Je me pronenais dans les logs de mon antivirus, quand je suis tombé sur la section firewall, j’ai été étonné de tous ce qu’il bloquait :
Voici un apercu de ce qu’il a arrêté aujourd’hui en 1h30 :
PC-cillin 2002 Log List
Type Time IN/OUT Protocol Source IP Address Source Port Destination IP Address Destination Port Description
Cloaking 00:00:56 IN TCP 62.147.221.102 3628 62.147.207.160 80 Cloaking
Firewall 00:03:30 IN UDP 210.86.53.52 1029 62.147.207.160 137 NetBIOS Browsing
Cloaking 00:08:35 IN TCP 62.147.221.102 1175 62.147.207.160 80 Cloaking
Firewall 00:09:03 IN UDP 211.144.72.125 1025 62.147.207.160 137 NetBIOS Browsing
Cloaking 00:10:36 IN TCP 62.147.251.196 2735 62.147.207.160 80 Cloaking
Firewall 00:11:51 IN UDP 65.24.211.110 1027 62.147.207.160 137 NetBIOS Browsing
Firewall 00:17:11 IN UDP 62.29.214.154 1028 62.147.207.160 137 NetBIOS Browsing
Cloaking 15:35:42 IN ICMP 192.168.1.2 N/A 192.168.1.3 N/A Cloaking
Firewall 15:40:48 IN UDP 217.228.161.139 1028 62.147.105.8 137 NetBIOS Browsing
Firewall 15:44:14 IN UDP 62.147.104.43 1026 62.147.105.8 137 NetBIOS Browsing
Firewall 15:44:14 IN UDP 62.147.104.43 1025 62.147.105.8 137 NetBIOS Browsing
Cloaking 15:44:16 IN UDP 213.228.57.64 1214 62.147.105.8 2625 Cloaking
Cloaking 15:44:18 IN TCP 213.228.57.64 3812 62.147.105.8 2625 Cloaking
Cloaking 15:44:19 IN UDP 213.228.57.64 1214 62.147.105.8 2625 Cloaking
Cloaking 15:44:24 IN TCP 213.228.57.64 3812 62.147.105.8 2625 Cloaking
Cloaking 15:59:33 IN UDP 213.19.2.54 1600 62.147.105.8 2625 Cloaking
Cloaking 15:59:35 IN TCP 213.19.2.54 2153 62.147.105.8 2625 Cloaking
Cloaking 15:59:39 IN UDP 213.19.2.54 1600 62.147.105.8 2625 Cloaking
Cloaking 15:59:41 IN TCP 213.19.2.54 2153 62.147.105.8 2625 Cloaking
Cloaking 16:14:53 IN UDP 212.194.132.180 3602 62.147.105.8 2625 Cloaking
Cloaking 16:14:53 IN TCP 212.194.132.180 4592 62.147.105.8 2625 Cloaking
Cloaking 16:14:53 IN UDP 212.194.132.180 3602 62.147.105.8 2625 Cloaking
Cloaking 16:15:01 IN TCP 212.194.132.180 4592 62.147.105.8 2625 Cloaking
Firewall 16:42:06 IN UDP 192.168.1.5 137 192.168.1.3 137 NetBIOS Browsing
Firewall 16:49:08 IN TCP 217.126.6.95 6852 62.147.0.238 445 NetBIOS Browsing
Firewall 16:57:58 IN UDP 192.168.1.5 137 192.168.1.3 137 NetBIOS Browsing
Firewall 17:00:25 IN UDP 61.172.177.152 1026 62.147.104.56 137 NetBIOS Browsing
Firewall 17:33:46 IN UDP 192.168.1.5 137 192.168.1.3 137 NetBIOS Browsing
Firewall 17:45:11 IN UDP 217.227.105.8 1028 62.147.204.97 137 NetBIOS Browsing
Firewall 17:46:36 IN UDP 200.161.151.122 1066 62.147.204.97 137 NetBIOS Browsing
Cloaking 17:48:36 IN TCP 155.56.68.71 21 62.147.204.97 3838 Cloaking
Firewall 17:49:21 IN TCP 155.56.68.71 20 62.147.204.97 5001 SYN Flooding
Firewall 17:49:51 IN UDP 81.57.132.238 3733 62.147.204.97 137 NetBIOS Browsing
Firewall 17:51:01 IN TCP 155.56.68.71 20 62.147.204.97 5005 SYN Flooding
Firewall 17:51:01 IN TCP 155.56.68.71 20 62.147.204.97 5004 SYN Flooding
Cloaking 17:51:57 IN UDP 212.27.32.5 53 62.147.204.97 3019 Cloaking
Tout y est, on peut remarquer que ca essaye de rentrer en TCP et sur bcp de port que je ne connais pas : 2153, 3019, 5004, 5005 pour n’en cité que quelques uns. C’est vraiment dangereux tous ca ? Car ca me fait un peu peur quand même, je commence à être aussi paranoïaque que Mulder.
Tsss … Bandes de paranos maniaques !
TomCat a tout a fait raison… Tsss
Bon, et pour ce qui est de NetBios, c’est pas compliqué, suffit de parametrer l’interface connectée au Net Correctement. C’est a dire : on désactive Le client Rezo MS, ainsi que le partages de fichiers sur cette interface.
Mieux, si l’integralité de votre rézo est sous winXP/2000, virez carrément cette vieille merde de NetBIOS, en décochant Utiliser NetBIOS avec TCP/IP dans les options IP. (Bon, ok, vous allez vous amuser si vous avez pas de dommaine/DNS pour parcourir le réseau … mais bon, faut savoir ce que vous voulez …).
Comme moi ; je me suis fait péter le cul hier sans rien voir, et heureusement l’instrusion a été conscrite : seuls mon répertoire “Jeux” a été explosé… Complètement vidé. A pu rien.
Bon ben le pb Splinter Cell est réglé, pas envie de le réisntaller ^^
Je ne suis pas à fond dans la sécurité mais j’ai pour habitude d’utiliser toujours la dernière version de Mozilla et d’utiliser de vrai mot de passe (aléatoire donc du genre gH1G9rpA) et puis mon Firewall fait le reste. Mais sinon, les risques sont très faibles, faut vraiment pas avoir de chance.
je suis bien d’accord, (et Kerio fait de très bon produits c’est vrai) mais cela suppose l’exploitation d’un buffer overflow ou autre, ce que pas mal de script kiddies ne vont pas s’emmerder a faire, sauf s’il y a un prg tout fait qui exploite le faille evidemment, mais ce que je veux dire c’est que des password faible sur des share windows ouvrent la porte a 95 % des gens … une exploitation de faille plus complexe je dirais 60-70 %
moi j’utilise kerio et je le trouve très bien.
sinon, pour tomcat, juste pour mettre à terre tout doute et informé ceux qui ne le sauraient pas, un faille de sécurité est un ‘bug’ qui permet à quelqu’un d’etre connecté sous un compte (par exemple le compte system) sans donner ni login, ni mot de passe. Donc les mots de passe, c’est bien, mais ca fait pas tout.
d’un autre coté, si on a un bon firewall bien configuré, qu’on ne laisse aucune connexion entrante passer, on risque pas grand chose… sauf …
sauf CA
(en gros, tu vas sur une page web pas belle, et hop, ton disque est formaté… trop de bonheur… patchez IE…)
Une précision concernant les scans de ports, bcp de gens croient que c’est super grave etc etc … maintenant que l’on scanne tes ports, meme si tu n’a pas de firewall, ça ne sert a RIEN DU TOUT s’il n’y a pas de service qui écoute dessus … sans firewall, ton port 80 par ex. répondra à un scan par un paquet “TCP RST” si je ne m’abuse, car il n’y a pas de serveur web en écoute dessus (exemple hein) … pour netbios effectivement c’est plus chaud, après tout dépend du reste, partage ou pas, vrais mot de passe et pas “toto” ou “root” etc …
Moi j’ai norton firewall 2002 et mes log sont du meme style. Ca garde en memoire tout ce qui ce passe et c’est pas plus mal.
Remarque, je n’ai pas encore eut a me pleindre du couple norton antivirus - norton firewall (a part peut etre les resources memoires utilisees)
Sinon majinboo, non je suis pas en ipfixe, connection modem classique, ce qui me parait bizard, c’est qu’il y en a des pages et des pages de messages de ce types dans mes logs à chaque fois que je suis connecté, je pense que mon firewall agit plus par précaution que par réel danger car je me suis conneté pendant un an sans firewall et il n’y a jamais eu aucun problème.
euh netbios , si je me trompe pas ça a un rapport avec la faille IPC et la faille ipc si t’es pas protégé , c’est facile de rentrer chez toi et de controler ton pc…
donc oui y a qques raisons d’avoir peur…
