Ouvrir un port sur mon routeur, quelle conséquence ?

Problèmes d'accès à votre serveur ("Le site mon_pseudo semble injoignable") ?

Modérateurs : Weezo, Modérateurs

Ouvrir un port sur mon routeur, quelle conséquence ?

Message par Novgorod » Ven 19 Jan, 2007 8:58

Deux ou trois personnes sur le forum se sont posé la question sur la sécurité de leur ordinateur après avoir ouvert un port sur leur routeur pour que Weezo soit accessible de l'extérieur (internet). La question est légitime et demande une petite explication pour y voir un peu plus clair et pouvoir juger par soi-même du risque ou non-risque d'une telle action.

Tout d'abord, cette explication, vous vous en doutez, n'a pas vocation à faire le tour de la question sur la sécurité. Elle a pour but simplement d'aborder le thème de la sécurité informatique et de montrer les bases. Je mettrai des liens vers des sites internet spécialisés si vous voulez en savoir plus. De plus, ce post va au-delà de l'utilisation de Weezo et ce forum n'est pas un forum sur la sécurité.

Pour commencer, pour planter le décor :) , je reprendrai une phrase d'un site connu traitant de cette question : le seul ordinateur réellement en sécurité est un ordinateur éteint. Cette phrase, à mon avis, dit ceci :

- dès que vous avez un ordinateur allumé et connecté à internet (ou non !!! avec une disquette ou un CD contenant un virus, pourquoi pas !!), le risque zéro n'existe plus ;

ce qui amène également cette réflexion :

- dans la sécurité informatique, tout est affaire de pondération, de mesure, de juste milieu entre la sécurité d'un ordinateur et la simplicité, le côté pratique de l'utilisation des programmes installés sur ce dernier. Un exemple simple pour mieux comprendre :

On parle de mot de passe faible, moyen, fort. Quand on met un mot de passe comme son prénom, ce mot de passe est faible d'un point de vue sécurité (court, pas de mélange de lettre et chiffre, facilement trouvable par des programmes automatiques "de force brut" - avec dictionnaire - etc.). Mais, tellement plus simple à retenir d'un point de vue utilisation :wink:. Sans en avoir vraiment conscience, globalement, la sécurité informatique balance toujours entre ses deux extrémités (sécurité et facilité d'utilisation). C'est pour dire également que la sécurité, c'est une affaire de jugement, de risque. Il n'y a pas de solution toute faite et je ne vous dirai pas "faites ceci", "faites cela", parce que la solution toute faite n'existe pas.

Un autre exemple frappant, et après, je reviendrai à Weezo :

- dans la communauté des joueurs en ligne, dont je fais partie, un certain nombre me dit qu'ils ont, par exemple, désactivé le routeur de la freebox, parce que c'était embêtant, et ont un pare-feu sur leur ordinateur. C'est vrai que configurer un routeur est embêtant et que dans la plupart des cas, on trouve difficilement les ports à ouvrir pour tel ou tel jeux. Résultat, d'un point de vue sécurité, elle est moins bonne, car le routeur de la freebox est, quelque peu, un pare-feu "matériel" et que le pare-feu sur ordinateur est "logiciel", le pare-feu matériel étant supérieur au pare-feu logiciel. Mais, l'utilisateur est-il exposé à plus de risques pour autant ? La réponse n'est pas toute faite, la réponse est ça dépend ? On peut aussi parler de ceux qui n'ont aucune protection. L'ordinateur a t'il plus de risque d'être contaminé dans ce cas là qu'avec un pare-feu ? la réponse est "oui". L'ordinateur sera t'il plus contaminé avec ou sans pare-feu ? La réponse est ça dépend ?

Alors, ça dépend de quoi ? Eh bien, les experts en sécurité disent que le risque principal d'intrusion en entreprise ne vient pas de l'extérieur, mais de l'intérieur (le problème n'était pas formulé de la sorte, c'est juste pour simplifier). Qui n'a pas mis un jour ou l'autre "password" ou "motdepasse" comme mot de passe ?. Sur cette question, je vais m'arrêter là parce que cette question est complexe. Pour résumé, la sécurité de votre ordinateur dépend, en premier lieu, non pas des anti-virus ou pare-feu installés (je ne dis pas qu'ils ne servent à rien !!!), mais de votre comportement, de vous. Je m'arrête là aussi. Pour aller plus loin, voici une adresse -> http://assiste.com.free.fr/

Revenons à Weezo et à notre sujet :)

Quand on active un routeur, on crée un espace fermé intérieur appelé "réseau local", différent de l'espace extérieur qu'est "internet". Ce réseau local se différencie par ses adresses IP qui deviennent 192.168.*.* par exemple et qu'on appelle ip locale par rapport à l'ip d'internet (l'ip attribuée par votre fournisseur d'internet). Ces adresses sont dites "réservées", car réservées simplement pour marcher dans un réseau local. On peut avoir aussi 10.0.*.* comme masque. Le routeur est celui qui fait le pont entre le réseau local et l'extérieur, internet. Voilà pourquoi l'ordinateur se retrouve avec une ip locale, par exemple 192.168.0.2 quand on active le routeur. En désactivant le routeur, et ayant qu'un seul ordinateur, l'ip de l'ordinateur serait l'ip d'internet.

En gros, le réseau local fonctionne exactement comme le réseau internet, à la différence prêt que ce n'est pas un réseau mondial, mais son réseau propre à soi. Du coup, vous mettez un mur entre internet et votre "chez-vous" et le gardien de cet espace est votre routeur.

Quand on active le routeur, toute connexion (requête) ne provenant pas (n'ayant pas été initialisée) du réseau local est rejetée. Voilà pourquoi, pour que Weezo soit accessible de l'extérieur (internet), il faut ouvrir le port correspondant à celui utilisé par Weezo dans la configuration du routeur.

Alors, c'est quoi un port ?

Le port, pour faire simple, est l'interface, l'élément le plus basic, qui permet de mettre en relation les différents matériels informatiques entre eux (lol, définition avec mes mots, pour les puristes, il existe Google).

