comment reconnaitre un intrus lors des alertes du firewall??? - Windows & Software
Marsh Posté le 14-01-2002 à 12:18:41
Mets toi en niveau "ask me first", commences par interdire TOUTE connection, et créé des règles au fur et à mesure, si une connection ne répond pas à tes règles Tiny te demandera quoi faire...
Si besoin, tu trouveras l'aide traduite sur mon site...
ps: il n'y a pas de principe en soi pour déterminer a priori une bonne ou uen "mauvaise" connection.
Marsh Posté le 14-01-2002 à 14:05:31
c'est la remarque du PS qui me pause pb:
Toout ca je l'ai fait, mais qd tiny me demande, comment je fait pour repondre???
Marsh Posté le 14-01-2002 à 14:09:46
Tu observe les inforamtions qu'il te donne et
tu essaye d'en deduire ce qui se passe.
Je connais pas ton firewall, mais je suppose
qu'il te donne au moins les inforamtions de base
suivantes :
- l'adresse ip source,
- l'adresse ip destination
- le port source
- le port destination.
Deux cas de figure, soit c'est une conexion qui a ton ip
comme source (donc c'est une demande qui part de chez toi,
il te suffit de verifier que c'est bien toi qui l'a voulu...
Ou alors c'est une conexion "entrante" autrement dit l'ip
source est une ip distante. Dans ce cas regarde sur quel port
elle tente de se conecter ca te donnera des infos sur le but
de cette connexion...
Marsh Posté le 14-01-2002 à 15:05:55
moi j'ai ce firewall et deja tout les outgoing kelkesoi le port ou le protocol j'ai accepté tu t'en fou c'est ce qui sort de chez toi !! ensuite pour les incoming j'ai accepté tout ce qui venait de ie outlook edonkey morpheus etc.... ensuite je fai en fonction du host de celui qui veut rentré et de l'aplication kil utilise !! j'ai souvent par contre des incomong de kertel tcp/ip je c plus quoi avec le protocol icmp !! avec des adresses ip de chello ou d'ailleur !! je deny a chaque fois mais c relou
Marsh Posté le 14-01-2002 à 15:06:05
?? Arg.
J'ai pas ete assez clair ?
Heu... ca va etre dur de faire mieux.
C'est quoi qui te pose un probleme la ?
Tu ne connais pas la correspondance entre les ports
et les applications ? Si c'est le cas, fais une recherche,
tu dois avoir un ficher "services" qui traine dans ton
arborescence Windows, jette un coup d'oeil dessu, et
lis aussi les docs des progs que tu utilise pour savoir sur
quels ports il se conecte.
Sinon dis moi ce qui te gene....
Marsh Posté le 14-01-2002 à 15:08:36
mouahahahaha !! t'es au courant kil y a des ports attribués aleatoirement a certaine application ??? je voi pas comment tu peu faire pour savoir kel port avec tel ou tel application si il te donne un port aleatoirement !!
Marsh Posté le 14-01-2002 à 15:09:09
mowjo a écrit a écrit : moi j'ai ce firewall et deja tout les outgoing kelkesoi le port ou le protocol j'ai accepté tu t'en fou c'est ce qui sort de chez toi !! ensuite pour les incoming j'ai accepté tout ce qui venait de ie outlook edonkey morpheus etc.... ensuite je fai en fonction du host de celui qui veut rentré et de l'aplication kil utilise !! j'ai souvent par contre des incomong de kertel tcp/ip je c plus quoi avec le protocol icmp !! avec des adresses ip de chello ou d'ailleur !! je deny a chaque fois mais c relou |
Aussi bien ne pas avoir de firewall dans ce cas-là! Si tu autorises tout, ça ne sert à rien! Les troyens vont pouvoir se connecter sans problème...
Marsh Posté le 14-01-2002 à 15:09:26
Citation : tout les outgoing kelkesoi le port ou le protocol j'ai accepté tu t'en fou c'est ce qui sort de chez toi |
je ferais juste remarqué qu'un troyen sort de chez toi pour se connecter...
