Firewall Look'n'Stop

[megataupe]

Bienvenue au club des fantômes du net S.Birkoff

Zone alarm est et reste un excellent firewall mais, je sens dans

le ton de ton message l'envie de maîtriser totalement ce qui entre

ou sort par ton firewall, voir te concocter des petites règles

perso, ce qui n'est pas possible avec ZA.

[S.Birkoff]

je sens dans

le ton de ton message l'envie de maîtriser totalement ce qui entre

ou sort par ton firewall, voir te concocter des petites règles

perso, ce qui n'est pas possible avec ZA.

C'est exact ! Je serai donc bientot un "Phantom" du net

 

Pour ce qui est du test, je ne sais pas si je ne l'ai pas un peu faussé. Car utilisant un modem/routeur/wifi, j'ai un double firewall integré ( SPI et Nat je crois ). Cela a t-il joué (augmentation de la securité) ?

Bon WE

S.B

[Xerta]

"Pour ce qui est du test, je ne sais pas si je ne l'ai pas un peu faussé. Car utilisant un modem/routeur/wifi, j'ai un double firewall integré ( SPI et Nat je crois icon_confused.gif ). Cela a t-il joué (augmentation de la securité) ?"

 

 

Peut-être parceque ZA a normalement un problème (sans gravité) avec le port 113 de Zebulon.

 

Tu devrais faire par curiosité subir à ZA free les trois leaktests cités plus bas (voir processguard etc)

 

Wallbreaker et Firehole (tests à réaliser avec le navigateur fermé)

 

Thermite (test à réaliser avec le navigateur internet explorer ouvert (faut le savoir!) comme pour le fameux "Copycat")

[Sacles]

Bonjour,

 

Je n'ai malheureusement jamais pu faire fonctionner les règles Phantom's sur mon ordinateur.

 

Le filtrage se fait ... trop bien. Par exemple, ni mon logiciel de messagerie ni mon navigateur n'arrivent à se connecter.

 

Ma connexion Internet se réalise comme d'habitude et le filtrage de look 'n' stop fonctionne (à la vue du journal).

 

Surement un problème de paramétrage des DNS dans Win et Phantom's. A vérifier donC.

Tu pourrais préciser. Je voudrais vérifier si le problème ne vient pas de là comme celui de chepioq.

 

Voici des images de ma configuration:

 

 

 

Merci d'avance pour ton aide.

 

Edité:

Cela fonctionne, j'avais omis d'activer la règle Allowed-1

 

N.B. L'adresse IP indiquée n'est plus la mienne. J'ai relancé mon ordinateur. J'ai vérifié, elle s'est bien adaptée dans LnS (Allowed-1)

 

Cordialement.

Modifié le 30 octobre 2005 par Sacles

[megataupe]

Bonjour Sacles, bonjour à tous .

 

Cela fonctionne, j'avais omis d'activer la règle Allowed-1

 

C'est souvent la cause du non fonctionnement des règles Phantom's car,

il ne faut pas oublier aussi d'entrer les DNS dans les options propriétés

réseau et redémarrer le PC pour devenir invisible .

 

Bon dimanche en drap blanc

[Sacles]

Re,

 

C'est souvent la cause du non fonctionnement des règles Phantom's car,

il ne faut pas oublier aussi d'entrer les DNS dans les options propriétés

réseau et redémarrer le PC pour devenir invisible

J'avais bien fait tout cela mais c'est cocher Allowed-1 (colonne de gauche dans les règles de manière à avoir le petit carré vert : ) que j'avais oublié.

 

Merci pour ta réponse Zorro51 mais j'ai indiqué à la fin de mon message que tout était résolu (cfr Edité)

 

Cordialement.

Modifié le 2 novembre 2005 par Sacles

[megataupe]

Tiens, et comme c'est dimanche, j'ajoute une explication de Frédéric (modo

français du forum L'n'S) concernant la fonction filtrage des protocoles incluse

dans les options avancées de Look'n'Stop :

 

Cette fonction permet de bloquer des Trojans qui utiliseraient un driver de protocole propre pour se connecter.

Avec un tel driver, une bonne partie des couches microsoft sont bypassées (en particulier IP/TCP) et le filtrage logiciel ne voit donc rien passer (que ce soit avec Look 'n' Stop où d'autres FW qui filtrent au même niveau).

