Je cliquotais négligemment sur mon poste, lorsque j'eu la curiosité de
lire les rondins de mon pare-feu.
Et je fus surpris de lire une liste de
«Packet to unopened port received: Permitted...»
Je bondis, que dis-je, je déchire fébrilement l'enveloppe contenant les
quelques règles régissant ma petite sécurité personnelle à moi que j'ai
pour y lire :
«
Generic Host Process for Win32 Services
protocol: any
local endpoint: any
remote endpoint: any adress, any port
Application: svchost.exe
Action **permit**
»
Que je m'empresse de supprimer aussitôt.
Les récentes rustines de sécurités concernant mon système étant
installée, je n'ai rien remarqué d'anormal.
Mais, il est peu probable que j'ai moi-même définit cette règle !
Existe-t-il des virus ou autres saloperies qui permettent d'attaquer
Kerio ?
Depuis, j'ai retiré le mode «Deny unknown» et j'aperçoit ces tentatives
de sortie :
«
Application tcpip kernel driver
from your computer wants to send ICMP packet to
customer-148-223-114-212.uninet.net.mx [148.223.114.212]
»
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Matthieu
Mais, il est peu probable que j'ai moi-même définit cette règle ! Existe-t-il des virus ou autres saloperies qui permettent d'attaquer Kerio ? bonjour,
tu devrais aller voir de ce coté ci http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
Mais, il est peu probable que j'ai moi-même définit cette règle !
Existe-t-il des virus ou autres saloperies qui permettent d'attaquer
Kerio ?
bonjour,
tu devrais aller voir de ce coté ci
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.swen.a@mm.html
Mais, il est peu probable que j'ai moi-même définit cette règle ! Existe-t-il des virus ou autres saloperies qui permettent d'attaquer Kerio ? bonjour,
tu devrais aller voir de ce coté ci http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/
En effet, il a trouvé une DSO exploit d'IE, qu'Ad-Aware ignorait.
Mais, je reste sceptique, c'est surtout la dénomination de « tcpip kernel driver » qui m'intrigue.
Pour information, les tentatives d'accès sortant continuent et sur diverses adresses.
Comment trouver le responsable de ce «tcpip kernel driver» ?
Serait possible qu'une règle permette à quelque chose d'entrer mais ne puisse pas sortir ? Entrée que j'autorise et sortie que je bloque ?
Cedric Blancher
Dans sa prose, David MAREC nous ecrivait :
Comment trouver le responsable de ce «tcpip kernel driver» ?
Si je ne m'abuse ,c'est la pile IP de ton ordinateur. Dans ton premier post, tu nous dis :
Application tcpip kernel driver from your computer wants to send ICMP packet to customer-148-223-114-212.uninet.net.mx [148.223.114.212]
Le problème, c'est que ce message ne permet pas d'identifier précisément ce qui se passe. En effet, ce paquet ICMP est peut-être le résultat d'une erreur sur un flux IP valide qui t'es destiné (Port Unreachable, Fragmentation Needed, etc.). Genre un truc consécutif à une communication de logiciel P2P...
Les firewalls personnels ont cette fâcheuse tendance à :
1. produire des alertes sur tout et n'importe quoi 2. produire des alertes inexploitables
Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi d'état qui prennent en compte les erreurs ICMP, on se retrouve devant des situations fort embarrassantes, comme c'est ton cas ici.
-- les warez c pas interdit -+- Koma Sanke in GPJ: La bétise devrait l'être -+-
Dans sa prose, David MAREC nous ecrivait :
Comment trouver le responsable de ce «tcpip kernel driver» ?
Si je ne m'abuse ,c'est la pile IP de ton ordinateur. Dans ton premier
post, tu nous dis :
Application tcpip kernel driver
from your computer wants to send ICMP packet to
customer-148-223-114-212.uninet.net.mx [148.223.114.212]
Le problème, c'est que ce message ne permet pas d'identifier
précisément ce qui se passe. En effet, ce paquet ICMP est peut-être le
résultat d'une erreur sur un flux IP valide qui t'es destiné (Port
Unreachable, Fragmentation Needed, etc.). Genre un truc consécutif à une
communication de logiciel P2P...
Les firewalls personnels ont cette fâcheuse tendance à :
1. produire des alertes sur tout et n'importe quoi
2. produire des alertes inexploitables
Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi
d'état qui prennent en compte les erreurs ICMP, on se retrouve devant des
situations fort embarrassantes, comme c'est ton cas ici.
--
les warez c pas interdit
-+- Koma Sanke in GPJ: La bétise devrait l'être -+-
Comment trouver le responsable de ce «tcpip kernel driver» ?
Si je ne m'abuse ,c'est la pile IP de ton ordinateur. Dans ton premier post, tu nous dis :
Application tcpip kernel driver from your computer wants to send ICMP packet to customer-148-223-114-212.uninet.net.mx [148.223.114.212]
Le problème, c'est que ce message ne permet pas d'identifier précisément ce qui se passe. En effet, ce paquet ICMP est peut-être le résultat d'une erreur sur un flux IP valide qui t'es destiné (Port Unreachable, Fragmentation Needed, etc.). Genre un truc consécutif à une communication de logiciel P2P...
Les firewalls personnels ont cette fâcheuse tendance à :
1. produire des alertes sur tout et n'importe quoi 2. produire des alertes inexploitables
Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi d'état qui prennent en compte les erreurs ICMP, on se retrouve devant des situations fort embarrassantes, comme c'est ton cas ici.
-- les warez c pas interdit -+- Koma Sanke in GPJ: La bétise devrait l'être -+-
David MAREC
Bonjour,
d'après les propos de Cedric Blancher :
[Log Kerio] Le problème, c'est que ce message ne permet pas d'identifier précisément ce qui se passe.
En effet.
En fait, je n'utilise ni logiciel de P2P, IRC et autres messageries instantanées, uniquement de SMTP,NNTP, POP et euh, WEB. (là c'est plus large voire mystérieux)
[Firewall "personnel"] Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi d'état qui prennent en compte les erreurs ICMP, on se retrouve devant des situations fort embarrassantes, comme c'est ton cas ici.
Les adresses demandées m'étant totalement inconnues, cela m'a intrigué. Je vais tout de même essayer de cerner la cause de ces 'alertes'.
Merci.
Bonjour,
d'après les propos de Cedric Blancher :
[Log Kerio]
Le problème, c'est que ce message ne permet pas d'identifier
précisément ce qui se passe.
En effet.
En fait, je n'utilise ni logiciel de P2P, IRC et autres messageries
instantanées, uniquement de SMTP,NNTP, POP et euh, WEB.
(là c'est plus large voire mystérieux)
[Firewall "personnel"]
Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi
d'état qui prennent en compte les erreurs ICMP, on se retrouve devant
des situations fort embarrassantes, comme c'est ton cas ici.
Les adresses demandées m'étant totalement inconnues, cela m'a intrigué.
Je vais tout de même essayer de cerner la cause de ces 'alertes'.
[Log Kerio] Le problème, c'est que ce message ne permet pas d'identifier précisément ce qui se passe.
En effet.
En fait, je n'utilise ni logiciel de P2P, IRC et autres messageries instantanées, uniquement de SMTP,NNTP, POP et euh, WEB. (là c'est plus large voire mystérieux)
[Firewall "personnel"] Quand on rajoute à cela que la plupart d'entre d'eux n'ont pas de suivi d'état qui prennent en compte les erreurs ICMP, on se retrouve devant des situations fort embarrassantes, comme c'est ton cas ici.
Les adresses demandées m'étant totalement inconnues, cela m'a intrigué. Je vais tout de même essayer de cerner la cause de ces 'alertes'.
Merci.
Xtrauto
David MAREC wrote:
Bonsoir à tous,
« Application tcpip kernel driver from your computer wants to send ICMP packet to customer-148-223-114-212.uninet.net.mx [148.223.114.212] »
Qu'est-ce à dire ? Qui sont uninet.net ?
Merci de votre attention.
Bonjour, un whois sur l'ip nous donne: :~$ whois 148.223.114.212 Instituto Tecnologico y de Estudios Superiores de Monterrey REDMEX- BNETS (NET-148-203-0-0-1) 148.203.0.0 - 148.250.255.255 Uninet S.A. de C.V. UNINET-NETBLK11 (NET-148-223-0-0-1) 148.223.0.0 - 148.223.255.255
# ARIN WHOIS database, last updated 2003-09-24 19:15
Voila une question de résolue.
David MAREC wrote:
Bonsoir à tous,
«
Application tcpip kernel driver
from your computer wants to send ICMP packet to
customer-148-223-114-212.uninet.net.mx [148.223.114.212]
»
Qu'est-ce à dire ?
Qui sont uninet.net ?
Merci de votre attention.
Bonjour, un whois sur l'ip nous donne:
knoppix@Imrane:~$ whois 148.223.114.212
Instituto Tecnologico y de Estudios Superiores de Monterrey REDMEX-
BNETS (NET-148-203-0-0-1)
148.203.0.0 - 148.250.255.255
Uninet S.A. de C.V. UNINET-NETBLK11 (NET-148-223-0-0-1)
148.223.0.0 - 148.223.255.255
# ARIN WHOIS database, last updated 2003-09-24 19:15
« Application tcpip kernel driver from your computer wants to send ICMP packet to customer-148-223-114-212.uninet.net.mx [148.223.114.212] »
Qu'est-ce à dire ? Qui sont uninet.net ?
Merci de votre attention.
Bonjour, un whois sur l'ip nous donne: :~$ whois 148.223.114.212 Instituto Tecnologico y de Estudios Superiores de Monterrey REDMEX- BNETS (NET-148-203-0-0-1) 148.203.0.0 - 148.250.255.255 Uninet S.A. de C.V. UNINET-NETBLK11 (NET-148-223-0-0-1) 148.223.0.0 - 148.223.255.255
# ARIN WHOIS database, last updated 2003-09-24 19:15