Marsh Posté le 14-01-2002 à 15:09:33
mowjo : ouai a ta place je le virerai carement le firewall
Bon serieusement, le fait de tout autoriser, c'est bien
mais il sert plus a grand chose le firewall alors :
"moi j'ai ce firewall et deja tout les outgoing kelkesoi le port ou le protocol j'ai accepté tu t'en fou c'est ce qui sort de chez toi !! "
Si t'a un trojan sur ta machine il peut tres bien initier une
connexion... donc ca sortira de chez toi. Autre exemple,
un spyware de base qui va envoyer ta conf a Microsoft, ou
a creative labs, ou a Real etc etc, c'est toujours une
connexion qui part de chez toi
Maintenant c'est sur, pour la config, c'est plus simple
Marsh Posté le 14-01-2002 à 15:11:10
mowjo : c'est forcement que le port source qui est aleatoire
(enfin, compris dans une plage serait plus exacte); le
port destination lui ne change pas (sinon ca va pas etre
facile de se conecter )
Marsh Posté le 14-01-2002 à 15:11:08
pracolas a écrit a écrit : comment savoir si je dois autoriser l'acces ou pas? |
Tu héberges un seveur? Tu as un réseau? Si ce n'est pas le cas, ne perd donc pas ton temps avec un firewall, ça ne sert à rien qu'a bouffer des ressources et faire ramer ta bécanne. Un bon antivirus mis à jour suffit amplement comme protection.
Marsh Posté le 14-01-2002 à 15:12:19
Theblob a écrit a écrit : Aussi bien ne pas avoir de firewall dans ce cas-là! Si tu autorises tout, ça ne sert à rien! Les troyens vont pouvoir se connecter sans problème... |
si le trojen n'est pas rentré !! je voi pas comment y peu sortir !! et j'ai pas accepté tous ce qui sortai mais uniquement des appli comme ie ou outlook je vai pas me faire chier a accepté ou deny des truc dont je ne connai meme pas la source et que je ne pourai jamais savoir d'ailleur !! c'est la meme chose pour vous tu accepte ou refuse au piff toi ??
Marsh Posté le 14-01-2002 à 15:14:25
Alana a écrit a écrit : mowjo : c'est forcement que le port source qui est aleatoire (enfin, compris dans une plage serait plus exacte); le port destination lui ne change pas (sinon ca va pas etre facile de se conecter ) |
A bon ?? sur ta machine la couche tcp t'allou un port pour chaque application !! par exemple t'as le port 110 pr le mail le port 21 pr le ftp !! mais t'as des appli qui n'ont pas de port deja configuré donc elle t'en allou aleatoirement
Marsh Posté le 14-01-2002 à 15:15:29
"si le trojen n'est pas rentré "
Un firewall ca n'empeche pas le trojan de s'installer
sur ta becane puisque dans 99% des cas, c'est un prog que
tu as toi meme telecharge et lance et qui a, en plus de
faire ce que tu voulais qu'il fasse, mis un trojan dans
ta becanne.
La seule chose que peut faire un firewall c'est de l'empecher
de se conecter a l'exterieur (ou d'empecher les conexions
entrantes dessus) et ca peut aussi te permetre de le reperer
s'il tente de se conecter a l'exterieur.
Marsh Posté le 14-01-2002 à 15:15:38
mowjo a écrit a écrit : si le trojen n'est pas rentré !! je voi pas comment y peu sortir !! et j'ai pas accepté tous ce qui sortai mais uniquement des appli comme ie ou outlook je vai pas me faire chier a accepté ou deny des truc dont je ne connai meme pas la source et que je ne pourai jamais savoir d'ailleur !! c'est la meme chose pour vous tu accepte ou refuse au piff toi ?? |
Comment tu sais que tu n'as pas de troyens sur ton disque dur? Depuis quand un firewall empêche qu'on télécharge un troyen?
Pour le reste, je n'utilise pas de firewall - pas de temps, ni de ressources à perdre! Ça ne sert à rien ce truc sur un poste perso, sauf pour calmer la grosse parano de certains.
Marsh Posté le 14-01-2002 à 15:15:38
Theblob a écrit a écrit : Tu héberges un seveur? Tu as un réseau? Si ce n'est pas le cas, ne perd donc pas ton temps avec un firewall, ça ne sert à rien qu'a bouffer des ressources et faire ramer ta bécanne. Un bon antivirus mis à jour suffit amplement comme protection. |
l'antivirus il fait rien franchement je me suis fait niker 2 disk dur a cause d'un trojen !! et black ice de merde a rien d'ailleur y sert a rien mdrr
Marsh Posté le 14-01-2002 à 15:16:43
mowjo a écrit a écrit : l'antivirus il fait rien franchement je me suis fait niker 2 disk dur a cause d'un trojen !! et black ice de merde a rien d'ailleur y sert a rien mdrr |
Ben voyons, t'as vraiment un mauvais antivirus s'il ne détecte pas les troyens! Un peu de prudence et de bon sens, ainsi qu'un bon antivirus, suffisent.