Grâce au filtrage des protocoles (qui fait partie du Filtrage internet) Look 'n' Stop vérifie que les paquets émis viennent bien de drivers/protocoles standards (TCP/IP, Netbios...) et non de drivers/protocoles inconnus.

 

Le Leaktest suivant:

http://www.firewallleaktester.com/leaktest10.htm

démontre cette vulnérabilité (quand cette fonction n'est pas active).

 

Au niveau de la configuration, parfois il est nécessaire d'autoriser en plus Wanarp.sys (note : pour les abonnés Wanadoo notamment) qui est un protocole standard de windows et qui n'est pas autorisé par défaut par Look 'n' Stop (car pas nécessaire systématiquement).

[Sacles]

Bonjour,

 

J'ai fait passer "No Risk Security Audit" à "mon" Look 'n' Stop, une fois avec le jeu de règles évoluées et une deuxième fois avec le jeu de règles Phantom. Un seul ajout à ces deux jeux : Autorise FTP (pour pouvoir publier un site Web).

 

Dans les deux cas, les résultats sont les mêmes:

1) Aucun port ouvert.

2) Deux problèmes qui, si je comprends bien, ne semblent pas très importants :

 

a) Traceroute:

"For your information, here is the traceroute to 81.244.39.222 :

69.28.227.213

69.28.226.193

216.187.68.5

216.187.114.150

216.187.68.93

216.187.90.45

216.187.115.130

12.118.100.33

12.123.3.90

12.122.80.21

192.205.32.138

193.251.241.133

193.251.243.121

193.251.247.42

80.84.18.90

195.13.13.17

194.78.0.109

80.201.237.42

?

 

Makes a traceroute to the remote host.

 

Risk factor : Low

 

Additional Information:

Traceroute is only a problem if the route shown above is revealing sensitive IP addresses internal to your network. If the addresses shown are all upstream to you, then you have no risk associated with this test. If, on the other hand, we are showing private addresses on the traceroute, you should consider filtering ICMP Destination Unreachable (Code 3) and ICMP Time Exceeded (Code 11) messages.

 

This implementation of traceroute works by sending UDP packets with a source port of 1025 and a destination port of 32768 with increasing TTL values."

 

b) General: Reverse DNS Lookup

"general/tcp

81.244.39.222 resolves to 222-39.244.81.adsl.skynet.be

 

Lookup the reverse DNS entry associated with the IP address

being tested.

 

Risk factor : None"

 

Je ne sais pas si je peux améliorer la situation.

 

Si quelqu'un peut m'éclairer, je l'en remercie d'avance.

 

Bonne semaine à tous.

Modifié le 31 octobre 2005 par Sacles

[megataupe]

Bonjour Sacles, bonjour à tous . Pas d'inquiétude inutile sur ces deux

"alarmes" car, c'est l'IP de ton FAI qui est tracée et de plus ICMP code 3

sert pour renvoyer l'info "erreur" au serveur qui fait une demande d'accés

à L'n'S.

 

Quand au reverse DNS lookup, tu peux le faire toi même sur :

 

WHOIS

 

et tu auras de nouveau l'adresse de ton FAI Skynet.be

 

De toutes façons, pour faire un scan en ligne, il faut bien fournir une

IP à tester :

 

edit: j'ajoute la description des alertes ICMP type 3 :

 

Type 3 (destinataire inaccessible)

 

Type : 3

Code : 0 à 11

Message : destinataire inaccessible

Le code dépend de la cause du problème, respectivement :

 

* 0 : le réseau n'est pas accessible

* 1 : la machine n'est pas accessible

* 2 : le protocole n'est pas accessible

* 3 : le port n'est pas accessible

* 4 : fragmentation nécessaire mais impossible à cause du drapeau (flag) DF

* 5 : le routage a échoué

* 6 : réseau inconnu

* 7 : machine inconnue

* 8 : machine non connectée au réseau (inutilisé)

* 9 : communication avec le réseau interdite

* 10 : communication avec la machine interdite

* 11 : réseau inaccessible pour ce service

* 12 : machine inaccessible pour ce service

* 13 : communication interdite (filtrage)

Modifié le 31 octobre 2005 par megataupe

[Sacles]

Re,

 

Merci pour ta réponse.

 

Maintenant que j'ai réussi à faire fonctionner LnS avec les règles Phantom, j'ai encore une question: Où peut-on obtenir la dernière version des règles Phantom?

 

D'avance merci.

 

Cordialement.