Tweet
Si vous redoutez les attaques et les scan.... Voici une petite protection bien utile
afin que votre "agresseur" ne puisse trouver de quel OS vous vous servez... (si il ne connait pas l'OS,
il ne peut pas faire grand chose... ;-) )
Cet article vous explique comment faire un filtre pour Ouindoze NT de facon
simple et sure.
La clef de registre suivante doit etre modifiee , mais cela se fera automatiquement lors de l'utilisation.
Faites un copier-coller de cette clef et sauvegardez la en filter.reg...
----------------- Debut de flter.reg -----------------------------
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableSecurityFilters"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
"TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
"UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
"RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
"TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
"UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
"RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)
------------------Fin de filter.reg-----------------------------
Puis, (et non c'est pas encore fini) vous editez la base de registre et allez dans
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards]
Dans cette clef, vous trouvez NIC-NAME qui est a remplacer par le nom de votre carte reseau
Le script registry empeche les communications sur tous les ports a l'exception de :
38,30 == 80 == http
35,32,30 == 520 == rip
Et il autorise seulement les protocoles:
6 == 6 == tcp
31,37 == 17 == udp
En n'autorisant pas l'acces a n'importe quel port sauf ceux specifies ci-dessus, on rend impossible
la detection de notre Ouindoze NT a cause du manque d'information qu'aura "l'agresseur"...
Il se doute que sur l'ordinateur il y a un OS, mais il ne peut trouver lequel... ;-)
Voici un exemple concret d'un nmap sur un meme ordinateur, avant et apres application de filter.reg
(avant filter.reg)
nmap -v -sT -O 172.17.1.1 (commande pour NMAP)
Starting nmap V. 2.30BETA17 by [email protected] ( www.insecure.org/nmap/ )
Host (172.17.1.1) appears to be up ... good.
Initiating TCP connect() scan against (172.17.1.1)
Adding TCP port 139 (state Open).
Adding TCP port 135 (state Open).
The TCP connect scan took 44 seconds to scan 1517 ports.
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
WARNING: OS didn't match until the 3 try
Interesting ports on (172.17.1.1):
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
TCP Sequence Prediction: Class=random positive increments
Difficulty=10214 (Worthy challenge)
Sequence numbers: 82159285 821671B0 8216F2F9 8217B423 82187D56 82197619
Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes
Nmap run completed -- 1 IP address (1 host up) scanned in 69 seconds
(apres fliter.reg)
nmap -v -sU -O 172.17.1.1 -p 520 (commande pour NMAP)
Starting nmap V. 2.30BETA17 by [email protected] (
www.insecure.org/nmap/ )
Host (172.17.1.1) appears to be up ... good.
Initiating FIN,NULL, UDP, or Xmas stealth scan against (172.17.1.1)
The UDP or stealth FIN/NULL/XMAS scan took 0 seconds to scan 1 ports.
Interesting ports on (172.17.1.1):
Port State Service
520/udp open route
Too many fingerprints match this host for me to give an accurate OS guess
TCP/IP fingerprint:
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=N)
Nmap run completed -- 1 IP address (1 host up) scanned in 18 seconds
Voila... Dans cet exemple on voit tout de suite la difference !!!!
Maintenant a vous de juger si vous avez envie ou pas que n'importe qui puisse savoir
que vous vous servez de Ouindoze NT et donc peut etre de chercher a vous hacker en exploitant des
failles connues.
Le scan de ports en soi ne represente aucun danger, d'ailleurs la plupart des pc qui sont scannes ne
subbissent pas d'attaques de hackers. Il peut etre dangereux si les informations recoltees
grace a ce scan sont utilisees par la suite a des fins "nocives".
Le merite de NMAP est qu'il contribue a sensibliser les gens a leur propre securite.
afin que votre "agresseur" ne puisse trouver de quel OS vous vous servez... (si il ne connait pas l'OS,
il ne peut pas faire grand chose... ;-) )
Cet article vous explique comment faire un filtre pour Ouindoze NT de facon
simple et sure.
La clef de registre suivante doit etre modifiee , mais cela se fera automatiquement lors de l'utilisation.
Faites un copier-coller de cette clef et sauvegardez la en filter.reg...
----------------- Debut de flter.reg -----------------------------
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableSecurityFilters"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
"TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
"UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
"RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
"TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
"UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
"RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)
------------------Fin de filter.reg-----------------------------
Puis, (et non c'est pas encore fini) vous editez la base de registre et allez dans
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards]
Dans cette clef, vous trouvez NIC-NAME qui est a remplacer par le nom de votre carte reseau
Le script registry empeche les communications sur tous les ports a l'exception de :
38,30 == 80 == http
35,32,30 == 520 == rip
Et il autorise seulement les protocoles:
6 == 6 == tcp
31,37 == 17 == udp
En n'autorisant pas l'acces a n'importe quel port sauf ceux specifies ci-dessus, on rend impossible
la detection de notre Ouindoze NT a cause du manque d'information qu'aura "l'agresseur"...
Il se doute que sur l'ordinateur il y a un OS, mais il ne peut trouver lequel... ;-)
Voici un exemple concret d'un nmap sur un meme ordinateur, avant et apres application de filter.reg
(avant filter.reg)
nmap -v -sT -O 172.17.1.1 (commande pour NMAP)
Starting nmap V. 2.30BETA17 by [email protected] ( www.insecure.org/nmap/ )
Host (172.17.1.1) appears to be up ... good.
Initiating TCP connect() scan against (172.17.1.1)
Adding TCP port 139 (state Open).
Adding TCP port 135 (state Open).
The TCP connect scan took 44 seconds to scan 1517 ports.
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
For OSScan assuming that port 135 is open and port 422 is closed and neither are
firewalled
WARNING: OS didn't match until the 3 try
Interesting ports on (172.17.1.1):
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
TCP Sequence Prediction: Class=random positive increments
Difficulty=10214 (Worthy challenge)
Sequence numbers: 82159285 821671B0 8216F2F9 8217B423 82187D56 82197619
Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes
Nmap run completed -- 1 IP address (1 host up) scanned in 69 seconds
(apres fliter.reg)
nmap -v -sU -O 172.17.1.1 -p 520 (commande pour NMAP)
Starting nmap V. 2.30BETA17 by [email protected] (
www.insecure.org/nmap/ )
Host (172.17.1.1) appears to be up ... good.
Initiating FIN,NULL, UDP, or Xmas stealth scan against (172.17.1.1)
The UDP or stealth FIN/NULL/XMAS scan took 0 seconds to scan 1 ports.
Interesting ports on (172.17.1.1):
Port State Service
520/udp open route
Too many fingerprints match this host for me to give an accurate OS guess
TCP/IP fingerprint:
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=N)
Nmap run completed -- 1 IP address (1 host up) scanned in 18 seconds
Voila... Dans cet exemple on voit tout de suite la difference !!!!
Maintenant a vous de juger si vous avez envie ou pas que n'importe qui puisse savoir
que vous vous servez de Ouindoze NT et donc peut etre de chercher a vous hacker en exploitant des
failles connues.
Le scan de ports en soi ne represente aucun danger, d'ailleurs la plupart des pc qui sont scannes ne
subbissent pas d'attaques de hackers. Il peut etre dangereux si les informations recoltees
grace a ce scan sont utilisees par la suite a des fins "nocives".
Le merite de NMAP est qu'il contribue a sensibliser les gens a leur propre securite.
Commentaire