jeu de règles expérimentales climenole - mise à jour v 3.01

Salut

Merci beaucoup, all is good...

Au passage j'ai feuilleté le net mais je ne trouve pas de solution adéquat pour le logiciel Teamspeak RC2

si tu as une solution merci d'avance...

 

Salut Panpan69

Le serveur "standard" est 8767 mais peut être changé pour n'importe quel port... (en UDP).

donc

en UDP gamme de ports "dans local", port distant 8767
et
en UDP gamme de ports "dans local", ports distants: 1000 à 65535...

Essaye les règles ci-jointes...

EDIT:
ou plus simplement, ne prend que la dernière règle.
Le port 8767 étant inclu là-dedans...

 

j'ai donc pris la dernier soit l'alternative avec les .*** cependant cela ne fonctionne pas...

rien ne s'affiche dans le journal malgrès le "!"

Sinon concernant ton jeux très complet voir trop
Je ne peu rajouter qu'une seul règle lol

 

Salut Panpan69

Redémarre pour que ce truc soit pris en compte par lnS...

Ceci étant dit: quand le serveur est disponible (et le port accessible: pas de ICMP type 3 code 3 ...) ça marche. Ce machin se connecte en TCP sur le port 80 puis sur le port du serveur en UDP...

Quand ça ne marche pas (serveur non-disponible ou accessible) le programme ne prend pas en charge le paquet UDP envoyé à ce serveur inaccessible: il le balance et c'est tout... LnS bloque alors le paquet UDP sans détecter que c'est CE programme...

Bug de LnS ou de ce bidule? Je choisi le # 2...

AMHA: programmé avec le pieds. Viré de mon PC...

Pour le jeu de règles: supprime les lignes commentaires, les règles TCP spécifiques pour le HTTP, POP3 etc (inutiles: la {S..0000000}; [TCP] {{ Applications Internets }} suffit) et les règles serveurs donnée en exemple si tu ne les utilise pas.

Max 128 règles...

 

Je l'est redémarré et ca fonctionne... cependant il faut que j'insiste avant qu'il se connecte. Il me met des connection failed au moins trois ou quatre fois et au bout d'un moment ca se connecte sans problème et sans coupure.. allez savoir pk

En effet j'avais remarque que même le programme lancé le carré de Lns ne s'allume que lorsqu'il y a une request de connection. Comme si le programme se trouvait en stand by hors connection.

Je pense aussi

Pas tout compris

Déjà fait mais ca a l'air bon la

Merci beaucoup de ton aide en tout cas !!!

 

Bonsoir,

Nouveau chez le neuf(neufbox), et donc des soucis car pourquoi faire simple(avec le jeux de regle évolués) alors qu' il y a mieux avec le jeux de regle de Climenole.

Alors je tante:

Mon FAI: Neuftelecom avec routeur neufbox
derriere 2 pc relies par cable ethernet

j'ai pris mon adresse physique 00-XX-XX-XX-XX-XX
l'adresse Ip de mon routeur(serveur DHCP) 192.168.1.1


Le but est de faire un petit reseau local

OS:Windows XP

Je pense que ma premiere question est de m'aider pour recrire chez moi les règles DHCP , DNS, IGMP

{A. 60}; [Local / ROUTER] [IGMP] {{ Routeur }
Ou mettre l'adresse physique?

{A. 71}. [Local / LAN] [UDP] { DHCP Discover/Request }
{A. 72}. [Local / LAN] [UDP] { DHCP Offer/Ack }
{A. 73}. [Local / LAN] [UDP] { proxy DNS }

Donc en resume il n'y a pas de soucis pour se connecter sur le net avec mon jeux de regle évolués parcontre impossible avec la regle Climenode(climenole-v3.01-Fr).

J'y joins mon log.

Merci d'avance.

 

Salut lemonega

LOL C'est vrai ça: pourquoi se compliquer la vie comme ça ?

OK

C'est bien cette adresse qui est indiquée dans cette règle:
{A. 72}. [Local / LAN] [UDP] { DHCP Offer/Ack }

Pour la règle IGMP ne met aucune adresse pour le moment. Cela devrait marcher quelque soit l'adresse utilisée. Par la suite tu pourra préciser ces choses dans la règle si tu veux.

