Disque du réseau (NAS) et sécurité

pour scanner dans ce cas, il faut prendre la place (spoofer) d'une adresse extérieure déjà connectée vers une adresse privée via la table nat.
s'il n'ya pas de connection déjà établie vers l'extérieur pour une machine, il n'ya pas son adresse ip privée dans la table nat, donc elle est inaccessible depuis l'extérieur.

Peu importe le moyen d'obtenir l'entrée de la table NAT correspondant à une machine interne ( il en existe plusieurs notamment l'usurpation d'identité du routeur par exemple par pollution du cache ARP), la seule chose que j'affirme est que si l'hôte malveillant arrive à obtenir les entrées de la table NAT, alors les PC du réseau local ( sous entendus dont l'@ IP et les ports qui lui sont affectés sont présents dans la table ) sont très largement exposés du fait de l'usurpation d'identité. Bref, j'ai quand même l'impression qu'on se comprend mal mais crois moi ma connaissance dans ce sujet n'est pas légère. Si tu veux connaître les grandes lignes de cette méthode d'usurpation je pourrais te les expliquer ( à moins que tu les connaissent déjà ) mais ce n'est pas le but ici

Par ailleurs :

sur un NAS normal, on a une seule interface LAN , donc encore moins de risques, CQFD .

Totalement vrai pour un NAS en LAN, différent pour un accès WAN. Sur ce point j'ai eu tort en effet pusique Matht ne souhaite pas que son NAS soit visible de l'extérieur.

Cependant, pour le type de matériel suivant :

http://www.usr.com/products/networking/router-product.asp?sku=USR8200

Il dispose des fonctionnalités routeur, de firewall ET du NAS ce qui permet alors de partager le périphérique connecté avec l'extérieur et de bénéficier de règle des sécurité protégeant le réseau administré et le périphérique. Cependant, ce n'est pas ce que souhaite Matht comme ca c'est reglé :p

@Matht :

Typiquement, tes PC ont ta freebox pour passerelle par défaut donc seuls tes PC sont exposés aux intrusions puisque connectés au NET.
Pour ton NAS c'est différent, il s'agit d'un périphérique réseau en local n'ayant aucun lien avec ta freebox donc logiquement ton NAS est complètement invisible de l'extérieur.

Par contre, pour tes PC le problème est différent, si tu crains vraiment des attaques extérieures qui passeraient par dessus ton firewall logiciel, je te conseille plutot de déléguer la fonctionnalité routeur à un autre routeur disposant de fonctions Firewall bien plus puissantes qu'un firewall logiciel. A toi de voir ;)

up - help

hello
il faut que le pare-feu du routeur soit activé et bloque tous les accès externes à l'adresse IP du NAS

Bonjour dubcek, et merci de cette réponse.
Toutefois, ma question reste pleine et entière. Je ne connais que mal les routeurs, et je n'en sais guère sur leur éventuelle fonction pare-feu. En parcourant ce forum, j'avais toutefois noté que la freebox en mode routeur n'avait pas de pare-feu. D'où mon interrogation sur la sécurité de mon disque réseau (NAS) branché sur la freebox/routeur.

Salut,
si la fbx est en mode routeur, la fonction nat fait que tu es protégé des attaques venant de l'extérieur : ton adresse privée n'est pas accessible directement depuis internet.
il n'ya que les ports que tu forwardes dans la table de la fbx qui sont atteignables .
et les connexions sortantes pouvant émaner de ton matériel bien entendu (troyens,rootkit ...) .
mais, normalement ton NAS ne doit pas etre sensible à ses bestioles, je suppose que son OS embarqué n'est pas windows ;-)
donc, sur ton NAS, configures uniquement les services dont tu as besoin : moins il offrira de services, moins il risquera de se connecter "ailleurs" .

et pourtant :

http://fr.wikipedia.org/wiki/Freebox
Réseau

La Freebox (à partir de la version 3) peut :
....
* offrir un service de routage NAT simple. Il peut être activé par l'utilisateur depuis le site de Free, et route aussi bien l'USB, le port Ethernet et les connexions Wi-Fi. Ce service peut évidemment faire office de pare-feu.

http://forum.ultravnc.fr/index.php?topic=191.0
Le pare-feu intégré à la FreeBox

Salut,

Le NAT ne protège en rien les PC branchés derrière un routeur puisque les intrusions se font sur l'adresse IP que te fournit ton FAI sur tous les ports donc tous les PC derrière ton routeur sont visés et atteints.

Ce service peut évidemment faire office de pare-feu. ce n'est que de la poudre aux yeux ;)

Le mieux serait de déleguer la fonction routeur à un routeur de type Linksys, du coup ta freebox et ton NAS seraient derrière ce routeur qui dispose d'un firewall pltuôt puissant.

Les règles à appliquer sont simples : Tu bloques tous les accès venant de l'extérieur sur le ROUTEUR et sur le NAS lui même (comme l'a dit Dubcek ) car aucun paquet n'est destiné directement au routeur ou au NAS à moins que ce ne soit un paquet visant une usurpation d'identité par exemple.

