LNS beta 2.06b2 + LiveBox Sagem

Bonsoir à toute l'équipe de Wilders Security!

Mayday! Mayday!

J'utilise Look n Stop depuis un bon moment...environ 3ans si ce n'est plus!
Lorsque je démarre mon PC, Look N Stop reconnait l'adresse IP locale => 192.168.1.10 et non l'ip statique que la DNS fournit.
J'aimerai revoir cette adresse statique et non locale dans LNS au boot avec ma livebox si possible...
Depuis que j'ai acheté mon routeur comme vous le savez il est pour moi impossible de désactiver le firewall matériel de ma livebox qui me protège contre les DDOS ce que Look n Stop ne peu faire puisqu'il n'agit que sur la couche applicatif de la pile tcp/ip (reprenez moi si je ne me trompe..)
Après avoir fait des tests online pour tester ma sécurité mise en oeuvre.. il s'avère que le port TCP 135 est fermé (les services DCOM ont été entièrement supprimer)...Il n'est pas masqué... en ayant mes 2 firewalls matériel et logiciel d'activés ce qui est très génant puisque Look n Stop ne réagit pas, n'intervient pas! (plus!)
Look n Stop ne filtre plus grand chose à part quelques packets en réseau ethernet ce qui m'inquiète! Comment retrouver toute la force de Look N Stop? celle que j'avais jadis! autrefois! avec mon modem 512K ECI...

Pour plus d'information:

win + r => cmd /k ipconfig /all

Configuration IP de Windows XP2

Nom de l'hôte . . . . . . . . . . : 0001
Suffixe DNS principal . . . . . . :
Type de noud . . . . . . . . . . : Inconnu
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Adresse physique . . . . . . . . .: FF-FF-FF-FF-FF-FF => non communiquable
DHCP activé. . . . . . . . . . . : Non
Adresse IP. . . . . . . . .*. . . : 192.168.1.10
Masque de sous-réseau . . .*. . . : 255.255.255.0
Passerelle par défaut . . .*. . . : 192.168.1.1
Serveurs DNS . . . . . . . . . . : 192.168.1.1
NetBIOS sur TCPIP. . . . . . . . : Désactivé

win + r => cmd /k route print (j'ai forcé la table du routage par l'indice le plus faible pour éviter les saturations, les engorgements)


===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...ff ff ff ff ff ff ...... Broadcom NetXtreme Gigabit Ethernet - Look 'n' S
top Driver
===========================================================================
===========================================================================
Itinéraires actifs*:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.10 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 1
192.168.1.10 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.10 192.168.1.10 1
255.255.255.255 255.255.255.255 192.168.1.10 192.168.1.10 1
Passerelle par défaut*: 192.168.1.1
===========================================================================
Itinéraires persistants*:
Aucun