Les autres règles n'ont pas à être modifiées sauf celle du DNS:
il faut vérifier quelles sont ces adrresses avec ipconfig et le mettre en lieu et place des adresses données en exemple dans la règle {A. 73}. [Local / LAN] [UDP] { proxy DNS } ( 192.168.1.20 et 192.168.1.21...)

De plus désactive cette règle:
{B. 06}; [Tous] << IP non-routables ! >

Sauve, applique et redémarre.

Dis-mois si ça marche à ton goût.

 

Rebonsoir,

Merci pour la rapidité de ta réponse.
Alors effectivement tout se passe bien maintenant avec ton jeu de regle,je continuerais à faire mes essais à partir de demain.
Entre temps j'aimerais avoir des pistes pour ameliorer ma protection, en améliorant mes régles.
Le but est pour moi d'arriver à maitriser tous les softs qui vont se connectés sur le net.

Pour l'instant j'ai activé toutes les régles de connexion locale, comment puis je affinés tout ca?

voici mon deux logs en fichiers attachés pour m'aider.

encore merci

 

Salut lemonega


Ouais... pas besoin d'activer des règles dont on a pas besoin.
Si tu parles des règles "A" voici quelques informations:

{A. 01}; [Local / ALL] [ARP] { Résolution d'adresses MAC }
Celle-la est nécessaire pour la plupart des configurations.
Le protocole ARP permet de "traduire" les adresses MAC en IP...

{A. 21}; [Local / HUB] [Ethernet] { Autoriser PC # 2 }
Celle-la permet d'autoriser des PC connectés avec un HUB.
C'est exactement la même règle que celle donnée sur le site de LnS.
Si tu n'a pas ce genre d'installation c'est inutile de l'activer...

{A. 30}; [Local / WIFI] [Ethernet] { WiFi securisé }
Ça c'est pour une connexion WiFi
Si tu utilise une connexion filaire c'est inutile d'activer cette règle...


{A. 40}; [Local / ICS] [IP] { Serveur - PdC }
Ça c'est une règle utilisée par le PC utilisé en tant que serveur avec le partage de connexion Internet. Si tu n'as pas cette configuration inutile d'activer cette règle...

{A. 50}; [Local / ICS] [ICMP] { Client- PdC }
Encore pour le partage de connexion Internet mais cette fois-ci pour les PC "clients": ceux qui se connectent au PC serveur de partage de connexion Internet... à utiliser au besoin seulement

{A. 60}; [Local / ROUTER] [IGMP] {{ Routeur }
Pour les paquets IGMP utilisé par les routeurs...
Si tu n'a pas de routeur ou si ton routeur n'utilise pas l'IGMP alors... etc etc

{A. 71}. [Local / LAN] [UDP] { DHCP Discover/Request }
{A. 72}. [Local / LAN] [UDP] { DHCP Offer/Ack }

Pour le DHCP utilisé par les modem/routeurs et les routeurs et certaines connexion Internet...

{A. 73}. [Local / LAN] [UDP] { proxy DNS }

Pour les requêtes DNS via le routeur... Si tu n'as pas de routeur alors c'est celle-ci: {G. 53,01}; [UDP] {{ Résolution des noms }}

Active au besoin soit l'une soit l'autre...

{A. 80}; [Local / LAN] [UDP] {{ NetBios }}
{A. 81}; [Local / LAN] [TCP] { NetBios }}
{A. 82}; [Local / LAN] [TCP] {{ NetBios }

Les réseaux locaux "Billouniens" utilisent le NetBios pour le partage des fichiers et des imprimantes. Si tu as un réseau local ... etc etc

{A. 470}; [Réseau privé] [47-GRE] { VPN }
{A. 500}; [Réseau privé] [50-SIPP- ESP] { VPN }

Pour les Virtual Private Networks... Si tu as .. etc etc.

{A. 999}; [Local] [IGMP] << Verrouillé ! >>
{A. 999}; [Local] [Tcp/Udp] << NetBios Verrouillé !>>

Etc.

"Le but est pour moi d'arriver à maitriser tous les softs qui vont se connectés sur le net.!"

