Bonjour,

Hier, pendant 12h, mon NAS a été attaqué, enfin, c'est ce que je pense...

Quelqu'un peut-il m'expliquer ce qu'il s'est passé et comment faire pour éviter de recevoir 200 fois le même message dans le futur ?

Voici le message envoyé par mon routeur :

Citation

La connexion de NAS à 198.27.92[.]1 a été bloquée pour des raisons de sécurité (Malveillant).

Un grand merci pour votre aide.

Bonjour Pinpon_112,

Je préféré recevoir ce type de message que ne rien recevoir et m'apercevoir après que toutes les données sont code sur le nas ?

il y a 33 minutes, Pinpon_112 a dit :

La connexion de NAS à 198.27.92[.]1 a été bloquée pour des raisons de sécurité (Malveillant).

Pour infos c'est une adresse Ip de chez OVH au canada

As tu mis en place ce tutos ? https://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/

 

@firlin,

Merci.  Oui, oui, c'est sécuriser selon le tuto depuis longtemps mais c'est simplement parce que c'est la première fois que je reçois ce genre d'alerte via le routeur et par mail...  Alors, une ou deux fois, c'est bon mais les recevoir 200 fois sur 12 heures, fin de l'attaque j'imagine, c'est pompant...  Mais effectivement, c'est mieux cela que ne plus rien avoir 😉

J'y pense tu n'as pas régler le nombre de tentative avant que l'adresse Ip soit bannis

C'est de cela dont tu parles ?

Dans ce cas, c'était déjà activé...  JE viens juste de mettre l'adresse dans 'Autoriser/Bloquer la liste'

C'est pas là qu'il faut le faire mais au niveau du pare-Feu

Tu dois avoir un truc comme ca normalement c'est expliquer dans le tutos

 

Voilà ce que j'ai :

Si tu veux mon avis tous ce bloc tu peux le déactivé, si ne fais pas de connexion depuis l’extérieur ( a tester)

Mais exposer le port 80 sur l’extérieur a tous le monde c'est pas top (au pire réduit les zone si tu en as besoin )

le port 32400 c'est plex si tu l'as pas sur le nas tu peux le couper

pour le autre je sais pas vu que je connais pas ta config

Merci.  On va voir ce que cela donne dans le futur 😉

Ou si tu utilises le bloc ci-dessus depuis l'extérieur de ton réseau, limite-le à ta zone géographique (pays).

Le port 80 n’est pas obligatoire pour let’s encrypt ?

Ou sinon quel pays doit-on autoriser pour ce dernier ?
L’Angleterre, non ?

@firlin

Bonjour,

il y a 12 minutes, firlin a dit :

Si tu veux mon avis tous ce bloc tu peux le déactivé, si ne fais pas de connexion depuis l’extérieur ( a tester)

Tu es sûr de ton coup là ?

Personnellement, j'avais compris que tout ce qui n'est pas explicitement autorisé est systématiquement refusé par la dernière ligne "tout refuser".

OK pour DNS Serveur (quoi que ) et Terminal chiffré mais s'il n'autorise pas le port :

• 80 --> pas renouvellement du certificat Let's Encrypt (bien qu'on peut limiter au USA)
• 443 --> impossible d'utiliser les URL xxxx.ndd.tld de l'extérieur avec le reverse proxy qui écoute lui en permanencece qui arrive sur  le port 443
• 6690 --> plus de synchronisation avec Drive

Je me trompe ?

Cordialement

oracle7😉

Modifié le 13 février 20214 a par oracle7

il y a 4 minutes, oracle7 a dit :

Tu es sûr de ton coup là ?

Non d’où ma phrase

il y a 16 minutes, firlin a dit :

( a tester)

 

il y a 5 minutes, oracle7 a dit :

Personnellement, j'avais compris que tout ce qui n'est pas explicitement autorisé est systématiquement refusé par la dernière ligne "tout refuser".

Oui sauf que le bloc que j'ai mis est ouvert a tous les vents ce qui n'est pas top et c'est pour cela que  @PiwiLAbruti fait remarque qu'il est préférable de l’ouvrir que sur certain pays

Il y a 2 heures, Pinpon_112 a dit :

Voilà ce que j'ai :

Le DNS Seveur et SSH ouvert dans le pare feu c'est voulu et utilisé à distance.

Si tu utilise le serveur DNS en local, il n'y a rien à ouvrir.

Tous les port ouvert dans le pare-feu sont aussi ouverts (NAT/PAT) sur la BOX/Routeur?

 

Il y a 3 heures, Pinpon_112 a dit :

JE viens juste de mettre l'adresse dans 'Autoriser/Bloquer la liste'

Donc L'IP n'avait pas était bloquée automatiquement.

10 c'est peut être trop (Il peut par exemple faire 1 tentative toute les 1 minutes sans ce faire jamais bloquer). Tu peux diminuer.

 

Modifié le 13 février 20214 a par maxou56

Merci @maxou56,

J'ai diminué les tentatives à 5 sous 1 minute.  Pour l'adresse IP, encore fallait-il la connaître...  La prochaine fois que cela arrive, je saurai quoi faire sauf si je suis pas à la maison...

Merci pour votre aide à tous 😉

Il y a 2 heures, Pinpon_112 a dit :

J'ai diminué les tentatives à 5 sous 1 minute.

Il faut mieux laisser 5min (par ex 5 tentatives en 5 min).

Moi je suis à 3 en 60 minutes 😅

@alan.dub C'est un peu brutal mais très efficace.

Faut pas se planter en effet 😅

Après je n’ai que des « attaques » sur le Mail Server, rien sur le reste (peut être parce que je passe par un Reverse Proxy ?).

Là un humain serait plus efficace qu’un bot pour trouver mes sites et tenter des connexions...