Port "imbloquable"

Discussion in 'LnS French Forum' started by Galaadan, Feb 21, 2008.

Thread Status:
Not open for further replies.
  1. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour à tous,

    Heureux possesseur de Look'n'Stop (qui me satisfait pleinement) j'ai rencontré récemment le problème suivant:
    -Après avoir lancé Shield's Up (un test de ports), je me suis rendu compte que le port 8000 était ouvert. J'ai essayé de le fermer en créant une règle pour le fermer (sensé bloquer totalement le port 8000) que j'ai mis en première position mais rien y fait, ce port apparait toujours ouvert...

    Je précise que j'utilise les règles Phantom (une version manuelle, la dernière avant la version à configuration automatique) et un modem routeur dont je n'utilise pas les fonction pare-feu.
    Le port 8000 correspond d'après un post de Climeole au port SHOUTCAST permettant l'écoute de la radio par streaming.

    En vous remerciant par avance.

    Cordialement,
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Est-ce que le PC est connecté directement à Internet ou avez-vous un routeur ?

    Dans le 1er cas, vérifiez que GRC vous indique bien (juste avant de démarrer)la même adresse IP que celle affichée dans la page d'accueil de Look 'n' Stop.

    Dans le 2ème cas, il se peut que ce soit votre routeur qui réponde directement au scan sans que les paquets arrivent au PC. Vérifiez alors la configuration du routeur.

    Cordialement,

    Frédéric
     
  3. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonsoir,

    C'est bien un routeur que j'utilise pour me connecter à Internet (je n'utilise pas les capacités de pare-feu de celui-ci, tous les ports sont ouverts au niveau "matériel").
    Cependant si le problème vient du routeur, pourquoi seul ce port 8000 apparait comme ouvert lors du test ?
    Par contre le fait que je ne vois rien apparaitre dans le journal concernant ce port malgrès la règle censé le bloqué laisse penser que les paquets ne parviennent effectivement pas jusqu'au PC...

    Ces faits paraissent se contredire mais je vais tenter d'approfondir du coté du routeur (je posterai après quelques tests)...

    Merci de ta réponse,


    Cordialement,
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Est-ce qu'il y a bien des alertes dans Look 'n' Stop pour les autres ports scannés ?
    Si oui, alors ça confirme plutôt que le port 8000 est traité avant d'arriver au PC (ça peut être aussi avant le routeur).
    Si non, alors peut être que l'interface réseau dans les options de Look 'n' Stop n'est pas correctement sélectionnée: est-ce que l'adresse IP fournie par le routeur est bien celle affichée dans Look 'n' Stop ?

    Frédéric
     
  5. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonsoir,

    Suite à ton dernier post j'ai fait quelques essais avec les résultats suivants:
    -Un test sur un port quelconque (apparaissant comme caché) est géré par la règle TCP allow (dans le jeu de règle Phantom, cette règle laisse passer les paquets TCP entre 1025 et 5000 sur l'adresse du PC).
    -Le test sur le port 8000 fait intervenir la même règle... A la différence que cette fois le port apparait comme ouvert...

    En résumé: je pensais avoir saisi un minimum le concept mais la je ne comprend strictement rien o_O

    J'espere au moins t'avoir apporté les précisions que tu attendais. Si tu as besoin de screen ou du fichier des règles que j'utilise je suis à ta disposition pour tout renseignements (je précise que j'ai refait les test avec PC Flank avec les mêmes résultats).

    Merci du temps que tu me consacres,

    Cordialement,
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    bonsoir,

    Je ne comprends pas bien non plus...

    Si la règle "TCP allow" indique la plage de port 1024-5000, il n'y a pas de raison qu'elle autorise des paquets sur le port 8000. Je veux bien une copie d'écran de la règle et du journal ;)

    Par ailleurs, il doit normalement y avoir avant cette règle, une règle du genre "TCP: Bloquer les connexions entrantes" censée bloquer tous les paquets reçus et qui essayent d'ouvrir un port TCP. Et c'est cette règle qui est normalement la plus activée lors des tests de scan.

    Peut être revenir au jeu de règle evolué (qui contient la règle "Bloquer les connexions entrantes"), pour vérifier que tout est Ok avec ce jeu de règles.

    Cordialement,

    Frédéric
     
  7. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonsoir,

    Ci-joint les copies d'écran du journal, de la règle TCP allow et de la règle de bloquage que tu as mentionné précédemment. En espérant que cela puisse t'éclairer un peu. Je vais recharger le fichier de règles évolués pour voir ce que ça donne sur ce port 8000. Comme dit précédemment, un test sur un autre port (par exemple le 7000) fait agir cette même règle TCP allow à la différence que ce port apparait comme caché...

    Cordialement,
     

    Attached Files:

  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    En fait le journal ne montre pas de paquets autorisé sur le port 8000. C'est ce que j'avais cru comprendre.

