Pare-feu Windows

[Greywolf]

bonjour

 

quel est le rapport de cette citation avec l'ouverture de port?

 

la citation indique qu'un serveur http se met en écoute sur le port 80. C'est à dire que son processus est en attente de connexion entrante sur un socket TCP port 80. Le processus a demandé au système cet ouverture, le système peut autoriser ou interdire cette action (et pas un pare-feu qui stricto-sensu est chargée de filtrer le traffic, quand il y en a).

 

Un client http (un navigateur web par exemple) se connecte par défaut à l'url qui lui est transmise en argument à destination du port TCP 80. Il est possible d'indiquer au client http de se connecter sur url:9324 si l'envie nous prenait (et pour peu que nous sachions qu'à l'adresse indiquée quelquechose écoute sur le port TCP 9324).

Là le client http ouvre un socket dans la couche haute des ports TCP (ports non attribuées à un service qui ne requiert pas de droits administrateurs pour l'ouverture), i.e. > 1024.

Fort de cette ouverture de socket, le client envoie sa requête http vers l'ip résolue correspondant à l'url transmise.

C'est là que le pare-feu peut filtrer (vu qu'il y a du traffic); il "voit" la tentative d'envoi et tâche de déterminer si la connexion vers TCP 80 est légitime ou non au vu de sa configuration.

 

UPnP permet d'ouvrir et de router automatiquement les ports nécessaire au fonctionnement d'une application à la fois client et serveur. Le soft émet une requête upnp vers le routeur compatible, le routeur reconnait l'application et va router les connexions entrantes (wan -> lan) vers le PC émetteur.

 

Dans le même genre, on a le port triggering qui ne sont que des évolutions du suivi de protocole normé (conntracking)

 

Un firewall n'est pas un proxy applicatif (ou alors on mélange tous les termes), il n'a pas pour rôle de verifier que ce qui transite à destination de TCP 80 contient bien une requête http (niveau 7 OSI, couche applicative) correctement formulée etc etc ...

ça c'est le travail d'un proxy ou d'un IDS

 

un parefeu sur chaque poste de travail c'est bien,encore faut-il que les gens sachent le configurer (et si en plus ils sont administrateurs de leur machine .... ). En entreprise, avoir un routeur filtrant permet de centraliser la gestion. Afin de pallier les lacunes d'un pare-feu déporté(niveau 3), il existe des projets avec authentification utilisateur (qui a le droit de faire quoi d'où qu'il se connecte): http://www.nufw.org/

 

il me semble que de nombreuses personnes confondent la notion d'ouverture de port (application serveur en écoute de connexions entrantes) de l'autorisation de flux sortants (à destination d'un port défini)

[Berfizan]

Evidemment, si ta machine (ou plus exactement ton modem/routeur/pare-feu) ne répond pas au ping, ce test n'a aucune valeur.

(On peut effectivement paramétrer la LB pour qu'elle ne réponde pas au ping).

 

Cela fait deux fois que tu parles de LB me concernant mais je n'ai pas de LB.

 

j'ai un vieux DWB 200 où l'on peut, effectivement, ne pas répondre au ping.Il est paramétré dans ce sens.

 

Concernant la réponse au ping pour le test de Zeb, ça doit être plus compliqué que cela car quand j'ai mon serveur FTP en service là, ZEB me signale bien le port 21 ouvert.

 

 

Re,

 

 

 

 

Sans routeur, même avec le pare-feu de Windows c'est comme cela.

 

????? Le test de sécurité sur Zeb n'est donc pas significatif ?????

[Greywolf]

le test sur zebulon est un TCP Scan, càd qu'il faut le "three-way handshake" pour considérer qu'un port est ouvert ou non (SYN/SYN-ACK/ACK ou SYN/RST-ACK/ACK). Le scan ne s'effectue par ailleurs que sur certains ports courants et pas sur l'ensemble de la plage tcp (trop long, trop coûteux en ressources).

 

Si aucun de ces ports n'est à l'écoute et qu'aucun firewall ne droppe la réponse RST-ACK, les ports apparaitront comme fermés

 

Si un firewall droppe le RST-ACK d'un port fermé (ou un SYN-ACK d'un port ouvert), le port apparaitra comme masqué

 

Si il y a échange SYN/SYN-ACK/ACK, le port apparait ouvert

[Pang]

Pour info la partie config du parefeu de mon routeur

 

 

Cela fait deux fois que tu parles de LB me concernant mais je n'ai pas de LB.

j'ai un vieux DWB 200 où l'on peut, effectivement, ne pas répondre au ping.Il est paramétré dans ce sens.

 

C'est à dire que la ressemblance est troublante :

 

Pour le test de zeb, si le pare-feu/routeur/modem est réglé pour ne pas répondre au ping mais qu'il autorise le port 21 et qu'une application est en écoute sur ce port, alors c'est la machine hébergeant l'application qui va répondre (ou non), plus la box.

Modifié le 26 mars 2008 par Pang