looknstop sous Windows 2003 en service

Bonsoir,

Heureux utilisateur de looknstop sur Windows XP 32 bits, j'ai convaincu mon employeur d'installer ce pare-feu sur un serveur Windows 2003 32bits.

1- en service, le process fonctionne bien, mais les règles ne sont pas activées, donc le serveur est nullement protégé. Il faut que l'interface soit lancée pour que les règles soient enfin appliquées. l'avez vous déjà testé en mode service ??

2- le serveur dispose de 2 cartes réseaux et bien qu'ayant choisi manuellement la carte qui est déclarée sur la DMZ, tout est bloqué dès que looknstop est interfacé (les 2 cartes). Est ce normal ?


Cordialement
flecomte

looknstop 2.06

 

Bonsoir,

Normalement le mode service est censé marcher.
Pour que Look 'n' Stop marche que faites-vous exactement après qu'un utilisateur se logge sur le serveur:
- vous lancez Look 'n' Stop car en fait il n'est pas lancé
- vous l'arrêtez et vous en relancez un nouveau
- vous lancez une 2ème instance
- autre ?

S'il s'agit bien de 2 cartes réseau distinctes, alors Look 'n' Stop ne doit en filtrer qu'une seule des 2, si une seule instance du programme est lancée.

Cordialement,

Frédéric.

 

Bonjour,

Mode Service:
à mon avis il manque une option de démarrage dans la commande d'execution du Service Windows. En mode système j'ai vu dans la base de registre -auto, en mode service, il n'y a que l'executable si je me souviens bien.

Si je ferme l'interface visuelle et démarre le service, je vois bien un process looknstop activé, mais les tests Shields de GRC montrent que les règles ne sont pas activées. En conséquence, je suis obligé de démarrer l'interface visuelle pour que la protection soit effective. Pour l'instant la seule parade trouvée est de laisser une session vérouillée avec l'interface visuelle lookstop ouverte.

Cartes réseau :
Il s'agit bien de 2 cartes réseaux distinctes, donc une est sous surveillance lookstop (sélection manuelle). Je vous confirme qu'une fois l'interface visuelle lancée, la connexion sur le serveur devient impossible sur les 2 cartes (une seule instance du programme est lancée). le serveur, malgré ses 2 cartes, est invisible sur notre réseau.

J'ai obtenu les mêmes symptômes avec la version 2.06sp2


Cordialement
flecomte

 

Bonsoir,

je voudrais aussi vous signaler que le pare-feu windows n'est pas supplanté par looknstop sous windows 2003.


Cordialement
flecomte

 

Bonsoir,

Je ne sais pas bien ce que vous entendez par "supplanté", ce qui est sûr c'est que Look 'n' Stop ne désactive pas automatiquement le firewall de windows, car les 2 cohabitent sans problème. Ceci s'applique à toutes les versions de Windows (qui ont un firewall intégré).

Cordialement,

Frédéric

 

Le -"auto" s'applique juste à "looknstop.exe" mais pas à "lnssvc.exe" (le service).
La question était de savoir qu'est ce qui est lancé exactement quand vous vous loggez sur la machine. Soit un process looknstop.exe existe et tout est Ok (le service a bien démarré automatiquement une instance de Look 'n' Stop), soit il n'y a aucun process looknstop.exe en mémoire.

Je n'ai pas bien compris cette partie. Si en définitive il y a bien un process looknstop.exe lancé, il ne faut pas l'arrêter pour en lancer un autre, il faut regarder comment cette instance (qui est bien la bonne) est configurée (interface réseau, fichier de règles...).
Quand Look 'n' Stop est lancé en mode service, il est lancé sous le compte de l'utilisateur système et cette utilisateur a ses propres options. En quittant/relançant, Look 'n' Stop est lancé avec les options de l'utilisateur qui s'est loggé (et ça peut être différent de l'utilisateur système).

Il faudrait regarder le contenu du journal de Look 'n' Stop pourvoir quels paquets sont bloqués exactement quand un PC du réseau local souhaite se connecter sur ce serveur.

Cordialement,

Frédéric

 

Bonsoir,

En Mode Service, l'exécutable "lnssvc.exe" se lance bien au démarrage du serveur, cependant le serveur n'est absolument pas protégé, aucune des règles écrites ne s'appliquent. Les tests ShieldsUp effectués sur grc.com le démontrent.

Si je me loggue sur le serveur, l'interface visuelle de looknstop se lance automatiquement et là les tests ShieldsUp sont bons. Les règles sont appliquées.

Si logué sur le serveur, je quitte l'interface visuelle (le service est quant à lui toujours démarré) les tests sont mauvais, les règles ne sont pas appliquées.

En gros, tant que l'utilisateur n'est pas logué sur le Serveur, avec l'interface visuelle ouverte et la session vérouillée, l'ordinateur n'est pas protégé.


Cordialement
flecomte

 

Bonsoir,

Tout se passe comme si looknstop.exe n'était pas lancé par le service, mais toujours en mode système au logon de l'utilisateur (et via la clef RUN de la base des registres).

Il n'y a pas de différence entre l'interface visuelle et looknstop.exe. Les 2 vont de pair. En mode service looknstop.exe (et donc l'interface visuelle) est lancé avant que le premier utilisateur se logue.

