Check

Discussion in 'LnS French Forum' started by k3at0n, Aug 28, 2007.

Thread Status:
Not open for further replies.
  1. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Bonjour Climenole :)

    Voici mon jeu de règles, avec un fichier texte contenant quelques questions, ainsi que quelques screenshots....
    Puis-je avoir ton avis stp ?
     

    Attached Files:

  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)


    OK: merci de ces précisions.

    Pour que la règle inscrive une entrée au journal il faut mettre le symbole "!" dans la 3 ième colonne du filtrage Internet. Cette règle doit être placé en tout début de la liste.


    Non: il faut vérifier avec la commande ipconfig

    Démarrer | exécuter | cmd /k
    puis
    ipconfig /all


    Sais pas... vérifie que les symbole ! est placé en 3 ième colonne...
    Laisse la règle pour le moment au cas ou...

    La règle "pivot" ou Centrale est utilisée entre le PC et Internet pour bloquer des sollicitations de connexion entre le PC et Internet. En local c'est différent...


    Oui. Dans le cas d'un PC hors réseau de tels paquets se bloquent avec une règle. Celle-ci est inutilisable en réseau (ICS ou Routeur)
    Dans le cas d'un routeur cela peut être bloqué avec le routeur si une telle option existe.

    Dans les paramètres du routeur.
    Il faut des adresses IP locales fixes ET mettre l'adresse MAC correspondante dans les paramètres du routeur...

    Non. La position relative est pertinente: les règles sont comparées aux paquets examinés à partir de la première de la liste jusqu'à ce que tous les critères d'une règle corresponde aux caractéristiques du paquet. Alors la règle est appliquée.


    Non. Mais est utilisé avec la fonction Universal PlugNPlay pour configurer automatiquement les ports pour certaines applications...

    Cette règle doit être désactivé. Elle ne doit pas être utilisée en réseau mais uniquement sur un PC "standalone"

    La règle WinNuke qui bloque les TCP entrant sur le port 139 est à mon avis inutile. La règle précédente bloquant les TCP + syn entrants est suffisante

    Normal. Non. Les paquets UDP se placent après les règles d'autorisation TCP pour les programmes clients.
    Par exemple après la règle "TCP: autorise les services Internet standards"


    Non mais c'est préférable pour des questions d'information. Plus simple de distinguer les blocages.
    On peut aussi distinguer par protocole et par direction (in ou out). Pratique pour créer des règles...


    Non. Pas nécessairement.

    à ton choix.

    C'est l'utilisation de la focntion logique AND (ET logique) avec différents critères.
    Voir les flags du protocole TCP...

    1- un flag avec MASQUE coché ET ACTIVE coché =
    Le flag doit être présent

    2- un flag avec MASQUE coché ET ACTIVE non coché =
    Le flag doit être absent

    3- un flag avec MASQUE non coché ET ACTIVE non coché =
    Le flag présent ou non est toujours accepté

    4- un flag avec MASQUE non coché ET ACTIVE coché =
    Le flag n'est jamais accepté

    Les adresses MAC ne circulent qu'en local pas sur Internet.

    :)

    P.S. Je vais vérifier les reste ce soir...(le jeu de règles)
     
  3. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    merci bcp pour cette longue réponse ;)
    c'est vrai que j'avais mis quand-même bcp de questions :p
    j'examine tout çà et on en reparle....
     
  4. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Re coucou :)

    =====

    WiFi : alors, j'ai bien coché le ! pour faire afficher la règle dans le journal. Cependant la règle était en 2ème position et non en 1ère, car je croyais qu'il fallait commencer par la règle qui gère la résolution des adresses MAC (ARP). Je vais donc la monter d'un cran pour voir...

    UDP Communication réseau : l'une des ip qui apparait dans la règle UDP 137-139 (réseau) est mon ip locale (192.168.1.X), et l'autre est 192.168.1.255, qui elle n'apparaît pas dans ipconfig, mais je vois dans la box que c'est l'adresse de broadcast du LAN. Peut-on en conclure que, lorsqu'on a l'ip de la passerelle/DNS/DHCP en 192.168.1.1, l'ip du broadcast du LAN sera toujours 192.168.1.255 ? (oops je crois que c'est stupide comme question, mais dans le doute...)

