attaque sur mon nas ?

[Neo974]

Effectivement l'étude part du principe que le pirate a pu obtenir un Hash du mot de passe , même avec une authentification ntlm il n'est pas difficile pour qui est patient de voler le Hash d'un mot de passe sur un serveur en DMZ.


Ensuite pour contourner le problème de blocage après x tentatives, ils utilisent plusieurs PC compromis et laissent plusieurs minutes entre chaque tentatives sur la même ip.

Les pirates prennent parfois plusieurs mois pour pirater un serveur et même une fois piraté ils agissent parfois après plusieurs semaines / mois.


Par exemple sur ce post un membre explique que pendant plusieurs semaines il subit des attaques par brute force de plusieurs NAS déjà compromis situés en France. ( donc blocage par IP inutile)
Sujet 'Intrusion'. https://www.forum-nas.fr/threads/intrusion.21533/

 

[Neo974]

On s'éloigne un peu du sujet initial,

Cz cas nous montrent une fois de plus que même si cela simplifie beaucoup de choses mettre un serveur en DMZ est une très mauvaise idée.


Du coup ce qui faudrait faire dans ce cas ça serait de réinstaller OMV en partant de 0 pour être sûr de ne rien avoir de suspect et ouvrir uniquement les ports nécessaires voir même juste le 443 et utiliser un reverse proxy.

Il y a tout les tutoriel nécessaires sur le forum.

 

[Bambusa29]

On es bien d'accord, il vaut mieux tout re-installer.

Je vais m’éloigner un peu du sujet initial, mais je voulais revenir sur les DMZ.
L’intérêt d'une DMZ c'est bien d'y mettre les serveurs physiques ou virtuels qui sont accessible depuis l’extérieur bien séparé physiquement du reste de notre réseau via un firewall.

Dans une DMZ accessible qu'en 443 depuis l’extérieur (avec un firewall + reverse proxy en amont), pour voler un mot de passe, il faut y aller...

Et même dans le cas d'un serveur compromis, d'une DMZ on ne peut aller que vers l’extérieur et encore faut-il que le firewall ne détecte pas le trafic malicieux sortant.
Chez moi par exemple mon firewall utilise 'Suricata' comme outil d'analyse de trafic réseau pour la détection d'intrusion. Il analyse tous ce qui entre et qui sort des différents réseaux présents derrière le firewall.

Tous les jours, j'ai une 60ène de paquets rejetés :

 

[Eirikr70]

souvent bloqué par des mécanismes de bannissement temporaire après x essais infructueux

Oui, sous réserve que l'utilisateur ait mis en place ces mécanismes de bannissement. L'un des enjeux d'un forum comme celui-ci est de rappeler les bonnes pratiques de sécurité.

 

[manou1988]

Merci à tous de vos réponses et je suis donc reparti sur une installation propre sous truenas scale histoire de varier les plaisirs !!