Voici un tutoriel expliquant comment transformer son PC en routeur avec serveur DHCP pour partager une connexion.

Imaginez la situation suivante :

• vous avez un PC à brancher sur un réseau,
• pas de prise réseau dans la pièce,
• pas de switch sous la main,
• pas de Wifi possible…

Que faire ?

Si vous avez une machine sous Ubuntu avec 2 ports Ethernet, tout n’est pas perdu !

Exemple de panneau arrière avec 2 prises ethernet

Les manipulations présentées ci-après ne requièrent que la configuration d’un poste déjà conecté sur le réseau.

Pré-requis

Il faut installer 2 paquets sur le PC existant :

• dhcp3-server : serveur DHCP, il va permettre de pouvoir connecter n’importe quelle machine à notre sous-réseau.
• firestarter : gestionnaire de parefeu (firewall), il va permettre de configurer le PC en mode routeur.

La commande pour cela :

sudo apt-get install dhcp3-server firestarter

Objectif

L’objectif est simple et le schéma ci-dessous le résume.

Architecture réseau cible

Au final, nous aurons transformé le PC existant en routeur et serveur DHCP.

Si le PC à relier est dans une configuration standard, il ne devrait rien y avoir à faire dessus : le client DHCP est souvent activé par défaut, on le laissera donc se charger de la configuration réseau du PC à relier.

Configuration du serveur DHCP

Sur le PC existant, on va éditer le fichier /etc/dhcp3/dhcpd.conf pour avoir ceci :

#
# Configuration pour accueillir un PC sur eth1
#

ddns-update-style            none;

default-lease-time           21600;
max-lease-time               21600;

option subnet-mask           255.255.255.0;
option broadcast-address     192.168.0.255;
option routers               192.168.0.1;
option domain-name-servers   dns1, dns2;
option domain-name           "monreseau";

option option-128 code 128 = string;
option option-129 code 129 = text;

subnet 192.168.0.0 netmask 255.255.255.0 {
    use-host-decl-names      on;
    option log-servers       192.168.0.1;
    range dynamic-bootp 192.168.0.2 192.168.0.253;
}

Note : L’installation de dhcp3-server crée un fichier dhcpd.conf par défaut. Avant de l’écraser, faites en une copie.

Lignes à changer :

• dns1, dns2 : les adresses IP du DNS primaire et du DNS secondaire.
• monreseau : le nom de domaine ou le domaine de recherche.

Vous pouvez retrouver ces informations dans le fichier /etc/resolv.conf.

search example.com

nameserver xxx.xxx.xxx.xxx
nameserver yyy.yyy.yyy.yyy

Configuration du routeur

Pour configurer le PC existant en mode routeur, on va profiter de la simplicité de firestarter.

Lancez firestarter et allez dans le menu Pare-feu → Lancer l’assistant

Lancer l’assistant de firestarter

Vous arrivez sur la fenêtre suivante, cliquez sur Suivant.

Assistant de firestarter, étape 1

Le périphérique de connexion à Internet est eth0 (en fait la prise que vous utilisiez avant de rajouter le PC à relier). On peut également lancer le pare-feu à la connexion, ça ne fait pas de mal.

Dans mon cas particulier, j’utilise une adresse IP fixe, mais il va de soi que vous utilisez sûrement un DHCP, cochez donc la case Adresse IP assignée via DHCP.

Cliquez sur suivant.

Assistant de firestarter, étape 2

Cochez la case Autoriser le partage de la connexion Internet et sélectionner le périphérique eth1 (celui où vous avez connecté le PC à relier.

Cliquez sur Suivant.

Assistant de firestarter, étape 3

Tout est OK, il ne vous reste plus qu’à cocher la case Démarrer le pare-feu et cliquer sur le bouton Enregistrer.

Assistant de firestarter, étape 4

Voilà !

Suite des opérations

Il ne vous reste plus qu’à allumer le PC à relier pour vous retrouver sur le même réseau que le PC existant.

Cela implque que si le PC existant utilise un proxy pour se connecter à Internet, il faudra également faire cette configuration sur le PC à relier.