    Partage de fichiers : pour la règle "partage de fichiers (client)", le ! est bien activé mais pas de news de la règle dans le journal.

    =====

    Pivot "réseau" : tu dis " La règle "pivot" ou Centrale est utilisée entre le PC et Internet pour bloquer des sollicitations de connexion entre le PC et Internet. En local c'est différent... "

    => Il y a bien une règle server et une client pour le partage de fichiers en local. Malgré cela, pas besoin de "pivot" entre les 2 ?

    => Si je veux seulement accepter le pc X de mon réseau à accéder à mes fichiers, mais pas les autres, ne me faudrait-il pas une règle bloquant les autres tentatives de connexion entrantes (pivot) ? Voire une règle par pc, pour détailler l'affichage dans le journal, pour savoir si c'est le pc X ou le pc Y qui essaie de se connecter au mien.

    => Je demande cela car çà me permettrait de faire des règles avec les adresses MAC de chaque pc du réseau, sécurisant ainsi mes pc par rapport aux ip spoofées venant d'internet (?). Voir ce qui suit...

    =====

    IP spoofée :

    - Originally Posted by k3at0n...
    Les règles concernant le réseau étant placées au tout début du jeu de règles, une ip spoofée (192.168.1.X par exemple) pourrait-elle entrer dans le réseau interne, sans être confrontée aux règles restrictives qui suivent ? (fragment, flag FIN, etc.)

    - Originally Posted by Climenole...
    Oui. Dans le cas d'un PC hors réseau de tels paquets se bloquent avec une règle. Celle-ci est inutilisable en réseau (ICS ou Routeur)
    Dans le cas d'un routeur cela peut être bloqué avec le routeur si une telle option existe.

    => Oula ! çà fait peur çà !! :(
    Dans mon routeur (livebox) je n'ai pas la possibilité de préciser une adresse MAC par règle, mais seulement une ip locale. Donc où le préciser ? En mettant les adresses MAC dans les règles "réseau" de LnS (WiFi, DNS, BOOTP,...) ? Comment être sûr, quand je reçois un paquet depuis une ip soit-disant locale, que ce n'est pas une ip spoofée ?

    => Farfelu (?) : une plage d'adresses MAC ne pourrait-elle pas sécuriser un réseau (oula çà existe çà ?) ?

    => J'imagine donc (enfin j'espère) que mon routeur/box refuse systématiquement toute ip d'apparance locale venant d'internet. Ce qui règlerait mon inquiétude par rapport aux ip spoofées !! :)

    =====

    Ping : je comprends pas pourquoi je dois désactiver cette règle. Si je la désactive je ne pourrai plus faire de ping sur internet (check de l'antivirus avant de faire une mise à jour par exemple) ?

    UDP : s'il n'y pas besoin de règle pivot pour l'UDP, je peux mettre une règle "server" avant ou après une règle "client"... Pas d'importance ?

    Adresses MAC sur internet : je veux dire que si par exemple je mets à disposition mon jeu de règles avec mes propres adresses MAC, est-ce que les personnes qui les ont peuvent les utiliser depuis internet ? (j'espère que c'est pas trop couillon comme question... :p )

    =====

    Désolé je suis une vraie boite à questions !! :p
     
  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Pas nécessaire alors...

    l'IP de broadcast est toujours celle se terminant par 255


    Laisse faire ... ou désactive-la pour voir ce que ça donne ou pas...

    Oui. Ton réeau local ou l'un de tes PC n'est pas un serveur sur lequel des types viennent se conecter depuis Internet. Alors...


    C'est ça: il n'y a qu'un seule et unique règle centrale pour le jeu de règles.


    Ne les autorise pas (via le routeur)

    Oui mais sur le routeur. Pas dans le jeu de règles

    On peut fortement le supposer. Sinon, à quoi servirait un routeur o_O

    o_O Ne désactive pas le ping..
    Il doit y avoir un malentendu...

    Après. C'est plus "ordonné" ...


    Oui et non. Les adresses MAC ne circulent pas sur Internet mais si tu publie l'adresse MAC de ton routeur cette adresse pourrrait être usurpée. Il y a des méthodes pour changer les adr. MAC des cartes réseau, modems , etc.

