Blocage Ip ;(

[fact]

Bonjour a tous

Un vilain internaute essaie (120 fois) depuis le 27 octobre... de pénétrer mon serveur NAS (DS213+ -DSM 4.3) sur le port SSH (qui n'est pas ouvert pour le moment) j'ai mis le blocage auto d'I-P et normalement au bout de 3 fois en 1 minute l'I-P est bloqué sauf qu'il arrive à déjouer le blocage que puis-je faire de plus ?

Merci de vos conseils

L'ip du vilain 184.154.99.234

Modifié le 31 octobre 2013 par fact

[Patrick21]

Bonjour

tu mets 3 fois en 5 minutes ou 10 minutes

ca sera mieux, il sera bloqué, sinon il va continuer a buriner ton nas

Patrick

[fact]

Merci pour ta réponse mais ce que je voudrais savoir c'est comment lui, il arrive à contourné la blocage I-P normalement puisqu'il est bloqué il ne devrait plus pour y arriver ?

[CoolRaoul]

Tu as bien écrit que le port SSH n'était "pas ouvert pour le moment" ?

Par conséquent, le blocage d'IP ne joue aucune rôle dans ce cas sur le port SSH et, en outre, je ne comprend pas sur quoi tu te bases pour dire que le blocage d'IP avait été contourné .

[fact]

hmmm je me base sur les log's (ma boule de cristal et cassé ) pourquoi certains essayes et sont bloqués sur le port ssh (le service n'est pas actif) et lui il y arrive ?

Il ne peut pas y avoir 2 poids et 2 mesures !

Modifié le 31 octobre 2013 par fact

[CoolRaoul]

Et si tu nous montrais un extrait de ces logs?

Si, comme tu le dis, le port ssh n'est pas ouvert (aur passage peux-tu donner plus de détails par ce que tu veux dire par la ?) , je ne vois pas comment on peut constater une connexion ssh dans quelque log que ce soit

Modifié le 31 octobre 2013 par CoolRaoul

[Fravadona]

Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible

Au pire tu peux l'ajouter manuellement a la liste des IP bloquees

---------

Perso j'ai eu quelques petits malins qui tentaient des connexiona a intervalles superieurs a mon autoblock, du coup je ne permets plus qu'une tentative de connexion avant blocage;

faut pas se louper mais j'ai mis une IP Whitelistee qui me permet de me debloquer moi meme en cas de fausse manip.

PS: je vais bientot feter ma 2000 ieme IP bloquee en meme pas 1 an

Modifié le 31 octobre 2013 par Fravadona

[fact]

Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible

Au pire tu peux l'ajouter manuellement a la liste des IP bloquees

---------

Perso j'ai eu quelques petits malins qui tentaient des connexiona a intervalles superieurs a mon autoblock, du coup je ne permets plus qu'une tentative de connexion avant blocage;

faut pas se louper mais j'ai mis une IP Whitelistee qui me permet de me debloquer moi meme en cas de fausse manip.

PS: je vais bientot feter ma 2000 ieme IP bloquee en meme pas 1 an

c'est compliqué pour mettre une capture d'écran sur ce forum !

Sinon quand tu indique que "Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible" alors la je suis dubitatif parce que j'ai des ip auto-bloqué sur ce service qui n'est pas actif pour le moment !

[CoolRaoul]

Ce log montre que, contrairement à ce que tu penses, ton service SSH *est* actif

Et en outre, si tu as des traces de connexions reussies (non bloquées donc) c'est tout betement qu'elle viennent d'une autre IP qu'une de celles qui ont été bloquées et que le gugusse a trouvé le mot de passe.

[Fravadona]

Je corrige un peu ma formulation : "Si SSH n'est pas démarré (actif) alors SSH ne fait rien : pas de blocage, pas de message de log, pas de connexion, etc"

[fact]

PasCOOLRAOUL le service n'est pas coché dans l'interface du syno... et que pour le moment je n'ai jamais dit qu'il y avait des connexions réussies ! tu t'avance énormément quand à la découverte de mes mots de passe sur le syno laisse

moi rire encore un peu avec plus de 20 caractères !!!! il aura plus de chance de trouver une faille que le mot de passe !!!

[CoolRaoul]

PasCOOLRAOUL le service n'est pas coché dans l'interface du syno... et que pour le moment je n'ai jamais dit qu'il y avait des connexions réussies ! tu t'avance énormément quand à la découverte de mes mots de passe sur le syno laisse

moi rire encore un peu avec plus de 20 caractères !!!! il aura plus de chance de trouver une faille que le mot de passe !!!

Tu a bien écris, je cite, "sauf qu'il arrive à déjouer le blocage"? Arriver à déjouer le blocage, si il ne s'agit pas d'une connexion réussie, de quoi s'agit-il alors?