win + r => cmd /k regedit (optimisation de la pile tcp/ip et sécuritaire)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"ForwardBroadcasts"=dword:00000000
"IPEnableRouter"=dword:00000000
"UseDomainNameDevolution"=dword:00000000
"EnableICMPRedirect"=dword:00000000
"DeadGWDetectDefault"=dword:00000001
"DontAddDefaultGatewayDefault"=dword:00000000
"EnableSecurityFilters"=dword:00000000
"EnablePMTUDiscovery"=dword:00000001
"EnablePMTUBHDetect"=dword:00000000
"TcpTimedWaitDelay"=dword:0000001e
"SackOpts"=dword:00000001
"Tcp1323Opts"=dword:00000001
"DefaultTTL"=dword:0000006f
"TcpMaxDupAcks"=dword:00000003
"DefaultMSS"=dword:000005ac
"TcpNumConnections"=dword:00001388
"TcpWindowSize"=dword:0007cc80
"GlobalMaxTcpWindowSize"=dword:0007cc80
"FFPFastForwardingCacheSize"=dword:00000000
"MaxNormLookupMemory"=dword:00049ed0
"KeepAliveInterval"=dword:00000001
"DhcpNameServer"="192.168.1.1"
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"KeepAliveTime"=dword:00000050
"NoNameReleaseOnDemand"=dword:00000001
"MaxFreeTWTcbs"=dword:00000001
"TcpDelAckTicks"=dword:00000000
"TcpAckFrequency"=dword:00000000
"MaxUserPort"=dword:0000ea60
"TcpMaxDataRetransmissions"=dword:00000002
"DisableIPSourceRouting"=dword:00000002
"EnableFragmentChecking"=dword:00000001
"EnableMulticastForwarding "=dword:00000000
"EnableAddrMaskReply"=dword:00000001
"StrictTimeWaitSeqCheck"=dword:00000001
"MTU"=dword:000005d4
"DisableUserTOSSetting"=dword:00000001
"IGMPlevel"=dword:00000000
"AllowUserRawAccess"=dword:00000000
"ArpAlwaysSourceRoute"=dword:00000001
"ArpCacheMinReferencedLife"=dword:00000000
"ArpCacheLife"=dword:00000001
"ArpRetryCount"=dword:00000001
"ArpTRSingleRoute"=dword:00000001
"ArpUseEtherSNAP"=dword:00000000
"DisableMediaSenseEventLog"=dword:00000001
"DisableTaskOffload"=dword:00000001
"EnableBcastArpReply"=dword:00000001
"EnableFastRouteLookup"=dword:00000000
"FFPControlFlags"=dword:00000001
"ForwardBufferMemory"=dword:00000000
"IPEnableRouterBackup"=dword:00000000
"MaxForwardBufferMemory"=dword:00000000
"MaxForwardPending"=dword:00000000
"MaxFreeTcbs"=dword:00000000
"MaxHashTableSize"=dword:00000040
"MaxNumForwardPackets"=dword:00000000
"NumForwardPackets"=dword:00000000
"NumTcbTablePartitions"=dword:00000001
"PerformRouterDiscoveryBackup"=dword:00000000
"PPTPTcpMaxDataRetransmissions"=dword:00000002
"TcpInitialRTT"=dword:00000001
"TcpMaxSendFree"=dword:0000ffff
"TcpUseRFC1122UrgentPointer"=dword:00000000
"TcpRecvSegmentSize"=dword:000005ac
"IPXEnabled"=dword:00000000
"DisableDHCPMediaSense"=dword:00000001
"SolicitationAddressBcast"=dword:00000000
"TrFunctionalMcastAddress"=dword:00000000
"TypeOfInterface"=dword:00000003
"UseZeroBroadcast"=dword:00000000
"TcpSendSegmentSize"=dword:000005ac
"TcpSendDownMax"=dword:00000000
"ArpCacheSize"=dword:00000000
"IpReassemblyTimeout"=dword:00000000
"TcpDisableReceiveChecksum"=dword:00000000
"TcpDisableSendChecksum"=dword:00000000
"TcpKeepCnt"=dword:00000000
"TcpKeepTries"=dword:00000001
"TcpLogLevel"=dword:00000000
"TcpMaxConnectAttempts"=dword:00000000
"TcpMaxRetransmissionAttempts"=dword:00000000
"UdpDisableReceiveChecksum"=dword:00000000
"UdpDisableSendChecksum"=dword:00000000
"UdpNumConnections"=dword:00000001
"RouterMTU"=dword:000005d4
"PPTPFiltering"=dword:00000001
"Remorques"=dword:00000000
"EnableAdapterDomainNameRegistration"=dword:00000000
"PrioritizeRecordData"=dword:00000000
"QueryIpMatching"=dword:00000001
"EnableICMPRedirects"=dword:00000000
"TcpMaxConnectRetransmissions"=dword:00000000
"InitialRtt"=dword:00000001
"KeepAlive"=dword:00000050

Je n'ai pas réaliser une règle NAT qui n'active que la couche OSI, à quoi bon?

Mon système d'exploitation est transperçable! Comment y remédier? Merci de votre compréhension!

 

Bonsoir TackOver

Quel jeu de règles utilisez-vous?
Avez-vous vérifié les règles DHCP ?
Est-il possible de nous "uploader" votre log?

Le niveau "applications" (Http, Ftp, Dns....) de la pile TCP-IP n'est PAS pris en charge par LNS ...
les couches liaisons(ethernet), réseau (igmp. icmp, ip...), transport( tcp, udp...) le sont.
(modèle du DoD en 5 couches: physique, liaison, réseau, transport et applications ).

Pour ce qui est d'un DDOS je crois que cela a autant de chance de vous arriver que d'être frappé par la foudre ou de gagner à la loterie... Cela concerne les serveurs (institutions, entreprise, etc). Pas les PCs.

