aide fichier de log

par **Azman** » 16 Août 2004 17:04

BOnjour à tous, j'espère que cette question restera pas encore sans réponses...

voici un bout de log du journal du firewall:

Code: Tout sélectionner: 16:44:06 INPUT ppp0 TCP 80.34.225.122 4652 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:44:06 INPUT ppp0 TCP 80.34.225.122 4651 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:44:09 INPUT ppp0 TCP 80.34.225.122 4651 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:44:09 INPUT ppp0 TCP 80.34.225.122 4652 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:45:36 INPUT ppp0 TCP 80.13.38.225 1354 ::::: 80.13.95.158 139(NETBIOS-SSN) 16:46:15 INPUT ppp0 TCP 81.192.41.70 4671 ::::: 80.13.95.158 1025 16:46:25 INPUT ppp0 TCP 81.192.41.70 4671 ::::: 80.13.95.158 1025 16:46:58 INPUT ppp0 TCP 81.244.33.84 3441 ::::: 80.13.95.158 2863 16:47:01 INPUT ppp0 TCP 81.244.33.84 3441 ::::: 80.13.95.158 2863 16:47:06 INPUT ppp0 TCP 81.244.33.84 3441 ::::: 80.13.95.158 2863 16:49:34 INPUT ppp0 TCP 80.7.34.60 2024 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:49:38 INPUT ppp0 TCP 80.7.34.60 2024 ::::: 80.13.95.158 445(MICROSOFT-DS) 16:50:16 INPUT ppp0 TCP 80.223.40.42 1311 ::::: 80.13.95.158 135(EPMAP) 16:50:18 INPUT ppp0 TCP 80.223.40.42 1311 ::::: 80.13.95.158 135(EPMAP) 16:50:55 INPUT ppp0 UDP 213.181.56.241 1026 ::::: 80.13.95.158 137(NETBIOS-NS) 16:51:16 INPUT ppp0 TCP 80.140.59.176 3974 ::::: 80.13.95.158 135(EPMAP) 16:51:19 INPUT ppp0 TCP 80.140.59.176 3974 ::::: 80.13.95.158 135(EPMAP) 16:52:12 INPUT ppp0 TCP 213.114.85.181 4227 ::::: 80.13.95.158 4662 16:52:18 INPUT ppp0 TCP 213.114.85.181 4227 ::::: 80.13.95.158 4662 16:52:47 INPUT ppp0 UDP 151.204.142.147 1028 ::::: 80.13.95.158 137(NETBIOS-NS) 16:54:25 INPUT ppp0 UDP 81.213.142.252 1028 ::::: 80.13.95.158 137(NETBIOS-NS) 16:54:44 INPUT ppp0 TCP 81.244.33.84 3506 ::::: 80.13.95.158 2863 16:54:46 INPUT ppp0 TCP 81.244.33.84 3506 ::::: 80.13.95.158 2863 16:54:53 INPUT ppp0 TCP 81.244.33.84 3506 ::::: 80.13.95.158 2863 16:55:43 INPUT ppp0 TCP 68.75.208.237 2406 ::::: 80.13.95.158 1433 16:55:46 INPUT ppp0 TCP 68.75.208.237 2406 ::::: 80.13.95.158 1433 16:56:21 INPUT ppp0 UDP 220.174.216.226 1025 ::::: 80.13.95.158 137(NETBIOS-NS)

Pouvez vous me dire pourquoi y a des NETBIOS-NS ?

par **pulsergene** » 16 Août 2004 17:51

Salut

apres un peu de recherche voici pourquoi, il y a des logs netbios

:arrow:

Tous les réseaux Microsoft ont été bâtis en utilisant le protocole NetBIOS.

Gestion des noms au-dessus de la couche 4
pas de routage
C'est une interface logicielle et une convention de nommage et non un protocole.

Les applicatiosn NetBios ( partage de fichiers par exemple ) utilise l'API NetBios ( via NetBios.dll ) puis NetBT

port 137/UDP : Diffusion du service de noms NetBios

Sécurité : pour résoudre les principaux problèmes de sécurités avec Windows NT il est conseillé de bloquer les ports 135, 136, 137, 138 et 139 en TCP et UDP sur votre routeur.

Voici le lien
http://www.urec.cnrs.fr/cours/wnt/jres97/tcpip.htm

j espere que ca repond a ta question

par **Azman** » 16 Août 2004 18:09

c'est automatique donc? C'est pas une attaque :lol:

? et j'ai aussi des Ip qui se connect sur le 445, c'est l'interface web de Ipcop... C'est dangueureux?

Code: Tout sélectionner: 18:02:08 INPUT ppp0 TCP 80.180.211.198 4827 ::::: 80.13.95.*** 445(MICROSOFT-DS) 18:02:11 INPUT ppp0 TCP 80.180.211.198 4827 ::::: 80.13.95.*** 445(MICROSOFT-DS)

par **pulsergene** » 16 Août 2004 18:18

les ports 135,137,139 peuvent etre un lieu d'attaque de pirates
c'est pourquoi on mets en place un pare feu pour parer a ca :wink:

nan c'est 445 la connexion a l'interface web d'ipcop qui est en http sécurisé

par **Azman** » 16 Août 2004 18:33

Ouai, j'avais compris merci

Mais je demande si c'est normal qu'une ip autre que la mienne se connecte a l'interface web (désolé, j'avais fais une faute de frappe :oops:

)

Merci d'avance...

par **pulsergene** » 16 Août 2004 22:07

bizarre bizarre :shock:

surtout si ce n est pas ton IP

surtout que par defaut sur IPCop, tous les ports sont cachés a part le 113

par **frost** » 17 Août 2004 08:20

Euh non pas chez moi, le 113 était ouvert mais je l'ai fermé... Pourquoi serait-il ouvert ?

par **pulsergene** » 17 Août 2004 09:17

ce que je voulais dire pour le port 113 etait visible par defaut lorsque tu fais un scan de ports, il etait fermé.
:roll:

il faut juste supprimer une regle au niveau d'IPCop

par **frost** » 17 Août 2004 10:24

Ouais ok avec toi, mais à quoi correspond le port 113 pour ipcop ???

par **pulsergene** » 17 Août 2004 10:37

le port 113 est un port d'authentification pour tout et surement aussi pour ipcop

par **Azman** » 17 Août 2004 17:52

Si tout les ports sauf le 113 doivent être visible, comment vous expliquez que lorsque je me scanne, j'ai les ports 81, 222 et 445 d'ouvert ? Et si je les fermes, aurais-je toujours accès à l'interface web et au SSH...??

Merci d'avance

par **pulsergene** » 17 Août 2004 18:11

Si tous les ports sauf le 113 doivent être visible

seul dans la conf par defaut, le port 113 est fermé les autres ports sont "stealthés" ou invisibles depuis le Net.

comment vous expliquez que lorsque je me scanne, j'ai les ports 81, 222 et 445 d'ouvert ?

le scan de ports il est fait depuis un site exterieur ou en interne, je suis etonné que ca le soit d'un scan depuis un site internet comme par exemple shield up ( http://grc.com/x/ne.dll?rh1dkyd2 ) sinon il y a quelques choses de bizarre

les ports 81 et 445 sont les ports ouverts pour la connexion a l'interface Web d'ipcop en http et https
et le port 222, est le port pour la connexion ssh

aide fichier de log

aide fichier de log

Qui est en ligne ?