ZA bloque du VPN à tour de bras.

[bouli]

Ce ne sont pas des ports mais des numéros de protocole IP (TCP = protocole 6, UDP = protocole 17, ICMP = protocole 1,....)

 

Le MISC de ce mois ci est consacré aux VPN. Dans celui-ci, on peut trouver une fiche technique de configuration d'IPSEC sous Windows 2000. (/pub off)

 

Outill d'administration "stratégie de sécurité locale" => stratégie de Sécurité IP. ça permet de configurer un firewall rudimentaire avec ou sans utilisation d'IPSEC

 

Une piste à vérifier également: le fait d'utiliser un Win2000 en passerelle active le service Routage et Accès Distant. Un coup d'oeil dans sa configuration pourrait t'apporter quelque solution

Ok ca explique pourquoi je ne pouvais pas changer tout ca !!

 

La lecture de MISC a été interressante même si j'ai pas tout compris....

 

Sinon pour les régles que j'ai faites plus haut ca ne fonctionne pas, on tente toujours d'arriver chez moi via ce foutu VPN (mais d'ou peut il sortir celui là !!!).

C'est bien: source:Internet, Destination: n'importe laquelle, Temps n'importelequel aussi. (pour être sûr que ca ne passait pas j'ai fait ca mais ca n'a rien donné).

 

Pour les outils d'admin je dois dire que j'ai pas compris oiu je dois agir, j'ai l'impression en tout cas que windows "passe devant" le firewall pour ce genre de protocole là, ce qui empeche ZA d'intercepter et bloquer en amont ces tentatives.

 

Bref c'est lourd, bref je suis pas encore sorti d'affaire, bref j'en ai appris plein grâce à vous .

 

Bref j'ai besoin d'aide pour voir comment configurer win:

 

Ce que j'ai fait: Stratégie de sécurité IP>Sécuriser le serveur>ajouter et là je cale.

 

Vu que je suis en IP dynamique y a pas moyen de spécifier une adresse ip web...

Donc je spécifie aucun tunnel>accés distant>sécurité kerberos 5> là on me demande un nom de domaine>y en a pas normal.

 

Pour les protocole à bloquer on me propose ICMP (ca sert pas à grand chose à part aux ping FAI ca non ??) ou tout trafic IP> donc tout trafic IP, sécurité requise.

 

Voilà la règle est fixée. On va voir ce que ca donne.

 

Sio plantage hésitez pas à me sermoner !!

 

Bouili qui apprend contraint et forcé les régles su rézo....

[Invité tesgaz]

ok je pense avoir trouvé comment règler définitivement ce problème:

Dans ZA,

menu "firewall", onglet "expert"

il faut créer une règle en cliquant sur le bouton "ajouter".

On lui donne un nom (par ex: bloquer VPN),

etat "activé",

action "bloquer",

suivi "Alerte et historique",

source "n'importe lequel",

destination "poste de travail",

temps "n'importe lequel".

Il reste alors a configurer le protocole : pour cela :

dans le champ protocole choisir "ajouter un protocole" .

On choisit ensuite un protocole "TCP et UDP", auquel on donne un nom

dans le champs description "VPN",

port de destination "autre" et "4662" ,

port source "autre" et "1723".

Et voilà : en fait cette règle devrait bloquer toutes les tentatives TCP et UDP en provenance du port 1723 (celui utilisé en VPN).

je teste toute l'apres midi et je te dis si j'ai des alertes

[bouli]

Je fais aussi, mais bloquer le 4662 ca risque de poser de problèmes à mon application....

 

 

edit: apparement pas de soucis. je verrais en rentrant si j'ai de jolis pop up de ZA ou rien !!

 

Merci

 

Un pack de virtuel pour un creusage de tête bien réel !!

Modifié le 3 novembre 2003 par bouli

[Invité tesgaz]

j'ai meme fait un test comme ceci :

port de destination "autre" et "1-65535" , au lieu de 4672 seul

 

et ca fonctionne pour l'instant, pas d'alerte en vu de la part de ZA

[bouli]

Pour le moment ca roule aussi.

 

C'est vrai que c'est pas plus mal d'interdire la plage IP compléte...

 

4662 ou 4672??

 

En tout cas pas d'alerte de mon côté non plus, pourtant je fais pas mal de requêtes. Touchons du bois !

[Invité tesgaz]

oups boulette

4662, fote de frappe de ma part

 

merci pour la

 

() finallement on peut parler de tous sur le forum, en fait tout dépend de : comment c'est écrit, interpréter ou compris

[bouli]

C'est vrai....

Pourtant y avait un indice dans la capture

 

 

Faut être aware !!

Modifié le 3 novembre 2003 par bouli

[Invité tesgaz]

me voici de retour,

en triffoullant dans ZA, tu peux appliquer la regle directement sur le programme

 

tu vas dans l'onglet programme =>tu choisis le programme qui va bien =>clic droit =>Options=>regle experte => et la tu mets la regle citée plus haut

et l'intérêt, c'est qu'elle ne fonctionne que pour ce programme

 

voila

 

() sinon, toujours pas d'alerte

Modifié le 3 novembre 2003 par tesgaz

[Greywolf]

Je vois que ce post a pas mal avancé depuis ma dernière intervention

 

Ce que je n'arrive pas à comprendre (ou à vous faire comprendre..) c'est pourquoi vous vous escrimez à définir des ports pour un traffic VPN....

 

Par définition, un VPN est crypté et encapsulé dans un autre protocole IP.

Le firewall ne peut pas regarder ce qu'il y a dans les paquets encapsulés, notamment les ports sources et destination de l'application qu'on fait transiter par le VPN, parce qu'ils sont cryptés et que le Firewall ne partage pas la clé/le secret pour rendre tout ce charabia en clair (heureusement encore, à quoi ça servirait sinon...).

 

la TCP 1723 n'est pas cryptée et ne concerne que le contrôle de connexion pour la liaison GRE.

 

//le baudet qui fait du VPN ?

[Invité tesgaz]

Salut Greywolf,

en fait ZA bloque deja la connexion par VPN quand le programme veut y accéder, la solution que l'on cherche, c'est comment éviter d'avoir les messages d'alertes, donc le faite d'établir une regle à priori, supprime cette fameuse alerte, et pour l'instant ca à l'air de marcher