Aller au contenu

Attaques Ssh Non Bloqu


Asaiel

Messages recommandés

Bonjour à tous,

Je viens vers vous pour une demande bien particulière, un fait intervenu hier soir et que je ne parviens pas à expliquer.

D'abord, quelques infos concernant la configuration:

- DS209 avec SSH activé

- site distant de mon domicile (donc IP différente)

- Derrière une freebox parametrée en mode routeur, avec les bonnes redirections de port en ce qui concerne l'accès SSH (22)

Les paramètres du pare-feu:

mini_125251parefeu.jpg

Pour la 1ère ligne, le masque de sous-réseau est: 255.255.255.0

Pour la 2ème ligne, j'ai masqué mon IP privée (celle de mon domicile). J'ai ajouté cette règle pour que les connexions SSH ne soient possibles que depuis mon domicile, ou dans le LAN.

Hors, ce matin, je constate qu'il y a eu plusieurs attaques SSH dans la nuit, dont les IP ont été bloquées:

mini_628175logs.jpg

Ma question est la suivante: Pour être bloquées, il y a forcément eu x tentatives de login. Comment ces adresses IP ont-elles pu accéder à la commande de login en SSH sans être bloquées par le pare-feu en amont?

NB: J'ai effectué un test de connexion depuis un autre ordinateur, situé sur troisième site (donc encore une IP différente), et je n'ai pas pu accéder à la commande de login, alors que depuis chez moi (IP autorisée au niveau du pare-feu), c'est OK...

Modifié par Asaiel
Lien vers le commentaire
Partager sur d’autres sites

Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall

le firewall du dsm emet des notification, mais c'est desactivable

si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé

Lien vers le commentaire
Partager sur d’autres sites

Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall

le firewall du dsm emet des notification, mais c'est desactivable

Non, le firewall de logge pas les connexions qu'il a bloqué.

L'option de notification qui apparait dans ses parametres ("M’avertir quand des applis ou services sont bloqués par le pare-feu et fournir l’option de débloquer ce service ou cette appli.") ne s'applique que lorsque on active un nouveau package pour prévenir si il y a des ports à ouvrir et proposer de le faire.

si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé

Ce type de message (mise en blacklist) apparait sous forme de *notification*, pas dans les journaux.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Et merci à tous les deux de vos réponses.

CoolRaoul, je te rejoins sur ta dernière réponse. Je suis actuellement en déplacement, mais je vérifierai pour le client VPN dès mon retour, et je vous tiendrai informés.

Bonne soirée à tous,

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.