Les ports vont de zéro à 65535. Le plus connu est bien sûr le port 80 correspondant au protocole http que tout le monde utilise sans savoir forcément que quand on consulte une page internet avec son navigateur, c'est ce port qui rentre en jeu. Les ports ont pratiquement tous leur protocole. C'est-à-dire que le port 80 est réservé au protocole http, le port 21 pour le ftp, le port 110 pour le pop3 (messagerie), etc. On peut rajouter, de ce fait qu'une plage de port est dite "réservée" en quelque sorte. Cette plage, c'est de zéro à 1024. ça veut dire aussi, que si vous voulez attribuer à votre Weezo un port "exotique", choisissez plutôt un port supérieur à 1024. Vous serez sûr de ne pas interférer avec d'autres programmes par défaut éventuellement installés sur votre ordinateur.

A ce niveau, je vais prendre un exemple pour être plus concret. J'ai mon Weezo sur le port 8081 (donc, je ne choisis pas le mode SSL qui, lui, on n'a pas le choix, je crois, occupe le port 443 uniquement). J'ai un routeur avec l'adresse ip locale de mon ordinateur où marche Weezo qui est 192.168.1.5. Mon adresse fournie par mon fournisseur d'internet est 85.96.16.47. J'ai une IP fixe. C'est-à-dire que mon fournisseur internet m'a attribué cette IP et quel ne changera pas. Je n'ai pas ouvert le port de Weezo (8081) au niveau du routeur. Pour l'instant, si je fais le test d'accès au serveur, j'ai les 2 premiers résultats au vert et le dernier au rouge.

Dans cette configuration, dans mon réseau local, je peux quand même avoir accès à Weezo si je possède un autre ordinateur avec une autre ip 192.168.1.6 par exemple. Je tape http://192.168.1.6:8081 dans mon navigateur et j'ai accès à la page d'accueil de mon Weezo.

Maintenant, je donne mon ip, ou mon compte "weezo.net" (voir ce post pour plus de détail -> http://forum.weezo.fr/viewtopic.php?t=294) à une personne extérieure. Cette personne va donc saisir l'adresse Weezo dans son navigateur, et comme la requête vient de l'extérieur, est initialisée de l'extérieur, elle n'aboutira pas et on va être obligé d'indiquer au routeur d'ouvrir le port pour que les connexions extérieures puissent passer. On dit dans ce cas là que le port est fermé (close). Quand on ouvre le port dans la configuration du routeur, il est dit ouvert (open).

Les trois états d'un port ? (indispensable pour comprendre l'ensemble)

- invisible (stealthed) -> ça veut dire que le routeur est silencieux quand une requête de l'extérieur lui parvient. Il ne répond pas. Résultat, l'initiateur de la requête croit qu'il n'y a rien, qu'il n'y a pas d'ordinateur à l'adresse 85.96.16.47, comme si l'adresse ne menait nulle part. ça veut dire que le port n'est pas ouvert et que rien ne peut rentrer (en théorie);

- fermé (close) -> ici le routeur répond et dit qu'il est présent. Ceci indique que soit le port est ouvert, soit il est fermé. Il peut être fermé par une mauvaise configuration du routeur, par exemple, qui fait qu'il ne s'affiche pas en état invisible. Vous avez compris, la différence avec le premier état, c'est que quelqu'un qui essaye de scanner vos ports sera sûr dans ce cas-là qu'un ordinateur est branché et connecté à internet à l'adresse 85.96.16.47 ;

- ouvert (open) -> ici, le port est configuré dans le routeur et est donc ouvert.

Alors, pour aborder la notion de risque, prenons différent cas avec comme support un site internet qui permet de savoir l'état des ports, PCFLANK -> http://www.pcflank.com.

Voici la page d'accueil :

Image

On sélectionne "advanced port scanner", puis, sur l'écran suivant, on clique sur "start test". On arrive à ceci :

Image

Ici, vous pouvez voir votre adresse internet. On clique ensuite sur "continue". Sur l'écran suivant, on coche "TCP connect scanning (standard)" et on clique sur "continue". On arrive à ceci :

Image

On coche "Scan desired ports and/or the range of ports." et on saisit le port ensuite comme sur l'image. Dans mon cas, je teste le port 8081 et on clique sur "continue". L'écran suivant vous dit de patienter et il faut attendre le résultat qui se présente ainsi :

Image

L'état du port est stealthed (invisible), ce qui montre bien que le port n'est pas configuré dans le routeur (méthode pour voir soi-même si un port configuré dans la box, le routeur est effectivement ouvert ou non).

Maintenant, je vais dans la configuration de mon routeur et j'ouvre le port de Weezo, le 8081. Weezo est en marche. Je vais tester le port à nouveau sur pcflank et il me dit qu'il est ouvert. C'est normal, il est ouvert au niveau du routeur et Weezo a répondu, du coup, à pcflank.

Maintenant, je ferme Weezo sur mon ordinateur et je refais le test sur pcflank. Pcflank me donne comme résultat sur l'état du port Weezo 8081 -> fermé. A priori, on pourrait dire que pcflank n'est pas fiable puisque j'ai ouvert le port au niveau du routeur et il me dit "fermé". Alors, que mon port est bien ouvert.

Alors, pourquoi ce résultat qui semble erroné ?

Je détaille :

Le dernier maillon de la chaîne, où abouti la requête (la connexion) internet, c'est le programme qui tourne sur l'ordinateur grâce au système d'exploitation. En gros, si vous ouvrez un port et qu'au moment où une requête arrive, aucun programme ne fonctionne (on dit "être en écoute") sur ce port, le risque est quasiment équivalent au fait de l'avoir jamais ouvert, puisque la requête n'aboutira pas.

Voilà pourquoi le résultat de pcflank est "fermé" au lieu de "ouvert" puisque la requête n'a abouti nulle part et que le routeur à répondu quand même, il statut sur "fermé".

