Nombreuses tentatives d'accès rejetées par le pare-feu de mon NAS

[Mathieu Réau]

Il y a 5 heures, Toto61 a dit :

Bonne nouvelle si tu as récupérer la main sur ton NAS !

Oui, c'est un véritable soulagement ! 

Il y a 5 heures, Toto61 a dit :

Tu peux refaire une capture que je vois ce que cela donne.

Aussitôt dit...

QuFirewall_Basic protection_20210702.pcap

Merci, Toto !

Modifié le 2 juillet 2021 par Mathieu Réau

[Toto61]

Sur cette capture, je note deux tentatives d'accès aux ports d'administration de ton NAS depuis l'extérieur à près de 4min d'écart :

• 34.86.35.15 (USA / Google (Google Cloud customers)) sur le port TCP 8080 le 02/07 à 23H01.11
• 198.98.49.235 (USA / Ponynet-06) sur le port TCP 8081 le 02/07 à 23H04.57

Le dernier log qui concernait les échanges BitTorrent (TCP 6881) remontait au 27/06 à 20H41.39. Depuis, rien à ce niveau.

Les alertes mails reçues correspondent-elles ?

[Mathieu Réau]

Il y a 9 heures, Toto61 a dit :

Le dernier log qui concernait les échanges BitTorrent (TCP 6881) remontait au 27/06 à 20H41.39. Depuis, rien à ce niveau.

Ce doit être parce que j'ai désactivé l'application qui ouvrait le port 6881 sur la Livebox. J'imagine que, si je la relance, le trafic réapparaîtra. Puisque je me suis autrefois servi de cette application pour télécharger des torrents, se pourrait-il que ces tentatives de connexion proviennent de peers sondant mon client à la recherche de l'un ou l'autre des fichiers que j'avais téléchargés à l'époque ?

Le pare-feu disponible sur le NAS que j'utilise me semble fournir bien peu d'informations à l'utilisateur en-dehors de la création d'un rapport de capture de paquets.

Depuis l'application elle-même, je ne peux que consulter le nombre de paquets rejetés par le pare-feu sur une période de temps donnée. À l'heure que tu m'indiques pour ces deux tentatives de connexion suspecte, soit autour de dix-sept heures chez moi, avec le décalage horaire, voici que le pare-feu m'indique :

2021/07/02	16:57-17:57
9	All	IPV4	Any	Any	0.0.0.0	Deny
403	All	IPV4	Any	Any	Any	Deny
3	All	IPV6	Any	Any	Any	Deny

Le nombre de paquets indiqué sur la ligne du milieu se situe dans la même fourchette que tout au long de ces derniers jours. Sur les deux autres lignes, les évènements bloqués sont plus rares mais se produisent tout de même de temps à autres, dans des proportions similaires.

La capture que j'ai faite hier ne traduit donc, en soi, aucune différence notable avec les jours précédents et n'explique pas pourquoi, du jour au lendemain, le nombre de paquets bloqués est passé de moins de 150 à plus de 400... Or, c'est bien ce que je ne comprends pas puisque, d'après toi, il n'y a pas tant de trafic suspect que cela aux portes de mon NAS... 

 

[Toto61]

il y a 1 minute, Mathieu Réau a dit :

se pourrait-il que ces tentatives de connexion proviennent de peers sondant mon client à la recherche de l'un ou l'autre des fichiers que j'avais téléchargés à l'époque ?

Si ton serveur Torrent est actif, et que des fichiers sont encore présents dedans et en partage, oui. S'il n'y a plus rien dessus, cela ne devrait pas déclencher de connexion entrante, sauf ponctuellement (scan aléatoire). Mais s'il ne partage rien, pas d'intérêt dans ce cas à le garder actif. 

il y a 4 minutes, Mathieu Réau a dit :

Or, c'est bien ce que je ne comprends pas puisque, d'après toi, il n'y a pas tant de trafic suspect que cela aux portes de mon NAS...

C'est surtout ce qu'indique la capture réseau que tu nous as fourni.

[Mathieu Réau]

il y a 49 minutes, Toto61 a dit :

C'est surtout ce qu'indique la capture réseau que tu nous as fourni.

Des chances qu'elle rate des trucs ?

