La logique looknstop et CheckPoint FW

Discussion in 'LnS French Forum' started by shreck, Sep 26, 2004.

Thread Status:
Not open for further replies.
  1. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Bonjour,

    J'ai été façonné professionnellement à l'école de pensée CheckPoint et personnellement je tente d'évaluer Looknstop 2.05 pour mes besoins personnels.
    La logique looknstop est pour moi déroutante pouvez vous m'aider ?
    En premier lieu ou est la doc technique ? Le help du logiciel est trop léger.
    - C'est quoi des paquets sortants ?
    Je comprends par là des paquets qui sortent et pour lesquels il n'y a pas de réponse.
    - Idem c'est quoi un paquet entrant.
    Dans ma logique il n'existe que des paquets qui sortent et qui reçoivent une réponse dans le cadre d'une session statefull ou des paquets qui entrent et qui reçoivent une réponse au sein d'une session.
    - Pourquoi dans le jeux de règles évolués il y a des règles comme " TCP : Flag FIN " ou " TCP :Null " dans lesquelles qui sont vides ?
    - Quand une règle empêche tous les flux sortant pourquoi une règle plus basse dans la liste qui autorise les flux entrant/sortant permet à des flux de sortir.
    - Quelle est la fonction de l'option statefull chez looknstop. Est il capable de créer des sessions UDP, ICMP comme echo request/reply comme kerio ?
    - Une règle qui permet aux ports dynamique windows 1024-5000 de se connecter au port 80 d'un serveur ne laisse t'elle pas les port 1024-5000 sans défense ?

    Je dois avouer que looknstop est incompréhensible pour moi alors que CheckPoint ou Kerio m'apparaissent d'une simplicité enfantine.
    Un white paper manque au produit.
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonsoir,

    la plupart de ces questions sont des questions de firewalls en général, tels que IPfilter (FreeBSD) ou NetFilter (Linux), ou plus généralement de tout firewall basé sur des règle de filtrage, donc un filtreur de paquets.
    Là tu compare un routeur (logique de NAT, translation d'adresse, et de flux de connexion existante ou non) avec un filtreur de paquets (pour exagerer la comparaison).

    un paquet (que ce soit UDP, TCP, ICMP, ou autre) qui est envoyé de ton ordinateur vers Internet (que ce soit un serveur web, mail, ou autre).

    PC -> Internet

    Un paquet entrant est un paquet venant d'internet et qui cherche a rentrer sur ton PC, que ce paquet appartienne a une connexion existante ou non.

    Internet -> PC

    Le paquet sortant est... le paquet sortant, et la réponse est le paquet entrant.

    elles ne le sont pas, il faut aller voir dans les Flags TCP et cliquer sur le bouton "Plus".

    Parce que la règle va bloquer des paquets correspondant a certains critères, et non tous les paquets sortant tout cours (auquel cas tu n'as plus de connexions internet).
    Par exemple je peut decider de bloquer tout paquet sortant s'il est du protocole TCP, et que le port distant est 445 (ce que ferai le virus Sasser).
    Si la règle ne correspond pas, le paquet est comparé a la suivante, et ainsi de suite.

    Je ne suis pas sûr à 100%, mais je pense que cela ne concerne que TCP avec Look'n'Stop.

    C'est un jeu de règle standard qui bloque la plupart des menaces internet, mais si tu veux plus de sécurité, essai le jeu de règle évolué.

    gkweb.
     
  3. Psyche

    Psyche Guest

    c vrai que looknstop est beaucoup plus sympas à utiliser et plus simple qu'un iptable et au niveau des logs c clair par contre il y a des situations où on est un peu limité

    par exemple si on autorise l ouverture du port 80 uniquement pour Internet Explorer, ce qui se passe c que le port 80 sera ouvert quand internet explorer est ouvert et les autres applications pourront utiliser aussi le port 80 à moins qu'internet explorer soit fermé, c pas très logique mais bon...

    de plus, looknstop en mode service ne semble pas vraiment filtré les applications quand on n'a pas ouvert de sessions.
     
  4. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    C'est d'ailleurs à mon avis une faiblesse grave.
    Il n'est pas utile d'être résistant à des leack test dont aucun spyware ne tire partie quand on laisse passer des trucs comme cela.
    Exemple :
    J'ai une règle qui permet à outlook express de se connecter sur le port 110 et 25.
    J'ai une règle qui permet à IE de se connecter au port 80.
    Je surfe avec IE et pendant ce temps là je lis mes email.
    Du très classique. Et bien à la lecture d'un email outlook pourra se connecter en http: sur un site et donner le n° de série de l'email ou me renvoyant sur un site douteux.