[edtdd]--Message édité par Theblob--[/edtdd]
Marsh Posté le 14-01-2002 à 15:17:28
Theblob a écrit a écrit : Comment tu sais que tu n'as pas de troyens sur ton disque dur? Depuis quand un firewall empêche qu'on télécharge un troyen? Pour le reste, je n'utilise pas de firewall - pas de temps, ni de ressources à perdre! Ça ne sert à rien ce truc sur un poste perso, sauf pour calmer la grosse parano de certains. |
ou j'ai ecri qu'un firewall empechai un trojen de rentrer ?? y a des antivirus pour les detecter y servent entre autre a ca !!
Marsh Posté le 14-01-2002 à 15:17:46
mowjo : tu confond tout la...
Quand tu te conecte par ftp, tu cree une conexion qui
resemble a :
IP source : ton ip
IP Destination : l'ip du serveur
Port source : SEMI aleatoire
port destination : 21 <- Celui la il est fixe ! (ou au - connu
Donc avec ca tu peux filtrer.
PS pour les puristes : Oui je sais, c'etait pas un bon exemple,
ftp y a pas qu'une conexion, mais je schematise hein
Marsh Posté le 14-01-2002 à 15:18:50
Theblob a écrit a écrit : Ben voyons, t'as vraiment un mauvais antivirus s'il ne détecte pas les troyens! Un peu de prudence et de bon sens, ainsi qu'un bon antivirus, suffisent. |
c'est pas l'antivirus qui va empecher de faire rentré un hacker
Marsh Posté le 14-01-2002 à 15:19:45
Alana a écrit a écrit : mowjo : tu confond tout la... Quand tu te conecte par ftp, tu cree une conexion qui resemble a : IP source : ton ip IP Destination : l'ip du serveur Port source : SEMI aleatoire port destination : 21 <- Celui la il est fixe ! (ou au - connu Donc avec ca tu peux filtrer. PS pour les puristes : Oui je sais, c'etait pas un bon exemple, ftp y a pas qu'une conexion, mais je schematise hein |
exemple edonkey il a kel port sur ta machine ??
Marsh Posté le 14-01-2002 à 15:19:55
mowjo a écrit a écrit : ou j'ai ecri qu'un firewall empechai un trojen de rentrer ?? y a des antivirus pour les detecter y servent entre autre a ca !! |
Ben justement: tu te sers d'un antivirus, t'as pas de troyen, il te sert à quoi ton firewall, alors? T'héberges un serveur?
Marsh Posté le 14-01-2002 à 15:20:50
Theblob a écrit a écrit : Ben justement: tu te sers d'un antivirus, t'as pas de troyen, il te sert à quoi ton firewall, alors? T'héberges un serveur? |
non mais ca evite que n'importe qui rentre par tel ou tel port
Marsh Posté le 14-01-2002 à 15:21:46
edonkey c'est pas qu'un client, c'est aussi un
serveur. Donc sur les machines ou il est installe,
et SI la config a pas ete change, sa partie serveur
ecoute sur les ports 466X (je sais plus tres bien
je me demande si c'est pas 4661,2 et 5 ou un truc dans
le genre, suffit d'aller faire un tour sur leurs
site, tout est marque, je m'amuse pas a retenir par
coeur
Marsh Posté le 14-01-2002 à 15:25:00
mowjo a écrit a écrit : c'est pas l'antivirus qui va empecher de faire rentré un hacker |
Je repose ma question, à laquelle personne ne m,a jamais répondu: tu connais combien de personnes qui se sont fait hacker? Le vrai hacker se fiche bien de ton petit poste perso - qu'est-ce que tu veux qu'il y fasse? - et il n'y a que les petits lamers de merde qui veulent poser au hacker devant leurs copains pour te menacer. Le seul moyen à leur portée, c'est d'utiliser un troyen, et il suffit d'un antivirus pour niquer les troyens, si jamais t,en attrapes un. Déjà, faut être pas mal imprudent pour attraper un troyen, du genre ouvrir n'importe quelle pièce jointe, télécharger n'importe quoi sans le passer à l,antivirus.
Marsh Posté le 14-01-2002 à 15:26:10
mowjo a écrit a écrit : non mais ca evite que n'importe qui rentre par tel ou tel port |
Parce que tu crois qu'on entre comme ça sur un pc? Y a de ces paranos par ici, je vous jure...