La règle qui rend les ports furtifs en TCP est la règle "bloquer les connexions entrantes" du jeu de règles évoluées de LNS... Elle bloque les paquets TCP avec le flag syn en entrée. Soit que vous n'avez pas cette règle, soit que celle-ci est mal positionnée dans la liste...

2 questions:

a) Pourquoi le DHCP n'est pas activé

b) est-ce un routeur Wi-Fi ? Si oui importe cette règle:
http://www.looknstop.com/Fr/rules/rules.htm#wifi

Pour les règles DHCP (s'il s'avère qu'il est nécessaire...):

Règle # 1

Protocole UDP
partie gauche de la fenêtre d'édition:
adresse IP: 192.168.1.10
Port 68


partie droite de la fenêtre d'édition:
adresse IP: correspond à l'adresse IP du serveur DHCP
Port 67

(sauf qu'ici il est désactivé...)

Règle # 2

Protocole UDP
partie gauche de la fenêtre d'édition:
adresse IP address du serveur DHCP
Port 67

partie droite de la fenêtre d'édition:
Adresse de Diffusion (Broadcast)
255.255.255.255
port 68


Vérifez aussi en changeant l'interface réseau dans l'onglet "options".

Voilà. Pas d'autre idée.
Voyons voir ce que les autres ont à dire là-dessus.

Tenez-nous au courant.

 

Merci Climenole d'avoir prit le temps de répondre à mes questions!

J'ai repris les règles de Phantom et rajouter certaines règles (filtrage de port en autre)...
j'ai dèsactivé le pilote netbt.sys puisque j'en ai pas eu besoin donc le service dhcp ne peut plus démarrer, doit il?... j'ai forcer les paramètres de ma connexion ethernet (RJ45)
je ne peux pas vous uploader un log, j'en suis désolé mais j'ai repris le tutorial réaliser sur son installation.

J'ai testé toutes les interfaces disponibles, j'ai hélas toujours le même problème => l'ip locale de filtrer (192.168.1.10) et non l'ip statique que la DNS du routeur fournit.

Effet inverse.En cas d'un DDOS je partai de la logique que ce qui devait être bloquer ne l'est plus, ne peu plus l'être puisque LNS bloque ce qu'il ne bloque pas et la déconnexion/désynchronisation du modem se réalise donc LNS se retrouve dans ces derniers retranchements ce qui est la couche la plus haute, la couche applicatif de la pile TCP/IP...c'est à dire que lui même devient innéfficace (monter au plafond). Pour une utilisation normale LNS filtre toutes les couches de la pile TCP/IP...C'est son rôle! Pourquoi ne filtre t'il pas la dernière couche de la pile?
Un DDOS transperce les firewalls logiciels!

Je voullai aussi exposer un autre problème, celle de la table du routage. (le routage direct en réseau, l'écatombe (le n'est pas peur on va pas te faire mal! lol)
Exemple:
Etant connecter par l'intermèdiaire de mon IP locale 192.168.1.10, souhaitant me connecter à un réseau par un noeud (le point de rendez vous) qui lui fera la corrélation avec toutes les autres IP connectés qui permettra que l'on puisse s'échanger nos données entre nous en se connectant l'un à l'autre. Ayant prit le soin d'interdire l'envoye d'informations monodiffuser/multidiffuser ou d'en recevoir...L'acheminement des packets se réalisant bien par les routes disponible de la table du routage...Comment se fait il qu'une personne censer logiquement être bloquer en couche 2 de la pile tcp/ip (IPFilter/internet) en traffic entrant et ayant prit le soin d'avoir bloquer le port que le destinataire utilise avant même qu'il n'apparaisse puisse me transmettre des données?! ....
Le pire c'est que je le vois dans mon application (son adresse IP statique) mais non dans le monitoring de mon traffic entrant et encore moin bloquer par look n stop...ma question est simple, qui contröle les routes?! Si j'ai compris on a pu s'échanger des données en ayant pour ma part une stratégie sécuritaire totalement innéfficace!!! A votre avis par quel chemin aurait il pu passer?

