Port Scan Detector

Discussion in 'LnS French Forum' started by k3at0n, Jan 19, 2007.

Thread Status:
Not open for further replies.
  1. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Bonjour :D

    Je voudrais savoir s'il y a moyen de faire des règles permettant d'être averti dans le cas où l'on scannerait mon PC ^^
    D'ailleurs que ce soit par le biais de règles ou peut-être de plugins je ne sais pas... mais serait-il possible de le voir dans Look n Stop, ou existe-t-il dans le cas contraire une application qui propose cette fonction et que je pourrais utiliser en parallèle de Look n Stop ? Sachant que je suis adepte des applications légères, à l'instar de Look n Stop qui est mon grand favori dans ce domaine :D

    Merci d'avance pour vos conseils.
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)

    Il n'existe pas de fonction spécifique pour détecter des scans. Une telle fonction serait de peu d'utilitée pour un ordinateur personnel car de tels scans sont dirigés vers des serveurs d'entreprises ou d'intitutions ...

    Si les règles sont correctes, ton PC est furtif (stealth), c'est-à-dire, invisible en tant qu'adresse IP correspondant à une machine en activité... Quel intérêt y aurait-il à avoir une fonction de détection de scans à moins de vouloir être alerté à de rares occasions (de vrais scans ne se dirigent pas vers les ordinateurs individuels) ...

    :)
     
  3. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Salut Climenole :D
    C'est juste pour cette raison en fait ;)
    Au cas où quelqu'un que je cotoierais voudrait savoir avec de mauvaises intentions quels ports seraient ouverts sur mon pc, et non dans le cas où mon pc serait balayé par un scan "au pif".

    Même si en effet avec une bonne config mon pc est censé être stealth, c'est juste histoire d'être au courant ^^
    Mais je conçois bien sûr que ce ne soit pas d'utilité générale pour les ordinateurs personnels en effet :D

    Donc c'est pas possible ? Pas moyen de déceler des paquets ICMP ou un truc comme çà ? Ou des connexions rapides à des ports aléatoires ? Car j'avais déjà vu cette fonction dans un autre programme, mais ce n'était pas son rôle principal et donc ce serait trop lourd de l'utiliser juste pour cette fonction.

    Si ce n'est vraiment pas possible avec LnS, aurais-tu une autre alternative à me conseiller stp ?

    :)
     
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)

    Port ouvert, port fermé: peu importe. Si le PC est furtif cela ne fait aucune différence.
    Quelque soit le scan utilisé , le scanneur ne recevra aucune réponse (c'est ce que signifie "stealth").

    Par exemple un scan fait de paquets TCP avec le flag syn donne ceci lorsqu'un port est fermé mais non furtif:

    client -> SYN
    serveur -> RST|ACK
    client -> RST


    Cela signale au scanneur la présence d'un ordinateur actif à l'adresse IP scannée et que le port X
    est fermé...

    Par contre si l'ordinateur est furtif cela donne ceci:

    client (scanneur) -> syn
    "serveur" (PC scanné) -> rien... silence total ... pas de réponse.

    Voir ceci:
    http://climenole.wordpress.com/look-n-stop-3/
    Furtif

    Il ne doit pas être sensé furtif: il doit l'être.

    Dans le cas des ordinateurs utilisés comme serveur il leur est impossible d'être stealth ce qui est parfaitement logique car un serveur web doit être détectable pour que les clients s'y connectent... Dans ce cas le problème des scans destinés à repérer quel est le système d'exploitation ( analyse de la signature de la pile TCP-IP ou "O.S. fingerprint" ), des scans ou des "floods" destinés à faire planter le serveur, ou encore des scans pour repérer des ports ouvert mais non-sécurisés [par ex. un serveur Ftp dont le type et la version on des failles de sécurités non corrigées] et ainsi de suite...

    Mais tout cela ne s'applique pas à des ordinateur personnels. Pas plus d'ailleurs des des systèmes de détections d'intrusion tel que le célèbrissime SNORT (mon cochon préféré!!!!)


    Non, il n'existe pas d'option de détection de scans d'un certain type susceptible d'être intentionnellement dirigé contre l'adresse IP de ton PC... (le serait-il qu'il suffit de changer ton adresse IP dynamique mais encore là c'est parfaitement inutile dans le cas d'un ordinateur personnel...)

    Tu peux protéger ton appart ou ta maison avec un système d'alarme pour résidence : pas nécessaire d'utiliser des barbelés et des mines anti-personnelles... Dac ? ;)

    Pour ce qui est d'un pare-feu avec un tel système de détection et pour ordinateur personnel je n'en connais aucun.
    Pour ce genre de truc je crois qu'il faut regarder du côté des application d'entreprises et sortir beaucoup de $$$ ou d' €€€ ...

    De plus je ne crois pas que les développeurs de LNS aient une telle fonction sur "la planche à dessin"...

