Comment fermer les ports Windows. Principes de base des ports réseau Comment fermer le port 135

Chaque jour, les propriétaires de PC sont confrontés à un grand nombre de programmes et de virus dangereux qui s'installent d'une manière ou d'une autre Disque dur et provoquer des fuites de données importantes, une panne de votre ordinateur, le vol d'informations importantes et d'autres situations désagréables.

Le plus souvent, les ordinateurs fonctionnant sur les systèmes d'exploitation Windows de n'importe quelle version, que ce soit 7, 8, 10 ou toute autre, sont infectés. La principale raison de cette statistique est les connexions entrantes vers un PC ou des « ports », qui sont point faible n'importe quel système en raison de sa disponibilité par défaut.

Le mot "port" est un terme qui implique le numéro de série des connexions entrantes qui sont dirigées vers votre PC à partir d'un logiciel externe. Il arrive souvent que ces ports soient exploités par des virus qui pénètrent facilement dans votre ordinateur en utilisant un réseau IP.

Viral Logiciel Une fois dans un ordinateur via de telles connexions entrantes, il infecte rapidement tous les fichiers importants, non seulement les fichiers utilisateur, mais également les fichiers système. Pour éviter cela, nous vous recommandons de fermer tous les ports standard qui peuvent devenir votre vulnérabilité lorsqu'ils sont attaqués par des pirates.

Quels sont les ports les plus vulnérables sur Windows 7-10 ?

De nombreuses études et sondages d'experts montrent que jusqu'à 80 % des attaques malveillantes et des piratages ont eu lieu en utilisant les quatre principaux ports utilisés pour l'échange rapide de fichiers entre différentes versions de Windows :

  • Port TCP 139 requis pour connexion à distance et contrôle par ordinateur ;
  • port TCP 135 pour l'exécution de la commande ;
  • port TCP 445 pour un transfert de fichiers rapide ;
  • le port UDP 137, via lequel recherche rapide sur un ordinateur.

Fermeture des ports 135-139 et 445 sous Windows

Nous vous invitons à vous familiariser avec les plus de manière simple fermeture des ports de Windows, qui ne nécessitent pas de connaissances et de compétences professionnelles supplémentaires.

Utilisation de la ligne de commande

Commander Chaîne Windows Est un shell logiciel qui est utilisé pour définir certaines fonctions et paramètres pour un logiciel qui n'a pas son propre shell graphique.

Pour exécuter la ligne de commande, vous devez :

  1. Appuyez sur la combinaison de touches Win + R en même temps
  2. Dans la ligne de commande qui apparaît, entrez CMD
  3. Cliquez sur le bouton "OK"

Une fenêtre de travail avec un fond noir apparaîtra, dans laquelle il est nécessaire d'entrer les commandes suivantes une par une. Après chaque ligne saisie, appuyez sur la touche Entrée pour confirmer l'action.
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 135 name = "Block1_TCP-135"(commande de fermer le port 135)
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 137 name = "Block1_TCP-137"(commande de fermer le port 137)
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 138 name = "Block1_TCP-138 ″(commande de fermer le port 138)
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 139 name = "Block_TCP-139 ″(commande de fermer le port 139)
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 445 name = "Block_TCP-445"(commande de fermer le port 445)
netsh advfirewall firewall add rule dir = en action = block protocol = tcp localport = 5000 name = "Block_TCP-5000"

Les six commandes que nous avons données sont nécessaires pour : fermer 4 ports TCP Windows vulnérables (ouverts par défaut), fermer le port UDP 138, et aussi fermer le port 5000, qui se charge de lister les services disponibles.

Fermeture des ports avec des programmes tiers

Si vous ne voulez pas perdre de temps à travailler avec ligne de commande, nous vous invitons à vous familiariser avec applications tierces... L'essence d'un tel logiciel est d'éditer le registre dans mode automatique avec une interface graphique, sans avoir besoin d'entrer une commande manuelle.