[Toto61]

Je n'appellerai pas cela des chances, mais y'a t'il un paramétrage quelque part qui t'aurais échappé ? Ce qui me surprend, c'est que tu as dit à 2 reprises que tu avais "filtré" ces captures, or, à chaque fois, ces captures reprenaient l'ensemble des éléments depuis ta première capture le 26/03/2021 - 14H49:39.

• sur cette première capture du 26/03, il y avait 7391 trames. 
• le 27/06, la capture reprend à cette date entre les trames 7392 et 7725.
• sur celle du 28/06, on reprend entre 7726 à 7944
• enfin sur la dernière du 02/07, on démarre à 7945 jusqu'à 8153.

J'ai donc l'impression qu'il y a un truc qui se passe mal durant ton export filtré. Peux tu tenter un export complet, en le compressant histoire de gagner un peu de poids, avant de le joindre dans ta prochaine réponse ?

[Mathieu Réau]

En fait, je dispose de deux interfaces différentes sur mon pare-feu afin "d'analyser" autant que faire se peut l'action qu'il mène.

Il y a tout d'abord l'interface de capture des paquets refusés que cette capture d'écran montre intégralement (après une capture) :

Elle est d'une simplicité navrante, comme tu peux le constater, la seule chose qu'il est possible de paramétrer étant la durée de l'enregistrement. Lequel, si je comprends bien, s'ajoute en fin de compte au rapport global des précédents enregistrements effectués que je ne peux exporter que de la façon dont je te l'ai toujours envoyé.

Et il y a aussi l'interface comptabilisant les paquets interceptés par le pare-feu :

Elle ne montre aucun détail de plus et, là encore, la seule chose paramétrable se trouve être l'intervalle durant lequel s'établissent les rapports ici présentés.

Je suis désolé, je ne pense pas être en mesure de faire plus avec cette application. Je crois que c'est très basique à côté de ce que d'autres pare-feu plus sophistiqués doivent permettre.

J'ai compressé le rapport de ma dernière capture au format .rar. Je ne pensais pas gagner autant ! J'espère que le fichier n'est pas corrompu...

QuFirewall_Basic protection_20210703.rar

[Toto61]

Quelle est la durée maximum d'enregistrement permise par le système ? Car si tu rencontre une prochaine série d'attaque, il faudrait lancer l'enregistrement sur un laps de temps plus grand.

[Mathieu Réau]

Trente minutes, c'est le maximum.

Ce qui est curieux, c'est que j'étais persuadé d'avoir fait un enregistrement plus long, la dernière fois... 

Peut-être que la durée maximale a été réduite depuis la dernière mise à jour.

[Toto61]

C'est certainement le cas :

• 26/03 : 54 minutes
• 27/06 et suivant : 30 minutes

La Livebox dispose-t-elle d'une fonction d'export du trafic ?

[Mathieu Réau]

Il y a 6 heures, Toto61 a dit :

C'est certainement le cas :

• 26/03 : 54 minutes
• 27/06 et suivant : 30 minutes

C'est bien ce qu'il me semblait.

Il y a 6 heures, Toto61 a dit :

La Livebox dispose-t-elle d'une fonction d'export du trafic ?

Je n'ai pas l'impression... Je ne trouve rien de ce genre, en tout cas.

Et si je cumulais plusieurs captures d'une demi-heure avec le pare-feu de mon NAS ? Quatre ou cinq, pas exemple. Ça donnerait un échantillon suffisant ?

[Toto61]

Oui, tu peux.

[Mathieu Réau]

J'ai effectué deux heures d'enregistrement par sessions de trente minutes. J'envoie le dernier rapport, puisqu'il semble que les rapports soient cumulatifs. Dans le contraire, j'enverrai également les autres.

 

QuFirewall_Basic protection_20210704 4.rar

Modifié le 4 juillet 2021 par Mathieu Réau

[Toto61]

C'est un peu plus causant, mais rien d'alarmant (5 scan en 3H).

Si ton NAS n'a pas vocation à être accessible en administration depuis l'extérieur, tu peux fermer la redirection des ports 8080 et 8081 vers son IP. Ton NAS restera accessible en administration depuis ton réseau local.

