Bonjour,
je dispose de 2 NAS (branchés sur le routeur à partir d'un switch non manageable) et 2 disques attachés en USB à mon AP Wifi et j'ai remarqué que ces dispositifs sont infectés par des fichiers "Photo.scr", qui parait-il s'apparentent à des malwares.
Je souhaiterai savoir s'il y a des règles précises à mettre dans le firewall de l'ERL3 pour prévenir ce genre d'infection ou autres tentatives d'intrusion, j'ai lu sur google, que les NAS, seraient justement et particulièrement vulnérables à ce genre d'intrusions quand ils ne sont pas protégés derrière un routeur.
P.S. Je suis sous environnement Mac OS pour le reste.
Merci pour votre aide
Voici ma config de l'ERL avec les règles Firewall au cas où:
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description Internet
duplex auto
speed auto
vif 881 {
description "Internet (PPPoE)"
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password *********
user-id ***********
}
}
}
ethernet eth1 {
address 192.168.1.1/24
description Local
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth1
rule 1 {
description "Plex Server"
forward-to {
address 192.168.1.82
port 32400
}
original-port 32400
protocol tcp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 8.8.8.8
dns-server 8.8.4.4
ip-forwarding {
enable true
}
lease 86400
start 192.168.1.2 {
stop 192.168.1.199
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.2.10 {
stop 192.168.2.50
}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
dynamic {
interface pppoe0 {
service custom-afraid {
host-name mydyndns.mooo.com
login ******
password ********
protocol freedns
server freedns.afraid.org
}
web dyndns
}
}
forwarding {
cache-size 1000
listen-on eth1
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "Masquerade for Wan"
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.1.1
port 22
protocol-version v2
}
telnet {
port 23
}
upnp2 {
listen-on eth1
listen-on eth2
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
host-name ubnt
login {
user rafie {
authentication {
encrypted-password ***************************************
plaintext-password ""
}
level admin
}
user root {
authentication {
encrypted-password **********************************************
plaintext-password ""
}
full-name ""
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
task-scheduler {
task Reconnect-pppoe0 {
executable {
path /config/scripts/connect-pppoe.sh
}
interval 1m
}
}
time-zone Africa/Casablanca
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098915.180622.1355 */