Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Comment masquer un port ouvert ?

jem

Par jem
dans Analyses et éradication malwares

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
Toutes les semaines je  simule une attaque contre le firewall sp2. Rien ne passe. Avec le sp1 non plus d'ailleurs. Je n'ai jamais eu un port ouvert. Moi aussi dans le temps j'ai utilise Sygate  et d'autres.  je m'étais meme aperçu que Sygate laissait ouvert  un "pot de miel" pour pieger les attaques sur un des 5 ports  Blackjack.

Effectivement ça n'empeche pas les malwares de sortir.  Mais a partir du moment ou ça n'entre pas ou est le probleme ?

La SEULE difference entre le sp2 et les autres plus perfectionnés c'est le controle en sortie. 

Je n'ai pas attrappe un seul truc depJis + de 3 ans.  J'utilise K + 5 antispywares. Je navigue toujours en protection maximum meme si ça ralentit tres legerement la navigation.  Je fais un scan complet approfondi toutes les semaines avec l'AV. Plus alternativement un scan spies avec chacun  de mes 5 antispy + comme je disais chaque semaine un scan/attaque de tous mes ports  depuis  2 sites differents.

Rien en rentre, alors, perso, comme disait Edith Cresson a propos de la Bourse "Rien a cirer" que le sp2 laisse sortir du moment ou il ne laisse rien entrer.

501068[/snapback]

 

Bonjour Bigbernie. Puisque tu es si convaincu de l'imperméabilité de ton PC avec le firewall du SP2, je t'invite a aller faire un tour sur l'un des sites figurant sur cette liste :

 

http://www.dangerouswebsites.net/Mambo/ind...d=142&Itemid=47

 

et de nous communiquer ensuite le résultat de tes "promenades" à haut risques.

 

Même apparemment bien protégé, un mauvais clic par distraction peut conduire à beaucoup de déboires mais, je suis persuadé que tu sais faire preuve de discernement dans ton surf. :P

bigbernie Extrem Member

bigbernie

Posté(e)
Posté(e) (modifié)

Pour ça il faut connaitre le firawall utilise puisque le sp2 c'est pas bon. Certains le permettent, d'autres pas.

Je complete. Il s'agit du port 113 ?

 

Stealthing port 113 on personal firewalls

 

One of the things that first caught my eye about the Zone Alarm personal firewall (aside from the fact that is was free) was that it has always been very clever about handling IDENT's port 113. I recall being impressed and thinking "these guys really know what they're doing". When Zone Alarm receives an inbound connection request for port 113, it checks to see whether the computer has recently initiated any outbound connections to the remote server sending the IDENT request. If not, the IDENT packet is simply dropped, stealthing the protected machine. But if the user does have an existing "relationship" with the sender of the IDENT request, the IDENT packet is allowed to pass through Zone Alarm's firewall protection so that the user's system can respond normally (which usually means immediately returning a closed status for the port). This means that Zone Alarm is a "stateful packet inspecting personal firewall", not just a simpler static packet filter.

 

At the time of this writing, Zone Alarm is still the only personal firewall to offer this sort of adaptive dynamic IDENT port handling. I hope that other firewalls will follow suit once the benefits are better understood.

 

The good news is that since IDENT is almost never used, simple "hard stealthing" of port 113, which is available from all personal firewalls, is probably sufficient. It will allow your system to remain completely invisible on the Internet and will almost certainly never cause any connection trouble.

Modifié par bigbernie
bigbernie Extrem Member

bigbernie

Posté(e)
Posté(e) (modifié)

Bien sur Megataupe. Je vais quelques fois dans l'annee sur les sites a risque. Z et X. Les 2 sont melanges comme chacun sait. Pas pour les nouveautes en sexe car a mon age il me serait diffcile de trouver de l'inconnu mais pour l'underground. Je ne clique sur ...rien, sauf next page. Je desactive Java ( je n'utilise pas IE donc pas d'activeX) et lorsque je dois absolument cliquer sur qq chose, par exemple un patch ou un serial, je consulte le code source de la page afin de verifier le lien qui est en dessous. Je n'accepte pas le streaming, je downloade puis scan approfondi du dossier special a l'AV en protection maximum. Etc...