Dans ce cas tu es complètement protégé des attaques banales visant ton NAS et par la même occasion tes PC branchés sur le routeur et ta freebox.

Une autre solution aurait consisté à acheter un NAS qui fait routeur comme l'USR8200 de usrobotics mais bon la c'est trop tard ^^

Voila j'éspère que ca t'aidera @+

Et accéder à la table NAT du routeur te permet d'accéder à tout !

La seule securité que donne la NAT c'est de masquer l'adresse interne : toutes les machines du réseau interne sont vues comme étant la même adresse externe.

Pour différencier les différents PC, il n'y a que le port de communication qui joue donc (comme je l'ai dit plus haut) si un utilisateur mal intentionné désire faire quelque chose de mal, il n'a qu'a diffuser ses trames sur l'adresse externe (celle du FAI) sur TOUS les ports ouverts et la toutes les machines du réseau interne sont visées et atteintes ca s'appelle la PAT qui sert à différencier les PC dans le cas d'une NAT dynamique

Je n'ai fait que répéter ce que j'ai dit, regarde mieux le lien que tu m'as donné :p

D'ailleurs ca fait un moment que je travaille sur des réseaux très securisés et si la NAT ( et plus particulièrement l'IP masquerading ) permettait de contourner tous les problèmes d'intrusion, le firewall n'existerait pas :)

Enfin peu importe, la principale fonction de la NAT n'est pas de sécuriser mais de partager une même adresse externe sur plusieurs adresses internes.

de plus conseiller un routeur qui fait NAS est une erreur dans ce cas: plus on sépare les fonctions, plus la sécurité est facile à assurer .

C'est tout à fait le contraire, au lieu d'utiliser deux matériels distincts ( qui créent deux entrées possibles pour l'intrusion ) on en utilise qu'un qui dispose de fonctions de sécurité valables pour l'interface WAN et l'interface LAN. Je parle en connaissance de cause, ce routeur/serveur NAS, je l'ai utilisé pour un projet qui necessitait une securité importante et jusqu'à ce jour il n'y a pas eu de problèmes particuliers.

d'autant plus que si le routeur (et NAS donc) a une adresse ip publique, il est directement accessible depuis internet, donc beaucoup plus vulnérable, grave erreur .

Lis bien mon post précédent stp : Tu bloques tous les accès venant de l'extérieur sur le ROUTEUR et sur le NAS lui même

@+

Merci pour vos réponses.
Donc, la freebox/routeur n'est qu'une protection illusoire.
Mais petite question complémentaire :
* comment savoir si je dois rajouter un routeur qui lui protège que ce routeur intègre bien un pare-feu efficace contrairement à la freebox. Je n'ai pas l'habitude de l'achat de routeur : mais... est-ce que c'est marqué sur la boîte : intègre un bon pare-feu ;)
* Et si on a un routeur pare-feu, est-ce à dire que les PC qui sont derrière ce routeur n'ont alors plus besoin de leur pare-feu logiciel ?
*... Euh ? vous n'auriez pas les références d'un routeur avec un bon parefeu (je suppose qu'il est inutile qu'il fasse modem, ça cela reste la freebox), filaire et non wifi et donc le moins cher possible ?

Le mieux serait de déleguer la fonction routeur à un routeur de type Linksys, du coup ta freebox et ton NAS seraient derrière ce routeur qui dispose d'un firewall pltuôt puissant.
Et là, je n'ai pas compris : on branche quoi sur quoi et dans quel ordre. Moi pour l'instant, j'ai la freebox/routeur, puis un switch, et sur celui-ci, les 2 PC et le NAS. Si je rajoute un routeur, où se trouve-t-il bracnher physiquement pour être efficace ?

et justement, je n'ai vu nulle part que notre ami voulait que son NAS soit accessible de l'extérieur.

Tout à fait. Mon NAS n'est destiné qu'à partager mes fichiers sur mon réseau local. Il ne doit pas avoir accès à Internet, ou plutôt le contraire...
Donc, non je ne tiens justement pas à avoir un routeur firewall si je peux m'en passer, et me contenter de la fonction routeur de ma freebox 4.
Et c'est cela la question : je comprends dans les grandes lignes le débats que vous avez tous les deux. Mais je suis bien incapable de trancher entre les deux versions.
Je préférerais la version de brupala, car si j'ai l'impression qu'alors mon NAS aurait un niveau de sécurité au moins comparable à celui de mes deux PC qui sont eux équipés d'un logicile firewall (parce qu'ils communiquent sur internet).

Bon, ma question avait pour objet d'être sûr que mon NAS n'était pas trop vulnérable en étant bancher directement sur le réseau plutôt que sur un PC.
Je vous remercie tous les trois, je pense que la question est résolue.

Ok c'est le principal

en tout cas sympa ce petit débat ^^

@+ :)