    La philo de looknstop est vraiment curieuse.
    Pour permettre à IE de sortir je doit crée une règle Paquet entrant/sortant avec comme adresse source la mienne. Si mon adresse est en adresse destination cela ne fonctionne pas. OK
    Alors pourquoi, pour permettre des connexions à mon serveur Internet donc un flux initié de façon inverse je dois toujours mettre mon adresse ip en source ?

    Tout cela n'est pas très intuitif et en terme de sécurité les erreurs humaines sont à la source de la majorité des trous de sécu.
    Pour moi Looknstop n'est donc pas très sécure.
     
  5. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    non pas du tout.

    A ta place je demanderai plus gracieusement des explications plutot que d'affirmer catégoriquement des choses fausses.

    Si tu te place en mode avancé, tu peut définir des ports et IP distants pour chaque applis, et evidemment tu n'autorise ton client que pour les mails et IE que pour HTTP. Pour cela il faut cliquer sur le bouton "Editer" dans le filtrage logiciel quand tu es en mode avancé.

    Je peut te donner plus de détails si tu le souhaite et si tu en a besoin.

    gkweb.
     
  6. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Désolé c'est contre le produit que j'en ai, LST est à mon avis une perte de temps. Il faut être passioné pour accepter de passer le temps nécéssaire à comprendre son fonctionnement précis.

    Pour les ports liés aux appli...
    Il est compliqué pour apréhender une politique de sécurité de devoir regarder partout dans tous les objets.
    La seule lecture des règles devrait le permettre sans avoir à fouiller partout. Sous kerio 2.1.5 par exemple quand on indique que ie peut se connecter au port 80 personne d'autre que ie ne peut le faire. C'est simple et évident.
    Un autre élément de cette philosophie compliqué est l'ergonomie pour indiquer des flags TCP. Si on ne clic pas sur "Plus" il est impossible de savoir s'il y en a. Il aurait fallu soit surligner le bouton pour indiquer qu'il y a du paramétrage en dessous ou mettre à plat au niveau de l'édition de la règle, les cases à cocher des flags.

    Encore un truc qui m'échappe. A quoi sert la case "Bloquer les connexions ..." quand une règle TCP vide avec l'icone STOP me semble suffir.

    Pourquoi dans les alertes et le journal n'ai je pas l'application responsable de l'alerte ou de l'entrée ?

    En tout cas merci pour ces réponses
     
  7. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    pour te répondre, Look'n'Stop est un firewall "basé sur les règles" (rule based) à l'inverse d'autres firewall personels "basé sur les applications" (application based). Pour ces derniers tu autorise ou bloque une application et tu n'as en effet pas d'autre travail à faire, mais tu n'as pas la même puissance de controle sur le traffic que la 1ère categorie de firewall, où tu peut bloquer certains flags, autoriser une adresse MAC precise, filtrer en fonctione des TTL (pour Look'n'Stop c'est avec le RAW plugin), etc...

    Je dirai en fait que la 1ère catégorie peut faire ce que la seconde fait, mais pas l'inverse. En contrepartie ca peut etre plus difficile à apprehender, mais c'est pour cela qu'il y a des jeux de règle prédéfinis, qu'il y a un mode simple et un mode avancé, etc...

    Certains utilisateurs exigeants sont très heureux de cette richesse et de ces possibilités très pointues, d'autres aiment ces jeux de règle prédéfinis,
    mais comme pour tout produit, Look'n'Stop correspond à certains besoins, mais
    pas à d'autres, et en tout cas apparemment pas aux tiens, ce qui ne fait pas de Look'n'Stop un mauvais firewall pour autant.

    Note que je suis juste qq qui est juste là pour aider, je ne suis pas Look'n'Stop, ni même modérateur.

    Si Look'n'Stop ne te convient pas il y a d'autres firewalls qui pourront surement
    répondre à tes besoins personels.

    gkweb.
     
  8. Psyche

    Psyche Guest

    oui il y a des bonnes choses dans looknstop, mais le fait d interdire le port 80 sur chaque application sa devient très vite énervant donc ce serait bien qu'on puisse choisir le mode de fonctionnement.

    de plus si on veut mettre la même configuration des règles du filtrage applicatif sur d'autres ordinateurs il n'y a aucune fonction pour exporter la liste donc il faut tout se retaper à la main.
     
