question d'un nouvel utilisateur

Discussion in 'LnS French Forum' started by pjdl, Jan 6, 2004.

Thread Status:
Not open for further replies.
  1. pjdl

    pjdl Registered Member

    Joined:
    Jan 6, 2004
    Posts:
    5
    :)bonjour à tous,
    voilà j'ai franchi le pas: désinstall de za pro (trop gourmand), install de lns 2.04.

    c'est tout bon: regles standart + ics + partage réseau local

    tout marche impeccable, mais (et il y en a ..)

    avec shield'up, dans ceratin cas tout est stealth, dans d'autres 113 et 1270 closed: pourquoi?

    peut-etre une piste: si je lance pop...je ne sais plus quoi de nav avant lsd: stealth si je fais le contraire: closed.

    Quelle différence entre jeu standart et évolué?

    Ma config: win 98se + nav2000 + carte pour réseau local + carte pour modem adsl

    Merci de vos réponses et à +.

    Pj
     
  2. pjdl

    pjdl Registered Member

    Joined:
    Jan 6, 2004
    Posts:
    5
    toujours moi, compléments:
    le prog popproxy.exe de nav n'a rien à voir dans ce changement de status des ports.
    j'ai installé les régles évoluées et là le pb à l'air de ne plus se reproduire (qu'est-ce qu'elles ont de +)
     
  3. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Les regles évoluée bloquent plus finement les paquets manifestement malicieux au prix pt etre d'avoir a creer des regles suplementaire pour autoriser le traffic legitime.

    Par ex, un paquet avec les flag SYN + FIN est impossible a trouver dans une communication normale.
    Si tu utilise le jeu de regle normal, il ne va pas regarder ce "detail" qui a son importance, et va juste regarder s'il est autorisé ou non en fonction du port/IP/protocole. s'il est pour un port autorisé il sera accepté, alors que ce paquet est volontairement trafiqué et malicieux.
    Le jeu de regle évolué lui, va d'abord faire le tri entre les bons et mauvais paquets, et ensuite ceux ci parcoureront les regles de filtrage suivantes.

    Le jeu de regle évolué est plus avancé, mais en meme tps un jeu de regle standard est un minimum acceptable et suffisant si ton niveau de connaissance reseau/firewall ne te permet pas de creer des regles complexes.

    EDIT : A propos de Shield up il retourne parfois des resultats éronné.
    Sinon il est possible que le jeu evolué ne retourne pas les paquets (stealth) alors que le jeu normal bloque les paquets mais renvois la reponse "close" tout de meme, qq d'autre pourra surement mieux te renseigner.
     
  4. pjdl

    pjdl Registered Member

    Joined:
    Jan 6, 2004
    Posts:
    5
    :)Bonjour et merci pour la réponse.

    Mais je suis vite dépassé, car je ne sais pas ce que sont les FLAG SYN ou paquet fragmenté ainsi que les risques qu'ils peuvent générer.

    Autre chose: dans le cas d'un réseau local, la passerelle est protégée par fw+anti virus, les clients par anti-virus: est-ce suffisant? mettre un fw sur ts les postes=parano?

    Quel est votre avis?
     
  5. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Non ce n'est pas de la parano, mettre un fw sur chaque client pour controler les appli qui accedent a internet me semble tout a fait normal.
     
  6. pjdl

    pjdl Registered Member

    Joined:
    Jan 6, 2004
    Posts:
    5
    d'accord mais ...
    si c'est un log que tu as lancé, c'est que tu le connais et alors pas de soucis, ou bien c'est un virus, un cheval de troye, ... et là l'antivirus devrait te le signaler, non?

    En fait, dans ce genre de config, quelle est la probablité pour se faire avoir et quels sont les risques encourrus?
     