OK. Mais à vouloir tout et trop contrôler on finit

soit par rendre le système quasiment inutilisable (ou très CH___T à utiliser...)
soit par faire des gaffes et avoir un système apparement sécuritaire sans l'être vraiment...

1- Utilise le filtrage logiciel: les seuls programmes autorisés là-dedans doivent être ceux auquel tu as confiance. Si tu n'a pas confiance dans un programme et que tu bloque son accès à Internet cela doit être temporaire: pour vérifier si tu as eu raison de le bloquer. Si oui: vire-le, Sinon: autorise-le...

2- Les programmes utilisent soit le protocole TCP soit l'UDP (ou les 2...).

Pour les programmes en TCP, la règle générale {S..0000000}; [TCP] {{ Applications Internets }} est suffisante
SI
Les programmes légitimes autorisés par le filtrage logiciel le sont et les autres bloqués PUIS virés...
SI
l'option Stateful Inspection est activée
ET
il est facile de vérifier de quoi il s'agit chaque fois avec les options du journal
quels ports, quelles IPs, quels sites,etc ...
ET
avec la liste de ports connus (soit celle standard de LnS soit la mienne).
Cela permet de savoir de quel protocole au niveau 5 de la pile TCP-IP "Applications" : HTTP, HTTPS, NNTP. POP3 , etc
ET optionnellement
avec la possibilité d'avoir une entrée dans le log pour un programme utilisé (un !! dans le filtrage logiciel)...

Pour les programmes utilisant le protocole UDP il est facile de savoir de quoi il retourne en vérifiant les entrées de la règle {X. 9998}; [UDP] < Bloque UDP sortant ! >>

Pour l'UDP il n'y a pas de Stateful Inspection car les connexion UDP sont "connectionless"... Il faut chaque fois des règles spécifiques au programme l'utilisant...

Les blocages mentionnés ET les entrées au journal avec la liste des ports connus permettent de créer facilement de telles règles...

Et c'est toi qui aura le contrôle...

Mais si tu crée des règles spécifiques pour chaque programme en TCP ou UDP cela sera à la fois très contraignant et pas nécessairement plus sécuritaire...

Ai-je éclairci les choses ou j'ai augmenté ta perplexité? Dis-moi.

 

Bonjour,

Merci encore pour toutes tes precisions.

Je pense que pour le reseau il me reste plus qu'a me preciser dans quelle regle dois je mettre mon adresse physique(que j'ai eu avec ipconfig//all)?

Maintenant j'aimerais ecrire des regles pour quelques programmes:
1-svchost.exe( car je n'ai jamais compris a quoi il sert reellement mais apriori indispensable)
j'ai pas compris la regle {T. 123,11}; [UDP] { NTP } ?

2-mon antivirus

3-emule
Pour cette application j'aimerais une petite explication à la régle: {T..9999999}; [UDP] < eMule connexions aléatoires ! >>?

Aprés avoir relus le tuto sur "les 7 étapes et le journal" j'aimerais savoir ou placé la régle de [TEST] qui va me permettre de creer les régles pour mes applications?

Encore merci

 

Salut lemonega

Svchost.exe sert à lancer d'autres applications en particulier des services...

Les 8 "variétés" de SVCHOST (SP2):

C:\WINDOWS\System32\svchost.exe -k rpcss
C:\WINDOWS\System32\svchost.exe -k DCOMLaunch
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\System32\svchost.exe -k LocalService
C:\WINDOWS\System32\svchost.exe -k NetworkService
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\system32\svchost.exe -k usnsvc

Ceux-là tu doit toujours les avoir...
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
C:\WINDOWS\system32\svchost.exe -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs

puis
C:\WINDOWS\system32\svchost -k HTTPFilter
correspond au service HTTP SSL : machin de sécurité

C:\WINDOWS\system32\svchost -k LocalService
corrrespond à des trucs tel que WebClient et autres bidules

C:\WINDOWS\system32\svchost -k Network Service
correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.

C:\WINDOWS\System32\svchost.exe -k imgsvc
correspond à Acquisition d'image Windows (WIA)

C:\WINDOWS\system32\svchost.exe -k usnsvc
correspond au partage avec les nouvelles versions de Messenger

C'est pour permettre à Windows via svchost de synchroniser le temps et l'heure ... pas vraiement utile... la pile de ton horloge devrait garder la bonne heure/date (sinon la pile doit être changée).

