Aller au contenu

Messages recommandés

Bonjour,

J'ai remarqué que j'ai des tentatives de connexion d'IP extérieures en SSH. J'ai paramétré le NAS pour qu'elles soient blacklistées après x tentatives, mais j'aimerais agir en amont. Elles surviennent la plupart du temps la nuit (chez moi), j'aimerais donc couper automatiquement l'accès à certaines heures, par exemple de 22h à 6h.

Savez-vous si c'est possible ? Je n'ai pas trouvé cette fonctionnalité dans l'interface de gestion j'ai le dernier DSM 5.0), ni sur la doc ou le forum.

Merci pour vos réponses.

Edit 06/05 : résolu avec le post #3 (à mettre en tâches planifiées)

Modifié par 17795
Lien vers le commentaire
Partager sur d’autres sites

le + simple serait via le firewall bloquer ssh et ne l'autoriser que pour une liste d'ip ou de subnet

tu aura ne protection 24/24h sur+ de 99% des ip

edit :

ou alors j'ai vu dans le dernier changelog du dsm du 24/04 que l'on a la fonction geoip pour bloquer/autoriser les connection, piste interessante peut etre ;)

Modifié par Gaetan Cambier
Lien vers le commentaire
Partager sur d’autres sites

à quoi cela sert-il de désactiver SSH puisque telnet est toujours opérationnel (cf de PiwiLAbruti) ?

J'imagine qu'il s'agit du du service telnet est activé lors d'une mise a jour du NAS (pour débugger une update qui coince)

En effet, Il n'y à rien en écoute du port telnet (23) sur mon NAS:

fserv> netstat -nptl | grep :23
<rien ici>

Pour comparaison, la meme commande sur le port 22 (ssh) :

fserv> netstat -nptl | grep :22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      27200/sshd
tcp        0      0 ::%22:22                :::*                    LISTEN      27200/sshd

Mais de toutes les façons, tant qu'on n'a pas fait de redirection dans le routeur vers le port 23 du NAS, telnet ne serait accessible que de l'intérieur (réseau local)

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Re-,

merci pour ces précisions; et pour voir si j'ai bien compris:

1) ce que tu as écrit (et que voulait aussi dire PiwiLAbruti) c'est que c'est l'installation d'une màj qui déclenche temporairement l'activation du service telnet?

Et accessoirement, peut-être aussi quand on utilise SynoAssistant pour ré-installer DSM?

2) De l'autre côté, ce que tu montres en ssh correspond au service activé, mais si ssh était désactivé on aurait la même chose que ce que tu montres pour telnet?

3) Et ta dernière phrase implique que si on n'accède pas à son Syno de l'extérieur -càd pas de redirection des ports 22 ou 23- mais uniquement à partir du réseau local, il n'y a pas moins de "sécurité" en utilisant telnet que ssh?

[Edit]

J'ai testé chez moi les commandes que tu indiques, et j'ai des résultats inverses: a priori parce que j'utilise telnet et que ssh est désactivé.

[Fin Edit]

Modifié par Oooops!
Lien vers le commentaire
Partager sur d’autres sites

Tu dois simplement utiliser les commandes d'arrêt et de démarrage que CoolRaoul t'a données dans le planificateur de tâches intégré au DSM.

C'est tout ce qu'il y a de plus natif, même si j'en conviens un novice préfèrera pouvoir sélectionner le service SSH directement dans la configuration d'une tâche planifiée.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

On me corrigera si je me trompe mais il semble évident qu'il faut écrire 2 tâches différentes.

Celle "stop" qui commencera à l'heure programmée

Celle "start" qui commencera à l'heure programmée

Dans ce créneau de temps, le SSH sera fermé.

Je viens de les ajouter, je vous direz si je constate une amélioration car les attaques sont en forte augmentation ces jours-ci

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

JokR as-tu vu une améliorations sur les attaques nocturnes alors ?

Je viens de regarder mes logs, j'ai aussi des tentatives par FTP. Savez-vous si les deux commandes sont adaptables ?

Modifié par 17795
Lien vers le commentaire
Partager sur d’autres sites

C'est normal qu'il y ait des attaques si le port tcp/22 est ouvert, et je ne vois pas en quoi le fait qu'elles soient bloquées par DSM soit un problème.

Il n'y a aucun moyen d'empêcher ces attaques car il y a tout un tas de machines qui font des scans de ports en permanence et essaient de se connecter aux services découverts.

Il y a plusieurs solutions possibles pour les limiter ou les bloquer, mais pas les empêcher :

  • Fermer le port tcp/22 (même fermé il y a des tentatives sur votre adresse IP publique, mais vous ne les voyez pas),
  • Utiliser un port externe différent dans la règle NAT : tcp/12322 distant -> tcp/22 local,
  • Laisser faire le blocage automatique du DSM,
  • Limiter les adresses/réseaux IP en créant une/des règles dans le pare feu du DSM,
  • Utiliser en amont une connexion VPN de façon à ne pas avoir à ouvrir le port tcp/22 (ce que je fais),
  • Résilier son abonnement internet,
  • Prier,
  • Devenir membre d'une organisation terroriste,
  • Atomiser la Chine et la Russie,
  • Déménager sur Mars,
  • ...
Lien vers le commentaire
Partager sur d’autres sites

Oui donc comment les bloquer ou limiter, si on ne peut pas les empêcher ? C'est la question initiale.

S'il n'y a pas d'autre solution que prier ou aller sur Mars, autant le dire de suite, ça évitera de chercher pour rien.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.