LNS beta 2.06b2 + LiveBox Sagem

Discussion in 'LnS French Forum' started by TackOver, Apr 24, 2007.

Thread Status:
Not open for further replies.
  1. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Bonsoir à toute l'équipe de Wilders Security!

    Mayday! Mayday!

    J'utilise Look n Stop depuis un bon moment...environ 3ans si ce n'est plus!
    Lorsque je démarre mon PC, Look N Stop reconnait l'adresse IP locale => 192.168.1.10 et non l'ip statique que la DNS fournit.
    J'aimerai revoir cette adresse statique et non locale dans LNS au boot avec ma livebox si possible...
    Depuis que j'ai acheté mon routeur comme vous le savez il est pour moi impossible de désactiver le firewall matériel de ma livebox qui me protège contre les DDOS ce que Look n Stop ne peu faire puisqu'il n'agit que sur la couche applicatif de la pile tcp/ip (reprenez moi si je ne me trompe..)
    Après avoir fait des tests online pour tester ma sécurité mise en oeuvre.. il s'avère que le port TCP 135 est fermé (les services DCOM ont été entièrement supprimer)...Il n'est pas masqué... en ayant mes 2 firewalls matériel et logiciel d'activés ce qui est très génant puisque Look n Stop ne réagit pas, n'intervient pas! (plus!)
    Look n Stop ne filtre plus grand chose à part quelques packets en réseau ethernet ce qui m'inquiète! Comment retrouver toute la force de Look N Stop? celle que j'avais jadis! autrefois! avec mon modem 512K ECI...

    Pour plus d'information:

    win + r => cmd /k ipconfig /all

    Configuration IP de Windows XP2

    Nom de l'hôte . . . . . . . . . . : 0001
    Suffixe DNS principal . . . . . . :
    Type de noud . . . . . . . . . . : Inconnu
    Routage IP activé . . . . . . . . : Non
    Proxy WINS activé . . . . . . . . : Non

    Carte Ethernet Connexion au réseau local:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
    Adresse physique . . . . . . . . .: FF-FF-FF-FF-FF-FF => non communiquable
    DHCP activé. . . . . . . . . . . : Non
    Adresse IP. . . . . . . . .*. . . : 192.168.1.10
    Masque de sous-réseau . . .*. . . : 255.255.255.0
    Passerelle par défaut . . .*. . . : 192.168.1.1
    Serveurs DNS . . . . . . . . . . : 192.168.1.1
    NetBIOS sur TCPIP. . . . . . . . : Désactivé

    win + r => cmd /k route print (j'ai forcé la table du routage par l'indice le plus faible pour éviter les saturations, les engorgements)


    ===========================================================================
    Liste d'Interfaces
    0x1 ........................... MS TCP Loopback interface
    0x2 ...ff ff ff ff ff ff ...... Broadcom NetXtreme Gigabit Ethernet - Look 'n' S
    top Driver
    ===========================================================================
    ===========================================================================
    Itinéraires actifs*:
    Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 1
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 1
    192.168.1.10 255.255.255.255 127.0.0.1 127.0.0.1 1
    192.168.1.255 255.255.255.255 192.168.1.10 192.168.1.10 1
    255.255.255.255 255.255.255.255 192.168.1.10 192.168.1.10 1
    Passerelle par défaut*: 192.168.1.1
    ===========================================================================
    Itinéraires persistants*:
    Aucun

    win + r => cmd /k regedit (optimisation de la pile tcp/ip et sécuritaire)

