LnS et configuration d'un réseau Wifi sur Livebox :

Discussion in 'LnS French Forum' started by Elderewen, Jan 19, 2007.

Thread Status:
Not open for further replies.
  1. Elderewen

    Elderewen Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    2
    Bonjour à tous,

    Suite aux conseils d'un ami, j'ai récemment installé Look 'n' Stop pour sécuriser mon petit réseau Wifi (2 PC portables connectés à une Livebox Sagem). Au début, j'ai trouvé le logiciel relativement discret et assez simple d'utilisation. Par contre, depuis 3 ou 4 jours, je m'arrache un peu les cheveux pour configurer mon réseau local... :blink:

    J'ai commencé par tester mon réseau en l'absence de firewall et tout fonctionne correctement (internet + réseau local). J'ai ensuite installé Look 'n' Stop sur les 2 PC et là mon réseau local ne fonctionne plus (sauf si je désactive LnS). Par la suite, j'ai essayé de configurer mon réseau local à partir du jeu de règles standard, en autorisant simplement chaque PC grâce à son adresse MAC. Résultat : accès web ok mais pas d'accès réseau local. :doubt: Ensuite, j'ai fait une petite recherche sur ce forum et j'ai essayé de suivre les indications de ce sujet : https://www.wilderssecurity.com/showthread.php?t=158139. Résultat : toujours pas accès au réseau local après avoir créé les 2 règles "DHCP" ! o_O

    Après de nombreux essais, je désespère un peu et je finis par me demander si je procède comme il faut pour créer de nouvelles règles. Donc si une âme charitable pouvait me venir en aide, ça serait vraiment sympa... ;)

    Merci d'avance pour vos réponse et à bientôt.
     
    Last edited: Jan 19, 2007
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Elderewen :)

    1-
    Jette un coup d'oeil là-dessus:
    http://www.looknstop.com/Fr/rules/rules.htm#wifi

    2- Utilise les règles avancées

    3- ajoute un point d'exclamation, 3 ième colonne, pour toutes les règles afin d'avoir une entrée au journal chaque fois qu'une règle est appliquée.

    Les indications du journal sont la meilleure source pour "déboguer" ce genre de situation...

    Au besoin fait une copie d'un échantillon significatif du log
    et upload-le ici (ajoute .txt au nom du fichier log)...

    Idem pour le jeu de règles, fait une copie, ajoute .txt au nom du jeu de règles (modifié) et upload-le ici...

    Tiens-nous au courant.
    A+
    :)
     
  3. Elderewen

    Elderewen Registered Member

    Joined:
    Jan 19, 2007
    Posts:
    2
    Bonjour !

    Tout d'abord, un grand merci pour ton aide car, grâce à tes conseils (en utilisant les logs du journal ! :thumb:), j'ai réussi à configurer mon petit réseau de manière à accéder à la fois au net et au réseau local ! ;)

    Par contre, j'ai encore quelques petites questions, notamment à propos de la règle "connexion wifi sécurisé". Je l'ai importée et laissée en l'état mais je n'ai pas l'impression qu'elle interfère avec mon réseau local car j'ai accès à ce dernier que la règle soit active ou non. Est-ce normal ou bien dois-je modifier des paramètres en éditant la règle ?

    Enfin, pour que le partage de fichier fonctionne, j'ai autorisé (un peu à la louche et en tant que client et serveur) les protocoles UDP sur les ports 137 et 138 et TCP sur les ports 139, 445, 1055 et 1060. Est-ce correct ou puis-je affiner en restreignant les autorisations ?

    Merci d'avance pour tes réponses, bon week-end et à bientôt ! ;)
     
    Last edited: Jan 20, 2007
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Elderewen :)

    D'abord bravo! Pour un nouvel utilisateur de LNS tu te débrouilles plutôt bien ! :thumb:

    Pour ton réseau local consulte la FAQ :

    http://www.looknstop.com/Fr/faq_reseau.htm

    Essaye d'appliquer les solutions proposées et retour ici en cas de question ou problèmes.

