MàJ Viruscan

Discussion in 'LnS French Forum' started by alf31, Sep 15, 2005.

Thread Status:
Not open for further replies.
  1. alf31

    alf31 Registered Member

    Joined:
    Jul 13, 2005
    Posts:
    5
    Bonjour,

    Aucun souci pour mettre à jour viruscan avec le jeu de règles standard.
    Par contre, cela ne fonctionne plus avec le jeu de règles évoluées, la raison en étant apparemment la règle "Bloque les paquets TCP entrants qui ont juste le
    flag SYN de positionné." Dommage, c'est comme cela que le site ftp nai initie la procédure de mise à jour !!
    Est-ce que quelqu'un a une solution (autre que de repasse au jeu standard quand tu fais la mise à jour :cool: ) ? Par avance, merci
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut :)

    Tu parles bien de McAffe Viruscan n'est-ce pas ?

    J'ai beaucoup de doutes sur le blocage dû à la règles de blocage des paquets entrants avec le flag SYN de positionné... Cela bloque les paquets qui initient une connection sur ton PC avec ce flag positionné. (Ton PC n'est pas un serveur...) Cela ne bloque pas (évidement) tous les paquets avec ce flag...
    chose dont tu n'as pas à te soucier normalement.


    Voir là:
    http://fr.wikipedia.org/wiki/Transmission_Control_Protocol

    Pour la mise à jour de ton AV tu n'as qu'à créer un règle spécifique après
    celle des services internet standards pour autoriser le programme de mise à jour de McAffee à se connecter via les ports locaux de 1024 à 5000 en TCP
    vers les ports (distants) 80 (Http) et 443 (https) du serveur web de McAffee.

    Le filtrage logiciel doit être activé. Il suffit de consulter le journal de LNS
    pour voir si ça coince et où...

    Tu peux aussi utiliser en même temps TCPView de Sysinternals pour voir les connections "lives".
    http://www.sysinternals.com/Utilities/TcpView.html

    Avec ça tu devrait être capable de te débrouiller.

    :)
     
    Last edited: Sep 15, 2005
  3. alf31

    alf31 Registered Member

    Joined:
    Jul 13, 2005
    Posts:
    5
    Merci pour ta réponse Climenole et les liens (instructifs pour un beotien comme moi)

    En effet, il s'agit bien de ViruScan de McAfee.

    J'ai bien autorisé la plage 1024:5000 (TCP) uniquement pour l'application de mise à jour. Voici ce que j'ai constaté :
    Cas 1 : si je place la règle avant la règle mentionnée dans mon précédent post, la mise à jour se déroule sans encombre.
    Cas 2 : Si j'inverse l'ordre, la mise à jour est bloquée (et l'utilitaire avec...)

    Le remède fonctionne donc, mais me semble un peu bestial, en ce sens que tout gugusse (externe) qui veut initier une connection en TCP pourra le faire pendant la mise à jour de Viruscan. Correct ?

    Hasta Luego
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Dans ce cas sans doute que la mise à jour utilise un protocole style FTP en mode non passif qui nécessite que des connexions entrantes soient ouvertes.
    (pas hyper pro pour un logiciel de sécurité, ceci dit en passant).

    Il faut donc effectivement mettre une règle qui va accépter des connexions entrantes, devant la règle "Bloque les paquets TCP entrants ...".
    L'idéal serait quand même de ne pas avoir à ouvrir l'ensemble de la plage 1024-5000 mais juste quelques ports.
    Ceci dit si la règle ajoutée n'est active que quand le logiciel de mise à jour est actif, c'est déjà bien.

    Frédéric
     
Thread Status:
Not open for further replies.