Tentatives D'intrusion

[JuliusCo]

Bonjour,

Je suis nul en matière de sécurité (et en beaucoup d'autres matières aussi d'ailleurs ).

Lorsque j'ai joué à configurer mon 219, j'ai commencé "en ouvrant toutes les vannes".

En regardant les logs, je m'aperçois qu'il ne s'est écoulé qu'une heure avant que l'on tente de se connecter ().

Vous le savez sans doute, le log trace les différentes tentatives de connexion, avec le nom du login utilisé.

Là j'ai vu qu'un dictionnaire de brute-force était utilisé (plein de mots, dans l'ordre alphabétique).

J'ai banni l'IP qui tentait d'entrer (le tracert m'a emmené à San Jose, de toute façon je me doute que la personne se cachait derrière des proxys).

Moins d'une heure après, rebelote sous une autre IP (la même personne, puisque ça reprenait le dico là où ça en était arrivé).

Là j'ai limité à 5 le nombre de tentatives dans les 5 minutes, avec un blocage d'une demi-heure.

Du coup ça va mieux, mais il y a quand même de temps à autres des tentatives de connexion sur "root" (en se renseignant mieux, "ils" auraient su que nous, c'est "admin" ).

Mais avec tout ça, il (ou elle) a quand même réussi à faire planter ma conf d'Apache (re-launch process.... j'ai du restaurer le fichier, j'ai bien sûr trouvé la manip sur qnap-club, merci Philippe )

Je ne veux pas filtrer les IP entrantes, parce que je souhaite pouvoir me connecter de n'importe quel cyber-café (par exemple), et donc je ne maitrise pas toujours l'IP que j'ai quand j'accède à mon NAS.

Je souhaite aussi me connecter en avec Putty, pas question pour moi de le désactiver (sauf argument très convaincant de votre part bien sûr).

1°) Quelle(s) autre(s) solution(s) de sécurité conviendraient, dans mon cas ?

2°) Et plus généralement, quels verrous avez-vous, vous-même, mis en place sur votre système perso ?

Chers amis qnapeurs, je vous remercie par avance

Julius

[father_mande]

Bonjour,

Personnellement, pour éviter les robots hacker de ce type, je change simplement de port ...

Les robots testent les ports connus < à 1024 ... passez au dessus et vous devriez moins en voir.

Si cela reste insuffisant, utilisez un mot de passe fort (il y a des coffres-fort sur clef USB si vous avez peur d'oublier), vous pouvez aussi interdire la connexion avec mot de passe en [url="ssh-avec-putty/-avec-putty/"]ssh-avec-putty/ et forcer l'usage de clefs ... pour ne pas les laisser au Cybercafé ... vérifiez que vous pouvez mettre un clef USB avec putty portable et votre clef ... mais généralement le changement de port suffit ... moi j'ai 4 ports différents pour mes 4 Qnap ... plus un mot de passe avec Maj. Min. quelques caractères #, %, etc... et des chiffres ... si vous prenez une méthode mnémotechnique ... cela reste facile a ce souvenir.

Vous pouvez TOUJOURS bannir les adresses I.P. après n tentatives ratés (3) car même en force brute, si il faut changer de proxy à chaque 3 essais ... ça va prendre du temps si votre mot de passe n'est pas le prénom de votre compagne, compagnon, belle-mère ou du chien .... ceci sans à avoir a gérer le bannissement ...

Vérifiez éventuellement que le firewall de votre box est bien activé ...

Philippe.

[JuliusCo]

Bonjour Philippe et merci pour ces conseils.

Je vais commencer par utiliser un port > 1024, c'est un élément facile à mettre en oeuvre et qui, selon ton expérience, semble satisfaisant. Donc j'adopte l'idée.

Idem pour le bannissement systématique au delà de 3 tentatives (3, ça me met un peu la pression, à moi qui ai un mot de passe fort et qui écris toujours trop vite.... mais ça ne devrait pas être une épreuve insurmontable !)

Le firewall de la box est bien activé, sur le niveau recommandé.

Encore merci !

[ludo167]

idem pour moi, j'ai changé tous mes ports par défaut avec > 1024, j'ai bloqué le telnet et en j'ai désactivé l'authentification par mot de passe (seulement par clef), et après comme te conseille Philippe, un blocage au bout de3/5 tentatives et assez radicale pour les robots ou autres.

Bonne journée

Ludovic

[JuliusCo]

Quel changement !

Mes fichiers journaux sont très maigres maintenant : OUF.

Je vous remercie !

[RGYG]

Bonjour, après avoir lu et regardé vos articles j'ai subi un peu le meme sort. j'ai regardé aussi mes LOG ce matin sur une machine installé depuis janvier, et

j'ai vu 2029 tentative d'acces qui proviennes d'une vingtaine d'adresses. Particulièrement de 80.34.51.201 , qui as essayé pendant plus de 14 heures.

La notification de connection est SSH . Par quels port tente ils d'entrer ? . Ca fait beaucoup de Port a changer dans cette machine. j'ai changé la sécuritée pour maximal,

mais ca me limite aux adresses que j'ai données. Je me connectais via Mycloudnas

Merci d'avance de votre reponse

[father_mande]

Bonjour,

La plupart des scanners (de port) avant intrusion ... cherche les ports < 1024 prédéfinis, comme le 22 pour ssh ... qui si il autorise les mots de passe est apriori "cassable" (pas avec échange de clefs) ...

commencez par changer 22 par un port supérieur à 1024 ... 9922 ou un autre à votre choix (mnémonique c'est mieux !!! )

Pour vous connectez il suffit de changer le port au niveau du client putty, winscp, ssh, etc.

Philippe.

[RGYG]

Merci beaucoup ca semble fonctionner. les seul allertes que je recois presentement sont sur le port 80 ou 8080 ex: Access Violation from 67.193.17.167 with TCP (port=80).

Votre aide est grandement apprécié