Aller au contenu

La passoire rt1900ac ?


aaita

Messages recommandés

Bonjour,

Je viens d’acquérir le routeur wireless rt900ac et ayant un vrai firewall  entre ce routeur en mode point d'accès simple et mon accès internet, je vois dans les log que le routeur effectue des connexions qui ne sont documenté nul part. (archi simple :

[Lan de Prod] RT1900ac  - [lan de prod] Switch N3 [rx d'interco] -  [rx d'interco] FW [DMZ] -  [DMZ]Box Opérateur (passoire)[WAN]

  1. Détection d'un flux DNS et ICMP malgré une configuration en IP statique avec un serveur DNS local. Le rt1900ac va chercher ses résolutions dns chez google en 8.8.8.8.
  2. De plus de nombreuses requêtes icmp à destination de google viennent compléter le tableau.

L'absence de documentation et d'information sur le sujet ne donne pas une impression de transparence sur le produit. De plus si vous bloquer ces flux, pas de mise à jour,  pas de package applicatif..

Dans les cas où vous souhaitez maitriser vos flux en sortie, je vous déconseille ce produit. pas adapté au monde professionnel ! et encore moins un mode frontal internet le mode routeur.

 

ci dessous quelques éléments les éléments :

2016-10-23
11:58:12
Info CONN
600004
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_open_natsat
conn=open connsrcid=51262 conndestid=51262 connnewsrcip=DMZ2 connnewsrcid=20679 connnewdestip=8.8.8.8 connnewdestid=20679
2016-10-23
11:58:00
Info CONN
600005
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_close_natsat
close
conn=close connsrcid=39230 conndestid=39230 connnewsrcip=DMZ2 connnewsrcid=37108 connnewdestip=8.8.8.8 connnewdestid=37108 origsent=252 termsent=252 conntime=11
2016-10-23
11:57:49
Info CONN
600004
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_open_natsat
conn=open connsrcid=39230 conndestid=39230 connnewsrcip=DMZ2 connnewsrcid=37108 connnewdestip=8.8.8.8 connnewdestid=37108
2016-10-23
11:57:37
Info CONN
600005
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_close_natsat
close
conn=close connsrcid=27198 conndestid=27198 connnewsrcip=DMZ2 connnewsrcid=4835 connnewdestip=8.8.8.8 connnewdestid=4835 origsent=252 termsent=252 conntime=11
2016-10-23
11:57:26
Info CONN
600004
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_open_natsat
conn=open connsrcid=27198 conndestid=27198 connnewsrcip=DMZ2 connnewsrcid=4835 connnewdestip=8.8.8.8 connnewdestid=4835
2016-10-23
11:57:14
Info CONN
600005
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_close_natsat
close
conn=close connsrcid=15166 conndestid=15166 connnewsrcip=DMZ2 connnewsrcid=32265 connnewdestip=8.8.8.8 connnewdestid=32265 origsent=252 termsent=252 conntime=11
2016-10-23
11:57:03
Info CONN
600004
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_open_natsat
conn=open connsrcid=15166 conndestid=15166 connnewsrcip=DMZ2 connnewsrcid=32265 connnewdestip=8.8.8.8 connnewdestid=32265
2016-10-23
11:56:51
Info CONN
600005
nat_lan_ICMP ICMP GESW
G2
rt1900ac
8.8.8.8
  conn_close_natsa
Lien vers le commentaire
Partager sur d’autres sites

Il doit s'agir des serveurs DNS utilisés par le RT1900ac, les requêtes ICMP permettent probablement au NAS de vérifier qu'il est bien connecté à internet. Je ne vois pas le rapport avec une passoire.

Si tu veux plus de détails sur le trafic DNS et ICMP généré, il suffit d'utiliser tcpdump sur le RT1900ac : Diskstation> tcpdump icmp or udp port 53 -Anq

Tu peux aussi enregistrer ces captures pour les ouvrir dans Wireshark en modifiant la sortie (je n'ai plus la syntaxe en tête, tcpdump --help t'aidera).

Lien vers le commentaire
Partager sur d’autres sites

Merci pour cette prompt réponse. Je suis tout a fait d'accord avec toi sur le fait que le rt utilise ce serveur dns. Les points que je soulève sont à mon sens

  1. des problèmes de transparences sur la façon dont le produit fonctionne.
  2. Je parle de passoire car il s'agit à mon sens de flux non maitrisés par l'entreprise dans le cas d'un déploiement.

D'une manière générale, les flux DNS sortant sont autorisés depuis les serveurs DNS de l'entreprise et je n'autorise pas les autres devices à se connecter aux serveurs DNS externes.

Dans un second temps, c'est l'obligation d'utiliser ce système pour profiter des mises à jours que je trouve perturbant. Toute entreprise se doit de maitriser les flux et ce produit impose son mode.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, aaita a dit :

1. des problèmes de transparences sur la façon dont le produit fonctionne.

Je ne vois pas le problème, c'est le cas avec tous les constructeurs de matériels connectés à un réseau alors ? Dans le cas du RT1900ac, un tcpdump te donne tout ce qui pourrait te sembler "suspect".

il y a une heure, aaita a dit :

2. Je parle de passoire car il s'agit à mon sens de flux non maitrisés par l'entreprise dans le cas d'un déploiement.

Tu crois franchement mieux maîtriser les flux d'un Windows 10 ? En entreprise tu as un pare-feu dans lequel tu définis tes propres règles. S'il y a une fuite quelconque, c'est par non-maîtrise ou négligence de la part de celui qui l'a configuré (ou volonté du constructeur pour les plus paranos).

il y a une heure, aaita a dit :

D'une manière générale, les flux DNS sortant sont autorisés depuis les serveurs DNS de l'entreprise et je n'autorise pas les autres devices à se connecter aux serveurs DNS externes.

Donc toutes les requêtes DNS émises par le RT1900ac n'aboutissent pas car non-autorisées par le pare-feu. Quel est le souci ?

il y a une heure, aaita a dit :

Dans un second temps, c'est l'obligation d'utiliser ce système pour profiter des mises à jours que je trouve perturbant.

Si tu parles des mises à jour du RT1900ac, tu n'es pas obligé de le connecter à internet pour les faire : https://www.synology.com/fr-fr/support/download/RT1900ac

Il y a 1 heure, aaita a dit :

Toute entreprise se doit de maitriser les flux...

Et bah alors on est vraiment très très loin du compte (BVPN ou 9iPnet pour les connaisseurs) :rolleyes:

Il y a 1 heure, aaita a dit :

... et ce produit impose son mode.

Je ne vois pas en quoi. D'ailleurs il y a bien pire que ce que tu décris chez les caméras IP de Samsung ou Hickvision pour ne citer qu'eux (DNS et NTP de la marque, si c'est pas fait pour tracer...).

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.