Selon nos utilisateurs, le plus programme populaireà ces fins est Windows Doors Cleaner. Il vous aidera à fermer facilement les ports sur un ordinateur exécutant Windows 7/8 / 8.1 / 10. Les anciennes versions des systèmes d'exploitation ne sont malheureusement pas prises en charge.

Comment travailler avec un programme qui ferme les ports

Pour utiliser Windows Doors Cleaner, vous devez :

1. Téléchargez le logiciel et installez-le
2. Exécutez le programme en cliquant avec le bouton droit sur le raccourci et en sélectionnant "exécuter en tant qu'administrateur"
3. Dans la fenêtre de travail qui apparaît, il y aura une liste de ports et de boutons "Fermer" ou "Désactiver" qui se ferment ports vulnérables Windows, ainsi que tout autre à volonté
4. Une fois les modifications nécessaires apportées, vous devez redémarrer le système

Un autre avantage du programme est le fait qu'il peut être utilisé non seulement pour fermer des ports, mais aussi pour les ouvrir.

Tirer des conclusions

La fermeture des ports réseau vulnérables sous Windows n'est pas une panacée à tous les maux. Il est important de se rappeler que la sécurité du réseau ne peut être obtenue que par des actions globales visant à éliminer toutes les vulnérabilités de votre PC.

Pour la sécurité Utilisateur Windows doit nécessairement établir mises à jour critiques de Microsoft, disposez d'un logiciel antivirus sous licence et d'un pare-feu activé, n'utilisez que des logiciels sécurisés et lisez régulièrement nos articles dans lesquels nous parlons de tous les moyens existants pour garantir l'anonymat et la sécurité de vos données.

Vous en savez plus moyens pratiques fermer les ports réseau ? Partagez vos connaissances dans les commentaires et n'oubliez pas de republier l'article sur votre page. Partager informations utiles avec vos amis et ne laissez aucune chance aux pirates informatiques de nuire à vos proches !

Hier, des inconnus ont organisé une autre attaque massive à l'aide d'un virus ransomware. Les experts ont déclaré que des dizaines ont été touchés grandes entreprises en Ukraine et en Russie. Le virus ransomware s'appelle Petya.A (le virus est probablement nommé d'après Petro Porochenko). Ils écrivent que si vous créez un fichier perfc (sans extension) et le placez dans C:\Windows\, le virus vous contournera. Si votre ordinateur a redémarré et a commencé à "vérifier le disque", vous devez l'éteindre immédiatement. Le démarrage à partir d'un LiveCD ou d'une clé USB vous donnera accès aux fichiers. Un autre moyen de protection consiste à fermer les ports 1024-1035, 135 et 445. Nous allons maintenant voir comment procéder en utilisant l'exemple de Windows 10.

Étape 1
Aller à Fenêtre pare-feu (il vaut mieux choisir le mode sécurité renforcée), sélectionnez l'onglet « Options supplémentaires».
Nous sélectionnons l'onglet " Règles de trafic entrant", puis l'action" Créer une règle"(Dans la colonne de droite).

Étape 2
Sélectionnez le type de règle - " pour le port". Dans la fenêtre suivante, sélectionnez l'élément " Protocole TCP", Indiquez les ports que vous souhaitez fermer. Dans notre cas, c'est " 135, 445, 1024-1035 "(Sans citations).

Étape 3
Nous sélectionnons l'article " Bloquer la connexion", Dans la fenêtre suivante, marquez tous les profils : Domaine, Privé, Public.

Étape 4
Il reste à trouver un nom pour la règle (afin qu'elle soit facile à trouver à l'avenir). Vous pouvez spécifier une description pour la règle.

Si des programmes cessent de fonctionner ou commencent à mal fonctionner, vous avez peut-être bloqué le port qu'ils utilisent. Vous devrez ajouter une exception de pare-feu pour eux.

135 ports TCP utilisé par les services distants (DHCP, DNS, WINS, etc.) et dans les applications client-serveur Microsoft (par exemple Exchange).

