Log firewall Serveur windows 2003

[Lindel]

Bonjour,
Je regardais les logs du firewall d'un serveur windows et plusieurs choses m'intriguent.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Extrait
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path


2007-08-08 11:20:28 OPEN UDP x.x.x.x 65.55.238.126 1039 53 - - - - - - - - -
2007-08-08 11:20:28 OPEN UDP x.x.x.x 8.12.212.49 1039 53 - - - - - - - - -
2007-08-08 11:20:28 OPEN UDP x.x.x.x 212.73.246.9 1039 53 - - - - - - - - -
2007-08-08 11:20:43 OPEN UDP x.x.x.x 207.68.160.190 1039 53 - - - - - - - - -
2007-08-08 11:20:44 OPEN TCP x.x.x.x 65.55.200.157 1957 80 - - - - - - - - -
2007-08-08 11:20:44 OPEN TCP x.x.x.x 8.255.65.254 1958 80 - - - - - - - - -
2007-08-08 11:20:47 OPEN TCP x.x.x.x 65.55.200.157 1959 443 - - - - - - - - -
2007-08-08 11:20:44 OPEN UDP x.x.x.x 206.24.172.39 1039 53 - - - - - - - - -
2007-08-19 19:45:27 OPEN-INBOUND TCP 122.152.181.176 x.x.x.x 21 - - - - - - - - -
2007-08-19 19:45:39 OPEN-INBOUND TCP 122.152.181.176 x.x.x.x 27552 3389 - - - - - - - - -
2007-08-19 19:45:49 OPEN-INBOUND TCP 122.152.181.176 x.x.x.x  28746 21 - - - - - - - - -
2007-09-08 15:39:00 OPEN TCP x.x.x.x 8.12.216.126 4271 80 - - - - - - - - -
2007-09-08 15:39:16 OPEN UDP x.x.x.x 202.12.27.33 1037 53 - - - - - - - - -
2007-09-08 15:39:16 OPEN TCP x.x.x.x 65.55.184.253 4272 80 - - - - - - - - -
2007-09-08 23:49:17 OPEN-INBOUND TCP 200.146.123.230 x.x.x.x 2297 3389 - - - - - - - - -
2007-09-07 03:20:07 OPEN UDP x.x.x.x  192.5.5.241 1037 53 - - - - - - - - -
2007-09-07 03:20:07 OPEN UDP x.x.x.x  193.0.14.129 1037 53 - - - - - - - - -
2007-09-06 22:48:36 OPEN UDP x.x.x.x 192.112.36.4 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN TCP x.x.x.x2 65.55.184.61 1557 80 - - - - - - - - -
2007-09-06 22:48:55 OPEN TCP x.x.x.x 65.55.184.61 1558 443 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 192.36.148.17 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 213.199.161.77 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 207.68.160.190 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 65.55.238.126 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 207.46.66.126 1037 53 - - - - - - - - -
2007-09-06 22:48:52 OPEN UDP x.x.x.x 212.162.1.102 1037 53 - - - - - - - - -

Enormément de requetes sur le port 53 (en rapport avec le DNS à ce que j'ai lu) quelques unes sur le 80.
Aussi vu l'article même si ca fait un moment :
http://www.lesnouvelles.net/articles...ws-server.html
Sachant que sur celui-ci les seuls services installés sont un DNS (active directory, controleur de domaine..) un ftp et le service remote desktop et le serveur dispose de tous les derniers correctifs.
J'ai fait un nmap pour vérifier les ports "ouverts" il n'y a bien que ceux que j'ai autorisé.
Si on pouvait un peu m'éclairer où me dire ce que je dois vérifier/corriger pour éventuellement sécuriser le serveur.
Merci de l'aide!

Bonne journée/soirée

[neuneu1]

Effectivement le port 53 sert a la mise a jour du dns entre les serveur pour mettre a jour tes zone.
tu effectivement le 3389 pour ton controle des reque sur le 80, et des mise a jour du dns sur les adresse qu il n'as pas en interne , si tu verifie le cache dns tu devais les retrouver normalement.

a+