=> 192.168.1.0 255.255.255.0 192.168.1.10 192.168.1.10 1

Aurait il eu l'adresse IP locale 192.168.1.0 et que l'acheminement des packets se serait fait directement par exemple? si quelqu'un peut m'éclairer...merci de votre compréhension
Comment y remédier? Comment effacer cette ligne puisque je ne souhaite pas me connecter à des destinataires ayant pour IP locale 192.168.1.0 connecter à un réseau par un noeud! RESEAU un mot qui en dit long! Je crois que la coupe est pleine!


Si j'ai bien compris il va falloir que je réactive le service DHCP (automatique), que je ne force pas la connexion ethernet (connexions réseaux > propriètés > protocole tcp/ip > avancée (paramètres DHCP)) pour faire en sorte que LNS active le BOOT/PC (avec l'adresse de multidiffusion 255.255.255.255 (0.0.0.0) et la DNS 192.168.1.1...
Je suis dèsespérer.

 

Salut TackOver

[MOVE]Keep It Simple[/MOVE]

Rien qu'à lire ton post, j'ai mal au bloc...

La meilleure façon d'être aux prises avec un problème inextricable est de changer (au pif) une multitude de paramètres en même temps.

Les règles de Phant0m + d'autres + désactivation du pilote NetBios + le service dhcp + "forcer" () les paramètres de la connexion ethernet + etc.

En plus, tu ne peux pas uploader un échantillon de ton log. C'est fort!

Fait simple et tu ne sera pas désespéré.

1- Remet les paramètres de Windows comme ils étaient avant tes bidouilles inouïes. Essaye une restauration à la date antérieure à celles-ci. Si ça ne marche pas on essaira autre chose(et la RS peut être annulé...)

2- La "LiveBox Sagem" (de Wanamoumou?):

a) quelles sont les instructions d'installation et de configuration qui viennent avec ce machin?

b) est-ce un machin WiFi ?

3- Pour LNS essaye d'abord en utilisant le jeu de règles évoluées.

Pour ce qui est du DHCP:
oui, je crois que c'est nécessaire pour le routeur...
Il y aura aussi, peut-être, des paquets IGMP à foutre dans une règle...

ET un échantillon du log est nécessaire pour voir où ça coince.

Voilà mes suggestions.

(Trop mal au bloc pour en dire davantage Ma cervelle est victime d'un DDOS!!! )



Tiens-nous au courant.

 

Si j'utilise le jeu de règles by Phant0m (la 7ème) c'est qu'il s'avère que je les ai comprise (une partie), j'ai aussi compris l'ordre de priorité dans ce jeu de règle ce qui me permet tout simplement d'en rajouter les miennes. Mais hélas elle s'avère inutile pour le moment. D'ou le besoin de ton aide Climenole. Serait il possible que je puisse tester aussi ton jeu de règles? Ou puis je le télécharger? Est Il gratuit?

Le pilote netbt.sys n'est pas forcement prit en compte par Look N Stop, en cas de panne certe il va falloir que je réactive le service DHCP donc ces dépendances (j'ose même pas parler de la gestion des mémoires du système d'exploitation, franchement la situation est insupportable!). Bref! Cela prouve l'indépendance des paramètres de mon routeur. Le routeur fonctionne indépendament du système. Le service de restauration a été entièrement supprimer aussi. Il est inexistant. J'en ai pas besoin!

Si j'utilise Look N Stop c'est qu'il est un bon firewall (et très technique), il utilise son propre driver et non un driver générique de windows qui peut se révéler éfficace et prime son indépendance au système d'exploitation. Mon objectif n'étant pas de semer la discorde mais de remédier à mon problème!

"IGMPlevel"=dword:00000000 => le protocole IGMP est dèsactiver. Mais comme j'ai pas la télé ou la téléphonie par ADSL je me suis dit que j'allais pas en avoir besoin. Vais je en avoir besoin du protocole Internet Group Management Protocol (IGMP) et pourquoi? A t'il un rapport avec la téléphonie ou la télévision par ADSL?
Que faire contre L'IGMP Spoofing?

Je suis seul à utiliser mon routeur. Je n'utilise pas de connexion WIFI/USB mais Ethernet (RJ45).
Shéma:
1 pc portable (carte ethernet intégré) >---(câble rj45)---< routeur livebox Sagem
1 seul hôte d'actif (moi) => 192.168.1.10

Paramétrage LAN: (en ayant rediriger tout le traffic, Look N Stop filtre tout mais le routeur n'est plus protéger par son propre firewall matériel et je me retrouve vulnérable fasse aux DDOS!