Tu peux choisir le serveur NTP que tu veux et l'entrer dans le machin Windows pour l'horloge...

Voir ceci par exemple:

http://ntp.vuntz.net/
http://support.ntp.org/bin/view/Servers/WebHome

Il doit faire ses mises à jour sur le port 80 {HTTP} ou 443 {HTTPS} ou en FTP : prts 21 et autres... La règle générale {S..0000000}; [TCP] {{ Applications Internet }} s'occupe de cela.

Si tu veux une règle spécifique pour avoir la trace dans le journal copie cette règles, change les ports distants pour 80 HTTP et 443 HTTPS , ajoute le programme AV dans la règle, place la règle avant ou au-dessus de le règle générale etc etc...

Ex avec Avast en pièces jointes...

eMule tente de se connecter en UDP depuis n'importe quel port local vers n'importe quel port UDP distant en plus des ports habituels et indiqué dans les paramètres du "mulet"... Inutile d'autoriser cela et la mule marche quand même...

Il y a 3 façon de créer des règles avec LnS:

1) à la volée:

Va dans le journal, clique sur la ligne indiquant un blocage et crée la règle avec le clic droit... La règle doit être améliorée par la suite...

2) par blocage spécifique

La règle {X. 9998}; [UDP] < Bloque UDP sortant ! >>
et parfois la règle
{X. 9999}; [TCP] < Bloque TCP sortant ! >>

permettent cela.

Pour le TCP la règle générale {S..0000000}; [TCP] {{ Applications Internet }} est suffisante...

Pour les applications utilisant l'UDP la règle {X. 9998}; [UDP] < Bloque UDP sortant ! >> permet de voir quels ports sont bloqués et il est plus facile de créer une règle à partir de ce blocage soit par la méthode indiqué au # 1 soit en te basant sur les entrées du journal pour créer une règle UDP spécifique à une application...

3) Par règle TEST

Il suffit de créer un règle TEST [ protocoles TCP ET UDP, tous les ports et adresses locales et distantes] pour l'application à tester (il faut évidemment l'entrer dans cette règle). Utilise l'application pour avoir un bon échantillon dans le journal et crée la règle à partir de cela. Mieux: utilise l'option avancée journal au format brut (raw mode) et importe le journal "raw" dans Excel ou OO Calc... et crée la règle à partir ce ça...

Tu vois l'idée ?

 

Bonsoir,

J'ai commencé mes tests , pour ameliorer mes régles et oui je suis obtu alors je fonce...

J'ai donc crée une regle TEST qui autorise tout pour firefox(histoire de faire un premier test)
Le probléme:
Dans mon journal il n'y a pas de ligne concernant ma régle TEST seulement des RÈGLES CONNEXIONS LOCALES .
Fichier joint.

Alors es ce grave?

Entre temps je suis trés content d'avoir eu déja toutes ses explications.

 

Bonjour lemonega , ici le soleil brille et il fait 21 °

Supprime les lignes de commentaires s.v.p. ...

Place ta règle de test avant (ou au-dessus) de la règle {S..0000000}; [TCP] {{ Applications Internet }} et cela suppose que les règles "S" précédentes ne sont pas activées...

Pour ton test, n'utilise que Ff ET désactive temporairement la règle {S..0000000} (plus amusant!)

Fait les modifs, sauve, applique... et redémarre le PC...

Pas grave: mini-problèmes quand on essaie des choses nouvelles.

A+

 

Salut Climenole,

A paris il fais un temps correcte pour travailler donc de la pluie presque chaque jour

J'ai obtenu mes premiers resultats avec le firefox pour mom test, alors alors c'est pas simple.
Pour moi le firefox devrait se connecté sur le port 80, et bah non alors surprenant...

Le jour n'indique que des évenements en UDP.

Bon je t'envoi deux feuilles excel,dans la premiere il y a tous les evenements et la 2eme est mieux trié(que le évenements interessant).

Profite bien du soleil!

