Tentatives d'accès extérieur vers mon NAS

[Rogdot29 (Auteur du topic)]

Bonjour

Je constate sur le fichier log de mon NAS des tentatives d accès depuis des IP exterieur pourtant dans la page mafreebox.Freebox je ne voit pas de machines reseau connecté autre que les miennes

Qu en pensez vous ?

J ai oublié de préciser je n ai aucune redirection de port sur la Freebox

*** Modération *** Posts fusionnés. Titre édité *** Modération ***

Curtis Newton

[CurtisNewton]

Bonjour,

Quand on voit le nombre de bots sur le Net, ça ne m'étonne pas. Rie nque sur le P2P quand on surveille les connexions.

Ça le fait depuis longtemps ?

Elles sont localisée où ces IP ?

Tu n'aurais pas une saleté sur une machine qui essaye de rentrer sur ton réseau par le NAS ou autres ?

[PPTOTO]

Bonjour,

En IPv6, le NAS est visible de lui même sur le net avec sa propre IPv6.

Ton NAS fait dans ce cas la partie d'un énorme réseau locale mondiale. C'est pour ça il faut qu'il soit protégé par un pere-feu.

Sinon pour les redirections de ports, certains NAS style WD My Cloud utilisent l'UPnP IGD pour faire des redirections de ports en automatique. Dans ce cas la, quelqu'un à peut être scanné tes ports et a essayé d'y accéder.

[Rogdot29 (Auteur du topic)]

Merci pour vos reponses 
Pour les adresses IP se sont des extérieurs 
J ai fait le ménage ce matin et razer le log donc désolé je n ai plus les adresses de IP 
Une fois précédente j avais regardé la provenance c était un peu tout mais beaucoup asiatique mais bon avec un serveur VPN.... 

Vous me dite que ça peut se faire en IPv6 mais comment il passe le firewall hard de la Freebox ?

Avez vous aussi ce genre de problemes ?

Oui me viens a l idée que mon qnap avec son appli qfile j accede au NAS en exterieur et aussi avec une adresse gerer par le fabriquant. Connaissez vous comment se passe ces 2 genres d accès ?

[PPTOTO]

De rien,

1 - La Freebox ne dispose pas de firewall, car il y'a seulement le NAT et en IPv6 le NAT n'est pas utilisé puisque chaque machine dispose de sa propre IP publique.

2 - Ce type d'application utilise l'UPnP IGD pour créer des redirections de ports en automatique. Donc en toute logique si tu utilises ce type d'accès, il faudra aller dans Freebox OS et regarder les redirections qui vont être crées par ton NAS pour accorder les accès. l'UPnP IGD sert justement à créer des redirection de port en dynamique.

[Rogdot29 (Auteur du topic)]

Merci pptoto pour ta reponse. Je vais creuser et chercher a comprendre les elements techniques dont tu me parles car je ne connais pas du tout.

A premiere vue ça a l air inquiétant. je ne pensais pas que c etait si open bar

Et si je repasse ma Freebox en IPv4 se serait mieux ?

[CurtisNewton]

Ça sera mieux dans le sans qu'il y aura le NAT, mais la box n'a pas de firewall non plus ne IPv4.

[PPTOTO]

Oui, mais le NAT protège quand même à minima en IPv4 en masquant la machine.

Donc moi personnellement je conseille la désactivation de l'IPv6 au niveau de la Freebox.

Pour les redirections de ports, tu as le choix :

1 - Soit laisser l'UPnP IGD activé coté Freebox, dans ce cas la ton NAS s'occupe de faire ses redirections de ports. Dans ce cas la tu continues à utiliser tes applications Qnap et l'accès via le site du constructeur. Par contre il faut veiller à ce que les paramètres de sécurité du NAS soit activés (il s'agit d'une sorte de pare-feu coté NAS). Dans ces paramètres de sécurité tu as la possibilité de faire des filtres et de bloquer certains protocoles comme ceux des ping et autres

2 - Soit, tu oublies complètement les accès via le site du constructeur et tu désactives l'UPnP IGD pour avoir le contrôle sur les redirections de ports. Il faut dans ce cas la faire une redirection de port en manuel avec un numéro de port exotique qui ne fait pas partie des port par défaut et supérieur à 16 000 histoire de compliquer la tache lors d'un scan de port, ensuit il faut passer par le nom de domaine personnalisé coté Freebox pour accéder à ton NAS depuis l'extérieur en mode sécurisé. La aussi il faut laisser le pare-feu de ton NAS activé.

Comme pour l'IPv6, je conseille fortement la désactivation de l'UPnP IGD pour les mêmes raisons de sécurité.

[Rogdot29 (Auteur du topic)]

Merci pour vos réponses
Après toutes vos informations que je ne connaissais pas je vais revenir en IPv4 et rediriger le port de mon NAS après 16000 comme vous me le conseiller et me renseigner sur l UPnP igd

[CurtisNewton]

@PPTOTO
Chez moi aussi, les logs, c'est en bonne quantité. Et quand tu vois certaines adresses, tu te poses des questions.

Je ne sais pas ce que les FAI ont prévu niveau protection en IPv6 pour le futur, mais il faudra au moins fermer tous les ports entrant. Si ils mettent un vrai firewall, la box aura besoin de plus de puissance...

[frederic76]

Et si je peux me permettre :
- désactiver la réponse au ping ça aide beaucoup contre certaines attaques potentielles.
- éviter de jouer sur certains sites de jeux en réseau de guerre, tirs... En clair sans VPN même si risque de latence.
- tenter de changer les ports utilisés.
- peut être mettre un firewall entre la box et le NAS

[PPTOTO]

[CurtisNewton]

Je me demande si c'est un vrai firewall sur la Livebox 3 ?

Il y a quelques mois, je lisais sur NextINpact dans les commentaires, que les FAI n'avaient de vrai firewall sur les box en IPv6. De toute manière, ça demande de la puissance quand il y a des requêtes, qui sera en moins pour le reste... Un bon routeur/firewall, ce n'est pas 30 €.

[frederic76]

Sauf si j'avais mal compris à l'époque mais lorsque j'étais chez Orange à l'époque, ils proposaient un antivirus, firewall ou le deux pour x euros par mois. Je sais plus la marque mais peu importe. Le firewall il me semble qu'il s'activait sur la box uniquement, rien à installer sur ordis. En revanche si on voulait l'antivirus il fallait installer sur ordi.
Ca date.

[PPTOTO]