Adresse IP:192.168.1.1 Masque de sous-réseau:255.255.255.0

Liste des entrées DHCP:

>Première ligne:
Sous réseau:192.168.1.0 Masque de réseau: 255.255.255.0 Début IP:192.168.1.10 Fin IP :192.168.1.50 Passerelle:192.168.1.1Broadcast:192.168.1.255 DNS Primaire: 192.168.1.1 DNS Secondaire: 0.0.0.0 Durée d'activation: 1

>Deuxième ligne:
Sous réseau:192.168.1.0 Masque de réseau: 255.255.255.0 Début IP:192.168.1.145 Fin IP :192.168.1.244 Passerelle:192.168.1.1Broadcast:192.168.1.255 DNS Primaire: 192.168.1.1 DNS Secondaire: 0.0.0.0 Durée d'activation: 7

Je souhaite tout simplement filtrer mon IP Statique et NON locale de ma livebox (192.168.1.10).
Je veux que le firewall de la livebox filtre la première partie ce qu'il doit filtrer puisque je n'utlise pas de règles NAT ajoutées. Et que Look N Stop fasse le reste comme il l'avait toujours fait quand j'avais mon simple modem 512K ECI.

Comment remédier à la table du routage? D'après plusieurs tests (combinaisons d'indices)
-Soit je n'ai plus l'acheminement des packets pour le localhost (127.0.0.1) donc je ne peux pas utiliser de proxys pour avoir le droit à l'anonymat!
-Soit j'arrive à pleine saturations, engorgements.. Arrêt spontanner?! Même l'initialisation du time wait n'y est pas.

RESEAU un mot qui en dit long!

Seul l'indice le plus faible fonctionne concrètement etcorrectement mais je suis confronter à une faille. celle citez ci dessus.

Merci de ta préciseuse aide Climenole!

 

Salut TackOver

Je t'ai proposé le jeu de règles évoluées de LNS parce que ce serait plus simple.

Le jeu de règles de Phant0m est très bien mais, AMHA, trop compliqué à utiliser
pour configurer ta nouvelle installation.
Pour ce qui est du jeu Climenole version 1, il est trop contraignant,c'est trop "la ceinture et les bretelles"...
Je travaille en ce moment à la version 3 (la 2 n'a pas été "releasée"...). MAIS cela ne te donnera rien de plus.

Pour le moment il faut simplifier le problème pas le compliquer.
Une fois résolu avec le jeu avancé il te sera possible de modifier ton jeu (préféré): les règles de Phant0m.
Dac ?

La restauration système!?
Brrr... supprimé ou désactivé? Tu commences à m'inquiéter ...
Ce filet de sécurité est indispensable. Il n'y a aucune raison de s'en priver.(aucune...)

"Discorde"? Jamais dit ça. "Mal de bloc" par contre je l'ai dit ;-)

Le protocole IGMP est utilisé par les routeurs...
Voir ce fil de discussion par exemple:
https://www.wilderssecurity.com/showthread.php?t=170404

Pour ce qui est de l'IGMP spoofing...
Ce bidule marche en LOCAL entre ton PC et le routeur pas entre ton PC et internet.
Pas de spoofing là-dedans...
Pas de DDOS pour un PC.
(Si ton PC est l'objet d'un DDOS, je te donne $100, une caisse de bière "Moose Head" et un baril de sirop d'érable.)

Utilise le jeu de règles évoluées de LNS. Il y a une règle générique pour le DHCP.
Cela devrait convenir pour le moment. Les règles pourront être raffinées par la suite.
Là, il faut que ça marche!

1- Assure-toi que le les services Netbios et dhcp marchent sur ton PC

2- revérifie la procédure d'installation de ton routeur

3- utilise le jeu de règles évoluées de LNS

4- dans le filtrage internet met un point d'exclamation, troisième colonne pour chaque règle afin d'avoir une entrée à chaque fois que la règle est utilisée. Dans l'onglet option décoche l'option "son" pour ne pas devenir fou.

5- essaye à nouveau en choisissant manuellement l'interface réseau, d'abord l'une puis l'autre pour voir ce que ça donne.