    Je comprend maintenant pourquoi j'ai mal à la tête ...
    ;)
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut

    J'ai vérifié ton jeu de règles: SUPER !!! :thumb:

    Bravo d'avoir tout fait cela toi-même. Je suis vraiment impressionné. :eek:

    Quelques petites modifications mineures. Tout le reste a l'air correct.

    :)
     

    Attached Files:

  7. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Salut Climenole :)

    Merci beaucoup pour tes réponses et explications !!
    Et merci d'avoir analysé mon jeu de règles, çà me rassure de savoir qu'il ne contient pas de "grosse faille". :p

    Quant aux adresses en 192.168.* je tentais depuis quelques temps de créer, dans la partie réseau, des règles précises qui utilisaient ces ip (principalement ma box en 192.168.1.1), pour pouvoir laisser cette règle générique afin de bloquer le reste (ip spoofée, ou toute connexion inutile). Ce que j'arrivais à faire, sauf pour le fameux problem du ping qui se retrouvait bloqué, et qui m'obligeait donc à faire une règle ping supplémentaire "spécial réseau" pour autoriser le ping à passer entre la box et le pc (et l'identifier)...

    Bref au final j'ai arrêté mes bidouillages et j'ai désactivé la règle 192.168.* comme tu le recommandais ;)

    Seulement, je me suis fait flooder il y a encore quelques jours, mais cette fois par des ip en *.0 et *.255 :eek:
    143.233.227.255 (users.iit.demokritos.gr) > grèce
    84.60.190.0 (dslb-084-060-190-000.pools.arcor-ip.net) > allemagne

    J'en conclue que ce sont des ip spoofées. Me trompe-je ?
    Ma box ne filtrerait donc pas ce genre de paquets propre au réseau ?
    Ou est-ce qu'elle filtre uniquement les ip en 192.168.* ? (comment vérifier)

    Au fait, le routeur de la livebox ne permet pas de gérer les connexions inter-pc au sein d'un réseau, il permet uniquement de filtrer les paquets provenant d'internet, et de les rediriger vers telle ou telle ip locale.

    Je vais donc essayer de créer des règles dans Looknstop pour pouvoir visualiser dans le journal (et éventuellement interdire) les connexions entre les différents pc du réseau, ce qui je pense peut être utile pour pouvoir sécuriser un pc lorsque l'on n'est pas l'administrateur du routeur (ou que le routeur ne permet pas ce genre de règles, comme dans mon cas).

    Respectueusement, K3at0n.

    PS : la règle wifi en 2ème position (juste après la règle ARP), c'est correct finalement ?
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut k3at0n :)

    OK. Tu as créé un bon jeu de règles.

    OK. Problème réglé.

    Les adresses IP version 4 finissant par 0 = en local seulement. Désignent "CE" réseau...

    Les adresses IP version4 finissant par .255 sont des adresses de diffusions sur le réseau correspondant.

    Aucune adr. IP de ces 2 types ne doit être routée sur Internet.

    Spoofées? pas nécessairement. Routeur mal configuré ou un truc du genre.
    Puisqu'elles sont bloquées on laisse le pare-feu faire son boulot et on les oublie...

    :)

    WiFi en 2 ième = ok.

    Les paquets destinées à telle ou telle adresse locale 192.168.x.x sont
    gérés par le routeur de toute façon. Pas par LnS....
    Ne perd pas ton temps avec ça...

    [ à moins d'associer chaque IP des PCs du réseau à une adresse MAC mais cela rend la chose trop compliquée surtout pour un réseau domestique...
    Suppose que les adresse IP locales sont fixes... ]

    Les problèmes de sécurité sur un LAN comme le tien ne sont pas les mêmes et n'ont pas l'ampleur de ceux sur un LAN d'entreprises par exemple...

    Important: change le mot de passe par défaut de ton router...
    Les mots de passe par défaut sont disponibles un peu partout sur Internet.

    à part ça je ne vois pas ce qu'il y aurait d'autre à faire...

    :)
     
  9. k3at0n

    k3at0n Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    17
    Super !! Merci encore :)
    Climenole powa !!
     
Thread Status:
Not open for further replies.