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    "ForwardBroadcasts"=dword:00000000
    "IPEnableRouter"=dword:00000000
    "UseDomainNameDevolution"=dword:00000000
    "EnableICMPRedirect"=dword:00000000
    "DeadGWDetectDefault"=dword:00000001
    "DontAddDefaultGatewayDefault"=dword:00000000
    "EnableSecurityFilters"=dword:00000000
    "EnablePMTUDiscovery"=dword:00000001
    "EnablePMTUBHDetect"=dword:00000000
    "TcpTimedWaitDelay"=dword:0000001e
    "SackOpts"=dword:00000001
    "Tcp1323Opts"=dword:00000001
    "DefaultTTL"=dword:0000006f
    "TcpMaxDupAcks"=dword:00000003
    "DefaultMSS"=dword:000005ac
    "TcpNumConnections"=dword:00001388
    "TcpWindowSize"=dword:0007cc80
    "GlobalMaxTcpWindowSize"=dword:0007cc80
    "FFPFastForwardingCacheSize"=dword:00000000
    "MaxNormLookupMemory"=dword:00049ed0
    "KeepAliveInterval"=dword:00000001
    "DhcpNameServer"="192.168.1.1"
    "TcpMaxConnectResponseRetransmissions"=dword:00000001
    "EnableDeadGWDetect"=dword:00000000
    "PerformRouterDiscovery"=dword:00000000
    "KeepAliveTime"=dword:00000050
    "NoNameReleaseOnDemand"=dword:00000001
    "MaxFreeTWTcbs"=dword:00000001
    "TcpDelAckTicks"=dword:00000000
    "TcpAckFrequency"=dword:00000000
    "MaxUserPort"=dword:0000ea60
    "TcpMaxDataRetransmissions"=dword:00000002
    "DisableIPSourceRouting"=dword:00000002
    "EnableFragmentChecking"=dword:00000001
    "EnableMulticastForwarding "=dword:00000000
    "EnableAddrMaskReply"=dword:00000001
    "StrictTimeWaitSeqCheck"=dword:00000001
    "MTU"=dword:000005d4
    "DisableUserTOSSetting"=dword:00000001
    "IGMPlevel"=dword:00000000
    "AllowUserRawAccess"=dword:00000000
    "ArpAlwaysSourceRoute"=dword:00000001
    "ArpCacheMinReferencedLife"=dword:00000000
    "ArpCacheLife"=dword:00000001
    "ArpRetryCount"=dword:00000001
    "ArpTRSingleRoute"=dword:00000001
    "ArpUseEtherSNAP"=dword:00000000
    "DisableMediaSenseEventLog"=dword:00000001
    "DisableTaskOffload"=dword:00000001
    "EnableBcastArpReply"=dword:00000001
    "EnableFastRouteLookup"=dword:00000000
    "FFPControlFlags"=dword:00000001
    "ForwardBufferMemory"=dword:00000000
    "IPEnableRouterBackup"=dword:00000000
    "MaxForwardBufferMemory"=dword:00000000
    "MaxForwardPending"=dword:00000000
    "MaxFreeTcbs"=dword:00000000
    "MaxHashTableSize"=dword:00000040
    "MaxNumForwardPackets"=dword:00000000
    "NumForwardPackets"=dword:00000000
    "NumTcbTablePartitions"=dword:00000001
    "PerformRouterDiscoveryBackup"=dword:00000000
    "PPTPTcpMaxDataRetransmissions"=dword:00000002
    "TcpInitialRTT"=dword:00000001
    "TcpMaxSendFree"=dword:0000ffff
    "TcpUseRFC1122UrgentPointer"=dword:00000000
    "TcpRecvSegmentSize"=dword:000005ac
    "IPXEnabled"=dword:00000000
    "DisableDHCPMediaSense"=dword:00000001
    "SolicitationAddressBcast"=dword:00000000
    "TrFunctionalMcastAddress"=dword:00000000
    "TypeOfInterface"=dword:00000003
    "UseZeroBroadcast"=dword:00000000
    "TcpSendSegmentSize"=dword:000005ac
    "TcpSendDownMax"=dword:00000000
    "ArpCacheSize"=dword:00000000
    "IpReassemblyTimeout"=dword:00000000
    "TcpDisableReceiveChecksum"=dword:00000000
    "TcpDisableSendChecksum"=dword:00000000
    "TcpKeepCnt"=dword:00000000
    "TcpKeepTries"=dword:00000001
    "TcpLogLevel"=dword:00000000
    "TcpMaxConnectAttempts"=dword:00000000
    "TcpMaxRetransmissionAttempts"=dword:00000000
    "UdpDisableReceiveChecksum"=dword:00000000
    "UdpDisableSendChecksum"=dword:00000000
    "UdpNumConnections"=dword:00000001
    "RouterMTU"=dword:000005d4
    "PPTPFiltering"=dword:00000001
    "Remorques"=dword:00000000
    "EnableAdapterDomainNameRegistration"=dword:00000000
    "PrioritizeRecordData"=dword:00000000
    "QueryIpMatching"=dword:00000001
    "EnableICMPRedirects"=dword:00000000
    "TcpMaxConnectRetransmissions"=dword:00000000
    "InitialRtt"=dword:00000001
    "KeepAlive"=dword:00000050

    Je n'ai pas réaliser une règle NAT qui n'active que la couche OSI, à quoi bon?

    Mon système d'exploitation est transperçable! :cautious: Comment y remédier? Merci de votre compréhension!
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonsoir TackOver :)



    Quel jeu de règles utilisez-vous?
    Avez-vous vérifié les règles DHCP ?
    Est-il possible de nous "uploader" votre log?


