ADSL-BC

[The Devil666]

Bonjour

J'ai une petite question d'ordre technique et de securité au niveau Par-feux.

Voila j'ai mon par feux (outpost) qui me signale en mode (apprentissage) de nombreuse demande de connexion entrante et meme via le logiciel ISP Monitor.
Ma question dois je les autoriser ou refuser
(niveaux du risque si la connexion est acceptée.)

Processus (SVCHOST.exe)

Port UDP 1026,1027,1028,1029,1030

J'ai souvent des demande de connexion entrante via le Port UDP 1027 les echanges de transfert ne font que +- 200 Octes d'echange.
actuellement j'autorise uniquement le Port UDP 1030, le reste est totalement refuser via toute les adresses.

Processus : ISPMONITOR.exe

Port avec demande de conexion (UDP) 1026,1027,1028,1029,1030
seule port autoriser par moi est le Port UDP 1030
Note les demande de connexion via les 2 processus ont des adresses IP variable.

Finalement,: dois-je les autorisé ou tous les refuser..... car j'ai vraiment un doute.

Merci pour vos lumieres....

P.S: pas de fause réponse ni de doute.... Merci

[The Devil666]

28 x lus et pas une réponse

[Xotthores]

...
P.S: pas de fause réponse ni de doute.... Merci

En voilant une vraie question

28 x lus et pas une réponse

J'aurais bien voulu t'aider, mais c'est pas ma matière

[The Devil666]

Oui en effet c'est une question ou il faut avoir une certaine experience...
J'ai bien 36 artice sur google, mais c'est en Anglais et mon Anglais n'est pas des plus parfait... il suffit d'un mot mal traduit pour que le sens du message ne soit pas correctement compris.

[yabadabado]

svchost est un processus systeme de windows donc tu peux autoriser les ports ! mais attetion carcertains trojans ou autres merdes se maquillent par exemple en svshost.exe ou autres...

[The Devil666]

svchost est un processus systeme de windows donc tu peux autoriser les ports ! mais attetion carcertains trojans ou autres merdes se maquillent par exemple en svshost.exe ou autres...

d'apres toi je peux autoriser , d'autre me disent que non.... c'est des doutes.... mais pas d'afirmation....

je ne peux pas me permettre aucun doute, acr dans ce genre de connexion , tu ne sais pas qui est derriere cette connexion (ami ou ennemi). mais tu me dis que je peux autoriser les demande de connexion.... J'ai un tres grand doute dans ta parole et permettre ce genre de connexion peut avoir des effet sur ma securitée ou vie privée...

il ya plein d'info sur les processus que j'ai citer sur google , mai ils sont en Anglais..... mais comme j'ai citer dans mon premier message "un mot, une phrase mal interprétée peux conduire a l'effet inverse.


Bref, faute d'info reel , je prefere "cloturer" ce topic et trouver d'autre info autre part...

j'ai une fois écouter une personne a propos d'un port a autoriser ou pas avec comme resulat (intrusion dans mon PC avec destructions et vol d'info).. la personne n'était pas sure de sa réponse a ce sujet....


Merci encore

[Invité]

je suis régulièrement "attaqués" par des IP asiatiques qui scan cette série de port, je ne sait pas du tout d'ou ça vient non plusn mais je les refuse à entrer lol

IP distribués par le réseau iana.org, on ne peut même pas envoyé d'abuse, ce n'est pas un iSP

je pars du principe que toutes connexions non demandées par tes soins ne peux être qu'interdite. donc je block

tu sais regarder la range d'ip qui te scanne? surement la même que moi

[The Devil666]

J'ai la même chose



Le grand problem depuis que l'on a changer de serveur DNS parrt 62.235.xx.xx ont est soumis a des attaques de toute sorte qui varies au scannage de port UDP 2,1031.1026.1027 : adresse IP diver voire meme adresse IP (IANA) du traffic reserver au transfert d'Emule
(4671,4672,4661, 4662) bref un tas de cochonneries que l'on ce ramasse depuis que l'on a de nouveaux serveur DNS.....

les IPs de reference

60.170.58.35 (IANA)
218.23.26.2 (IANA)
218.66.104.206 IDEM
221.12.161.109 IDEM

8/12/2005 8:40:52 Analyse du port 218.27.16.131 UDP (1028, 1027, 1026)
8/12/2005 5:23:45 Analyse du port 218.27.16.131 UDP (1029, 1028, 1026)
6/12/2005 17:49:23 Analyse du port 221.10.71.254 UDP (1032, 4081, 1030, 1028)
6/12/2005 15:38:51 Analyse du port 221.10.71.254 UDP (1032, 1031, 4073, 4081)
6/12/2005 12:24:02 Analyse du port 202.103.86.66 UDP (1031, 1028, 2, 4081)
4/12/2005 10:04:35 Analyse du port 222.38.148.30 UDP (2, 1032, 1033, 1028)
1/12/2005 9:30:21 Fragments courts 221.10.254.171
1/12/2005 4:16:04 Fragments courts 221.10.254.171

c'est toujours +- les meme portqui sont scannner

Enfin , mon parfeux fait bien sont boulôt, c'est ce qui compte....

