Svr32

j'ai installé Sygate 5.6 et fait le paramétrage de base : verdict seul le port 135 semble resterouvert tout le reste est masqué. Curieusement le test de sécurité de zebulon lui me dit que tout est OK : que croire ? PCflank et gpc.com disent que 135 est ouvert. Cela vient sûrement d'Avast! En plus mon PC charge l'icone son et une icone réseau en double !

Merci ! N'hésite surtout pas si tu en connais d'autres

Merci Xerta (et tout le monde)..... En fait comme j'avais réfléchi et prévu plusieurs FW possibles j'ai déjà téléchargé Sygate, un tuto et même le patch pour mettre en français. Quand même, je n'ai pas de chance pour mon nouveau FW, Outpost free fait swapper, L'n'S laisse des ports vulnérables (et ça swappe un peu aussi). L'un comme l'autre semblaient relativement simples à configurer mais peut-être que quelquechose m'a échappé. J'ai aussi utilisé Zone Alarm (au travail) qui est encore plus simple mais ne bloque que les connexions entrantes (pas de surveillance des applis qui se connectent à internet). J'ai un ami qui veut absolument me conseiller Kerio (ZA et Kerio ne font pas bon ménage avec la mule, donc non) et je préfère essayer Sygate avant, d'autant que d'après ton expérience Xerta, il semble mieux adapté à mon OS et n'interfèrera pas avec Avast! J'espère que cette fois ça va marcher parce qu'il ne reste pas des quantités de FW gratuits et de bonne qualité : Tiny firewall, je peux aussi essayer OutPost Free OLD comptaible win 98 SE (mais il est moins bon sur les ping parait-il); Enfin c'est toujours intéressant de manier de nouveaux softs !

Le scanner de ports zebulon me trouve deux ports ouverts : 139 et 1027 Plus une floppée de ports fermés : 21, 22, 23, 25, 79, 80, 110, 113, 119, 143, 389, 443, 445, 1002, 1024 à 1030 (inclus), 1720, 5000. Le test de PCflank me trouve 135 et 1027 ouverts, et les ports fermés suivants (vulnérabilité trojans) : 21, 23, 80, 137, 138, 139, 1080, 3128, 27374, 12345, 1243, 31337, 12348. Il ya aussi le log de CurrPorts qui lui me montre pas moins de 10 ports ouverts (voir plus haut). A ce niveau je crois qu'il vaut mieux que je change de pare-feu plutot que de m'obstiner à rafistoler toutes ces brèches qui sont autant de failles de vulnérabilité de mon système. Je peux aussi poser la question sur le forum L'n'S et installer un autre FW en attendant d'avoir trouvé sur le forum L'n'S de l'aide de François et climenole + d'autres règles à importer pour corriger ça Merci pour vos conseils éclairés.

Il n' y a pas de services sous Win 98 : ce qui en tient lieu est chargé en programme de démarrage (type lignes 04 HijackThis) Pour les règles c'est sûr que je me serais bien contentée d'en importer ! Je ne sais pas comment les paramétrer ni comment et quelles adresses locales autoriser (il y a trois types d'adresses à ce que j'ai pu voir dessus : ethernet physique locale (variable suivant PC), DNS physique (variable aussi), et serveur DHCP. Il y a l'adresse locale à mettre ou 0.0.0.0 ou 127.0.0. C'est vrai que quand on ne connait pas les tenants et aboutissants de ce paramétrage c'est délicat de trancher ! Je m'étais contentée d'essayer un filtrage global sans aller dans les subtilités mais apparemment ce n'est pas ça ! (ça aurait pu marcher, qui sait). On n'apprend rien si on ne se lance pas de temps en temps...

Qu'est-ce qu'on en apprend sur ces forums !

Bonjour tesgaz. Mais les autres ports sensibles ? Le 1027 (ouvert) ? Les règles (existantes dans L'n'S, créées par Phantom, ou à venir), permettent principalement d'autoriser, filter ou interdire des protocoles de connexion suivant des IP (distantes ou locales), et en l'état ne permettent pas d'isoler un port pour le masquer. Quand j'ai essayé, c'est revenu à rendre bien visibles et ouverts des ports qui auparavant étaient fermés ! Paut-être aurais-je du indiquer mon IP locale (ce serait revenu au même). Il faudrait pouvoir faire un règle de type "autoriser connections de telle application (sur port "sensible") dans les deux sens à des adresses connues et permises, mais interdire tout passage par ce même port pour tout le reste.... ou au moins certaines adresses (comme pour Lop.com par exemple, la règle existe). Je n'ai pas l'impression que le masque de saisie de règles le permette tel qu'il est conçu. Ou alors il faut connaitre les adresses distantes des serveurs auxquels se connectent les applis.

