Auteur Sujet: NAS et protection contre les fichiers indésirables  (Lu 407 fois)

0 Membres et 1 Invité sur ce sujet

aljarreau

  • Client Maroc Telecom
  • *
  • Messages: 188
  • Casablanca
NAS et protection contre les fichiers indésirables
« le: 17 juillet 2018 à 15:05:59 »
Bonjour,

je dispose de 2 NAS (branchés sur le routeur à partir d'un switch non manageable)  et 2 disques attachés en USB à mon AP Wifi et j'ai remarqué que ces dispositifs sont infectés par des fichiers "Photo.scr", qui parait-il s'apparentent à  des malwares.

Je souhaiterai savoir s'il y a des règles précises à mettre dans le firewall de l'ERL3 pour prévenir ce genre d'infection ou autres tentatives d'intrusion, j'ai lu sur google, que les NAS, seraient justement et particulièrement vulnérables à ce genre d'intrusions quand ils ne sont pas protégés derrière un routeur.

P.S. Je suis sous environnement Mac OS pour le reste.

Merci pour votre aide

Voici ma config de l'ERL avec les règles Firewall au cas où:

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description Internet
        duplex auto
        speed auto
        vif 881 {
            description "Internet (PPPoE)"
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password *********
                user-id ***********
            }
        }
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description "Local 2"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    rule 1 {
        description "Plex Server"
        forward-to {
            address 192.168.1.82
            port 32400
        }
        original-port 32400
        protocol tcp
    }
    wan-interface pppoe0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                ip-forwarding {
                    enable true
                }
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.199
                }
            }
        }
        shared-network-name LAN2 {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                start 192.168.2.10 {
                    stop 192.168.2.50
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        dynamic {
            interface pppoe0 {
                service custom-afraid {
                    host-name mydyndns.mooo.com
                    login ******
                    password ********
                    protocol freedns
                    server freedns.afraid.org
                }
                web dyndns
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth1
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "Masquerade for Wan"
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        listen-address 192.168.1.1
        port 22
        protocol-version v2
    }
    telnet {
        port 23
    }
    upnp2 {
        listen-on eth1
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    host-name ubnt
    login {
        user rafie {
            authentication {
                encrypted-password ***************************************
                plaintext-password ""
            }
            level admin
        }
        user root {
            authentication {
                encrypted-password **********************************************
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    task-scheduler {
        task Reconnect-pppoe0 {
            executable {
                path /config/scripts/connect-pppoe.sh
            }
            interval 1m
        }
    }
    time-zone Africa/Casablanca
    traffic-analysis {
        dpi enable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098915.180622.1355 */

zoc

  • Client Orange Fibre
  • *
  • Messages: 2 300
  • Antibes (06)
NAS et protection contre les fichiers indésirables
« Réponse #1 le: 17 juillet 2018 à 18:01:16 »
Tout est déjà fermé au max là (sauf le port forwarding pour Plex évidemment).

Par contre il est possible que les NAS ouvrent des ports en utilisant uPnP ou nat-pmp, et là, la solution, c’est désactiver ça dans la config des NAS, ou alors désactiver uPnp2 dans la config du routeur.

aljarreau

  • Client Maroc Telecom
  • *
  • Messages: 188
  • Casablanca
NAS et protection contre les fichiers indésirables
« Réponse #2 le: 17 juillet 2018 à 18:19:07 »
Merci @zoc
uPnp est désactivé sur les NAS, je vais désactiver alors uPnp2 dans le routeur, puisque mes NAS ne servent que Plex et que je n'ai pas dans ce cas besoin de ce service, si j'ai bien compris.



 

Mobile View