Tolérée. Si vous revenez …. petit apseomyeon vient perdu gros. Gilhada plus grande. Molahnaenda .. Hyungitda en août. Le soleil s’est couché dans Seosan. Gamchwora talent. I’ll be back again. Recherches de trésors perdus. Gilhada aller vers le sud. J’ai conduit l’armée au combat. L’humilité est une vertu … la chance d’avoir une personne humble. Ghosn gros plomb. Filly bareum dans le bon. Le monsieur a dit. Si vous avez derrière le capitaine de bonnes apseomyeon est accroché. Southwestern aller chercher un ami. J’ai perdu un ami dans le Nord-Est. Selon gilhada affection.
Et tout en elle, la gonwon’re jigeuk fondamentale se pose. Sunseunghanda dans le ciel. Gonuideokeun
Sitneunda duteowoseo eau. En vertu mugang de conformité. Toutes les choses reliées à la hamhonggwangdae. Mares jiui type, la terre ne regrette pas de sens. Supple existe, est un gentleman qui avait à faire.
Lost suivre derrière l’attribution apseomyeon s’y accrocher. Demandez à vos amis allez dans le sud-ouest.
Alors qui est alliée avec le magasin. J’ai perdu un ami dans le Nord-Est. Ainsi, c’est enfin la joie. Le chemin de la stabilité de la terre mugangham (pas de limites) à la destruction.
Allez derrière le yusunhi gwaeneun. Pour une perte de propriété, mais le dur labeur et qui a le grand, laid, n’est pas la prospérité. Et la force, pas un solo hapchyeora autres.
Ghosn, le mari et la femme à tenir les fonctionnaires pour servir le roi, pour l’apprivoiser, comme la pouliche pour obtenir le propriétaire n’a pas perdu de vue. Taeneun revient en grand pour les petits. Gilhayeo œuvres. Taeneun est grand pour les petits. Gilhayeo œuvres. Il est mitigé tonghagi tout. , Un mélange qui est la même infraction. Eh bien yangyigo intérieur
Supple gutsego intérieur, à l’intérieur et à l’extérieur du poste goody, goody-destruction en raison de la façon de tourner un long cachet de la poste.
C’est ce qu’on appelle gilhayeo gwaeneun. Si une personne est une vertu gilhayeo travail. Sera la réalisation des travaux. Le cachet de la poste et de la politique de l’homme dans le monde entier sera un happy-go-lucky de sortir. Est-ce que les revendications dans le montant ci-dessus et au-dessous de la force qui est tonghage.
Il ya les pays du Pacifique de faire la connaissance de maintenir l’ordre social et de la famille va bien. Cachet de la poste de l’intérieur, un homme sans plus tarder, faire la volonté politique du pouvoir.
Lim rivière se rein. Plaisir de répondre à gangjungeuro suivre. Tongham jeongeurosseo être plus grandes.
Degrés du ciel. Hyung a déclaré en août, il atteint ce que parce que détruites.
Voir ci-dessus, en dessous, sur geuljada amant. Moyens d’être arrogant molahnaenda bientôt.
Unseda gwaereul obtenir un gros plomb. L’entreprise tient un gilhal.
Toutefois, en août prochain 12 seront inesthétiques. Quand il est dans un état de santé de l’homme venir lorsque les limites de la baisse ne signifie pas ne l’est pas.
Il vous sera difficile de satisfaire à la fois de susciter un changement dans les prochaines jiwina richesse.
12 peuvent être dans un pays étranger. Mais il a trop gros une personne n’a pas tenu cajolery sokgeona faut être prudent.
Pour les personnes dans le sol, ce sont les gens. L’intérieur et à l’extérieur de la civilisation comme un complément souffre de grandes difficultés. Cela a été munwang directement. Bon pour ganjeong. Signifie que les gens se cachent.
La guerre civile du droit des difficultés et a insisté qu’il ne budakchina. Ce fut un reporter directement.
Beaucoup de gens dans le sens de cette gwaereul temps. Sur la surface pour révéler un talent à ne pas manquer. Benighted prétend devrait aller mieux par la crise.
Heureux êtes-vous fidèle à vous plutôt que de la colère à l’usure. Underground, la lune et le soleil et la lune lumière lugubre maison ileuni monde est inquiet. Si vous avez des richesses qui ont suivi la catastrophe provoquée par la richesse que les autres quand il aura quitté le putain de forage sagesse. Aspect ne sais pas le contenu est seulement raisonnable conduira à l’échec. La richesse et la sagesse d’empêcher le désastre est bien cachée.
Bokeun œuvres. Il est un fleuve de revenir. Suivre les mouvements dans les États de la nature.
Par conséquent, personne ne peut pas accéder à Shanghai a dit. Peintre beotyi pas venu. L’État est de retour après sept jours, répétez les degrés du ciel. Il est bon de travailler, même lorsque le LA
La rivière sera seonghae. Grande profondeur par le boke sa vie à être partout.
Cette gwaega qui revient peu à peu, bonne chance. Il n’y a pas d’incapacité de travail. Mais ce n’est pas radical de passer progressivement. Nous allons obtenir de l’aide d’une personne ou d’un ami.
Dans la déception et de désespoir bokeun va récupérer tout ce qui en sept ans. Et la récupération de la perte de richesse est perdu, trouver un emploi. Échoué dans le passé, les choses seront couronnés de succès encore. Toutefois, la
N’est pas totalement récupéré de l’état de l’avenir sera conçu.
Pétrole monte quand l’attente. Droit et devoir de coopérer jotneunda humilité. Gangjungeuro rencontrer.
Par conséquent, fonctionne très bien. Deokeurosseo sonsunui voir des adultes. Ne vous inquiétez pas. Il est une joie. Gilhada aller vers le sud. Cette réalité signifie que l’on parle.
Cela va à vigoureuse gwaereul personnes jeomchyeoseo obtenus.
Faire un pas un pas de façon régulière. Seungeun les arbres poussent à partir du sol. De petites choses qui font une grande cheminée. Allez à la pente sud gwiin répondre gyeopchini vous inquiétez pas, ne font pas que mars sera décisive. Tous les 12 jours, grâce à la manière conforme à un comportement. Jusqu’à présent, 12 ne résout pas le temps révèle à la lumière du ciel. Et un nouveau plan de travail
Les projets doivent être activement engagés. La capacité de leurs patrons, bien sûr, avec l’aide de la main
Vous pouvez le faire en est un bon moment.
  Il s’agit d’un grand nombre de personnes. Seront applicables. Je vais droit à la commande publique, le roi du monde, les gens seront confidentielles. Gangjungeuro rencontrer. Fait heomeul dit.
Ce monde, le peuple qui a écrit gochideut flacon de médicament pour le suivre. Gilhayeo n’est pas peintre.
Si vous obtenez un 12 gwaereul jeomchyeoseo faire ce qui est juste et que les gens arroser gilhada résultats. Est un peintre. Le soldat, le capitaine gwaeni gwaeneun force fait que le chef de l’armée, y participeront. C’est là que la lutte witaehan l’anxiété et le risque de danger
Est calme. Gwaeda geukhani me battre avec d’autres personnes à l’autre bout. Toutefois, les appels ne naehogwae défense cou répondre à la croissance de l’eau. Piscine d’eau dans le terrain d’entraînement militaire sangyini’ll être récompensés. Sud-Ouest a conduit les militaires à aller à la salle est Daesung. Voir aussi sur gwaero tombes.
Gyeomeun plomb. Capital, brille daseuryeo ci-dessous. Je vais rester en place et à faible creeper carte. Gyeome par la réduction du capital à l’extrême d’ajouter trop de réduire la carte pour changer la pompe envoie gyeome. Ou cracher dans un esprit d’humilité, de béni haehago haine et de l’Inde, ou de la salive comme gyeomeul. Si vous avez l’honneur de lui et ont une plus faible gyeomeun n’est pas brillant. Gentleman ne change pas la fin de la vertu d’humilité. Gwaereul de la population, mais maintenant de plus en plus gilun Soeun le dos. L’humilité est le temps d’attendre. Star, la 104 est appelé. Gwaeneun d’être sur la terre, la terre au-dessous de la montagne
S’abaisser lui-même est tellement humble. Modeste, et il est préférable d’être bénéfique. Trop faible pour l’aider peut être vu. Et le mieux la lumière à toutes les personnes de la grande deokeuro.

