Message D'alerte Inqui

[gaetan.cambier]

C'est sûr qu'une update openssl va corriger un problème de configuration lie a la dmz toujours active sur le routeur ...

[Gilles]

Bonjour à vous deux.

@ Firlin:

"As tu des appareil de chez Apple de connecter à ton réseau ?"

Rien de rien. Aucun programmes d'installés, aucun periphériques de connecté Apple, que ce soit sous Windows ou Ubuntu.

- J'ai fais une recherche complête sous Windows, dans mes programmes installés, à la racine de C:/ (Programmes, Programmes Files, Programmes Data).

- J'ai fais une recherche dans mes processus en cours d'execution: Rien

- J'ai fais une recherche dans les rêgles de pare-feu Windows: Rien trouvé non plus.

- J'ai fais une recherche dans les services Windows: Rien

Même choses pour Ubuntu, avec un listage des programmes installés.

A vrai dire, je suis dans le flou le plus total et je ne sais plus ou cherché.

"Pour savoir quel port provoque cela sur le routeur tu peux toujours, tous les désactivé et les réactive un par un après avoir fait un test avec le conseiller en sécurité. 'du moins si tu as beaucoup de port d'ouvert)."

J'y ai penser: Seul les ports 20 / 21 (FTP) et 1723 (VPN) sont ouverts.

J'ai bloqué à tout hasard le port 5353 (Service Bonjour), bien que je ne le trouve nul part.

Dans mon NAS sont ouvert les ports:

- 55900 - 55910

-

- 5000

- 1723

J'ai tenté de désactiver un à un les ports, sans résultats dans le message d'erreur.

"Pour info il y a une mise a jours qui date de ce matin installe la, on sait jamais."

Je l'ai vu et installer. J'ai même redémarrer le NAS, à tout hasard... Mais là non plus, rien n'y a fait...

Je garde mon calme...

@ Gaëtan:

"(...) lie a la dmz toujours active sur le routeur"

C'est là que le bas blesse justement: La DMZ est désactivée dans le routeur... depuis le post 13

Gilles.

Modifié le 21 mars 2015 par Gilles

[gaetan.cambier]

La dmz est activée, elle pointé sur le 200.

Dans la plupart des routeur, pour désactivé la fonction, faut la remettre a 0

[Gilles]

L'adresse est celle de mon NAS sur mon réseau local. Cela a t-il un rapport?

EDIT:

Je viens de mettre l'adresse 192.168.0.0.... Pas de changements.

Modifié le 21 mars 2015 par Gilles

[Brunchto]

le service "bonjour" est dans "panneau de configuration" / "Services de fichiers" / "Services de fichiers Mac"

[gaetan.cambier]

Toute façon, le problème, c'est pas qu'il y ai le service bonjour actif, le problème, c'est qu'il soit accessible depuis internet

Le firewall du routeur est configurer comment ?

Modifié le 21 mars 2015 par Gaetan Cambier

[firlin]

Ici

Merci en passsant Brunchto j ai deactivé les truc maC chez moi vu que j en ai pas

[Brunchto]

Toute façon, le problème, c'est pas qu'il y ai le service bonjour actif, le problème, c'est qu'il soit accessible depuis internet

Le firewall du routeur est configurer comment ?

C'est plutôt: le "conseiller en sécurité" pense que le service bonjour est ouvert de l'exterieur ...

comme il n'y a aucun moyen de savoir comment le conseiller de sécurité trouve cette info, il faudrait faire un scan de ports depuis l'extérieur pour voir ce qui est vraiment ouvert.

81.220.250.15 isn't responding on port 21 (ftp).

81.220.250.15 isn't responding on port 23 (telnet).

81.220.250.15 isn't responding on port 25 (smtp).

81.220.250.15 is responding on port (http).

81.220.250.15 isn't responding on port 110 (pop3).

81.220.250.15 isn't responding on port 139 (netbios-ssn).

81.220.250.15 isn't responding on port 445 (microsoft-ds).

81.220.250.15 isn't responding on port 1433 (ms-sql-s).

81.220.250.15 isn't responding on port 1521 (ncube-lm).