Bonjour megataupe, Sacles, Xerta, Le problème c'est que j'ia testé L'n'S aussi avec les règles avancées et comme je le disais plus haut (p4) les ports restent ouverts (aucune amélioration). Curieusement le port 135 apparait ouvert en écoute sur le log CurrPorts, et masqué avec le scan de zebulon sécurité... Voici un copié-coller du résultat de CurrPort : Liste des ports TCP/UDP Créée avec CurrPorts Protocole Port local Nom du port local Adresse locale Port distant Nom du port distant Adresse distante Nom d'hôte distant État TCP 12080 127.0.0.1 0.0.0.0 Écoute TCP 1025 127.0.0.1 0.0.0.0 Écoute TCP 135 0.0.0.0 0.0.0.0 Écoute écoute et connexion web de nombreux logiciels TCP 1026 127.0.0.1 0.0.0.0 Écoute TCP 110 127.0.0.1 0.0.0.0 Écoute serveur de messagerie pop3 TCP 25 127.0.0.1 0.0.0.0 Écoute serveur de messagerie smtp TCP 143 127.0.0.1 0.0.0.0 Écoute TCP 119 127.0.0.1 0.0.0.0 Écoute nntp TCP 1027 0.0.0.0 0.0.0.0 Écoute TCP 0 0.0.0.0 0.0.0.0 Écoute Si Avast! utilise le port 135 on peut concevoir qu'il ait une manière de le protéger.. D'un autre coté si CurrPorts et les leaketst détectent 135 ouvert alors que le test de scanner zebulon ne le voit pas (masqué) on ne peut qu'en déduire que cette protection est incomplète et insuffisante. Sans parler du port 1027 détecté ouvert par zebulon (et les 10 autre fermés) De plus je ne pourrai jamais masquer tout à fait ce port crucial vu ma config (avast + win 98 + ??FW = cata) ; il vaudrait peut-être mieux que je désinstalle Look'n'Stop pour essayer Sygate gratuit... ca me fait mal au coeur parce que lacher un excellent logiciel encore renforcé par des règles surpuissantes, pour un gratuit qui date un peu Quelquechose qui va vous faire rire (ou pas) : j'ia essayé de concevoir des règles filtrage supplémentaires que j'ai mis tout à la fin pour les ports 23, 1002, 1025, 1026, 1027, 1028, 1029, 1030, 1720, 5000, 1080, 3128, 27374, 12345, 1243, 31337, 12348 (détectés fermés par le leaketst sauf 1027 détecté ouvert !!). je sauvegarde, et j'active, je relance la bécane. Résultat des courses : tous ces ports ouverts en plus des précédents suivant CurrPort (dont celui du célèbre CWS !) J'avais édicté les nouvelles règles sur le type : Je viens de redémarrer ma bécane sur mon ancien rls pour poster. Je crois que je n'ai plus qu'à installer Sygate (il est très bon aussi ce soft après tout....)

OK. En fait ce n'est pas que je me sente assez compétente pour construire moi-même des règles de FW, c'est plutot que je veux bien essayer si ça me permet de combler la brèche qui reste sur mon PC : ce qui est curieux c'est que selon le test on m'informe que le port 135 ou le 1027 est ouvert (les autres ont simplement visibles mais bien fermés). C'est d'ailleurs pour ça que je demande des instructions plus précises si quelqu'un en a... Je file tester CurrPort et éplucher les liens que tu me donne (règle anti Lop.com, expli megataupe)

Merci Sacles. Currports sert-il juste à voir les ports et les logiciels qui les utilisent (+ les logiciels actifs) ou permet-il de modifier l'état des ports ? Pour les règles Phantom je n'ai modifié qu'en suivant pas à pas le tuto de Tepee pour les v5 et celui de Phantom pour les v6 (en prenant bien WIn98 encore que j'ai l'impression que le fichier v6 est le même pour les deux types d'OS expliqués). Il y a un flou pour les v6 : deux de ses règles marquées "à modifier avant activation" et inactives d'ailleurs, semblent utiles, mais il n'y a aucune instruction pour les modifier. A vrai dire je me suis constitué un fichier rls v6 avec seules les lignes que je savais traiter modifiées, et j'en ai créé un second plus expérimental où j'ai essayé de modifier la règle "Bloquer NetBIOS" et celle "anti MACspoofing" (concerne t-elle les OS MAC ou s'agit-il d'autre chose ?) et de les activer...... Pas de différence évidente constatée entre le jeu de règle V6 prudent et l'expérimental tant au niveau du comportement de mes applications, que du leaktest et du scanner de ports zebulon... C'est vrai que si quelqu'un sait comment les modifier/adapter à son PC comme il faut, qu'il le dise ! Je suis tout de suite sa procédure ! Pour la création de règles nouvelles (par ex pour bloquer le seul port ouvert qui me reste) : 1) comment fait-on pour que la nouvelle règle se mette en fin de liste et pas au début ? 2) quel genre d'instruction donner pour que le FW masque et non bloque des infos en provenance de 135 ou 1027 (si aucune de mes applis n'utilise ces ports je n'hésiterais pas à interdire quitte à devoir y revenir plus tard si nouveau soft devant les utiliser). 3) pour les ports trojans au hasard tiens 12345 il me suffit d'interdire non ? (je vérifierai les appli quand même rassurez vous !) Mais c'est uniquement le protocole TCP que j'interdis ? (tous mes ports vulénrables sont TCP) Voilà, si un spécialiste (re)passe par là.....

Bon, je viens de testerles règles Phantom V6 après les V5, et les règles évoluées : Pv5 et r évoluées laissent deux ports ouverts et plein de fermés : voir test de sécurité Zebulon : http://www.zebulon.fr/outils/scanports/res...5&tmp_exec=1.65 Pfffffff ! Pv6 laisse le port 135 seul ouvert pour PCflank, zebulon test lui dit que c'est le 1027 (kezako cette différence ?), les autres détectés fermés y sont encore. Comment édicter des règles qui masquent ces ports précis ? Ca sent le roussi. J'espère ne pas devoir encore désinstaller pour mettre un autre FW.... Pour ce qui est des règles à adapter à mon système j'ai bien pensé à reporter mon serveur DNS sur les onglets de règles DNS-Allowed-1 et DHCPs serveur où cela semblait à rajouter, y compris à gauche (IP adress pour certains onglets de règle DHCP), et j'ai reporté mon serveur DHCP (actif sur mon sytème) dans les onglets des règles le concernant). je crois n'avoir rien oublié.... Je me suis essayée à compléter la règle antiMACspoofing en mettant ma propre adresse ethernet dans la plage définie à cet effet. J'ai évidemment activé toutes ces règles qiui étaient à personnaliser. Rien à faire ports toujours ouvert (135/1027 ou masqués - une quinzaine !). J'ai regardé les autres règles sans modifier : les ports TCP sont autorisés toutes catégories à partir de 1024 jusqu'à 5000 (c'est quel style de défense ça ???)

Il ya plus embêtant (et même flippant) : je viens de faire le leaktest de PCflank qui me révèle 2 ports ouverts (et dangereux avec ça : 135 et 139 ) plus ue floppée d'autre simplement visibles (donc fermés). Comment est-ce que je fais pour configurer look n' Stop pour les masque ?

Même en allant cocher "montrer tous les fichiers " dans les options d'Affichage, et en retournant faire ta manip', je n'ai aucune manière de modifier l'affichage des périphériques système. Je suis sous win 98 : clic droit sur poste de travail m'amène droit sur "sytème", avec onglets général, gestionnaire de périphériques, profils matériels, et performances..... Je n'ai pas accès aux fantômes dont tu me parles. Y a t-il un autre moyen ??

Merci amigo mais j'utilise régulièrement JV16 (dernière version gratuite) et j'ai déjà fait ce que tu me conseilles. J'ai aussi utilisé Regsearch. Apparemment OutPost laisse plus que des scories... A moins que ça vienne de Spybot mais j'en doute : il autorise une modif qui a lieu dans le registre au démarrage....

Merci Sacles et megataupe. L'ami Phantom a prévu jusqu'aux attaques futures ?!? J'en avais vaguement entendu parler (j'ai parcouru le post de megataupe au moment où il parlait du nouveau jeu de règles il y a un mois ou deux), mais sans trop y prêter attention n'ayant pas Look n' Stop. Je pensais que peut-être ça pouvait être améliorable en fonction de ports pas encore utilisés, que pourraient emprunter de futurs malwares ou menaces.. . Je ne pensais pas à des définitions de virus. D'un autre coté je ne m'y connais pas trop dans le détail de la mécanique internet (protocoles UDP, TCP) et sur les ports, dangereux ou non (utilisés par des trojans ou des vers), j'en connais de "nom" 4 ou 5 qui sont dangereux 80 135 137 445 - bien que j'ai mis dans mes favoris il y a longtemps une liste détaillée des ports et des applications (légitimes) qui les utilisent, ainsi qu'une liste similaire mais cette fois pour les trojans (quels sont leurs ports d'élection). Quelqu'un sait comment je pourrais finir de nettoyer ma base de registre des derniers émoluments d'OutPost ? Ca me fait un drôle d'effet de voir teatimer accepter une modification de registre pour OutPost que j'ai désinstallé (et j'avais nettoyé derrière en plus !)

