Logs sur un routeur : TELNET login failed (password error) [Résolu]

VdST 3 Messages postés lundi 31 juillet 2017Date d'inscription 31 juillet 2017 Dernière intervention - 31 juil. 2017 à 11:47 - Dernière réponse : Malekal_morte- 143401 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention
- 31 juil. 2017 à 16:17
Bonjour,
J'espère ne pas tromper de forum. Si c'est le cas, je m'en excuse.

J'ai en charge un petit réseau d'entreprise et je suis assez inquiet concernant des logs sur un routeur.

Ce réseau est composé de 2 sous-réseaux distants situés dans 2 bâtiments différents. Chaque sous-réseau est en IP fixe, équipé d'un modem et d'un routeur/passerelle qui gèrent un VPN entre les 2 bâtiments à travers internet.
Je ne décris pas plus pour l'instant car je ne pense pas que ce soit utile.
Sur chaque routeur j'ai mis en place un envoi de rapport de logs quotidien et un envoi de rapport en cas d'évènements exceptionnels.
Pour être tout à fait franc, dès que je reçois un rapport exceptionnel je le lis mais, par manque de temps, ça faisait un moment que je n'avais pas regardé les rapports quotidiens.

Or, je viens de m'apercevoir que depuis quelques temps j'ai des messages très bizarres sur les rapports quotidiens d'un de mes deux routeurs.
Ce message est "TELNET login failed (password error)".
La destination est l'IP fixe externe du sous-réseau.
La source change à chaque fois.

Par exemple, pour la dernière en date, j'ai 30 logs d'affilé à quelques secondes d'intervalle (entre 2s et 6s en gros) avec la même adresse IP et 3 fois d'affilé le même port pour la source puis ça change de port. Pour cet exemple les ports de la source étaient dans l'ordre 48755, 48189, 48829, 48869, ... jusqu'à 49063 mais c'est différent à chaque fois.
Par contre, le port utilisé sur l'adresse IP de destination (mon adresse IP fixe externe donc) est toujours le même : le port 23.
La fréquence de ces tentatives est assez aléatoire.
Par exemple, je vais avoir 30 logs d'affilés (toutes les 2 à 6 sec) puis ça peut s'arrêter pendant 10 minutes avant de recommencer avec une 50aine de logs, s'arrêter 30 minutes, ...
A chaque fois que ça s'arrête plus de quelques secondes, lorsque ça recommence l'adresse IP source a changé.

Depuis ce matin, à chaque fois que j'avais une nouvelle série de logs j'ai fait un TRACERT sur l'adresse IP source. Les adresses IP sont à chaque fois localisées dans un pays différent (Afrique du Sud, Inde, Etat-Unis, Brésil) et utilisent une route différente.

Du coup, j'ai changé le mot de passe du routeur et j'en ai mis un très complexe.

N'étant pas spécialiste j'aurai aimé avoir vos avis. S'agit-il d'une attaque ? Quelqu'un essai-t-il de craquer le mot de passe du routeur ou peut-il y avoir une autre raison à cela ?

N'hésitez pas à me dire si vous voulez plus de détails.

Dans tous les cas merci d'avance d'avoir pris le temps de me lire et pour vos éventuels avis.
Bonne journée.
Afficher la suite 

6 réponses

Répondre au sujet
+1
Utile
2
Salut, d'après la description il peut en effet s'agir d'une attaque. Une solution serait de mettre des IP dynamiques à la place des IP fixes, car si une tentative aboutit, il te suffirait de tout reboot pour que ça change d'IP et que la tentative retombe à 0. Je ne m'y connais pas assez, mais je pense qu'il est possible de bannir certaines IP exétrieures du serveur, leur interdisant tout accès (login ou pas).

J'espère ne pas dire n'importe quoi, car ce n'est pas trop mon domaine mais au moins je fournis une réponse.
Cette réponse vous a-t-elle aidé ?  
Sinon tu peux essayer de configurer un proxy sur ton réseau, ça serait une sécurité de +.

Si ton TRACERT à réussi, ça veut dire que les potentiels attaquants ne se cachent pas derrière un proxy également ce qui est bien pour toi. T'es-t-il utile d'accéder au réseau de l'entreprise en dehors de celle-ci ?
VdST 3 Messages postés lundi 31 juillet 2017Date d'inscription 31 juillet 2017 Dernière intervention > askijore - 31 juil. 2017 à 15:43
Pour répondre à ta question non ça ne m'est pas utile sauf à partir de l'autre réseau parfois. Du coup j'ai changé le réglage du firewall et je pense que le problème est résolu. Voir ma réponse générale.
Commenter la réponse de askijore
Malekal_morte- 143401 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention - Modifié par Malekal_morte- le 31/07/2017 à 12:33
0
Utile
Salut,

Ce n'est pas une attaque qui vise particulièrement ton réseau, c'est "normal".
Beaucoup de scan et de tentatives automatisés pour infecter des réseaux ou pr contre des services réseaux connus, notamment telnet (le port 23 donc tu parles), SSH (port 22) est souvent très visé... les sites internet (port 80/443) et Terminal Server.

Exemple :
- Piratage de terminal server Windows.
- Attaque SSH.

Bref c'est normal.

Cependant les attaques contre les routeurs sont en hausses depuis 2/3 ans, tu devrais vérifier qu'ils sont bien à jour.
=> hausse des piratages de routeurs.

Bien entendu, il faut des mots de passe forts.

Veuillez appuyer sur une touche pour continuer la désinfection...
Commenter la réponse de Malekal_morte-
VdST 3 Messages postés lundi 31 juillet 2017Date d'inscription 31 juillet 2017 Dernière intervention - 31 juil. 2017 à 15:51
0
Utile
1
Merci pour vos réponses.
Je pense avoir résolu mon souci grâce à votre aide.
Effectivement, il y a des tentatives régulières d'accès mais qui sont normalement bloquées par le firewall.
Par contre, le fait qu'ils puissent aller jusqu'à tenter des mots de passe n'était pas normal, ou en tout cas pas voulu.
En fait, en y regardant de plus près, sur ce sous-réseau, il y avait une règle du parefeu qui autorisait les connexions au port 23 à tout le monde, ce qui n'est pas nécessaire.
J'ai donc modifié la règle pour ne les autoriser qu'à partir de l'autre sous-réseau par les adresses internes et par l'adresse externe.
Du coup, je vois bien arrivé régulièrement une tentative d'accès au port 23 mais elle est bloquée par le parefeu.
C'est quand même plus rassurant ;)
Malekal_morte- 143401 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 16 décembre 2017 Dernière intervention - 31 juil. 2017 à 16:17
ça roule :)
Commenter la réponse de VdST