LNS et Protowall

Discussion in 'LnS French Forum' started by Croco, Sep 24, 2005.

Thread Status:
Not open for further replies.
  1. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour à tous,

    En faisant des tests, j'ai surement découvert une sorte de pertubation entre LNS et Protowall.

    Pour ceux qui ne connaissent pas Protowall, c'est un soft du genre Peerguardian pour bloquer des plages d'adresses non désirer.

    Le principe de fonctionnement de LNS et Protowall est basé sur une interception des packets grace à un driver qui créer un service sur la carte réseau, manifestement le drivers de LNS semble intercepter des entrée encore non traité par Protowall (PW).

    Je m'explique, PW sans LNS reject sans soucis les attaques sur divers ports 1027, 1344, 5000 etc... Une fois LSN démarrer, les même IP qui était réjecter sont subitement détecter en bloquer (sous PW ca voudrait dire que c'est sortant) sur les ports 137. Pour finir dans la log LNS apparait la fameuse IP banni qui attaque sur le port 1207 par exemple.

    Ma conclusion, le drivers LNS semble intercepter des packets encore non traité par Protowall, la question, est-ce qu'il serait possible de donner un ordre de priorité entre les drivers réseaux ? Sinon est-ce qu'un timer pourrait être activé pour ralentir la détection de LNS ?
     
  2. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour à tous,

    Après avoir soulevé également la question sur le forum de ProtoWall, un utilisateur m'a demander si LNS possédait une option du style "driver level protection".

    Le firewall Sygate semble avoir une tel fonction qui évite ce genre de problème, est-ce qu'il en est de même pour LNS ? Y a t'il moyen de forcer le driver pour baisser son niveau de protection ?

    Je suis avec la version 2.05p2, est-ce que le driver beta pourrait corriger mon problème ?

    Merci par avance.
     
  3. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Aucune idée précise de ce qu'est le "driver level protection".

    Si en définitive Look 'n' Stop bloque les paquets à la place de ProtoWall, en quoi est-ce un problème ?
    Si certains paquets ne doivent pas être bloqués par Look 'n' Stop, mais laissés à ProtoWall, ne suffit-il pas de créer une règle qui va autoriser les paquets qui correspondent aux alertes du journal ?


    Frédéric
     
  4. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour Frederic,

    Malheureusement je ne peut pas régler le problème par l'ajout de règle, en effet Protowall tout comme LNS peut rejeter n'importe quel paquets sur n'importe quel port et protocole uniquement s'il fait parti de la blacklist. En gros pour obtenir le résultat escompter, il faudrait que je créer des règles pour chaques plages d'IP.

    Pour l'histoire du driver level protection, voilà la correspondance avec Sygate :
    Enable driver level protection:
    Tous les pilotes sollicitant le réseau sont contrôlés par le firewall.

    D'ou savoir si le pilote Lnsfw gere ou non une autoprotection. J'ai également vue sur des sites des notions de high level, medium level, low level.

    S'il y a des utilisateurs de LNS et ProtoWall je serais très intéressé par leur avis.

    Encore merci.
     
  5. MickeyTheMan

    MickeyTheMan Security Expert

    Joined:
    Feb 9, 2002
    Posts:
    1,016
    J'abonde dans le meme sens que Frédéric.
    Le firewall (s'il est effectif) se doit d'etre la 1re ligne de défense.
    Les autres apps comme protowall, les proxy, etc sont des moyens aditionnels, mais tant mieux si le firewall agit en premier, car c'est la le role d'un bon firewall.
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    J'ai du mal à comprendre si en définitive un paquet est autorisé alors qu'il ne devrait pas, ou si le problème est juste d'avoir le paquet bloqué plutôt par une appli que par l'autre.

    Dans le premier cas, c'est un vrai problème, et il faudrait un cas concret avec quelques logs pour illustrer.
    Dans le 2ème cas, c'est plus une commodité, non ?

    Peux-tu nous éclairer ?

    Frédéric
     
  7. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Dans mon cas c'est plutôt une question de commodité, si LNS prend la priorité sur les paquets, cela enlève tout l'intérêt de ProtoWall. D'ou ma question sur les drivers.