  9. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Bonjour,

    Je n'aime QUE les firewall basés sur des règles. Kerio 2.1.5 en est un. Kerio ne traite que le niveau 3 alors que LNS traite le niveau 2 et 3.
    LNS est donc plus riche.
    Looknstop semble être pour moi le produit idéal mais il à des défauts totalement rédibitoire comme celui de ne pas pouvoir lier une règle à une application.
    C'est pour moi l'énorme différence entre un firewall d'entreprise et un firewall personnel qui à l'énorme avantage de connaitre les appli qui ouvres les ports.
    LNS n'en tire pas partie c'est honteux.
    Il est juste capable d'activer une règle au lancement d'une application ce qui représente un trou énorme ouvert aux applications qui sont lancés par la suite.
    Quand à choisir le port à ouvrir dans la partie "application", d'une je n'aime pas les firewall basé sur les applications et de deux, indiquer un port lié à une appli est d'une pauvreté affligente en terme de possibilités face à ce que propose LNS dans la parie règle.
    Je suis même partisant que LNS abandonne la partie applicative au profit d'une simple gestion de hash md5 d'applications.
    Quand à l'option statefull je ne comprend pas à quoi elle sert.
    En effet quand elle n'est pas coché LNS gère les sessions TCP comme en statefull.
    Quand l'option est coché LNS ne gère ni les "sessions" udp ni les "session" icmp comme le fait par ex le kerio payant.
    A coté de cela je suis tombé sur des bugs qui ne me font douter de la saineté de LNS 2.05.
    A un moment j'avais fait de nombreux essais et je ne pouvais plus surfer sur Internet. J'ai cherché le pb par dichotomie et j'ai décoché la case des Applications. Rien. J'ai ensuite décoché la case des régles et là cela à fonctionné. Normal ?
    Non car j'ai de nouveau coché les deux cases et tout à continué de fonctionner.
    J'ai également eu un plantage de LNS.
    Je ne suis pas très content car c'est rageant. LNS est pour moi presque le bon produit mais à cause de ces qq défauts je le trouve moins bon qu'un kerio 2.15 qui de plus est gratuit.
    Quand aux fameux leaktest dont LNS se sort bien et qui m'ont attirés vers ce produit, qui connait un trojan utilisant une de ces techniques ?
    L'illogisme du fonctionnement de LNS et son impossiblité à lier une régle à une appli rendent LNS un firewall très dangereux à mes yeux d'autant plus que je soupsonne certains utilisateurs de LNS de ne pas bien maitriser ses subtilités.
    Autre grief, où est la doc ? Le help n'explique rien !
    LNS fonctionne t'il lorsqu'il n'y a pas de session Windows d'ouverte ?
     
  10. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Il n'a y a pas besoin d'interdire le port 80 sur chaque appli, il faut juste autoriser chaque appli pour des ports définis, et par defaut tout ports n'etant pas ds la liste autorisé sera bloqué.

    Pour le fait qu'on ne peut pas exporter la liste, il y a moyen par la base de registre si les machines sont identiques et ont les memes appli installées dans les meme chemins.
    Cependant je suis d'accord qu'un bouton dédié "exporter" serai le bienvenue.

    gkweb.
     
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Pourquoi un tel acharnement depuis le début du thread contre Look 'n' Stop ?
    Si vous n'êtes pas satisfait, et que Kerio est mieux et gratuit, aucun soucis pour nous, utilisez Kerio.

    Cordialement,

    Frédéric.

    PS: 'Stateful' s'écrit avec un seul 'l'.
     
  12. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Désolé je suis un vif, mais c'est un débat non ? et j'aurais préféré une réponse à mes questions plutôt que lire : 'stateful ne prend qu'un "L"'
    En fait je suis déçu. LNS avait tout pour me plaire et j'aurais aimé que l'on me dise que je me trompais.
    Est il envisageable que la version suivante corrige ces problèmes ?
     
  13. Psyche

    Psyche Guest

    effectivement shrek, au niveau bug sur le filtrage des packets sa m'est déjà arrivé quelques fois mais la solution est de décocher et de recocher le filtrage internet.

    Il existe d'autre firewall de meilleur qualité mais moins ergonomique, si j'étais toi je me tournerais plutot vers ces solutions.

    Il y a bien d'autre probleme avec looknstop comme l'histoire des licenses, d'ailleur j'ai délibérément cracké ma version acheté pour être tranquille quand je change de disque dur, enfin bon... c'est un problème parmis tant d'autre avec looknstop.
     