A quoi ressemble la page qui concerne le paramétrage des alertes sur ton NAS ? C'est une fonctionnalité  de ton NAS, ou bien de QFirewall ?

 

[Mathieu Réau]

Il y a 9 heures, Toto61 a dit :

C'est un peu plus causant, mais rien d'alarmant (5 scan en 3H).

Si je comprends bien, la hausse du nombre de paquets refusés ne provient pas d'une agression extérieure ?

Du coup, je me demande ce qui se passe, au juste. Le pare-feu serait juste devenu plus sensible depuis la mise à jour ? Sur le rapport, on peut voir la provenance et la nature de toutes les trames refusées, c'est bien cela ? Pour l'essentiel, il s'agit de quoi ? Des requêtes de découverte réseau, comme l'autre jour ?

La page permettant de paramétrer les seuils d'alerte de QNAP se présente comme ceci :

Elle ne contient que deux options (qui ne rentrent pas entièrement dans cette capture d'écran mais dont j'ai essayé de te montrer le plus gros) : l'intervalle de temps durant lequel les évènements sont observés et le niveau d'évènements maximal déclenchant une alerte lorsqu'il est atteint ou dépassé.

Le QuLogCenter mentionné sur cette page sert à gérer les notifications produites par les différentes applications du NAS et permet de définir sous quels critères, à quelle fréquence et par quel biais (e-mail, SMS...) elles sont portées à la connaissance de l'utilisateur. Là, par exemple, le pare-feu est réglé pour que la notification de dépassement du seuil soit traitée comme une alerte et que soient donc appliqués les paramètres de traitement prévus pour des notifications de cette nature. Je ne pense pas devoir te le montrer car ce n'est, en soi, pas directement lié au fonctionnement du pare-feu.

 

[Toto61]

il y a une heure, Mathieu Réau a dit :

Si je comprends bien, la hausse du nombre de paquets refusés ne provient pas d'une agression extérieure ?

Difficile de répondre à ce point, car il semble y avoir une incohérence entre ce que contient une capture effectuée par ton Firewall (5 IP sources différentes) et les alertes que tu reçois qui indique que ton NAS détecte plus de 150 requêtes. Je t'ai indiqué des horaires, est ce que tu peux les mettre en corrélation avec les horaires des alertes que tu reçois ?

Mais il y a un détail qui me gène dans ces captures : celles du mois de Mars révélaient des échanges depuis les IP ".1" (ta box) ".22" (?) et ".34" (Routeur Netgear ?). Or, sur les dernières, aucun trafic "local" vers ton NAS, comme si le Firewall ne s'occupait plus de capturer que le trafic externe.

Il y a 1 heure, Mathieu Réau a dit :

Sur le rapport, on peut voir la provenance et la nature de toutes les trames refusées, c'est bien cela ? Pour l'essentiel, il s'agit de quoi ? Des requêtes de découverte réseau, comme l'autre jour ?

En plus des requêtes externes indiquées, le reste ce n'est que du broadcast (DHCP / SSDP). Rien en interne sur ton réseau local. Soit la capture est tronquée, soit ton Firewall s'affole pour pas grand chose.

 

[Mathieu Réau]

il y a 13 minutes, Toto61 a dit :

Je t'ai indiqué des horaires, est ce que tu peux les mettre en corrélation avec les horaires des alertes que tu reçois ?

Alors, sur les horaires indiqués, le recensement des évènements signalés donne ça :

 

2021/07/04	15:00-16:00
3	All	IPV4	Any	Any	0.0.0.0	Deny
418	All	IPV4	Any	Any	Any	Deny
56	All	IPV6	Any	Any	Any	Deny
2021/07/04	14:00-15:00
7	All	IPV4	Any	Any	0.0.0.0	Deny
413	All	IPV4	Any	Any	Any	Deny
53	All	IPV6	Any	Any	Any	Deny
2021/07/04	13:00-14:00
13	All	IPV4	Any	Any	0.0.0.0	Deny
404	All	IPV4	Any	Any	Any	Deny
53	All	IPV6	Any	Any	Any	Deny

 

Et ce qui m'interpelle, par rapport au dernier relevé que je t'ai montré, c'est le bien plus grand nombre de trames de type IPv6. J'observe, sur la durée, que ce nombre est en augmentation progressive depuis le trois juillet au matin et se trouve désormais, pour la dernière heure analysée, à soixante-six. Cela pourrait-il correspondre aux tentatives de connexion sur le port 8080 que tu as relevées ?

il y a 17 minutes, Toto61 a dit :

Mais il y a un détail qui me gène dans ces captures : celles du mois de Mars révélaient des échanges depuis les IP ".1" (ta box) ".22" (?) et ".34" (Routeur Netgear ?). Or, sur les dernières, aucun trafic "local" vers ton NAS, comme si le Firewall ne s'occupait plus de capturer que le trafic externe.

