forum Abc de la sécurité informatique

TOTO · 26-01-2006 21:25:38

Ma config réseau est la suivant : WAN --- Freebox --- LAN --- RP614 --- LAN --- (PC1 + PC2) tout en filaire.
Le journal de mon routeur Netgear RP614 est inondé de notifications de type :
8| <SPI: non-existing connection> <TCP>Source=82.239.175.17, Destination=xxx.xxx.xxx.xxx:135
L'@ destination est bien mon @ donnée par DHCP de Freebox
J'ai posé la question à Netgear mais je n'ai pas eu de réponse.
Y aurait il un lien indirect avec la synchro time (permettant l'horodatage des notifications du routeur) ?
Merci d'éclaircir ma lanterne.

Jondalar

habana · 31-01-2006 23:12:18

L'ip source essaie avec acharnement d'envoyer des requêtes DCOM RPC au routeur sans qu'une connexion ait été acceptée auparavant ?
C'est toujours sur la même IP source ?

TOTO · 01-02-2006 00:01:53

Non, l'@ source n'est pas toujours la même.
Extrait d'un fichier log RP614 (l'@ destination est camouflée pour des raisons de sécurité, j'ai d'autres fichiers log où je n'ai que des messages SPI) :
>>>
64| [ALLOW:www.safer-networking.org] Source:192.168.0.2
65| [ALLOW:www.see-cure.de] Source:192.168.0.2
66| <SPI: non-existing connection> <TCP>Source=82.239.21.108, Destination=xx.xx.xx.xx:445
67| [ALLOW:security.kolla.de] Source:192.168.0.2
68| <SPI: non-existing connection> <TCP>Source=82.239.173.216, Destination=xx.xx.xx.xx:445
69| <SPI: non-existing connection> <TCP>Source=82.239.173.216, Destination=xx.xx.xx.xx:445
70| <SPI: non-existing connection> <TCP>Source=82.239.223.96, Destination=xx.xx.xx.xx:445
71| <SPI: non-existing connection> <TCP>Source=82.239.223.96, Destination=xx.xx.xx.xx:445
72| <SPI: non-existing connection> <TCP>Source=82.239.147.223, Destination=xx.xx.xx.xx:135
73| <SPI: non-existing connection> <TCP>Source=82.239.223.96, Destination=xx.xx.xx.xx:135
74| <SPI: non-existing connection> <TCP>Source=82.239.174.234, Destination=xx.xx.xx.xx:445
75| <SPI: non-existing connection> <TCP>Source=82.239.223.96, Destination=xx.xx.xx.xx:135
76| <SPI: non-existing connection> <TCP>Source=82.239.174.234, Destination=xx.xx.xx.xx:445
77| <SPI: non-existing connection> <TCP>Source=82.239.222.182, Destination=xx.xx.xx.xx:445
78| <SPI: non-existing connection> <TCP>Source=82.239.222.182, Destination=xx.xx.xx.xx:445
79| [ALLOW:www.safer-networking.org] Source:192.168.0.2
80| <SPI: non-existing connection> <TCP>Source=82.239.152.164, Destination=xx.xx.xx.xx:135
81| <SPI: non-existing connection> <TCP>Source=82.239.152.164, Destination=xx.xx.xx.xx:135
82| [ALLOW:sm7.sitemeter.com] Source:192.168.0.2
83| <SPI: non-existing connection> <TCP>Source=216.12.77.17, Destination=xx.xx.xx.xx:445
84| [ALLOW:pagead2.googlesyndication.com] Source:192.168.0.2
85| [ALLOW:abcdelasecurite.free.fr] Source:192.168.0.2
86| <SPI: non-existing connection> <TCP>Source=216.12.77.17, Destination=xx.xx.xx.xx:445
87| <SPI: non-existing connection> <TCP>Source=82.239.230.13, Destination=xx.xx.xx.xx:135
88| <SPI: non-existing connection> <TCP>Source=216.12.77.17, Destination=xx.xx.xx.xx:445
89| <SPI: non-existing connection> <TCP>Source=82.239.230.13, Destination=xx.xx.xx.xx:135
90| <SPI: non-existing connection> <TCP>Source=82.239.230.13, Destination=xx.xx.xx.xx:139
91| <SPI: non-existing connection> <TCP>Source=82.239.230.13, Destination=xx.xx.xx.xx:139
92| <SPI: non-existing connection> <TCP>Source=82.239.222.182, Destination=xx.xx.xx.xx:445
93| <SPI: non-existing connection> <TCP>Source=82.239.122.149, Destination=xx.xx.xx.xx:445
94| <SPI: non-existing connection> <TCP>Source=82.239.222.182, Destination=xx.xx.xx.xx:445
95| <SPI: non-existing connection> <TCP>Source=82.239.122.149, Destination=xx.xx.xx.xx:445
<<<
Par exemple un tracert sur une @ source prise au hasard rend :
>>>
Détermination de l'itinéraire vers host253-65.pool80182.interbusiness.it [80.182.65.253]
avec un maximum de 30 sauts :
1 <10 ms <10 ms <10 ms 192.168.0.1
2 28 ms 27 ms 28 ms 82.239.249.254
3 28 ms * * stmaurice-6k-1-a5.routers.proxad.net [213.228.14.254]
4 * * * D‚lai d'attente de la demande d‚pass‚.
5 28 ms * * cbv-6k-1-po7.intf.routers.proxad.net [212.27.50.26]
6 28 ms 27 ms 28 ms if-7-0.core2.PG1-Paris.teleglobe.net [80.231.73.17]
7 96 ms 110 ms 110 ms if-9-0.mcore4.NQT-NewYork.teleglobe.net [216.6.87.25]
8 110 ms 109 ms 110 ms if-5-0.mcore3.NJY-Newark.teleglobe.net [216.6.57.13]
9 96 ms 110 ms 96 ms if-7-0.core1.NJY-Newark.teleglobe.net [216.6.57.22]
10 96 ms 110 ms 96 ms ix-3-0.core1.NJY-Newark.Teleglobe.net [64.86.84.178]
<<<
De quoi s'agit il ?
On pourrait penser à des attaques venant de l'extérieur mais cela fait quand même beaucoup en peu de temps.
Ce que je ne comprends pas c'est le fait que d'autres personnes ayant, à priori la même config que moi, ne soient pas pollués par ce type de messages.
Merci pour les infos.