  7. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    ou la, bcp de choses a revoir :)

    Qui te dit que tout ce qui se lance sur ton systeme commences tjs par toi ?
    Tu peut naviguer sur internet (tu as juste lancé ton navigateur) et certains scripts peuvent telecharger et lancer des applications sans meme que tu soit au courant.
    Les Spywares, sur un pc sans controle, visitent quotidiennement ta machine sans que tu imagine qu'ils sont là, et les données qu'ils transmettent.

    De plus, le fait de croire qu'on ne defaillera jamais et qu'on lancera tjs des appli dont on est sûr a 100% de la provenance c'est avoir une estime bien exagéré de soi meme, les defaillances humaines sont les 1ères causes des "trou" de sécurité.

    Loin d'etre tjs vrai, si c'est un virus a propagation rapide (ex : MSBlast, Sobig, CodeRed, NimDa, Swen, etc...) ton antivirus ne l'aura pas ds sa base de donnée.
    De plus si c'est une appli "perso" ca ne sera pas détecté par l'antivirus, je suis parfairtement capable de t efaire un programme non détecté, apres tout, c'est juste un programme. Qd de tels programmes sont détectés par un antivirus c'est qu'ils sont suffisemment répandus pour avoir été remarqués et ajouté dans la base de données.

    Difficile de parler de probabilité, saches que c'est possible, simplement.
    J'ai deja entendu des scenario où des personnes se font passer pour un support technique quelconque et te redirige sur une page web où il te demande de telecharger un correctif qui n'est ni plus ni moins qu'un trojan.
    Ensuite viens le probleme de la popularité, plus tu es connu plus tu es sujet a ce genre de pratique.
    Enfin vient l'exposition : est ce que les utilisateurs remportes les pc portable chez eux dans un environnement non sécurisé ? est ce que les utilisateurs peuvent recevoir leur mails sur leur poste de travail ?
    Peuvent ils installer des programmes a ton insu ? (chat, autes..)
    Ont ils acces aux site non recommendable ? (warez, adulte, etc...).
    Peuvent ils lancer des prog de P2P ?

    Il a bien d'autres aspects pour jauger l'exposition de ton réseau, mais personellement , j'ai déjà vu des réseaux dit "fermés" se retrouvant avec un virus se balladant sur le réseau et cassant la production sans être détecté par l'antivirus installé sur chaque post et à jour
    (les postes n'avaient pas acces a internet, pas possibilité d'installer des prog, mais grosse ouverture du coté du prog de messagerie interne auxquel on pouvait envoyer des emails depuis internet).

    Est ce possible ? oui.
    Comment ? de plein de manières, memes autres que celles sus citées.
    Je suis bien loin de donner une liste exhaustive.

    A toi de voir quelle sécurité tu souhaite obtenir et quelle exposition tu as actuellement.

    EDIT : j'ai stt parlé du cas d'une entreprise, mais meme dans ton cas sur un LAN perso a la maison, les risques sont identique et meme plus élevés.
    J'ai un LAN egalement et les 2 PC windows clients ont un firewall.
     
  8. pjdl

    pjdl Registered Member

    Joined:
    Jan 6, 2004
    Posts:
    5
    :eek:, bon,ok, stop tu m'as convaincu.
    Merci pour ta réponse.

    Revenons à lns, une petite anomalie:j'ai coché la case:"service" pour le lancer au démarrage de la machine,
    et ce matin lns ne s'est pas lancé automatiquement, en fait c'est la 2ème fois que cela se produit.

    Une explication?

    Merci.
     
  9. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    oh non, moi qui voulait en rajouter :D

    "systeme" tu veux probablement dire ?

    non aucune idée, essais pt etre de le decocher, d'appliquer, de le recocher, d'appliquer encore, et ca resoudra pt etre ton pb.
    Sinon, je ne vois que Fredric qui pourra te répondre.
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Cette option ne permet pas de démarrez Look 'n' Stop au démarrage de la machine, mais de le démarrer via la base des registres au lieu du menu démarrer.

    Frédéric
     
Thread Status:
Not open for further replies.