[arkhaton]

Salut
je pense qu'effectivement toute demande de connexion qui n'a pas été faite expressément par toi, devrait etre refusée, c'est le principe que j'applique et je n'ai pas de problème.
A+

[The Devil666]

Salut
je pense qu'effectivement toute demande de connexion qui n'a pas été faite expressément par toi, devrait etre refusée, c'est le principe que j'applique et je n'ai pas de problème.
A+

de mon coter c'est dejas bloquer pour les demande de conexion via les PORT 1025,1026,1027,1028,1029,1030,1031 Via UDP : process SVchost.exe et precess "system"....

[Invité]

c'est effectivement le même réseau...et les mêmes ports

218.27.16.131
61.233.41.180
221.10.229.30
202.99.172.160

ça devient chiant d'aillerus à force

[Dindon]

oups, oublié de mettre mon pseudi, il faudra vraiment que je,me décide à m'inscrire sur ce forum que je fréquente de plus en plus.

Sinon, moi je suis chez Telenet et toi?
il serait peutêtre utile de les prévenir quand même non?

[Invité]

oups, oublié de mettre mon pseudi, il faudra vraiment que je,me décide à m'inscrire sur ce forum que je fréquente de plus en plus.

Sinon, moi je suis chez Telenet et toi?
il serait peutêtre utile de les prévenir quand même non?

Je suis chez Scarlet et etrange aussi que tu a les memes IP
au dire que ca devient chiant oui et non oui quand j'entand mon par feux qui emets un signal sonor lors d'une attaque bien precise (Scannage de port, fragment court ect.) et non car je me dit que mon parfeux fait bien sont boulot et que ca un coter rassurant..

[The Devil666]

Je suis chez Scarlet et etrange aussi que tu a les memes IP
au dire que ca devient chiant oui et non oui quand j'entand mon par feux qui emets un signal sonor lors d'une attaque bien precise (Scannage de port, fragment court ect.) et non car je me dit que mon parfeux fait bien sont boulot et que ca un coter rassurant.. [/quote]

The Devil666 qui ne sait pas identifier aussi..

[yabadabado]

oui tu peux l'autoriser, pas de probelmes a partir du moment ou il se trouve bien dans le repertoire windows\system32 !!!
pour etre sur, va sous dos et mets toi a la racine.
tu tappes alors dir /a /s svchost.exe et tu sauras sa localisation précise

[The Devil666]

oui tu peux l'autoriser, pas de probelmes a partir du moment ou il se trouve bien dans le repertoire windows\system32 !!!
pour etre sur, va sous dos et mets toi a la racine.
tu tappes alors dir /a /s svchost.exe et tu sauras sa localisation précise

Perso, je doute FORTEMENT d'autoriser ce genre de connexion entrante des port que j'ai enumerer plus haut , de plus j'ai souvent des "analyse de ports" qui sont effectuer via c'est port donc de mon coter je prefere les bloqués , juge par toi même

18/12/2005 0:43:43 Analyse du port 110.205.141.83 UDP (1027, 1026, 1025)
17/12/2005 22:59:02 Analyse du port 221.10.158.106 UDP (1032, 1028, 1026, 4297)
17/12/2005 22:58:28 Analyse du port 193.74.208.65 UDP (1032, 1028, 1025)
17/12/2005 20:10:17 Analyse du port 4.79.142.206 TCP (3, 2, 1, 0), ICMP (2048), UDP (137)
17/12/2005 18:30:58 Fragments courts 216.131.94.33
16/12/2005 18:15:10 Analyse du port 33.243.102.5 UDP (1027, 1026, 1025)
16/12/2005 17:56:28 Analyse du port 222.38.148.19 UDP (1028, 1029, 1030)
16/12/2005 15:58:24 Analyse du port 61.152.158.123 UDP (1030, 1029, 1028)

Pas tres catolique tous ca.... et c'est a peux pres toujours les mêmes port qui reviennent
de plus je n'ai vraiment pas besion d'executer ta commande pour savoir d'ou ca vien mon par feux a cette fonction et le logiciels "Active Ports" qui offre ce genre de fonction pour chaque connexion "active"
Direction, Port local port distant, remote connexion, status et le nom du processus qui genere la connexion ainsi que l'adresse distante si connexion il ya..... bref de ce coter je suis servis....

Si toi tu autorise ce genre de connexion...... c'est ton problême et ton PC... et comme je le rapelle le processus svchost.exe est a surveiller et de plus tu ne sais pas qui ce trouve derriere cette demande de connexion via ton pc "ami , ennemi" ??????


