fermeture port avec zone alarm

[mirware]

Bonjour

Je viens de faire une analyse de la sécurité de mon PC en ligne par le site et c'est la cata.

 

Malgré que j'ai zone alarm, j'ai un paquet de port ouvert, et même un qui permet de voir mes mots de passe. Le pied. Il s'appelle : microsauft-ds.

Pourriez-vous m'indiquer comment fermer ces ports :

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée

23 telnet Utilisé pour obtenir un shell distant

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

79 finger Permet de connaître diverses informations relatives à votre profil

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet

135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

1002 N/A Port non standard

1024 N/A Port réservé

1025 N/A Port non standard

1026 N/A Port non standard

1027 N/A Port non standard

1028 N/A Port non standard

1029 N/A Port non standard

1030 N/A Port non standard

 

Et aussi quels sont ceux qui sont réellement utiles.

N.B. : j'utilise outlook. Et netmeeting.

Merci d'avance aux pros.

[angelique]

il va falloir te diriger dans za vers l'onglet firewall/parefeu,mettre ta zone sure et internet sur élevé.

 

Tu rentres dans personnalisé de chaque zone,

 

a/zone sure-->

 

tu decoches tout l'autoriser de la partie du haut

 

et tu coches tout dans partie basse,netbios,ping,icmp,igmp,....et udp entrant et sortant[ tu mettras ds la case demandée:

1-65535],tu laisses decoché tcp

 

b/zone internet ---> tu fais idem

 

c/

tu dois avoir de mémoire un onglet avançé ds la meme partie,coche activer arp

 

______________

 

ce tuto de tesgaz est bien fait,pour completer:

 

http://speedweb1.free.fr/frames2.php?page=tuto1

 

___________________

 

refais des tests ,test de zebulon et:

 

http://www.hackerwatch.org/probe/

 

http://scan.sygate.com/

.

.

.

[Sacles]

Bonjour,

 

Angelique, je ne connaissais pas http://www.hackerwatch.org/probe/ , merci pour la référence.

 

J'ai fait passer tous les tests à mon système, tout est OK.

 

Note: Le site de PC Flank est toujours HS.

 

-----------------------

 

Mirware, comment es-tu connecté au cyberespace?

 

Configure aussi les services. Voir ici:

 

http://speedweb1.free.fr/frames2.php?page=service4

 

Amicalement.

[Greywolf]

c'est sur que le scan teste ta machine? parce que là ça ressemble foutrement à une machine unix qui propose une foultitude de services.

 

tu as installé un serveur smtp et un serveur pop?

un serveur apache http et https?

 

un serveur ssh via cygwin? un serveur telnet?

 

Avant de crier au loup, vérifie que tu scannes bien ta machine et non un proxy (au hasard)

[mirware]

Merci beaucoup Angélique

 

Mais....j'étais déja en high sur la zone internet. (et moyen en intranet (zone "trusted"))

 

Alors, je précise : j'ai le zone alarm gratuit. Et je n'ai à priori pas accés à grand chose coté réglages.

 

Juste les exceptions d'autorisation d'accés qui autorise d'autres machines à se connecter à moi.

 

Car, en effet, Greywolf, j'ai un serveur FTP. J'ai donc le port 21 ouvert en permanence. (Si y'a un pirate dans le coin, je lui signale aimablement que j'ai aussi TCPViewer )

J'utilise aussi netmeeting (bien mieux que msn), outlook,...qui ont tous évidemment, besoin d'un port de plaisance de tant en tant.

 

Mais ceux qui me paraissent suspects sont (dans l'ordre et pour 1 euro) :

23 : à moins que netmeeting ne l'utilise pour la voix

79 : (in the noze)

119 : car je n'utilise par de service de news (à moins que outlook ne l'ouvre même si ça ne sert pas)

389 : à moins qu'il n'y ait un rapport avec les serveur DNS (dynamique chez moi)

445 : merci ouinedose

et du 1002 à 1030 (sauf le 1024, car c'est mon chiffre porte bonheur).

Existerait-il une petite manip en language machine qui me permette de les fermer indépendamment de zone alarm ???

 

Et je viens de faire ton test (hackerwatch.org), Angélique. Qui me rapporte que tous mes ports sont invisibles....

Y'a peut-être pas de quoi se poser de question??? Non?