Mon antispam est configure pour n'accepter que ma liste blanche. Personne d'inconnu ne peut m'ecrire car c'est élimine immédiatement du serveur. Et meme lorsque ça vient d'un admissible je n'ouvre rien sans un double scan. Celui de l'AV en ligne puis ensuite sur le dossier qui contient la piece.

 

Bien sur je pourrais tomber sur une image vérolee sur certains siites. Je ne sais pas si tous les AV peuvent bloquer les virus steganographiques.

Tu as bien compris qu'effectivement je suis tres bien protege mais je ne clique pas sur n'importe quoi, je n'accepte rien, n'autorise rien. Ca aide énormement pour ne rien choper.

Sur ce forum les intervenants sont bien plus baleses que moi en protection. Je me rattrape en paranoia ! Si tu roules sur autoroute en char Leclerc double blindage, que tu ne depasse jamais le 30 a l'heure avec une escorte de motards tu n'auras pas d'accident.

Je finis par une petite histoire. C'est une fille qui explique qu'elle est tres bien protégée. Elle prend la pilule, s'introduit un pessaire avec un spermicide, s'est fait poser un stérilet et en plus...........refuse tous rapports sexuels.

Tu vois le rapport avec le web...ou presque ?

A +

Modifié par bigbernie
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Et bien!!!!!!!!!!!!! Voilà bien longtemps que je n'ai pas vu une telle forteresse et effectivement, tu peux à la limite te passer d'antivirus vu que tu n'ouvres pas les mails inconnus. Le seul risque que tu cours, c'est de te prendre un Rootkit mais, vu qu'il y a peu de soft capables de les détecter, tu auras de la compagnie le jour ou ils vont sortir en masse.

 

Pour les raisons que tu connaîs (voir mes tests), je suis bien évidemment contraint d'utiliser, entre-autres, un firewall que je peux paramétrer très finement afin de bloquer certains ports à éviter d'ouvrir absolument. Quant à l'antivirus, je le considère désormais comme totalement dépassé si l'on gère sa messagerie et ses téléchargements avec rigueur et circonspection. Je préfére de loin utiliser certains des "outils" cités dans d'autres messages qu'une usine à gaz qui expose à la moindre allumette qui arrive (génial mon KQV, mon Normachin, mon Antivermine) et vous fait croire que votre PC est un bunker :P .

 

Merci pour cet intéressant échange :-(

jem Member

jem

Posté(e)
  • Auteur
Posté(e)

Merci à tous pour ces toutes ces explications,

Je n'utilise pas le sp2, et je désactive le pare-feu xp.

Apparemment ce port ne presente pas trop de risque aux infections (enfin si j'ai bien compris) mais pour infos je ne sais toujours pas comment masqué "un port visible"?

Avec le test sur zebulon je n'ai que celui-là de visible alors meme si ca ne represente pa s un gros risque je prefererais qu'il soit masqué.

Merci quand meme pour vos renseignements,

toujours aussi sympa ce forum.

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Salut. Il me semble que ZoneAalarm a besoin de "voir" ce port pour l'authentification mais, je préférerai avoir l'avis de Mr Zone Alarm, alias Tesgaz.

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut,

 

en fait ZA ne perd pas de temps à le masquer tout simplement parce qu'il va perdre beaucoup de temps à attendre une réponse de ta machine si celle-ci ne répond rien (cas TCP 113 masqué). En laissant ton OS répondre immédiatemment "Port fermé", il permet de ne produire aucun temp de latence

c'est tout

  • Tonton a modifié le titre en Comment masquer un port ouvert ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...