Bonjour à tous,
 
Etant chargé de la sécurité du réseau dans "mapetite entreprise" je connaît actuellement la crise !
L'architecture du réseau est la suivante : Passerelle Fortigate 50 en amont, qui assure le filtrage (AV,FW) puis réseau local avec des PC en IP fixe de Type 192.168.2.X.
 
Or voila, j'ai effectué un scan du réseau avec divers programmes afin de voir ce qu'il y a,
 
J'ai obtenu des résultats bizarres: j'ai des adresses qui répondent au ping et qui ne sont pas sur ma plage:
 
192.168.0.70 ou encore 192.168.5.90.
 
Voulant en savoir un peu plus : tracert
Le résultat du tracert m'indique que ces ip (privées normalement!) sont routées à travers la passerelle et aterrissent sur ce que je pense être un réseau local distant!!!
 
Un scan de ports sur ces ip m'indiquent les ports suivants ouverts : pop ftp imap ...
 
Si quelqu'un a déja vu ça, qu'il se manifeste pliz !!

ton serveur mail est il ouvert en consultation depuis l ext ?
vs heberger votre srv web ?
 
et sont ils scurises ?
parce que laisse passe des ip prives depuis l exterieur ca ressemble à un routeur ou FW mal configure

C'est qui le FAI qu'on rigole ?

pes1973 : le serveur de mail est fourni par un prestataire extérieur sérieux (linkbynet) tout du moins je l'espères. De plus nous n'utilisons aucun serveur de fichiers, ftp, web accessible de l'extérieur.
 
La passerelle Fortigate est configurée pour n'accepter que les connections entrantes pour les sevices DNS IMAPet POP3.
Tout les autres ports sont "stealth".
Par contre tous les services internal ->external sont ouverts.
 
Le truc que je comprens pas: comment router de mon réseau local une adresse privée vers internet ? Ca le fait de tout les PC
 
Le FAI est MAMADOO (nouvellement Orange) et celui ci m'assure qu'il ne font pas ce genre de routage.
 
La solution que je n'ai pas encore pu tester, ce serait de bypasser la passerelle et de refaire le scan réseau qu'en pensez vous?

montre le resultat d'un tracert pliz

C'est marrant c'est comme si il y avait un vpn sauf qu'on en a pas créé
 
 
Tracert /superscan
 
CMP Traceroute to 192.168.0.70 (192.168.0.70)
 
Hop 01:    192.168.2.99    [Unknown]
Hop 02:    ---
Hop 03:    10.224.8.178    [Unknown]
Hop 04:    193.252.159.226 pos0-3-1-0.nrnan202.Nantes.francetelecom.net
Hop 05:    193.252.99.185  pos0-1-3-0.nrnan201.Nantes.francetelecom.net
Hop 06:    193.252.162.2   [Unknown]
Hop 07:    193.252.161.170 pos4-0.nraub303.Aubervilliers.francetelecom.net
Hop 08:    193.252.162.133 [Unknown]
Hop 09:    192.168.0.70    [Unknown]
 
 
192.168.2.99 c'est ma passerelle Fortigate.

petir complément, j'ai aps posté tout les tracert, mais j'ai des reponses sur 192.168.0.69 , 192.168.0.67 etc......  
 
J'ai aussi un poste sur 192.168.5.65
 
ICMP Traceroute to 192.168.5.65 (192.168.5.65)
 
Hop 01:    192.168.2.99    [Unknown]
Hop 02:    ---
Hop 03:    10.224.8.129    [Unknown]
Hop 04:    193.253.92.193  [Unknown]
Hop 05:    192.168.5.65    [Unknown]
 
En fait on dispose d'un prestataire externe qui commercialise le fortigate.( Chargé de la sécu réseau avant que j'arrive dans la boite)
Après de nombreux échanges par mail ou je lui ai expliqué le phénomène, preuves à l'appui : (tracert, captures ethereal, sniff des ports sur ces ip) cette personne n'a pas trouvé d'explication.
 
Les postes ont l'air sain ( j'ai nettoyé un ver qui se propageait par les partages réseau) mais rien trouvé d'autre : peut être un rootkit ?
 
Bref vos avis sont les bienvenus.

T'as pas une route foireuse dans ton Fortigate ?

neo_ :
 
J'ai regardé laconfig du fortigate : Déja il est pas à jour niveau Firmware  
Il est en 2.5 alors qu'il existe le 2.8 et 3.0 il me semble.
 
Y'a pas de route configurée. Juste AV/FW activé et synchro ntp avec time.euro.com (qui ne répond d'ailleurs pas....).  
 
J'ai pensé un moment que cela pouvait etre des connections établies pour les MAJ de définitions virales et d'attaques.
 

:!

Salut,  
 
Qui est ton presta pour le fortigate ? Risc/Adhersis ?  
Pour la dernière IP routable avant la privé, 193.253.92.193, le ripe indique qu'elle fait partie de l'AS de FT (Orange), pour être précis de leur backbone. Et on n'arrive pas à faire de tracert dessus alors que ça se fait sans problème sur www.orange.fr.
C'est mystique

Ne t'inquiètes pas cela relève du réseau orange, qui par erreur nous laisse accéder à certaines de ses machines de son réseau. Etant moi-même chez Orange je peux pinger sans problème les mêmes IP que celles que tu donnes.
 
Ce problème avait déjà été soulevé sur ce forum.

Merci beaucoup pour votre aide!!
 
J'avais effectué des recherches sur ce sujet dans le forum sans trouver de réponses.
 
Pour info, j'avais expliqué ce problème à la hotline Orange qui m'avait assuré qu'il n'effectuent pas ce genre de routage....(j'ai aussi entendu dire par un type de la hotline de AOL que si il s'y connaissait.... il ne serait pas chez AOL....Arf)
 
THX

Ce sont des adresses privées, elles sont utilisées comme on veut, FAI, entreprises ou residentiel.
Ceux qui utilisent ces adresses devraient cloisonner correctement leur réseau
 
Pour un FAI : dans ses points de peering il ne doit pas echanger des routes pour des adresse privées (donc pas d'echange de traffic de ce type). Tu es dans le réseau de FT, donc c'est normal qu'elle soit routable si ils les utilisent.
 
Pour une entreprise : elle devrait configurer correctement ses interco/passerrelle pour router seulement le traffic qu'elle désire. Dropper tout traffic provenant d'internet avec ces adresses. Et idem en sortie pour le traffic qui n'est pas NATER.
 
Pour un residentiel, ca devrait etre identique au regle d'une entreprises