Prevention contre NMAP pour Ouindoze NT

Si vous redoutez les attaques et les scan.... Voici une petite protection bien utile
afin que votre "agresseur" ne puisse trouver de quel OS vous vous servez... (si il ne connait pas l'OS,
il ne peut pas faire grand chose... ;-) )
Cet article vous explique comment faire un filtre pour Ouindoze NT de facon
simple et sure.

La clef de registre suivante doit etre modifiee , mais cela se fera automatiquement lors de l'utilisation.
Faites un copier-coller de cette clef et sauvegardez la en filter.reg...

----------------- Debut de flter.reg -----------------------------

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
 "EnableSecurityFilters"=dword:00000001

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
 "TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
 "UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
 "RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters\Tcpip]
 "TCPAllowedPorts"=hex(7):38,30,00,00 ; http(80)
 "UDPAllowedPorts"=hex(7):35,32,30,00,00 ; rip(520)
 "RawIPAllowedProtocols"=hex(7):36,00,31,37,00,00 ; tcp(6) and udp(17)
 

------------------Fin de filter.reg-----------------------------

Puis, (et non c'est pas encore fini) vous editez la base de registre et allez dans

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards]

Dans cette clef, vous trouvez NIC-NAME qui est a remplacer par le nom de votre carte reseau
 

Le script registry  empeche les communications sur tous les ports a l'exception de :
38,30 == 80 == http
35,32,30 == 520 == rip

Et il autorise seulement les protocoles:
6 == 6 == tcp
31,37 == 17 == udp

En n'autorisant pas l'acces a n'importe quel port sauf ceux specifies ci-dessus, on rend impossible
la detection de notre Ouindoze NT a cause du manque d'information qu'aura "l'agresseur"...
Il se doute que sur l'ordinateur il y a un OS, mais il ne peut trouver lequel... ;-)
 

Voici un exemple concret d'un nmap sur un meme ordinateur, avant et apres application de filter.reg

(avant filter.reg)
nmap -v -sT -O 172.17.1.1  (commande pour NMAP)

 Starting nmap V. 2.30BETA17 by fyodor@insecure.org ( www.insecure.org/nmap/ )
 Host (172.17.1.1) appears to be up ... good.
 Initiating TCP connect() scan against (172.17.1.1)
 Adding TCP port 139 (state Open).
 Adding TCP port 135 (state Open).
 The TCP connect scan took 44 seconds to scan 1517 ports.
 For OSScan assuming that port 135 is open and port 422 is closed and neither are
 firewalled
 For OSScan assuming that port 135 is open and port 422 is closed and neither are
 firewalled
 For OSScan assuming that port 135 is open and port 422 is closed and neither are
 firewalled
 WARNING: OS didn't match until the 3 try
 Interesting ports on (172.17.1.1):
 Port State Service
 135/tcp open loc-srv
 139/tcp open netbios-ssn

 TCP Sequence Prediction: Class=random positive increments
 Difficulty=10214 (Worthy challenge)

 Sequence numbers: 82159285 821671B0 8216F2F9 8217B423 82187D56 82197619
 Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes

 Nmap run completed -- 1 IP address (1 host up) scanned in 69 seconds
 

(apres fliter.reg)
nmap -v -sU -O 172.17.1.1 -p 520  (commande pour NMAP)

 Starting nmap V. 2.30BETA17 by fyodor@insecure.org (
 www.insecure.org/nmap/ )
 Host (172.17.1.1) appears to be up ... good.
 Initiating FIN,NULL, UDP, or Xmas stealth scan against (172.17.1.1)
 The UDP or stealth FIN/NULL/XMAS scan took 0 seconds to scan 1 ports.
 Interesting ports on (172.17.1.1):
 Port State Service
 520/udp open route

 Too many fingerprints match this host for me to give an accurate OS guess
 TCP/IP fingerprint:
 T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
 T5(Resp=N)
 T6(Resp=N)
 T7(Resp=N)
 T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
 PU(Resp=N)
 

 Nmap run completed -- 1 IP address (1 host up) scanned in 18 seconds
 

Voila... Dans cet exemple on voit tout de suite la difference !!!!
Maintenant a vous de juger si vous avez envie ou pas que n'importe qui puisse savoir
que vous vous servez de Ouindoze NT  et donc peut etre de chercher a vous hacker en exploitant des
failles connues.

Le scan de ports en soi ne represente aucun danger, d'ailleurs la plupart des pc qui sont scannes ne
subbissent pas d'attaques de hackers. Il peut etre dangereux si les informations recoltees
grace a ce scan sont utilisees par la suite a des fins "nocives".
Le merite de NMAP est qu'il contribue a sensibliser les gens a leur propre securite.