adelac Posté(e) le 28 juillet 2021 Partager Posté(e) le 28 juillet 2021 Bonjour à tous, Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes. Le compte admin est désactivé. Donc le risque me semble faible. Le NAS est en DSM7. Le conseiller de sécurité est réglé sur travail et entreprise et tout est en vert. Avez-vous des suggestions ? Dois-je faire quelque chose ? Est-il pertinent de prendre chacune des IP et de les mettre dans le pare-feu du NAS avec refus pour tous les ports ? Merci d'avance de vos lumières 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 28 juillet 2021 Partager Posté(e) le 28 juillet 2021 il y a 34 minutes, adelac a dit : Est-il pertinent de prendre chacune des IP et de les mettre dans le pare-feu du NAS avec refus pour tous les ports ? Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 28 juillet 2021 Partager Posté(e) le 28 juillet 2021 Ton compte admin etant désactivé, aucun risque de connexion via ce compte. risque nul dans ce cas de figure. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
adelac Posté(e) le 28 juillet 2021 Auteur Partager Posté(e) le 28 juillet 2021 Il y a 5 heures, PiwiLAbruti a dit : Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS. Je vais bloquer DSM en https pour tout le monde sauf quelques IP, mais je crains de me bloquer moi-même quand je suis en déplacement. Je vais donc regarder comment faire du VPN sur ma box avant de le faire. En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours). Depuis que j'ai modifié ça, les IP se bloquent une par une ! Il y a 4 heures, cadkey a dit : Ton compte admin etant désactivé, aucun risque de connexion via ce compte. risque nul dans ce cas de figure. Je partage ce point de vue, mais je me demandais comment éliminer d'autres attaques provenant de ces IP. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 28 juillet 2021 Partager Posté(e) le 28 juillet 2021 il y a 12 minutes, adelac a dit : En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours). Depuis que j'ai modifié ça, les IP se bloquent une par une ! Sauf si je me trompe ce reglage s'applique à toi également. Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
adelac Posté(e) le 28 juillet 2021 Auteur Partager Posté(e) le 28 juillet 2021 Il y a 3 heures, cadkey a dit : Sauf si je me trompe ce reglage s'applique à toi également. Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter. Pour parer à cette éventualité, dans Sécurité/Protection, j'ai cliqué sur le bouton "Autoriser/Bloquer la liste" et dans "Liste des permissions" j'ai mis les IP avec lesquelles je me connecte en local. Donc, normalement, ma propre IP ne devrait pas être bloquée même si je me trompe deux fois. En quelques heures déjà 52 IP bloquées... ça fait peur ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 28 juillet 2021 Partager Posté(e) le 28 juillet 2021 (modifié) Il y a 13 heures, adelac a dit : Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes. Bonjour, Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...) Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre? Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box? Modifié le 28 juillet 2021 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 29 juillet 2021 Partager Posté(e) le 29 juillet 2021 (modifié) Bonjour, si ça vient de l'étranger tu peux bloquer les ip: les adresses de tes attaques doivent se suivre. Tu peux n'autoriser que la France dans ton pare-feu (selon tes besoins si d'autres pays sont nécessaires) et bloquer explicitement les ip par bloc dans les premières règles du pare-feu: https://cric.grenoble.cnrs.fr/Administrateurs/Outils/CalculMasque/ Modifié le 29 juillet 2021 par pluton212+ 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
adelac Posté(e) le 29 juillet 2021 Auteur Partager Posté(e) le 29 juillet 2021 Il y a 7 heures, maxou56 a dit : Bonjour, Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...) Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre? Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box? C'est uniquement pour DSM. Ca vient probablement du fait que j'ai dirigé www.mondomaine.fr vers le NAS. Je vais peut-être retirer ça et ne laisser que les sous-domaines. Le pare-feu est bien configuré et SSH n'est pas activé. Pour la DMZ, je n'ai pas encore bien compris le concept et n'ai pas mis ça en œuvre. Je n'utilise pas la fonction de "configuration du routeur" de DSM. Les ports sont activés dans le pare-feu du NAS et des redirections sont faites dans la box vers le NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 2 août 2021 Partager Posté(e) le 2 août 2021 Bonjour, Depuis que j'ai modifié les notifications journaux en ajoutant "failed" dans le liste j'ai une palanqué de tentatives de connection : et cela change d'IP a chaque 2ème tentative que faire pour limiter cela ? le compte Admin est désactivé mais pour le compte system alors là ?? mon assistance de sécurité est bon ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 2 août 2021 Partager Posté(e) le 2 août 2021 Le meilleur moyen de limiter est d'ajouter des règles de pare-feu en identifiant les sources qui peuvent accéder au port tcp/22 (SSH). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 2 août 2021 Partager Posté(e) le 2 août 2021 @PiwiLAbruti ce port n'est pas ouvert dans DSM et dans le pare feu. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 Il l'est nécessairement, sinon il n'y aurait aucune tentative. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 Il y a 11 heures, PiwiLAbruti a dit : Le meilleur moyen de limiter est d'ajouter des règles de pare-feu en identifiant les sources qui peuvent accéder au port tcp/22 (SSH). D'après sa capture, c'est sur DSM que les tentatives ont eu lieu, pas en SSH... C'est donc son port DSM qui est ouvert. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 @PiwiLAbruti @MilesTEG1 je confirme port 22 et SSH non ouvert accès DSM oui bien sûr, Ouvert je bloque le compte a 2 tentatives déjà bloqué cette nuit, mais ce n'est pas comme l'IP ou l'on peut mettre 0 pour bloqué indéfiniment, pour les comptes on ne peut pas mettre 0 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 @toutnickel Bonjour, Je penses que @MilesTEG1 en parlant du port DSM, sous-entendait implicitement le port 5001 et/ou 5000. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 il y a 8 minutes, oracle7 a dit : Je penses que @MilesTEG1 en parlant du port DSM, sous-entendait implicitement le port 5001 et/ou 5000. Oui mais aussi le port personnalisé s'il a été changé. Il faut aussi configurer le pare-feu correctement : Il faut n'autoriser que les IP de france et de quelques autres pays dont tu as vraiment besoin. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 (modifié) Ah oui, il s'agit de DSM et non SSH 😅 Quels sont les ports ouverts pour l'accès à DSM ? Commence déjà par restreindre les connexions à ton pays de résidence dans le pare-feu. Ton DSM n'a probablement pas besoin d'être visible du monde entier. Modifié le 3 août 2021 par PiwiLAbruti 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
church Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 Hello ! N'hésite pas à mettre de la double authentification sur le compte systeme également. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 @ Bonjour oui les ports DSM sont ouverts par feu comme dans le tuto 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 3 août 2021 Partager Posté(e) le 3 août 2021 (modifié) il y a une heure, toutnickel a dit : par feu comme dans le tuto Pas vraiment. Bonjour, SSH, NTP, serveur DHCP... Ouvert pour le monde entier ?? 🥳 Toutes ces règles sont à supprimer, pour le réseau local c'est déjà autorisé dans les 3 suivante "10.0.0.0, 192.168.0.0, 172.16.0.0" Pour la règle c'est plutôt 192.168.0.0/255.255.0.0, pour toi c'est seulement de 192.168.1.0 à 192.168.1.254 Modifié le 3 août 2021 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cadkey Posté(e) le 4 août 2021 Partager Posté(e) le 4 août 2021 Ah oui, la config du Pare-feu fait peur. C'est Open Bar 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 4 août 2021 Partager Posté(e) le 4 août 2021 (modifié) Open Bar c'est beaucoup dire j'ai supprimer effectivement NTP, DHCP mais les attaques sont uniquement sur le compte admin / DSM Modifié le 4 août 2021 par toutnickel 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 4 août 2021 Partager Posté(e) le 4 août 2021 (modifié) il y a 20 minutes, toutnickel a dit : mais les attaques sont uniquement sur le compte admin / DSM Il faut le limité à la France par exemple. Sur les captures on ne voit pas sur quelle règle le port 5001 dépend si c'est la 1 ou la 4 mais c'est pour la planète entière. Sinon pou le pare-feu, plutôt mettre les règles locales en premières, et les autres règles après pour éviter de te bloquer par exemple. il y a 20 minutes, toutnickel a dit : Open Bar c'est beaucoup dire Un peu quand même (SSH... ouvert pour tout le monde), après ça dépendait ta BOX/Routeur (Régles NAT/PAT, UPNP) Modifié le 4 août 2021 par maxou56 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
toutnickel Posté(e) le 4 août 2021 Partager Posté(e) le 4 août 2021 Bonjour a tous et merci pour toutes ces informations , j'ai fait un peu de ménage sur les ports ... lol juste une remarque : Dans le centre des journaux, avez vous mis dans vos notifications du centre des journaux : failed et ensuite dans journaux lire en "Local" et "connexion" peut être que vous serez certainement surpris, car c'est depuis que je l'ai ajouté cette option "failed" que je m'en suis aperçu. cela serait intéressant de savoir le résultat, en vous remerciant, très bonne soirée a tous 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.