    La gestion d'une liste d'IP banni n'étant pas intégrer dans LNS, il serait intéressant de pouvoir compléter la sécurité avec un programme comme ProtoWall. Si ce dernier pouvait fonctionner comme il le fait une fois LNS coupé, cela ferait une très grosse charge de paquets à contrôler inutilement car provenant d'une IP banni.

    Protowall n'est pas destiné qu'aux utilisateurs du P2P (dont je ne fait pas parti), il permet aussi de rejeter instantanément les IP des serveurs les plus malveillant comme référencé sur DShield.
     
  8. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Un grain de sel ...

    Protowall, PeerGuardian et autres trucs de B.I.S.S. sont AMHA des trucs
    totalement farfelus ... J'ai essayé il y a longtemps des machins...

    Avec PeerGuardian j'avais une liste de plusieurs millions de site IP bloqués :

    MMmmooouuaarrffFFF !

    L'idée des ces British c'est un HOSTS file TOTAL !
    C'est surtout TOTALEMENT insensé...

    Suggestion : vire ces trucs qui te donnent un faux sentiment de sécurité.
    Voilà.

    ;-)
     
  9. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Salut Climenole,

    Certes cela n'est qu'un plus pour éviter d'avoir à traité des alarmes sur le journal de LNS, mais je suis toujours curieux de savoir qui c'est et pourquoi c'est souvent récurent. Grace à Protowall j'ai des éléments de réponse et je ne m'étonne plus.

    Ca fait plus d'un an que j'utilise Protowall et je trouve qu'il a particulièrement bien évoluer dans son contenu, surtout les listes d'IP qui sont plus ciblé.

    Mise à part ca, mon soucis semble réparer, j'ai désactivé l'option de filtrage des protocoles de LNS, un reboot et cela semble fonctionner comme je le souhaitait.

    Je test quelques jours et je vous tiens au courant.

    Encore merci ;)

    Croco
     
  10. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut Croco :)

    Pas de problème mon cher. C'est très bien de vouloir comprendre ce qui se passe. Le point n'est pas là : je ne suis vraiment pas certain que Protowall
    soit si utile qu'il n'y paraît...
    Mais, bien sûr, je peux me fourrer le doigt dans l'oeil jusque là !
    (Ça m'arrive de temps en temps MDR :-D )

    Curieux de voir la suite.

    Tiens-nous au courant.

    A+

    :)
     
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est curieux que ceci résolve le problème.
    Quelle est la version de Windows ?

    Frédéric
     
  12. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Je suis en W2K SP4, pour le moment je n'est pas encore redémmarrer la machine.

    Pour l'heure ca marche parfaitement, j'ai toujours pas relancer ma machine donc LNS et Protowall cohabite sans gène.
     
  13. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour,

    Ce petit message pour vous signaler qu'après plusieurs redémarrage que LNS fonctionne très bien avec ProtoWall.

    A+

    Croco
     
  14. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, merci pour l'info, c'est un peu énigmatique (que ce soit le filtrage des protocoles qui génait), mais bon, l'important c'est que ça marche :cool:

    Frédéric
     
  15. blak

    blak Guest

    Bonjour,
    J'utilise à la fois Protowall et Look'n stop et je confirme plusieurs choses :
    - Tout a toujours très bien cohabité en ce qui me concerne (sous XP). Chacun des 2 softs fait sa part de travail : L'un après l'autre sûrement... de toute façon, quelque soit l'ordre dans lequel ils filtrent, l'essentiel est que les paquets à rejeter soient rejetés. De plus, ils sont tous deux très peu gourmands en ressources, et ce n'est donc jamais pénalisant niveau performances.

    - Je n'ai toujours pas compris le problème exposé par Crocro. ^^ Désolé.

    - Look N Stop est un excellent soft !

    - Protowall ne donne pas un faux sentiment de sécurité, mais il fait parfaitement le boulot qu'il est censé faire (rejeter tout paquet entrant ou sortant s'il correspond à l'une des plages d'adresses "blacklistées"). Si l'on sait s'en servir correctement, il nous met à l'abri de tonnes de nuisances même durant le surf (pubs débiles et autres pollutions 'internetesques').

    Bonne continuation.

    blk.
     
Thread Status:
Not open for further replies.