Alertes de type "ETH"

Bonjour,

Depuis mon passage à la Freebox, dans le journal des logs, des alertes que je n'avais pas avec Tele2 sont apparues; elles sont de type "ETH". Dans la colonne
Adresse/Application sont listées des adresses MAC. à quoi cela correspond-il SVP ?

merci pour vos lumières

 

Bonjour Freddy,

cela doit correspondre à l'addresse MAC de ta freebox probablement, tu peut l'autoriser sans danger.

Pour cela regarde dans le journal quelle adresse unique est en cause, quelque chose sur 6 octets genre :

fe:00:c8:05:45:12

et créer une règle en rentrant cette adresse MAC dans "ethernet addresse".

Si tu penses que c'est autre chose, peut tu nous faire une capture d'écran d'un passage significatif de ton journal ?

gkweb.

 

Merci pour la rapidité de la réponse

Les adresses MAC, s'il s'agit bien de cela sont toutes différentes (cf copie d'écran ci-joint)....

Dois-je asperger ma Freebox d'eau bénite ?

 

Bonjour,

plutot impressionant !
Un peu de sel et d'ail et un exorciste feront peut être l'affaire

Si tu n'est pas sur un réseau local, ou bien que tu fais confiance à tous les postes du réseau local sur lequel tu es éventuellement, y a peut être une solution mais je en suis pas sûr que ca marche :

si tu creer une règle en tout premier qui accepte tous les autres protocoles non standards (different de ce que utilise : UDP/TCP/ICMP) est ce que ca acceptera tout le traffic de ta freebox sans autorisé le traffic du net ?

Ca a une chance de marcher, fais le test.
Si plus rien n'est loggué de ta freebox tant mieux, mais n'oublis pas de faire des tests online pour vérifier que le traffic internet est bien bloqué.

gkweb.

 

Bonjour,

L'ajout de cette règle est bénéfique à la Freebox, elle semble s'être assagie...j'ai décommandé l'exorciste Pour info, à quoi correspondent exactement les paquets de type "ETH" ?
Je suis allé sur les sites suivants pour faire des tests online :
http://scan.sygatetech.com/
http://grc.com/
Sur le premier certains ports apparaissent comme "closed" alors qu'ils devraient être "blocked"... .
Sur le second c'est byzance, tous les ports sont "blocked" !!! bizarre, bizarre vous m'avez dit bizarre .

C'est grave docteur ?

Merci

 

ETH signifie Ethernet.

Une trame réseau est une encapsulation de protocoles (par exemple TCP ne peut s'envoyer sans IP) et le niveau le plus bas est ethernet, c'est lui qui va transporté d'autres protocoles supérieurs.

Donc dans notre cas, l'alerte est je pense de type "ETH" car aucun protocole standard n'a été détecté (IP, TCP, UDP, ICMP, IGMP, BGP, etc...).
Je me demande d'ailleurs si la freebox n'utilise simplement pas un protocole propriétaire pour générer de telles alertes

A propos des sites de scan online, il y a parfois des "faux positifs", le seul moyens d'être certains du résultat etant d'en essayer plusieurs.
A ma connaissance celui de GRC est tres bien, essais de recouper les resultats avec celui de symantec (un peu plus simpliste) :

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

et choisir après "security scan".

bons tests.

gkweb.

 

Bonjour,

Merci pour toutes ces explications, je vais poursuivre dans mes tests.

Hasta luego et longue vie à LNS

 

j'avais aussi ce genre de problème avec ma carte wireless et le WPA activé.

Sinon dans looknstop on est limité au niveau des protocols que l'on peut filtré ?

par exemple on peut autoriser le protocol 50 (ESP) mais le 51 (AH) on peut pas ? et je n'arrive pas le mettre manuellement à moins qu'il y a une option caché ?

D'ailleur on peut même pas loggé ce que certains driver comme netbt.sys renvoi. Il y a bien un bouton mais il reste grisé tout le temps. Looknstop 2.05 est donc encore incomplet ?

 

Bonjour,

Seuls les protocoles IP les plus courants sont disponibles dans la boite d'édition standard.
Pour en autoriser d'autres, vous pouvez utiliser le choix "Autres" dans la liste.

Sinon, avec le plugin d'édition de règles brutes disponible ici:
http://www.looknstop.com/En/Plugins/plugin.htm ,
il est possible de rajouter une règle qui va autoriser (ou bloquer) spéciquement un protocole particulier comme le IP 51.

Eventuellement un plugin spécial pourra être fait pour choisir plus simplement un protocole IP à autoriser ou à bloquer.

Pour netbt.sys tout comme pour tcpip.sys c'est loggé par défaut, c'est pour cela que le bouton Journal est grisé.

Cordialement,

Frédéric