Maintenant, avec Weezo en marche, le résultat est quasiment équivalent puisque Weezo va traiter les requêtes qu'il connait et rejettera toutes les autres requêtes, donc, pas plus de risque. Quand je dis les requêtes qu'il connait, je dis par exemple, afficher la page de login quand vous tapez "http://www.weezo.net/nom_du_compte" ou "http://85.96.16.47:8081" dans votre navigateur. Si Weezo reçoit une requête d'un navigateur qu'il ne connait pas ou qu'il ne peut pas traiter, il botte en touche et affiche soit une page 404 (not found) ou rien ne se passe.

Rappelons que Weezo a été développé avec la meilleure sécurité possible. Son développeur faisait remarquer que toute requête passe par un seul programme en php et que toute requête suspecte ou incorrecte est rejetée.

Donc, ce n'est pas parce qu'on a forcément ouvert un port que la forteresse (le réseau local, votre ordinateur) va être assiégée et envahi subitement, instantanément, inévitablement, par des virus, trojan, hacker.

Autrement, prenons l'exemple des patchs windows mensuels. Pourquoi on dit qu'il est important de patcher son système d'exploitation. Parce que, entre autres, windows fait tourner un certain nombre d'exécutables (programmes) par défaut et que ces derniers sont à l'écoute sur leur port respectif. Ce qui donne un terrain propice pour que des requêtes bien précises envoyées par des personnes mal intentionnées fassent leur effet. Windows en lui-même intéresse les hackers parce que ça touche un maximum de personne.

Ceci me permet d'aborder un autre point. Il ne faut pas ouvrir n'importe quel port. Certains ports sont plus vulnérables que d'autre et utilisés par des trojans, etc. C'est le cas par exemple des ports 135 à 139 pour windows ou des programmes internes au système tournent par défaut et sont à l'écoute de ses ports. Ces programmes sont très prisés par les personnes mal intentionnées. Vous vous souvenez du vers Blaster ???

Un premier lien vers un site qui montre les ports les plus connus -> http://www.iana.org/assignments/port-numbers

Un deuxième lien vers un site qui montre les ports utilisés par les trojans (cheval de troie) -> http://www.sans.org/resources/idfaq/oddports.php. Je précise que le cheval de troie doit être installé préalablement sur l'ordinateur pour qu'il y ait infection. Si votre ordinateur est "clean", aucun risque, même si vous ouvrez un des ports mentionnés pour Weezo (bien sûr, à éviter)

En conclusion

De nos jours, le risque d'intrusion est de plus en plus nul avec les box fournis par les fournisseurs internet. Il y a de plus en plus d'ordinateurs connectés à internet. Ceux qu'on appelle les hackers (pas les boutonneux, lol), ne s'intéressent pas aux particuliers. Ouvrir un port pour Weezo est une opération banale et sans grand risque pour la sécurité générale de votre ordinateur. Vous êtes plus en sécurité avec un routeur activé et un port ouvert qu'avec un routeur désactivé. Il faut choisir, de préférence, un port non connu, non utilisé par d'autres programmes et non utilisé par les trojans, virus (voir site internet un peu plus au-dessus). On peut utiliser quand même le port 80 (http), 8080 (proxy), qui sont des ports connus. Mais, si on a le choix, autant utiliser un autre port (supérieur à 1024). D'autant plus que le compte "weezo.net" gère très bien tout ça.

La seule chose qui pourrait avoir des conséquences sur la sécurité de votre PC, mais ce raisonnement vaut pour tous les programmes, quel qu'il soit, c'est la présence d'une faille dans Weezo. Une faille veut dire, en résumant, qu'une requête exploiterait Weezo à des fins autres que ce que fait Weezo dans le but de nuire.

Tout ce discours pour répondre qu'il n'y a aucune conséquence à ouvrir un port pour Weezo :).

De mon point de vue, mais ça n'engage que moi, installer MSN, la messagerie instantanée de Microsoft sur son ordinateur est bien plus problématique d'un point de vue sécurité que d'ouvrir un port.

Weezo a écrit un bon résumé à ce sujet : http://weezo.net/index.php?option=com_c ... &Itemid=44

Voici un autre lien vers un forum spécialisé en sécurité où vous pourrez trouver les réponses à vos questions sur le sujet -> http://forum.lixium.fr/cgi-bin/liste.eur?websec

J'ai évité de parler de pare-feu logiciel (celui de windows par exemple) et d'anti-virus, parce que c'est encore un vaste sujet.

J'espère ne pas avoir pas été trop confus (peut-être un peu sur la fin, à mon avis).
Dernière édition par Novgorod le Sam 20 Jan, 2007 8:39, édité 1 fois.
Novgorod
Novgorod
Membre
 
Message(s) : 424
Inscription : Mer 15 Nov, 2006 23:58

Message par murfodef » Sam 20 Jan, 2007 7:55

Encore félicitations pour toutes ces précisions

Bon, c'est vrai que je l'ai lu en 2 fois avec une bonne nuit au milieu :(
MAis je progresse dans ma compréhension des composantes d'un réseau. Et quand on comprend on retient mieux et c'est donc tout bénéf!!

S'il est vrai que c'est un peu moins précis sur la fin je ne comprends toujours pas pourquoi un intru connaissant l'usage que je fais du port 8080 pour Weezo ne pourrait pas acceder à mes fichiers, voir au reste de mon PC?

Comment savoir si mes pare feu freebox et routeurs (linksys WRT54G il me semble qu'il en a un) sont activés?

Je crois qu'il y a un site qui permet de tester cela non?

Chapeau bas pour ces explications
murfodef
Membre
 
Message(s) : 46
Inscription : Dim 14 Jan, 2007 17:06

Message par Weezo » Sam 20 Jan, 2007 8:32

C'est effectivement un très bel exposé :) :!: :!: :!:

S'il est vrai que c'est un peu moins précis sur la fin je ne comprends toujours pas pourquoi un intru connaissant l'usage que je fais du port 8080 pour Weezo ne pourrait pas acceder à mes fichiers, voir au reste de mon PC?


Là effectivement, comme l'a dit novgorod, on ne se situe plus dans des problématiques de ports, mais dans Weezo.