Le but de ce billet n’est pas de rentrer dans des explications complexes, mais d’aborder les choses de façon simple afin de donner une idée générale des problèmes de sécurité dans un ordinateur et des moyens de les résoudre. Pour cela j’ai coutume de comparer un ordinateur à une ville très animée du moyen âge, située dans un environnement sauvage.

Cette petite ville est vulnérable aux attaques des bêtes sauvages, et des bandits qui peuvent l’attaquer de tous cotés. De même votre ordinateur est vulnérable à tout un tas d’attaque pirates venues du net. Pour se protéger, les habitants de la ville construisent un mur d’enceinte tout autour de la ville, de manière à forcer les étrangers à passer par des portes biens surveillés. Dans le cadre de l’ordinateur, l’équivalent est le pare-feu, aussi dénommé communément firewall en anglais. Le pare-feu va surveiller tout ce qui entre et qui sort de votre ordinateur en direction d’internet, et bloquer tout ce qui lui parait suspect.

Mais revenons dans notre petite ville. Il peut arriver que des individus mal intentionnés arrivent à s’infiltrer à l’intérieur malgrès le mur d’enceinte. Pour pouvoir faire face à ce genre de problème, les habitants ont une milice et des gardes qui patrouillent la ville et veillent au grain. L’équivalent informatique est l’antivirus. En effet, même si votre pare-feu est sans failles, il est toujours possible que l’erreur viennent de vous. Par exemple si vous dites au pare-feu que votre navigateur internet est un programme sûr (c’est en général déjà réglé comme ça par défaut, et heureusement d’ailleurs, car sinon vous auriez du mal à aller sur internet), et que vous utilisez celui-ci pour télécharger un programme malveillant en pensant qu’il s’agit d’autre chose, ou que vous attrapez un virus sur votre clé usb par exemple en partageant des fichiers avec un ami dont le PC est infecté. Une fois le programme à l’intérieur, le pare-feu ne peut plus rien  pour vous protéger des dommages internes qu’il pourrait causer. Par contre il va probablement empêcher le programme de se connecter à internet et ce sera toujours ça de pris. Donc il vous faut aussi posséder un antivirus qui va d’une part surveiller en permanence votre ordinateur et vous prévenir s’il détecte que vous téléchargez quelque chose de sensible, et d’autre part que vous pourrez lancer de temps en temps pour fouiller tout l’ordinateur à la recherche de programmes qui seraient passés entre les mailles du filet.

Voila donc pour les explications sur l’antivirus et le firewall. Sachez que si ces deux types de programmes sont à la base de la sécurité informatique, ils sont loin de couvrir tous les risques qu’un ordinateur peut encourir, j’y reviendrai dans un ou plusieurs prochains articles. Sachez également que l’on peut trouver des programmes de sécurité gratuits aux performances tout à fait honorables, comme par exemple Avast Antivirus et ZoneAlarm Firewall.

A noter que sous Linux, à moins d’être très parano, ces programmes sont inutiles, et que sous les versions récentes de Windows, un firewall est intégré, ainsi que souvent une version démo d’un antivirus payant. Mais je ne vous les recommande ni l’un ni l’autre, ils peuvent servir pour dépanner, mais quand on connait les problèmes de sécurité de microsoft, on se méfie de ses logiciels de sécurité.

Beaucoup de personnes se demandent comment faire pour empêcher un programme d’accéder à internet sans devoir passer par des solutions payantes ou gratuites comme les logiciels ZoneAlarm, Outpost et cie. Je me suis encore penché sur la question suite à la connexion systématique de Photoshop pour m’installer de multiples trucs dont je n’ai pas envie. Sachant qu’un logiciel comme celui-ci coûte assez cher, je pense pouvoir dire que celui-ci est souvent installé de manière illégale pour un usage personnel.

Oui parce que nous savons tous que le piratage est une solution c’est mal. Pour combler le fait de ne pas devoir télécharger et configurer un autre software qui va en plus me prendre des ressources mémoires ou encore me faire la gueule parce qu’il ne veut pas faire ce que je lui demande, j’ai peaufiné mes recherches sur la façon de pouvoir enfin gérer le trafic entrant ET sortant du pare-feu de Windows Vista. Après tout, il est déjà intégré au système alors pourquoi se faire chier avec un autre si ce n’est pour protéger des données supra-méga-giga important en provenance de la maison blanche des US.

