Balayage de ports

Le
Gloops
[SUPERSEDES (paragraphe mal rédigé)]

Bonjour tout le monde,

Je suis connecté sur une BBox en wifi, réseau public.
D'après la boîte de dialogue où j'ai choisi réseau public, ça signifie
que personne du réseau ne peut se connecter à ma machine.

Pourtant, le pare-feu, e-set, me signale une tentative de balayage de
ports. Ça laisserait entendre que quelqu'un du réseau a essayé d'accéder
à ma machine, et a voulu y faire des choses pas nettes.

Or, sur le réseau, il y a trois machines dont une imprimante, et donc la
seule machine allumée était la mienne.

L'autre ordinateur est une tour sous Vista, à l'instant il était allumé
et j'ai vu que e-set signalait aussi un balayage de ports.

Donc, comment comprendre ça ?
Fausse alerte ? Un processus qui déconne sur la machine elle-même ?
Quelqu'un aurait réussi à forcer la clef wifi et se serait carapaté
après sa tentative pour que je ne le voie pas depuis la page
d'administration ?

Est-ce que c'est possible d'ailleurs de faire une veille là-dessus, sans
avoir à laisser la page d'administration ouverte en permanence ?
Peut-être faut-il toutefois laisser un ordinateur allumé ?

Dans l'onglet diagnostic de la page d'administration, je vois qu'il y a
trois réseaux wifi sur le même canal, un Bouygues, le mien, un SFR et un
Orange.

Le balayage de ports détecté proviendrait-il de l'un des deux autres
réseaux qui partagent le canal ? Serait-il judicieux de changer de
canal, et si oui comment ?

Ah le temps que je tape tout ça l'utilisateur SFR est parti. Le temps de
relire il est revenu. Et je ne vois plus mon réseau sur le graphique.



--
Besoin d'un autre système, pas d'un autre gouvernement.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
pehache
Le #26505494
Le 14/01/2019 à 14:47, Gloops a écrit :
[SUPERSEDES (paragraphe mal rédigé)]
Bonjour tout le monde,
Je suis connecté sur une BBox en wifi, réseau public.

"Réseau public", c'est à dire ? Je croyais que les bbox n'avaient pas (ou
plutôt n'avaient plus) de hotspot "public" (?).
D'après la boîte de dialogue où j'ai choisi réseau public, ça signifie
que personne du réseau ne peut se connecter à ma machine.
Pourtant, le pare-feu, e-set, me signale une tentative de balayage de
ports. Ça laisserait entendre que quelqu'un du réseau a essayé d'accéder
à ma machine, et a voulu y faire des choses pas nettes.

Jusque là c'est "normal". Mais le pare-feu t'indique-t-il l'IP d'origine
du balayage ?
Or, sur le réseau, il y a trois machines dont une imprimante, et donc la
seule machine allumée était la mienne.
L'autre ordinateur est une tour sous Vista, à l'instant il était allumé
et j'ai vu que e-set signalait aussi un balayage de ports.
Donc, comment comprendre ça ?

Qu'est-ce qui t'assure que tu es tout seul sur ce réseau ?
Fausse alerte ? Un processus qui déconne sur la machine elle-même ?
Quelqu'un aurait réussi à forcer la clef wifi et se serait carapaté
après sa tentative pour que je ne le voie pas depuis la page
d'administration ?

Possible. Mais tu parles de clef wifi, ce n'est donc pas un hotspot mais le
réseau wifi privé de la box ? Tu n'es pas clair.
Quelle est la méthode de chiffrement wifi paramétrée sur la box ? WEP,
WPA, WPA2 ? Dans le doute change la clef (en en mettant une un peu
compliquée et en sélectionnant au moins WPA), et tu verras si ça se
reproduit ou pas.
Est-ce que c'est possible d'ailleurs de faire une veille là-dessus, sans
avoir à laisser la page d'administration ouverte en permanence ?
Peut-être faut-il toutefois laisser un ordinateur allumé ?
Dans l'onglet diagnostic de la page d'administration, je vois qu'il y a
trois réseaux wifi sur le même canal, un Bouygues, le mien, un SFR et un
Orange.
Le balayage de ports détecté proviendrait-il de l'un des deux autres
réseaux qui partagent le canal ? Serait-il judicieux de changer de
canal, et si oui comment ?

