Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
within
Habitué
Inscrit le: 16 Mai 2004
Messages: 16
|
Posté le: Lun 11 Oct, 2004 Sujet du message: PareFeu: quels sont les riques sur les port 113 et 135 ? |
|
|
Voilà,
j'ai fais des tests et il me semble pour moi important d'avoir le port 113 (ident machine) d'ouvert :
http://www.grc.com/port_113.htm
mais quel est le risque lié à (une attaque sur) ce port ?
de même, sous windows, le port 135 est souvent ouvert :
http://www.grc.com/port_135.htm
mais y a-t-il un risque ou pas ?
Merci de m'éclairer dans la jungle de la sécurité,
within
PS : j'utilise Kerio Personal Firewall v2.1.5 |
|
Revenir en haut |
|
|
Fafa-
Habitué
Inscrit le: 13 Juin 2004
Messages: 21
Localisation: Paris
|
Posté le: Lun 11 Oct, 2004 Sujet du message: |
|
|
le port 113 n'est vraiment plus du tout utilisé aujourd'hui, à part sur de vieux serveur Unix faisant tourner d'antiques versions de daemon SMTP ou IRCd, comme il le dise sur le site dont tu as filé l'url :
"Despite the fact that IDENT was never very useful, even today some crusty old UNIX servers — most commonly IRC Chat, but some eMail servers as well "
Je ne suis franchement pas sur que tu es besoin de ce port ouvert, par contre je n'ai pas connaissance d'attaques nombreuses et destructrice via ce port.
En revanche, rien de tel que de laisser le port 135 à l'écoute pour se faire attaquer par la floppé de trojan et autres vers qui se propage via la faille du RPC protocol qui est à l'écoute sur ce port (nos amis CodeRed, Blaster, Sasser et compagnie utilisent largement ce port pour se propager)
Un rapide tcpdump sur ma passerelle me montre que l'on tente d'acceder à ce port une vingtaine de fois par minute.... il s'agit du port le plus attaqué avec le port 445
Ferme donc vite tout ça ....
_________________
Fafa©
GLC / GIGFY
----------------------- |
|
Revenir en haut |
|
|
within
Habitué
Inscrit le: 16 Mai 2004
Messages: 16
|
Posté le: Mar 12 Oct, 2004 Sujet du message: |
|
|
Merci Fafa- de ton aide.
pour le 135, en fait, j'ai tenté de fermé le bazar mais sans grand succès.
j'ai vérifié sur mes cartes reseau, plus de partage fichiers/imprimantes, et malgré avoir sélectionné toutes le données d'entrées/sorties (port et protocoles) sur le 135, il n'est pas encore stealth ni close ; j'ai oublié quoi d'après toi ?
-----------------
et je viens de vérifier, c'est SCVHOST.exe /TCP/ local adress: all / port 135 / remote (ips liées à mon FAI) / etat : Connected In
j'imagine que je dois empêcher toute activité liée à cet exe, ou restreindre une partie ? |
|
Revenir en haut |
|
|
Fafa-
Habitué
Inscrit le: 13 Juin 2004
Messages: 21
Localisation: Paris
|
Posté le: Mar 12 Oct, 2004 Sujet du message: |
|
|
tu peux pas fermer le port 135 comme ça en arrétant 4 services. Il s'agit d'un port indispensable au fonctionnement de Windows (allez savoir pourquoi) dans ses relations avec d'autres machines Windows sur un reseaux local.
A partir du moment ou il y a une connexion vers Internet, il faut :
- Mettre une passerelle sécurisée sous Linux (type Ipcop ou smoothwall, ou une distribution standard sécurisée)
- Mettre un Firewall soft sur la machine Windows qui est connecté à Intenet. Seul ce firewall peut garantir que tous les ports Windows (135, 137, 139, 445 ...) sont bien injoignable via le Net
_________________
Fafa©
GLC / GIGFY
----------------------- |
|
Revenir en haut |
|
|
within
Habitué
Inscrit le: 16 Mai 2004
Messages: 16
|
Posté le: Mer 13 Oct, 2004 Sujet du message: |
|
|
oui, tu confirmes bien ce que je pensais....
merci,
within |
|
Revenir en haut |
|
|
|