Salut,  
 
Depuis quelque temps j'ai un port dynamique  ouvert. Au dessus des 1024 usuels. Ce port ne peut etre utilisé que part svchost.  J'ai un logiciel qui me permet de tracer n'importe quel port en utilisation chez moi entre le port de départ, le port d'arrivée et qui l'utilise/remote.  
J'ai un firewall donné pour très valab le, Sygate et un non moins escellent anti virus Kaspersky.  
Si Sygate ne ferme pas le port c'est que quelque chose le garde ouvert. Right ? Mais quoi ?  Comme il n'est pas en activité je ne peux pas le tracer. Je connais les noms des 4 trojans qui peuvent l'utiliser, je ne les ai pas..les autres non plus d'ailleurs.  Comme c'est un port dynamique il peut etre utilisé par n'importe quel service dcom.  
Je n'ai pas de virus. J'ai fait des checks complets c hez moi et en ligne, puis la totale chez Sygate. Pas de trojans. Pas de virus. Pas d'erreurs, pas de logs défectueux.  
Bon, j'ai posé la question sur le forum international Sygate en anglais mais pourquoi ne pas poser sur celui-ci....en français.
Qu'est ce qui peut garder un port ouvert...lorsque le systeme est sain ?
Et d'autre part comment fermer un port qui n'est pas utilisé ? Pas utilisé = pas listé dans les applications et pas non plus dans mon outil perfectionné de traçage. Tout ce que je sais c'est que c'est A l'usage exclusif d'un des svchost éventuellemnt.  
Pas si facile comme question mais j'aurai peut etre une réponse avant Sygate ! C'est vrai qu'on est dimanche. Et j'écris mieux en français !  
Merci.
 
Something new ! J'ai eu l'idée "lumineuse" de réactiver le firewall basic de SP1 que j'avais désactivé a l'install de sygate. (je n'utilise pas encore le sp2...j'attend un peu) et il a fermé le port. Alors la comme aurait dit Chirac, ça m'en bouge une sans remuer l'autre. Epoustouflant.
 
Comment Sygate qui est un firewall perfectionné peut il laisser un port ouvert alors que celui de Xp basic le ferme. J'en reste baba.
Une petite idée de forumers baleses en sécurité ?
Thanks again.  

 
Bah change de firewall !

J'ai fini par trouver.  C'est Sygate qui garde un port pseudo ouvert en cochant par defaut "run as a server". Il parait que c'est un piege pour les scans en ligne afin d'alimenter la black list. On appellerait ça un honeypot.  
Il suffit de cocher run as client a la place. Mais il faut le savoir. Meme des pros sur le site international ne sont pas d'accord avec ça car ça trompe les utilisateurs. C'est donc Sygate qui a voulu que serveur soit activé a l'install et pas client. Et c'est bien cache dans les parametres avancés.  
Cette version allégée étant a l'usage des utilisateurs lambda. Les responsables securité et reseaux devant utiliser la version pro.
Eh voila. En fouillant on finit par trouver mais les non anglophones ne sont pas gatés du tout pour ce genre d'infos pointues.  
Salut à toi.

Merci pour information. C'est toujours utile !

Si jamais :
 

 
te donne les infos que tu cherchais...

Merci de l'info mais j'ai un soft qui me donne l'état des ports ouverts et en attente en entree et sorties avec ce qu'il y a à chaque bout, les protocoles, l'ordre des priorités et quel service peut l'utiliser.  
C'est avec le scan en ligne et ce soft que je me suis aperçu qu'il y avait un port ouvert mais en attente et connecté a rien. J'ai fouiné un bout de temps et voila.
Merci

bigbernie, qu'est ce que tu utilises pour scanner les ports ?

L'un de ces 2 sites
 
http://scan.sygatetech.com/
https://grc.com/x/ne.dll?bh0bkyd2

un Honeypot directement sur un Firewall... hum je suis dubitatif. Savoir que ce port est ouvert sur une machine alors  que la plupart des autres ports usuels sont fermés m'aménerait facilement à penser que ce firewall est un Sygate ce qui pourrait alimenter une recherche d'info avant une attaque. bizarre

Merci pour les infos bigbernie
 
Je suis assez d'accord avec nitchbool :  
Niveau sécu je trouve dangereux de laisser un tel port ouvert (cible pour de nouvelles attaques ...) j'ai pas 200 personnes dispos h24 pour sniffer les activites sur ce port car si beaucoup de hacker en herbe se découragent sur ce pseudo serveur, d'autres plus experimentés pourraient profiter de cette "faille" et leur présence pourrait etre noyée dans la masse.
 
En dautres termes, j'aime pas trop ce genre de backdoor sur un firewall !

Il existe une étude qui montre que les hackers dans leur recherche de ports ouverts, se concentre sur maxi trois ports (je ne sais plus lesquels mais ce sont des ports usuels). Ce honeypot sur le sygate est vraiment bizarre. Des trucs comme ça vous donnerait presque envie de désinstaller. (je connais pas sygate mais je l'aime déjà pas).

Voici la fin des conversations que j'ai eues avec un Super Moderateur de Sygate il y a 8 mois. Il n'est pas d'accord avec le fait que les developpeurs ont mis par defaut "act as a server". En effet, si "act as a client" ferme bien tous les ports, la premiere laisse le 1025 network blackjack ouvert volontairement.
 
 
 
 09-06-2004 07:19 AM    
Mats is offline Find posts by Mats| Add Mats to your buddy list  Edit | Quote
Mats
Super Moderator & Artist formerly known as SpaceCowboy
 
Registered: Sep 2002
Location: Jail
Posts: 3412
 
 
    quote:Originally posted by bigbernie
    Done !
    I did'nt understood why "act as a server" kept this port Open !
    I don't understand any way right now.
 
 
when applications are able to "act as a server" it means they are able to accept "incoming" connections, which is why the scan showed that port as being open.
 
    quote:This mark was On by default. Why not Off by default ?  
 
 
that is the way the developers of Sygate want things. i do not agree with that. i think it should be off by default too.
 
__________________
KING's Sygate Help Site
Whitehat Security
 
 

Du coup on est tous d'accord. Désinstallons Sygate