Help : adresses privées routées sur internet - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 05-09-2006 à 17:25:01
ton serveur mail est il ouvert en consultation depuis l ext ?
vs heberger votre srv web ?
et sont ils scurises ?
parce que laisse passe des ip prives depuis l exterieur ca ressemble à un routeur ou FW mal configure
Marsh Posté le 06-09-2006 à 11:00:17
pes1973 : le serveur de mail est fourni par un prestataire extérieur sérieux (linkbynet) tout du moins je l'espères. De plus nous n'utilisons aucun serveur de fichiers, ftp, web accessible de l'extérieur.
La passerelle Fortigate est configurée pour n'accepter que les connections entrantes pour les sevices DNS IMAPet POP3.
Tout les autres ports sont "stealth".
Par contre tous les services internal ->external sont ouverts.
Le truc que je comprens pas: comment router de mon réseau local une adresse privée vers internet ? Ca le fait de tout les PC
Le FAI est MAMADOO (nouvellement Orange) et celui ci m'assure qu'il ne font pas ce genre de routage.
La solution que je n'ai pas encore pu tester, ce serait de bypasser la passerelle et de refaire le scan réseau qu'en pensez vous?
Marsh Posté le 07-09-2006 à 10:09:57
C'est marrant c'est comme si il y avait un vpn sauf qu'on en a pas créé
Tracert /superscan
CMP Traceroute to 192.168.0.70 (192.168.0.70)
Hop 01: 192.168.2.99 [Unknown]
Hop 02: ---
Hop 03: 10.224.8.178 [Unknown]
Hop 04: 193.252.159.226 pos0-3-1-0.nrnan202.Nantes.francetelecom.net
Hop 05: 193.252.99.185 pos0-1-3-0.nrnan201.Nantes.francetelecom.net
Hop 06: 193.252.162.2 [Unknown]
Hop 07: 193.252.161.170 pos4-0.nraub303.Aubervilliers.francetelecom.net
Hop 08: 193.252.162.133 [Unknown]
Hop 09: 192.168.0.70 [Unknown]
192.168.2.99 c'est ma passerelle Fortigate.
Marsh Posté le 07-09-2006 à 11:13:41
petir complément, j'ai aps posté tout les tracert, mais j'ai des reponses sur 192.168.0.69 , 192.168.0.67 etc......
J'ai aussi un poste sur 192.168.5.65
ICMP Traceroute to 192.168.5.65 (192.168.5.65)
Hop 01: 192.168.2.99 [Unknown]
Hop 02: ---
Hop 03: 10.224.8.129 [Unknown]
Hop 04: 193.253.92.193 [Unknown]
Hop 05: 192.168.5.65 [Unknown]
En fait on dispose d'un prestataire externe qui commercialise le fortigate.( Chargé de la sécu réseau avant que j'arrive dans la boite)
Après de nombreux échanges par mail ou je lui ai expliqué le phénomène, preuves à l'appui : (tracert, captures ethereal, sniff des ports sur ces ip) cette personne n'a pas trouvé d'explication.
Les postes ont l'air sain ( j'ai nettoyé un ver qui se propageait par les partages réseau) mais rien trouvé d'autre : peut être un rootkit ?
Bref vos avis sont les bienvenus.
Marsh Posté le 07-09-2006 à 11:58:53
neo_ :
J'ai regardé laconfig du fortigate : Déja il est pas à jour niveau Firmware
Il est en 2.5 alors qu'il existe le 2.8 et 3.0 il me semble.
Y'a pas de route configurée. Juste AV/FW activé et synchro ntp avec time.euro.com (qui ne répond d'ailleurs pas....).
J'ai pensé un moment que cela pouvait etre des connections établies pour les MAJ de définitions virales et d'attaques.
Marsh Posté le 28-09-2006 à 16:28:00
Salut,
Qui est ton presta pour le fortigate ? Risc/Adhersis ?
Pour la dernière IP routable avant la privé, 193.253.92.193, le ripe indique qu'elle fait partie de l'AS de FT (Orange), pour être précis de leur backbone. Et on n'arrive pas à faire de tracert dessus alors que ça se fait sans problème sur www.orange.fr.
C'est mystique
Marsh Posté le 28-09-2006 à 16:41:14
Ne t'inquiètes pas cela relève du réseau orange, qui par erreur nous laisse accéder à certaines de ses machines de son réseau. Etant moi-même chez Orange je peux pinger sans problème les mêmes IP que celles que tu donnes.
Ce problème avait déjà été soulevé sur ce forum.
Marsh Posté le 28-09-2006 à 19:59:16
Merci beaucoup pour votre aide!!
J'avais effectué des recherches sur ce sujet dans le forum sans trouver de réponses.
Pour info, j'avais expliqué ce problème à la hotline Orange qui m'avait assuré qu'il n'effectuent pas ce genre de routage....(j'ai aussi entendu dire par un type de la hotline de AOL que si il s'y connaissait.... il ne serait pas chez AOL....Arf)
THX
Marsh Posté le 28-09-2006 à 20:08:53
Ce sont des adresses privées, elles sont utilisées comme on veut, FAI, entreprises ou residentiel.
Ceux qui utilisent ces adresses devraient cloisonner correctement leur réseau
Pour un FAI : dans ses points de peering il ne doit pas echanger des routes pour des adresse privées (donc pas d'echange de traffic de ce type). Tu es dans le réseau de FT, donc c'est normal qu'elle soit routable si ils les utilisent.
Pour une entreprise : elle devrait configurer correctement ses interco/passerrelle pour router seulement le traffic qu'elle désire. Dropper tout traffic provenant d'internet avec ces adresses. Et idem en sortie pour le traffic qui n'est pas NATER.
Pour un residentiel, ca devrait etre identique au regle d'une entreprises
Marsh Posté le 05-09-2006 à 14:23:44
Bonjour à tous,
Etant chargé de la sécurité du réseau dans "mapetite entreprise" je connaît actuellement la crise !
L'architecture du réseau est la suivante : Passerelle Fortigate 50 en amont, qui assure le filtrage (AV,FW) puis réseau local avec des PC en IP fixe de Type 192.168.2.X.
Or voila, j'ai effectué un scan du réseau avec divers programmes afin de voir ce qu'il y a,
J'ai obtenu des résultats bizarres: j'ai des adresses qui répondent au ping et qui ne sont pas sur ma plage:
192.168.0.70 ou encore 192.168.5.90.
Voulant en savoir un peu plus : tracert
Le résultat du tracert m'indique que ces ip (privées normalement!) sont routées à travers la passerelle et aterrissent sur ce que je pense être un réseau local distant!!!
Un scan de ports sur ces ip m'indiquent les ports suivants ouverts : pop ftp imap ...
Si quelqu'un a déja vu ça, qu'il se manifeste pliz !!