Comme tu peux le remarquer, Weezo fonctionne sur une logique de comptes et de mots de passe.
Chacun associe les partages qu'il veux à chacun des comptes, donc pas de mot de passe = pas d'accès aux fichiers ou au PC sans y avoir été autorisé.

Ca, c'est la théorie.

En pratique, soyons honnête, rien n'assure que Weezo ne comporte pas de faille : Windows en comporte, Linux, apache, php... bref tous les logiciels en ont probablement comporté un jour ou l'autre... ou en comportent toujours.

Pour l'instant aucune faille de sécurité de Weezo n'a été signalée - probablement du fait de la nouveauté et de la diffusion du logiciel.
Mais dès que cela sera le cas, sa correction deviendra prioritaire !
Et le système de mise à jour automatique - en test sur ce forum :) - devrait permettre de diffuser rapidement les correctifs.
Weezo
Tôlier
 
Message(s) : 7364
Inscription : Mar 14 Nov, 2006 10:42

Message par Novgorod » Sam 20 Jan, 2007 8:33

Bonjour,

Comment savoir si mes pare feu freebox et routeurs (linksys WRT54G il me semble qu'il en a un) sont activés?


Je n'ai pas parlé de pare-feu parce que le routeur, pour faire simple, est la moitié d'un pare-feu.

Le pare-feu c'est 2 choses essentielles (sans doute plus, mais je fais simple et je vais à l'essentiel) :

- blocage des ports ;
- analyse des requêtes

Le routeur s'occupe bien de bloquer les ports, mais ne fait aucune analyse des requêtes. Pour aller plus loin, une requête, comme demander la page d'accueil de Weezo est formée de paquets. Le pare-feu a pour fonction d'analyser ces paquets.

Ceci simplement pour donner la différence routeur/pare-feu.

Au niveau de la freebox, il n'y a pas de pare-feu, mais un routeur.
Au niveau de ton Linksys WRT 54G, il y a un routeur et je crois avoir vu aussi un pare-feu, la plupart, sont équipés des deux.

Pour répondre à ta question, ton Weezo n'était pas accessible de l'extérieur. Donc, soit le routeur de la freebox ou soit le routeur de ton Linksys était activé. Ensuite, tu as ouvert le port sur ton Linksys et Weezo était accessible de l'extérieur. Conclusion, le routeur de la freebox est désactivé (sinon pas de connexion de l'extérieur) et ton routeur du Linksys est activé.

Un seul routeur activé suffit. De plus, si tu actives le routeur de la freebox, tu risques de ne plus avoir de connexion du tout avec ton Linksys entre la freebox et ton ordinateur, parce qu'un réseau local dans un réseau local demande un paramétrage différent au niveau de ton Linksys.

Pour savoir si ton routeur de la freebox est activé ou non. En somme, comment configurer tous les services qu'offre la freebox, voici deux adresses ou tu ne peux que trouver la réponse :

http://www.freenews.fr/nat.html
http://www.universfreebox.com/

S'il est vrai que c'est un peu moins précis sur la fin je ne comprends toujours pas pourquoi un intru connaissant l'usage que je fais du port 8080 pour Weezo ne pourrait pas acceder à mes fichiers, voir au reste de mon PC?


Je prends mon petit déjeuner et je réponds à ta question sans aller trop loin :). Weezo a répondu sur le programme. Je vais juste donner l'exemple d'un test qui te donnera une idée du niveau de protection de ton pc.

Mais, je le répète, en ce qui te concerne, tu as vu que ton routeur était bien activé. En terme de sécurité en matière d'intrusion, ça suffit pour se dire que l'ordinateur est bien sécurisé. Je vais te dire pourquoi avec le test. De plus, même si tu as la fonction "pare-feu" dans ton Linksys et que tu vois qu'il est désactivé. Le fait de l'activer ne te donnerait pas plus de sécurité en tant que particulier. Au contraire, il peut te bloquer des requêtes "normales" (expérience personnelle). Tu n'es pas le Ministère de la Défense, le FBI, lol :). Globalement, arrivé à ce niveau de détail est plus pour les entreprises que pour un particulier. C'est te dire que le niveau de protection atteint un niveau de protection plus que correcte. Mais, on verra tout ça avec le test parce qu'il est important de le connaître, ne serai-ce qu'après avoir changer un paramètre dans son routeur (on ne sait jamais, par une fausse manipulation, on peut le désactiver).
Novgorod
Novgorod
Membre
 
Message(s) : 424
Inscription : Mer 15 Nov, 2006 23:58

Message par murfodef » Sam 20 Jan, 2007 9:05

Ok, prends des forces alors :D
Moi je finis de reconfigurer tout mes PC ce matin

Bon petit déj et à tout à l'heure

A+
murfodef
Membre
 
Message(s) : 46
Inscription : Dim 14 Jan, 2007 17:06

Message par Novgorod » Sam 20 Jan, 2007 20:04

Ce que je vais écrire plus bas répondra à trois questions dans un premier temps :

1- Mon routeur est-il activé et bien configuré ?

2- Mon pare-feu est-il activé et bien configuré (pare-feu logiciel sur l'ordinateur si on n'a pas de routeur, de box) ?

3- Il en découle la troisième question : Suis-je protégé correctement des intrusions extérieures ?

J'ai souligné intentionnellement "correctement" pour dire que je n'ai pas mis "totalement". La sécurité est une affaire de jugement global. La protection totale n'existe pas (voir tout en haut le début du post). Celui qui cherche la protection totale tombe dans la paranoïa inutilement.

Dans un deuxième temps, je répondrai à ta question ci-dessous en apportant des précisions grâce à ce que j'aurai développé dans le premier temps.

S'il est vrai que c'est un peu moins précis sur la fin je ne comprends toujours pas pourquoi un intru connaissant l'usage que je fais du port 8080 pour Weezo ne pourrait pas acceder à mes fichiers, voir au reste de mon PC?


Alors, dans un premier temps, nous allons retourner sur le site de PCFLANK -> http://www.pcflank.com.

Nous avons cette page d'accueil :

Image

Cette fois-ci, vous cliquez sur "quick test". C'est un test qui va permettre de tester le degré de vulnérabilité de votre ordinateur aux attaques les plus courantes. Il se décompose en trois parties (trois résultats) :

- Ports check ; PCFLANK va tester l'état de vos ports les plus utilisés par les "hackers" (je ne fais que reprendre le terme du site) pour s'introduire dans votre PC.

Vous aurez sans doute remarqué cette phrase en anglais dans l'explication du test "ports check" du site -> Open ports let hackers access your system. (les ports ouverts laissent les hackers accéder à votre système). C'est vrai et c'est faux. Tout simplement, parce que le site omet de préciser, sans doute, pour faire simple, qu'il faut le programme qui va bien en écoute sur le port qui va bien pour qu'il y ait intrusion potentielle du hacker sur un port ouvert. Cà fait beaucoup de conditions pour qu'il y ait effectivement intrusion.

- Trojan horse check ; ce test regarde s'il n'y a pas de trojan (cheval de troie) installé sur votre pc. Il ne regarde que les trojans les plus connus, pas tous les trojans. Un trojan, rappelons-le est un programme installé sur votre ordinateur à votre insu qui permet à une personne extérieure de prendre le contrôle de votre ordinateur (il ne permet que ça. Normalement, il ne fait pas, comme ferait un virus, planter votre machine). Le trojan est en écoute sur un port déterminé et toujours le même. Par exemple, le trojan SubSeven écoute sur le port 54283. Pour une liste complète, je remets l'adresse -> http://www.sans.org/resources/idfaq/oddports.php. Si le port 54283 est fermé ou invisible, la personne extérieure ne pourra pas accéder au programme. Si le port est ouvert, elle le pourra, mais il faut que le programme soit installé pour que le hacker puisse faire quelque chose sur votre machine.

- Privacy check ; test sur la vie privée, la confidentialité de vos informations. Vous n'êtes pas sans savoir que votre navigateur envoi un certain nombre d'informations quand vous surfez sur internet, la plupart, anodines, d'autres, moins. Je vous envoie vers la CNIL pour en savoir plus -> http://www.cnil.fr/.

Vous cliquez maintenant sur "start test" en bas. On arrive à une page comme celle-là (j'ai repris la même que plus haut) :

Image

Vous cliquez sur "continue" et vous attendez la fin du test. Une page comme ceci se présente à la fin du test :

Image

Je ne commenterai que les 2 premiers, le troisième sur la confidentialité des informations et la vie privée est un trop vaste sujet et ce n'est pas l'objet de ce post.

Pour avoir "tout bon" je devrais avoir trois images en vert avec un sourire comme au résultat du deuxième test "trojan horse check". Ne perdez pas votre temps avec le troisième et dernier test à vouloir absolument un sourire vert. Ce test concerne la confidentialité des informations, donc, rien à voir avec une possible intrusion. Au test "Ports check", il me met "danger!". Damned !!! moi qui me croyait en sécurité, je découvre qu'un hacker peut s'introduire chez moi et faire ce qu'il veut avec ma machine, lol. Je vais tout de suite éteindre mon ordinateur avant qu'il ne soit corrompu, lol. :) :)

Voyons dans le détail ce qu'il a trouvé en cliquant sur "full report" en bas :

Image

Avant de commenter, je rappelle qu'un port est dit "ouvert" avec ce test quand le port est ouvert et qu'un programme fonctionne sur l'ordinateur et est en écoute sur ce port. Si aucun programme n'est en écoute, il donnera l'état "close", fermé, avec un port ouvert.

Alors, il m'a trouvé le port 80 ouvert. Exact, j'ai bien ouvert ce port sur mon routeur et un programme est bien en écoute sur ce port, d'où l'état "ouvert". Le programme, c'est apache. J'ai un site web.

Mais, alors, mon ordinateur n'est pas en sécurité ?

Il n'est pas en totale sécurité, mais il n'est pas non plus à la merci des hackers. Pourquoi ?

- première raison, un port ne peut avoir qu'un programme en écoute. Par exemple, je ne pourrai jamais mettre Weezo sur le port 80 parce qu'il est déjà occupé par Apache. Qu'est ce que ça veut dire réellement ? Eh bien, ça veut dire que sur le port 80, il n'y aura que le programme Apache qui répondra et rien d'autre. Donc, par exemple, si j'ai Apache sur le port 80 et Weezo sur le port 45612 ou 81, un "hacker" pourra toujours essayer d'atteindre Weezo par le port 80, je lui souhaite bonne chance. Il ne pourra pas (sauf faille - voir la troisième raison -, et encore !!).

- deuxième raison, Apache est livré avec un paramétrage par défaut qu'il faut modifier pour restreindre des droits d'accès par exemple. C'est ce que j'ai fait.

- troisième raison, la version d'Apache est toujours la dernière version dans la mesure du possible. Pourquoi avoir toujours les dernières versions d'un programme (ça vaut aussi pour Windows avec ses patchs, toujours être à jour) ? Eh bien, parce que les dernières versions sont, théoriquement, exemptes de faille, ou tout au moins corrigées des failles connues. Le développeur de Weezo a répondu sur ce point (voir réponse juste avant)

On peut aussi se poser la question de mettre le serveur Apache sur un autre port, mais, malheureusement, comme on l'a vu plus haut, c'est son port par défaut. C'est-à-dire que quand je tape http://www.adresse_site_.com sur un navigateur, c'est équivalent à mettre http://www.adresse_site_.com:80. Si je mettais mon site sur le port 81, mon site ne serait pas accessible en tapant http://www.adresse_site_.com. Weezo à pour ça un avantage grâce au compte "weezo.net" de pouvoir le mettre sur n'importe quel port non occupé.

Pour résumer, ce n'est pas l'ouverture du port en lui-même qui rend l'intrusion possible, mais la conjonction de l'ouverture du port, du type de port ouvert et du type de programme.

Si vous avez mis Weezo sur le port 80, c'est normal qu'il vous le signale et, on l'a vue, il n'y a pas de risque. Si vous l'avez mis sur le port 81 (par exemple) et qu'il ne vous le signale pas, c'est normal aussi, car il aura considéré que ce port n'est pas un port fréquemment utilisé par les "hackers".