    :)
     
    Last edited: Jan 21, 2007
  5. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    OK OK :)
    Merci pour ces explications !
    Je n'avais en effet pas tilté qu'un serveur ne pouvait pas être stealth, pourtant c'est d'une logique implacable ^^
    Shame on me :oops:

    Le fait est que l'un de mes ordinateurs personnels est justement serveur de manière permanente (ftp) et aléatoire (http), accessible par un dns du type no-ip. J'aurais donc aimé avoir la possibilité d'identifier [les IPs qui seraient à l'origine] d'éventuels scans (identification du système d'exploitation, des ports ouverts, etc.) pour anticiper les évènements susceptibles de suivre (flood, reconnexions intempestives, timeout, etc.). Le changement d'IP étant dans ce cas peu efficace si je laisse mon client d'update du dns se mettre à jour.

    L'application que j'ai expérimentée pour la détection des scans était en fait une application "serveur" utilisant (il me semble) WinPcap. Elle prévenait également en cas de syn flood et autres. Je pensais donc qu'il y avait des applications essentiellement destinées à çà. Hmm ce snort fonctionne sous Windows ? lol

    Tu dois vraiment te dire "mais il insiste le bougre !" lol
    :D
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)

    La sécurité d'un ordinateur utilisé en tant que serveur dépend non seulement du pare-feu mais aussi des paramètres de sécurité du service utilisé pour gérer les accès à tel ou tel port. Dans le cas, par exemple, d'un serveur Web avec Apache, la sécurité dépend des paramètres des fichiers .htaccess...

    La pile TCP-IP à 5 couches (qui est en fait le modèle du Department of Defense ) est protégé [au niveau des options] par LNS de la façon suivante:

    la couche liaison (layer 2): sélection de la carte réseau et règles spécifiques à certain types de connections (WiFi par ex) ou des règles "raw" spécifiques à Ethernet...

    la couche réseau (layer 3): avec des règles IGMP, ICMP , etc

    la couche transport (layer 4): règles TCP, UDP...

    mais pas la couche application (layer 5): Http, Ftp. etc.

    La sécurité de cette dernière est assurée par certaines règles du niveau précédent mais aucune option spécifique à la couche application.

    La sécurité de cette couche dépend des paramètres de sécurité des programmes utilisés, par exemple les paramètres de sécurité des navigateurs pour tout ce qui concerne le HTTP ...

    Autrement dit LNS n'est pas un pare-feu applicatif (il n'y a pas de fonctions ni de règles spécifiques à l'HTTP, au FTP, au POP3 , etc) pas plus d'ailleurs qu'un pare-feu autentifiant (il n'y a pas de vérification de l'identité de l'utilisateur local ou extérieur si tu utilise ton PC comme serveur, cette tâche étant dévolue au programme applicatif, FileZilla Server par exemple.)

    Si LNS avait à s'occuper du filtrage de niveau 5 je te laisse imaginer l'usine à gaz !

    Songe simplement à toutes les règles nécessaires pour filtrer le HTTP et ses implantations telles que le HTML, le javascript, le Php, etc: un coup d'oeil aux règles de Proxomitron devrait te donner l'idée de la chose...

    Si tel était le cas le paramétrage de LNS deviendrait d'une telle complexité que la très vaste majorité des utilisateurs seraient incapable de s'en servir ou le feraient d'une façon incorrecte.

    Finalement de telles mesures de sécurité sont tellement exagérées par rapport aux menaces probables qu'un telle usine à gaz deviendrait un joujou pour une minorité de "hackers" et un enfer pour tous les autres...

    Pour ce qui est de l'utilisation d'in PC en tant que serveur (Http, Ftp ou avec des machins P2P) l'important est d'avoir un jeu de règles correct et des paramètres de sécurité adéquat au niveau de ces programmes...

    Avec un jeu de règles bien monté les risques sont réduits au minimum.

    Qu'en penses-tu?

    :)


    P.S. Les machins de détection de Ports Scan se retrouvent plutôt du côté des systèmes Unix/Linux pas Windows...
    Ce sont soit des systèmes prévu pour les serveur d'entreprises soit des bidules Open Sources Unix/Linux qui sont adaptés ± pour les systèmes Windows... (Snort par exemple.) et c'est AMHA très lourdingue...
     
  7. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Ok chef ;)

    Oui en effet si LnS est si léger et performant c'est qu'il est essentiellement orienté vers les types de protection (couches) que tu as cités, au lieu de vouloir tout faire à la fois, ce qui le rendrait beaucoup plus lourd et difficile à configurer.

    D'ailleurs n'est-ce pas le problème d'autres firewall "tout en un" qui essaient d'assurer la protection au niveau "applications" en filtrant par exemple les cookies, spywares, etc. ?

    En tous cas je comprends d'autant plus qu'on doive bien choisir son application, pour en utiliser une qui assure convenablement la sécurité du trafic qui lui est propre. Tout ne se joue pas qu'au niveau du firewall :p

    Quant aux outils de détection de scan (ou autres) venant de linux, leur conversion/adaptation pour Windows n'est pas AMHAAMQJ :D toujours très satisfaisante :doubt: et c'est bien dommage car il y a de bonnes idées :thumb:

    En conclusion, si je n'ai pas trouvé (pour l'instant) le moyen d'être alerté quand on me scanne, j'aurais au moins appris beaucoup avec toi ! Thx a lot ^^
     
Thread Status:
Not open for further replies.