L'adresse IP ... a connu 10 tentatives échouées en essayant de se connecter à SSH ouvert sur NAS

[Franc_86]

Bonjour à tous.

Voici les mails que je reçois depuis plus d'un mois par mon NAS :

L'adresse IP [...] a connu 10 tentatives échouées en essayant de se connecter à SSH ouvert sur NAS dans un intervalle de 5 minutes, et a été bloquée à ...

Je n'ai pas eu trop d'inquiétudes sur ce message mais… maintenant j'en ai beaucoup ! Surtout après avoir lu quelques messages au sujet de piratage !

[pluton212+]

bonjour,

ferme l'accès ssh si tu n'as pas besoin du service ou bien change le port ssh...
 

[Franc_86]

Bonjour et merci pour ta réponse.

Je ne sais pas trop si j'ai besoin du port SSH. 

Toutes les nuits, le NAS sauvegarde automatiquement mes documents persos sur mon serveur (chez Online).

Dans le planificateur de tâches, j'ai aussi une "mise à jour automatique de DSM".

Je n'ai pas encore trouvé comment bloquer le port SSH, mais par contre j'ai amélioré le blocage automatique : je ne permets plus qu'une seule tentative toutes les 60 minutes.

Je pense avoir trouvé : c'est dans le pare-feu. J'ai sélectionné le port SSH et je refuse l'accès à toutes les IP source. Je pense que ce doit être bon. Qu'en penses-tu ?

Est-ce nécessaire que j'applique ceci ?

Je peux maintenant être sûr que personne n'a accès à mon NAS ? Car j'ai pu être l'objet de l'attaque de plusieurs pirates…

Modifié le 20 février 2016 par Franc_86

[gaetan.cambier]

de 1 tu va dans ton routeur/box et tu decoche la dmz qui est surement activée et tu remet sno firewall par défaut

en 2, tu ouvre les ports UNIQUEMENT indispensable (perso, si tu n'a pas besoin de ton nas à distance, ca peux etre meme aucun)

ensuite de toute facon, si tu voit qu'un service ne fonctionne, plus, au moins, on peux te guider pour te dire quel port ouvrir si besoin

[Franc_86]

Merci pour ta réponse. 

Citation

de 1 tu va dans ton routeur/box et tu decoche la dmz qui est surement activée et tu remet son firewall par défaut.

J'imagine que cela concerne ma Freebox. Concernant la dmz voici ce que je trouve, mais je ne sais pas trop que faire : voir pièce jointe.

 

Par contre, je ne vois pas de fonction spécifiquement appelée « firewall » et, encore moins de réglages par défaut de celui-ci.

Citation

en 2, tu ouvre les ports UNIQUEMENT indispensable (perso, si tu n'a pas besoin de ton nas à distance, ca peux etre meme aucun)

Je suis donc retourné dans mon réglage du pare-feu du NAS et, plutôt que de ne cocher que SSH, j'ai bloqué tous les ports.

Cela ne gênera pas la mise à jour automatique ?

Si je comprends bien, on a affaire dans ce paramétrage uniquement à des ports entrants (de l'extérieur de mon réseau domestique vers mon NAS) ?

[CoolRaoul]

il y a 12 minutes, Franc_86 a dit :

J'imagine que cela concerne ma Freebox. Concernant la dmz voici ce que je trouve, mais je ne sais pas trop que faire : voir pièce jointe.

Suffit de mettre "0" dans la case indiquée par la flêche pour désactiver la DMZ:

Redémarrer la box pour que ce soit pris en compte.

(NB: c'était pas nécessaire de griser ces addresses, ce sont des address privées locales)

Pense aussi a vérifier dans redirections/baux DHCP que tu n'a pas redirigé le port 22 (ou d'autres)

[Franc_86]

Citation

Pense aussi a vérifier dans redirections/baux DHCP que tu n'a pas redirigé le port 22 (ou d'autres)

Il me semble qu'il y a redirection, mais je n'en suis pas sûr :

 

[CoolRaoul]

il y a 3 minutes, Franc_86 a dit :

Il me semble qu'il y a redirection, mais je n'en suis pas sûr :

En effet, il y en a 3 (et notamment le port 22, ssh) :

Ce que je ne comprend pas c'est comment elles ont pu être déclarés ici *à ton insu* ?

[Franc_86]

C'est mon (grand) fiston qui avait fait ces redirections !

J'ai donc supprimé les 3 redirections de ports.
Dois-je aussi supprimer le bail DHCP permanent ?

Du coup, j'ai changé le mode passe pour accéder à la Freebox, afin que je sois le seul administrateur.

Modifié le 20 février 2016 par Franc_86

[CoolRaoul]

il y a 3 minutes, Franc_86 a dit :

aussi supprimer le bail DHCP permanent ?

Non, c'est une des méthodes possibles pour s'assurer que le NAS a une IP locale fixe. C'est mieux de le garder ainsi.

Modifié le 20 février 2016 par CoolRaoul

[Franc_86]

Quand je refuse l'accès à tous les ports, le message ci-dessous apparaît et les paramètres précédents sont rétablis. 

Je me demande si on ne pourrait pas cocher, en bas de la page « refuser accès », si aucune règle n'est remplie et ne permettre que ce que l'on souhaite.

Je te rappelle que je fait une sauvegarde toutes les nuits sur mon serveur (chez Online) et que j'ai paramétré le NAS pour qu'il mette son système à jour automatiquement une fois par semaine.

[lopasilver]

Mais, Mais, mais, il y a belle lurette que les redirections de ports ne se font plus en ligne sur free.fr MAIS sur l'interface de la freeboite en local http://mafreebox.freebox.fr/

Je suis surpris qu'elles soient toujours pris en compte... Il vaudrait mieux vérifier !

[CoolRaoul]

il y a 7 minutes, Franc_86 a dit :

Quand je refuse l'accès à tous les ports, le message ci-dessous apparaît et les paramètres précédents sont rétablis. 

Je me demande si on ne pourrait pas cocher, en bas de la page « refuser accès », si aucune règle n'est remplie et ne permettre que ce que l'on souhaite.

En effet, c'est ce que je fait. En complément, je met en tete de liste une règle qui autorise toutes les connexions du réseau local:

**EDIT**

il y a 3 minutes, lopasilver a dit :

Mais, Mais, mais, il y a belle lurette que les redirections de ports ne se font plus en ligne sur free.fr MAIS sur l'interface de la freeboite en local http://mafreebox.freebox.fr/

Pas tout à fait: pour les V5 et les crystal c'est toujours la seule méthode disponible

Modifié le 20 février 2016 par CoolRaoul

[Franc_86]

D'accord. Je crains juste de me tromper dans l'adresse IP sous réseau et… de ne plus avoir accès au NAS !

Voici les détails de connexion réseau que m'affiche Windows :

 

[CoolRaoul]

il y a 3 minutes, Franc_86 a dit :

Voici les détails de connexion réseau que m'affiche Windows :

Manque juste la partie utile 

Bon pas grave, suffit de prendre ce qui est face à "Adresse IPV4", et d'en remplacer le dernier digit par 0

Modifié le 20 février 2016 par CoolRaoul

[Franc_86]

Je pense que maintenant c'est bon (voir la capture ci-dessous).
Et si un jour mon réseau change automatiquement d'adresse IP ?

[CoolRaoul]

il y a 1 minute, Franc_86 a dit :

Et si un jour mon réseau change automatiquement d'adresse IP ?

Automatiquement c'est impossible: c'est un paramètre de la box.

[Franc_86]

 Il me reste à te remercier chaudement pour ton aide !

Je te souhaite une excellente journée ! 

[PiwiLAbruti]

Pour ne pas avoir à t'en soucier lorsque l'adresse du réseau changera, il suffit d'utiliser 192.168.0.0/255.255.0.0 au lieu de 192.168.x.0/255.255.255.0.

[Franc_86]

Pour ma part, c'est déjà le 192.168.0.0. Il faudrait donc juste changer le 255.255.255.0 en 255.255.0.0 ?

[PiwiLAbruti]

Oui, comme ça n'importe quel adressage privé appartenant à 192.168/16 sera autorisé à accéder au NAS.

[Franc_86]

Voilà ! Merci à tous pour votre aide : tout semble bien fonctionner.