6- Upload ton log ici pour que l'on puisse regarder...

Pas d'autre idée. Ne te décourage pas: cela va marcher (bientôt).

Tiens-nous au courant.
A+

 

Bonsoir Climenole!

J'ai essayer de nombreuses possibilitées (règles Phamt0m/Avancée/simple) et le problème reste le même, seule l'IP locale est filtrer et non celle qui est statique!

Pour bien faire il aurait fallut que je dèsactive le Server DHCP du routeur pour pouvoir faire cohabiter cette IP statique avec LNS et rechercher les DNS de la FAI. Comme à l'ancienne.

Pour information de nombreux services ont été supprimer pour des raisons de performance/sécurité. Je supprime l'inutile dans cette grande mascarade! Ou le fou est roi!

Sachant qu'un routeur est composé d'un modem (modulateur/démodulateur), du routage (server DHCP) et du firewall hardware. Bien.
Etant seul à utiliser le routeur, je n'ai pas besoin d'un réseau local, je peux peut être déjà dèsactiver ce service. Comment faire? Sachant que si le service DHCP Server (dans le routeur) est dèsactiver je n'ai plus accès à l'internet.

J'aurai voullu utiliser pleinement le modem (modulateur/démodulateur) du routeur et son firewall hardware pour une meilleur sécurité en ignorant le reste et laisser LNS s'occuper du reste. Avec une IP STATIQUE.

Mais ça n'est pas le cas.

J'ai suivi le fil de la conversation de l'IGMP mais cela ne m'explique toujours pas son
utiliter en rapport à ma configuration. A quoi va t'il me servir?, à m'exposer d'avantages à des problèmes!

C'est pas risible, ma situation reste dramatique!

Mes salutations distinguées Climenole!

 

Salut TackOver

"La situation est désespérée mais pas tragique" (Dicton Austro-Hongrois)

? étrange. Je crois que cela est dû à un mauvais paramétrage de tes règles...

Pour fixer le idées clairement voici un schéma de ces questions d'adresses IP:
(En mettant une adresse Ip locale fixe à ton PC Réf.: http://support.microsoft.com/?kbid=309642)

PC ========== routeur============== internet
192.168.0.2 ---- 192.168.0.1--------------67.68.132.31

L'adresse Ip locale du PC peut être dynamique ou fixe mais c'est plus simple de la mettre fixe.
L'adresse IP locale du routeur est fixe
L'adresse IP publique (sur internet) est attribuée par ton FAI (pas ton routeur...)

Les communications entre ton PC et ton routeur devraient se faire
(si je ne me plante pas le doigt dans l'oeil jusque là) en utilisant des paquets UDP (et IGMP).
Le routeur attribue à ton PC une adresse IP locale puis ton PC via le routeur obtient de ton FAI
l'adresse (dynamique) qui sera utilisée sur internet. Pour vérifier si c'est bien cette adresse IP
qui passe va sur le site de Gibson Research: www.grc.com | Shields UP | bouton "Proceed" | all service ports
et là tu devrait voir une adresse IP routable sur internet (PAS une 192.168.x.X qui est locale uniquement!)

Pense pas. Le DHCP du routeur permet d'attribuer l'IP local à ton PC. Non?

Minute l'ami...
Je n'aime pas beaucoup me vanter mais je suis près à parier 100 balles que personne ne peut me coller sur la configuration des services de Windows XP ... (Même pas Black Viper, qui est disparu de la toile).
Jette un coup d'oeil là:
http://groups.google.ca/group/micro...s + lafrenière&qt_g=Rechercher dans ce groupe

Pour un gars qui a arrêté le Service de Restauration...
Va voir ce qu'en pense une de mes (ex-)collègues MVP: James A. Eshelman

http://aumha.org/a/health.htm

"More General Health Tips

* Don’t Disable System Restore! Part of good health is the ability to recovery quickly when you do get sick — bouncing back quickly as your old healthy self! If you are using Windows ME, XP, or Vista you have available to you the finest “bounce-back” tool Microsoft has ever developed, System Restore. Sure, it has a few things wrong with it (especially in Win ME; the tool was significantly improved in Win XP). But in many cases it’s still pretty close to a “please go fix what I just screwed up a minute ago” miracle worker. I solve dozens of terribly frustrating problems for people every week by recommending they employ System Restore to step back just before they made a blunder. I appreciate it greatly!"