Une explication aussi sur un autre point. Pourquoi dit-on qu'on peut, sans problème mettre Weezo sur le port 80, un port décrit comme fréquemment utilisé par les "hackers" ? (c'est mieux si on peut le mettre sur un autre) Tout simplement, parce que les "hackers" ne pourront pas faire grand chose avec Weezo. Il est bien sécurisé, dernière version, page d'accès avec authentification obligatoire, etc. Regardez la page du "SANS Institute" sur les ports utilisés par les trojans et regardez pour le port 80. Installez sur votre ordinateur un de ces programmes (trojan) : AckCmd, Back End, CGI Backdoor, Executor, Hooker, RingZero et là, vous crée le terrain propice pour qu'un "hacker" puisse faire ce qu'il veut avec votre machine. Pour cela, il faut également qu'il connaisse votre adresse ip, en clair, qu'il soit là.

Le point sur lequel vous devez faire attention, c'est que si vous n'avez que Weezo sur le port 41201 (pas de serveur, etc.) et que le test révèle que votre port 80, 135, 139, etc. est "ouvert", c'est que votre routeur, pare-feu, etc. est désactivé ou inexistant. Votre ordinateur n'est pas sécurisé correctement et vous devez remédier à cela.

Par contre, si vous avez des sourires verts sur les deux tests, votre ordinateur est sécurisé et vous pouvez arrêter ici votre inquiétude, si inquiétude il y a, lol.


Maintenant, en complément du test, à l'aide d'un petit programme très bien fait et gratuit, on va pouvoir voir par soi-même sur son ordinateur quels sont les ports en écoute et quel programme utilise ses ports.

Le programme est à télécharger sur le site de l'auteur ici -> http://www.nirsoft.net/utils/cports.html
Il faut cliquer ensuite sur un simple exécutable, il n'y a pas d'installation.
Une fois téléchargé, vous dézippez le fichier et vous cliquez sur cports.exe, l'application. Vous devez avoir à l'écran quelque chose comme ceci :

Image

Vous configurez le menu "option" comme sur l'image et vous voilà avec le détail des programmes en écoute. Dans la colonne "nom du processus", le nom du programme et dans la colonne "port local", le numéro du port. Vous remarquerez la colonne "état" qui indique si le programme est en écoute, s'il y a connexion établie ou si la connexion est en train de se fermer.

Je retrouve mon programme "apache" qui est bien en écoute sur le port 80, d'où la détection par PCFLANK.

Pour être complet, bien sûr, n'ouvrez pas des ports inutilement et il n'est utile de les ouvrir que pour laisser passer une requête vers un programme qui le demande, comme Weezo, un serveur Apache, un programme style VNC (prise de contrôle à distance), les jeux, etc. Pour le reste, la requête provient de l'intérieur, donc, pas besoin d'ouvrir de port. Bien sûr également, regardez bien au niveau de votre routeur si vous n'avez pas autorisé un port qui ne sert plus à rien maintenant.

Voilà, vous avez maintenant pas mal d'éléments pour installer Weezo sans inquiétude et dormir tranquille :).

Dans un deuxième temps, la réponse sur ta question précise :

S'il est vrai que c'est un peu moins précis sur la fin je ne comprends toujours pas pourquoi un intru connaissant l'usage que je fais du port 8080 pour Weezo ne pourrait pas acceder à mes fichiers, voir au reste de mon PC?


Sur Weezo, le développeur t'a répondu. Sur le port 8080 qui est ouvert, eh bien, c'est ce que j'ai détaillé dans le premier temps, toutes les requêtes arriveront à Weezo, et seulement à Weezo. Donc, aucun accès possible à tes fichiers par la simple ouverture du port. Le port 8080 est un port connu, celui utilisé habituellement par un proxy. Peut-être qu'il serait mieux de le changer, si tu le peux, par un numéro vers la fin, supérieur à 30000. Pour pouvoir voir que ton port est ouvert, il faut le scanner avec un programme approprié. Généralement, le scan des ports demande du temps on commence par scanner les ports inférieurs à 1024 (on l'a dit plus haut, la plupart des programmes par défaut utilise cette plage de port). Donc, si tu choisis un port vers la fin (qui se termine à 65535), tu augmentes normalement les chances que ton port ne soit pas scanné. De plus, comme je l'ai déjà dit, les box désactivent la réponse au ping, ce qui embête les scans, voire les rendent impossible. J'ai utilisé un scan pour voir si le routeur de quelqu'un marchait bien, si le port qu'il avait ouvert était bien effectivement ouvert. On a vu avec Weezo que le port était ouvert, mais mon scan ne détectait rien. Pourquoi, parce que le scan demande au préalable si la machine répond au ping avant de scanner les ports de cette dernière. La box rejetant toute demande de ping, le programme du scan s'arrête là.

voilà, j'espère que ce sera plus clair pour toi après ce complément d'explication :)
Novgorod
Novgorod
Membre
 
Message(s) : 424
Inscription : Mer 15 Nov, 2006 23:58

Re: Ouvrir un port sur mon routeur, quelle conséquence ?

Message par Maredloop » Lun 07 Mars, 2016 14:06

Merci d'avoir fait un tel poste fraîche qui est vraiment très bien written.will être allusion beaucoup d'amis à propos de this.Keep blogging.
Maredloop
Membre
 
Message(s) : 7
Inscription : Lun 07 Mars, 2016 13:44

Re: Ouvrir un port sur mon routeur, quelle conséquence ?

Message par bernard56 » Lun 08 Août, 2016 21:36

Acheter desormais votre permis de conduire en France enregistré en prefecture!!!

Acheter les vrais documents(Permis de Conduire, Passeport, Carte Identité Nationale, Titre de séjour etc......)avec bernarddubois931@gmail.com NOS PRODUITS

-Carte d'identité française

-Permis de conduire français

-Passeport

-Avis d’impôts

-Fiche de paie

-Carte Grise

-Extrait de naissance

-Autres documents administratifs .