Et non c'est raté car sur le forum il n'est pas possible de poster un fichier excel, alors propose moi une issue pour regler mon petit soucis de transfert de fichiers.

 

Salut lemonega

Bien: la pluie nettoie mieux les rues qu'un Kärcher...

Il y a quelque chose que tu as loupé...
Firefox fait des requêtes DNS en UDP mais le reste est en TCP.

Envoie une copie de log en texte pas dans un autre format.

 

Salut,

Effectivement il me manque quelques choses dans mon journal, mais je ne peux l'expliqué?
Entre temps je t'envoi les 2 logs.
Je refais un essai dans la soirée.

 

Salut lemonega

Ok, je comprend...

La règle TEST doit être placée immédiatement après celle-ci:
{Q. 999}; [TCP] << SYN ! >

Les règles {R. 21.01}; [TCP] { FTP control }
à {S..0000000}; [TCP] {{ Applications Internets }}

doivent êtres désactivées (décoche la première colonne)...

Comme ça la seule règle TCP sera ta règle Test pour ff ...

OK ?

 

Salut Climenole,

Est ce que c'est ton vrai nom Climenole ou alors ton pseudo?
Le filtrage marche pas trop mal et déja des questions.

Que signifie les choses suivantes sur le log?
[Local] [Tcp/Udp] << NetBios Verrouillé !>>'";TEST'

[Local / ALL] [ARP] { Résolution d'adresses '";TEST'

[Local / LAN] [UDP] {{ NetBios }}'";TEST'

[Tous] << IP non-routables ! >'";TEST'

{R.0000.00};[AA]";TEST';800;00:08:A1:A6:79:ED;00:17:33:71:35:90;192.168.1.20; 00:00:00:00:00:00;;

Car je ne retrouve pas les sequences "normal" comme tu l'expliques sur le site.

Pour le reste c'est normal({R.0000.00};[AA]";TEST';800;142;87.106.16.24;192.168.1.20;6;80;1846).
Pour tout ce qui est normal que peut on tirer exactement.

A demain, et profite encore du soleil car ici le temps est un beau temps pour le travail, donc parispluie

 

Salut lemonega

À ton avis lequel des 2 est le pseudo:
climenole
ou
Claude LaFrenière

OK

Bloque les paquets NetBios...

ARP est le protocole utilisé pour traduire les adresses MAC en adresses IP.
Cette règle doit habituellement être activée...

Le NetBios est le protocole MS pour les réseaux locaux.
Si tu as un tel réseau local ou un routeur utilisant les paquest UDP sur les même ports ces règles doivent être activées...

Dans le cas d'un réseau local avec le NetBios les adresses utilisées sont dans la gamme 192.168.*.*

La règle bloquant ces adresses doit être désactivée...

Euh ... Ah Tu as un routeur ou un LAN ? Il faut activer les règles en conséquence. Quel est la config. de ton système ? Routeur, modem-routeur ou ?

"ParisPluie" ici aussi...

A+

 

Bonjour à tous,

toujours sous W98SE, je cherche à sécuriser au maximum mon PC d'autant que les utilisateurs de tous âges s'y succèdent allègrement ; donc je me suis dit : "essayons le jeu de règles expérimentales de Climenole qui à l'air d'améliorer encore la sécurité" .
Bon, ça n'a pas fonctionné
Mon jeu de règle étant toujours (2 règles Mirc en moins ) celui qui apparaît dans ce fil : https://www.wilderssecurity.com/showthread.php?t=148748 ( réponse de Climenole du 18/11/06) ; puis-je récupérer quelque chose des sus-dites règles expérimentales pour renforcer le "blindage" de mon PC ?
Ca, c'est la question toute simple (réponse : oui ou non !).
La question compliquée c'est : comment je m'y prends ? ( réponse : détaillée +++).
En même temps, y'a pas urgence !L'nS me donne toujours autant de satisfaction !

BF

 

Salut Bella Furia

Pas encore passé à W2000 ? Pas grave...

Le jeu de règles expérimental n'a pas fonctionné?
C'est-à-dire? Où est-ce que ça coince ?

Pour ce qui est de renforcer la sécurité avec plusieurs utilisateurs incluant des enfants , je ne pense pas que ce jeu de règles renforce quoi que ce soit.