    A+

    :)
     
  5. karim

    karim Registered Member

    Joined:
    Jan 21, 2007
    Posts:
    2
    bonjour,

    Tout d'abord, mes felicitations à Climénole.Du beau travail.
    Ensuite, je suis en 8 méga avec la Livebox sagem en routeur qui posséde un tres bon pare feu . Cependant , pour verifier les paquets sortants , j'ai installé LNS qui me semble etre le meilleur pare feu, apres en avoir essayé de nombreux.:(
    Dés l'installation de LNS , je n'ai eu aucun probleme de connection avec la livebox, donc pour ceux qui ont des problemes, je leur propose de configurer tcp/ip et de désactiver l'adressage automatique, ce qui désactive DHCP. D'ailleurs je n'ai meme pas eu besoin d'integrer la regle LNS wi-fi.;)
    J'ai désactivé DHCP , Netbios et pas mal de services inutiles pour moi, dont le partage reseau d'imprimante et de fichiers. J'ai pris les regles evolués et ajouter quelques regles qui me correspondent quant à mes logiciels.
    Cependant, et là je m'adresse au Docteur és LNS , j'ai nommé mister climénole, dans les options avancées , dois je activer l'anti flood, le TCP stateful packet inspection.... et y'a t'il des regles que je peux supprimer dans les regles evolués fournies par LNS.
    je ne suis pas sur d'etre tres clair car j'ai moi meme du mal à me comprendre lol mais bon...
    par avance merci .
     
  6. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Katim :)

    Tout d'abord merci des précisions donnés sur ton expérience avec la LiveBox.
    Je pense que cela va aider beaucoup d'utilisateurs de celle-ci et de LNS.

    Le seules règles à supprimer (ou désactiver) dans le jeu évolué sont AMHA:

    Autoriser l'identification

    Ce truc n'est utilisé que pour certains serveurs IRC encroûtés et est parfaitement inutile à moins d'utiliser IRC ET sur ces serveurs... Voir mon commentaire là-dessus: http://climenole.wordpress.com/look-‘n’-stop-4/

    «
    Le protocole IDENT serait, paraît-il, important pour les serveurs IRC afin identifier l’accès aux serveurs IRC depuis un système multi-utilisateur afin d’identifier et d’éventuellement bannir cet utilisateur en cas d’abus plutôt que de bannir le système multi-utilisateur à partir duquel il s’est connecté. En cas d’absence de réponse à la requête IDENT le nom de l’utilisateur connecté est alors préfixé avec un tilde [ ~ ] indicant qu’il n’y a pas de nom d’utilisateur obtenu par l’IDENT et que celui-ci pourrait être un “fake”…

    Il peut même arriver qu’un serveur IRC bloque l’accès à toute tentative de connection de donnant pas de réponse à la requête IDENT. Une mini-polémique a d’alleurs opposée MM. Erik Fair et Russell Nelson au sujet de ce protocole.Le premier soutenant que ce protocole est sans pertinence et possiblement dangereux, l’autre retournant l’argument cul par dessus tête en soutenant que ce protocole serait des plus utile aux administrateurs de système pour identifier les utilisateurs abusifs (de serveurs IRC…).

    Erik Fair: identd (identification protocol) is pointless and potentially dangerous
    http://www.clock.org/~fair/opinion/identd.htm

    Russell Nelson: ident is not of use to servers
    http://russnelson.com/ident.html

    Pour vous faire une idée vous même je vous invite à consulter le RFC 1413 et en particulier cet extrait (c’est moi qui souligne…):

    RFC 1413

    «
    6- Security Considerations

    The information returned by this protocol is at most as trustworthy as the host providing it OR the organization operating the host. For example, a PC in an open lab has few if any controls on it to prevent a user from having this protocol return any identifier the user wants. Likewise, if the host has been compromised the information returned may be completely erroneous and misleading.

    The Identification Protocol is not intended as an authorization or access control protocol. At best, it provides some additional auditing information with respect to TCP connections. At worst, it can provide misleading, incorrect, or maliciously incorrect information.


    etc....
    »

    Arrêter WinNuke

    La règle précedente "Bloquer les connexions entrantes" qui bloque les paquets TCP avec le flag Syn bloque aussi les paquets en TCP dirigés vers le port 139 ... En conséquence la règle "WinNuke" fait double-emploi avec l'autre et peut être supprimée.

    Dans les options avancées il est, AMHA, préférable d'activer l'anti-flood (ce qui rend le journal plus lisible "on the fly"... et d'utiliser l'option "Stateful"...

    Pour ce qu'est le "stateful" voir ceci par exemple:
    http://en.wikipedia.org/wiki/Stateful_firewall

    En résumé les paquets (Tcp) ne sont pas seulement examinés indépendement les uns des autres mais les uns par rapports aux autres afin de s'assurer que ceux-ci font partie d'une connexion autorisée existante... Dac ?

    Voilà.

    :)
     
Thread Status:
Not open for further replies.