Bonjour à tous. Je vous signale qu'un test très poussé a été réalisé par un membre du forum zébulon sécurité à propos de ce jeu de règles très spécial et faisant l'objet de nombreuses controverses depuis sa diffusion.

Tout ce que je puis dire, c'est que ce test met en évidence la redoutable efficacité de ce jeu de règles (pour une utilisation classique s'entend) et place du coup Look'n'Stop tout en haut de la pyramide des firewall à règles. 8) 8) 8)

Bonne lecture

http://forum.zebulon.fr/index.php?showtopic=65849&st=0

Any translation?

Hi,

Stephanos, translation of this post or linked thread :o?

PS : sympa comme discussion antares45, meme si je suis deja sous regles Phant0m``, c'est le genre de feedback interessant ;)

Bonjour Blod. Quand on voit ce type d'attaque, l'on se dit qu'il vaut mieux avoir les PhantOm's rules qui tournent avec L'n'S sur son PC.

Src:20475
09/05/05,23:01:31 D-28 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http
09/05/05,23:01:32 D-29 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http
09/05/05,23:01:43 D-30 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:01:44 D-31 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http
09/05/05,23:01:46 D-32 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:01:46 D-33 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:01:50 D-34 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:01:52 D-35 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:01:52 D-36 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:01:53 D-37 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:01:54 D-38 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:01:59 D-39 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:02:00 D-40 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:02:04 D-41 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:02:08 D-42 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http
09/05/05,23:02:11 D-43 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:12 D-44 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:02:14 D-45 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:16 D-46 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:20 D-47 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:22 D-48 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:29 D-49 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:02:34 D-50 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:02:36 D-51 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:02:57 D-52 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http
09/05/05,23:02:58 D-53 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http
09/05/05,23:03:17 D-54 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http
09/05/05,23:03:24 D-55 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http
09/05/05,23:03:46 D-56 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797

C'est effectivement interessant ce retour d'info.

Toutefois je m'interroge quand l'attaque viens de "l'interieur"

Est ce que les regles fantom fonctionnent efficacement dans le sens PC vers internet ?

Bonjour. Remarque pertinente en effet. A priori et si l'on examine de près la règle PhantOm's ?NetBIOS, on constate que celle-ci interdit tous les paquets entrants et sortants. De plus, une application non listée dans la liste des applications autorisées par L'n'S et qui chercherait à sortir devrait très certainement lancer une DLL qui ouvrirait la fenêtre d'avertissement de L'n'S (si la surveillance des DLLs est activée), à moins d'avoir affaire à un rootkit (qu'en pense Frédéric ?).

Ceci dit, je recommande vivement de coupler Look'n'Stop avec un utilitaire de surveillance des applications comme ProcessGuard, lequel va empêcher toutes tentatives de lecture du logiciel surveillé (fonction Reading notamment).

http://www.diamondcs.com.au/processguard/index.php?page=download