445 ports TCP utilisé dans Microsoft Windows 2000 et versions ultérieures pour un accès TCP / IP direct sans utiliser NetBIOS (par exemple, dans Active Directory).

Publication

La vulnérabilité était terrifiante, c'est vrai
l'exploit terminé n'était pas disponible pour
le gros des gens... C'est probablement pourquoi
personne n'a eu peur...

Un groupe d'experts polonais dans le domaine
Sécurité la technologie informatique"Durer
Stage of Delirium " a informé le public de la découverte
les vulnérabilités, la gestion des objets DCOM dans
le contexte du protocole RPC. C'était quelque chose
incroyable parce que ce protocole
utilisé par presque tous
versions existantes de Windows pour le moment.
Les vulnérabilités étaient Windows NT, Windows XP, Windows 2000
et même Windows Server 2003 était sous la menace d'une arme. De cela
était plus que suffisant pour mettre la main sur
ordinateurs de la plupart des utilisateurs
l'Internet. De plus, de nombreux serveurs ne
paquets entrants bloqués sur le port 135,
c'est lui qui a été utilisé pour l'attaque. Quoi
en ont fait des victimes potentielles.

Mais quelques heures plus tard, rapporte Todd Sabin,
que tous les services RPC sont vulnérables. ce
signifie que définir le pare-feu sur
bloquer le port 135 ne suffit pas
un moyen de protection. Les dangers sont exposés
ordinateurs avec open 135 (UDP / TCP), 139, 445 et 593
ports. Couverture médiatique erreur donnée, comment
menace potentielle pour la sécurité
Utilisateurs de Windows. Il allait au monde
catastrophe. Mais puisque le public
aucun exploit n'a été publié, tout le monde a continué
vis ton ancienne vie sans y penser
les conséquences de son apparition parmi les masses.

Mais tout le monde n'a pas réagi si passivement à
l'émergence de cette vulnérabilité. Les pirates
petit à petit j'ai commencé à écrire en privé
les exploits et les script kids n'arrêtaient pas de l'attendre
apparence. Le résultat n'a pas tardé
attendre. Dans quelques jours apparaissent
quelques développements dans ce domaine,
les premiers exploits apparaissent. néanmoins
la plupart d'entre eux ne font que provoquer un échec
sur le système distant. Que peut-on expliquer
puisque les détails techniques sur
la vulnérabilité trouvée n'était pas connue. Bien que
certaines versions du système d'exploitation ont déjà du succès
ont été exploités.

Ce jour est devenu un tournant dans l'histoire
exploiter cette vulnérabilité. finalement
apparaît description technique Problèmes.
Après quoi un grand nombre de
exploite, sous différentes versions Les fenêtres.
Certains d'entre eux ont même un graphique
interface et parfois fonction de numérisation
une plage spécifique d'adresses IP.

C'est à ce moment que le massif
attaque de pirate informatique sur les utilisateurs ordinaires.
De plus, le ver Internet MS Blast est apparu,
qui s'est facilement infiltré dans les ordinateurs
connecté à Internet et même dans
réseaux d'entreprise des plus grandes entreprises
le monde. Tout le monde était en danger...

Attaquer une machine distante n'est pas
travail spécial. Alors les enfants du script ont pris
leur propre entreprise. Vol de cartes de crédit et privé
exploits a augmenté plusieurs fois. ET
de nombreux segments savoureux du réseau sidérurgique
goût. C'est ce qu'il a fait
un pirate informatique. Il voulait reprendre le serveur depuis longtemps,
mais une vulnérabilité décente en dessous avant
n'a pas eu. Et n'utilise pas ça
il ne pouvait tout simplement pas être un cadeau du destin.

Une pièce en trois actes

La première chose qu'il avait à faire avant
attaque, c'est pour vérifier laquelle
le système d'exploitation est installé sur
serveur. Pour ce faire, il a utilisé
utilitaire nmap. Le hacker a déjà écrit plus d'une fois sur elle
opportunités, mais je vais me répéter et dire que
il est utilisé pour déterminer la version du système d'exploitation
au ordinateur distant... Heureusement, elle
existe à la fois pour Windows et * nix. UNE
car un hacker pour son travail
utilisait Windows, puis son choix s'est porté sur
version graphique de nmap.

