Ports fermés mais pas masqués avec une b-box

[alex5555]

Bonjour à tous,

 

Je viens de passer il y a peu à Belgacom et sa b-box en wi-fi. J'avais avant une livebox Mobistar.

 

En faisant un test de sécurité, je remarque que plusieurs de mes ports sont fermés mais non-masqués, alors que ce n'était pas le cas avant avec la livebox. Mon pare-feu n'a pas changé, ma configuration pc non plus. J'en déduis donc que c la b-box qui est en cause.

 

Quelqu'un saurait m'aider ?

 

 

Déjà merci,

[Pang]

Salut,

 

Si le port est fermé (et qu'aucun logiciel n'est en écoute derrière) il n'y a pas de danger du tout

 

alors que ce n'était pas le cas avant avec la livebox.

Cette livebox avait peut être une fonction qui permettait de ne pas répondre au ping sur l'internet; certains tests de sécurité interprètent alors cette non réponse au ping comme ports masqués.

[alex5555]

Salut,

 

Si le port est fermé (et qu'aucun logiciel n'est en écoute derrière) il n'y a pas de danger du tout

 

 

Merci pour ta reponse,

 

mais tout betement , comment savoir si aucun logiciel est en écoute derrière...?

 

Voici les ports resultant du test:

 

21 ftp Utilisé pour le transfert de fichier entre ordinateurs. Les serveurs FTP ouvrent leur port 21 et attendent l'arrivée d'un client extérieur. Les hackers adorent les ports ftp anonymes.

 

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée. SSH vous permet de créer un tunnel chiffré pour vos connexions, il encrypte toutes les échanges. SSH est donc un outil conseillé (pour ne pas dire indispensable) pour les transactions réseau.

 

23 telnet Le service telnet (en écoute sur le port 23) permet à deux machines distantes de communiquer. Telnet établit deux terminaux virtuels pour les deux machines. Ce type de terminal est semblable à une connexion série. L'utilisateur a l'impression d'être assis devant un terminal de la machine.

 

79 finger finger n'est pas dangereux mais le laisser en écoute, sans en avoir réellement besoin, est une grossière erreur. finger donne trop d'informations sur les utilisateurs systèmes.

 

80 http Le protocole HTTP est sûrement le plus utilisé sur le web pour les pages html. Ce protocole ne comporte pas de failles intrinsèques majeures. Par contre, les applications assurant son traitement sont souvent bourrées de failles.

 

81 hosts2-ns Ce port n'a pas une utilité spéciale. Son importance aujourd'hui est due à sa contiguîté au port 80 de World Wide Web ; le port 81 est remarquable parce qu'il sert comme alternative au port 80

 

110 pop3 Le protocole POP permet comme son nom l'indique d'aller récupérer son courrier sur un serveur distant (le serveur POP). Le protocole POP3 (Post Office Protocol - Version 3) gére l'authentification à l'aide d'un nom d'utilisateur et d'un mot de passe ; il n'est par contre pas sécurisé car les mots de passe, au même titre que les mails, circulent en clair (de manière non chiffrée) sur le réseau.

 

113 ident Le service ident (anciennement appelé auth, en écoute sur le port 113) est du même genre que le service finger. Il fournit des informations sur les détenteurs de connexions sur le système.

 

119 nntp NNTP (Network News Transfer Protocol) est utilisé en particulier par les forums de discussion Usenet. Une vulnérabilité a été identifiée dans plusieurs versions de Windows ; elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau du Network News Transfer Protocol (NNTP) qui ne manipule pas correctement certaines requêtes malicieuses.

 

143 imap Le protocole imap est utilisé par les logiciels de messagerie électronique pour récupérer les mails sur les serveurs de messagerie. Ils doivent alors s'identifier et s'authentifier pour entrer sur le serveur distant en utilisant leur compte mail.

 

389 ldap ldap est un protocole d'accès de répertoires à distance. Il est utilisé par les applications modernes surtout celles de Microsoft notamment NetMeeting.

443 https Ce port est employé pour la communication sécurisée vers internet. Les données transférées à travers de tels ports sont fortement protégées contre les écoutes clandestines et contre l'interception. Il utilise l'application SSL (Secure Sockets Layer) pour authentifier les communications, par exemple pour les sécurisations des paiements sur internet.

 

1214 kazaa Port utilisé par l'application Peer-to-Peer KAZAA qui permet de faciliter l'échange de fichiers entre particuliers. Ces applications Peer-to-Peer sont nombreuses et diverses (eDonkey, Kazaa, etc.). Malheureusement, leur utilisation dans un réseau peut être source de problèmes de sécurité et consommer inutilement de la bande passante.

 

4662 eDonkey Port utilisé par l'application Peer-to-Peer eDonkey2000 qui permet de faciliter l'échange de fichiers entre particuliers. Ces applications Peer-to-Peer sont nombreuses et diverses (eDonkey, Kazaa, etc.). Malheureusement, leur utilisation dans un réseau peut être source de problèmes de sécurité et consommer inutilement de la bande passante.