Qu'il y ait d'autres réseaux wifi sur le même canal peut provoquer des
"interférences" qui dégradent la connexion, mais à ma connaissance ça
ne permet pas de "passer d'un réseau à l'autre".
Th.A.C
Le #26505508
Le 14/01/2019 à 18:08, pehache a écrit :
Le 14/01/2019 à 14:47, Gloops a écrit :
[SUPERSEDES (paragraphe mal rédigé)]
Bonjour tout le monde,
Je suis connecté sur une BBox en wifi, réseau public.

"Réseau public", c'est à dire ? Je croyais que les bbox n'avaient pas (ou
plutôt n'avaient plus) de hotspot "public" (?).

je pense que c'est le pare-feu de sa machine (firewall de e-set) qui est
en mode 'réseau public'.

Le 14/01/2019 à 14:47, Gloops a écrit :
Le balayage de ports détecté proviendrait-il de
l'un des deux autres réseaux qui partagent le
canal ? Serait-il judicieux de changer de canal,
et si oui comment ?

pas possible, utiliser un même canal radio ne veut pas dire que tous les
wifi sur le même canal vont tout mélanger, sinon se serait la cata...

Dans l'onglet diagnostic de la page
d'administration, je vois qu'il y a trois réseaux
wifi sur le même canal, un Bouygues, le mien, un
SFR et un Orange.
...
Ah le temps que je tape tout ça l'utilisateur SFR
est parti. Le temps de relire il est revenu. Et je
ne vois plus mon réseau sur le graphique.

le réseau n'est pas parti (c'est pas un utilisateur, hein, tu confonds....).
Les réseau wifi ne se signalent pas en permanence, mais à interval régulier.
Il suffit que ton 'graphique' (en fait ta box ;-) ) ne l'ai pas vu au
moment ou il a rafraichi la liste des réseau détectés.
Gloops
Le #26505809
Le 14 Janvier 2019 à 19:42, Th A.c écrit :
Le 14/01/2019 à 18:08, pehache a écrit :
Le 14/01/2019 à 14:47, Gloops a écrit :
[SUPERSEDES (paragraphe mal rédigé)]
Bonjour tout le monde,
Je suis connecté sur une BBox en wifi, réseau public.

"Réseau public", c'est à dire ? Je croyais que les bbox n'avaient pas (ou
plutôt n'avaient plus) de hotspot "public" (?).

je pense que c'est le pare-feu de sa machine (firewall de e-set) qui est
en mode 'réseau public'.

Le 14/01/2019 à 14:47, Gloops a écrit :
Le balayage de ports détecté proviendrait-il de
l'un des deux autres réseaux qui partagent le
canal ? Serait-il judicieux de changer de canal,
et si oui comment ?

pas possible, utiliser un même canal radio ne veut pas dire que tous les
wifi sur le même canal vont tout mélanger, sinon se serait la cata...

Dans l'onglet diagnostic de la page
d'administration, je vois qu'il y a trois réseaux
wifi sur le même canal, un Bouygues, le mien, un
SFR et un Orange.
...

Ah le temps que je tape tout ça l'utilisateur SFR
est parti. Le temps de relire il est revenu. Et je
ne vois plus mon réseau sur le graphique.

le réseau n'est pas parti (c'est pas un utilisateur, hein, tu
confonds....).

Non non, c'est Windows qui, lors de la connexion à un nouveau réseau
wifi, juste après avoir pris note de la clef qui sert de mot de passe,
demande si le réseau auquel on se connecte doit être considéré comme
public ou privé. D'après les indications dans la boîte de dialogue, si
c'est un réseau privé il autorisera les autres machines du réseau à
parcourir le disque (de la machine qui se connecte), si c'est un réseau
public il ne l'autorisera pas.
Et l'alerte du pare-feu me fait douter que j'aie bien compris ces
explications.
Comme il n'y a plus de hotspot (chez Orange du coup puisque c'est là que
j'ai une connexion mobile), je ne cherche pas plus les réglages du
pare-feu. L'année dernière il y avait des hot-spots, alors j'avais
installé Comodo, comme ça je pouvais autoriser Thunderbird à se
connecter sur la liaison payante (dite "sécurisée"), mais pas sur le
hot-spot. Mais dans les deux cas, au niveau de Windows j'avais déclaré
le réseau comme privé.
Il se peut bien qu'e-set propose aussi cette possibilité, d'autoriser
une application à se connecter avec une connexion mais pas avec une
autre, mais en l'absence de hotspot je n'ai pas creusé.
Les réseau wifi ne se signalent pas en permanence, mais à interval
régulier.