habana · 01-02-2006 02:40:04

Port 445, so commun ...

http://abcdelasecurite.free.fr/site-abc-de-la-securite/carte-des-attaques-sur-internet.php

techinf · 01-02-2006 10:58:02

C'est le pare-feu du routeur Netgear qui bloque les tentatives d'attaques en frontal via le SPI (SPI = Stateful Packet Inspection)

"La protection SPI (Stateful Packet Inspection) arrêtera les attaques DoS (Denial of Service). Vous êtes alertés en cas d'intrusion ou de tentative d'un hacker."

techinf · 01-02-2006 10:59:04

http://www.usr-emea.com/education/net9.asp?loc=frnc

Qu’est ce qu’un SPI ?

Stateful Packet Inspection est une fonctionnalité de pare-feu avancée qui permet d’identifier certains types d’attaques et bloquées en temps réel. Il y a plusieurs sortes de types d’attaques qui ne sont pas bloquées par NAT. En analysant minutieusement la struture du trafic entrant, vous pouvez mieux protéger votre réseau.

TOTO · 02-02-2006 23:31:57

Merci à techinf et habana pour les infos.

Vous confirmez donc qu'il s'agit bien d'attaques extérieures d'où l'utilité d'un routeur firewall.

Par contre est il possible de configurer un routeur (par exemple le RP614 Netgear) afin ne pas être inondé de notifications de type "SPI ...." dans le log ?

Dans la configuration de mon routeur, il est possible de cocher la case (qui est cochée aujourd'hui "Enable" c'est à dire que le firewall SPI est actif) :
"Disable SPI Firewall"

Mais il est également conseillé :
"The SPI(Stateful Inpection) Firewall protects your LAN against Denial of Service attacks. This should only be disabled in special circumstances".

Que se passe t il si j'inhibe le SPI firewall ?

Merci pour les infos.

troll23 · 08-04-2006 18:10:20

bonjour,
il me semble que vous ne soyez pas le seul devant ce phenomène
ma config est idem. ipfixe sur freebox. routeur idem message:
1| <SPI: non-existing connection> <TCP>Source=xx.xxx.xx.xx, Destination=xx.xxx.xx.xx:139

vous sentez vous moins seul??

juanito · 29-04-2006 10:04:01

TOTO a écrit:
Par contre est il possible de configurer un routeur (par exemple le RP614 Netgear) afin ne pas être inondé de notifications de type "SPI ...." dans le log ?

Dans la configuration de mon routeur, il est possible de cocher la case (qui est cochée aujourd'hui "Enable" c'est à dire que le firewall SPI est actif) :
"Disable SPI Firewall"

Mais il est également conseillé :
"The SPI(Stateful Inpection) Firewall protects your LAN against Denial of Service attacks. This should only be disabled in special circumstances".

Que se passe t il si j'inhibe le SPI firewall ?

Si tu inhibes le SPI firewall, tu subira des attaques, donc autant le laisser activé !
Et tu ne peux pas évité d'être inondé par des notifications de type "SPI ...." dans le log car jutement les logs ont pour rôle de t'avertir des attaques. Donc la solution c'est de désactiver les logs...

Pour te rassurer, je suis moi-même envahi par ces messages SPI !

phylou · 09-03-2007 17:53:38

Salut , c'est effectivement des attaques , moi aussi sur free ,je subissais des intrusions (visible notement sur ma table arp ) et malglès le mode routeur de la free hd activé , en ajoutant un routeur (netgear aussi ;-) ) et en le configurant seulement sur mon ip (only this ip ) , j ' ai un rapport de sécurité netgear toute les 10 mn de plus de 100 tentative d'intrusions surtout sur les port 135 et 149 mais des fois sur d'autre .Ce doit etre un type qui scanne mon ip jusqu'a trouver une faille car au début j avais installé zone alarm et avais le meme type d alertes puis il a réussit à passer , le routeur a l air plus sûre .......mais plus rien ne métonne ,lol...
donc : 3| <SPI: non-existing connection> <TCP>Source=82.230.73.27, Destination=x.x.x.x:445

en raffale ,

je m'ajoute à liste.