    Le niveau "applications" (Http, Ftp, Dns....) de la pile TCP-IP n'est PAS pris en charge par LNS ...
    les couches liaisons(ethernet), réseau (igmp. icmp, ip...), transport( tcp, udp...) le sont.
    (modèle du DoD en 5 couches: physique, liaison, réseau, transport et applications ).

    Pour ce qui est d'un DDOS je crois que cela a autant de chance de vous arriver que d'être frappé par la foudre ou de gagner à la loterie... Cela concerne les serveurs (institutions, entreprise, etc). Pas les PCs.


    La règle qui rend les ports furtifs en TCP est la règle "bloquer les connexions entrantes" du jeu de règles évoluées de LNS... Elle bloque les paquets TCP avec le flag syn en entrée. Soit que vous n'avez pas cette règle, soit que celle-ci est mal positionnée dans la liste...


    2 questions:

    a) Pourquoi le DHCP n'est pas activé o_O

    b) est-ce un routeur Wi-Fi ? Si oui importe cette règle:
    http://www.looknstop.com/Fr/rules/rules.htm#wifi

    Pour les règles DHCP (s'il s'avère qu'il est nécessaire...):

    Règle # 1

    Protocole UDP
    partie gauche de la fenêtre d'édition:
    adresse IP: 192.168.1.10
    Port 68


    partie droite de la fenêtre d'édition:
    adresse IP: correspond à l'adresse IP du serveur DHCP
    Port 67

    (sauf qu'ici il est désactivé...)

    Règle # 2

    Protocole UDP
    partie gauche de la fenêtre d'édition:
    adresse IP address du serveur DHCP
    Port 67

    partie droite de la fenêtre d'édition:
    Adresse de Diffusion (Broadcast)
    255.255.255.255
    port 68


    Vérifez aussi en changeant l'interface réseau dans l'onglet "options".

    Voilà. Pas d'autre idée.
    Voyons voir ce que les autres ont à dire là-dessus.

    Tenez-nous au courant.
    :)
     

    Attached Files:

  3. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Merci Climenole d'avoir prit le temps de répondre à mes questions! ;)

    J'ai repris les règles de Phantom et rajouter certaines règles (filtrage de port en autre)...
    j'ai dèsactivé le pilote netbt.sys puisque j'en ai pas eu besoin donc le service dhcp ne peut plus démarrer, doit il?... j'ai forcer les paramètres de ma connexion ethernet (RJ45)
    je ne peux pas vous uploader un log, j'en suis désolé mais j'ai repris le tutorial réaliser sur son installation.

    J'ai testé toutes les interfaces disponibles, j'ai hélas toujours le même problème => l'ip locale de filtrer (192.168.1.10) et non l'ip statique que la DNS du routeur fournit.

    Effet inverse.En cas d'un DDOS je partai de la logique que ce qui devait être bloquer ne l'est plus, ne peu plus l'être puisque LNS bloque ce qu'il ne bloque pas et la déconnexion/désynchronisation du modem se réalise donc LNS se retrouve dans ces derniers retranchements ce qui est la couche la plus haute, la couche applicatif de la pile TCP/IP...c'est à dire que lui même devient innéfficace (monter au plafond). Pour une utilisation normale LNS filtre toutes les couches de la pile TCP/IP...C'est son rôle! Pourquoi ne filtre t'il pas la dernière couche de la pile?
    Un DDOS transperce les firewalls logiciels! :ouch:

    Je voullai aussi exposer un autre problème, celle de la table du routage. (le routage direct en réseau, l'écatombe (le n'est pas peur on va pas te faire mal! lol)
    Exemple:
    Etant connecter par l'intermèdiaire de mon IP locale 192.168.1.10, souhaitant me connecter à un réseau par un noeud (le point de rendez vous) qui lui fera la corrélation avec toutes les autres IP connectés qui permettra que l'on puisse s'échanger nos données entre nous en se connectant l'un à l'autre. Ayant prit le soin d'interdire l'envoye d'informations monodiffuser/multidiffuser ou d'en recevoir...L'acheminement des packets se réalisant bien par les routes disponible de la table du routage...Comment se fait il qu'une personne censer logiquement être bloquer en couche 2 de la pile tcp/ip (IPFilter/internet) en traffic entrant et ayant prit le soin d'avoir bloquer le port que le destinataire utilise avant même qu'il n'apparaisse puisse me transmettre des données?! :eek: ....
    Le pire c'est que je le vois dans mon application (son adresse IP statique) mais non dans le monitoring de mon traffic entrant et encore moin bloquer par look n stop...ma question est simple, qui contröle les routes?! Si j'ai compris on a pu s'échanger des données en ayant pour ma part une stratégie sécuritaire totalement innéfficace!!! A votre avis par quel chemin aurait il pu passer?

