Je viens de découvrir les logs de mon UDM Pro SE de 2 attaques RUSSE vers mon adresse IP de mon Jeedom :
Alerte de gestion des menaces 2: Misc Attack. Signature ET CINS Active Threat Intelligence Poor Reputation IP group 88. From: 92.63.197.110:44238, to: 192.168.1.6:80, protocol: TCP
Alerte de gestion des menaces 2: Misc Attack. Signature ET DROP Dshield Block Listed Source group 1. From: 92.63.197.110:44238, to: 192.168.1.6:80, protocol: TCP
Ma configuration réseau : FreeBox révolution en mode BRIDGE (IPfull stack) → UDM Pro SE.
J’ai juste une redirection de port (temporairement, car je cherche à installer un VPN sur mon UDM pour accéder à mon réseau LAN) pour accéder à Jeedom depuis l’extérieur : IP_exterieur:port → Jeedom IP LAN :80
Le port de mon adreese IP_extérieur n’est pas le même que celui de l’attaque (ouf)
Je ne trouve rien dans les logs de Jeedom (connection).
Du coups j’ai bloqué la RUSSIE sur mon UDM.
Auriez-vous des conseilles pour la sécurité de jeedom, installer un VPN sur UnifiOS, est-il possible de modifier le port 80 de Jeedom ?
Le port d’attaque comme tu dis, est celui de la source (l’attaquant). Et l’attaque a bien lieu sur le port cible 80 de ton jeedom. Si tu regardes tes logs, tu devrais voir passer les requêtes avec les IP et ports source et cibles.
Mais ça n’a rien d’anormal. A partir du moment où tu ouvres un port sur internet, les attaques sont fréquentes.
Tu routeur unifi udm semble déjà intégrer un firewall waf qui bloque les attaques. Donc pas grand chose d’autres de simple a mettre en place.
Peut-être sécuriser ta connections en passant en https avec un certificat. Ou mieux : fermer le port et installer un vpn comme tu le proposes.
Mais c’est un peu moins pratique à utiliser.
Tu n’est pas obligé d’ouvrir le même port en externe et en interne. Tu peux très bien ouvrir le port 12345 et le faire pointer vers le port 80 de ton jeedom.
PS : si tu bloques la Russie, tu ne pourras plus utiliser telegram. Penses a mettre les IP de telegram en liste blanche.
Par contre, il y a beaucoup d’attaques qui viennent de pleins d’autres pays, dont la France!
Les « attaques » sont inévitables.
L’absence de défense est évitable par contre et donc c’est la mise en place des défense qui doit être fait.
La première étape est de garder un système à jour, OS (debian) et jeedom.
@fwehrle : Je partage entièrement ton point de vu, sur le fait de fermer les ports extérieurs et de passer en https ou VPN.
Effectivement, le port extérieur n’est pas le même que jeedom.
@Mips : ton message ma poussé à mettre à jour mon debian de mon Rasp Pi4 (Jeedom).
Je n’osai pas le faire, par peur de passer à debian 11.
J’ai exécuté : sudo apt update && sudo apt upgrade -y
Aucun problème toujours sur Debian 10.