NOTRE MÉTIER Nous sommes des agents administratifs qui facilitons l'obtention des documents pour tous MODE DE PAIEMENT UNIQUEMENT UNE FOIS LE PERMIS DÉLIVRÉ ET SURTOUT APRÈS SATISFACTION DE L ENREGISTREMENT DU DOCUMENT( AUCUN PAIEMENT NE S EFFECTUE AVANT.)

MODE D’EXPÉDITION Nous avons opté pour un moyen d'expédition le plus approprié à nos colis c'est la lettre recommandée avec un numéro de suivi de colis, ce qui permettait au client de suivre les mouvements de son colis pendant le tri et l'expédition ou alors dans le cadre des soucis nos documents sont récupérés en préfecture Nous avons expédié dans le monde entier et particulièrement en France. Nous sommes une entreprise sérieuse, et fiable tous nos clients ont reçu leur colis.

CONTACT Contactez nous par émail:bernarddubois931@gmail.com Nous sommes le N° 1 dans les vrais papiers en France, et tous nos clients ont reçu leurs colis. Nous sommes une entreprise sérieuse. Profitez alors de nos offres!!

NB ....N EFFECTUEZ AUCUN PAIEMENT AVANT DÉLIVRANCE DU PERMIS ET SURTOUT SANS ÊTRE SUR DE L ENREGISTREMENT DE VOTRE DOC .CHACUN DOIS VOIR SES POINTS SUR LE SITE TELEPOINT ET NON DES FAUX IMPRIME

CONTACT.... bernarddubois931@gmail.com
bernard56
Membre
 
Message(s) : 11
Inscription : Lun 08 Août, 2016 21:30

Re: Ouvrir un port sur mon routeur, quelle conséquence ?