Ah, c'est de ma faute... 

En mars, j'avais, dans la panique, paramétré le pare-feu au niveau de sensibilité le plus élevé. Je suis depuis revenu à un réglage plus basique, donc, j'imagine, moins regardant en ce qui concerne le trafic sur le réseau local.

Désolé d'avoir omis de le mentionner.

À propos de réglages, j'ai voulu voir quelle différence cela faisait selon que mon pare-feu était paramétré sur les réglages basiques ou s'il était mis en mode "Réseau local uniquement", qui doit donc interrompre toutes les tentatives d'accès à distance au NAS. Je m'attendais à ce qu'avec ce dernier mode, le nombre d'alertes augmente sensiblement, mais je n'ai finalement relevé aucune différence notable...

Je m'embrouille un peu en essayant d'en tirer des conclusions sur la provenance du problème... Si je ne me trompe pas, cela veut dire que les alertes viennent plutôt de mon réseau local que de l'extérieur ?

[Toto61]

il y a 6 minutes, Mathieu Réau a dit :

Cela pourrait-il correspondre aux tentatives de connexion sur le port 8080 que tu as relevées ?

Non, tes captures ne concernent que les trames IPv4. Par contre, désactive l'IPv6, il ne t'est d'aucune utilité.

il y a 7 minutes, Mathieu Réau a dit :

Je suis depuis revenu à un réglage plus basique, donc, j'imagine, moins regardant en ce qui concerne le trafic sur le réseau local.

Ok, ca s'explique Par contre, c'est tout de même paradoxale que cela joue également sur les captures de trames. J'ai vu que forum QNAS était partiellement réservé aux membres, et que de nombreux sujets n'étaient pas accessibles. Peut-être y a t'il des retours d'infos sur ce Firewall et les captures qu'il génère ? J'irai faire mon curieux à l'occasion.

[Mathieu Réau]

J'ai désactivé l'IPv6, hier ou avant-hier...

... et, pourtant, mon pare-feu intercepte toujours des trames en IPv6... 

2021/07/07	12:09-13:09
2	All	IPV4	Any	Any	0.0.0.0	Deny
412	All	IPV4	Any	Any	Any	Deny
68	All	IPV6	Any	Any	Any	Deny

[Toto61]

La désactivation de l'IPv6 a été faite sur la box ou sur le NAS ?

• si c'est que sur la box, le NAS lui continu à écouter ce qui se passe sur le réseau local sur l'IPv6, ce qui indiquerai donc que le Firewall de ton NAS est un peu trop parano vis à vis de certains de tes périphériques.
• si l'IPv6 est désactivé sur ton NAS, dans ce cas, le Firewall de ton NAS semble faire un peu ce qu'il veut...

[Mathieu Réau]

Il y a 6 heures, Toto61 a dit :

La désactivation de l'IPv6 a été faite sur la box ou sur le NAS ?

Sur le NAS. Du coup, plus aucune connexion de ce type ne devrait pouvoir l'atteindre, non ?

Il y a 6 heures, Toto61 a dit :

si l'IPv6 est désactivé sur ton NAS, dans ce cas, le Firewall de ton NAS semble faire un peu ce qu'il veut...

Je songe de plus en plus que les applications de QNAP ne sont pas les plus pointues que l'on puisse trouver... 

Hélas, environnement logiciel fermé, on ne peut y installer que ce que l'éditeur propose, à la manière d'un téléphone portable (à moins de bien s'y connaître en bidouille, je suppose). Sinon, y a plein de trucs plus efficaces que j'aurais installés dessus depuis longtemps ! Même chose pour le pare-feu, j'imagine...