    => 192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 1

    Aurait il eu l'adresse IP locale 192.168.1.0 et que l'acheminement des packets se serait fait directement par exemple? si quelqu'un peut m'éclairer...merci de votre compréhension
    Comment y remédier? Comment effacer cette ligne puisque je ne souhaite pas me connecter à des destinataires ayant pour IP locale 192.168.1.0 connecter à un réseau par un noeud! RESEAU un mot qui en dit long! o_O Je crois que la coupe est pleine!


    Si j'ai bien compris il va falloir que je réactive le service DHCP (automatique), que je ne force pas la connexion ethernet (connexions réseaux > propriètés > protocole tcp/ip > avancée (paramètres DHCP)) pour faire en sorte que LNS active le BOOT/PC (avec l'adresse de multidiffusion 255.255.255.255 (0.0.0.0) et la DNS 192.168.1.1...
    Je suis dèsespérer.:(
     
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut TackOver

    [MOVE]Keep It Simple[/MOVE]

    Rien qu'à lire ton post, j'ai mal au bloc... o_O

    La meilleure façon d'être aux prises avec un problème inextricable est de changer (au pif) une multitude de paramètres en même temps. :rolleyes:

    Les règles de Phant0m + d'autres + désactivation du pilote NetBios + le service dhcp + "forcer" (o_O) les paramètres de la connexion ethernet + etc.

    En plus, tu ne peux pas uploader un échantillon de ton log. C'est fort!


    Fait simple et tu ne sera pas désespéré.

    1- Remet les paramètres de Windows comme ils étaient avant tes bidouilles inouïes. Essaye une restauration à la date antérieure à celles-ci. Si ça ne marche pas on essaira autre chose(et la RS peut être annulé...)

    2- La "LiveBox Sagem" (de Wanamoumou?):

    a) quelles sont les instructions d'installation et de configuration qui viennent avec ce machin?

    b) est-ce un machin WiFi ?

    3- Pour LNS essaye d'abord en utilisant le jeu de règles évoluées.

    Pour ce qui est du DHCP:
    oui, je crois que c'est nécessaire pour le routeur...
    Il y aura aussi, peut-être, des paquets IGMP à foutre dans une règle...

    ET un échantillon du log est nécessaire pour voir où ça coince.

    Voilà mes suggestions.

    (Trop mal au bloc pour en dire davantage :ouch: Ma cervelle est victime d'un DDOS!!! :rolleyes: )

    o_O

    Tiens-nous au courant.
    :)
     
  5. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Si j'utilise le jeu de règles by Phant0m (la 7ème) c'est qu'il s'avère que je les ai comprise (une partie), j'ai aussi compris l'ordre de priorité dans ce jeu de règle ce qui me permet tout simplement d'en rajouter les miennes. Mais hélas elle s'avère inutile pour le moment. D'ou le besoin de ton aide Climenole. Serait il possible que je puisse tester aussi ton jeu de règles? Ou puis je le télécharger? Est Il gratuit?

    Le pilote netbt.sys n'est pas forcement prit en compte par Look N Stop, en cas de panne certe il va falloir que je réactive le service DHCP donc ces dépendances (j'ose même pas parler de la gestion des mémoires du système d'exploitation, franchement la situation est insupportable!). Bref! Cela prouve l'indépendance des paramètres de mon routeur. Le routeur fonctionne indépendament du système. Le service de restauration a été entièrement supprimer aussi. Il est inexistant. J'en ai pas besoin!

    Si j'utilise Look N Stop c'est qu'il est un bon firewall (et très technique), il utilise son propre driver et non un driver générique de windows qui peut se révéler éfficace et prime son indépendance au système d'exploitation. Mon objectif n'étant pas de semer la discorde mais de remédier à mon problème!

    "IGMPlevel"=dword:00000000 => le protocole IGMP est dèsactiver. Mais comme j'ai pas la télé ou la téléphonie par ADSL je me suis dit que j'allais pas en avoir besoin. Vais je en avoir besoin du protocole Internet Group Management Protocol (IGMP) et pourquoi? A t'il un rapport avec la téléphonie ou la télévision par ADSL?
    Que faire contre L'IGMP Spoofing?