Pourriez-vous vérifier:
- si "service mode" apparait bien dans la fenêtre console de Look 'n' Stop (au tout début après les versions)
- si le process looknstop.exe appartient bien à SYSTEM et non à l'utilisateur qui vient de se logguer (via le gestionnaire de tâches)

Si oui, Look 'n' Stop est bien lancé avant que l'utilisateur se loggue, et donc c'est très curieux que ça ne marche pas. D'autant plus que le fait qu'un utilisateur se logge ne doit rien changer.
Si non, il y a un problème dans le fait de lancer looknstop.exe via le service, ce qui explique le comportement que vous décrivez.

Un truc m'intrigue: comment faites-vous pour le test grc sans vous logguer sur la machine ?

Merci,

Frédéric

 

Bonjour Frédéric,

Je vais dans un premier temps répondre à votre dernière question :

(Un truc m'intrigue: comment faites-vous pour le test grc sans vous logguer sur la machine ?)

Le Serveur est en DMZ, donc toutes les connexions entrantes pointent directement sur ce serveur.

Donc, je mets look'n Stop en mode service,
- puis vérifie son type de démarrage (auto),
- ensuite je redémarre le serveur.
- Je laisse le serveur tel quel une fois redémarré (personne ne se loggue)

Depuis un PC, je vais sur GRC et fais mes essais.


Cordialement
flecomte

 

Bonjour,

Vous voulez dire que vous faites le test GRC depuis un autre PC et lors de ce test GRC affiche l'adresse IP de ce serveur ?

Pas tout à fait:
- mettre en mode service, faire appliquer
- pas grand chose à vérifier en fait
- redémarrer, oui
- une fois redémarré, si, il faut que quelqu'un se loggue, et c'est là que j'aimerais savoir comment se lance looknstop.exe exactement. Pour cela, 2 choses à vérifier: la fenêtre console de looknstop, et qui est le propriétaire du process looknstop.exe

Merci,

Frédéric

 

Re: looknstop sous Windows 2003 en service (résolu)

Bonjour Frédéric,

Absolument !
En déclarant une @IP d'un serveur comme hôte DMZ sur votre routeur alors ce serveur est considéré comme directement connecté sur l'Internet. Il subit donc toutes les requêtes provenant de l'Internet.

########## RESOLUTION ###########

* Fichier des Règles :
- Enregistrer le fichier qui contient l'ensemble des règles dans un répertoire neutre (pas Mes Documents)

* Options Look'n Stop
Aller dans l'onglet "Options" de look'n stop
- Démarrage Auto : Service
- Base de registres : Niveau système + Extra

* Service Windows
- Dans les services, bien mettre l'utilisateur système local
+ l'autoriser à interagir avec le bureau

########## FIN RESOLUTION ###########

Maintenant, il faut que vous fiabilisiez la carte sélectionnée manuellement sur lesquelles les règles s'appliquent, qui saute de temps en temps.

Cordialement
flecomte

 

Re: looknstop sous Windows 2003 en service (résolu)

Bonjour,

Ok, merci pour ces précisions.
Quelques compléments ci-dessous.

Cordialament,

Frédéric

Oui, par défaut le fichier de règles est dans le répertoire de l'utilisateur qui a sélectionné le mode "Niveau système".
En général ceci ne pose pas de problème, l'utilisateur System Local ayant les droits pour aller récupérer ce fichier, mais c'est effectivement mieux de le placer ailleurs.

Normalement la sélection Niveau système est automatique dès lors que le démarrage Auto est sur service, et l'autre mode (par utilisateur) n'est plus sélectionnable.
L'option "Extra" permet juste de créer un fichier de sauvegarde des options additionnel (mais il n'est pas impliqué dans la récupération des options ou du lancement de Look 'n' Stop).

Pour le type d'utilisateur, c'est normalement le cas par défaut. N'était-ce pas le cas chez-vous ?
L'option d'interraction avec le bureau est habituellement sans effet (ça marche sans, dans tous les tests que j'ai pu faire).

Oui, en mode automatique Look 'n' Stop sélectionne la première interface réseau qui obtient une adresse IP valide (et qui n'est pas dans la liste d'exclusion). Si plusieurs adresses IP sont valides sur les interfaces réseau, alors que l'on souhaite filtrer une interface précise, il vaut mieux effectivement passer en mode manuel et choisir soi-même l'interface à filtrer.

 

Re: looknstop sous Windows 2003 en service (résolu)

Bonjour Frédéric,

Vous n'avez pas compris sur cette partie.
J'ai choisi manuellement la carte réseau sur laquelle l'ensemble des règles doivent s'appliquer depuis le début.

Je vous informe juste que ce choix "manuel" n'est pas toujours respecté par look'n stop, il arrive occasionnellement qu'aucune carte ne soit cochée après certrains redémarrages du serveur. Je m'impose donc à exécuter les tests ShieldsUp après chaque redémarrage de notre serveur afin de prévenir tout problème.

En conséquence, il faudrait fiabiliser cette option.


Cordialement
flecomte

 

Bonjour,

Ok, j'avais mal interprété la dernière phrase.

Serait-il possible d'avoir le contenu de la fenêtre console quand Look 'n' Stop n'a pas réussi à sélectionner une interface réseau ?
Ca devrait permettre de comprendre ce qui se passe, les obtentions d'adresses IP, changement d'interface réseau... étant indiquées dans cette fenêtre.

Merci,

Frédéric