Quelques minutes de fonctionnement du scanner et
le résultat est positif. Le port 135 s'est avéré être
pare-feu ouvert et non protégé. ce
était le début de la fin, le début du tant attendu
attaques. À ce stade, il a déjà été écrit
de nombreux exploits, dont "RCP Exploit GUI #2".
Le sien poinçonnerétait-ce qu'il
avais interface graphique et contenu dans
fonctions d'analyse intégrées
plage IP et serveur FTP.

Après avoir exécuté l'exploit, il a indiqué l'adresse
ordinateur cible. Mais dans la liste des systèmes d'exploitation pour
aucune machine Windows NT n'a été spécifiée. Mais après tout
c'est elle qui s'est installée sur le serveur. ce
un problème sérieux, car pour
pour exécuter un exploit, vous devez le savoir
l'adresse exacte en mémoire à transférer plus tard
contrôle dessus. Après avoir un peu creusé
fichiers téléchargés avec l'exploiter
trouvé une petite liste d'adresses pour un large
une sorte de ligne Windows. Parmi eux
Windows NT était également présent avec préinstallé
Service Pack 4. C'est sa valeur qu'il a indiquée dans
comme adresse de retour en crachant sur le manuel
choix du système d'exploitation. Le numéro 0xE527F377 est devenu son secret
un laissez-passer à la vie du serveur. Et il a lancé une attaque.

Le système a abandonné sans
incidents, le pirate a donc obtenu une coque inversée
avec un serveur distant. Maintenant qu'il pouvait
pour faire quoi que ce soit dessus, il est venu
temps d'installer Trojan. Parmi les grands
le nombre de possibles, a été choisi par DonaldDick. Pour
il devait exécuter son plan
obtenir un hébergement sur un serveur gratuit avec
Prise en charge FTP. BY.RU était tout à fait approprié, à savoir
là, il a téléchargé le serveur pour le cheval de Troie. Maintenant,
lorsque DonaldDick est devenu disponible via FTP, il est revenu
a pris la victime, ou plutôt a commencé à télécharger
le serveur du cheval de Troie. C'était bon
plan réfléchi parce que la vulnérabilité
pourrait être patché, mais c'est un cheval de Troie en Afrique
troyen. En tapant ftp dans la console, il a commencé
téléverser un fichier. Tout le processus l'a pris,
en écrivant seulement cinq lignes :

ouvrir by.ru
nom_serveur.by.ru
le mot de passe
obtenir fooware.exe
au revoir

Où fooware.exe est le serveur renommé pour
Donald Dick. Une fois le fichier téléchargé, il n'a
il suffit de le lancer. Pour ce faire, il a simplement
a écrit le nom de fichier (fooware.exe) et heureusement
appuyé sur Entrée ... Ensuite, le pirate a obtenu un
contrôle sur le serveur.

Mais tu sais comment ça arrive toujours quand
trouver quelque chose d'intéressant continuer avec
joue-le. Alors notre Hacker voulait
obtenir plus d'un système. Après avoir regardé,
que l'exploit permet un énorme
scannant, il se mit au travail, ou plutôt
KaHt a repris le travail. Son usage
s'est avéré pas difficile. Ainsi, par exemple, pour
sur la numérisation d'un réseau avec IP 192.168.0. * (classe C), il
vous deviez taper "KaHt.exe 129.168.0.1
192.168.0.254 ". Ce qu'il a fait en fait,
puis vérifié périodiquement
résultats. Ainsi, il a eu accès
à encore plus d'utilisateurs, de
dont j'ai réussi plus tard à obtenir des mots de passe pour
différents services, courrier et bien plus encore
informations utiles. Sans parler du fait
qu'il a commencé à utiliser beaucoup d'entre eux comme
mandataires anonymes.

Nourriture pour la pensée

Bien que Microsoft ait publié un correctif il y a longtemps,
les utilisateurs et les administrateurs ne sont pas pressés
installer des correctifs, en espérant que leur réseau ne soit pas
sera intéressant pour tout le monde. Mais de tels pirates
un grand nombre et l'installation de correctifs est
une nécessité plutôt qu'une opportunité.
Vous pouvez également bloquer tous les paquets entrants
sur les ports 135, 139, 445 et 593.

Naturellement, le pirate a fait tout cela à travers
proxy anonyme, et par conséquent nettoyé
il y a des traces de présence dans le système. Mais toi
tu devrais réfléchir avant de répéter
ses exploits. Après tout, de telles actions sont considérées
illégal et peut prendre fin pendant
tu es assez déplorable...

Du sang, le fait que votre pare-feu indique que svchost.exe écoute sur ce port ne signifie pas qu'il est ouvert pour une connexion depuis l'extérieur.

Vos règles semblent être énoncées et devraient fonctionner.

As-tu essayé de vérifier avec des scanners de ports ? - TsOB (Centre de Sécurité) (clause 2.7)

Et n'oubliez pas que vous devez toujours vérifier IPv6, car il est activé dans votre système, mais les scanners ne vérifient généralement que IPv4 (je parle de services centralisés).

Si vous n'avez pas du tout besoin de ce protocole, vous pouvez le désactiver :

Pour désactiver les composants IP version 6 dans Windows Vista, suivez les étapes ci-dessous.

1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis sélectionnez regedit.exe dans la liste Programmes.

2. Dans la boîte de dialogue Contrôle de compte d'utilisateur, cliquez sur Continuer.

3. Recherchez et sélectionnez la sous-clé de registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramètres\

4. Double-cliquez sur DisabledComponents pour modifier le paramètre DisabledComponents.

Noter. Si le paramètre DisabledComponents n'est pas disponible, vous devez le créer. Pour faire ça, suit les étapes suivantes.

1. Dans le menu Edition, pointez sur Nouveau, puis sur Valeur DWORD (32 bits).

2. Tapez DisabledComponents et appuyez sur Entrée.

3. Double-cliquez sur Composants désactivés.

5. Entrez l'une des valeurs suivantes pour configurer IP version 6, puis cliquez sur OK.

1. Entrez 0 pour activer tous les composants IP version 6.

Noter. La valeur "0" est utilisée par défaut.

2. Entrez 0xffffffff pour désactiver tous les composants IP version 6 à l'exception de l'interface de bouclage. Avec cette valeur, Windows Vista utilisera également IP version 4 dans les stratégies de préfixe au lieu d'IPv6.

3. Entrez 0x20 pour utiliser le préfixe IP version 4 au lieu d'IP version 6 dans les stratégies.

4. Entrez 0x10 pour désactiver les interfaces IP natives version 6.

5. Entrez 0x01 pour désactiver toutes les interfaces de tunnel IP version 6.

6. Entrez 0x11 pour désactiver toutes les interfaces IP version 6 à l'exception de l'interface de bouclage.

Remarques (modifier)

* L'utilisation d'une valeur autre que 0x0 ou 0x20 peut entraîner l'échec du service Routage et accès distant.

* Vous devez redémarrer votre ordinateur pour que les modifications prennent effet.

Les informations contenues dans cet article s'appliquent aux produits suivants.

* Windows Vista Entreprise

* Édition Windows Vista Entreprise 64 bits

* Windows Vista Édition Familiale Basique 64 bits

* Windows Vista Édition Familiale Premium 64 bits

* Windows Vista Édition Intégrale 64 bits

* Windows Vista Professionnel

* Windows Vista Professionnel édition 64 bits

* Windows Vista Édition Familiale Basique

* Windows Vista Édition Familiale Premium

* Windows Vista Starter

* Windows Vista Ultime

* Windows 7 Entreprise

* Windows 7 Édition Familiale Basique

* Windows 7 Édition Familiale Premium

* Windows 7 Professionnel

* Windows 7 Ultimate

* Centre de données Windows Server 2008 R2

* Windows Server 2008 R2 Entreprise

* Norme Windows Server 2008 R2

* Centre de données Windows Server 2008

* Windows Server 2008 Entreprise

* Norme Windows Server 2008

Source - http://support.microsoft.com/kb/929852

Après déconnexion et redémarrage, vous disposez dans la liste obtenue par la commande ipconfig / tous un tas de lignes inutiles disparaîtront et seules les interfaces bien connues resteront.

L'inclusion inversée est effectuée en supprimant simplement la clé créée du registre ou en remplaçant la valeur par "0" suivie d'un redémarrage.

Les ports réseau peuvent donner information vitale sur les applications qui accèdent aux ordinateurs sur un réseau. En connaissant les applications qui utilisent le réseau et les ports réseau correspondants, vous pouvez créer des règles de pare-feu précises et configurer les ordinateurs hôtes pour n'autoriser que le trafic utile. En créant un profil réseau et en déployant des outils pour reconnaître le trafic réseau, vous pouvez détecter plus efficacement les intrus, parfois simplement en analysant le trafic réseau qu'ils génèrent. Nous avons commencé à considérer ce sujet dans la première partie de l'article publié dans le numéro précédent de la revue. Il couvrait les bases des ports TCP/IP en tant que fondement de la sécurité du réseau. Dans la deuxième partie, je décrirai quelques méthodes pour les réseaux et les ordinateurs hôtes qui peuvent être utilisées pour déterminer quelles applications écoutent sur le réseau. Le reste de l'article expliquera comment estimer le trafic transitant par le réseau.

Blocage des applications réseau

La surface d'attaque du réseau est un terme accepté pour décrire la vulnérabilité d'un réseau. De nombreuses attaques réseau passent par des applications vulnérables et la surface d'attaque peut être considérablement réduite en réduisant le nombre d'applications actives sur le réseau. En d'autres termes, désactivez les services inutilisés, installez un pare-feu sur le système dédié pour valider le trafic et créez une liste de contrôle d'accès (ACL) complète pour le pare-feu au périmètre du réseau.

Chaque port réseau ouvert représente une application à l'écoute sur le réseau. La surface d'attaque de chaque serveur connecté au réseau peut être atténuée en désactivant tous les services et applications réseau en option. Version Windows Server 2003 est supérieur aux versions précédentes système opérateur, puisqu'il s'active moins services réseau... Cependant, un audit est encore nécessaire pour redécouvrir applications installées et des changements de configuration qui ouvrent des ports réseau inutiles.

Chaque port ouvert est une faille potentielle pour les attaquants qui exploitent des espaces dans l'application hôte, ou accèdent subrepticement à l'application avec le nom et le mot de passe d'un autre utilisateur (ou utilisent une autre méthode d'authentification légitime). Dans tous les cas, une première étape importante pour sécuriser votre réseau consiste simplement à désactiver les applications réseau inutilisées.

Analyse des ports

L'analyse des ports est le processus de détection des applications d'écoute en interrogeant activement les ports réseau d'un ordinateur ou d'un autre périphérique réseau. Capacité de lire les résultats de l'analyse et de les comparer rapports de réseau avec les résultats de l'interrogation du port hôte, fournit une image claire du trafic passant par le réseau. La connaissance de la topologie du réseau est essentielle pour préparer un plan stratégique d'analyse de zones spécifiques. Par exemple, en analysant une plage d'adresses IP externes, vous pouvez collecter des informations précieuses sur un intrus qui s'est infiltré sur Internet. Par conséquent, vous devez analyser votre réseau plus souvent et fermer tous les ports réseau facultatifs.

Une analyse de port de pare-feu externe peut détecter tous les services qui répondent (tels que Web ou E-mail) hébergé sur des serveurs internes. Ces serveurs doivent également être protégés. Configurez un scanner de port familier (par exemple, Network Mapper - Nmap) pour vérifier le bon groupe Ports UDP ou TCP. En règle générale, les analyses de port TCP sont plus fiables que les analyses UDP en raison de la rétroaction plus approfondie des protocoles TCP orientés connexion. Nmap est disponible dans les versions Windows et Unix. Il est facile de démarrer la procédure de numérisation de base, bien que le programme ait des fonctions beaucoup plus complexes. Pour trouver les ports ouverts sur l'ordinateur de test, j'ai exécuté la commande

Nmap 192.168.0.161

La figure 1 montre les résultats d'une session d'analyse - dans ce cas ordinateur Windows 2003 en configuration standard... Les données collectées à partir de l'analyse des ports montrent qu'il existe six ports TCP ouverts.

Figure 1 : Une session d'analyse Nmap de base
  • Le port 135 est utilisé par la fonctionnalité de mappage de point de terminaison RPC de nombreuses technologies Windows - par exemple, les applications COM/DCOM, DFS, les journaux d'événements, les mécanismes de réplication de fichiers, la mise en file d'attente des messages et Microsoft Outlook... Ce port doit être bloqué dans le pare-feu de périmètre, mais il est difficile de le fermer tout en conservant les fonctionnalités de Windows.
  • Le port 139 est utilisé par le service de session NetBIOS, qui appelle le navigateur Rechercher d'autres ordinateurs, le service de partage de fichiers, l'ouverture de session réseau et le service serveur. Il est difficile à fermer, tout comme le port 135.
  • Le port 445 est utilisé par Windows pour le partage de fichiers. Pour fermer ce port, vous devez bloquer le partage de fichiers et d'imprimantes pour les réseaux Microsoft. La fermeture de ce port n'empêche pas l'ordinateur de se connecter à d'autres ressources distantes ; cependant, d'autres ordinateurs ne pourront pas se connecter à ce système.
  • Les ports 1025 et 1026 sont ouverts dynamiquement et utilisés par d'autres processus systémiques Windows, notamment avec divers services.
  • Le port 3389 est utilisé par Remote Desktop, qui n'est pas activé par défaut, mais est actif sur mon ordinateur de test. Pour fermer le port, accédez à l'onglet Distant dans la boîte de dialogue Propriétés système et décochez la case Autoriser les utilisateurs à se connecter à distance à cet ordinateur.

Assurez-vous de rechercher les ports UDP ouverts et de fermer les ports inutiles. Le programme d'analyse affiche les ports ouverts sur l'ordinateur qui sont visibles depuis le réseau. Des résultats similaires peuvent être obtenus en utilisant les outils situés sur le système hôte.

Analyse de l'hôte

Outre l'utilisation d'un scanner de ports réseau, les ports ouverts sur le système hôte peuvent être détectés à l'aide de la commande suivante (exécutée sur le système hôte) :

Netstat -an

Cette commande fonctionne à la fois sous Windows et UNIX. Netstat répertorie les ports actifs sur l'ordinateur. Sous Windows 2003 Windows XP, ajoutez le paramètre -o pour obtenir l'identificateur de programme (PID) correspondant. La figure 2 montre la sortie Netstat pour le même ordinateur qui a été précédemment analysé pour les ports. Veuillez noter que plusieurs ports qui étaient auparavant actifs sont fermés.

Audit du journal du pare-feu

Un de plus moyen utile détecter les applications réseau qui envoient ou reçoivent des données sur le réseau - collectez et analysez plus de données dans le journal du pare-feu. Les entrées de refus répertoriant les informations de l'interface externe du pare-feu sont peu susceptibles d'être utiles en raison du "trafic bruyant" (par exemple, vers, scanners, tests de ping) encombrant Internet. Mais si vous enregistrez les paquets autorisés à partir de l'interface interne, vous pouvez voir tout le trafic réseau entrant et sortant.

