Améliorer la sécurité de son PC : Bloquer des IP/Adresses

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84497
Inscription : 10 sept. 2005 13:57
Contact :

Améliorer la sécurité de son PC : Bloquer des IP/Adresses

Message par Malekal_morte » 26 févr. 2008 22:29

Voici un article qui propose de sécuriser votre PC en bloquant des réseaux connus pour héberger des fichiers malicieux et utilisés pour infecter des ordinateurs. En complément, il est conseillé de lire la page Domaines, Registars dans le monde des Malwares

En suivant les consignes de cette page, vous pouvez augmenter de manière très sensible la sécurité de votre PC contre les infections par exploit des failles de sécurité via des sites WEB.
Néanmoins, l'application des consignes demande quelques connaissances minimales sur Windows.


Hébergement de fichiers malicieux

Voici une capture qui montre l'infection d'un PC via un exploit sur un site WEB

Image

A gauche, Internet Explorer avec le site WEB en question.
A droite, ProcessExplorer nous montre qu'Internet Explorer a lancé l'exécution du fichier infectieux syst.exe
En haut, la fenêtre noire montre les connexions établies par le PC infecté :

Ci-dessous, un copier/coller du contenu de la fenêtre noire que nous pouvons visualiser dans la capture.
1204048472.089 1 192.168.1.50 TCP_MEM_HIT/200 1423 GET hxxp://1800-search.com/000/loader.exe - NONE/- application/octet-stream
1204048472.468 25 192.168.1.50 TCP_HIT/200 21470 GET hxxp://1800-search.com/000/dnlsvc.exe - NONE/- application/octet-stream
1204048473.118 1029 192.168.1.50 TCP_MISS/200 577 GET hxxp://2005-search.com/qt.php - DIRECT/85.255.117.212 application/x-quicktimeplayer
1204048473.939 402 192.168.1.50 TCP_MISS/301 687 GET hxxp://2005-search.com/test - DIRECT/85.255.117.212 text/html
1204048474.608 397 192.168.1.50 TCP_MISS/302 380 GET hxxp://www.2005-search.com/test/ - DIRECT/85.255.117.212 text/html
1204048475.009 400 192.168.1.50 TCP_MISS/302 385 GET hxxp://1800-search.com/000/r.php - DIRECT/85.255.117.213 text/html
1204048475.391 2 192.168.1.50 TCP_MEM_HIT/200 426 GET hxxp://search-buy.biz/total.dat - NONE/- text/plain
1204048475.841 396 192.168.1.50 TCP_MISS/301 687 GET hxxp://2005-search.com/test - DIRECT/85.255.117.212 text/html
1204048475.914 434 192.168.1.50 TCP_MISS/404 414 POST hxxp://activex.microsoft.com/objects/ocget.dll - DIRECT/64.4.52.169 text/html
1204048476.243 397 192.168.1.50 TCP_MISS/302 380 GET hxxp://www.2005-search.com/test/ - DIRECT/85.255.117.212 text/html
1204048476.471 434 192.168.1.50 TCP_MISS/404 580 POST hxxp://codecs.microsoft.com/isapi/ocget.dll - DIRECT/64.4.52.169 text/html
1204048476.645 397 192.168.1.50 TCP_MISS/302 385 GET hxxp://1800-search.com/000/r.php - DIRECT/85.255.117.213 text/html
1204048476.720 1204 192.168.1.50 TCP_MISS/302 377 GET hxxp://search-buy.biz/run.php? - DIRECT/85.255.117.213 text/html
La visite du site WEB entraîne donc le téléchargement des fichiers loader.exe puis dnlsvc.exe qui compose l'infection.
Nous n'irons pas plus loin dans la description de cette infection (qui drop le rootkit msdirect.sys), ce qui nous intéresse ici ce sont les adresses où les fichiers composant cette infection sont hébergés, à savoir les domaines : 1008-search.com et 2005-search.com

Une recherche sur Google de ces adresses 1800-search.com et www.2005-search.com donne environ 1500-2000 résultats.
Ce qui montre que ces adresses ne sont pas inconnues.

Les adresses IP de ces sites WEB sont 85.255.117.212 et 85.255.117.213.
La recherche de l'adresse réseau 85.255 nous donne environ 54 000 résultats.

Dans les premiers résultats, on trouve un log de désinfection de forums américains Conclusion : Le réseau 85.255* est bien connu pour héberger des fichiers malicieux qui contribuent à l'infection de PC à grande échelle.
Et cela ne date pas d'hier.

En bloquant certains réseaux connus pour héberger des fichiers malicieux, il est donc possible d'améliorer de manière significative la sécurité de son PC puisque le téléchargement des fichiers infectieux ne sera plus possible.
Encore une fois, ce n'est pas la solution qui règle le problème puisqu'il existe une multitude de réseaux ou de machines hébergeant des fichiers malicieux.
Les adresses changent constamment.