Un PC ou 10 : c'est une "réseau local". IP statique ou pas. Il est bien possible que le service DHCP ne soit pas nécessaire si l'IP locale fixe de ton PC a été correctement configurée. (Je me souviens d'un cas sur news://microsoft.public.fr.windowsxp ...). En attendant, ne présumons de rien.

L'IGMP est utilisé par les routeurs pour communiquer avec les groupes multipoints ("multicasts").
Habituellement un routeur est utilisé pour plusieurs ordinateurs pas pour un seul. Cela complique inutilement les choses à voir le nombres d'heureux propriétaire de la LiveBox ( Boîte Vivante! il y a un hamster dedans...) râler sur la toile dans une multitude de forums...

Il semble que ce soit la mode en Europe de faire compliqué. (Ici, en "Amerdique du Nord" un pareil truc serait traité au moyen d'un hache sur le "device" et d'un coup de poing sur la gueule du premier représentant d'un FAI qui aurait l'audace de l'avoir vendu!)

Mais tout cela ne règle pas ton problème l'ami...

Balance moi ton log ici pour que j'y vois plus clair.

[MOVE](COUCOU ! Les heureux propriétaires de la LiveBox sagem sont aussi les bienvenus sur ce fil de discussions! )[/MOVE]

A+

 

Bonsoir Climenole! (sommes nous seuls!)

J'ai fait 2 tests concernant le firewall de la livebox + LNS sur GRC.COM que voiçi:

1. Firewall livebox d'activé + LNS d'activé



2. Firewall livebox dèsactivé + LNS d'activé




Il s'avère que LNS n'est d'aucune utiliter, puisqu'il ne bloque pas ce qu'il doit impérativement bloquer! Pas de relais!

Mes paramètres de ma livebox:

 

Les seuls services que j'ai, le reste a été soigneusement éffacer.. si si

 

nh'ésitez pas à agrandir les fenêtres en double cliquant dessus.

Paramètres de la carte ethernet => DHCP:

 

Connexion au réseau local => Propriètés => (options avancées):








1- Pourquoi dans mon traffic entrant je ne vois pas tout?!
(car lors des tests sur GRC.com je ne vois pas les packets envoyés mais juste les connexions http(s) (port tcp 80/443) lors de l'initialisation de la connexion distante.
PC > GRC.com

2- qui contrôle les routes de la table du routage?!

 

Le désaroi m'anime!

Que dois je faire?! puisque je ne vois pas les ports UDP 67 et 68 en traffic entrant!

Je suis pourtant l'administrateur et le seul a utilisé mon PC Portable.

Que fait Look N Stop?!

 

Salut TackOver

1- Pourquoi le NetBios est-il désactivé?

2- La règle DNS est trop restrictive: enlève l'adresse IP du DNS server

3- Utilise la règle générique du jeu de règles évolué.

Je t'ai demandé cela. Je t'ai aussi demandé ton log. Je l'ai pas.

4- La liste des services est pratiquement illisible.

Cependant pourquoi avoir désactivé:

le service DHCP
détection matériel noyau
et surtout:

LANCEUR DE PROCESSUS SERVEUR DCOM !!!

Il ne faut jamais faire ça. Jamais. Jamais. Jamais.

Avec tes bidouilles inouïes je ne sais même plus par quel bout te ramasser...

:-(

 

Climenole au fil de la discution je t'ai parler du PORT TCP 135 (RPC)..

J'ai fermer (bloquer) le port 135 manuellement dans la BR (base de registre):

win + r => regedit (enter)

======================================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage]
"Bind"=hex(7):31,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"ListenOnInternet"="N"

=======================================================

Malheusement d'après un autre test fait chez PCFLANCK.COM

Firewall LiveBox activé + Look N Stop activé:




Comment se fait il que pcflanck.com détect que le port tcp 135 est fermé et non masqué?!
le firewall de la livebox est vulnérable et ceci dit c'est innaceptable!
En traffic entrant je ne vois pas les packets que pcflanck.com envoye pour faire ces tests
donc Look N Stop ne peut parer les restes.
Que dois je faire?!

Mayday, Mayday!!

