Aller au contenu

Alertes de connexions NAS SSH IP inconnues


foxhidden

Messages recommandés

Bonjour à tous,

Depuis quelques jours je constate des tentatives de connexions SSH qui ne sont pas de mon fait avec des notifications du NAS.

Elles sont très fréquentes (environ 1 par heure) avec des IP de pays hors UE. Donc clairement des tentatives d'intrusion.

J'ai effectué les opérations suivantes afin de tenter de sécuriser le tout:

Configuration au niveau du NAS:
- Désactivation du service SSH en le décochant simplement dans le panneau de configuration. Cependant l’accès fonctionne toujours je ne comprends pas pourquoi...
- Blocage dans le pare-feu du port 22

Sur la Box:
- Blocage Firewall du port 22 depuis l'extérieur.

Malgré toutes ces opérations les tentatives continuent et je ne comprends pas pourquoi… Est-ce que je reçois tout de même des notifications même si le port SSH est totalement bloqué ? Ou il y a d'autres opérations de sécurité à effectuer peut-être ?

Dans l'inquiétude j'ai carrément arrêter le Nas en attendant d'être au clair là-dessus...

Merci pour votre précieuse aide  🙂

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @foxhidden

Les tentatives de connexions en SSH sont assez courantes. Personnellement j'ai ajouté une règle dans le pare-feu pour limiter l'accès à certains pays. Si tu héberges un site que tu veux accessible aux maximum de pays tu peux autoriser l'ensemble des pays sauf certains. Détermine les pays à interdire en localisant les IP des tentatives de connexion.

Lien vers le commentaire
Partager sur d’autres sites

Re,

Merci a tous pour votre aide. Bon du coup j'ai rallumé le Nas et j'ai été voir les règles du pare-feu... Je n'ose même pas mettre un screen tellement c'était la fête du coup j'ai revu vite fait tout ca (en gros le port SSH était ouvert sur l'extérieur, règle que j'avais du faire au début lorsque je n'utilisais pas le VPN donc tu m'étonnes que ca fonctionnait !) et d'autres règles mais surtout pour les applis de base comme Video Station, Web Station ainsi que les serveur de fichier Windows / Linux accessibles depuis l'extérieur mais c'est inutile si on passe par les applis + Quickconnect c'est juste ?

Donc j'ai décidé de suivre cet excellent tuto du site concernant la sécurisation du Nas qui m'avais été recommandé et j'ai appliqué la partie concernant les règles Firewalls, adapté pour mon cas sans trop en rajouter, cf capture ci-dessous:

image.png.5d29c2fbb640862084cf53e43e990169.png
 Maintenant rien n'est ouvert à l'extérieur à part le VPN et filtré par Pays. On est d'accord que maintenant il ne devrais plus avoir d'alertes après cela ? 

J'en ai profité pour appliquer cela au niveau de "Toutes les interfaces" car avant ces règles étaient uniquement valables pour le "LAN 1". D'ailleurs même si il y a plus de règle dans le "LAN 1", y'-a-t-il une incidence de cocher "Si aucune règle n'est remplie: Autoriser l'accès ou Refuser l'accès " ?

Dois-je aussi agir au niveau de firewall de la box ou c'est suffisant via le Nas ? Je veux éviter de tout compliquer et de faire un conflit entre les 2 firewalls 😆 

Merci !

Modifié par foxhidden
Lien vers le commentaire
Partager sur d’autres sites

@foxhidden

bonjour,

Une petit précision qui a son importance, ta règle "refuser" doit être la dernière, c'est à dire tout en bas de la liste car les règles s'exécutent du haut vers le bas.

Dans l'état, tes deux dernières règles ne seraient jamais exécutées. Donc ton VPN ne devrait pas marcher. A corriger donc ...

il y a 41 minutes, foxhidden a dit :

Dois-je aussi agir au niveau de firewall de la box ou c'est suffisant via le Nas ?

C'est suffisant pour le NAS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

C'était aussi pour ça que je te demandais de mette une impression d'écran du pare-feu. Je le doutais que c'était la Cour des Miracles. 😉

Assure-toi de ne translater que ce dont tu as besoin depuis la box, donc 500, 4500 et 1194 (pas 1701). Assure-toi également que l'uPnP est désactivé sur ton ?AS, ça peut être la cause de l'accessibilité du port SSH depuis l'extérieur.

