ahem... il est difficile d'ouvrir un port sans avoir de serveur derriere hein :) Les ports s'ouvrent pas tout seuls. Si tu utilises mal ton FW par exemple si : très facile avec ZA :
suffitt d'autoriser un programme d'agir comme serveur
Si le programme n'ouvre pas de ports de lui meme ca ne changera rien de l'autoriser avec ZA. ZA ne fait qu'autoriser les connexions vers ce programme... Je donnais l'exemple de ZA, il y en a d'autres, certains ports sont ouvert
par défaut, notamment avec WinXP et c'est dangereux.
Stealth (BLOCKED) permet d'échapper aux scans des SK : il n'y a pas de réponse envoyée lors du probe.
C'est la que tu te trompes :) un port ouvert répond et un fermé aussi. Un stealth = pas de réponse envoyée au port. Donc il peut y avoir quelque chose derriere mais on lui aprle pas correctement. C'est exactement ce que je dis :)
Stealth ou BLOCKED ne répond pas
Ben voui. Donc...
CLOSED envoie une réponse comme quoi le port est fermé.
oui un rst.
Il n'y a pas plus de sécurité en étant BLOCKED que CLOSED, les deux présentent leurs avantages.
Le closed est plus sécure puisque ca garantit que rien n'ecoute derriere. Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir qu'il y a quelque chose qui empeche de connaitre l'etat du port. Donc le SK ne s'interessera pas a un port fermé puisqu'il est certain qu'il n'y a rien d'exploitable derriere. Apparemment, tu n'as pas compris ce que je voulais dire, Blocked signifie
non seulement il est fermé *mais en plus* il est invisible. Explication KISS : un port CLOSED équivaut à une porte cadenassée : tu ne peux pas entrer, tu peux frapper à la porte tant que tu veux. Un port BLOCKED c'est toujours une porte cadenassée mais dissimulée, un peu comme un coffre-fort caché derrière un tableau par exemple : elle est là mais on ne la voit pas. Tu ne peux donc pas frapper volontairement sur la porte. J'ai signalé où était l'inconvénient lors d'IP dynamique héritée d'un utilisateur prcédent utilisant un service sur un port ouvert sur sa machine et pas sur la tienne. Le SK ne s'intéressera pas au port ni a aucun autre à l'adresse tout simplement parce qu'il ne saura pas qu'il y a une machine à cette adresse puisque la machine n'aura pas répondu même si tous les ports ont été scannés. C'est pourquoi je signalais que *si* l'attaquant connait déjà ton IP et sait qu'il y a une machine à l'adresse, une non réponse est une réponse en soi ;) Les SK scannent des ranges d'IP sur qq ports sensibles et pas tous les ports sur une adresse précise, ça n'a pas de sens pour eux : ils cherchent des machines sensibles et sur des ports bien précis.
Tiens d'ailleurs j'en ai plus de firewall Pas très raisonnable, mais c'est ton problème....
Pourquoi? Si tu arrives a exploiter ma machine depuis le n'internet je te paye des cerises :p et si tu arrives a me faire installer un trojan pareil
p Il y a longtemps que je ne joue plus à ça ;)
Et la faille RPC sur un OS non patché et sans FW, t'as oublié ?
Mon systeme est patché. Il y a toujours un laps de temps qui s'écoule entre une faille exploitable
et exploitée et la sortie du correctif : voir le nombre de machines qui rebootaieent constamment suite à lovsan sans être infectées pour autant....
Et le service Messenger et ses popups ?
J'ai fait le test sur je sais plus quel site ... ca n'a pas fonctionné :) Suffit de désactiver le service, ce qui n'est que la partie immergée de
l'iceberg, tu peux très bien être sensible à d'autres exploits tout en ayant le service désactivé ;)
Bref je ne conseille pas d'etre sans firewall. Je dis simplement que quand on sait ce qu'on fait il n'est pas nécessaire. ouaip , jusqu'à la prochaine faille.... sans compter les failles existantes
et exploitables non répertoriées. IMHO, un firewall par les temps qui courent est plus utile qu'un AV (je ne conseille pas non plus de se passer d'AV ;)) -- @+ JacK
sur les news:wd4fo03ddwzt.dlg@noshi.net,
Noshi <noshi@lacave.net> signalait:
On Sun, 19 Oct 2003 17:36:08 +0200, JacK wrote:
ahem... il est difficile d'ouvrir un port sans avoir de serveur
derriere hein :) Les ports s'ouvrent pas tout seuls.
Si tu utilises mal ton FW par exemple si : très facile avec ZA :
suffitt d'autoriser un programme d'agir comme serveur
Si le programme n'ouvre pas de ports de lui meme ca ne changera rien
de l'autoriser avec ZA. ZA ne fait qu'autoriser les connexions vers ce
programme...
Je donnais l'exemple de ZA, il y en a d'autres, certains ports sont ouvert
par défaut, notamment avec WinXP et c'est dangereux.
