relance post firewall : question

[le loup Pélagneau]

Je remets ici ma réponse au post firewall, car j'aimerais bien un avis. Merci et toutes mes excuses pour ces manières un peu cavalières, mais j'ai peur que am question, en bas de post, passe inaperçue. Le modérateur pourra avoir la gentillesse de l'enlever plus bas si cela le contrarie.

Pas de parano, je suis bien d'accord, mais des questions tout de même. Faut-il consulter les rapports du firewall ? Quand on est un peu ignare comme moi, parfois on peut s'inquiéter. Exemple :
4/11/01 20:09:51 Refuser inconnu 54321 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:51 Refuser inconnu 54320 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:51 Refuser inconnu 61466 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:51 Refuser inconnu 65000 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:51 Refuser inconnu 53001 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 54321 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 33911 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 65000 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 21544 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 50766 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 30029 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 21554 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 30029 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 30100 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 30303 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 50766 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 31787 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 30999 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 29891 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 40412 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 53001 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 34324 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 22222 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 23456 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 27374 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 65000 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 33911 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 34324 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 40423 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 54320 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr
4/11/01 20:09:50 Refuser inconnu 53001 TCP 193.252.202.164 aaubervilliers-101-1-3-164.abo.wanadoo.fr

Je vous fais grâce du reste… il y en a comme ça plus de 150, sur des ports dont je n'avais même jamais entendu parler, et toujours en provenance de la même adresse (d'abonné wanadoo à abonné wanadoo, c'est pas chic ! apparemment le sens communautaire tant vanté par Wana est déficient…)

Bref, que faut-il en penser ? malgré tous ces accès refusés, n'y en a-t-il pas d'autres qui aient abouti à mon insu ? Comment le savoir ? Je vérifie régulièrement ma liste de fichiers invisibles, mais ça ne suffit peut-être pas… À part relire l'Iliade pour en savoir plus sur les chevaux de Troie, mes compétences sont limitées. Je m'adresse donc aux très sages et très savants membres de ce forum et sollicite bien humblement leur avis ?
------------------------------------------------------------------------

[fredtravers]

Bonjour

Non non , nous l'avons bien lu ... Mais je n'ai pas de solution... désolé ...

[Fyve]

A part passer un antivirus régulièrement (avec les dernières maj)....
A+

[Mcnino]

Salut,
je reçois régulièrement ce genre de scans (c'est comme ça que cela s'appelle) des ports mon mac, avec .abo.wanadoo.fr à la fin . J'utilise les machines d'Apple depuis 1995 mais l'année dernière j'ai fait l'acquisition d'un PC, précisément d'un portable afin d'utiliser certains programmes qui n'existent pas sur Mac. ceci sera de plus en plus rare; Merci OSX.
Mais contrairement à vous qui êtes scanné sur le même port, mon renifleur scanne tous mes ports (ouaf, ouaf, ouaf) les uns après les autres.
Je ne l'ai su qu'après avoir téléchargé, puis installé NetBarrier (aucune pub, j'ai pas d'actions et j'ai mis les adresses dans la Stoplist.
Ce n'est qu'un avis, mais je crois que ces scans proviennent des serveurs wanadoo eux mêmes. Je dis peut être une connerie :-/
Il est vrai que je suis un peu (??) parano, mais il y a des raisons à cela (comme le dirait tout bon parano ). Si vous voulez avoir des infos concernant le genre d'attaques que vous pouvez subir, il y a un excellent site d'un éditeur Pcéiste à l'adresse suivante :
http://www.zonelabs.com/support.htm
mais...en anglais.

_________________
@+
Nino

[LookooL]

>Mcnino,
Hello,
1/ Contrairement à ce que tu dis, les attaques référencées par le loup Pélagneau concernent de nombreux ports (54321, 54320, 61466, 65000, etc… je n'ai pris que les premiers listés).

2/ Tu fais de la pub pour Zone Labs ou bien…
Le lien que tu donnes mène exclusivement à des FAQ, problèmes et solutions liés à ZoneAlarm et ZoneAlarm Pro !
Où sont les "infos concernant le genre d'attaques que vous pouvez subir" ?
Je ne les ai pas vues / trouvées ! Mais j'ai pu me tromper. Merci d'indiquer un lien plus précis.

