Le firewall d'Ipcop est il suffisant ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Le firewall d'Ipcop est il suffisant ?

Messagepar dsbsystem » 20 Sep 2005 12:26

Bonjour !

Je m'explique : sur l'une des machines du réseau, un firewall windows Sygate 5.6 a été installé.

A ma grande surprise ce matin au démarrage, plusieurs tentatives de scan de port UDP provenant de l'extérieur ont été notifées et stoppées ... par Sygate

Somebody is scanning your computer.
Your computer's UDP ports:
1198, 1205, 1211, and 1219 have been scanned from 130.88.202.49

Somebody is scanning your computer.
Your computer's UDP ports:
1189, 1196, 1206, and 1214 have been scanned from 158.43.192.66

Celà signifie t-il qu'IPCOP ( 1.46) les a laissé passer ?

Pour info, aucunes traces de ces scan dans l'IDS ou le journal du firewall.

J'ai également à l'occasion installé des firewall perso de type ZoneAlarm et celui de F-Secure clientSecurity mais jamais d'alertes ne m'étaient parvenues..

Qu'en pensent les spécialistes ?
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine
Haut

Messagepar Gesp » 20 Sep 2005 13:34

Somebody is scanning your computer.
Your computer's UDP ports:
1198, 1205, 1211, and 1219 have been scanned from 130.88.202.49


L'incompréhension est dans le 'scanning'.

Il n'est pas nécessairement anormal qu'une même adresse IP ait plusieurs connexions ouvertes dans un interval de temps très court. Cela dépend par exemple comment une page html est construite, combien il y a d'images dedans...

Il est très difficile de savoir à partir de combien de requêtes on considère que c'est du scanning ou si c'est une page avec de nombreux liens, ou un utilisateur qui clique trop vite.

Donc ton logiciel produit des alarmes pour pas grand chose.

C'est très difficile de ne produire que des alarmes significatives de ce type.
Tu devrais regarder le log de snort pour savoir s'il fait mieux. Mais je ne pense pas que snort soit très utile dans une utilisation domestique, surtout si tu n'as pas une IP fixe et encore moins si tu n'utilises pas de dynsdns.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00
Haut

Messagepar dsbsystem » 20 Sep 2005 13:42

Gesp a écrit:
Somebody is scanning your computer.
----

Donc ton logiciel produit des alarmes pour pas grand chose.

C'est très difficile de ne produire que des alarmes significatives de ce type.
Tu devrais regarder le log de snort pour savoir s'il fait mieux. Mais je ne pense pas que snort soit très utile dans une utilisation domestique, surtout si tu n'as pas une IP fixe et encore moins si tu n'utilises pas de dynsdns.


Merci,

Pour info, j'utilise dyndns sur cette IP. Quand à snort, rien de spécial.

J'ai tenté des scans online par pcflank et grc, rien d'anormal et les ports ( TCP) sont bien stealth et snort déclenche.

J'attends de voir si cela continue mais je pense que ton interprétation est la bonne.

Bien à toi,
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine
Haut

Messagepar Zimt » 24 Sep 2005 20:58

Bonjour, c'est mon premier post sous Ixus :)

Mis à part ça j'a t'assures que IpCop te protège et qu'il est même utilisé dans des agences bancaires selon certains dires ;)
Zimt
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 24 Sep 2005 20:52
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron