Tutoriel Jetico Personal Firewall

[odSen]

Lut,

 

automatiquement vont chercher des mises à jours (antivirus and co)

Il faut autoriser des "outbound connection" vers les serveurs de mises à jour, avec local port compris entre 1024 et 65635 (tous les ports clients).

 

pour Skype

Je ne l'ai jamais utilisé.

T'es-tu renseigné sur les ports et les protocoles qu'il utilise ?

 

et pour Emule j'ai trouvé une proposition sur un autre forum

Pour eMule je ne peux pas t'aider, c'est contraire à la charte du forum.

D'ailleurs, utiliser un logiciel de Peer-to-Peer laisse ouvert une grande porte sur ton ordinateur, et il ne sert à rien de se décarcasser à paramétrer un firewall comme Jetico si c'est pour faire du P2P à côté.

 

D'autre part, après avoir installé la dernière version du firewall, j'ai ajouté le patch qui traduit en français. Depuis j'ai appris que c'est la précédente version. Is that a problem ?

Si le patch fr est bien passé, pas de soucis.

Compare bien la version du patch et celle du firewall téléchargé.

Modifié le 1 mai 2006 par odSen

[Emm']

Salut Odsen,

 

*Il faut autoriser des "outbound connection" vers les serveurs de mises à jour, avec local port compris entre 1024 et 65635 (tous les ports clients).

 

= J'inscris tout les ports ou j' en choisis un parmis tout cela ?

 

*Skype à l'air d'être une salle affaire d'un point de vue sécurité, fabriqué par les inventeur de Kazaa, c'est "un peer to peer VoIP".

Sur leur site il explique de choisir une connexion sortante sur un port TCP qui soit illimitée.

Pour les connexions entrantes, je n'ai pas trouvé en français. Je craind le pire. Je me disais que peut-être il y a une possibilité en inscrivant les adresses IP de mes correspondants, mais ça a l'air plus complexe : le protocole est secret à Skype d'une part, d'autre part le système partage les flux entre internautes pour que ça tourne pour les gens qui sont en bas débit avec une prise en charge par ceux qui sont en haut débit... D'après ce que j'ai lut on ne contrôle rien de ce qui passe à travers ce réseau.

J'ai trouvé un doc qui expliquerai le protocole de Skype, en anglais (domage pour moi !).

http://www.blackhat.com/presentations/bh-e...6-biondi-up.pdf

Si toi ou quelqu'un a envie de se coltiner l'affaire... Je pense être bon pour lâcher mes conversations internationnales gratos !!!

(...Si vous avez un bon tuyau de logiciel sécur sur le registre, ça m'intérresse)

 

* Si le patch fr est bien passé, pas de soucis.

Compare bien la version du patch et celle du firewall téléchargé.

 

Le patch fr est version 1.0.1.61 et m'a demandé d'écraser (...) pour être installé.

 

* Autre questionement sur JTF : j'ai des fenêtres qui s'affichent de temps en temps et qui affichent :

 

Intitulé : Paramètrage évenement réseau

 

Application : (exemple) C\ Programe file\Adobe\Acrobat7.0\Reader\AcroRd32.exe

Attaquant : (ex) C\Programe File\MozillaFirefox\Firexe.exe

Description : suspicious process activity

Table config : Process Attack Table

Niveau rapport : desactiver

 

Je suis surpris de voir une attaque qui vient d'un autre programme dans l'ordinateur.

Si je ne mets pas "autorisé", et que je lance une impression ou je connecte l'appareil photo pour charger mes photos, ça bloque.

 

J'ai été voir dans la table "Process Attack" et vu plusieur cas de figure dans la rubrique "évenement" :

L'attaquant écrit dans la mémoire de l'application

L'attaquant lance l'application avec une fenêtre masquée ( cas qui m'arrive le +)

L'attaquant installe une application d'interception de flux (hook)

Dans 2 cas il y a un attaquant mais pas d'application.

 

Pourrais tu ou vous m'éclairé ?

 

* Pour le reste (paramètrage mises à jour) je m'y mets !

[Emm']

Salut Odsen,

 

J'ai relu ton tuto depuis hier. C'est passionnant, je m'imbibe, m'imprègne... Et ce n'est pas encore pleinenement concret pour moi (en tout cas c'est génial d'apprendre tout ça !).

 

Pour les fenêtre d'attaque, je comprends mieux ce que c'est théoriquement .

Pour mes impressions ou chargements de photos, j'autorise (tout ou avec une règle ?).

Pour les autres, comment savoir ce qui est utile à la l'ordinateur si cela n'a pas d'effet immédiat ? Y a t-il des règles ou principes de ce qui est à accepter, à refuser ou à surveiller ?

Je supose que bien maîtrisé, cette fonction doit être géniale en cas de logiciel espion.

 

Pour la création de table, je comprends qu'il faut savoir ce dont a besoin le logiciel qui nécéssite la création de cette table (= ce qu'il va faire sur internet), ainsi que comment il s'y prend... Et là je me sens en terrain vierge.

 

J'avais imaginer que pour une sécu maxi il faudrait mettre l'adresse IP de l'ordinateur distant.. J'ai compris que ce n'est pas comme ça que ça marche, surement que les données d'un site (ex : de mises à jour) peuvent changer adresse IP tout en étant au même coordonnées internet.

 

Je comprends maintenant que ce paramètrage se fait avec les ports. Question : qu'est ce qui garanti que qu'un autre paquet d'info transitant par là n'entre pas à la place de la mise à jour ?

 

Question : sur ton tuto, rubrique paramètrage de la table pour les mails, toutes les actions sont appelées ( à part la première) "outbound connection" qui dans ma tête sonnent "connexion sortante" et pourtant je reçois des mails... Sans connexion entrante ?

 

Autre question (!) : Pour trouver les ports si je ne les trouvent pas sur Google, la première ligne de ma table est de permettre un accès au réseau (pour toutes les tables je supose), la 2ème je rejette toute communication (future action par défaut) en précisant le nom du logiciel sur la règle. Ensuite le logiciel tentera de se connecter, et je verai comment sur le journal. Isn't it ?

 

A priori pour des mises à jour,

règle 1 : se connecter au net

N°2 : outbound connection N° du port et type de prorocole

N°3 : rejeter par défaut.

Ca te semble correct, ce que je comprends ?

 

Je vois que j'écris des romans... Merci pour l'apprentissage !

[odSen]

Salut,

 

Je vais essayer de répondre dans l'ordre.

 

*Il faut autoriser des "outbound connection" vers les serveurs de mises à jour, avec local port compris entre 1024 et 65635 (tous les ports clients).

 

= J'inscris tout les ports ou j' en choisis un parmis tout cela ?

Il faut choisir une "tranche" de ports, débutant à 1024 et finissant à 65635.

 

Tu as tout à fait raison pour skype, ce n'est pas un logiciel très recommandé au niveau de la sécurité.

 

Je suis surpris de voir une attaque qui vient d'un autre programme dans l'ordinateur.

Si je ne mets pas "autorisé", et que je lance une impression ou je connecte l'appareil photo pour charger mes photos, ça bloque.

Tu n'as pas à être supris, "attaquant" ne veut pas dire "qui te veut du mal".

Beaucoup de programmes doivent surveiller ton clavier, lancer d'autres applications ou interragir avec elles. Si les programmes en question sont ceux que tu utilises, que tu connais, il n'y a pas de soucis. Par contre si l'attaquant est un programme que tu ne connais pas, ou si l'application concernée est une application système, refuse systématiquement.

 

Question : sur ton tuto, rubrique paramètrage de la table pour les mails, toutes les actions sont appelées ( à part la première) "outbound connection" qui dans ma tête sonnent "connexion sortante" et pourtant je reçois des mails... Sans connexion entrante ?

Tout à fait.

Pour simplifier, on peut dire que "outbound connection" signifie "connexion de type client", et "inbound connection" "connexion de type serveur". Avec un client de messagerie, tu es client, une connexion cliente t permet de donner ton log-in et ton mot de passe au serveur de messagerie, mais aussi de recevoir tes e-mails (pas besoin d'être un serveur pour ça).

D'ailleurs, pour un ordinateur personnel, les cas où ils faut autoriser une "inbound connection" sont très rares, voire inexistants. Ce type de connexion est utilisée par les serveurs webs, les serveurs FTP, etc...

 

Autre question (!) : Pour trouver les ports si je ne les trouvent pas sur Google, la première ligne de ma table est de permettre un accès au réseau (pour toutes les tables je supose), la 2ème je rejette toute communication (future action par défaut) en précisant le nom du logiciel sur la règle. Ensuite le logiciel tentera de se connecter, et je verai comment sur le journal. Isn't it ?

Oui, c'est exactement ça.

Tu sauras quels ports le logiciel veut utiliser, quel type de connexion il veut établir.

Et tu crées des règles au pas à pas.

 

A priori pour des mises à jour,

règle 1 : se connecter au net

N°2 : outbound connection N° du port et type de prorocole

N°3 : rejeter par défaut.

Ca te semble correct, ce que je comprends ?

Oui, mais en précisant bien l'adresse distante comme celle de ton serveur de MàJ (tu la repères dans le journal).

Il faut parfois autoriser plusieurs serveurs, car lorsque certains sont saturés par les demandes tu es redirigé vers un autre plus disponible. Sers-toi du journal

Le plus souvent, ces IP sont fixes (!= dynamiques), donc tes règles continueront à fonctionner avec le temps.

 

S'il te manque une info, n'hésite pas.

[Emm']

Salut Odsen,

 

 

Je rame !

 

J'ai essayé 3 choses :

 

1.

Des tables avec en 1ère ligne : action : accepter; protocole 0 (ou tout); evènement : accès au réseau.

2ème ligne : action rejeter; evènement : tout.

(3ème continuer)

 

2. :

1ère ligne : idem

2ème ligne : action : accepter; protocole : tout; évènement : connexion sortante.

3ème : action : rejeter

 

3. :

1ère ligne : idem.

2ème : action accepter; protocole TCP/IP; evenement : connexion sortante; adresse locale : tout; adresse distante : tout; port distant : 1024 : 65535.

3ème ligne : action rejeter...

 

Puis j'ai sollicité l'application et des demandes de mises à jour.

Dans le journal (log), apparaisent principalement des paquets entrant bloqués.

Si un des logiciels demandait par une fenêtre(ask user), c'est spécifié : demander accès au réseau, avec le nom de l'application.

Ligne suivante (quand l'application passe par la table qui porte son nom et que je viens de créer, je suppose) : "Policy "Optimal Protection" loaded". Juste avec la date et l'heure. Aucune adresse, ni aucun port.

Même chose dans le journal, cas 1.,2. ou 3.

 

J'ai éssayé avec ewido anti malware, bitdefender, adobe reader, ccleaner.

 

Y a t-il quelque chose que je n'ai pas bien paramètré ?

 

Serait-ce mon histoire de patch français (???) ?

 

Et aussi...

Depuis j'ai lu les autres pages de ton site. J'ai eut envie de créer 2 comptes sur windows XP, l'un utilisateur, l'autre administrateur, alors que je n'en avais qu'un.

 

Je trouve bizarre que :

- à l'ouverture du nouveau compte, n'apparaissent pas en bas à droite toutes les applications qui s'ouvre avec le 1er compte.

- mozilla firefox s'affiche dans la version de base (il faut retélécharger les extensions ?).

Pour ne pas avoir à reparamètrer Thunderbird et garder un bureau identique (pour ma compagne), je pensais mettre le nouveau compte en administrateur et l'ancien en utilisateur (pour nous 2). Est ce que mon idée est réaliste ou pas ?

 

Pare avance merci... Même si je me prends la tête (!) je suis très comptant de gagner en autonomie pour tout ce qui est sécurité !

 

Bon jeudi et à plus !

 

Emm'

[odSen]

Salut,

 

1ère ligne : idem.

2ème : action accepter; protocole TCP/IP; evenement : connexion sortante; adresse locale : tout; adresse distante : tout; port distant : 1024 : 65535.

3ème ligne : action rejeter...

Attention ! N'oublie pas que le client c'est toi, c'est à toi que sera attribué un port compris entre 1024 et 65635. Le serveur utilise un port serveur. Il faut donc placer 1024:65635 en "port local". Tu peux mettre le port distant en "tous". Et n'oublie pas de préciser l'IP du serveur.

 

Pour ton problème de compte limité :

- à l'ouverture du nouveau compte, n'apparaissent pas en bas à droite toutes les applications qui s'ouvre avec le 1er compte.

C'est normal. Des programmes peuvent se lancer dans ton compte admin sans se lancer dans ton compte limité. Quelles sont les applis en question ?

 

- mozilla firefox s'affiche dans la version de base (il faut retélécharger les extensions ?)

Il faut utiliser le même profil que tu as créé auparavant. Fait Démarrer/Exécuter, tape "firefox -P". Crée un nouveau profil et choisit le dossier situé dans le répertoire de ton compte admin.

 

Pour ne pas avoir à reparamètrer Thunderbird et garder un bureau identique (pour ma compagne), je pensais mettre le nouveau compte en administrateur et l'ancien en utilisateur (pour nous 2). Est ce que mon idée est réaliste ou pas ?

Oui, c'est réalisable par le menu de configuration/comptes d'utilisateurs/modifier un compte.

 

PS : tu aurais mieux fait de créer un nouveau sujet pour poser tes questions sur les comptes limités. Ce n'est pas pratique de trouver deux sujets différents dans le même topic.

 

@+

Modifié le 4 mai 2006 par odSen

[Emm']

Salut Odsen,

Encore moi

 

1. Avec tes conceil d'hier, j'arrive à télécharger des maj. + J'ai trouvé mon autre erreur aussi à l'instant : j' oublié de paramètrer d'activer le rapport pour connaitre les adresse IP distantes !!

 

1'.

 

2. Après le téléchargement d'une extension de firefox, JPF m'a redemander une autorisation pour firefox.exe. Pas de probléme : Web Browser.

Puis pour une 2ème application provenant des répertoires Firefox : updater.exe.

Sans autorisation ça ne marchait pas. Je l'ai autorisé aussi comme Web Browser. Erreur ou tout bon ?

 

3. Protocole :

J'aimerai comprendre plus comment ça marche. J'ai bien compris qu'il y plusieurs protocoles. Et quand je vois les tables que tu crées sur ton tutoriel, où celles que j'apprends à faire j'en vaois quasiment que 1 : TCP/IP.

 

4. Evenement:

Idem pour cette rubrique, je vois presque partout que 2 évenements pour les connexions acceptées : acces to network & outbound connection.

 

6. sur le tutoriel, tu proposes "debug" ou "info" ( rubrique : packet parameter) : qu'est ce que ça change ?

 

 

 

Si tu peux m'en dire +.

 

Bonne journée !

[odSen]

2. Après le téléchargement d'une extension de firefox, JPF m'a redemander une autorisation pour firefox.exe. Pas de probléme : Web Browser.

Puis pour une 2ème application provenant des répertoires Firefox : updater.exe.

Sans autorisation ça ne marchait pas. Je l'ai autorisé aussi comme Web Browser. Erreur ou tout bon ?

C'est le module de MàJ de firefox. Si ça marche en tant que "Web browser", tant mieux. Je pense qu'il n'utilise que le HTTP en fait.

 

3. Protocole :

J'aimerai comprendre plus comment ça marche. J'ai bien compris qu'il y plusieurs protocoles. Et quand je vois les tables que tu crées sur ton tutoriel, où celles que j'apprends à faire j'en vaois quasiment que 1 : TCP/IP.

TCP/IP est le protocole le plus utilisé, pour tout savoir sur les différents protos, lis donc ceci : http://speedweb1.free.fr/frames2.php?page=reseau1

 

4. Evenement:

Idem pour cette rubrique, je vois presque partout que 2 évenements pour les connexions acceptées : acces to network & outbound connection.

C'est simplement que la plupart de tes applis ne nécessitent que de se connecter et d'être clientes. "Envoyer des données", "Recevoir des données", "Connexion entrante" sont utilisées plus rarement.

 

6. sur le tutoriel, tu proposes "debug" ou "info" ( rubrique : packet parameter) : qu'est ce que ça change ?

Quasiment rien, c'est juste que c'est le niveau d'alerte adapté à ce que l'on veut faire.

[Emm']

Re,

 

Mon AV (Bitdefender), après quelques essaies, n'éssaye même plus de se connecter, même au démarage.

Il concidère qu'il ne peut plus, point. Je le désinstalle & réinstalle ?

 

 

A +

[odSen]

Mon AV (Bitdefender), après quelques essaies, n'éssaye même plus de se connecter, même au démarage.

Il concidère qu'il ne peut plus, point. Je le désinstalle & réinstalle ?

T'as essayé une MàJ manuelle ?