    Je suis seul à utiliser mon routeur. Je n'utilise pas de connexion WIFI/USB mais Ethernet (RJ45).
    Shéma:
    1 pc portable (carte ethernet intégré) >---(câble rj45)---< routeur livebox Sagem
    1 seul hôte d'actif (moi) => 192.168.1.10

    Paramétrage LAN: (en ayant rediriger tout le traffic, Look N Stop filtre tout mais le routeur n'est plus protéger par son propre firewall matériel et je me retrouve vulnérable fasse aux DDOS! :mad:

    Adresse IP:192.168.1.1 Masque de sous-réseau:255.255.255.0

    Liste des entrées DHCP:

    >Première ligne:
    Sous réseau:192.168.1.0 Masque de réseau: 255.255.255.0 Début IP:192.168.1.10 Fin IP :192.168.1.50 Passerelle:192.168.1.1Broadcast:192.168.1.255 DNS Primaire: 192.168.1.1 DNS Secondaire: 0.0.0.0 Durée d'activation: 1

    >Deuxième ligne:
    Sous réseau:192.168.1.0 Masque de réseau: 255.255.255.0 Début IP:192.168.1.145 Fin IP :192.168.1.244 Passerelle:192.168.1.1Broadcast:192.168.1.255 DNS Primaire: 192.168.1.1 DNS Secondaire: 0.0.0.0 Durée d'activation: 7

    Je souhaite tout simplement filtrer mon IP Statique et NON locale de ma livebox (192.168.1.10).
    Je veux que le firewall de la livebox filtre la première partie ce qu'il doit filtrer puisque je n'utlise pas de règles NAT ajoutées. Et que Look N Stop fasse le reste comme il l'avait toujours fait quand j'avais mon simple modem 512K ECI.

    Comment remédier à la table du routage? D'après plusieurs tests (combinaisons d'indices)
    -Soit je n'ai plus l'acheminement des packets pour le localhost (127.0.0.1) donc je ne peux pas utiliser de proxys pour avoir le droit à l'anonymat!
    -Soit j'arrive à pleine saturations, engorgements.. Arrêt spontanner?! Même l'initialisation du time wait n'y est pas.

    RESEAU un mot qui en dit long! :gack:

    Seul l'indice le plus faible fonctionne concrètement etcorrectement mais je suis confronter à une faille. celle citez ci dessus.

    Merci de ta préciseuse aide Climenole! :D
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut TackOver :)

    Je t'ai proposé le jeu de règles évoluées de LNS parce que ce serait plus simple.

    Le jeu de règles de Phant0m est très bien mais, AMHA, trop compliqué à utiliser
    pour configurer ta nouvelle installation.
    Pour ce qui est du jeu Climenole version 1, il est trop contraignant,c'est trop "la ceinture et les bretelles"...
    Je travaille en ce moment à la version 3 (la 2 n'a pas été "releasée"...). MAIS cela ne te donnera rien de plus.

    Pour le moment il faut simplifier le problème pas le compliquer.
    Une fois résolu avec le jeu avancé il te sera possible de modifier ton jeu (préféré): les règles de Phant0m.
    Dac ?

    La restauration système!?
    Brrr... supprimé ou désactivé? Tu commences à m'inquiéter ...
    Ce filet de sécurité est indispensable. Il n'y a aucune raison de s'en priver.(aucune...)


    "Discorde"? Jamais dit ça. "Mal de bloc" par contre je l'ai dit ;-)


    Le protocole IGMP est utilisé par les routeurs...
    Voir ce fil de discussion par exemple:
    https://www.wilderssecurity.com/showthread.php?t=170404

    Pour ce qui est de l'IGMP spoofing...
    Ce bidule marche en LOCAL entre ton PC et le routeur pas entre ton PC et internet.
    Pas de spoofing là-dedans...
    Pas de DDOS pour un PC.
    (Si ton PC est l'objet d'un DDOS, je te donne $100, une caisse de bière "Moose Head" et un baril de sirop d'érable.)

    Utilise le jeu de règles évoluées de LNS. Il y a une règle générique pour le DHCP.
    Cela devrait convenir pour le moment. Les règles pourront être raffinées par la suite.
    Là, il faut que ça marche!


    1- Assure-toi que le les services Netbios et dhcp marchent sur ton PC

    2- revérifie la procédure d'installation de ton routeur

    3- utilise le jeu de règles évoluées de LNS

    4- dans le filtrage internet met un point d'exclamation, troisième colonne pour chaque règle afin d'avoir une entrée à chaque fois que la règle est utilisée. Dans l'onglet option décoche l'option "son" pour ne pas devenir fou.

    5- essaye à nouveau en choisissant manuellement l'interface réseau, d'abord l'une puis l'autre pour voir ce que ça donne.

    6- Upload ton log ici pour que l'on puisse regarder...

    Pas d'autre idée. Ne te décourage pas: cela va marcher (bientôt).