  14. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Oui mais quelle solution ?

    Outpost utilise des règles comme le fait outlook express pour ses règles de messages. C'est illisible et anti-ergonomique dans un firewall ou la cohérence global et la lecture globale des règles est importante.

    Kerio payant est trop lourd en mémoire et je n'ai que faire d'un IDS et d'une partie filtrage sur application. Un anti popup ne m'intéresse pas non plus.
    Par contre l'ergonomie n'est pas mal et je n'ai jamais eu de bug qui me fasse perdre confiance dans le produit.

    Kerio 2.15 est bien, mais il n'a pas évolué.

    LNS, j'ai déjà fait part de mes griefs.

    Black ice ne filtre qu'en entrée et je n'adhère pas à la philosophie IDS.

    Zone alarme et les autres ne me plaisent pas du tout. Je souhaite un FW avec des règles "réseau"

    Je comprends mieux le succès de CheckPoint. L'ergonomie est proche du parfait mais je ne vais pas dédier une machine à cette tache et ce n'est pas un firewall personnel [qui connait les appli]

    LNS va arriver en fin de vie et je retourne vers Kerio 2.15.
    A cet égard Kerio trouve des tentatives de connexion au démarrage que LNS ne trouvait pas. J'ai l'impression que LNS se lance un peut trop tard.
    Le pb avec LNS c'est qu'il faut faire des tests en long et en large pour savoir ce qu'il fait alors qu'une vraie doc ferait l'affaire.
    I want to RTFM !

    J'ai aussi l'impression que les développeurs d'un petit produit comme LNS pourraient être plus proche de leurs utilisateurs et intégrer leurs remarques.

    Je pense qu'un LNS open source serait peut être une bonne chose.
     
  15. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    => Complètement hors-sujet sur ce forum dédié à Look 'n' Stop. Si vous souhaitez parler de firewalls en général, il y a un autre forum: https://www.wilderssecurity.com/forumdisplay.php?f=31

    Une affirmation qui n'engage que vous...

    C'est ce que nous faisons la plupart du temps. La grande majorité des évolutions et corrections apportées à Look 'n' Stop (cf la section historique de l'aide) vient de discussions avec les utilisateurs et en particulier de discussions sur les 2 forums.
    Malheureusement en ce qui concerne vos posts et la manière dont vous avez de présenter les choses, ça ne donne pas envie d'y répondre sérieusement.

    Cordialement,

    Frédéric.
     
  16. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Les versions crackées sont bien connues pour planter et poser des problèmes...
    Nous avons à plusieurs reprises investigués de faux problèmes à cause de versions crackées.
    Utiliser une version crackée peut effectivement conduire à un firewall inactif, et donc c'est prendre un gros risque en terme de sécurité.

    Frédéric
     
  17. hammett

    hammett Registered Member

    Joined:
    Aug 31, 2004
    Posts:
    13
    Bonjour,

    Je suis d'accord avec shreck j'ai posté plusieurs problèmes mais rien.
    Je pense que LNS, peut avoir une longue vie parmis les firewalls personnel, mais il faudrait prendre en compte les petits bugs que l'on rencontre et les améliorations que vous pourrez apporter.

    J'ai posté justement, il y a quelque temps, une demande sur d’éventuelle amélioration mais je n'ai JAMAIS eu de réponse à ce sujet.
    En se qu’il s’agit d’une DOC, je suis toujours a la recherche. Personnellement je suis informaticien et certifier sur ISA SERVEUR 2000, par contre les autres personnes je ne suis pas sûr qu’il puisse se servir qu’un FIREWALL comme il faut, qu’il comprenne ce que c’est que UDP, ICMP …. Peut etre que c’est du Chinois pour eux. Une doc serait la bienvenue pour ses gens là.

    En ce qui concerne LNS, voir le poste du 1 septembre que j’ai mis et dont je n’est pas eu de réponse.
     
  18. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Frédéric,

    Je ne me permet pas de dire des choses comme ça par respect vis à vis de ceux qui travaillent à développer un produit.
    Je voulais dire que le LNS allait arriver en fin de vie chez moi par ce que c'est une version d'évaluation !
    Néamoins vos interventions ne se font que sur la forme de nos propos et jamais sur le fond. C'est un forum technique.
    Prenez vous en compte nos suggestions ? Dans quel délais ?
     
  19. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Ok.

    Comme quoi la forme du post (et des précédents) compte et influe sur la compréhension.

