Phidanfra (Auteur du topic), Posté le: Mer 23 Sep 2015, 14:13 Sujet du message: Freebox V6, problème de sécurité ???
Freebox V6, problème de sécurité ???116295107366
Bonjour à tous,
Dernièrement, j'ai constaté que des adresses IP privées en 10.x.x.x ou 192.168.x.x provenant d'Internet (ou d'une des Freebox), tentent de se connecter sur une machine de mon réseau interne sur le port SSH (TCP 22).
Alors effectivement j'ai ouvert le port SSH en entrée sur ma Freebox, et je subi tous les jours des attaques sur ce port provenant d'adresses IP publiques, et c'est « normal », mais là, il s'agit d'adresses IP privées !
A ma connaissance, les adresses IP privées ne devraient pas être routées par la Freebox entre Internet et le réseau local. Donc, que se passe t'il ???
Sachant qu'entre Internet et mon firewall (voir topologie du réseau ci-dessous) il n'y a que 2 matériels connectés, la Freebox V6 Server et la Freebox V6 Player, je ne vois, pour ma part, que 2 explications possibles :
1) La Freebox V6 Server ferait du routage des adresses IP privées entre Internet et le réseau local, ce qui me paraîtrait être une grosse faille de sécurité.
2) Une des deux Freebox a été piratée et ces adresses ne proviendraient pas d'Internet, mais d'une des deux Freebox.
Malheureusement la Freebox V6 Server ne permet pas de consulter ses logs pour pouvoir aller plus loin dans la recherche de l'origine du problème.
Alors si quelqu'un a une explication, et pourrait m'éclairer sur ce phénomène, ça serait sympa.
Topologie et configuration du réseau :
La ligne ADSL est connectée à ma Freebox V6 Server comme il se doit.
La Freebox V6 est configurée en mode routeur.
Derrière la Freebox V6 Server, sur son switch 4 ports, sont branchés :
- La Freebox V6 Player
- Un firewall
De l'autre coté du fireWall se trouvent toutes les autres machines, imprimante, tablettes, point d'accès Wifi, TV, etc. du réseau local
Le Wifi de la Freebox ainsi que le serveur VPN sont désactivés
Sur la Freebox V6 Server, j'ai autorisé certains ports en provenance d'Internet à entrer sur mon réseau, et notamment le port 22 en TCP (SSH).
loggoi, Posté le: Mer 23 Sep 2015, 15:20 Sujet du message: Re: Freebox V6, problème de sécurité ???
Re: Freebox V6, problème de sécurité ???34583206
et si c'était bêtement votre firewall qui au lieu de vous donner l'adresse IP public des PC qui essaient de se connecter à votre port 22 vous affiche leur IP local ... ?
Phidanfra (Auteur du topic), Posté le: Mer 23 Sep 2015, 17:18 Sujet du message:
116295107366
Citation:
Alors, 2 possibilités :
- VPN
- Réseau local envahi.
Comme je l'ai précisé dans la topologie et configuration du réseau,
le Wifi et le VPN de la Freebox sont désactivés.
Donc de ce coté du firewall, il n'y a aucun Wifi ou VPN.
Citation:
et si c'était bêtement votre firewall qui au lieu de vous donner l'adresse IP public des PC qui essaient de se connecter à votre port 22 vous affiche leur IP local ... ?
Ce serait une possibilité, mais alors pourquoi il m'indiquerait les adresses publiques la majeur partie du temps,
et occasionnellement les adresses privées ???
Malheureusement, pour l'instant je n'ai pas d'explication valable, et je constate que nous (les utilisateurs de Freebox) n'avons aucun moyen de vérifier que notre Freebox est correctement configurée et sécurisée.
Nous ne pouvons que faire confiance, les yeux fermés, aux techniciens de notre FAI sans avoir le moindre fichier de log à se mettre sous la dent !
CurtisNewton, Posté le: Mer 23 Sep 2015, 17:51 Sujet du message:
1346111885
Bonsoir,
Des adresses en 10.x.x.x se trouvent sur le FreeWifi pour l'abonné étant connecté au réseau de hotspot, par exemple. Il a évidement une adresse publique en 78.250.x.x qui est comme celle fixe pour la ligne xDSL. Cette adresse en 10.x.x.x est visible si on surveille le réseau FreeWifi sur sa machine. Comme c'est du NAT, c'est logique. Mais c'est l'adresse publique qui devrait apparaitre...