Jusqu’à présent, je ne connaissais (comme beaucoup d’autres personnes) que la fonction basique du firewall situé dans le centre de sécurité (panneau de configuration). Mais voilà, il n’y a pas tout ce que l’on veut empêcher de sortir et entrer ! Quelle surprise lorsque j’ai enfin découvert les fonctions avancées de sécurité.

C’est un peu comme si vous découvriez la cave à momo. Bien sûr, je suis l’un des pigeons à ne pas avoir vu l’option depuis plus de 2 ans maintenant… Mais mieux vaut tard que jamais !

Voilà pourquoi, Mesdames et Messieurs (oui, j’ai trop regardé Bigard ces temps-ci), avec toute votre attention, je vais me permettre de vous faire découvrir LE pare-feu de Windows Vista (pour les autres sous XP, bah vous n’avez qu’à passer sous Vista, point).

Première étape

Accéder au menu démarrer. Vous pouvez vous y rendre dans le panneau de configuration mais on va utiliser la fonction très pratique de Vista.

Taper “pare-feu” dans la case recherche et vous obtiendrez tout au dessus, les fonctions avancées du firewall.

Deuxième étape

Nous y voilà. Le menu des fonctions avancées. Le menu à gauche est celui qui nous intéresse le plus. Vous pouvez voir et lire Règles de trafic sortant. Cliquez dessus (Faites de même pour le frafic entrant pour un logiciel comme photoshop).

A droite, comme vous pouvez le constater, vous avez un menu avec le bouton Nouvelle règle. Cliquez et c’est alors qu’apparaît une nouvelle fenêtre.

Troisième et dernière étape

Choisissez l’option Programme et faites suivant.

C’est là qu’arrive le moment de choisir le programme que vous souhaitez tyranniser en l’obligeant à ne pas transmettre de données à l’extérieur de votre système. Un petit clique sur Ce chemin d’accès au programme et il ne vous restera qu’à cliquer sur parcourir pour aller chercher le fichier .exe en question.

Maintenant, vu que c’est l’intérêt du tutorial en question, il vous faut cliquer sur Bloquer la connexion. Oui parce que sinon je ne vois pas trop à quoi a pu servir tout ce que j’ai écrit plus haut.

Ici, bah à vous de voir ce que vous voulez vraiment… Dans mon exemple, je n’ai pas chipoter, j’ai tout coché.

Dernière étapes, vous indiquez un nom à votre règle histoire de vous y retrouver dans la liste. Cliquez sur terminer.

Résultat

Astuce découvert sur le site 01net mais, très abrégé. J’espère que celui-ci permettra de vous faire changer d’avis sur le pare-feu de Windows Vista.

Voilà je l’ai fais ! Si si je l’ai fais ! J’ai fini par abandonner ma distribution OpenSuSE pour m’essayer à Fedora, principalement pour m’initier dans la configuration de serveurs LAMP et profiter de Gnome qui m’a semblé mal intégré dans SuSE.

Après avoir réussi à installé Fedora et réglé quelques problèmes, j’ai voulu paramétrer une connexion VNC pour pouvoir accéder à mon bureau Gnome depuis mon laptop qui tourne sous Windows. Au départ je pensais me lancer dans un paramétrage de routine mais finalement j’ai rencontré plus de problèmes que prévu. Voici donc commencer il faut s’y prendre pour activer une connexion à distance pour votre bureau Gnome.

1/ Activer et paramétrer le bureau à distance :

Système -> Préférences -> Internet & réseau -> Bureau à distance.

Cochez les deux premières cases :

- Autoriser les autres utilisateur à voir votre bureau.

- Autoriser les autres utilisateur à contrôler votre bureau.

Si vous désirez protéger votre VNC par un mot de passe, cochez la case “l’utilisateur doit saisir son mot de passe” puis entrez le mot de passe de votre choix dans le champ qui se trouve juste en dessous.

Fermer la fenêtre à l’aide du bouton fermer. Et voilà ! Notre bureau à distance (VNC) est presque fonctionnel, je dis presque parce qu’il ne devrait pas encore être utilisable en pratique… il faut appliquer le 2ème point pour cela.

2/ Ouvrir les ports utilisés par VNC :

Pour cela il va falloir vous rendre sur l’interface de gestion de votre firewall :

Système -> Administration -> Pare-feu

Dans la fenêtre du pare-feu cliquez à gauche sur Autres ports puis ajoutez le port 5900. Si vous désirez ouvrir plus d’une seule session à distance, par exemple jusqu’à 3 sessions à distances, il vous faudra ouvrir en plus les ports 5901 et 5902. Mais dans la majorité des cas on n’a besoin d’ouvrir qu’une session à distance donc le port 5900 devrait suffire.

Cliquez sur le bouton Appliquer puis fermez la fenêtre.

3/ Se connecter à distance :

Pour se connecter à distance il suffit d’utiliser un client VNC et d’y entrer l’adresse IP de votre PC distant (votre linux) et le port de connexion (5900 qui est le port par défaut des clients VNC)

Si vous utilisez Windows pour vous connecter à distance, vous pouvez télécharger le client VNC UltraVNC qui est gratuit et performant : http://www.ultravnc.fr/download/out.php?id_lien=8

Bonjour à tous

J’ai complété tard aujourd’hui le dernier article de la série sur Look’n'Stop et j’en ai profité pour mettre les règles suggérées en téléchargement ici… et sur les réseaux P2P Gnutella et eDonkey. Je reproduit plus bas la partie de l’article concernant le téléchargement des ces règles suggérées avec les informations d’identification du fichier.
J’écrivais alors une mise en garde envers des “fakes” possibles. Je ne croyais pas si bien dire car immédiatement après avoir fait le “release” du jeu de règles climenole je me suis amusé à faire une recherche portant justement sur “règles climenole”… pour tomber sur des fichiers disponibles en téléchargements identifiés comme étant justement les “Règles climenole” ! Surprise et incrédulité !
J’ai alors téléchargé ces merveilles que voici:

Mon anti-virus n’a pas tardé à réagir et la douce voix de la Demoiselle d’Avast Anti-virus m’a sussuré à l’oreille: « Il y a un cheval de Troie sur votre ordinateur »…

L’extension des fichiers auraient dû me mettre la puce à l’oreille de même que la taille des machins. Combien d’internautes se sont fait prendre par ces fichiers avec cheval de Troie distribuée par de minables malveillants sous mon identité? Et depuis combien de temps?
Mais plutôt que de pester contre ces minus cela m’inspire pour une nouvelle série d’articles portant justement sur les “malwares”, les yahous dégénérés qui les fabriquent et les distribuent et, pourquoi pas, sur la psychologie profonde de ces tarés. Le vandalisme sur internet tout autant que celui qui défigure nos Cités, le piercing et le tatooing objectifs et subjectifs, la laideur à la mode et la bêtise rampante des vermines est un sujet du plus haut intérêt! (Si j’en attrape un je me promet bien de le conserver dans un bocal avec du formol ou, s’il est encore vivant, dans un Punkarium pour observer ses moeurs, ses modes d’alimentation et de reproduction et ses autres caractéristique (Sont-ils ovovivipares ou pas?).

« Il faut l’avouer, certains de ces êtres n’offrent pas un aspect bien esthétique: mais la connaissance du Plan de la Nature en eux réserve, à ceux qui savent voir le pourquoi des choses et qui aiment vraiment connaître, des plaisirs inexprimables. Il ne faut donc pas céder à une répugnance puérile et nous détourner de l’étude du moindre de ces animaux: en toutes les parties de la Nature, il y a à admirer. »

ARISTOTE, Les parties des animaux, I, 5, 644 b

———————————————————————————
Ceci étant dit revoici les informations sur le fichier authentiquement “Climenole”:

Jeu de Règles pour télécharger et importer dans Look’n'Stop

Voici quelques règles à télécharger. Vous pouvez les essayer telles quelles, les modifier ou vous en inspirer pour en créer de meilleures. Ces règles sont publiées sous une licence Creative Common. Merci de respecter les termes de cette licence.

Cette création est mise à disposition sous un contrat Creative Commons.

Règles Climenole version 1

Le nouveau jeu de règles “climenole version 3″ est disponible sur le forum officiel de Look’n’Stop:

Jeu de Règles Climenole Version 3 Français

The new climenoles rules set version 3 is available in the official Look’nStop forum:

Climenole’s Rules Set Version 3 English

Notes de version:

Disponibles sur le forum de Look’nStop

Comment créer des règles pour vos applications – troisième partie

1- Résumé de l’article précédent

Nous avons déjà vu dans l’article précédent qu’il est possible d’utiliser les entrées du journal pour déterminer les règles pour une application. Dans les cas les plus faciles cela peut se faire directement avec le journal tel qu’il se présente dans l’onglet “Journal” de Look’n'Stop sinon en utilisant le format brut du journal avec un chiffrier. Cette dernière méthode permet de choisir plus facilement les éléments à conserver, de trier les colonnes pour regrouper les données et obtenir un aperçu ordonné des traces laissées par une application au cours des connexions. Bref il faut:

1. Créer une règle temporaire sans restrictions pour l’application à surveiller
2. Placer cette règle immédiatement après la règle pivot
3. Utiliser le programme en essayant toutes ses fonctions
4. Utiliser un chiffrier pour ne conserver que les lignes de TEST et les trier
5. Créer un jeu de règles de test à partie des résultats de la “phase 1″ du test
6. Conserver la première règle TEST comme “garbage collector” durant la “phase 2″
7. Recommencer à partir de l’étape 3 et rafinez vos règles.

2- La méthode d’élaboration des règles et les applications P2P

La méthode est relativement facile à utiliser avec la plupart des applications. Dans le cas d’applications “purement” serveur, la règle de test devrait évidemment être placée avant la règle pivot. Toutefois il serait surprenant que cela soit nécessaire; les ports locaux utilisés par le serveur sont parmi les ports “bien connus”.

Un problème se pose par contre pour les applications P2P, celles-ci étant à la fois des applications clientes ET des applications serveur. Comment alors déterminer les règles “serveur” devant être placées avant la règle pivot et les règles “clientes” placées après?

Voici comment faire:

1. Créez une règle de Test “client” et positionnez-la comme nous l’avons déjà vu.
2. Créez une règle de Test “serveur” exactement identique mais cette fois-ci positionnez-la immédiatement avant la règle pivot.
3. Utilisez votre programme. Vous allez remarquer que seule la règle de Test “serveur” est utilisée, l’autre n’étant pas prise en compte…
4. Désactivez la règle de Test “serveur” vous allez constater que cette fois-ci seule la règle de Test “client” est prise en compte ET que vous avez des blocages signalés par la règle pivot. C’est exactement ce que nous voulions!

Les captures d’écran vont vous permettre de comprendre de quoi il s’agit.

Les deux règles de Test sont activées et le programme est mis à l’essai.

Ce qui nous donne ces entrées au journal:

puis la règle de Test “Serveur” est désactivée et cela occasionne des blocages.

Ce qui donne en fin de compte les données suivantes:

La partie A indiquée en mauve comprend toutes les entrées mais sans que nous sachions s’il s’agit de la partie cliente ou serveur. Par contre nous connaissons déjà les ports utilisés: 6346, 6347, 6348 puis des ports de la gamme 1024-5000, enfin des ports hors de cette gamme.

La partie B indiquée en bourgogne signale les blocages après avoir désactivée la règle Test “serveur”. Nous obtenons de cette façon ce que nous voulions savoir: quel est le port local utilisé par la partie serveur: 6346 en TCP. Notez que parmi les ports bloqués par la règle pivot, seuls ceux indiqués ici dans la partie A doivent être pris en compte. Des blocages sur les ports 135, 445 ou autre ne doivent pas être pris en comptes puisqu’ils ne sont pas reliées à ceux utilisés par l’application surveillée.

Les parties C en vert et D en marine nous donnent les ports utilisés par la partie cliente une fois le blocage activé: 6346 en TCP et UDP.

Nous avons donc obtenus rapidement toute une série d’indications sur les port utilisés en local et en distant, avec quels protocoles et s’il s’agit de la partie cliente ou serveur. Nous avons donc tous les éléments nécessaires pour élaborer un premier jeu de règles qui pourront par la suite être testées et rafinées sans trop de problèmes avec la méthode connue: d’abord des règles pas trop restrictives, puis une autre phase de test et enfin la rédaction des règles définitives.

3- En guise de conclusion temporaire…

Ainsi s’achève cette série d’articles sur Look’nStop. Si ces articles vous ont permis de mieux connaître les protocoles internets et les possibilités de filtrage et de surveillance de Look’n'Stop mon objectif principal sera atteint: vous permettre de maîtriser un des meilleurs pare-feu à règles pour Windows.

4- Jeu de Règles pour télécharger et importer dans Look’n'Stop

Voici quelques règles à télécharger. Vous pouvez les essayer telles quelles, les modifier ou vous en inspirer pour en créer de meilleures. Ces règles sont publiées sous une licence Creative Common. Merci de respecter les termes de cette licence.

Cette création est mise à disposition sous un contrat Creative Commons.

Jeu de règles “Climenole version 1 “règles climenole version 1 <<== (Enregistrez la cible du lien sous…)

Le nouveau jeu de règles “climenole version 3″ est disponible sur le forum officiel de Look’n’Stop:

Jeu de Règles Climenole Version 3 Français

MISE à JOUR 28 juin 07:

Jeu de Règles Climenole Version 3.01 Français

The new climenoles rules set version 3 is available in the official Look’nStop forum:

Climenole’s Rules Set Version 3 English

UPDATE June the 28th , 07:

Climenole’s Rules Set Version 3.01 English

UPDATE MARS 2009:

RÈGLES climenole-v4-Fr-Revision-02.rls

Notes de version:
GROUPE DE DISCUSSION CLIMENOLE
5- Autres ressources

La FAQ de Look’n'Stop
Le Forum de Look’n'Stop

A+

Comment créer des règles pour vos applications – deuxième partie

La façon la plus simple créer des règles spécifiques pour une application est de l’utiliser sans lui donner de restrictions pour obtenir les traces de son activité et ainsi avoir les éléments nécessaires pour l’élaboration des règles.

Il faut d’abord s’assurer que, dans les options avancées, l’option “Fichier journal au format brut” est coché. Par la suite il faut:

1- Que l’exécutable de l’application soit ajouté au filtrage logiciel sans lui mettre de restriction.

2- Ajouter une règle de test en TCP/UDP autorisant tous les ports locaux et distants de même que toutes les adresses locales et distantes.

3- Placer cette règle immédiatement après la règle pivot: blocage des paquets TCP entrants avec le flag SYN (dans le jeu de règles proposé { Q.999},[EB], SYN Entrant ).

4- Ajouter l’application surveillée dans cette règle TEST et utiliser cette application pendant un certain temps pour permettre d’avoir un bon échantillonage dans le journal.

5- Faire une copie du journal au format brut se trouvant dans C:ProgramFilesSoft4everlooknstoplogs de .log en .txt

.

6- Importer le journal brut en .txt dans un chiffier tel que MS Excel ou OO Calc en tant que fichier avec champs séparés par des virgules.

.

.

7- Ne conserver du journal au format brut que les lignes concernant la règle TEST et faire un tri portant sur la dernière colonne correspondant au champ “Port de Destination” et supprimer les colonnes inutiles.

Le format des entrées du journal brut pour le filtrage internet des paquets TCP/UDP se présente comme ceci en commençant par le premier champs de gauche (colonne A):

• A- Date
• B- Heure en format UTC
• C- la mention UTC
• D- D = Download ou U = Upload
• E- 1 = autorisé ou 0 = bloqué
• F- Numéro de séquence de l’entrée au journal
• G,H,I- Identification de la règle: dans le cas du jeu de règle proposé si des virgules on été utilisées comme ceci: {R.00000.00}, [AA], TEST vous aurez trois colonnes correspondant à ces champs sinon une seule dans le cas {R.00000.00} [AA] TEST.
• J- Type Ethernet 800 = IPV4
• K- Taille des paquets
• L- IP Source
• M- IP Destination
• N- Numéro de Protocole: 6 = TCP, 17 = UDP
• O- Port Source
• P- Port Destination

Les colonnes minimales à conserver sont donc les colonnes D,L,M,N,O,P. À partir de ces informations il sera possible d’élaborer des règles spécifiques pour l’application. Il faut noter que les premières règles élaborées ne doivent pas être trop restrictives et devront la plupart du temps être corrigées.

Les nouvelles règles devront être elle-mêmes testées en les plaçant immédiatement après la règle de blocage des paquets TCP entrants avec le flag SYN comme à l’étape 3 ET imméditement suivies par la règle TEST pour “attraper” les paquets restants (ce qui permet de rafiner les règles en tenant compte de ces “restes”.).

