ADSL-BC

[Rincevent]

Bonjour,

J'ai régulièrement des "attaques" sur le port 137 (netbios). ZoneAlarm semble faire son boulot et les bloque.
En lisant les réponses au mail de mickey3D, je suis allé voir dans les propriétés réseau et j'ai vu que le protocole netBeui était activé pour ma carte d'accès à distance. Si je vous comprend bien il est inutile et je dois donc le virer ???? (ma config : Win98SE, Speed Touch Home, PPPoE, 2PC's partagent la connexion avec Winroute).

Et tant que j'y suis, j'essaie de linuxer (redHat 7.1) un brin (c'est pas évident). Y'a-t-il un fichier log qui indique si des accès sont effectués sur mon PC ?

En lisant ce forum, j'ai l'impression de devenir un peu moins nul , merci

Bruno

[Eric]

Essaye Smoothwall, tu aurais un excellent firewall gratui (il te faut un vieux pc pour l'installer).
Cela repose sur du linux mais tout est configurable intuitivement.
la version 0.9.9 sort fin du mois (avec le support du français). actuellement c'est une beta en anglais (version du 10 août 2001)


http://www.smoothwall.org/gpl/

[Frank124]

netBeui n'est pas tes utilie pour la carte d'accet a distance (retire le 2 protections veux mieu qu'une). Il ne saire que de suport au partage de fichié de MS

Si tu n'a pas de réseau chez toi retir le complètement.

[Invité]

Le 2001-08-21 09:47, Rincevent a écrit:
Bonjour,

J'ai régulièrement des "attaques" sur le port 137 (netbios). ZoneAlarm semble faire son boulot et les bloque.
En lisant les réponses au mail de mickey3D, je suis allé voir dans les propriétés réseau et j'ai vu que le protocole netBeui était activé pour ma carte d'accès à distance. Si je vous comprend bien il est inutile et je dois donc le virer ???? (ma config : Win98SE, Speed Touch Home, PPPoE, 2PC's partagent la connexion avec Winroute).

blah blah blah ...

Effectivement, il est inutile. Mais en plus, il est dangereux. En effet, imagine que tu partage un dossier en vue de le rendre disponible sur ton réseau local. Si le partage est activé sur ton interface de connexion au net, ton dossier sera visible par n'importe qui depuis internet.
Exemple : supposons que tu partages un repertoire "music"...
Connaissant ton adresse ip, n'importe qui peux taper (en dos) :
net use x: \ton_ipmusic
ce qui "montera" ton répetoire local sur la machine de celui qui veut accéder à tes disques.
Note : il est possible de partager un utilisant un mot de passe sur la ressource.
(une utilité serait de faire de la copie de fichiers de maniere transparente avec quelqu'un qui veut partager un dossier avec toi)

Quand on ajoute une interface réseau sous windows, le service de partage de fichiers est activé par défaut sur cette interface...même si c'est une interface de connexion a internet.
Merci pour tant de sécurité Microsoft (TM).

[Invité]

Mmmm faut pas confondre NetBios et NetBeui.
Access via NetBeui depuis Internet c'est pas possible vu que ce protocole made in MS n'est pas routableet uniquement utilisable sur un lan. Au pire, to peer ppp(oe/oa) pourrait en profiter, mais comme dans ce cas ci il s'agit d'un routeur...

Net use ne marchera donc pas (tu parles d'ip... mais en netbeui il n'y a pas de notion d'ip)
Enfin le retirer ne peut que faire du bien.

Par contre, NetBios (smb), à virer à tous prix sur l'interface externe. C'est lui qui associé avec tcp/ip permettrait de faire un net use depuis internet.

a+ et merci pour tout.

[Invité]

Heu...c'est juste mais dans les versions récentes de windows, microsoft abandonne netbeui pour IP (depuis win98 ?).
Je parlais bien de partage de fichier sur IP.
Désolé pour la confusion éventuelle.

[Faf]

Sauf erreur, NetBEUI n'est pas routable. Donc le risque est assez limité (en ADSL en tout cas), mais il vaut mieux le virer de la carte d'accès à distance de tt façon.

Cela dit, les "attaques" sur le port 137 ne viennent pas de NetBEUI. Le port 137 UDP correspond au service de la résolution de nom du NetBIOS par dessus TCP/IP. A mon humble, ça peut être un scan (avec nbtstat par exemple) mais aussi un bête PC sous Windows mal configuré qui envoie des broadcasts NetBios dans son subnet. J'en vois souvent (sur le port 138 aussi).

[Invité]

Ben en fait il suffit meme d'allumer un pc en windows pour qu'il broadcast sur le réseau (il cherche le pc qui agit en tant que "local master browser" qui a une liste des pcs du rezo que l'on voit dans le voisinage, et eventuellement relance une election pour s'y substituer).

Si tu est connecté avec un sth, il faut voir si ces "attaques" proviennent de l'if ethernet physique (c'est alors une machine de ton rezo) ou de l'if virtuel pppoe (alors là oui c'est probablement des attaques).

NB: Pour desactiver Netbios sur l'if extérieur, en fait ce qu'il faut retirer c'est le service partage de fichiers/imprimantes et workstation qui est lié ("->") à l'if extérieur.

[Invité]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=1><BLOCKQUOTE>
Le 2001-08-22 03:14, Anonymous a écrit:
Ben en fait il suffit meme d'allumer un pc en windows pour qu'il broadcast sur le réseau (il cherche le pc qui agit en tant que "local master browser" qui a une liste des pcs du rezo que l'on voit dans le voisinage, et eventuellement relance une election pour s'y substituer).

Si tu est connecté avec un sth, il faut voir si ces "attaques" proviennent de l'if ethernet physique (c'est alors une machine de ton rezo) ou de l'if virtuel pppoe (alors là oui c'est probablement des attaques).

NB: Pour desactiver Netbios sur l'if extérieur, en fait ce qu'il faut retirer c'est le service partage de fichiers/imprimantes et workstation qui est lié ("->") à l'if extérieur.


[/quote]

Y en a au moins un qui s'est instruit et qui à lu le bouquin de Samba
Ca fait plaisir de voir qqun qui ne donne pas de suppositions foireuses.

[Gaetan]

Merci
Mais je crois de c'est le but de ces forums: répondre qd on sait ou qu'on a eu l'expérience et pas lancer des pistes dans tous les sens. Sinon ca fait pas avancer le bazard.