D

[17795]

Bonjour,

J'ai remarqué que j'ai des tentatives de connexion d'IP extérieures en SSH. J'ai paramétré le NAS pour qu'elles soient blacklistées après x tentatives, mais j'aimerais agir en amont. Elles surviennent la plupart du temps la nuit (chez moi), j'aimerais donc couper automatiquement l'accès à certaines heures, par exemple de 22h à 6h.

Savez-vous si c'est possible ? Je n'ai pas trouvé cette fonctionnalité dans l'interface de gestion j'ai le dernier DSM 5.0), ni sur la doc ou le forum.

Merci pour vos réponses.

Edit 06/05 : résolu avec le post #3 (à mettre en tâches planifiées)

Modifié le 6 mai 2014 par 17795

[gaetan.cambier]

le + simple serait via le firewall bloquer ssh et ne l'autoriser que pour une liste d'ip ou de subnet

tu aura ne protection 24/24h sur+ de 99% des ip

edit :

ou alors j'ai vu dans le dernier changelog du dsm du 24/04 que l'on a la fonction geoip pour bloquer/autoriser les connection, piste interessante peut etre

Modifié le 24 avril 2014 par Gaetan Cambier

[CoolRaoul]

je proposerai volontiers un arret et un redémarrage du service ssh aux heures souhaitées via le gestionnaire de tache DSM:

• Commande d'arret:
  

  /usr/syno/sbin/synoservicecfg --stop ssh-shell

• Commande de démarrage:
  

  /usr/syno/sbin/synoservicecfg --start ssh-shell

[Oooops!]

Bonsoir,

à quoi cela sert-il de désactiver SSH puisque telnet est toujours opérationnel (cf de PiwiLAbruti) ?

[CoolRaoul]

à quoi cela sert-il de désactiver SSH puisque telnet est toujours opérationnel (cf de PiwiLAbruti) ?

J'imagine qu'il s'agit du du service telnet est activé lors d'une mise a jour du NAS (pour débugger une update qui coince)

En effet, Il n'y à rien en écoute du port telnet (23) sur mon NAS:

fserv> netstat -nptl | grep :23
<rien ici>

Pour comparaison, la meme commande sur le port 22 (ssh) :

fserv> netstat -nptl | grep :22
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      27200/sshd
tcp        0      0 ::%22:22                :::*                    LISTEN      27200/sshd

Mais de toutes les façons, tant qu'on n'a pas fait de redirection dans le routeur vers le port 23 du NAS, telnet ne serait accessible que de l'intérieur (réseau local)

Modifié le 24 avril 2014 par CoolRaoul

[Oooops!]

Re-,

merci pour ces précisions; et pour voir si j'ai bien compris:

1) ce que tu as écrit (et que voulait aussi dire PiwiLAbruti) c'est que c'est l'installation d'une màj qui déclenche temporairement l'activation du service telnet?

Et accessoirement, peut-être aussi quand on utilise SynoAssistant pour ré-installer DSM?

2) De l'autre côté, ce que tu montres en ssh correspond au service activé, mais si ssh était désactivé on aurait la même chose que ce que tu montres pour telnet?

3) Et ta dernière phrase implique que si on n'accède pas à son Syno de l'extérieur -càd pas de redirection des ports 22 ou 23- mais uniquement à partir du réseau local, il n'y a pas moins de "sécurité" en utilisant telnet que ssh?

[Edit]

J'ai testé chez moi les commandes que tu indiques, et j'ai des résultats inverses: a priori parce que j'utilise telnet et que ssh est désactivé.

[Fin Edit]

Modifié le 25 avril 2014 par Oooops!

[CoolRaoul]

1. oui
2. oui
3. oui

[17795]

Ok déjà vous me confirmez que c'est impossible nativement.

Je vais relire vos explications et essayer de bien comprendre, avant de faire des bêtises

[PiwiLAbruti]

Tu dois simplement utiliser les commandes d'arrêt et de démarrage que CoolRaoul t'a données dans le planificateur de tâches intégré au DSM.

C'est tout ce qu'il y a de plus natif, même si j'en conviens un novice préfèrera pouvoir sélectionner le service SSH directement dans la configuration d'une tâche planifiée.

