Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)

[adelac]

Bonjour à tous,

Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes.

Le compte admin est désactivé. Donc le risque me semble faible.

Le NAS est en DSM7. Le conseiller de sécurité est réglé sur travail et entreprise et tout est en vert.

Avez-vous des suggestions ? Dois-je faire quelque chose ?

Est-il pertinent de prendre chacune des IP et de les mettre dans le pare-feu du NAS avec refus pour tous les ports ?

Merci d'avance de vos lumières

[PiwiLAbruti]

il y a 34 minutes, adelac a dit :

Est-il pertinent de prendre chacune des IP et de les mettre dans le pare-feu du NAS avec refus pour tous les ports ?

Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS.

[cadkey]

Ton compte admin etant désactivé, aucun risque de connexion via ce compte. risque nul dans ce cas de figure.

[adelac]

Il y a 5 heures, PiwiLAbruti a dit :

Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS.

Je vais bloquer DSM en https pour tout le monde sauf quelques IP, mais je crains de me bloquer moi-même quand je suis en déplacement. Je vais donc regarder comment faire du VPN sur ma box avant de le faire.

En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours).

Depuis que j'ai modifié ça, les IP se bloquent une par une !

Il y a 4 heures, cadkey a dit :

Ton compte admin etant désactivé, aucun risque de connexion via ce compte. risque nul dans ce cas de figure.

Je partage ce point de vue, mais je me demandais comment éliminer d'autres attaques provenant de ces IP.

[cadkey]

il y a 12 minutes, adelac a dit :

En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours).
Depuis que j'ai modifié ça, les IP se bloquent une par une !

Sauf si je me trompe ce reglage s'applique à toi également.
Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter.

[adelac]

Il y a 3 heures, cadkey a dit :

Sauf si je me trompe ce reglage s'applique à toi également.
Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter.

Pour parer à cette éventualité, dans Sécurité/Protection, j'ai cliqué sur le bouton "Autoriser/Bloquer la liste" et dans "Liste des permissions" j'ai mis les IP avec lesquelles je me connecte en local. Donc, normalement, ma propre IP ne devrait pas être bloquée même si je me trompe  deux fois.

En quelques heures déjà 52 IP bloquées... ça fait peur !

[maxou56]

Il y a 13 heures, adelac a dit :

Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes.

Bonjour,

Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...)

Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre?

Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box?

Modifié le 28 juillet 2021 par maxou56

[pluton212+]

Bonjour,

si ça vient de l'étranger tu peux bloquer les ip: les adresses de tes attaques doivent se suivre.

Tu peux n'autoriser que la France dans ton pare-feu (selon tes besoins si d'autres pays sont nécessaires)

et bloquer explicitement les ip par bloc dans les premières règles du pare-feu:

https://cric.grenoble.cnrs.fr/Administrateurs/Outils/CalculMasque/

Modifié le 29 juillet 2021 par pluton212+

[adelac]

Il y a 7 heures, maxou56 a dit :

Bonjour,

Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...)

Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre?

Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box?

C'est uniquement pour DSM. Ca vient probablement du fait que j'ai dirigé www.mondomaine.fr vers le NAS. Je vais peut-être retirer ça et ne laisser que les sous-domaines.

Le pare-feu est bien configuré et SSH n'est pas activé.

Pour la DMZ, je n'ai pas encore bien compris le concept et n'ai pas mis ça en œuvre. Je n'utilise pas la fonction de "configuration du routeur" de DSM. Les ports sont activés dans le pare-feu du NAS et des redirections sont faites dans la box vers le NAS.

[toutnickel]

Bonjour,

 

Depuis que j'ai modifié les notifications journaux en ajoutant "failed" dans le liste j'ai une palanqué de tentatives de connection :

et cela change d'IP a chaque 2ème tentative

que faire pour limiter cela ?

le compte Admin est désactivé mais pour le compte system alors là ??

mon assistance de sécurité est bon ...

 

 

[PiwiLAbruti]

Le meilleur moyen de limiter est d'ajouter des règles de pare-feu en identifiant les sources qui peuvent accéder au port tcp/22 (SSH).

[toutnickel]

@PiwiLAbruti

ce port n'est pas ouvert dans DSM et dans le pare feu.