Je n'ai pas vu la possibilité de le rafraîchir à intervalle régulier sur
la page d'administration Bbox. Je n'ai pu que le rafraîchir en cliquant
sur un bouton.
Mais dans tous les cas je suis arrivé au moins une minute après le
message du pare-feu, donc si quelqu'un est venu espionner il a eu tout
le temps de se barrer, d'autant que l'accès étant refusé il n'y avait
rien à voir.
Il suffit que ton 'graphique' (en fait ta box ;-) ) ne l'ai pas vu au
moment ou il a rafraichi la liste des réseau détectés.


Il me semble avoir vu il y a quelque temps un logiciel qui parcourt
périodiquement le réseau pour analyser les connexions ...
À cette époque on trouvait des gens qui maîtrisaient sacrément bien la
question.

--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
pehache
Le #26505820
Le 18/01/2019 à 12:36, Gloops a écrit :
Non non, c'est Windows qui, lors de la connexion à un nouveau réseau
wifi, juste après avoir pris note de la clef qui sert de mot de passe,
demande si le réseau auquel on se connecte doit être considéré comme
public ou privé. D'après les indications dans la boîte de dialogue, si
c'est un réseau privé il autorisera les autres machines du réseau à
parcourir le disque (de la machine qui se connecte), si c'est un réseau
public il ne l'autorisera pas.

Certainement pas. Si c'est un réseau privé Windows diffuse (broadcaste)
son nom et son IP aux autres machines du réseau local, qui sont donc
averties de sa présence. Elles peuvent ensuite interroger ta machine sur
les partages qu'elles fait, et tenter d'y accéder. Mais si ta machine ne
fait aucun partage il n'y a aucune raison que les autres puissent parcourir
son disque.
Si c'est un réseau public Windows ne diffuse pas sa présence.
Après il y a peut-être aussi le pare-feu qui se comporte différemment
dans les deux cas.
Et l'alerte du pare-feu me fait douter que j'aie bien compris ces
explications.

Ca peut être tout bêtement la box qui vient scanner les ports de ton PC
(elle n'a pas besoin que Windows diffuse sa présence, elle connait
forcément toutes les machines qui sont connectées à elle).
Mais vu que tu ne donnes aucun log sur ces balayage de port (IP d'origine
etc...) on ne peut rien en dire.
Comme il n'y a plus de hotspot (chez Orange du coup puisque c'est là que
j'ai une connexion mobile), je ne cherche pas plus les réglages du
pare-feu. L'année dernière il y avait des hot-spots, alors j'avais
installé Comodo, comme ça je pouvais autoriser Thunderbird à se
connecter sur la liaison payante (dite "sécurisée"), mais pas sur le
hot-spot. Mais dans les deux cas, au niveau de Windows j'avais déclaré
le réseau comme privé.

Si Tunderbird se connecte à la boîte mail avec une connexion chiffrée
(ce qui devrait être la règle de toutes façons), ce n'est pas un
problème de l'utiliser sur un hotspot public.
Il se peut bien qu'e-set propose aussi cette possibilité, d'autoriser
une application à se connecter avec une connexion mais pas avec une
autre, mais en l'absence de hotspot je n'ai pas creusé.
Th.A.C
Le #26505842
Le 18/01/2019 à 12:36, Gloops a écrit :
Mais dans les deux cas, au niveau de Windows j'avais déclaré
le réseau comme privé.


En premier, il faudrait vérifier ce que Comodo entend par réseau privé.
C'est peut être très différent de ce que le firewall de Windows fait,
voir le contraire...
En tout cas, avec le firewall de windows:
-il faut prendre 'réseau public' si tu es sur un réseau public (hotspot).
- Privé c'est pour chez toi (voir les explications de pehache)

Il me semble avoir vu il y a quelque temps un logiciel qui parcourt
périodiquement le réseau pour analyser les connexions ...
À cette époque on trouvait des gens qui maîtrisaient sacrément bien la
question.

par exemple:
WirelessNetView
http://www.nirsoft.net
mais il y en a d'autres
Gloops
Le #26507560
Le 18 Janvier 2019 à 15:14, Pehache
Le 18/01/2019 à 12:36, Gloops a écrit :
Non non, c'est Windows qui, lors de la connexion à un nouveau réseau
wifi, juste après avoir pris note de la clef qui sert de mot de passe,
demande si le réseau auquel on se connecte doit être considéré comme
public ou privé. D'après les indications dans la boîte de dialogue, si
c'est un réseau privé il autorisera les autres machines du réseau à
parcourir le disque (de la machine qui se connecte), si c'est un réseau
public il ne l'autorisera pas.

Certainement pas. Si c'est un réseau privé Windows diffuse (broadcaste)
son nom et son IP aux autres machines du réseau local, qui sont donc
averties de sa présence. Elles peuvent ensuite interroger ta machine sur
les partages qu'elles fait, et tenter d'y accéder. Mais si ta machine ne
fait aucun partage il n'y a aucune raison que les autres puissent parcourir
son disque.
Si c'est un réseau public Windows ne diffuse pas sa présence.
Après il y a peut-être aussi le pare-feu qui se comporte différemment
dans les deux cas.
Et l'alerte du pare-feu me fait douter que j'aie bien compris ces
explications.

Ca peut être tout bêtement la box qui vient scanner les ports de ton PC
(elle n'a pas besoin que Windows diffuse sa présence, elle connait
forcément toutes les machines qui sont connectées à elle).
Mais vu que tu ne donnes aucun log sur ces balayage de port (IP d'origine
etc...) on ne peut rien en dire.

La façon de les obtenir faisait partie des questions posées dans le
premier message du fil. Et jusque là, je n'ai aucune idée d'une réponse
à cette question.
Sous Windows 10 à un moment j'ai essayé GlassWire, qui ne m'avait pas
l'air d'une clarté folle.
Comme il n'y a plus de hotspot (chez Orange du coup puisque c'est là que
j'ai une connexion mobile), je ne cherche pas plus les réglages du
pare-feu. L'année dernière il y avait des hot-spots, alors j'avais
installé Comodo, comme ça je pouvais autoriser Thunderbird à se
connecter sur la liaison payante (dite "sécurisée"), mais pas sur le
hot-spot. Mais dans les deux cas, au niveau de Windows j'avais déclaré
le réseau comme privé.

Si Tunderbird se connecte à la boîte mail avec une connexion chiffrée
(ce qui devrait être la règle de toutes façons), ce n'est pas un
problème de l'utiliser sur un hotspot public.

Ça, ça dépend directement de l'hébergeur des mails.
En connais-tu quelques-uns qui supportent les protocoles chiffrés
d'authentification ?
De mon côté je peux t'en citer quelques-uns qui me semble-t-il ne le
font pas. Il y a Orange dedans.

--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Gloops
Le #26507559
Le 18 Janvier 2019 à 19:41, Th A.c écrit :
Le 18/01/2019 à 12:36, Gloops a écrit :
Mais dans les deux cas, au niveau de Windows j'avais déclaré le réseau
comme privé.

En premier, il faudrait vérifier ce que Comodo entend par réseau privé.
C'est peut être très différent de ce que le firewall de Windows fait,
voir le contraire...


Comodo est désinstallé depuis un paquet de mois. Il ne l'a été qu'après
l'installation d'e-set, il y a peu j'ai soupçonné que ça ait été à
l'origine d'un problème de droit d'écriture.

En tout cas, avec le firewall de windows:
-il faut prendre 'réseau public' si tu es sur un réseau public (hotspot).
- Privé c'est pour chez toi (voir les explications de pehache)

Il me semble bien que ce soit le sens des messages vus lors de la
création de la connexion.
Et que du coup le balayage de ports n'aurait pas dû être possible.