[17795]

Mais ces commandes sont à lancer manuellement si j'ai bien compris. Or je voudrais que ce soit fait automatiquement. C'est possible ça ?

[PiwiLAbruti]

Une fois planifiées, ces commandes s'exécutent automatiquement selon la planification choisie.

As-tu au moins essayé de les ajouter au planificateur de tâches ?

[17795]

Oui mais je n'ai pas validé car je crains de me tromper.

Faut-il mettre les deux commandes l'une en dessous de l'autre (dans la même tâche) ? Ou créer deux tâches différentes (avec chacune une seule ligne) ?

[Jok R]

On me corrigera si je me trompe mais il semble évident qu'il faut écrire 2 tâches différentes.

Celle "stop" qui commencera à l'heure programmée

Celle "start" qui commencera à l'heure programmée

Dans ce créneau de temps, le SSH sera fermé.

Je viens de les ajouter, je vous direz si je constate une amélioration car les attaques sont en forte augmentation ces jours-ci

[17795]

Merci Jok R, je vais les ajouter aux tâches planifiées.

[PiwiLAbruti]

Oui, il faut évidemment créer deux tâches car le démarrage et l'arrêt du service se font à des heures différentes.

[17795]

Bonjour,

JokR as-tu vu une améliorations sur les attaques nocturnes alors ?

Je viens de regarder mes logs, j'ai aussi des tentatives par FTP. Savez-vous si les deux commandes sont adaptables ?

Modifié le 7 mai 2014 par 17795

[Jok R]

Et bien cela n'a pas empêché les attaques de cette nuit.

Si vous avez une solution pour se débarrasser de ces attaques, je suis preneur.

[Fravadona]

Comment vois-tu que l'on t'attaque ? Si le service SSH est inactif tu ne verras pas grand chose dans les logs systemes.

[PiwiLAbruti]

C'est normal qu'il y ait des attaques si le port tcp/22 est ouvert, et je ne vois pas en quoi le fait qu'elles soient bloquées par DSM soit un problème.

Il n'y a aucun moyen d'empêcher ces attaques car il y a tout un tas de machines qui font des scans de ports en permanence et essaient de se connecter aux services découverts.

Il y a plusieurs solutions possibles pour les limiter ou les bloquer, mais pas les empêcher :

• Fermer le port tcp/22 (même fermé il y a des tentatives sur votre adresse IP publique, mais vous ne les voyez pas),
• Utiliser un port externe différent dans la règle NAT : tcp/12322 distant -> tcp/22 local,
• Laisser faire le blocage automatique du DSM,
• Limiter les adresses/réseaux IP en créant une/des règles dans le pare feu du DSM,
• Utiliser en amont une connexion VPN de façon à ne pas avoir à ouvrir le port tcp/22 (ce que je fais),
• Résilier son abonnement internet,
• Prier,
• Devenir membre d'une organisation terroriste,
• Atomiser la Chine et la Russie,
• Déménager sur Mars,
• ...

[17795]

Oui donc comment les bloquer ou limiter, si on ne peut pas les empêcher ? C'est la question initiale.

S'il n'y a pas d'autre solution que prier ou aller sur Mars, autant le dire de suite, ça évitera de chercher pour rien.

[PiwiLAbruti]

C'est une blague ? Je te donne des solutions dans mon précédent message...

[Odeon1384]

Piwi, reste Zen.

[17795]

Oui c'est une blague, je répondais à la tienne. Toutes tes options ne sont pas sérieuses, si ?

Parmi celles qui le sont, y en a-t-elles qui sont configurables avec le DSM ?

Modifié le 8 mai 2014 par 17795

[PiwiLAbruti]

Je ne pense pas qu'il soit si compliqué de distinguer celles qui sont sérieuses des autres.

Celles compatibles avec le DSM sont indiquées dans mon message, mais je reste zen ;-)

[Jok R]

Comment vois-tu que l'on t'attaque ? Si le service SSH est inactif tu ne verras pas grand chose dans les logs systemes.

Et bien j'ai reçu des mails de notification des tentatives de connexion.