Aiuto gestione rete e intrusioni

[ch3ccho]

Ciao a tutti, espongo a voi i miei problemi in quanto io non so più cosa fare. Allora da quache tempo ho acquistato un nuovo router, netgear r7000 e un nas, qnap ts-212. Non so se è una coincidenza o meno ma da quando ho installato il tutto mi capitano una cosa strana. In risorse di rete, oltre ai pc al nas router ecc mi compaiono di continuo dei telefoni, come se fossero collegati alla rete. aprendo le proprietà vedo modello e indirizzo mac, ma nient'altro, niente indirizzo ip. Inoltre dal router non vedo nessun dispositivo collegato oltre ai miei. Secondo vedi nei log del router molti messaggi del genere

[LAN access from remote] from 188.78.120.152:8817 to 192.168.1.8:6881, Wednesday, Dec 10,2014 18:23:10

l'indirizzo 192.168.1.8 è il nas, però non capisco da dove arriva la porta UDP 6881 dato che il nas tramite upnp aveva attivato altre porte relative a dei servizi ma questa porta sembra non essere relativa a nessun servizio o almeno non lo trovo io

ovviamente ho cambiato giusto ieri per sicurezza tutte le pass di login al router e la pass del wifi che è una WPA2 PSK [AES] come quella di prima.
Qualcuno può aiutarmi a capire che succede?

PS: non sono sicuro che sia la sezione giusta, in caso mi scuso in anticipo

[pigi2pigi]

Quello che ti posso dire che quella porta è quella di default di alcuni torrent, molto comoda per provare ad entrare, per il resto non so, non ho mai attivato upnp su un router "esterno"

[ch3ccho]

Quote:

Originariamente inviato da pigi2pigi

Quello che ti posso dire che quella porta è quella di default di alcuni torrent, molto comoda per provare ad entrare, per il resto non so, non ho mai attivato upnp su un router "esterno"

grazie per la risposta, si hai ragione dovrebbe essere infatti la porta del client torrent del nas (download station), anche se non lo uso e non l'ho mai usato, in ogni caso l'ho completamente disattivato e ora non compaiono più questi messaggi nel log del router, resta solo il problema dei tel che compaiono in risorse di rete

[pigi2pigi]

Quote:

Originariamente inviato da ch3ccho

resta solo il problema dei tel che compaiono in risorse di rete

Dici che li vedi ma senza ip, fai una prova molto semplice, prendi un telefono, tenta la connessione, sbagliando password e vedi se durante il tentativo compaiono in risorse di rete.

Io ho l'access list e il telefono mi compare quando vuole connettersi (non so se prima o dopo la password), ma senza il mio OK non si connette

[ch3ccho]

Quote:

Originariamente inviato da pigi2pigi

Dici che li vedi ma senza ip, fai una prova molto semplice, prendi un telefono, tenta la connessione, sbagliando password e vedi se durante il tentativo compaiono in risorse di rete.

Io ho l'access list e il telefono mi compare quando vuole connettersi (non so se prima o dopo la password), ma senza il mio OK non si connette

ho provato ma no, non compare niente. Tra l'altro leggendo in rete ho trovato altre persone con lo stesso problema, qualcuno dice che dipende da windows 8. Intanto vorrei sapere se la mia rete è sicura o no. Ad esempio la lista dei device collegati nella pagina de router è affidabile? o qualcuno potrebbe collegarsi rendendosi invisibile? Inoltre provando a fare una scansione della lan con un programma per iphone che si chiama net analyzer non compare nessun device oltre ai miei. C'è qualche altro programma, magari per windows, che mi permetta di scansionare la mia rete per vedere se ci sono effettivamente altri device collegati e cosa stanno facendo?

[pigi2pigi]

Chi accede dal router lo vedi, non è detto che lo riconosci, chi accede non dal router non lo vedi, devi seguire le regole di protezione standard relativamente a tutti i dispositivi "riceventi da fuori" eliminare upnp, disabilitare i bluetooth, togliere di mezzo i peer to perr o i ad-hoc, o gli any-ip (ogni aggegio ha terminologie diverse) le porte che apri devono essere controllate e il software dove arrivano a prova di bomba, tutte regole che ti proteggono "da fuori" per quelle da dentro (quello che usi tu o scarichi) non c'è protezione che tenga.