En somme il est parfois nécessaire de s’y prendre à deux ou trois fois avant d’obtenir un jeu de règles spécifique à une application. Dans le cas des applications client+serveur, tel que les applications P2P, le problème se corse car la méthode mentionnée doit être modifiée pour accomoder les paquets TCP entrants avec le flag SYN correspondants à ceux de la partie serveur de l’application. Pour le moment nous nous limitons à des applications internets clientes uniquement.

La plupart de ces applications utilisent les ports locaux 1024 à 5000 pour se connecter au(x) port(s) distant(s) des serveurs et utilisent le protocole TCP mais il y a parfois des exceptions. Certaines d’entre-elles sont particulièrement corriaces et requièrent de la ténacité et de la débrouilllardise pour en venir à bout. Les traces du journal brut, la documentation lorsqu’elle est valable et des talents de détectives sont nos meilleurs atouts.

Dans l’exemple trivial donné ici, le navigateur Opera est utilisé pour l’accès à un site web, à une connection sécurisée et à un téléchargement en FTP. Les autres fonctions d’Opera n’ont pas été utilisées pour simplifier l’exemple au maximum.

Il est d’abord facile de voir que les ports utilisés en local sont bien dans la gamme 1024 à 5000 [colonne O], que les ports distants [colonne P] sont 21 (le port FTP-control), 80 (le port HTTP), 443 (le port HTTPS) de même qu’un port distant 57814 qui n’est ni un des ports “bien connus” (de 1 à 1023) ni dans la gamme 1024 à 5000 et qu’on peut facilement reconnaître ici comme étant le port utilisé en FTP mode passif. De plus la colonne N nous indique que le TCP est le seul protocole utilisé.

Ce qui nous donne donc les règles de tests “phase 2″ suivantes:

a) TCP ports locaux de 1024 à 5000 et ports distants égale ou 80, 443

b) TCP ports locaux 1024 à 5000 et port distant Égal 21

c) TCP ports locaux 1024 à 5000 et ports distants Entre A-B 1024 à 65535

d) TCP/UDP tous les ports locaux et distants (notre règle Test du début qui devient en quelque sorte un “garbage collector” au cas ou quelque chose nous aurait échappé…)

Par la suite, au cours de la “phase 2″ on pourra utiliser d’autres fonctions d’Opera qui utiliseront soit les 2 premières règles soit la troisième ou quatrième. Notez que l’adresse IP de votre ordinateur, adresse IP en source ou destination est un bon point de repère pour s’orienter et comprendre qui fait quoi.

Il suffit alors de recommencer la procédure à nouveau pour affiner les règles.

2 Remarques pour cet exemple particulier :

1- Pour éviter de multiplier les phases de test (et même en simplifier la deuxième) il est évidemment préférable d’utiliser toutes les fonctions du programmes pour faire ressortir dès la première phase quels sont les ports distants utilisés ou les gammes de ports, avec quel(s) protocole(s), et ainsi de suite.

2- De même, il serait préférable de ne pas utiliser la 3 ième règle, parce que trop générale, et de se fier uniquement à la 4 ième pour les paquets restants c’est à dire correspondants à des ports distants “bien connus” pour rafiner nos règles de la “phase 1″. Dans l’exemple donné, s’il n’y avait pas d’autres fonctions dans Opera (courrier, IRC, etc) nous aurions déjà dès la première phase toutes les règles dont nous avons besoin. Les données récoltées ici correspondant dès le premier coup d’oeil à celles que nous avons déjà vu dans l’article “Règles pour Look’n'Stop – partie 4″, 4- Règles pour les applications les plus courantes…

La meilleure façon de se faire la main avec cette méthode est d’utiliser d’abord un programme tel qu’un navigateur dont on connait d’avance les fonctions et les règles de façon à s’orienter plus facilement avec le format brut du journal et son traitement avec un chiffrier. Par la suite il sera plus facile de s’attaquer à de plus gros morceaux. C’est ce que nous verrons dans le prochain article portant sur Look’n'Stop.

À bientôt.

COMMENT CRÉER DES RÈGLES POUR VOS APPLICATIONS – première partie

1- Les programmes internets et l’assignation des ports

L’attribution des ports pour les services et applications est du ressort de l’I.A.N.A. Les 65535 ports logiques sont divisées entre les ports “bien connus” de 0 à 1023, “enregistrés” de 1024 à 49151 et “dynamiques” de 49152 à 65535. Certains d’entre eux sont assignés, d’autres non, sans compter les ports “officieusement” assignées et l’utilisation anarchique de n’importe quel ports assignées ou non par certaines applications internets ce qui n’est pas sans causer des conflits, des ports étant utilisés par des application différentes.

Références:

I.A.N.A.
Assignation des ports, officielle ou non

Pour la plupart des applications courantes les ports utilisés correspondent bien à ceux assignés par l’I.A.N.A. mais un bon nombre parmis les applications tel que la VoIP, les messageries instantanées et les applications “multimédia” ont des normes plutôt “flottantes” ou ne tiennent aucun compte de l’assignation des ports.

2- Les programmes, les connexions et la documentation

La plupart des applications internets se connectent aux serveurs en utilisant le premier port local disponible dans la gamme 1024 à 5000. La connection d’un navigateur à un serveur web en est un bon exemple. Lorsque l’URL est entré dans le champ d’adresse du navigateur, le système d’exploitation vérifie la présence ou non de l’URL dans le fichier HOSTS. Si l’URL n’y est pas une requête Domain Name Service est lancée en UDP vers le port 53 du serveur DNS, l’URL est traduite en adresse IP et la connexion est initiée par le navigateur par un paquet TCP sans donnée et avec le flag SYN activé. Le premier port disponible dans la gamme 1024 à 5000 est utilisé et la connection se déroule entre ce port et le port 80 du serveur web tout au long de cette connexion. Rien de plus simple alors de créer une règle pour une telle application.