Bonjour, Apparemment tout va bien (très léger swap quand je surfe avec Firefox et plusieurs onglets : 1,3 Mo). Y a t-il un fichier de règles Phantom plus récent ? (celui que j'ai pris est du 5 septembre et date donc de 2 mois) Un léger détail me trouble : teatimer (résident de Spybot) continue à m'afficher joyeusement au démarrage 2 x "modification de registre d'OutPost autorisée"..... J'ai pourtant bien nettoyé la BDR après désinstallation d'OutPost (il a d'ailleurs fallu que je me bagarre avec la dll mfc42.dll qui m'était réclamée au démarrage) : avec JV16 PW tools et avec RegSearch (recherche sur"outpost" et "agnitum") pour parfaire le travail. J'ai aussi reardé les listes blanches et noires ainsi que les réglages et fonctions avancées de Spybot, en supprimant tourtes les entrées apparentées à OutPost. Bon le FW fonctionne, l'AV aussi, mais j'aimerais bien régler ça.... Je suis absente cet am (retour vers 18 h), mais je répondrai à vos posts dès mon retour.

Non Sacles ! Pas d'ascenseur chez moi : faut tout faire à pied J'ai évidemment regardé, sur le tuto wilderssecurity il ya bien cet ascenseur mais pas sur ma bécane (win 98) : j'ai essayé l'invite de commande directe exécuter "ipconfig -all" : ça défile à la vitesse éclair et la fenêtre est minuscule, puis j'ai tenté ma chance avec les commandes MS-DOS présentes dans le menu démarrer sauf qu'on n'en voyait que la fin. Mais j'ai trouvé : vive la touche Pause/Break !

Par contre je viens de regarder mon moniteur système : le PC swappe aussi avec Look n Stop : je suis à 5 Mo de fichier d'échange cnnsommé après une demi-heure de surf environ. ca semble au même point qu'avec OutPost. Se pourrait-il qu'il y ait un conflit logiciel ? Avec quoi ? (Avasr doit gêner quelquepart). Si ça continue je désinstalle les deux, AV et FW, et je les réinstalle en mode sans échec..... Edition : alors voilà, bonne nouvelle ! j'ai réussi à trouver mon adresse serveur DNS (en figeant l'écran pendant que ça défile) mais je n'en ai qu'une, pas deux, est-ce normal ? j'ai mis deux fois la même, ai-je bien fait ? Ca swappe toujours mais un peu moins (chose incroyable le fichier d'échange semble moins utilisé que tout à l'heure (il est redescendu de 5 mo à 1.9 mo). Je ne l'avais jamais vu descendre en valeur, même en fermant de grosses appli et en voyant remonter la RAM inutilisée....

Salut amigo, Oui le résultat du test fait plaisir quand on a bien travaillé Par contre il va falloir que je recommence tous les tests parce que j'ai désinstallé OutPost pour mettre Look n' Stop. Je rencontre un petit problème en voulant installer les règles de Phantom : ça ne vient pas du fichier règles d'ailleurs mais plutot de mon gestionnaire de commandes MS-DOS (je suis sous Win 98) qui quand je lui mets ipconfig/all me sort une tartine dont seule la fin est visible ! Malheureusement pour moi mon adresse DNS locale est dans la partie haute du log et impossible de remonter les lignes J'ai juste pu avoir mon adresse de serveur DHCP qui doit me servir (il est actif); Si quelqu'un sait où aller prendre le fichier log ou comment l'éditer au passage. Pour l'instant je fonctionne avec les règles élaborées faute de mieux

Super ! Merci beaucoup megataupe. Je vais lire et essayer tout ça.

Re-bonjour, Look n Stop emble vraiment bien (cette dernière version 2.5). Est-ce que quelqu'un pourrait m'indiquer un lien pour télécharger les règles PHANTOM qui parait-il sont le top du top pour renforcer la sécurité. Merci.

Je vais essayer de modifier le swap.... Ouais bon j'ai réfléchi, ce n'est pas une bonne idée : je suis djust (short) pour la place sur le disque. Si je fixe le fichier swap à 480 Mo cela signifie qu'il va tout le temps occuper cette place sur mon disque dur au lieu de varier entre 90 et 200. Et là je tombe très en dessous du niveau d'espace libre que mon PC tolère.

Je sui à 1500 Mo environ et il ne faut pas que je descende en dessous sinon je rame très vite (bien avant d'arriver à un Go d'espace libre disque en fait) Non, j'ai remis mon optimiseur sur ses réglages précédents qui marchaient bien (j'ose pas trop y toucher : si je modifie un truc quelles sont les répercussions sur les réglages) Je croyais que c'était le parefeu qui est indispensable (le virus ne sont pas les seules menaces sur la toile) Oui et je nettoie tout ça régulièrement avec EasyCleaner et CCleaner.

Pour le test 0 risque ou faille trouvé

En ligne de commande le netstat -an ? Mais ça ne vaut que pour la session en cours non ?