[ch3ccho]

Allora ho fatto altre prove e letto qualche altra discussione su internet, purtroppo solo in inglese quindi spero di aver capito bene

Da quello che ho potuto capire il fatto che compaia un dispositivo in risorse di rete non vuol dire che sia necesseriamente collegato alla rete stessa, nel senso che potrebbero essere tel nelle vicinanze che avendo il wifi attivo individuano la mia rete e tentano di collegarsi non riuscendoci effettivamente in quanto non conoscono la password, come dicevi tu, però provando col mio tel, un iphone, sta cosa non la fa, nel senso che il tel non compare, ma non compare neanche quando effettivamente collegato, come di solito. Fatto sta però che quando usavo il dgnd 3700 come modem e router non capitava. Comunque, ho notato dalla pagina sul router relativa all'upnp che sia il nas che un altro dispositivo, che era il mio tel o l'ipad, aprivano delle porte strane, nel caso del nas porte che apparentemente non sembrano legate a nessun servizio come verificabile dalla guida in linea di qnap dove c'è un elenco di tutte le porte usate dal nas. Allora ho disattivato l'upnp e aperto solo le porte che mi interessano e da quando l'ho fatto non compaiono più altri dispositivi in risorse di rete. Monitorerò di continuo la situazione fino a stasera per vedere se è una coincidenza o meno

[ch3ccho]

Niente continuano a comparire, ho anche attivato il controllo accessi per scegliere quali dispositivi bloccare o a quali consentire l'accesso, ma si presentano di continuo, nessuno che può darmi una mano?

[pigi2pigi]

Dopo il check con antivirus vari
Prove da fare separatamente e vedere quali risolvono
1) chiudi tutte le porte forwardate
2) metti il wifi hidden
3) disattiva sui windows il gruppo home
4) se il wokgroup si chiama WORKGROUP o un nome comune cambiagli nome
5) Se usi Webex document loader disinstallalo
6) Se hai installato bonjour di adobe disabilita il servizio
7) disinstalla i driver stampanti e installa i driver del fornitore
8) Rimuovi gli update automatici di singol componenti (diretx e altri)
9) rimuovi ipv6 dalle schede wireless

Non mi hai detto le porte aperte per il nas
comunque, se non va, c'è qualche altra cosa poi vediamo

[ch3ccho]

Quote:

Originariamente inviato da pigi2pigi

Dopo il check con antivirus vari
Prove da fare separatamente e vedere quali risolvono
1) chiudi tutte le porte forwardate
2) metti il wifi hidden
3) disattiva sui windows il gruppo home
4) se il wokgroup si chiama WORKGROUP o un nome facile cambiagli nome
5) Se usi Webex document loader disinstallalo
6) Se hai installato bonjour di adobe disabilita il servizio
7) disinstalla i driver stampanti e installa i driver del fornitore
8) Rimuovi gli update automatici (diretx e altri)
9) rimuovi ipv6 dalle schede wireless

Se non va, c'è qualche altra cosa poi vediamo

ok farò queste prove, solo una cosa, per wifi hidden cosa intendi? disabilitare l'SSID broadcast?

[pigi2pigi]

Esatto, renderla invisibile
Alcune prove le ho messe io la maggior parte vengono da Microsoft e commenti dei questuanti.

[ch3ccho]

Allora sembra che ho risolto disabilitando l'ssid broadcast. L'unica seccatura è dover aggiungere manualmente la rete wifi dai dispositivi, ma vabbè tanto si deve fare una volta sola e magari per amici o parenti che occasionalmente vorranno collegarsi attivo una rete guest al momento del bisogno

Non ho capito ancora però se quello che succedeva era preoccupante o no, nel senso che realmente erano persone che volevano hackerare la rete o semplicente tel di persone vicine che venivano captati dal router, i quali magari in automatico tentavano un collegamento alla rete ma non avendo la pass poi non ci riuscivano. Il fatto che non succedeva col vecchio router (il 3700) può essere dato dal fatto che aveva una copertura decisamente inferiore rispetto all'r7000 e non riusciva a andare oltre i confini della casa. Boh comunque l'importante è aver risolto, almeno sembra
grazie per l'aiuto