Stealth (BLOCKED) permet d'échapper aux scans des SK : il n'y a pas
de réponse envoyée lors du probe.
C'est la que tu te trompes :) un port ouvert répond et un fermé
aussi. Un stealth = pas de réponse envoyée au port. Donc il peut y
avoir quelque chose derriere mais on lui aprle pas correctement.
C'est exactement ce que je dis :)
Stealth ou BLOCKED ne répond pas
Ben voui. Donc...
CLOSED envoie une réponse comme quoi le port est fermé.
oui un rst.
Il n'y a pas plus de sécurité en étant BLOCKED que CLOSED, les deux
présentent leurs avantages.
Le closed est plus sécure puisque ca garantit que rien n'ecoute
derriere.
Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir
qu'il y a quelque chose qui empeche de connaitre l'etat du port. Donc
le SK ne s'interessera pas a un port fermé puisqu'il est certain
qu'il n'y a rien d'exploitable derriere.
Apparemment, tu n'as pas compris ce que je voulais dire, Blocked signifie
non seulement il est fermé *mais en plus* il est invisible.
Explication KISS : un port CLOSED équivaut à une porte cadenassée : tu ne
peux pas entrer, tu peux frapper à la porte tant que tu veux.
Un port BLOCKED c'est toujours une porte cadenassée mais dissimulée, un peu
comme un coffre-fort caché derrière un tableau par exemple : elle est là
mais on ne la voit pas. Tu ne peux donc pas frapper volontairement sur la
porte. J'ai signalé où était l'inconvénient lors d'IP dynamique héritée
d'un utilisateur prcédent utilisant un service sur un port ouvert sur sa
machine et pas sur la tienne.
Le SK ne s'intéressera pas au port ni a aucun autre à l'adresse tout
simplement parce qu'il ne saura pas qu'il y a une machine à cette adresse
puisque la machine n'aura pas répondu même si tous les ports ont été
scannés. C'est pourquoi je signalais que *si* l'attaquant connait déjà ton
IP et sait qu'il y a une machine à l'adresse, une non réponse est une
réponse en soi ;)
Les SK scannent des ranges d'IP sur qq ports sensibles et pas tous les ports
sur une adresse précise, ça n'a pas de sens pour eux : ils cherchent des
machines sensibles et sur des ports bien précis.
Tiens d'ailleurs j'en ai plus de firewall
Pas très raisonnable, mais c'est ton problème....
Pourquoi? Si tu arrives a exploiter ma machine depuis le n'internet
je te paye des cerises :p et si tu arrives a me faire installer un
trojan pareil
p
Il y a longtemps que je ne joue plus à ça ;)
Et la faille RPC sur un OS non patché et sans FW, t'as oublié ?
Mon systeme est patché.
Il y a toujours un laps de temps qui s'écoule entre une faille exploitable
et exploitée et la sortie du correctif : voir le nombre de machines qui
rebootaieent constamment suite à lovsan sans être infectées pour autant....
Et le service Messenger et ses popups ?
J'ai fait le test sur je sais plus quel site ... ca n'a pas
fonctionné :)
Suffit de désactiver le service, ce qui n'est que la partie immergée de
l'iceberg, tu peux très bien être sensible à d'autres exploits tout en ayant
le service désactivé ;)
Bref je ne conseille pas d'etre sans firewall. Je dis simplement que
quand on sait ce qu'on fait il n'est pas nécessaire.
ouaip , jusqu'à la prochaine faille.... sans compter les failles existantes
et exploitables non répertoriées.
IMHO, un firewall par les temps qui courent est plus utile qu'un AV (je ne
conseille pas non plus de se passer d'AV ;))
--
@+ JacK
ahem... il est difficile d'ouvrir un port sans avoir de serveur derriere hein :) Les ports s'ouvrent pas tout seuls. Si tu utilises mal ton FW par exemple si : très facile avec ZA :
suffitt d'autoriser un programme d'agir comme serveur
Si le programme n'ouvre pas de ports de lui meme ca ne changera rien de l'autoriser avec ZA. ZA ne fait qu'autoriser les connexions vers ce programme... Je donnais l'exemple de ZA, il y en a d'autres, certains ports sont ouvert
par défaut, notamment avec WinXP et c'est dangereux.
Stealth (BLOCKED) permet d'échapper aux scans des SK : il n'y a pas de réponse envoyée lors du probe.
C'est la que tu te trompes :) un port ouvert répond et un fermé aussi. Un stealth = pas de réponse envoyée au port. Donc il peut y avoir quelque chose derriere mais on lui aprle pas correctement. C'est exactement ce que je dis :)
Stealth ou BLOCKED ne répond pas
Ben voui. Donc...
CLOSED envoie une réponse comme quoi le port est fermé.
oui un rst.