Marsh Posté le 14-01-2002 à 15:26:36
"c'est pas l'antivirus qui va empecher de faire rentré un hacker "
"non mais ca evite que n'importe qui rentre par tel ou tel port "
Heu... comment dire...
Tu sais... heu... Bon.. je vais essayer de faire court.
Les "hackers" dont tu parles (le mot est tres mal choisit)
ne sont absolument pas capable de rentrer sur ta machine
par miracle en se conectant simplement sur un port.
Si tu n'a pas de serveur a l'ecoute sur ce port la, il est
FERME et firewall ou pas ton gugus va pas pouvoir faire grand
chose.
Par contre contrairement a ce que tu pense, un bon antivirus
va te fournir une protection relative, mais tout de meme reele
contre les trojans, qui sont en gros les seules portes par
lesquels il vont pouvoir rentrer sur un windows bien configurer.
-------
Je ne parle que d'intrusion, pas de flood etc etc... ou la
un firewall peut etre utile (mais si un type te flood,
c'est un cretin en colere, et il doit au moins y avoir une
raison a sa colere... (sa cretinerie, c'est - sur
Marsh Posté le 15-01-2002 à 07:51:21
Alana a écrit a écrit : Je ne parle que d'intrusion, pas de flood etc etc... ou la un firewall peut etre utile (mais si un type te flood, c'est un cretin en colere, et il doit au moins y avoir une raison a sa colere... (sa cretinerie, c'est - sur |
je vais tous les jours sur l'irc de voila/wanadoo et il y a assez souvent des ptits marrant qui decode les hosts et nous nuke ou pire pour s'amuser parce kil peuvent pas le faire chez des plus gros s'amuse a je ne c koi sur nos becanes !!
je sais tres bien qu'ils en ont rien a foutre de ce qu'il y a sur mon dur mais c'est ptit connard ca les fait bien rigoler !!
quand j'avai black ice y me detectai des ip avec les noms des machines !! d'ou ca vien ca ?? une fois j'ai meme eu le nom et le prenom d'un gars j'ai hesité a cherché son tel et son adresse sur le minitel !!!
le monde d'internet n'est pas fait que de gentil !! et les mechants contrairement a ce que vous pensez ne s'attaquent pas qu'aux gros !!
[edtdd]--Message édité par mowjo--[/edtdd]
Marsh Posté le 15-01-2002 à 11:33:55
Dans un sens, je te trouve trop mignon.
"je vais tous les jours sur l'irc de voila/wanadoo et il y a assez souvent des ptits marrant qui decode les hosts "
Decoder un host... whaou.. je sais pas ce que ca veut dire
mais ca a l'air dur t'es sur qu'il font pas un
"/dns tonnick" ou un truc dans le genre ? ou alors est ce
que tu parle d'un scan de port ?
"et nous nuke ou pire pour s'amuser "
Il te suffit de patcher ton OS si il est trop vieux
je doute que les version recentes de windows soit
encore aussi fragiles) Sinon dans le doute, tu fais comme
moi, tu passe sur un systeme d'exploitation avec une vraie
couche tcp/ip.
Derniere chose, je repete, a partir du moment ou tu essaye
de pas te facher avec les gens (irc c'est pas une combat zone)
t'a rarement de pbs...
"quand j'avai black ice y me detectai des ip avec les noms des machines !! d'ou ca vien ca ?? "
Alors voyons voir, si je me souviens bien black ice est un
firewall. J'imagine qu'il devait donc te mettre regulierement
en garde suite a des scan de ports. Dans ce cas la, il te donne
forcement l'ip source du scan. Faut pas se facher pour ca, tout
le monde se fait scaner, ma machine est branche 24h/24 et il
ne se passe pas une heure sans qu'elle se fasse scanner.
Au debut ca agasse.. et puis une fois la config de ton
firewall finit, tu les oublis vite.
Mais de toute facon, firewall ou pas, ces "attaques" ne sont
absolument pas dangereuse !! Ce n'est qu'un test pour voir
quels sont les ports ouverts sur ta machine. Donc si tu n'a
pas de trojans installe, tu ne crains rien !
"le monde d'internet n'est pas fait que de gentil "
C'est vrai, il n'est que le reflet du monde reel.
"et les mechants contrairement a ce que vous pensez ne s'attaquent pas qu'aux gros !! "
Dans 99% des cas, les "mechants" effectivement ne s'attaque
pas aux gros ! Pas du tout ! Parce que les "mechants" comme
tu les appelle ne sont que des gamins surexites qui decouvrent
l'informatique et toute la puissance de ce formidable outil.