Là, pour du réseau en câble avec aucune connexion FreeWifi, je ne vois pas trop, à part si Free se connecte aux box pour diverses raisons, et non pour de l'espionnage. Choses étrange quand même, cette histoire de 192.x.x.x qui est largement du local, logiquement.
Contender, Posté le: Mer 23 Sep 2015, 19:24 Sujet du message:
10704599189
Phidanfra a écrit:
Citation:
Alors, 2 possibilités :
- VPN
- Réseau local envahi.
Comme je l'ai précisé dans la topologie et configuration du réseau,
le Wifi et le VPN de la Freebox sont désactivés.
Donc de ce coté du firewall, il n'y a aucun Wifi ou VPN.
Citation:
et si c'était bêtement votre firewall qui au lieu de vous donner l'adresse IP public des PC qui essaient de se connecter à votre port 22 vous affiche leur IP local ... ?
Ce serait une possibilité, mais alors pourquoi il m'indiquerait les adresses publiques la majeur partie du temps,
et occasionnellement les adresses privées ???
Malheureusement, pour l'instant je n'ai pas d'explication valable, et je constate que nous (les utilisateurs de Freebox) n'avons aucun moyen de vérifier que notre Freebox est correctement configurée et sécurisée.
Nous ne pouvons que faire confiance, les yeux fermés, aux techniciens de notre FAI sans avoir le moindre fichier de log à se mettre sous la dent !
Je veux pas dire de bétises mais l'UPnP IGD et AV sont activés ? (d'ou les ouvertures de ports) _________________ 5571 mètres en 6/10 Débit ATM 4138 kbit/s et 1007 kbit/s Aff 56.50 dB 29 dB Marge 5 dB
Ponzy33, Posté le: Mer 23 Sep 2015, 20:28 Sujet du message:
5393048676
Sur le réseau Free il y a un VLAN pour les services TV (100).
Or sur ce VLAN les adresse sont en 10.X.Y.Z et il est tout a fais possible de se mettre dessus mais vaut mieux pas que Free te choppe car cela s'appelle de l'espionnage...
Donc une personne peu aller renifler ce qui ce passe sur ton VLAN 100 mais cela s'arrete la. ton routeur Firewall peut donc intercepter ces flux car le port 22 et utilisé pour les service de Replay et autres
En mode routeur les 4 port du serveur sont tag en 1 et 100.
Ensuite le Player reçoit 2 IP une pour le Vlan 1(local) et une pour le 100 (FreeTV), il se peut que le Player fasse des requêtes vers le serveurs pour ce mettre à jour lui et les applications Downloadées.
le truc et de remonter avec traceroute les IP que tu voit histoire de connaitre la source.
mais vu ta config je pencherai plutôt pour le Player car d'aprés tes log il y a aussi une redirection de port vers le 22.
C'est quoi ton firewall?
Phidanfra (Auteur du topic), Posté le: Jeu 24 Sep 2015, 17:08 Sujet du message:
116295107366
Citation:
Je veux pas dire de bétises mais l'UPnP IGD et AV sont activés ? (d'ou les ouvertures de ports)
Effectivement l'UPnP IGD et AV sont activés mais il me semblait qu'ils utilisaient les port 1900 et 5000 et non pas le 22, ou alors il y a une faille de sécurité sur le protocole UPnP d'une des Freebox et quelqu'un a piraté l'une des deux.
PS : Comment arrives tu à avoir un d ébit de plus de 4 Mb/s avec une ligne de 5.5 Km ?
France Telecom t'a mis une ligne téléphonique avec des câbles en or ???
Citation:
Ensuite le Player reçoit 2 IP une pour le Vlan 1(local) et une pour le 100 (FreeTV), il se peut que le Player fasse des requêtes vers le serveurs pour ce mettre à jour lui et les applications Downloadées.
Admettons, mais là le Player essayerait de se mettre à jour sur une machine perso ?
De plus, les tentatives de connexion sont toujours vers la machine pour laquelle le port 22 a été redirigé en entrée sur le Freebox Server, jamais vers une autre machine du réseau, même pas vers une autre machine vers laquelle les ports http et https sont ouverts aussi en entrée sur la Freebox Server !