La prudence est la meillieure chôse

[yabadabado]

oui je suis tout a fait d('accord avec toi et perso, je ne bloquerais jamais une connexion svchost ! ceci dit, un bon antivirus est necessaire gelament au cas ou...
j'ai plutot l'habitude de tripoter avec els processus afin de trouver les eventuels intrus et autres au sein des serveurs.
mais comem tu dis, chacun fais ce qu'il veut

[titinet]

Je sais pas si ça va vous aider, mais j'avais aussi bcp d'alertes un moment, et j'ai redirigé le serveur par défaut de mon modem/routeur sur un ordi qui n'existe pas... ( par défaut il était 192.168.1.2 )

donc, mon pc sur lequel je suis a l'adresse 192.168.1.2, par exemple...

et l'adresse par défaut du serveur dans le NAT du modem/routeur est 192.168.1.30

Je n'ai plus jamais d'alertes d'intrusions depuis lors.



En explication, pour ce serveur par défaut, j'ai ça :

Default Server Address
--------------------------------------------------------------------------------
This parameter defines the IP address of the default NAT server. Datagrams that do not match an entry in the Server Settings list will be sent to this server.
The Diva 2440 itself handles traffic with the following protocols: HTTP, Telnet, TFTP, ECHO (UDP port 7), and SNMP. These protocols cannot be forwarded by the Diva 2440 to the Default NAT server, however a NAT Server Setting can be created to forward each one.

[The Devil666]

oui je suis tout a fait d('accord avec toi et perso, je ne bloquerais jamais une connexion svchost ! ceci dit, un bon antivirus est necessaire gelament au cas ou...
j'ai plutot l'habitude de tripoter avec els processus afin de trouver les eventuels intrus et autres au sein des serveurs.
mais comem tu dis, chacun fais ce qu'il veut

allors d'apres toi autoriser toute demande de connexion entrante par le processus SVchost.exe serait comme "securiser" , t'es pas bien toi . .
Je part du principe que TOUTE CONNEXION entrante non soummis a une demande, est classer comme connexion non désirée et a risque..... et non sollicitée... peux être que tu na pas des donnée imortante sur ta machine et que tu t'en fous d'accepter n'importe quel connexion sur ta machine.... tous lemonde ne reagis pas comme toi en laissant "la porte ouvert"... et un antivirus NE PEUX RIEN CONTRE CE GENRE de connexion entrante non sollicitée.....
ta vus mon log reprit ci dessus a propos de mes connexion svchost inbound ! plusieur scannage de ports avec les même adresse IP en répétition avec les meme ports.. que faut t'il de plus pour te prover que ce n'est pas normal....

une chôse est sur c'est depuis que l'on a changer de serveur DNS ainsi que les adresse IP a savoir 62.235.xx... avant je n'avait pas ce type de demande a répétition et des scannages de port de cetype.....

J'ai consulter une personne en rapport "securité d'un réseaux" et vus une info sur ce site web www.grc.com, qui recommande de bloquer toute demande de connexion entrante via le port UDP de 1025 a 1031 par le processus svchost.exe.... t comme je ne me base pas seulement que sur un avis positif ou négatif mais de plusieurs avis avant de conclure mon avis personel.....

antivirus = protection contre des virus, trojan et d'autre cochonnerie de ce genre
Par-feux= protection contre les connexion non désirée entrante et sortante a ton insu et si le parfeux est de bonne marque il inclus par la meme occasion une verification des fichier important sur ton PC afin qu'il ne soit pas modifier par un trojan et ou simmilaire en agissant comme un controle checksum , comme par exemple mon par-feux pourrais bloquer ma conexion completement si un logiciel ou un fichier qui aurais tendance a modifier la memoire d'une application, qui en general arrive souvent ou c'est le mode opératoire d'un trojan par exemple et si ca arrive le par feux bloque completement la connexion Inb et out et je dois absolument rebooter le pc pour "deverouiller cette protection"......

[The Devil666]

Je sais pas si ça va vous aider, mais j'avais aussi bcp d'alertes un moment, et j'ai redirigé le serveur par défaut de mon modem/routeur sur un ordi qui n'existe pas... ( par défaut il était 192.168.1.2 )

donc, mon pc sur lequel je suis a l'adresse 192.168.1.2, par exemple...

et l'adresse par défaut du serveur dans le NAT du modem/routeur est 192.168.1.30

Je n'ai plus jamais d'alertes d'intrusions depuis lors.



En explication, pour ce serveur par défaut, j'ai ça :

Default Server Address
--------------------------------------------------------------------------------
This parameter defines the IP address of the default NAT server. Datagrams that do not match an entry in the Server Settings list will be sent to this server.
The Diva 2440 itself handles traffic with the following protocols: HTTP, Telnet, TFTP, ECHO (UDP port 7), and SNMP. These protocols cannot be forwarded by the Diva 2440 to the Default NAT server, however a NAT Server Setting can be created to forward each one.

tu utilise un routeur ou la bo box de scarlet ????? donc tu peut te permettre de faire celas, je n'ai pas la bo box de scarlet car 0 % de confience au niveaux de ce service et j'utilise un modem classic adsl usb
deplus ceux qui utilise la bo box de scarlet l'adresse DNS est totalement differente que d'un modem ADSL chez scarlet...
ca m'ettonerais que si je rentre ton adrtesse DNS dans ma config du modem pour la connexion que ca fonctionne