    Malheureusment, en ce qui me concerne, la forme ou plutôt le style du post compte, et incite plus ou moins à répondre, et plus ou moins rapidement.

    Si la question est générale, la réponse est oui, comme je le disais la plupart des évolutions depuis le début viennent de discussions avec les utilisateurs.
    Si la question est relative à vos posts, merci de vous concentrer dans un premier temps sur un sujet en particulier (dans un nouveau post) plutôt que de partir tout azimut.

    Tout dépend de la requête ou du problème. Il n'y a évidemment pas de règle générale.
    Un problème bloquant rencontré par beaucoup de personnes sera servi plus rapidement qu'une suggestion mineure faite par une seule personne.

    Cordialement,

    Frédéric
     
  20. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Si vous n'aviez pas intitulé votre post initialement "HHHHEEEELLLLPPPP MMMMMMEEEEE !!!!!!" ou un truc du genre, vous auriez sans doute eu une réponse plus rapide. D'ailleurs le titre n'est toujours pas bon, il est trop générique.

    Même problème que précédemment, la forme et le style compte ;)

    Cordialement,

    Frédéric
     
  21. Psyche

    Psyche Guest

    "Les versions crackées sont bien connues pour planter et poser des problèmes...
    Nous avons à plusieurs reprises investigués de faux problèmes à cause de versions crackées.
    Utiliser une version crackée peut effectivement conduire à un firewall inactif, et donc c'est prendre un gros risque en terme de sécurité. "

    Malheureusement il n'y a aucune modification de looknstop donc on ne parle pas de cracking mais c plutot au niveau de l'OS (sans vouloir révéler la réponse) donc rien à voir avec vos histoires de petit crack sur internet ou autre connerie.

    Ceci dit je préfèrerais voir un travail plus sérieux dans looknstop vis à vis de la conccurence.
    Par exemple looknstop sur un terminal server win2003 sa donne quoi ? toujours des problèmes de console multiple qui se lance ?

    au niveau du filtrage des interfaces on a droit à une seule interface alors que les autres firewalls peuvent en géré une cinquantaine.

    au niveau du stateful packet inspection vous êtes encore à limité les nombres de connexion à 128, vous croyez vraiment qu'avec d'autre firewall professionnel on limite le nombre de connexion TCP à 128 ? imaginé 2 secondes un serveur web limité à 128 connexions, se serait grotesque.

    etc... etc...
     
  22. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est vous qui avez utilisé le terme "cracké", pas moi.

    Dans la version actuelle de Look 'n' Stop, notre cible n'est effectivement pas la sécurité de postes serveurs qui gèrent des centaines de PC et des milliers de connexions en simultané.
    Ce type de sécurité se paye en général beaucoup plus cher qu'un simple Shareware destiné à des postes individuels.
    Ceci dit Look 'n' Stop doit fonctionner correctement (comme sur un poste individuel) lorsqu'il est installé sur un poste Windows server (avec les restrictions que vous citez). Et quelques corrections ont déjà été apportées en ce sens.

    Cordialement,

    Frédéric
     
  23. kamui

    kamui Registered Member

    Joined:
    Aug 19, 2003
    Posts:
    218
    Location:
    France
    @shreck
    tu n'as rien compris Lns est pour un usage non professionnelle pour les particuliers ou petite pme !!

    tu compare des choses imcomparables ! Checkpoint vs Lns , c comme si tu comparais un routeur cisco à un vieux routeur netgear .

    mdr.

    Compare Checkpoint à Clavister ou autres solutions du même genre ;)

    ++
     
  24. shreck

    shreck Registered Member

    Joined:
    Sep 26, 2004
    Posts:
    8
    Kamui, les deux produits ont une destination et un prix différent mais la syntaxe des règles peuvent être proches.
    Remplace alors le mot "check point" par Kerio.
    Kerio a un fonctionnement stateful y compris en ICMP ce qui n'est même pas le cas de checkPoint V4 et sa syntaxe est plus proche de ce que je recherche.
    Mais personne ne m'a répondu au sujet de ce que je considère un énorme "leak" !
    Une appli rend une règle active et les autres appli s'engouffrent dans ce trou béant.
    Pour moi c'est une fuite énorme. Quand un éditeur de produit de sécurité résonne de cette façon j'ai peur pour tous les autres aspect du fonctionnement interne pour lesquels je dois faire confiance.
     
  25. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    dit plus haut :
    Ainsi aucune appli ne peut s'engouffrer dans une règle faite pour une autre.
     
Thread Status:
Not open for further replies.