Message par whn » Ven 05 Mai, 2017 5:23

gfryh<P>Some true religion outlet things dsquared2 outlet in cheap clothes the nike air max real 49ers nfl jersey confidence, salomon will tommy hilfiger move in discount shoes a reebok good swarovski canada direction. marc jacobs And ray bans with eyeglasses stores a skeptical jimmy choo shoes heart soccer shoes to michael kors outlet online look pandora uk at ray ban wayfarer things, kings jersey often beats by dr dre things vikings nfl jersey will dallas mavericks jerseys not air max ring burberry true, levi's jeans this cheap oakley sunglasses is eagles nfl jersey the power of adidas outlet belief. ralph lauren black friday That this year is his mcm handbags own life, ray-ban sunglasses the overall new balance outlet fortune nike is mcm bags the kevin durant jersey worst coach outlet canada in nba jerseys the coach handbags outlet zodiac, handbags outlet foreign northface do coach factory outlet online not care, jordans do not timberland boots believe nike free this ravens nfl jersey argument. But the raiders nfl jersey mother ray ban sunglasses outlet is p90x very north face nervous, hermes birkin bag to the nearby barbour outlet online temple louboutin outlet for the foreign prayer for buccaneers nfl jersey peace, and sometimes oakley sunglasses will jets nfl jersey take oakley sunglasses outlet him clippers jersey to ray ban black friday go. north face jackets Yang is polo ralph lauren outlet online helpless, but prada look boston celtics at michael kors the mother cavaliers jerseys is mizuno running a armani shoes outlet good colts nfl jersey intentional versace clothes sake, raptors jersey he obediently followed the mother prada outlet kneeling michael kors purses in a horloges seat golden state warriors jerseys Buddha cheap barbour jackets twist max shoes incense barbour jackets pray. Mother chaussure timberland thought that hugo boss clothes his mouth was tory burch outlet obsessed ray ban sonnenbrillen with the coach handbags time longchamp black friday is ray ban sunglasses outlet sincerely celine black friday pray for burberry sale Buddha Bodhisattva charlotte hornets jerseys blessing, did hogan outlet not think dre beats the cheap michael kors ocean prada handbags is only quietly michael kors outlet singing, cheap oakley sunglasses the slightest nfl jerseys meaning roshe run of cheap oakley prayer are not. Mother nike shoes outlet to put indoor soccer shoes a adidas canada light saints nfl jersey that can be panthers nfl jersey said, christian louboutin can cartier montres be rolex replica in the life of cheap jerseys the security of hilfiger online shop the silver-plated kids hoodies red bucks jersey agate veneta pendant kobe bryant jerseys into jerseys from china a yellow babyliss pro small nike bag, just ecco outlet online to nba jersey carry a carry. Seeing dwyane wade jersey the burberry sale mother so omega hard, christian louboutin shoes the michael kors bags ocean timberland shoes will orlando magic jersey not marc jacobs refuse, obediently air max put toms shoes outlet the swarovski jewelry pockets of the bag every michael kors handbags day omega watches into michael kors handbags the clothes ralph lauren polo pocket, north face because the mother every ralph lauren outlet online day to check air jordans whether he had. redskins nfl jersey The trail blazers jersey ocean nike air max 2014 does not feel that nike roshe there is tory burch shoes anything timberland outlet to change ralph lauren with a bag, just nike air huarache to listen rockets jersey to toms shoes the cheap true religion mother's michael kors outlet online sale request, celine bags the day hollister so polo ralph smoothly cheap jerseys passed. It longchamp is coach purses factory said swarovski jewelry that luck cheap true religion will adidas be very poor oakley canada Benming ray ban outlet years without scared ralph lauren outlet online to half, michael kors purses the hollister mother coach store was hermes bags not bengals nfl jersey so converse nervous, no fossil uhren longer check every coach outlet day. Sometimes the ocean nike will be michael kors too lazy lunette ray ban to longchamp outlet take toms shoes the bag out, while nike tracksuits the ralph lauren online mother does not check coach outlet online it into the drawer and beats audio then go grizzlies jersey out. Strange ferragamo to say oakley sunglasses outlet that new balance as asics gel long converse sneakers as mbt mens shoes the michael kors canada ocean oakley did not burberry sale bring it, coach factory online you tn pas cher will cheap jerseys encounter some watches canada small disaster, because ralph lauren polos it burberry is browns nfl jersey not very serious, foreign and not wizards jersey on nike free run 5.0 the nike air max heart, air max one but no roshe mother said, so nike outlet store that burberry handbags the fake rolex mother north face backpacks worried. mcm handbags outlet At jazz jersey the michael kors end chargers nfl jersey of givenchy handbags the year, foreign oakley travel to rolex watches the red bottoms field, bcbg max the kate spade outlet online mother long champ repeatedly nike told the ray ban sunglasses ocean prada shoes must oakley sunglasses cheap carry the burberry outlet store bag timberwolves jersey containing kate spade bags the san antonio spurs jersey pendant, be sure supra shoes to longchamp handbags be north face outlet careful. jaguars nfl jersey Made replica rolex his mother, roshe runs and patriots nfl jersey put toms.com the knicks jersey bag in the the north face pocket michael kors outlet online of his coat coach factory under true religion the converse supervision louboutin outlet of michael kors outlet his burberry outlet mother. Foreign salvatore ferragamo customers longchamp come to the bcbg max azria customer ready toms shoes to thomas sabo negotiate business with adidas customers, hilfiger outlet into the business packers nfl jersey of philadelphia 76ers jerseys the swarovski online reception designer handbags room, is iphone 5 cases ready michael kors handbags to go to bills nfl jersey the ray ban outlet online sofa the north face outlet area nike roche run to true religion jeans men wait phoenix suns for prada sunglasses the instyler arrival polo ralph lauren outlet of air jordan shoes customers, burberry pocket nike phone new balance rang. Yang rams nfl jersey immediately ray bans took ralph lauren online shop out chi hair the phone cheap glasses to puma sneakers view, but do ralph lauren not care louboutin uk to falcons nfl jersey let swarovski crystal the nike huaraches bag coach factory outlet in nike air max a pocket jordan jerseys out. Looked under the thomas sabo phone ralph lauren and hollister co found red bottom shoes that pandora schmuck only received a spam message, air jordan retro the ocean pacers jersey bent calvin klein underwear down to pick up the replica rolex bag. michael kors outlet Just a few chrome hearts store seconds in occhiali ray ban the nike Air Max Plaza yo-yang, the vans installation adidas of ray ban a longchamp outlet sofa giuseppe shoes in oakley black friday the sofa area vans shoes above a glass ed hardy chandel suddenly puma online smashed ralph lauren down, the michael kors sofa was full azcardinals nfl jersey of ralph lauren outlet glass kate spade outlet online fragments. seahawks nfl jersey Yang hermes heard ralph lauren factory store the hollister kids sound looked hollister up air max 2015 and under armour curry looked, scared cold sweat hollisterco DC. coach store online If the bag cheap mlb jerseys did not north face have that michael kors bags bag, michael kors black friday if oakley the knockoff handbags bag cheap oakley sunglasses did not nike canada fall nike.com to ipad mini cases the ralph lauren uk ground, lacoste outlet online if ray ban he barbour jackets did not softball bats go michael kors handbags to pick cheap michael kors up coach black friday the bag, aktienkurse adidas but air force in huarache a few lions nfl jersey seconds before converse shoes sitting hilfiger outlet on the atlanta hawks jersey sofa, adidas online will broncos nfl jersey certainly true religion jeans women be coach handbags Xueguang oakley vault disaster. lunette oakley At ray ban outlet this moment, nike shoes the louboutin ocean katespade really believe dolphins nfl jersey that the pendant pandora jewelry in the ralph lauren outlet bag coach outlet sale really has air max the effect cheap nhl jerseys of tommy hilfiger peace and basketball shoes security, air max glad tommy hilfiger that tory burch handbags he michael kors outlet online followed burberry sale the mother's words have swarovski been with michael kors it. jordans No wonder cowboys nfl jersey before plein outlet the ray ban outlet time did http://www.nba-shoes.com/ not hogan bring nike air yeezy in the body when some baseball bats bad cheap nhl jerseys things nike outlet happen, new balance shoes those toms shoes who nike air force are nba jersey themselves do cheap jordans not free run believe chiefs nfl jersey the power of the cheap ray ban gods brought the warning. coach bags Since ferragamo shoes the supra footwear escape air max 90 of the jordan horror of michael kors the nike roshe accident, mont blanc the oakley vault ocean is woolrich mens jackets very cherish that magical barbour jackets power of oakley sunglasses the michael kors pendant, do denver nuggets jersey not need toms outlet to north face remind chi flat iron the new balance canada mother will philipp plein clothing be adidas outlet consciously ralph lauren outlet online carry, accompanied nike mercurial by beats by dr dre the mother to michael kors taschen the temple when new orleans pelicans the brooklyn nets jersey Buddha will five finger shoes sincerely oakley sunglasses outlet pray, no occhiali oakley slovenly michael kors singing. burberry handbags outlet Perhaps longchamp because mcm handbags the asics ocean cheap mlb jerseys is really believe in the michael kors purses power nike air max 2014 of mcm bags the air max 90 Buddha bears nfl jersey and oakley sunglasses the vans pendant, burberry handbags outlet in tommy hilfiger the pandora rest pandora of nike free run his omega watches life, burberry outlet online he spent texans nfl jersey peacefully, pandora charms and valentino even nike air huarache get juicy couture the polo ralph lauren opportunity jimmy choo outlet to giants nfl jersey raise bottega veneta wages. coach store outlet Believe in fendi bags the toms shoes outlet power burberry handbags is juicy couture outlet strong, as nike mercurial long as the coach outlet online fight from cheap nike shoes the steelers nfl jersey bottom of my heart to titans nfl jersey believe polo ralph lauren that it will nike air max bring tory burch handbags more confidence hollisterco and giuseppe zanotti sneakers hope, naturally nike outlet able to have ray ban more power to ray ban achieve dsquared2 jeans the wedding dresses goal.</P> handbags outlet mkkj
whn
Membre
 
Message(s) : 80
Inscription : Ven 05 Mai, 2017 5:16


Retour vers Configuration routeurs / firewall

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 2 invité(s)