Renseignements à propos des ports

[odSen]

Bonjour,

J'aimerais obtenir quelques renseignements sur les firewalls et les ports.

J'utilise Look'n'stop, et le journal me signale une centaine d'attaque par jour sur le port 1026, une centaine sur le 1027, une centaine sur le 113 (en moyenne, parfois c'est beaucoup, beaucoup plus). J'ai donc été vérifier sur plusieurs sites de sécurité (le test de zeb' et pcflank.com) si ces ports étaient bien masqués. Ils le sont bien. Pourquoi ai-je autant d'intrusions sur ces ports-là alors ?

Je m'inquiète pas tellement, c'est plus par curiosité.

 

Merci

[megataupe]

Bonjour Odsen. Les ports 1026 et 1027 sont notamment utilisé par MSN pour communiquer avec l'extérieur, c'est aussi les premiers ports utilisés par Windows après les 1024 ports réservés aux services. Il sont normalement bloqué dans L'n'S avec la règle TCP SYN packets. Pour le port 113 ou port authentification, il est utilisé par certains FAI pour effectuer diverses vérifications. Ceci dit, avec les règles Phantom's, je n'ai quasiment jamais d'entrée concernant ces 3 ports, sans doute et à cause du contrôle des DNS utilisées (celles de mon FAI) effectué par ce jeu de règles.

[odSen]

Bonsoir mégataupe !

Le jeu de règles phantom dis-tu ?

Quelles différences avec le jeu de règles évoluées ?

Où peut-on le trouver ?

Merci pour tes renseignements (qui me sont toujours très utiles )

[megataupe]

Re . Je vois que tu n'as pas consulté le test réalisé sur ce jeu de règles en mai dernier :

 

http://forum.zebulon.fr/index.php?showtopic=65849&hl=

 

Bonne lecture et surf en béton avec les fantomes rules

 

edit: j'ajoute un autre très bon tutorial pour bien paramétrer les règles phantom's :

 

http://kamui.kenshiro.free.fr/lns/

Modifié le 10 octobre 2005 par megataupe

[odSen]

Merci du conseil

Je jette un oeil (même deux).

Très bonne soirée.

[odSen]

Bonsoir de nouveau !

J'ai bien installé le jeu de règles phantom, et j'en suis content, beaucoup moins d'intrusions sont rapportées. Par contre, des ordinateurs de différents IP s'acharnent sur mon port 139, j'ai cherché un peu sur google des renseignements sur ce port et je suis tombé là : http://www.iss.net/security_center/advice/...139/default.htm

C'est grave, pas grave ?

Merci.

[megataupe]

Bonjour Odsen. Pour le port 139, je te conseille de le fermer avec Zebprotect (les autres aussi d'ailleurs), même si les règles Phantom's bloquent tout accés au net bios.

 

http://www.zebulon.fr/articles/zebprotect.php

[odSen]

Il me semblait pourtant que je l'avait déjà fait hier (j'ai formatté hier).

Je vais vérifier ça.

Bonne soirée

[odSen]

Rebonsoir ,

C'est pas fun j'en suis à 200 attaques sur le 139 en une heure, et zebprotect le ferme bien. Enfin du moment que c'est bloqué il ne doit pas y avoir de soucis à se faire ?

[megataupe]

Tu devrais relever l'adresse IP de ces attaques supposées pour qu'on vérifie leur provenance. Ca m'arrive parfois avec d'autres ports puis, ça se calme car, en général, ce sont des robots qui scannent le net un peu au hazard d'autant que tes ports doivent être tous furtifs, fais le test ici :

 

https://www.grc.com/x/ne.dll?bh0bkyd2

 

choisis proceed et All Services Ports.