Problème d'efficacité IPCOP ?

[max]

Bonjour, <BR> <BR>J'utilise l'ADSL via ipcop. J'ai conservé sur mon poste win2000 zone alarme afin de bloquer les applications voulant accèder à internet sans mon consentement. <BR>Là où j'ai été surpris, c'est que zona alarme a tout de même cela dans ses logs : <BR> <BR>The firewall has blocked Internet access to your computer (ICMP Unreachable) from 195.154.10.125. <BR> <BR>Time: 08/06/2003 17:27:12 <BR> <BR>Y a t il un problème dans ma config d'ipcop ? <BR> <BR>Merci

[hb]

ben faut voir .. <BR>ta quel ipcop (apparement c'est à partir de la 1.3 que TOUS les ports sont bloqués en entrée par défaut) la 1.2 à tous les ports au dela de 1024 d'ouvert je crois !!! <BR>as tu forwardé des ports vers ton pc ? <BR> <BR>ensuite qu'as tu d'autre sur ton PC à part zone alarme ? kazaa ? e-donkey ? du P2P quoi ?

[max]

J'ai ipcop 1.3, j'ai pas touché aux configs par défaut. <BR>Je n'ai pas de logiciels de P2P. <BR>Le seul service (du moins que je crois) qui pourrait être accessible c'est apache+mysql. Mais ils tournent en local uniquement (pas de DMZ sur ipcop). <BR> <BR>Sinon, c'est la seul alerte que j'ai eue sur zone alarme depuis la fraiche installation de ipcop (6 jours <IMG SRC="images/smiles/icon_rolleyes.gif"> ). <BR> <BR>Ce qui est curieux, c'est que snort à bloqué aujourd'hui 2 fois ICMP avec la même IP.

[antolien]

ce n'est pas en soit très grave car icmp n'est pas très dangereux (ping) <BR> <BR>par contre ce qui m'étonne c'est que théoriquement, un hôte venant de l'exterieur ne peut pas joindre ton réseau interne sauf si un forward à été effectué. <BR> <BR>j'aurais 2 questions, la première c'est de savoir si tu as une classe d'adresse privée sur ton LAN (192.168, 10...) car normalement ce n'est pas routable sur internet donc même si le ping arrive chez toi(ce qui est étonnant avec l'antispoof), il ne reviendra pas. la seconde, est-ce que tu as des liaisons VPN ?

[micheldp]

Bonsoir, <BR> <BR>Max n'est pas le seul ... <BR>J'ai aussi des tentatives , découvert par mon antivirus avec firewall : UDP , ICMP, TCP et ceci sans P2P <BR>Est-ce grave ?

[antolien]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-08 21:30, micheldp a écrit: <BR>Bonsoir, <BR> <BR>Max n'est pas le seul ... <BR>J'ai aussi des tentatives , découvert par mon antivirus avec firewall : UDP , ICMP, TCP et ceci sans P2P <BR>Est-ce grave ? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>et bien oui c'est grave, surtout le tcp... <BR> <BR>mais alors là il y a un gros problème, <BR> <BR>êtes vous sûr que c'est votre PC la destination et non la source ? <BR> <BR>donnez nous les logs complets.

[micheldp]

alors ... <BR>cloaking(dissimulation) - heure - entrée- protocole UDP- adresse IP de la source : 64.69.191.200- port s 3814- adresse ip destination 192.168.2.21- port d 3810- description : cloaking <BR>voila pour UDP <BR>pour tcp: <BR>cloaking(dissimulation) - heure - entrée- protocole TCP- adresse IP de la source : 172.179.70.84- port s 3439- adresse ip destination 192.168.2.21- port d 4323- description : cloaking <BR>

[micheldp]

Je fais appel aux specialistes de la securité, es-ce j'ai un probleme de securité ?

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-08 22:13, micheldp a écrit: <BR>alors ... <BR>cloaking(dissimulation) - heure - entrée- protocole UDP- adresse IP de la source : 64.69.191.200- port s 3814- adresse ip destination 192.168.2.21- port d 3810- description : cloaking <BR>voila pour UDP <BR>pour tcp: <BR>cloaking(dissimulation) - heure - entrée- protocole TCP- adresse IP de la source : 172.179.70.84- port s 3439- adresse ip destination 192.168.2.21- port d 4323- description : cloaking <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Il y a peut-être un problème de securité mais je ne pesne pas qu'IPCop en soit la cause. <BR> <BR>En effet, ces paquets ne peuvent arriver que si tu as emis prélablement une connexion en sens inverse. C'est le principe du masquerading ! <BR>En plus, les ip publiques sont celles d'abonnés de grands providers americains, c equi sent le trojan pourri. <BR> <BR>Si tu as cela sur de nombreux ports, à mon avis tu devrais te mettre un bon antivirus à jour, je penche plutot pour un trojan (code red ? nimda ou moins connu). <BR> <BR>Thomas <BR>

[tomtom]

Un moyen pas mal pour regrader ce qui se passe c'est d'utiliser active ports (tu le trouveras sur ixus) ou mêem netstat (mais c'est moins joli) et tu regardes un peu la fréquences de ces connexions, les adresses etc. En tous les cas, ça ne peut venir que de l'interieur. <BR> <BR>T.

[micheldp]

ok <BR>merci , Thomas <BR>je viens de le telecharger et je vais surveiller tout ca