Je ne sais pas si vous me suivez, mais sur la Freebox Serveur plusieurs ports sont ouverts en entrée,
le port 22 qui est redirigé vers PC-x, et les ports 80 et 443 qui sont redirigés vers PC-y,
et il n'y a jamais de tentative de connexion sur le port 22 vers PC-y, c'est toujours vers le PC-x, comme si quelqu'un de l'extérieur profitait de l'ouverture et de la redirection du port 22 sur la Freebox Server tout en réussissant à se faire passé pour une adresse privée.
Citation:
le truc est de remonter avec traceroute les IP que tu voit histoire de connaitre la source.
Malheureusement ça ne me donne rien mais ça me fait pensé que j'ai oublié d'aller voir dans le log complet du firefall (et non dans la version épurée comme ci-dessus) s'il n'y avait pas des adresses MAC d'enregistrées pour ces connexions.
Je vais voir ça et vous tiens au courant.
Sinon le firewall est un Linux avec iptable.
Il est configuré en bridge (il ne fait pas de NAT ni de routage) ce qui permet d'avoir le même sous réseau des deux cotés et le rend invisible quand on fait des traceroute ou autre, vu qu'il n'a pas d'IP sur ses interfaces IN et OUT.
Contender, Posté le: Jeu 24 Sep 2015, 17:46 Sujet du message:
10704599189
Phidanfra a écrit:
Citation:
Je veux pas dire de bétises mais l'UPnP IGD et AV sont activés ? (d'ou les ouvertures de ports)
Effectivement l'UPnP IGD et AV sont activés mais il me semblait qu'ils utilisaient les port 1900 et 5000 et non pas le 22, ou alors il y a une faille de sécurité sur le protocole UPnP d'une des Freebox et quelqu'un a piraté l'une des deux.
PS : Comment arrives tu à avoir un d ébit de plus de 4 Mb/s avec une ligne de 5.5 Km ?
France Telecom t'a mis une ligne téléphonique avec des câbles en or ???
Citation:
Ensuite le Player reçoit 2 IP une pour le Vlan 1(local) et une pour le 100 (FreeTV), il se peut que le Player fasse des requêtes vers le serveurs pour ce mettre à jour lui et les applications Downloadées.
Admettons, mais là le Player essayerait de se mettre à jour sur une machine perso ?
De plus, les tentatives de connexion sont toujours vers la machine pour laquelle le port 22 a été redirigé en entrée sur le Freebox Server, jamais vers une autre machine du réseau, même pas vers une autre machine vers laquelle les ports http et https sont ouverts aussi en entrée sur la Freebox Server !
Je ne sais pas si vous me suivez, mais sur la Freebox Serveur plusieurs ports sont ouverts en entrée,
le port 22 qui est redirigé vers PC-x, et les ports 80 et 443 qui sont redirigés vers PC-y,
et il n'y a jamais de tentative de connexion sur le port 22 vers PC-y, c'est toujours vers le PC-x, comme si quelqu'un de l'extérieur profitait de l'ouverture et de la redirection du port 22 sur la Freebox Server tout en réussissant à se faire passé pour une adresse privée.
Citation:
le truc est de remonter avec traceroute les IP que tu voit histoire de connaitre la source.
Malheureusement ça ne me donne rien mais ça me fait pensé que j'ai oublié d'aller voir dans le log complet du firefall (et non dans la version épurée comme ci-dessus) s'il n'y avait pas des adresses MAC d'enregistrées pour ces connexions.
Je vais voir ça et vous tiens au courant.
Sinon le firewall est un Linux avec iptable.
Il est configuré en bridge (il ne fait pas de NAT ni de routage) ce qui permet d'avoir le même sous réseau des deux cotés et le rend invisible quand on fait des traceroute ou autre, vu qu'il n'a pas d'IP sur ses interfaces IN et OUT.
Bah on va dire que je suis en tete de ligne quasiment ( il doit y avoir 10 maisons avant moi et le NRA est a peine remplis et je pense quil est bien Fibre car une antenne 4G est juste a cote _________________ 5571 mètres en 6/10 Débit ATM 4138 kbit/s et 1007 kbit/s Aff 56.50 dB 29 dB Marge 5 dB
Phidanfra (Auteur du topic), Posté le: Jeu 24 Sep 2015, 18:04 Sujet du message:
116295107366
Malheureusement, le firewall n'enregistre pas l'adresse MAC source, il n'enregistre que l'adresse MAC de sont interface par laquelle est entrée la connexion
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