Pour voir les données de trafic brutes sur le réseau, vous pouvez installer un analyseur de réseau qui se connecte au réseau et enregistre tous les paquets réseau détectés. L'analyseur de réseau gratuit le plus utilisé est Tcpdump pour UNIX (la version Windows s'appelle Windump), qui est facile à installer sur votre ordinateur. Après avoir installé le programme, vous devez le configurer pour qu'il fonctionne dans la réception de tous paquets réseau pour enregistrer tout le trafic, puis connectez-vous à un moniteur de port sur le commutateur réseau et surveillez tout le trafic passant par le réseau. Les paramètres du moniteur de port seront discutés ci-dessous. Tcpdump est un programme extrêmement flexible qui vous permet de visualiser le trafic réseau à l'aide de filtres spécialisés et d'afficher uniquement les informations sur les adresses IP et les ports, ou sur tous les paquets. Difficile de voir les vidages du réseau dans grands réseaux sans l'aide de filtres appropriés, mais il faut faire attention à ne pas perdre de données importantes.

Combinaison de composants

Jusqu'à présent, nous avons examiné les différentes méthodes et outils pouvant être utilisés pour détecter les applications utilisant le réseau. Il est temps de les assembler et de vous montrer comment identifier les ports réseau ouverts. C'est incroyable à quel point les ordinateurs du réseau sont bavards ! Tout d'abord, il est recommandé de vous familiariser avec document Microsoft"Aperçu du service et exigences de port réseau pour le système Windows Server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), qui répertorie les protocoles (TCP et UDP) et les numéros de port utilisés par les applications et la plupart des Services Windows Serveur. Ce document décrit ces services et les ports réseau associés qu'ils utilisent. Il est recommandé de télécharger et d'imprimer ceci utile pour les administrateurs Réseaux Windows guide de référence.

Configuration de l'analyseur de réseau

Comme indiqué précédemment, une façon de déterminer les ports utilisés par les applications consiste à utiliser un analyseur de réseau pour surveiller le trafic entre les ordinateurs. Pour voir tout le trafic, vous devez connecter un analyseur de réseau à un concentrateur ou à un moniteur de port sur le commutateur. Chaque port d'un concentrateur voit tout le trafic de chaque ordinateur connecté à ce concentrateur, mais les concentrateurs sont une technologie obsolète et la plupart des entreprises les remplacent par des commutateurs offrant de bonnes performances, mais peu pratiques pour l'analyse : chaque port d'un commutateur n'accepte que trafic dirigé vers un ordinateur connecté à ce port. Pour analyser l'ensemble du réseau, vous devez surveiller le trafic dirigé vers chaque port du commutateur.

Cela nécessite la configuration d'un moniteur de port (différents fournisseurs l'appellent un port span ou un port en miroir) sur le commutateur. L'installation d'un moniteur de port sur un commutateur Cisco Catalyst de Cisco Systems est simple. Vous devez vous inscrire sur le commutateur et activer le mode Activer, puis accéder au mode de configuration du terminal et saisir le numéro d'interface du port du commutateur vers lequel tout le trafic surveillé doit être envoyé. Enfin, vous devez spécifier tous les ports surveillés. Par exemple, les commandes suivantes surveillent trois ports Fast Ethernet et transmettent une copie du trafic au port 24.

Interface FastEthernet0 / moniteur 24 ports FastEthernet0 / moniteur 1 port FastEthernet0 / moniteur 2 ports FastEthernet0 / 3 extrémités

V cet exemple Un analyseur de réseau connecté au port 24 affichera tout le trafic sortant et entrant des ordinateurs connectés aux trois premiers ports du commutateur. Pour visualiser la configuration créée, entrez la commande

Écrire la mémoire

Analyse initiale

Regardons un exemple d'analyse de données transitant par un réseau. Si vous utilisez un ordinateur Linux pour l'analyse du réseau, vous pouvez obtenir une compréhension globale du type et de la fréquence des paquets sur le réseau à l'aide d'un logiciel tel que IPTraf en mode statistique. Les détails du trafic peuvent être trouvés à l'aide du programme Tcpdump.