    C'est normal que la règle d'autorisation des paquets TCP s'active, vu que les résultats du scan s'affichent via une page Web qui nécessite bien une connexion et des échanges avec le serveur grc.
    Normalement le journal ne doit pas être activé sur cette règle, de manière à voir les vraies alertes pour les règles de blocage (notamment celles pour la règle "Bloquer les connexions entrantes").

    Cordialement,

    Frédéric
     
  9. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Quand j'ai vu qu'aucun paquet n'était bloqué, j'ai activé les règles permissive de façon a voir toute activité, je n'ai pas compris le trafic mentionné dans le journal, ni la façon dont les ports étaient caché sans rien d'apparant dans le journal en tant que bloquage...
    Reste le problème que le pare-feu matériel est ouvert à 100% et que tous les ports apparaissent comme cachés sauf ce port 8000. Dans ce cas comment remédier à ce problème ?
    Est-ce qu'une règle bloquant ce port serai suffisante au niveau sécurité (malgrès qu'une fois cette règle mise en place, le port apparaisse toujours ouvert et non pas au moins bloqué) ?
    Est-ce du a une déficience du fichier de règle Phantom ?

    Cordialement,
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Le jeu de règle de Phant0m doit être configuré précisément pour qu'il soit efficace. Peut être une erreur de paramètrage provoque ces problèmes.
    Le mieux est de revenir au jeu de règles évolué.

    Si avec ce jeu de règles, la règle bloquer les connexions entrantes n'apparait pas dans le journal lors du test de scan, c'est que les paquets sont bloqués en amont et n'arrivent même pas au PC. Et pour le port 8000, c'est pareil, il doit être traité en amont.

    Non, ça ne servira à rien de rajouter une règle, les jeux de règles, bloquent déjà ce port par défaut.

    Cordialement,

    Frédéric
     
  11. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Je viens de remettre le jeu de règles par défaut avec les mêmes résultats que mes règles actuelles (pas de paquets bloqués dans le journal).
    Le problème ne vient donc apparemment pas de LnS mais du part feu matériel (qui est pourtant intégralement ouvert).
    Je m'excuse donc pour la perte de temps que j'ai occasionné (je continuerais le post en me penchant sur ce reouteur pour ceux qui seraient dans le même cas que moi, le modem routeur en question est le BRM 504 de TrendNet).

    Merci en tout cas de tes réponses et encore toutes mes excuses,

    Cordialement,
     
  12. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Pas de problème, tenez-nous au courant.

    C'est curieux que le port 8000 apparaisse de manière différente des autres.

    Au fait sous GRC tous les ports apparaissent bien comme invisibles/stealth, et celui là apparait vraiment ouvert ? (ou alors plutôt fermé).
    Idéalement tous les ports doivent être invisibles et ne doivent pas apparaitre comme fermés (car cela prouve qu'il y a une machine derrière l'adresse IP). S'il apparait ouvert, c'est qu'on peut carrément se connecter dessus (une application quelque part est à l'écoute du port et autorise l'ouverture d'une connexion TCP sur ce port).

    Cordialement,

    Frédéric
     
  13. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Bon, j'ai enfin trouvé la source du problème:

    -Les règles édités dans le routeur sont spécifiques au PC par lequel l'édition se fait. La règle que j'ai faite ouvrant totalement le pare-feu matériel ne s'appliquait en fait pas à mon PC... De plus le pare-feu matériel ne bloquait que certains paquets dont les "attaques" par un scan de ports, ce qui fait que LnS semblait avoir un comportement normal, avec des paquets bloqués dans le journal... (non, ce n'est pas une excuse pour ne pas avoir vu que le pare-feu matériel était encore actif :doubt: ).
    -Une fois le pare-feu matériel désactivé pour de bon, le port 8000 était encore ouvert, la cause en était la fonction "remote administration" (administration à distance) du routeur, qui permet le contrôle du routeur via Internet par ce port 8000 (Une option bien caché :ouch: ).
    -Cette option désactivée, TOUT les ports apparaissent cette fois invisibles après deux différents scan effectués !

    En résumé un grand merci à Frédéric et ses réponses, de plus rapides (chapeaux :thumb: , jamais vu une aide aussi efficace et rapide pour un logiciel :blink: ), ont permis de trouver la solution à ce problème !

    Toutes mes excuses pour le dérangement (je ne m' intéresse au filtrage que depuis que l'achat il y a un mois de LnS, qui m'en a donné l'envie comme d'autre sans doute à en voir ce forum), et surtout encore merci.

    Cordialement,
     
  14. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, merci pour ces explications.
    Ca pourra servir à d'autres cas je pense.

    Je ne me souviens pas avoir déjà rencontré les 2 cas: la config du routeur propre au PC qui fait la config, et le port 8000 qui sert à la configuration distante et c'est une raison pour que le test GRC soit en échec.

    J'espère que je m'en souviendrai, si le cas se représente ;)

    Frédéric
     
Thread Status:
Not open for further replies.