Comment bloquer une IP ou un groupe d'IP (subnet) ?

Voici la procédure pour bloquer une IP ou un groupe d'IP. Nous allons utiliser les stratégies de sécurité d'IP.
Bien sûr, c'est une solution et il en existe d'autres. Par exemple, si vous possédez un pare-feu, il est tout à fait possible de le faire depuis ce dernier ou de le faire via votre routeur/box.

Les stratégies de sécurité d'IP sont souvent méconnues et disponibles sur Windows 2000, XP et Vista. Le gros avantage et qu'elles permettent de bloquer une ou plusieurs IP sans ajout de programmes supplémentaires.
Il est possible de bloquer une IP ou un groupe d'IP (subnet), la désactivation du blocage se fait facilement comme vous le verrez à la fin de ce paragraphe.
Enfin, cette méthode n'est pas incompatible avec la présence d'un pare-feu.


NOTE :Nous allons voir comment bloquer le sous-réseau 85.255, ce sont des adresses ukrainiennes, si vous devez surfer sur des sites hébergés dans ces régions, ne suivez pas ce tutorial sinon vous ne pourrez plus vous y connecter


Ouvrez les stratégies locales depuis le Menu Démarrer / exécuter et tapez secpol.msc puis cliquez sur OK
(sinon vous pouvez l'ouvrir par le panneau de configuration / outils d'administrations / stratégie de sécurités locales)

Dans la nouvelle fenêtre, à gauche, cliquez sur Stratégies de sécurités IP puis dans la partie droite de la fenêtre, faites un clic droit pour obtenir le menu déroulant comme ci-dessous.

Image

Dans le menu déroulant, cliquez sur Créer une stratégie de sécurité IP
L'assistant de Stratégie de sécurités d'IP s'ouvre
Cliquez sur le bouton Suivant pour passer à l'étape suivante.
Image

Vous devez saisir le nom de la stratégie, dans le champ Nom, saisissez Lites de filtres IP
Décochez l'option en bas à droite Utiliser l'assistant d'ajout
Image

Décochez Activer la règle de réponse par défaut
Cliquez sur le bouton Suivant pour passer à l'étape suivante.

Image

Laissez l'option Modifier la propriété cochée puis cliquez sur le bouton Terminer
Image

Dans la nouvelle fenêtre, décochez l'option Utilisez l'assistant Ajout en bas à droite
Cliquez sur le bouton Ajouter
Image

Dans la nouvelle fenêtre, dans l'onglet Listes de filtres IP
Cliquez sur le bouton Ajouter
Image

Dans le champ Nom, saisissez Listes des IP à risques puis cliquez sur le bouton Ajouter
Image

Nous souhaitons bloquer les connexions depuis notre ordinateur vers un ou plusieurs IP.
Donc dans l'onglet adressage :
Dans Adresse source, sélectionnez Mon Adresse IP afin de bloquer toutes les connexions dont votre IP est la source.
Dans Adresse de destination, sélectionnez Un sous-réseau d'IP spécifique puisque nous souhaitons bloquer les connexions dont la destination est un groupe d'IP que nous allons spécifier - Dans le cas d'un blocage d'une IP unique choisir Adresse IP

Adresse IP : 85.255.0.0
Masque de sous réseau : 255.255.0.0

Les deux paramètres permettent de bloquer tous les adresses de 85.255.0.0 à 85.255.255.255

Par exemple, si nous voulions bloquer les adresses de 85.255.15.0 à 85.255.15.255, il aurait fallu indiquer dans :
Adresse IP : 85.255.15.0
Masque de sous réseau : 255.255.255.0

Cliquez sur OK.
Image

Maintenant que nous avons paramétré le filtre IP. Il convient de configurer l'action de filtrage qui sera appliquée sur le filtre IP.
Dans notre cas, nous souhaitons bloquer les dites adresses.

Cliquez sur l'onglet Action de filtrage puis décochez l'option Utilisez l'assistant Ajout en bas à droite
Cliquez sur le bouton Ajouter

Image

Dans l'onglet Méthode de sécurité, cochez Refuser

Image

Dans l'onglet Général, saisissez "Refuser" dans le champ Nom.
Validez par OK.
Image

Il ne nous reste plus qu'à appliquer nos paramètres.
Dans Action de filtrage, sélectionner Bloquer.

Image

Dans Listes des IP de filtres, assurez vous que vous avez bien sélectionné "Listes des IP à risques"
Validez par OK.
Image

Le filtrage n'est pas encore actif car la colonne Stratégie attribuée est configurée sur non.
Un clic droit sur Bloquer IP puis Attribuer permet de passer la stratégie sur oui.