Ces articles de Microsoft seraient sans doute une bonne source d'information pour commencer: http://www.microsoft.com/france/athome/security/children/default.mspx

Réponse simple: oui.

Réponse +++: comme je vous l'ai dit, pour un PC utilisé par toute la famille c'est ailleurs que dans des règles du pare-feu qu'il faut chercher...

En plus de votre surveillance discrète (ce que vous savez déjà) il y peut être ceci qui pourrait convenir (je ne les ai jamais essayés; mon fiston a 17 ans et je pense que c'est lui qui m'a à l'oeil! )

KiddyWeb Free Edition 1.4.0.7
http://www.clubic.com/telecharger-fiche14410-kiddyweb-free-edition.html

Naomi 3.2.90
http://www.clubic.com/telecharger-fiche19700-naomi.html

LogProtect 1.1.3
http://www.clubic.com/telecharger-fiche12608-logprotect.html

Parental Filter 1.0
http://www.clubic.com/telecharger-fiche20632-parental-filter.html

 

Bonjour Climenole,
et merci pour ces liens ...que je regarde actuellement avec attention

une question : si, dans le filtrage des logiciels, je mets 2 points d'exclamation bleus uniquement pour "Look'n'stop personal firewall", j'obtiens ces informations dans le journal :
[img=http://img209.imageshack.us/img209/8201/looknt4.jpg]


Est-ce normal ? Sachant que ça n'arrive pas à chaque fois et sachant que c'est l'une des rares manifestations nominatives de mon firewall ?

A plus et merci

BF

(je n'ai pas voulu créer un nouveau fil pour ma pauvre petite question )

 

Salut Bella Furia

Oui tout à fait normal.

LnS doit boucler en local en UDP...

 

Bonjour

Tout d'abord un traditionnel mais mérité "merci Climenole"

Une petite question du néophyte intéressé que je suis, qui aimerait comprendre le pourquoi du comment pour pouvoir se débrouiller

Je viens d'installer le fameux jeu de règle et je m'interessais à la configuration des règles ARP: Je pense que toutes les requêtes ARP que je suis susceptible de recevoir proviendront de mon routeur.

Dans ce cas, est-il correct de placer un filtre au niveau des adresses MAC dans la règle {A01}? (mon adresse mac a gauche, et l'adresse mac de mon routeur a droite)

Est-ce utile?

Enfin, quelle serait la différence si je plaçais un filtre sur les adresses IP (la mienne étant fixe, et connaissant celle de mon routeur)?


Par rapport au protocole DHCP, j'ai la même interrogation:
Pour la règle discover du DHCP par exemple, quelle différence entre mettre mon adresse MAC comme filtre a gauche, ou utiliser le champ "= mon @ IP"?


J'ai essayé quelques solutions mais parfois cela ne marche pas sans que je comprenne quelle est la différence....


Merci pour votre aide

-Arnaud

 

Salut Dajon

Pas de quoi .)

Oui. Les requêtes ARP permettent d'associer une adresse MAC à une adresse IP.

Je pense que dans le cas d'un routeur il est préférable d'utiliser à la fois des adresses IP fixes pour les PCs en réseau et d'associer leurs adresses MAC à ces adresses IP fixes au niveau du routeur... si le routeur a une telle option.

Ok. C'est une question qui revient souvent.

Lorsqu'une règle utilise l'option paquets entrants (ou sortants) plutôt qu'entrant et sortant cela ne pose pas de problème car il suffit de voir ce qui est indiqué dans l'édition des règles (voir les captures d'écran).

Dans le cas d'une règle avec l'option "paquets entrants et sortants", la source et la destination change selon que c'est le PC ou le serveur qui envoie ou reçoit les paquets...

Comment alors déterminer à quel endroit inscrire les ports locaux?
En indiquant comme Adresse IP : Égale Mon@

Par convention je place celle-ci à gauche qui est l'emplacement dans le cas de l'option "paquets sortants" ... Il me fallait trouver une façon de créer les règles qui soit la plus consistante possible.

Faire le contraire ne devrait pas poser de problème à ce que je sache.



image 1 : entrant
image 2 : sortant
image 3 : entrant Et sortant