Il n'y a pas plus de sécurité en étant BLOCKED que CLOSED, les deux présentent leurs avantages.
Le closed est plus sécure puisque ca garantit que rien n'ecoute derriere. Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir qu'il y a quelque chose qui empeche de connaitre l'etat du port. Donc le SK ne s'interessera pas a un port fermé puisqu'il est certain qu'il n'y a rien d'exploitable derriere. Apparemment, tu n'as pas compris ce que je voulais dire, Blocked signifie
non seulement il est fermé *mais en plus* il est invisible. Explication KISS : un port CLOSED équivaut à une porte cadenassée : tu ne peux pas entrer, tu peux frapper à la porte tant que tu veux. Un port BLOCKED c'est toujours une porte cadenassée mais dissimulée, un peu comme un coffre-fort caché derrière un tableau par exemple : elle est là mais on ne la voit pas. Tu ne peux donc pas frapper volontairement sur la porte. J'ai signalé où était l'inconvénient lors d'IP dynamique héritée d'un utilisateur prcédent utilisant un service sur un port ouvert sur sa machine et pas sur la tienne. Le SK ne s'intéressera pas au port ni a aucun autre à l'adresse tout simplement parce qu'il ne saura pas qu'il y a une machine à cette adresse puisque la machine n'aura pas répondu même si tous les ports ont été scannés. C'est pourquoi je signalais que *si* l'attaquant connait déjà ton IP et sait qu'il y a une machine à l'adresse, une non réponse est une réponse en soi ;) Les SK scannent des ranges d'IP sur qq ports sensibles et pas tous les ports sur une adresse précise, ça n'a pas de sens pour eux : ils cherchent des machines sensibles et sur des ports bien précis.
Tiens d'ailleurs j'en ai plus de firewall Pas très raisonnable, mais c'est ton problème....
Pourquoi? Si tu arrives a exploiter ma machine depuis le n'internet je te paye des cerises :p et si tu arrives a me faire installer un trojan pareil
p Il y a longtemps que je ne joue plus à ça ;)
Et la faille RPC sur un OS non patché et sans FW, t'as oublié ?
Mon systeme est patché. Il y a toujours un laps de temps qui s'écoule entre une faille exploitable
et exploitée et la sortie du correctif : voir le nombre de machines qui rebootaieent constamment suite à lovsan sans être infectées pour autant....
Et le service Messenger et ses popups ?
J'ai fait le test sur je sais plus quel site ... ca n'a pas fonctionné :) Suffit de désactiver le service, ce qui n'est que la partie immergée de
l'iceberg, tu peux très bien être sensible à d'autres exploits tout en ayant le service désactivé ;)
Bref je ne conseille pas d'etre sans firewall. Je dis simplement que quand on sait ce qu'on fait il n'est pas nécessaire. ouaip , jusqu'à la prochaine faille.... sans compter les failles existantes
et exploitables non répertoriées. IMHO, un firewall par les temps qui courent est plus utile qu'un AV (je ne conseille pas non plus de se passer d'AV ;)) -- @+ JacK
Frederic Bonroy
Noshi wrote:
Le closed est plus sécure puisque ca garantit que rien n'ecoute derriere. Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir qu'il y a quelque chose qui empeche de connaitre l'etat du port.
Hmmm... je croyais que stealth signifiait qu'il n'y a pas moyen de savoir si oui ou non l'adresse IP en question est actuellement utilisée par un ordinateur quelconque... évidemment ça ne fonctionnerait que si tous les ports étaient "stealth", et puis il y a d'autres moyens de savoir si l'adresse est utilisée. Mais pour ennuyer les script kiddies cela suffirait, non?
Noshi wrote:
Le closed est plus sécure puisque ca garantit que rien n'ecoute
derriere.
Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir qu'il
y a quelque chose qui empeche de connaitre l'etat du port.
Hmmm... je croyais que stealth signifiait qu'il n'y a pas moyen de
savoir si oui ou non l'adresse IP en question est actuellement utilisée
par un ordinateur quelconque... évidemment ça ne fonctionnerait que si
tous les ports étaient "stealth", et puis il y a d'autres moyens de
savoir si l'adresse est utilisée. Mais pour ennuyer les script kiddies
cela suffirait, non?
Le closed est plus sécure puisque ca garantit que rien n'ecoute derriere. Faux, voir l'explication entre BLOCKED et CLOSED
Justemment. Savoir que le port est fermé est différent que de savoir qu'il y a quelque chose qui empeche de connaitre l'etat du port.
Hmmm... je croyais que stealth signifiait qu'il n'y a pas moyen de savoir si oui ou non l'adresse IP en question est actuellement utilisée par un ordinateur quelconque... évidemment ça ne fonctionnerait que si tous les ports étaient "stealth", et puis il y a d'autres moyens de savoir si l'adresse est utilisée. Mais pour ennuyer les script kiddies cela suffirait, non?