    Tiens-nous au courant.
    A+

    :)
     
    Last edited: Apr 25, 2007
  7. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Bonsoir Climenole! :)

    J'ai essayer de nombreuses possibilitées (règles Phamt0m/Avancée/simple) et le problème reste le même, seule l'IP locale est filtrer et non celle qui est statique!

    Pour bien faire il aurait fallut que je dèsactive le Server DHCP du routeur pour pouvoir faire cohabiter cette IP statique avec LNS et rechercher les DNS de la FAI. Comme à l'ancienne.

    Pour information de nombreux services ont été supprimer pour des raisons de performance/sécurité. Je supprime l'inutile dans cette grande mascarade! Ou le fou est roi! :doubt:

    Sachant qu'un routeur est composé d'un modem (modulateur/démodulateur), du routage (server DHCP) et du firewall hardware. Bien.
    Etant seul à utiliser le routeur, je n'ai pas besoin d'un réseau local, je peux peut être déjà dèsactiver ce service. Comment faire? Sachant que si le service DHCP Server (dans le routeur) est dèsactiver je n'ai plus accès à l'internet.

    J'aurai voullu utiliser pleinement le modem (modulateur/démodulateur) du routeur et son firewall hardware pour une meilleur sécurité en ignorant le reste et laisser LNS s'occuper du reste. Avec une IP STATIQUE. :cool:

    Mais ça n'est pas le cas. :(

    J'ai suivi le fil de la conversation de l'IGMP mais cela ne m'explique toujours pas son
    utiliter en rapport à ma configuration. A quoi va t'il me servir?, à m'exposer d'avantages à des problèmes! :cautious:

    C'est pas risible, ma situation reste dramatique!

    ;) Mes salutations distinguées Climenole!
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut TackOver :)

    "La situation est désespérée mais pas tragique" (Dicton Austro-Hongrois)

    ? étrange. Je crois que cela est dû à un mauvais paramétrage de tes règles...

    Pour fixer le idées clairement voici un schéma de ces questions d'adresses IP:
    (En mettant une adresse Ip locale fixe à ton PC Réf.: http://support.microsoft.com/?kbid=309642)

    PC ========== routeur============== internet
    192.168.0.2 ---- 192.168.0.1--------------67.68.132.31

    L'adresse Ip locale du PC peut être dynamique ou fixe mais c'est plus simple de la mettre fixe.
    L'adresse IP locale du routeur est fixe
    L'adresse IP publique (sur internet) est attribuée par ton FAI (pas ton routeur...)

    Les communications entre ton PC et ton routeur devraient se faire
    (si je ne me plante pas le doigt dans l'oeil jusque là) en utilisant des paquets UDP (et IGMP).
    Le routeur attribue à ton PC une adresse IP locale puis ton PC via le routeur obtient de ton FAI
    l'adresse (dynamique) qui sera utilisée sur internet. Pour vérifier si c'est bien cette adresse IP
    qui passe va sur le site de Gibson Research: www.grc.com | Shields UP | bouton "Proceed" | all service ports
    et là tu devrait voir une adresse IP routable sur internet (PAS une 192.168.x.X qui est locale uniquement!)


    Pense pas. Le DHCP du routeur permet d'attribuer l'IP local à ton PC. Non?

    Minute l'ami...
    Je n'aime pas beaucoup me vanter mais je suis près à parier 100 balles que personne ne peut me coller sur la configuration des services de Windows XP ... (Même pas Black Viper, qui est disparu de la toile).
    Jette un coup d'oeil là:
    http://groups.google.ca/group/micro...s + lafrenière&qt_g=Rechercher dans ce groupe

    Pour un gars qui a arrêté le Service de Restauration... :eek:
    Va voir ce qu'en pense une de mes (ex-)collègues MVP: James A. Eshelman

    http://aumha.org/a/health.htm

    "More General Health Tips

    * Don’t Disable System Restore! Part of good health is the ability to recovery quickly when you do get sick — bouncing back quickly as your old healthy self! If you are using Windows ME, XP, or Vista you have available to you the finest “bounce-back” tool Microsoft has ever developed, System Restore. Sure, it has a few things wrong with it (especially in Win ME; the tool was significantly improved in Win XP). But in many cases it’s still pretty close to a “please go fix what I just screwed up a minute ago” miracle worker. I solve dozens of terribly frustrating problems for people every week by recommending they employ System Restore to step back just before they made a blunder. I appreciate it greatly!"

    ;)


    Un PC ou 10 : c'est une "réseau local". IP statique ou pas. Il est bien possible que le service DHCP ne soit pas nécessaire si l'IP locale fixe de ton PC a été correctement configurée. (Je me souviens d'un cas sur news://microsoft.public.fr.windowsxp ...). En attendant, ne présumons de rien.

