oliviervdb Posté(e) le 22 mars 2015 Partager Posté(e) le 22 mars 2015 Hello, Je suis regulierement informé que des IP ont été bloquées suite a plusieurs tentatives de connection. Le sujet ici n'est pas comment bien parametres sont Syno (desactiver le port 22, le changer, rerouter vie le routeur, mots de passé fort...ect) Je connais tt ca, et d'autres sujet en discute deja largement. Ma question est plus lié a "l'attaquant". S'il est facile de trouver l'IP qui a tenté de se connecter, ainsi que le login qu'il a essayé (via le centre de journaux), je ne sais pas comment voir le ou les mots de passe essayés. Je suppose que c'est qq part enregistré dans un log, mais où et comment le consulter? nb: si je pose la question, c'est que depuis 2j, je suis attaqué par une "organisation" asiatique, qui change d'adresse de machine tt les 3-4 min. par exemple, après 3 tentatives bloqués avec l'adresse 103.41.124.121, il passé a 103.41.124.125, puis ainsi de suite... Apres une 50aine d'essais, j'ai bloqué tt le domaine de 103.41.124.1 -> 103.41.124.255), mais j'aurai voulu savoir si en plus de changer de machine d'attaque, s'il changait aussi de mots de passé (pour le login il utilise tjs "root" ....evidemment... Merci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
domlas Posté(e) le 22 mars 2015 Partager Posté(e) le 22 mars 2015 Je ne vois pas vraiment l'intérêt surtout si ils sont cryptés. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 22 mars 2015 Partager Posté(e) le 22 mars 2015 toute facon, les password envoyé, c'est soit une attaque par brute force, soit une attaque par dico avec en priorité les pire mot de passe utilisé mais dans tous les cas, qu'une personne essaye un mot de passe x ou y, c'est un peu la meme chose, chez moi, 3 tentatives et byebye en parlant de cela, j'ai pas une seule attaque en ssh, il suffit de simplement lister les ip autorisée ou plus large si ip dinamique meme une limitation à ton pays supprime la plupart des attaque et à moin que tu ne te deplace souvent à l'etranger, c'est pas restrictif pour toi. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Patrickdu34 Posté(e) le 23 mars 2015 Partager Posté(e) le 23 mars 2015 Pareil Gaetan, 3 tentatives en 2mn et bye bye. Blocage d'adresse IP par pays, je n'ai laissé que ceux ou je voyage, d'ailleurs je me demande même si je ne vais laisser que la France et activé les pays au coup par coup 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oliviervdb Posté(e) le 28 mars 2015 Auteur Partager Posté(e) le 28 mars 2015 Hello, donc comme je l'expliquais dans mon post initial, je n'ai pas besoin de conseils sur la sécurité.... je sais bien comment gérer ca sur mon Syno. Ma question est techique, et je la repose : Il est facile de trouver l'IP qui a tenté de se connecter, ainsi que le login qu'il a essayé (via le centre de journaux), je ne sais pas comment voir le ou les mots de passe essayés. Donc je ne demande pas si c'est utile ou comment éviter les attaques. Pour des raisons qui me sont propre, je voudrais voir les login et PW essayés. Est ce qu'il y a moyen? Et si oui, comment? Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
loli71 Posté(e) le 28 mars 2015 Partager Posté(e) le 28 mars 2015 Alors pour répondre à ta question : non il n'est pas prévu de voir les mots de passe essayé .. et heureusement, sinon cela voudrait dire qu'un admin pourrait avoir accès à tous les mots de passe de tous les utilisateurs et cela serait contraire à la première des règles de sécurité : un mot de passe est personnel !!! Et désolé si cela ne correspond pas à ta phrase "Je n'ai pas besoin de conseils sur la sécurité". De plus, même s'il y avait un moyen de voir les mots de passe, selon les protocoles utilisés pour tenter de se connecter (https, ssh, scp ..etc. le mot de passe serait crypté. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oliviervdb Posté(e) le 29 mars 2015 Auteur Partager Posté(e) le 29 mars 2015 OK Merci loli71. Reponse tres clair. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
franck61700 Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 Pareil Gaetan, 3 tentatives en 2mn et bye bye. Blocage d'adresse IP par pays, je n'ai laissé que ceux ou je voyage, d'ailleurs je me demande même si je ne vais laisser que la France et activé les pays au coup par coup Bonjour, je profite du sujet. Patrick pouvez-vous indiquer à quel endroit/ comment vous bloquez les adresses par pays ? Cela semble très efficace en matière de sécurité. En vous remerciant. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 (modifié) dans panneau de config --> securité --> firewall quand tu crée tes regles, tu as dans ip source "Région" qui permet d'autoriser/bloquer par pays donc par exemple pour juste filtre le port 22 : tu crée une regle qui autorise 192.168.0.0/255.255.0.0 sur le port 22 tu crée une regle qui autorise ton pays sur le port 22 tu crée une regle qui refuse tout sur le port 22 (dans cet ordre) Modifié le 31 mars 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Patrickdu34 Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 Merci Gaetan, même pas eu le temps de répondre. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
domlas Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 Attention quand même le blocage par pays n'est pas une parade universelle ! D'abord il existe des gangsters même habitant la Chine qui installent leurs cochonneries sur des serveurs européens ainsi que de bons services français qui s'hébergent à l'étranger pour telle ou telle raison... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 (modifié) bloquer 200 pays ou ne rien faire quel est le mieux ? faut parfois rester réaliste et pas sans cesse etre alarmiste toute facon, la meilleure protection, c'est de debrancher la prise ! Modifié le 31 mars 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
domlas Posté(e) le 31 mars 2015 Partager Posté(e) le 31 mars 2015 Et même en débranchant la prise, il n'est pas dit.... Et puis sur le syno il y a le détecteur d'intrusion qui est très efficace. Inscription comme IP interdite après 5 tentatives d'entrée infructueuse en moins de 10mn ça vire au moins 99% des truands. Et puis surtout de la protection censée : ne pas trainer sur les sites de téléchargement (vous voyez desquels je parle), ne pas trainer sur les sites de rencontres, de X, bien cerner les peu de fonctions réellement nécessaires d'accès distant au syno et bien trier les utilisateurs autorisés. Et éviter les ports "standardisés" et les modifier avec des numéros personnels, mettre de bons mots de passe, pas obligatoirement en hiéroglyphes mais légèrement différents de "123456" par exemple. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.