Modifié le 16 septembre 2006 par mirware

[odSen]

Si tu n'utilises pas d'application serveur utilisant ces ports, il n'y a aucune raison qu'ils soient ouverts en permanence.

Comment te connectes-tu au net ? (modem ? routeur ?)

[Greywolf]

pour fermer 443 et 80, tu fermes ton service web (apache ou IIS)

pour fermer 22 et 23, tu coupes ton demon telnet et ssh

pour fermer 79, tu coupes le demon finger

pour 110, tu fermes ton serveur POP (tu utilises quoi?)

pour 25, tu fermes ton serveur smtp (idem que ci-dessus ?)

pour 139 et 445, tu fermes les services de partage de ressource sur ton interface internet

 

des applications clientes n'ont pas besoin d'avoir de port en écoute.

Netmeeting écoute sur TCP 1720

 

pour les ports > 1024 typiques de l'utilisation de svchost, tu peux à l'aide de Currports visualiser le processus qui a demandé l'ouverture de socket.

 

qu'entends tu par serveur DNS dynamique?

tu t'authentifies sur un domaine lors de l'ouverture de session windows qui va chercher dans une base LDAP les couple login/mdp?

[mirware]

Heeeeeeeeeeuuu..... Là, les gars, il va falloir que je vous fasse une confidence.

Je ne suis pas informaticien de métier car j'ai décroché de la programmation quand les UC ont commencé à causer en 16 bits....Ben ouais, plus tout jeune (mais j'ai de beaux restes). Et j'ai pas eu de formation réseaux. Et ça, je le regrette.

Merci Greywolf pour le 1720, car de temps en temps, netmeeting bloque lorsque mes correspondants ou moi-même changeons ou mettons à jour le fire-wall. Par contre, j'avais lu qu'il utilisait 2 autres ports.

Et, à priori, à moins que je me plante, fermer une application n'entraine pas que le port soit aussi refermé. (à moins que d'autres applis l'utilisent)

 

Alors, je suis avec une freebox en éthernet.

Mes paramètres de connexion sont en tout auto : IP de la box donnée par le fournisseur, IP et DNS dynamiques, pas de proxy.

D'après mes informations des cours d'info...et différents potes informaticiens, et ma curiosité maladive...

Les ports et applis qui les utilisent devraient être :

21 : serveur FTP (actuellement pas en service)(mais sert peut-être au téléchargement par firefox)

22 et 23 : demon telnet et ssh : telnet est-ce que ça sert pour les télécopies? (service en fonction) ssh : utilisé par firefox pour les formulaires sécurisés?

25, 110, 143, utilisés par outlook

80, 443 et 22 pour firefox.

reste les 79, (j'irai voir dans la gestion des services, y'a un article sur le site)

le 139 : j'en ai besoin (à priori) quand je relie cette machine aux autres en intranet???? Non?

le 445 : qu'appelles-tu "fermer les services de partage de ressources sur mon interface internet" ???? Excuses mon ignorance profonde....

Mais c'est vrai que de lire : partage des mots de passe! Tant qu'il y est, y'peut s'servir. La maison est ouverte à toute proposition. Sauf malhonnétes.

Bon, sur ce, on va crouter.

 

BON APPETIT A TOUS!

Et bon saturday night fever

[Greywolf]

si tu n'as aucun serveur, il n'est pas nécessaire d'ouvrir des ports au travers de ton pare-feu

 

les applications clientes (firefox, oulook, client telnet, client ssh) se connectent vers les ports serveurs de la machine distante.

 

Je viens de scanner ton adresse IP et tous tes ports sont filtrés. Je ne sais pas quelle adresse tu as scannée pour ton premier post mais ce n'était plus que probablement pas la tienne.

[mirware]

Greywolf, tu scannes ma machine toi...

Non, bon. Je te confirme que c'était bien ma machine.

Et comme me l'a confirmé le scan sur le site indiqué par Angélique (ça, c'est un prénom à écrire rien que pour le plaisir), les ports sont ouverts (puisqu'il me les a trouvés) mais cachés. Le fait que la freebox fasse un "transfert" d'IP ne semble rien changer. (IP fixe, que tu as vu, vers IP dynamique donnée par la box à l'allumage de la machine).

Je vais essayer de cerner les services qui démarrent pour rien et refaire un test.