 

Salut TackOver

Le port 135 est détecté comme fermé par le test de PCFlank de la façon suivante


PCFlank envoie un paquet TCP avec le flag SYN vers le port 135
et ton PC lui renvoie une réponse: un paquet TCP avec les flags ACK-RST.

Ce qui signale le port comme fermé... :-(

Le PC est furtif (stealth) au niveau du TCP avec la règle bloquant les paquets TCP entrants avec le flag SYN.

Soit que tu n'a pas cette règle, soit que des règles sont mal positionnées dans la liste par rapport à cette règle ...

 

Hello Climenole, merci d'être actif! Je croyai que tu allais laisser tomber.

Si les services NetBios et DCOM ont été supprimer c'est pour des raisons sécuritaires.
Limiter les failles de sécurité.

netbios-ns 137 Tcp NETBIOS Name Service
netbios-ns 137 Udp NETBIOS Name Service
netbios-dgm 138 Tcp NETBIOS Datagram Service
netbios-dgm 138 Udp NETBIOS Datagram Service
netbios-ssn 139 Tcp NETBIOS Session Service
netbios-ssn 139 Udp NETBIOS Session Service
epmap 135 Tcp DCE endpoint resolution/dcom-scm
epmap 135 Udp DCE endpoint resolution/dcom-scm

Les services:

1.le service DHCP n'est pas une nécessité puisque je l'ai paramètrer manuellement (voir les screenshots concernant les paramètres de connexions ethernet)

2.le service détection matériel noyau n'a aucune description

3.Lanceur de processus serveur DCOM à quoi bon? ou va t'on?
=> DCOM alloue de manière dynamique un port par processus
éviter les exploits DCOM. C'est le seul qui n'a pas été supprimer concernant la famille DCOM mais a été dèsactivé (Hors d'atteinte)

Concernant le port tcp 135 fermer et l'interface de bouclage (127.0.0.1)

Le firewall de la livebox aurait du bloquer le packet tcp SYN (synchronisation => demande de connexion sur le port tcp 135) est ne l'a pas fait.

Concernant Look N Stop il aurait du mais n'a pas pu. (pas de traffic entrant!!!!!)

 

J'ai effectuer plusieurs tests concernant l'adresse STATIQUE à la reconnaissance de Look N Stop en réactivant les services DHCP/DNS/ et le protocole IGMP en y ajoutant les noms de domaines concernant l'IP locale dans le fichier HOST, hélas ça n'a pas fonctionner!
En reprenant l'exemple du lien que tu m'a proscrit (by microsoft) => http://support.microsoft.com/?kbid=309642 sans avoir utiliser Microsoft .NET Framework v3.0 puisque je ne l'ai pas et je fais pas de partage de connexion. En ayant une configuration à défaut.

Avec le protocole IGMP j'ai de nouvelles routes dans la tables du routage (faire la comparaison entre les 2 sreenshots):

View attachment 189408

Toujours pas de traffic entrant! Que faire? Merci encore mille fois pour ton aide! Climenole

 

Tes bidouilles inouïes n'ont en rien "limité" les "failles de sécurité" mais foutu le bordel dans W xp.

Tu désactives "détection matériel noyau"... parce qu'il n'y a pas de description...

DCOM est indispensable et si tu ne me crois pas, je m'en fous.

Réinstalle Windows from scratch et cesse de faire sur ton système toutes les prétendues bidouilles de sécurité que tu ramasses sur tous les sites-à-la-kon de la toile. On verra après ça...

Bye

 

Franchement j'ai du mal à croire que tu as Windows!

 

Mon OS me convient bien!
Je voullai juste que LNS détecte l'Ip statique et non locale de la machine en ayant le traffic des traffics entrants. Pour mieux parer aux attaques. Entre nous c'est des sites de références ou les failles sont réelles et connus!.
En tout cas merci d'avoir fait l'effort d'avoir prit du temps pour moi, merci!

 

Va t'informer:
news://microsoft.public.fr.windowsxp

 

Après plusieurs tests concernant le paramètrage du DHCP via la carte ethernet en mode manuel:

View attachment 189425

Les dépendances concernant le service DHCP:
afd.sys, netbt.sys et tcpip.sys

Pourquoi Look N Stop ne prend pas en charge le pilote Afd.sys? (simple curiosité)