connexions entrantes.

Est ce que tu n’aurai pas également service de VPN dans ton réseau ?

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Juan luis a dit :

Bonjour,

Est ce que le modem de ton fournisseur internet possède un FW ? Est ce que tu as configuré du "port forwarding " ? , Car déjà à ce niveau tu devrais pouvoir limiter les connexions entrantes.

Mon modem est en DMZ

Par contre, derrière celui-ci, j'ai installé un security gateway (UNIFI), sur lequel, j'ai installé toutes mes règles

Lien vers le commentaire
Partager sur d’autres sites

Enfait, de gauche à droite

Internet ----- Modem (DMZ) ---- USG Unifi (Firewall, DHCP Server, VPN Server, Security) ---- Switch Unifi -----  Synology

                                                                                                                                                                                    ------  Tous les différents clients (WIFI via access point) et RJ45

 

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, maxou56 a dit :

Bonjour,

@Dimebag Darrell

Déjà la première ligne "tous les ports du NAS ouvert pour toutes les IP Belge" ??

Oui, car je veux y avoir accès depuis l'extérieur

Pour info, je viens de faire un scan online et les ports ouverts sont 80 et 443

via Angry IP Scanner : Ports:    53,443,1337,49200

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, Dimebag Darrell a dit :

Oui, car je veux y avoir accès depuis l'extérieur

??? Cette ligne n'est pas bonne. Je le répète cela veut dire que tu as autorisé tous les ports du NAS pour toutes les IP de Belgique. Donc pour la Belgique le pare-feu est comme désactivé ⚠️, alors oui ton routeur filtre les ports (mais si tu le configure mal, bug, piratage, UPnP... Ton NAS sera complètement ouvert).

 

Il faut ouvrir que les ports nécessaires et n'autoriser que quelques zones géographique nécessaire.

Par ex le 32400 autorisé pour la Belgique seulement plutôt que pour le monde entier.

 

Petite question, tu as besoin d'autant de ports d'ouverts dans les pare-feu du NAS? En local tous les ports sont déjà autorisé (via les règles 2,3 et 4 de la capture)

 

 

Il y a 6 heures, Dimebag Darrell a dit :

Capture d’écran 21.png

Je traduit en mots ton pare-feu:

Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, maxou56 a dit :

Je traduit en mots ton pare-feu:

Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit.

Tout dépend de ce qui est configuré dans le USG Unifi .

Il est vrai que de mettre 2 FW en cascade n'est pas une bonne idée ça devient compliqué. Peut être que le USG Unifi ,bien configuré , serait suffisant.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Dimebag Darrell a dit :

J'ai néanmoins une question, certes simpliste, mais comment se fait-il que le protocol SSH rejeté la connection, hors que celui-ci est hors service sur le NAS

Le port tcp/22 est ouvert si SFTP est activé même si SSH est désactivé.

Je ne sais pas si la règle de blocage fonctionne pour "Toutes les interfaces" (sélectionné en haut à droite). Je préfère créer les règles de pare-feu directement sur l'interface concernée ("LAN 1") et ne rien mettre dans "Toutes les interfaces".

Lien vers le commentaire
Partager sur d’autres sites

sur mon USG, les  port 443 et 80 sont ouverts, c'est tout
Quand je fais un test via Angry IP, il ne voit que les ports  53,443,1337,49200 (bizarrement il me trouve le port 53 et 1337 et 49200)

 

Je reviens par rapport à ta remarque, comment devrais-je dès lors configurer le firewall sur le NAS

Il y a 6 heures, maxou56 a dit :

??? Cette ligne n'est pas bonne. Je le répète cela veut dire que tu as autorisé tous les ports du NAS pour toutes les IP de Belgique. Donc pour la Belgique le pare-feu est comme désactivé ⚠️, alors oui ton routeur filtre les ports (mais si tu le configure mal, bug, piratage, UPnP... Ton NAS sera complètement ouvert).

 

Il faut ouvrir que les ports nécessaires et n'autoriser que quelques zones géographique nécessaire.

Par ex le 32400 autorisé pour la Belgique seulement plutôt que pour le monde entier.

 

Petite question, tu as besoin d'autant de ports d'ouverts dans les pare-feu du NAS? En local tous les ports sont déjà autorisé (via les règles 2,3 et 4 de la capture)

 

 

Je traduit en mots ton pare-feu:

Tous les ports ouverts pour la Belgique, puis tous les ports ouvert en local, puis le port 5679 ouvert au monde entier, puis le 32400 ouvert au monde entier........... Puis a la fin, tous ce qui n'est pas autorisé plus haut est interdit.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, PiwiLAbruti a dit :

Je ne sais pas si la règle de blocage fonctionne pour "Toutes les interfaces" (sélectionné en haut à droite).

Les règles de "Toutes les interfaces" sont prioritaires sur les règles des autres interfaces (LAN1, LAN2... BOND, VPN).

Donc si on bloque dans "toutes les interface", le blocage sera effectif pour les autres interfaces (même si une il y a une règle contraire dans par ex LAN1).

 

il y a 8 minutes, Dimebag Darrell a dit :

sur mon USG, les  port 443 et 80 sont ouverts, c'est tout
Quand je fais un test via Angry IP, il ne voit que les ports  53,443,1337,49200 (bizarrement il me trouve le port 53 et 1337 et 49200)

Les test d'ouverture de port ne sont pas fiable, si il voit un port ouvert, c'est qu'il est ouvert, pas contre l'inverse n'est pas vrai.

Car si le port est ouvert, mais qu'il n'y a aucun service qui répond, ou si la réponse met trop de temps, ils considèrent le port comme fermé.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, maxou56 a dit :

Les règles de "Toutes les interfaces" sont prioritaires sur les règles des autres interfaces (LAN1, LAN2... BOND, VPN).

Donc si on bloque dans "toutes les interface", le blocage sera effectif pour les autres interfaces (même si une il y a une règle contraire dans par ex LAN1).

 

Les test d'ouverture de port ne sont pas fiable, si il voit un port ouvert, c'est qu'il est ouvert, pas contre l'inverse n'est pas vrai.

Car si le port est ouvert, mais qu'il n'y a aucun service qui répond, ou si la réponse met trop de temps, ils considèrent le port comme fermé.

Si tu devais donner un exemple de règle à mettre en place dans le firewall, je suis preneur 😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Dimebag Darrell a dit :

Si tu devais donner un exemple de règle à mettre en place dans le firewall, je suis preneur 😉

L'exemple du tuto:

s14.png

Edit: Exemples pour toi, comme tu souhaites uniquement avoir les ports 80 et 443 d'ouverts sur l'extérieur. (j'ai rajouté Hyper Backup pour l'exemple)

Ports 80 et 443 uniquement ouverts pour la France. Et pour tous désactivé (à réactiver pour le renouvellement des certificats).

739900333_Capturedcran2020-07-0901_06_57.thumb.jpg.a25f6e1f2e905209bb07b07dd1f204b4.jpg

Idem, ports 80 et 443 ouverts pour la France et vers les USA (pour le renouvellement de certificats par exemple)

1860825586_Capturedcran2020-07-0901_03_42.thumb.jpg.3c4c080921ebc09f671a9ecafaa4101e.jpg

Autre exemple: si tu souhaite que les ports 80 et 443 soit accessible partout dans le monde, sauf pour certains pays à risques (Chine, Russie....)

330593434_Capturedcran2020-07-0901_02_16.thumb.jpg.1072a18242fc7f8523f3693d579d70ac.jpg

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.