Si tu veux, tu peux lire mon post dans ce même forum Posté le: 2001-11-10 16:30  dans le topic "Firewall" du "bon coin des bons amis".
http://www.macadsl.com/forums/viewtopic.php?topic=1289&forum=5&5

A+

[le loup Pélagneau]

En effet, je ne pense pas être si parano que ça : je ne m'inquiète pas trop quand j'ai le classic scan sur le port 80, qui se réduit à trois essais, et puis ça passe à une autre adresse, ceci quasi en permanence. Effectivement il doit s'agir de tests normaux. En revanche, je m'inquiète davantage quand j'ai des tentaives d'accès sur tous mes ports les uns après les autres, ou 100 tentatives à la suite sur le même port ! Je passe en effet régulièrement un anti-virus (un fois par jour, y compris les archives compactées), mais je n'active pas la protection permanente, qui ralentit ou entre en conflit avec certaines fonctions. Je vérifie aussi chaque jour la liste de mes fichiers, y compris les invisibles. N'étant pas en réseau, je n'ai ni le partage web ni le partage de fichiers activés et j'échange mes données par disque internet, je pense que c'est le maximum que je puisse faire actuellement, mais je préfrerais changer plus souvent d'adresse : c'est de plus en plus long aujourd'hui, et il n'est pas rare que je retrouve la même après avoir éteint (5 ou 6 heures. Je me demande si Net Barrier (qui peut vous rendre invisible, n'est pas plus efficace que Norton Firewall.

[LookooL]

>Michèle,
Bonsoir,
Qu'utilises- tu comme antivirus?
Moi je me sers de Norton Antivirus (packagé avec Norton Personal Firewall à l'occasion de "l'Apple Expo" passée). J'ai configuré NPF comme je l'ai décrit dans ce forum et Norton Antivirus en protection standard et Auto-protect activé. Pas de problèmes particuliers à signaler depuis l'activation de cette config.
A+


_________________
Alu 17" 1,5 Ghz (OS X.3.9) 1Mo Ram; Livebox Orange ADSL 2+ 18Megamax
"L'amour est la seule chose qui double à chaque fois qu'on le partage."
Albert Schweitzer

[le loup Pélagneau]

J'ai Norton antivirus 7 mis à jour régulièrement. À vrai dire, j'ai peu de problèmes de virus depuis que j'ai viré de mon mac les deux sources principales : Outlook Express et ses Melissa ou autres (j'utilise Eudora ou Nisus Mail) et Office 98 (je lis les fichiers Word et récupère leur texte avec Icword ou avec Nisus writer, ou bien je les convertis avec MacLink). Word est une vraie calamité quand on récupère pour le rewriting ou la mise en pages des fichiers faits par des utilisateurs maîtrisant mal le logiciel et oubliant notamment de décocher «autoriser les enregistrements rapides», (pas étonnant que leurs disques soient hyperfragmentés). C'est pourquoi je ne laisse pas autoprotect activé, mais c'est peut-être un tort. Quand au firewall, c'est bien simple, je ferme tout (j'ouvre juste temporairement pour charger en ftp avec Monica).

[Mcnino]

>Lookkool
Eh bien je viens faire mon 'mea culpa'...
Effectivement j'ai refait le chemin de mon lien et il s'agit effectivement d'une FAQ. En cherchant un peu, les seules "explications" que tu peux trouver sont une autre petite -désolé- FAQ qui n'apportent rien de plus si ce n'est que si tu subis autant de scans, il faudrait peut être voir du côté de la configuration d'un proxy, au niveau de ton navigateur -> (http://www.zonelabs.com/services/support_onlineprivacy.htm). Le problème c'est que cela n'a peut être rien à voir avec la façon de procéder d'autre firewall.
Mea culpa : Je me suis rappelé qu'en fait, l'éditeur ne délivre d'information que si tu subis une tentative d'intrusion ou autre, infos qu'il te renvoie par l'intermédiaire de son 'alert analyzer' le tout on-line.
Merci pour les liens, effectivement très utiles.
A moins que la config soit un peu faible (rien de péjoratif) je ne vois pas de raison de désactiver auto-protect de NAV qui fonctionne sans encombre en conjonction avec NetBarrier qui effectivement peut cacher ton IP et quelques autres choses encore
J'essaye de me rencarder pour d'autres infos.


_________________
@+
Nino

[Mcnino]

Salut,
j'apporte une dernière contribution pour dire que le lien sur lequel vous pouvez vous renseigner
concernant les types d'attaques ou autre est le suivant :
http:/fwalerts.zonelabs.com/kbl/process?alert
ou dautres information sur
http:/www.grc.com/
Deplus si vraiment vous n'arrivez pas à y avoir accès, je pourrais essayer d'enregistrer
cette partie du site pour la mettre à disposition.
PS : je n'ai pas d'action chez zonelabs

_________________
@+
Nino