    L'IGMP est utilisé par les routeurs pour communiquer avec les groupes multipoints ("multicasts").
    Habituellement un routeur est utilisé pour plusieurs ordinateurs pas pour un seul. Cela complique inutilement les choses à voir le nombres d'heureux propriétaire de la LiveBox ( Boîte Vivante! il y a un hamster dedans...) râler sur la toile dans une multitude de forums...

    Il semble que ce soit la mode en Europe de faire compliqué. (Ici, en "Amerdique du Nord" un pareil truc serait traité au moyen d'un hache sur le "device" et d'un coup de poing sur la gueule du premier représentant d'un FAI qui aurait l'audace de l'avoir vendu!)

    Mais tout cela ne règle pas ton problème l'ami...

    Balance moi ton log ici pour que j'y vois plus clair.

    [MOVE](COUCOU ! Les heureux propriétaires de la LiveBox sagem sont aussi les bienvenus sur ce fil de discussions! o_O )[/MOVE]

    A+

    :)
     
  9. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Bonsoir Climenole! :shifty: (sommes nous seuls!)

    J'ai fait 2 tests concernant le firewall de la livebox + LNS sur GRC.COM que voiçi:

    1. Firewall livebox d'activé + LNS d'activé

    3.png

    2. Firewall livebox dèsactivé + LNS d'activé

    4.png


    Il s'avère que LNS n'est d'aucune utiliter, puisqu'il ne bloque pas ce qu'il doit impérativement bloquer! Pas de relais! :ouch:

    Mes paramètres de ma livebox:

    2.png
     

    Attached Files:

    • 5.png
      5.png
      File size:
      7.5 KB
      Views:
      1,429
    • 6.png
      6.png
      File size:
      12.7 KB
      Views:
      1,427
  10. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
  11. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Les seuls services que j'ai, le reste a été soigneusement éffacer.. si si :shifty:

    9.png
     
  12. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    nh'ésitez pas à agrandir les fenêtres en double cliquant dessus.

    Paramètres de la carte ethernet => DHCP:

    11.png
     
  13. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Connexion au réseau local => Propriètés => (options avancées):

    12.png

    13.png

    14.png


    1- Pourquoi dans mon traffic entrant je ne vois pas tout?!
    (car lors des tests sur GRC.com je ne vois pas les packets envoyés mais juste les connexions http(s) (port tcp 80/443) lors de l'initialisation de la connexion distante.
    PC > GRC.com

    2- qui contrôle les routes de la table du routage?! :eek:
     
  14. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Le désaroi m'anime! :mad:

    Que dois je faire?! puisque je ne vois pas les ports UDP 67 et 68 en traffic entrant! :gack:

    Je suis pourtant l'administrateur et le seul a utilisé mon PC Portable.

    Que fait Look N Stop?! :blink:
     
  15. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut TackOver :)

    1- Pourquoi le NetBios est-il désactivé?

    2- La règle DNS est trop restrictive: enlève l'adresse IP du DNS server

    3- Utilise la règle générique du jeu de règles évolué.

    Je t'ai demandé cela. Je t'ai aussi demandé ton log. Je l'ai pas.

    4- La liste des services est pratiquement illisible.

    Cependant pourquoi avoir désactivé:

    le service DHCP
    détection matériel noyau
    et surtout:

    LANCEUR DE PROCESSUS SERVEUR DCOM !!!

    Il ne faut jamais faire ça. Jamais. Jamais. Jamais.

    Avec tes bidouilles inouïes je ne sais même plus par quel bout te ramasser...

    :-(
     
  16. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Climenole au fil de la discution je t'ai parler du PORT TCP 135 (RPC)..

    J'ai fermer (bloquer) le port 135 manuellement dans la BR (base de registre):

    win + r => regedit (enter)

    ======================================================

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage]
    "Bind"=hex(7):31,00,00,00,00,00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
    "EnableDCOM"="N"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
    "ListenOnInternet"="N"

    =======================================================

    Malheusement d'après un autre test fait chez PCFLANCK.COM

    Firewall LiveBox activé + Look N Stop activé:

    RPC.png


    Comment se fait il que pcflanck.com détect que le port tcp 135 est fermé et non masqué?! o_O
    le firewall de la livebox est vulnérable et ceci dit c'est innaceptable!
    En traffic entrant je ne vois pas les packets que pcflanck.com envoye pour faire ces tests
    donc Look N Stop ne peut parer les restes.
    Que dois je faire?!