Ce ne sont que de jeunes chiots (parfois tres bete) qui
s'amusent malheuresement de facon un peu agressive, sur des
plus faibles qu'eux... Ils seraient bien en peine de s'attaquer
aux "gros" comme tu dis
Les personnes vraiment bonnes en informatique ont largement
depasse ce stade. Elles ont souvant ateint un certain age
et sont TRES raisonables. Ce sont plutot des gens rempli
de bonne volonte. (Ceux la tu pourai les appeller des hackers,
PARFOIS).
Bref, reste zen, si tu as des soucis avec des personnes
sur certains canaux irc, ignore les ou change de canal.
Protege ta machine mais la parano n'est pas de mise.
N'oubli pas a qui tu as affaire.
Marsh Posté le 15-01-2002 à 11:34:10
mowjo a écrit a écrit : moi j'ai ce firewall et deja tout les outgoing kelkesoi le port ou le protocol j'ai accepté tu t'en fou c'est ce qui sort de chez toi !! ensuite pour les incoming j'ai accepté tout ce qui venait de ie outlook edonkey morpheus etc.... ensuite je fai en fonction du host de celui qui veut rentré et de l'aplication kil utilise !! j'ai souvent par contre des incomong de kertel tcp/ip je c plus quoi avec le protocol icmp !! avec des adresses ip de chello ou d'ailleur !! je deny a chaque fois mais c relou |
pareil, esske je peux fer deny pour des icmp kernel tcpip?
et pis ya aussi mon fai qui essaie de me lancer des trucs mé je lui dit non.. c grave?
Marsh Posté le 15-01-2002 à 11:38:53
"je deny a chaque fois mais c relou "
"pareil, esske je peux fer deny pour des icmp kernel tcpip?
et pis ya aussi mon fai qui essaie de me lancer des trucs mé je lui dit non.. c grave? "
Rien de grave. Vous devez pouvoir dire a votre firewall
quel qu'il soit que tout ce qui n'est pas expressement autorise
(par une regle que vous avez cree) est interdit. Point barre.
A partir de la il vous enuira plus et fera un "deny" ou un
"cancel" a votre place...
Marsh Posté le 15-01-2002 à 17:13:51
quand je dit decode l'host c'est choper l'adresse ip (ptit programme fuckdax sous windows par exemple)! surtout que la mienne est fixe !! je veu bien que les gros hacker s'en prenne aux gros poissons !! mais ces hacker ont bien commencé par petit quelqu'il soit !!
je sais egalement que black ice detecte les scannages de ports mais c'est grave relou quand t'as un blaireaux qui te le scan tout les jours au moins 50 fois !!
quand aux ketrel tcp/ip sur le port icmp !!! j'en ai toute les minutes avec tiny personal firewall !!!
voila assez souvent ce que me met personal firewall :
Application: 'Tcpip Kernel Driver'; protocol: [2]; Remote address cha213245047001.chello.fr [213.245.47.1]: Unknown event
je sais pas si ca vien de mon fournisseur d'acces ou d'un ptit rigolo qui scan les port mais c'est franchement relou !!!
Marsh Posté le 15-01-2002 à 17:22:09
Citation : |
T'a pas besoin d'un programme pour ca... tous les outils
sont installes par defaut (heuresement, c'est une fonctionalite
de base de la couche ip quand meme).
Ton adresse IP, c'est pas un secret... c'est un moyen pour
ton ordinateur de se conecter... Je vois pas ou est le mal
que des gens ai ont ip.
Citation : |
Bein ton firewall est mal configure mais apparement tu lis
pas ce que j'ecris.
Essaye de configurer ton firewall pour
qu'il ignore purement et simplement toutes les requetes
qui sont pas autorises sans te tenir informe au fur
et a mesure c'est tout.
Marsh Posté le 15-01-2002 à 17:25:37
Citation : |
T'a pas compris on dirait
Les "gros" hacker s'attaquent a personne.
Les petits non plus d'ailleur. Mais bon t'ecoute pas
ce que je dis alors Tant pis.
Marsh Posté le 15-01-2002 à 17:29:53
Moi j'utilise "neowatch" ,c'est un firewall dit "statefull"donc il n'accepte que les communications que l'on a initialisé.(il garde une table d'etat de chaque connection).
Donc je ne me prends pas la tete avec les regles........
Marsh Posté le 14-01-2002 à 11:56:57
comment savoir si je dois autoriser l'acces ou pas?