Il me semble avoir vu il y a quelque temps un logiciel qui parcourt
périodiquement le réseau pour analyser les connexions ...
À cette époque on trouvait des gens qui maîtrisaient sacrément bien la
question.

par exemple:
WirelessNetView
http://www.nirsoft.net
mais il y en a d'autres

Ah, intéressant, ça.
Au fait, depuis dix jours je n'ai plus eu de problème.
Je dois préciser que j'ai contacté le support d'e-set suite à des
messages (avec entête e-set) qui signalaient un problème d'impossibilité
d'écrire un fichier.
En prise de contrôle à distance le gars a fait un certain nombre
d'opérations dont un nettoyage avec MalwareBytes AntiMalware. Il y avait
du monde, là-dessus !
Comme je suis susceptible de ne pas rester sur le site, je vais quand
même continuer de travailler là-dessus, pour qu'il y ait de quoi réagir
si le problème se manifeste à nouveau.
Notamment je vais essayer les programmes mentionnés de surveillance du
réseau, et il faudra que je télécharge le programme d'installation de
l'antivirus, car le CD reçu par la poste s'est avéré défaillant.
J'espère que je ne vais pas trop jouer Linotte sur le coup, j'ai déjà un
programme chargé par ailleurs.
Merci beaucoup pour les infos.
--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Gloops
Le #26507563
Le 18 Janvier 2019 à 15:14, Pehache
Ca peut être tout bêtement la box qui vient scanner les ports de ton PC
(elle n'a pas besoin que Windows diffuse sa présence, elle connait
forcément toutes les machines qui sont connectées à elle).

E-set ne se serait pas rendu compte que ça émanait du routeur ?
Tiens, ça m'étonne d'eux.
Enfin sait-on jamais.
Je vais installer les programmes de surveillance du réseau.
Ah tiens, question supplémentaire. Une fois qu'il n'y aura plus que
Madame Michu devant la machine, comment décider quand il est temps de
déclencher la surveillance du réseau ?
Parce que Madame Michu, je lui ai montré six fois comment faire des
copies d'écran, je lui ai installé des scripts pour ça, avec Picpick, et
quand le moment arrive elle a tout oublié.
Elle a un peu plus de 80 ans, mais surtout a subi des traitements
médicamenteux contre l'hypertension, et ça, quand on peut éviter, c'est
toujours mieux.

--
(origine dans fr.comp.securite)

***
Besoin d'un autre système, pas d'un autre gouvernement.
Th.A.C
Le #26507604
Le 28/01/2019 à 21:14, Gloops a écrit :
En tout cas, avec le firewall de windows:
-il faut prendre 'réseau public' si tu es sur un réseau public (hotspot).
- Privé c'est pour chez toi (voir les explications de pehache)

Il me semble bien que ce soit le sens des messages vus lors de la
création de la connexion.
Et que du coup le balayage de ports n'aurait pas dû être possible.

ca c'est moins sur.
un port peut-être 'stealth': il ne répond tout simplement pas (il fait
la sourde oreille).
ou fermé/ouvert: il répond en disant que le service derrière ce port est
soit inaccessible, soit accessible
Pour qu'un balayage de port ne donne rien, il faut donc que tous les
ports soient 'stealth'.
Le mode public ne met pas les ports en mode 'stealth'. Les ports
répondent donc qu'ils sont fermés ou qu'il n'y a pas de service derrière
(je ne me rappelle plus les détails exactes, hein!)
Marc SCHAEFER
Le #26507614
Th.A.C
Le mode public ne met pas les ports en mode 'stealth'. Les ports
répondent donc qu'ils sont fermés ou qu'il n'y a pas de service derrière
(je ne me rappelle plus les détails exactes, hein!)

Une variante: il y a bien un service sur un port, mais il n'apparaît
que si une séquence particulière de scannage est effectuée,
voir port-knocking et par exemple le package knockd sous
Debian GNU/Linux.
Il y a d'autres variantes encore plus marrantes avec [1].
[1] https://telex.cc/
Publicité
Poster une réponse
Anonyme