**edit**

Si si le service n'est pas coché alors qu'on constate qu'il crache des logs c'est franchement zarbi

Je te conseille de redémarrer ton NAS puis de tester une connexion ssh en local, juste pour voir

Modifié le 31 octobre 2013 par CoolRaoul

[fact]

Ok je parles ici de déjouer " l'auto-blocage I-P" pas de connexion réussie et ce n'est pas la 1er fois que je constate ce phénomènes des i-p peuvent essayer de se connecter 3 ou 4,5 fois en 1 minutes et sans que l'auto-blocage empêches les vilains internautes de tester !

Modifié le 31 octobre 2013 par fact

[CoolRaoul]

Ok je parles ici de déjouer " l'auto-blocage I-P" pas de connexion réussie et ce n'est pas la 1er fois que je constate ce phénomènes des i-p peuvent essayer de se connecter 3 ou 4,5 fois en 1 minutes et sans que l'auto-blocage empêches les vilains internautes de tester !

Il aurait fallu commencer par nous montrer les logs mettant ce phénomène en évidence plutôt que la log précédente qui ne montre que les cas ou ça fonctionne comme prévu

Mais, vu que ton service SSH, bien qu'inactivé dans le panneau de conf apparaît toujours actif , serait pas étonnant qu'il soit dans un état un peu ... brumeux.

Commence par relancer la NAS pour que déja tout se remette d"équerre et ensuite on verra.

Modifié le 31 octobre 2013 par CoolRaoul

[fact]

Donc après moult vérification

j'ai éteins le NAS hier soir !

Voila ce que j'ai au niveau des services !

Modifié le 31 octobre 2013 par fact

[CoolRaoul]

T'inquiete, on ne met pas ta parole en doute quand tu dis que la case n'est pas coché.

Mais si tu pouvais faire ce qu'on te demande (redémarrer et revérifier si ssh est bien désacrivé) on pourrait avancer.

[fact]

pas pour le moment ... il est en fonction pour une tite entreprise qui bosse avec. je pourrais le faire demain ou ce week-end

Merci !

[devildant]

bonjour,

je pense que vous n'avez pas fait les maj de sécurité de dsm 4.3.

de plus bloquer le port 22 au niveau de votre routeur, vous n'aurez plus d'attaque.

[CoolRaoul]

de plus bloquer le port 22 au niveau de votre routeur, vous n'aurez plus d'attaque.

Pas besoin de le bloquer, suffit de ne pas avoir mis une règle de redirection (à moins que le NAS soit configuré en DMZ)

Si on a effectivement besoin de disposer d'une connexion ssh de l'extérieur, une autre option, qui fait nettement baisser le volume des attaques, utiliser un autre numero de port que le 22, avec une règle de redirection sur le port 22 du NAS.

Possible aussi de configurer le firewall du NAS pour limiter à une liste d'IP "amies" et connues celles autorisées en entrée sur le port 22.

[Fravadona]

Donc tu vois des connexions echouees dans tes logs mais qui n'aboutissent pas sur un bloquage.

Si tu as plusieurs IPs dispo alors tente un petit truc :

Initialises une connexion sans envoyer le mot de passe; le serveur SSH restera en attente et ne devrait pas bloquer ton IP. Le comportement du service SSH dans ce cas-la peut etre revelateur pour un analyste: il pourra determiner la version de logiciel SSH, le systeme d'exploitation, si l'utilisateur est valide, etc ...

[CoolRaoul]

Initialises une connexion sans envoyer le mot de passe; le serveur SSH restera en attente et ne devrait pas bloquer ton IP.

Ah oui, bien vu: le blocage ne se fait qu'en cas d'echec effectif de connexion (mauvais mot de passe ou utilisation d'une clé inconnue).

Une connexion ouverte puis fermée sans tentative de login n’entraîne effectivement pas de blocage.

Modifié le 31 octobre 2013 par CoolRaoul

[fact]

Ok merci pour vos réponses .

JE n'ai pas la main sur le routeur c'est bouyguetel qui m'ouvre et ferme les ports a la demande et c'est payant 45 € la demande donc quand un port et ouvert tu le garde ouvert moi j'ai juste la gestions du NAS et après le NAS ! et comme je ne suis pas dans les locaux de l'entreprise il me faut le SSH a disposition et le VPN que j'active uniquement quand j'ai besoin !

Sinon j'accède par le port 5001 par le navigateur

Modifié le 31 octobre 2013 par fact

[devildant]

Pas besoin de le bloquer, suffit de ne pas avoir mis une règle de redirection (à moins que le NAS soit configuré en DMZ)

c'est ce que je voulais dire