 

4663 eDonkey Idem port 4662.

 

Pourquoi, aussi, la 1214 est présente alors que je n'utilise pas ce programme?

 

Merci pour l'aide,

[Greywolf]

les ports listés sont ceux évalués par le test (i.e. il ne scanne pas l'ensemble des 65536 ports possibles).

 

Un port fermé signife que le système a répondu à la sonde réseau que rien n'est en écoute (TCP RST)

Un port masqué fait intervenir un élément filtrant type pare-feu qui a la goujaterie de ne pas répondre aux sollicitations

[alex5555]

les ports listés sont ceux évalués par le test (i.e. il ne scanne pas l'ensemble des 65536 ports possibles).

 

Un port fermé signife que le système a répondu à la sonde réseau que rien n'est en écoute (TCP RST)

Un port masqué fait intervenir un élément filtrant type pare-feu qui a la goujaterie de ne pas répondre aux sollicitations

 

 

Si je comprend bien, je dois pas me tracasser alors? Ou dois-je faire un test sur les 65536 ports possibles? Si oui, comment?

 

Merci pour votre symphatie,

[Pang]

Si je comprend bien, je dois pas me tracasser alors?

Absolument, tu ne dois pas te tracasser !

 

Ou dois-je faire un test sur les 65536 ports possibles?

Tu peux le faire si tu as le temps

 

Si oui, comment?

Ce site permet ce genre de choses : http://www.auditmypc.com/firewall-test.asp

 

Aussi, garde à l'esprit que c'est le pare-feu de la box qui est testé, pas celui de ton ordinateur.

 

comment savoir si aucun logiciel est en écoute derrière...?

Sous windows, il y a une commande avec des commutateurs pour ça

 

Démarrer > Exécuter > cmd

netstat -ano

liste rapidement les ports en écoutes

 

netstat -bano

liste les ports ainsi que le nom des processus en écoute.

[Tibonhomme]

Bonjour alex5555,

 

Ta Livebox possédait probablement un pare-feu intégré qui, comme le dit Greywolf, interdisait toute réponse (tes ports étaient masqués).

Regarde dans le gestionnaire de ta B-box actuelle s'il existe un pare-feu. Dans ce cas, c'est celui-ci qu'il faut configurer, ou dont il faut élever le niveau de protection.

 

Tu peux exécuter des tests complémentaires dans les liens suivants (attention : les tests de ports en ligne ne sont jamais garantis 100% fiables) :

* PC Flank Advanced Port Scanner : http://www.pcflank.com/scanner1.htm

* Secutity-Check-Test : http://www.security-check.ch/index.cfm?lang=f

* GRC ShieldsUp : https://www.grc.com/x/ne.dll?bh0bkyd2

 

Cela dit, inutile de multiplier et répéter les tests 10 fois par semaine, sinon gare à la paranoïa.

 

Cordialement

[alex5555]

Bonjour alex5555,

 

Ta Livebox possédait probablement un pare-feu intégré qui, comme le dit Greywolf, interdisait toute réponse (tes ports étaient masqués).

Regarde dans le gestionnaire de ta B-box actuelle s'il existe un pare-feu. Dans ce cas, c'est celui-ci qu'il faut configurer, ou dont il faut élever le niveau de protection.

 

Tu peux exécuter des tests complémentaires dans les liens suivants (attention : les tests de ports en ligne ne sont jamais garantis 100% fiables) :

* PC Flank Advanced Port Scanner : http://www.pcflank.com/scanner1.htm

* Secutity-Check-Test : http://www.security-check.ch/index.cfm?lang=f

* GRC ShieldsUp : https://www.grc.com/x/ne.dll?bh0bkyd2

 

Cela dit, inutile de multiplier et répéter les tests 10 fois par semaine, sinon gare à la paranoïa.

 

Cordialement

 

Merci pour tous ces éclaircissements,

 

j'ai quand meme fait ces quelques tests;

 

GRC:

 

Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers. Please see the details presented by the specific port links below, as well as the various resources on this site, and in our extremely helpful and active user community.

 

 

 

Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)

 

 

 

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

 

 

Et sur auditmypc.com,

 

Notice - Found your Private IP of 192.168.1.20!

(see our anonymous proxy information).

 

 

Me sens tout de suite moins "furtif" que zonealarm ne me le dit..

[alex5555]

Bon bein après moultes chipotages, j'ai trouvé ceci en tapant 192.168.1.1:

 

Dans le sous-menu firewall,

 

Intrusion Detection Feature

 

J'ai coché toutes ces cases,

 

SPI and Anti-DoS firewall protection

RIP defect

Discard Ping To WAN ,

 

et tout va bien.... tous les tests sonts positifs. Me sens mieux maintenant.

 

Ah chez Belgacom, s'ils pensaient à mettre un manuel d'utilisation (et à traduire leurs logiciels en français....) avec leurs engins....

 

merci à tous pour votre interet en tout cas.