Voici un exemple de stratégie sur non, la stratégie bloque l'IP 209.85.135.104 (une IP de Google).. le ping est possible puisque la stratégie n'est pas attribuée.
Image

En passant la stratégie sur oui, le ping ne passe plus.
Il est donc possible et ceci très facilement, d'activer ou désactiver le filtrage.
Image

Quelques réseaux à bloquer

Voici une listes de réseaux que vous pouvez bloquer afin de mieux sécuriser votre PC.
Pour les réseaux, j'indique les pays dans le cas où vous avez des contacts avec ses pays que vous ne pouvez les blacklister.
Le plus important est les exploits sur site WEB.

Exploits sur des sites WEB
58.65.239.0/255.255.255.0 (Honk-Kong)

58.65.0.0/255.255.0.0 (HotFresh)
116.50.15.0/255.255.255.0 (HotFresh)
64.28.178.0/255.255.255.0 (Estonie)
64.28.179.0/255.255.255.0 (Estonie)
64.28.180.0/255.255.255.0 (Estonie)
64.28.181.0/255.255.255.0 (Estonie)
64.28.182.0/255.255.255.0 (Estonie)
64.28.183.0/255.255.255.0 (Estonie)
195.190.138.0/255.255.255.0
91.211.64.0/255.255.255.0 (Ural Industrial Company)
91.203.92.0/255.255.255.0 (Ukraine)

79.135.0.0/255.255.0.0 (http://www.spamhaus.org/sbl/listings.la ... net.com.tr)
91.208.228.0/255.255.255.0
85.255.0.0/255.255.0.0 (Ukraine)
85.17.183.220/255.255.255.0 (leaseweb.com - NL) http://www.spamhaus.org/sbl/listings.la ... aseweb.com

94.247.0.0/255.255.0.0 (RU)
92.241.163.0/255.255.255.0 (RU)
94.232.249/255.255.255.0 (Ukraine)
Voir : http://www3.malekal.com/fakecodec.txt + Exploits.

203.211.133.0/255.255.255.0 (Singapour)
203.211.136.0/255.255.255.0 (Singapour)

Les adresses suivantes concernent des programmes piégés ou des adresses ouvrants de fausses alertes de sécurités, vous pouvez les bloquer mais ce n'est pas obligatoire. L'utilisation de Firefox Sécurisé permet de ne pas recevoir ces pubs ou fausses alertes.

Adwares et Rogues
194.187.0.0/255.255.0.0
195.225.0.0/255.255.0.0
195.93.218.0/255.255.255.0
195.95.0.0/255.255.0.0
202.71.102.0/255.255.255.0
205.177.0.0/255.255.0.0
205.188.0.0/255.255.0.0
213.189.27.0/255.255.255.0
216.195.0.0/255.255.0.0
216.239.0.0/255.255.0.0
66.230.0.0/255.255.0.0
66.235.0.0/255.255.0.0
69.31.0.0/255.255.0.0
69.50.0.0/255.255.0.0
70.84.0.0/255.255.0.0
72.21.53.0/255.255.255.0
78.129.158.0/255.255.255.0
78.129.166.0/255.255.255.0
79.143.178.0/255.255.255.0
81.9.3.0/255.255.255.0
81.95.0.0/255.255.0.0
82.179.0.0/255.255.0.0
88.255.74.0/255.255.255.0
89.149.226.0/255.255.255.0
87.242.90.0/255.255.255.0 (Russie) - IP utilisés par les sites propageant Magic.Control


Rogues liste voir viewtopic.php?f=56&t=1836
(Attention ce sont des IP unique, pensez à bien choisir dans le menu déroulant Adresse IP)
67.55.81.200/255.255.255.225
72.52.225.11/255.255.255.255
85.12.60.33/255.255.255.255
85.12.60.30/255.255.255.255
87.117.252.11/255.255.255.255
77.91.229.0/255.255.255.0 (malwarealarms.com) (russie)
124.217.252.0/255.255.255.0 (malwarealarm.com / bravesentry.com etc.)

SWF malicieux (Trojan-Downloader.SWF.Gida.a)
Pour plus d'infos sur SWF malicieux (Trojan-Downloader.SWF.Gida.a), lire : Rogues et alertes de sécurités.

Vous pouvez bloquer les adresses suivantes, cependant, l'utilisation de Firefox Sécurisé permet de ne pas recevoir ces fausses alertes :
190.15.73.254/255.255.255.255
190.15.73.252/255.255.255.255
190.15.73.221/255.255.255.255
190.15.73.251/255.255.255.255
190.15.64.0/255.255.255.0
194.110.67.22/255.255.255.255
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84497
Inscription : 10 sept. 2005 13:57
Contact :

Re: Améliorer la sécurité de son PC : Bloquer des IP/Adresse

Message par Malekal_morte » 03 mai 2011 12:52

Pour aller plus loin : Survol pays et réseaux malicieux
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité