Alertes de type "ETH"

Discussion in 'LnS French Forum' started by freddy, May 5, 2004.

Thread Status:
Not open for further replies.
  1. freddy

    freddy Registered Member

    Joined:
    Jan 20, 2004
    Posts:
    11
    Bonjour,

    Depuis mon passage à la Freebox, dans le journal des logs, des alertes que je n'avais pas avec Tele2 sont apparues; elles sont de type "ETH". Dans la colonne
    Adresse/Application sont listées des adresses MAC. à quoi cela correspond-il SVP ?

    merci pour vos lumières ;)
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour Freddy,

    cela doit correspondre à l'addresse MAC de ta freebox probablement, tu peut l'autoriser sans danger.

    Pour cela regarde dans le journal quelle adresse unique est en cause, quelque chose sur 6 octets genre :

    fe:00:c8:05:45:12

    et créer une règle en rentrant cette adresse MAC dans "ethernet addresse".

    Si tu penses que c'est autre chose, peut tu nous faire une capture d'écran d'un passage significatif de ton journal ?

    gkweb.
     
  3. freddy

    freddy Registered Member

    Joined:
    Jan 20, 2004
    Posts:
    11
    Merci pour la rapidité de la réponse :D

    Les adresses MAC, s'il s'agit bien de cela sont toutes différentes (cf copie d'écran ci-joint)....

    Dois-je asperger ma Freebox d'eau bénite ? :D
     

    Attached Files:

  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    plutot impressionant ! :)
    Un peu de sel et d'ail et un exorciste feront peut être l'affaire ;)

    Si tu n'est pas sur un réseau local, ou bien que tu fais confiance à tous les postes du réseau local sur lequel tu es éventuellement, y a peut être une solution mais je en suis pas sûr que ca marche :

    si tu creer une règle en tout premier qui accepte tous les autres protocoles non standards (different de ce que utilise : UDP/TCP/ICMP) est ce que ca acceptera tout le traffic de ta freebox sans autorisé le traffic du net ?

    Ca a une chance de marcher, fais le test.
    Si plus rien n'est loggué de ta freebox tant mieux, mais n'oublis pas de faire des tests online pour vérifier que le traffic internet est bien bloqué.

    gkweb.
     

    Attached Files:

  5. freddy

    freddy Registered Member

    Joined:
    Jan 20, 2004
    Posts:
    11
    Bonjour,

    L'ajout de cette règle est bénéfique à la Freebox, elle semble s'être assagie...j'ai décommandé l'exorciste ;) Pour info, à quoi correspondent exactement les paquets de type "ETH" ?
    Je suis allé sur les sites suivants pour faire des tests online :
    http://scan.sygatetech.com/
    http://grc.com/
    Sur le premier certains ports apparaissent comme "closed" alors qu'ils devraient être "blocked"... .
    Sur le second c'est byzance, tous les ports sont "blocked" !!! bizarre, bizarre vous m'avez dit bizarre o_O .

    C'est grave docteur ?

    Merci
     
  6. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    ETH signifie Ethernet.

    Une trame réseau est une encapsulation de protocoles (par exemple TCP ne peut s'envoyer sans IP) et le niveau le plus bas est ethernet, c'est lui qui va transporté d'autres protocoles supérieurs.

    Donc dans notre cas, l'alerte est je pense de type "ETH" car aucun protocole standard n'a été détecté (IP, TCP, UDP, ICMP, IGMP, BGP, etc...).
    Je me demande d'ailleurs si la freebox n'utilise simplement pas un protocole propriétaire pour générer de telles alertes :)

    A propos des sites de scan online, il y a parfois des "faux positifs", le seul moyens d'être certains du résultat etant d'en essayer plusieurs.
    A ma connaissance celui de GRC est tres bien, essais de recouper les resultats avec celui de symantec (un peu plus simpliste) :

    http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

    et choisir après "security scan".

    bons tests.

    gkweb.
     
  7. freddy

    freddy Registered Member

    Joined:
    Jan 20, 2004
    Posts:
    11
    Bonjour,

    Merci pour toutes ces explications, je vais poursuivre dans mes tests.

    Hasta luego et longue vie à LNS

    :D
     
  8. bobby0067

    bobby0067 Guest

    j'avais aussi ce genre de problème avec ma carte wireless et le WPA activé.

    Sinon dans looknstop on est limité au niveau des protocols que l'on peut filtré ?

    par exemple on peut autoriser le protocol 50 (ESP) mais le 51 (AH) on peut pas ? et je n'arrive pas le mettre manuellement à moins qu'il y a une option caché ?

    D'ailleur on peut même pas loggé ce que certains driver comme netbt.sys renvoi. Il y a bien un bouton mais il reste grisé tout le temps. Looknstop 2.05 est donc encore incomplet ?
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Seuls les protocoles IP les plus courants sont disponibles dans la boite d'édition standard.
    Pour en autoriser d'autres, vous pouvez utiliser le choix "Autres" dans la liste.

    Sinon, avec le plugin d'édition de règles brutes disponible ici:
    http://www.looknstop.com/En/Plugins/plugin.htm ,
    il est possible de rajouter une règle qui va autoriser (ou bloquer) spéciquement un protocole particulier comme le IP 51.

    Eventuellement un plugin spécial pourra être fait pour choisir plus simplement un protocole IP à autoriser ou à bloquer.

    Pour netbt.sys tout comme pour tcpip.sys c'est loggé par défaut, c'est pour cela que le bouton Journal est grisé.

    Cordialement,

    Frédéric
     
Thread Status:
Not open for further replies.