Lien vers le commentaire
Partager sur d’autres sites

@oracle7Ah oui en effet c'est vrai que l'ordre des règles est important merci c'est corrigé !

@.Shad. Oui j'ai bien faire le forward des ports depuis ma box c'est tout bon, par contre pour l'uPnP on vois cela comment ? c'est pas aussi en rapport avec l'application "Media Server" par hasard ?

Autre question: Savez-vous pourquoi avec le service SSH désactiver je peux tout même me connecter via l'ip local sous Putty ? Cela ne devrait pas fonctionner non ? surtout que en le réactivant j'ai la notification du pare-feu ci-dessous:

image.png.8c826f668f84a30c8ff08a57736ad001.png

Inutile d'ouvrir ce port donc ?

Modifié par foxhidden
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, foxhidden a dit :

surtout que en le réactivant j'ai la notification du pare-feu ci-dessous:

Bonjour,

Je ne conseils pas d'activer la notification, ou plutôt de désactiver les notifications du pare-feu.

Car dans la capture il faut soit cliquer sur annuler, soit décocher, puis cliquer sur OK (c'est pas forcément logique). Sinon si tu cliques sur OK tu va créer une régles dans le pare-feu autorisant le port "22" pour le monde entier.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, foxhidden a dit :

Savez-vous pourquoi avec le service SSH désactiver je peux tout même me connecter via l'ip local sous Putty

Es-tu certain d'avoir décoché la case "activer le service SSH" puis enregistré la modif en cliquant sur "appliquer" ?

Je me demande s'il n'y a pas une confusion dans tes explications. Le SSH activé tu peux te connecter avec putty en VPN même si le port 22 n'est pas débloqué dans le pare-feu car dans ce cas c'est ta première règle qui autorise la connexion (IP sources 10.0.0.0/255.0.0.0 autorisées)

Lien vers le commentaire
Partager sur d’autres sites

@cadkey oui c'est bien ici que j'ai désactivé le ssh.
@maxou56 ok ca marche et c'est pas ce que je veux en effet

@Jeff777 Oui j'ai bien désactiver et appliquer les modifications et je viens de tester à l'instant ca fonctionne toujours, donc le fait d'avoir autoriser l'IP source 10.0.0.0/255.0.0.0 est suffisant pour autoriser le SSH ? Pourtant j'ai désactivé la règle et cela fonctionne toujours; bizarre, il y a peut-être autre chose alors ?
Ceci dit depuis la modification de mes règles je n'ai pas eu de tentatives SSH depuis l'extérieur donc cela m'a l'air efficace 😄

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, foxhidden a dit :

Oui j'ai bien désactiver et appliquer les modifications et je viens de tester à l'instant ca fonctionne toujours, donc le fait d'avoir autoriser l'IP source 10.0.0.0/255.0.0.0 est suffisant pour autoriser le SSH ?

Non, si tu désactives le service tu ne devrais plus être capable de te connecter.
As-tu tenté de redémarrer le NAS ? Normalement il n'y a pas besoin, mais pour peu qu'il y ait un bug temporaire ça pourrait le résoudre.

Il y a 16 heures, foxhidden a dit :

Oui j'ai bien faire le forward des ports depuis ma box c'est tout bon, par contre pour l'uPnP on vois cela comment ? c'est pas aussi en rapport avec l'application "Media Server" par hasard ?

Rien à voir avec l'application dont tu parles. l'uPnP c'est la possibilité pour les périphériques de demander au routeur ou box en amont d'ouvrir des ports à la demande quand ils en ont besoin. Là où ça peut être pratique pour des jeux en ligne par exemple (même s'il est toujours préférable de faire des redirections statiques via NAT), ça peut être très dangereux s'il est activé sur le NAS. Car n'importe quel malware s'y trouvant pourrait ouvrir les portes de ton réseau.

A défaut de le désactiver sur ta box, tu peux le faire sur ton NAS, il n'y a pas d'option à proprement parler, tu dois juste t'assurer que ce cadre est vide de toute règle :

upnp_dsm7.png

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.