    Mayday, Mayday!! :mad:
     
  17. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut TackOver :)

    Le port 135 est détecté comme fermé par le test de PCFlank de la façon suivante


    PCFlank envoie un paquet TCP avec le flag SYN vers le port 135
    et ton PC lui renvoie une réponse: un paquet TCP avec les flags ACK-RST.

    Ce qui signale le port comme fermé... :-(

    Le PC est furtif (stealth) au niveau du TCP avec la règle bloquant les paquets TCP entrants avec le flag SYN.

    Soit que tu n'a pas cette règle, soit que des règles sont mal positionnées dans la liste par rapport à cette règle ...
     
  18. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Hello Climenole, merci d'être actif! Je croyai que tu allais laisser tomber.:oops:

    Si les services NetBios et DCOM ont été supprimer c'est pour des raisons sécuritaires.
    Limiter les failles de sécurité.

    netbios-ns 137 Tcp NETBIOS Name Service
    netbios-ns 137 Udp NETBIOS Name Service
    netbios-dgm 138 Tcp NETBIOS Datagram Service
    netbios-dgm 138 Udp NETBIOS Datagram Service
    netbios-ssn 139 Tcp NETBIOS Session Service
    netbios-ssn 139 Udp NETBIOS Session Service
    epmap 135 Tcp DCE endpoint resolution/dcom-scm
    epmap 135 Udp DCE endpoint resolution/dcom-scm

    Les services:

    1.le service DHCP n'est pas une nécessité puisque je l'ai paramètrer manuellement (voir les screenshots concernant les paramètres de connexions ethernet)

    2.le service détection matériel noyau n'a aucune description o_O

    3.Lanceur de processus serveur DCOM à quoi bon? ou va t'on?
    => DCOM alloue de manière dynamique un port par processus
    éviter les exploits DCOM. C'est le seul qui n'a pas été supprimer concernant la famille DCOM mais a été dèsactivé (Hors d'atteinte)

    Concernant le port tcp 135 fermer et l'interface de bouclage (127.0.0.1)

    Le firewall de la livebox aurait du bloquer le packet tcp SYN (synchronisation => demande de connexion sur le port tcp 135) est ne l'a pas fait.

    Concernant Look N Stop il aurait du mais n'a pas pu. (pas de traffic entrant!!!!!)

    syn.png
     
  19. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    J'ai effectuer plusieurs tests concernant l'adresse STATIQUE à la reconnaissance de Look N Stop en réactivant les services DHCP/DNS/ et le protocole IGMP en y ajoutant les noms de domaines concernant l'IP locale dans le fichier HOST, hélas ça n'a pas fonctionner! :doubt:
    En reprenant l'exemple du lien que tu m'a proscrit (by microsoft) => http://support.microsoft.com/?kbid=309642 sans avoir utiliser Microsoft .NET Framework v3.0 puisque je ne l'ai pas et je fais pas de partage de connexion. En ayant une configuration à défaut.

    Avec le protocole IGMP j'ai de nouvelles routes dans la tables du routage (faire la comparaison entre les 2 sreenshots):

    View attachment 189408

    Toujours pas de traffic entrant! Que faire? Merci encore mille fois pour ton aide! Climenole :D
     
  20. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
  21. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Tes bidouilles inouïes n'ont en rien "limité" les "failles de sécurité" mais foutu le bordel dans W xp.

    Tu désactives "détection matériel noyau"... parce qu'il n'y a pas de description... :rolleyes:

    DCOM est indispensable et si tu ne me crois pas, je m'en fous.

    Réinstalle Windows from scratch et cesse de faire sur ton système toutes les prétendues bidouilles de sécurité que tu ramasses sur tous les sites-à-la-kon de la toile. On verra après ça...

    Bye
     
  22. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Franchement j'ai du mal à croire que tu as Windows! :thumbd:
     
  23. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Mon OS me convient bien! :thumb:
    Je voullai juste que LNS détecte l'Ip statique et non locale de la machine en ayant le traffic des traffics entrants. Pour mieux parer aux attaques. Entre nous c'est des sites de références ou les failles sont réelles et connus!.
    En tout cas merci d'avoir fait l'effort d'avoir prit du temps pour moi, merci! :)
     
  24. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
  25. TackOver

    TackOver Registered Member

    Joined:
    Apr 24, 2007
    Posts:
    18
    Après plusieurs tests concernant le paramètrage du DHCP via la carte ethernet en mode manuel:

    View attachment 189425

    Les dépendances concernant le service DHCP:
    afd.sys, netbt.sys et tcpip.sys

    Pourquoi Look N Stop ne prend pas en charge le pilote Afd.sys? (simple curiosité)
     
Thread Status:
Not open for further replies.