Test Firewall !!!

[ossi]

<BR> J'ai effectué ce matin un test de mon Firewall à partir du site IXUS. Ce test me détecte les ports suivants ainsi : <BR>20/tcp filtré ftp-data <BR>21/tcp filtré ftp <BR>137/tcp filtré netbios-ns <BR>138/tcp filtré netbios-dgm <BR>139/tcp filtré netbios-ssn <BR>12345/tcp filtré NetBus <BR> <BR>J'ai deux questions à ce sujet : <BR>Que signifie exactement l'option "Filtré" ? <BR> <BR>J'ai une MNF qui tourne. Tout les ports en entrée sont fermés (normalement). Une verif faite à l'instant me l'a confirmé.Dans la mesure où l'adresse qui a été testé est en faite l'IP du routeur France télécom et non directement celle de mon firewall (192.168.X.X) qui est placé juste derrière, n'est ce pas plutôt le routeur qui a été scanné au lieu de mon Firewall ? <BR> <BR>Si vous pouviez m'éclairer, car sinon ..... chaud devant !:-?

[Breizh-Tux]

Salut , <BR> <BR>une petite recherche sur les forums t'aurais orineté ici : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://forums.ixus.net/viewtopic.php?t=8603" TARGET="_blank">test fW</A><!-- BBCode u2 End --> <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?op=modload&name=Forum&file=search" TARGET="_blank">Recherche</A><!-- BBCode u2 End --><!-- BBCode u2 Start --><A HREF="http://" TARGET="_blank">null</A><!-- BBCode u2 End --> <BR> <BR>Yannick <IMG SRC="images/smiles/icon_smile.gif">

[nemesis]

filtré veut dire que toes ports sont fermés mais encore 'visibles' de l'extérieur. <BR> <BR>donc tes règles doivent finir par un reject ou quelque chose comme ça. <BR> <BR>Si tu met un drop à la place t'es ports n'apparaîtront plus sur un test de firewall. <BR> <BR>Sinon routeur ou ipcop je peux pas te dire... <BR>@pluche <BR> <BR>_________________ <BR>ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister<BR><BR><font size=-2></font>

[ossi]

C'est bien la ma question ... <BR>Filtré ??? visible mais pas ouvert !!!! <BR>Un port est fermé mais toujours visible ...pige pas trop ! <BR> <BR>Bon en fait j'ai fait un deuxième test ... test lancé avec une machine connectée entre le FW et le Rt ... même réponse ... donc, je subodore qu'il est possible de penser que l'on peut supposer qu'il soit envisageable que le test se fait sur le Rt de FT ... ce qui me rassure un peu ... juste un peu !!! <BR> <BR>Mais bon l'histoire du port fermé mais toujours visible .....j'va creuser l'affaire !!!!<BR><BR><font size=-2></font>

[Athanase]

L'histoire du port fermé mais toujours visible est "relativement" simple à comprendre. Je vais essayer de t'expliquer cela avec le protocole TCP. <BR> <BR>La notion de port apparaît avec TCP/IP au niveau des couches de niveau 4 (couche transport) du modèle OSI. En effet, le protocole IP (niveau 3) n'utilise pas la notion de port mais uniquement d'adresse source et destination. Les ports sources et destinations se retouvent ainsi au niveau des en-têtes TCP ou UDP qui sont encapsulés dans le protocole IP. <BR> <BR>Le protocole TCP définit un modèle de connexion dit: "three way handshake": <BR> <BR>Le PC1 envoit un paquet de type TCP avec le drapeau SYN au PC2. <BR>Le PC2 renvoit un paquet TCP avec les drapeaux SYN et ACK au PC1 s'il accepte la connection. <BR>Le PC1 répond avec un paquet TCP dont le drapeu est ACK. <BR> <BR>S'il y a une perturbation dans cette "poignée de main", la connection n'est pas établie. <BR> <BR>Venons en maintenant à ce que fait un firewall. Le firewall analyse le paquet TCP/IP pour choisir ce qu'il doit faire (accepter ou rejeter le paquet) en comparant les adresses source et destination mais aussi les ports sources et destinations avec la liste de ses règles. Seulement, que fait-il lorsqu'il doit bloquer une connection: <BR> <BR>- il reçoit le paquet TCP SYN et n'y répond pas du tout. Pour le PC qui a émis le paquet, tout se passe comme si personne ne répondait à sa requête => le port est invisible. <BR> <BR>- le firewall reçoit le TCP SYN et répond par un TCP RST (reset) pour mettre directement fin à la connection. Le PC qui a initié la connection ne peut pas se connecter sur le port mais il sait que le port est fermé (NMAP dira closed) car il a reçu un paquet de type TCP RST qui indique qu'il y a un service qui répond sur le port en question. <BR> <BR>- le port est ouvert (un service écoute dessus) et il répond à la connection par un TCP SYN-ACK. Le PC qui a envoyé le TCP SYN sait que le port est accessible et qu'un service écoute normalement dessus. <BR> <BR>Voili voilou. <BR>J'espère que ça répond à ta question.

[Fredish]

Alors, pour rendre stealth les ports fermés, on doit mettre "drop" et non "reject" dans nos règles? Ca, ca n'envoiera pas le paquet autre part?

[tomtom]

Fredish << si il y a un routeur entre toi et la machine de test qui filtre les ports, tu ne peux rien faire à ton niveau pour les faire disparaitre <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>t.

[Fredish]

Je n'ai pas de routeur; je viens d'essayer, ca marche. Mais j'ai toujours les ports 1243, 6776, 12345 et 27374 qui repondent. Je me demande si c'est pas fait expres(j'ai fait le scan sur pcflank; c'est peut-etre pour vendre un de leur produits), parceque j'ai bien mis drop dans mes regles comme les autres ports, et pourtant ils continuent à repondre. Bizarre, en tout cas.