81.220.250.15 is responding on port 1723 (pptp).

81.220.250.15 isn't responding on port 3306 (mysql).

81.220.250.15 isn't responding on port 3389 (ms-wbt-server).

81.220.250.15 isn't responding on port 5900 ().

81.220.250.15 isn't responding on port 8080 (webcache).

81.220.250.15 isn't responding on port 1890 (wilkenlistener).

81.220.250.15 isn't responding on port 1891 (childkey-notif).

81.220.250.15 isn't responding on port 1892 (childkey-ctrl).

81.220.250.15 isn't responding on port 1893 (elad).

81.220.250.15 isn't responding on port 1894 (o2server-port).

81.220.250.15 isn't responding on port 1895 ().

81.220.250.15 isn't responding on port 1896 (b-novative-ls).

81.220.250.15 isn't responding on port 1897 (metaagent).

81.220.250.15 isn't responding on port 1898 (cymtec-port).

81.220.250.15 isn't responding on port 1899 (mc2studios).

81.220.250.15 isn't responding on port 1900 (ssdp).

81.220.250.15 isn't responding on port 1901 (fjicl-tep-a).

81.220.250.15 isn't responding on port 1902 (fjicl-tep- .

81.220.250.15 isn't responding on port 1903 (linkname).

81.220.250.15 isn't responding on port 1904 (fjicl-tep-c).

[gaetan.cambier]

root@debian:~# nmap -sU -Pn 81.220.*.* -p 5353


Starting Nmap 6.00 ( http://nmap.org) at 2015-03-21 17:22 CET
Nmap scan report for ip-*.net-81-220-*.rev.numericable.fr (81.220.*.*)
Host is up.
PORT     STATE         SERVICE
5353/udp open|filtered zeroconf


Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds

la reponse est claire ...

le port est ouvert

c'est pas le conseillé en sécurité qui dis que c'est soit disant accessible, C'EST ACCESSIBLE !!!

Modifié le 21 mars 2015 par Gaetan Cambier

[Brunchto]

a ouaip, j'ai pas regardé le bon port... j'étais resté au 1900 de base de chez apple.

ce serait pas mal que le conseiller de sécurité indique les ports testés, plutôt que de devoir partir à la pêche au port concerné

[gaetan.cambier]

wikipedia le donne direct, ca m'a pris moin de 10 secondes

[Brunchto]

merci Maitre pour votre leçon. nous nous adresserons à vous en inclinant la tête dorénavant.

[Gilles]

Merci à tous encore une fois pour passer autant de temps à me dépanner...

Je vais tacher de vous répondre dans l'ordre de vos interventions divines (!)

@ Bruncho post 30:

S'il y a bien un endroit ou je n'ai pas chercher, c'est bien là, dans le service de fichier...

En effet, c'était bien activé. J'ai décoché le case... refait une analyse avec le "conseillé" de sécurité... et... Ben non, toujours pareil ! Le message est toujours présent, et mon niveau de sécurisation est toujours aussi bas...

@ Gaëtan posts 31 et 34:

"Le firewall du routeur est configurer comment ?"

Aucun moyens d'entrer dans les paramêtres du pare-feu de mon routeur. Il n'y a aucune fonction pour y acceder. Il est donc par défaut.

Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds

Starting Nmap 6.00 ( http://nmap.org) at 2015-03-21 17:22 CET
Nmap scan report for ip-*.net-81-220-*.rev.numericable.fr (81.220.*.*)
Host is up.
PORT     STATE         SERVICE
5353/udp open|filtered zeroconf

root@debian:~# nmap -sU -Pn 81.220.*.* -p 5353

Je lis: 5353/udp open|filtered

Et pourtant, j'ai bloqué ce port dans mon routeur...

"la reponse est claire ...

le port est ouvert

c'est pas le conseillé en sécurité qui dis que c'est soit disant accessible, C'EST ACCESSIBLE !!!"

Aie aie aie ! J'aime pô ça, mais alors pas du tout.

Du coup, comme je le pensais dans mes premier post (n° 10), y a du taf avec ma config pour rétablir tout ça dans les normes et dans les clous...

Mon cas est désespéré...

Gilles.

Modifié le 21 mars 2015 par Gilles

[Einsteinium]

Déjà désactive la dmz en mettant 0 au lieu de 200... Quelques mois en arrière et tu étais à coup sur victime de synolocker...

D'ailleurs le plus simple, faire un teamviewer avec toi pour sécurise ton nas si tu veux ? On gagnerais tous en temps et toi en sécurité... Et rien de tel qu'une démonstration pour comprendre.

Modifié le 21 mars 2015 par Einsteinium

[gaetan.cambier]

bon, desactive l'upnp dans le routeur et reboot le routeur (ou debranche si il y a pas de reboot), si ca se trouve, c'est un peripherique sur ton lan qui demande à ton routeur d'ouvrir le port

et comme bien gentillement l'upnp est active je présume, tous les port peuvent etre ouvert automatiquement depuis ton lan, ce qui n'est pas recommandé pour la securité

vaut mieux passer 2 minutes à rajouter les port que l'on a reellement besoin dans le nat du routeur

[Gilles]

Bonjour à tous,

@ Einsteinium:

"Déjà désactive la dmz en mettant 0 au lieu de 200 (...)"

Fait, au post #29, suite aux recommendations de Gaëtan.

"D'ailleurs le plus simple, faire un teamviewer avec toi pour sécurise ton nas si tu veux? (...)"

Ce serait une bonne idée en effet. Je recontact par MP pour les modalités.

@ Gaëtan:

"bon, desactive l'upnp dans le routeur et reboot le routeur"

Fait: J'ai désactivé l'UPNP dans le routeur, rebooté celui-ci à l'instant... et après vérification, le problème de ce "Service Bonjour" reste entier... Il y a toujours ce message d'avertissement.

Gilles.

[Gilles]

J'AI ENFIN UNE BONNE NOUVELLE A VOUS ANNONCER !!!

Je n'ai plus ce message d'erreur... Est-ce le fait d'avoir décocher la case de l'UPnP dans mon routeur, je ne sais pas...

Après avoir redemarrer mon routeur, j'ai installer teamvievew, suite à la proposition de Einsteiniun. J'ai ensuite redémarrer (accidentellement...) ma machine. Au redémarrage, j'ai accédé aux paramettres de mon NAS, puis, j'ai refait une analyse avec "Conseillé de sécurité".

Mais, et c'est là que le miracle est apparu (!), tout était dans le vert...

Par acquis de conscience, j'ai tout de même fais une analyse... et tout à été concluant...

Certes, CE problème est résolu... mais pas celui de ma sécurisation. Donc, je m'en remet entre les mains sans doute expertes d'Einsteiniun pour pauffiner tout ça...

Bien entendu, une fois fait, je me retournerais vers vous pour vous donner de mes nouvelles.

Je ne sais comment vous remercier en attendant...

Gilles.

[Patrickdu34]

Voilà la bonne nouvelle du début de semaine.

Merci pour tes retours

[Gilles]

Salut à tous,

Petites nouvelles:

Après un entretien plus que constructif avec Einsteinium, il a été constaté de nombreux problèmes et manquements dans la configuration de mon NAS.

Parmi les points les plus importants qui on été modifiés:

- On a désactivé le compte admin, première victime en cas d'attaque distante.
- On a passer de http à https l'interface de gestion.
- On a refait les règles du pare feu, avec une règle pour le locale, une pour la distante

- On a fait le point sur la gestion des utilisateurs, en prenant bien compte les groupes Admin et Utilisateurs. Pour résumer, tous mes utilisateurs étaient admin...

- On a vérifié et modifier quelques règles dans mon routeur.

Je le rappelle, je manquais de connaissances lors de la configuration de mon NAS, et non seulement Einsteinium a su me remettre tout ça en ordre, mais a su m'expliquer en détail mes erreurs ainsi que les remédes à apporter.

Il nous reste encore quelques petites choses à voir ensemble, mais le gros oeuvre est fait. Le rendez-vous téléphonique / teamweview ayant lieu demain en début d'après midi. Je vous tiens au jus.

Bonne fin journée à tous.

Gilles.