 

[PiwiLAbruti]

Il l'est nécessairement, sinon il n'y aurait aucune tentative.

[MilesTEG1]

Il y a 11 heures, PiwiLAbruti a dit :

Le meilleur moyen de limiter est d'ajouter des règles de pare-feu en identifiant les sources qui peuvent accéder au port tcp/22 (SSH).

D'après sa capture, c'est sur DSM que les tentatives ont eu lieu, pas en SSH...
C'est donc son port DSM qui est ouvert.

[toutnickel]

@PiwiLAbruti @MilesTEG1

je confirme port 22 et SSH non ouvert

accès DSM oui bien sûr, Ouvert

je bloque le compte a 2 tentatives déjà bloqué cette nuit, mais ce n'est pas comme l'IP ou l'on peut mettre 0 pour bloqué indéfiniment,
pour les comptes on ne peut pas mettre 0

 

 

 

[oracle7]

@toutnickel

Bonjour,

Je penses que @MilesTEG1 en parlant du port DSM, sous-entendait implicitement le port 5001 et/ou 5000.

Cordialement

oracle7😉

[MilesTEG1]

il y a 8 minutes, oracle7 a dit :

Je penses que @MilesTEG1 en parlant du port DSM, sous-entendait implicitement le port 5001 et/ou 5000.

Oui mais aussi le port personnalisé s'il a été changé.

Il faut aussi configurer le pare-feu correctement : 

Il faut n'autoriser que les IP de france et de quelques autres pays dont tu as vraiment besoin.

[PiwiLAbruti]

Ah oui, il s'agit de DSM et non SSH 😅

Quels sont les ports ouverts pour l'accès à DSM ?

Commence déjà par restreindre les connexions à ton pays de résidence dans le pare-feu. Ton DSM n'a probablement pas besoin d'être visible du monde entier.

Modifié le 3 août 2021 par PiwiLAbruti

[church]

Hello !

N'hésite pas à mettre de la double authentification sur le compte systeme également.

[toutnickel]

 

@

Bonjour

oui les ports DSM sont ouverts

par feu comme dans le tuto

 

 

[maxou56]

il y a une heure, toutnickel a dit :

par feu comme dans le tuto

Pas vraiment.

Bonjour, SSH, NTP, serveur DHCP... Ouvert pour le monde entier ?? 🥳

 

Toutes ces règles sont à supprimer, pour le réseau local c'est déjà autorisé dans les 3 suivante "10.0.0.0, 192.168.0.0, 172.16.0.0"

Pour la règle c'est plutôt 192.168.0.0/255.255.0.0, pour toi c'est seulement de 192.168.1.0 à 192.168.1.254

Modifié le 3 août 2021 par maxou56

[cadkey]

Ah oui, la config du Pare-feu fait peur. C'est Open Bar 🙂

[toutnickel]

Open Bar c'est beaucoup dire

j'ai supprimer effectivement NTP, DHCP 

mais les attaques sont uniquement sur le compte admin / DSM 

 

 

Modifié le 4 août 2021 par toutnickel

[maxou56]

il y a 20 minutes, toutnickel a dit :

mais les attaques sont uniquement sur le compte admin / DSM 

Il faut le limité à la France par exemple.

Sur les captures on ne voit pas sur quelle règle le port 5001 dépend si c'est la 1 ou la 4 mais c'est pour la planète entière.

 

Sinon pou le pare-feu, plutôt mettre les règles locales en premières, et les autres règles après pour éviter de te bloquer par exemple. 

il y a 20 minutes, toutnickel a dit :

Open Bar c'est beaucoup dire

Un peu quand même (SSH... ouvert pour tout le monde), après ça dépendait ta BOX/Routeur (Régles NAT/PAT, UPNP)

Modifié le 4 août 2021 par maxou56

[toutnickel]

Bonjour a tous

et merci pour toutes ces informations , j'ai fait un peu de ménage sur les ports ... lol

juste une remarque :

Dans le centre des journaux, avez vous mis dans vos notifications du centre des journaux : failed

et ensuite dans journaux lire en "Local" et "connexion"

peut être que vous serez certainement surpris, car c'est depuis que je l'ai ajouté cette option "failed" que je m'en suis aperçu.

cela serait intéressant de savoir le résultat, en vous remerciant,

très bonne soirée a tous