Si toutes les applications était ainsi faites, l’élaboration de règles serait presqu’un jeu d’enfant: il suffirait d’indiquer au pare-feu le ou les ports distants officiellement assignées pour l’application. Mais ce n’est pas le cas: les ports locaux utilisés pour initier la connection peuvent être différents de la gamme 1024-5000, utiliser plus d’un port local dans le déroulement de la connexion ou encore, obliger l’utilisation d’une gamme de ports distants étendue et aléatoires. Le cas le plus ancien est le protocole FTP qui a l’honneur de figurer en tête de la liste des protocoles à “contenu sale”.

Enfin, pour épicer le tout, un très grand nombre d’application n’ont pas de documentation ou une documentation déficiente, incomplète ou incorrecte. Aussi incroyable que cela puisse paraître il semble de toute évidence que les derniers à connaître le comportement exact d’un programme lors des connections internets en soient trop souvent les auteurs.

3- L’exemple des navigateurs et l’utilisation des ports

Rien de plus simple semble-t-il que les règles pour les navigateurs: la gamme de ports locaux de 1024 à 5000 est utilisée pour initier les connections vers les serveurs web en Http vers le port 80 ou en Https vers le port 443. On note au passage l’existence du port 8080, un port Http alternatif utilisé par quelques sites. Cependant plusieurs navigateurs ajoutent aux fonctions de navigation d’autres fonctions: courrier, messagerie, Nntp, etc.

Cela suppose donc que les règles tiennent compte de toutes ces fonctions ET que ces règles soient activée chaque fois que le programme est lancé, que ces fonctions soient utilisées ou non. C’est le résultat de la tendance à transformer les outils simples en “canif suisse”, “couteau de survie Rambo”, “suite logicielle” ou, pour parler vulgairement, d’usine à gaz [flatuliciel © climenole]. L’empiètement d’un programme sur les fonctions des autres et le je-m’en-foutisme dans l’utilisation des ports est AMHA le résultat de l’exemple déplorable donné par Microsoft ™ tant avec l’Omniprésent et l’Indécrottable InterNUT Expl’horreur [© climenole] intégré à Windows ™ à la façon d’une tumeur inopérable que par le laxisme incroyable de la même bande présentant une demi-barrière de broches à poules comme étant un pare-feu. Tel maître, tels valets.

4- Règles pour les applications les plus courantes

Navigateurs (HTTP / HTTPS)

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Toutes
• Destination Port(s): Égale ou 80 HTTP, 443 HTTPS
• Application(s): exécutables du navigateur
• En supplément:
• Destination Port(s): Alt-HTTP 8080
• Autres: FTP via l’HTTP et d’autres fonctions optionnelles.

Courrielleurs (SMTP/POP3 ou SMTP/IMAP4 ou SSL/TLS)

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): Égale ou 25 SMTP, 110 POP3
• Destination Ports(s): Égale ou 25 SMTP, 143 IMAP4
• Destination Ports(s): Égale ou 995 POP3S, 587 TLS *
• En supplément:
• Destination Ports(s) 80 HTTP affichage HTML et les mises à jour.
• Destination Ports(s) 11371 HKP accès aux serveurs de clés publiques OpenPGP
• * le port SMTP TLS varie selon le courrielleur utilisé. Voir l’aide de GMail…

Clients IRC

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Toutes
• Destination Port(s): Entre 6667-6669
• En supplément:
• Source Port: IDENT 113 en tant que serveur!

Clients NNTP

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Toutes
• Destination Port(s): Égale 119
• En supplément: parfois aussi utilisé comme client de courrier

Clients Jabber

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000 (connexions)
• Source Port: 5222 (communications)
• Destination Adresse(s) IP: Toutes
• Destination Port(s): 5222 *(ou 5223 pour l’accès à Gtalk avec un autre client)
• Destination Port: 8010 (échanges de fichiers)
• Commentaire: dans le cas de Gtalk HTTP + HTTPS pour le “login”

Notez que la plupart des applications locales ont parfois besoin d’une connection en HTTP pour accéder au site web de l’éditeur du programme, pour une aide en ligne ou pour les mises à jour du produit. Dans ce dernier cas les mises à jour sont lancées depuis le programme lui-même ou par un programme spécifique. D’autres applications ne posent pas non plus de problème car les accès sont en général documentés correctement (VNC et ses variantes par exemple). À part quelques exceptions faciles à gérer les programmes internets mentionnés sont plutôt faciles en comparaison de ceux qui vont suivre.

5- Les protocoles à “contenu sale”, à “n’importe quoi” et à “géométrie variables”

À part le cas du FTP et du serveur IDENT, il n’est pas question de donner une énumération à dormir debout de toutes les règles possibles pour les applications multimédias, les messageries instantanées, les clients VoIP, les Jeux, P2P, etc.

Une méthode pour créer des règles sur mesure est plus pratique puisqu’elle est universelle: valable pour toutes les applications peu importe qu’elle soit ou non documentée. C’est cette méthode que nous allons voir au point 6

Le protocole applicatif FTP et ses modes ou le “contenu sale”

Dans le cas du mode actif le client se connecte au port 21 du serveur FTP et les données sont transférées sur l’un des ports locaux prédéterminés par le client à partir du port 20 du serveur FTP. Ce mode implique qu’une nouvelle connexion soit initiée par le serveur FTP vers le client pour la transmission des données.

Dans ce cas il faut 2 règles pour l’utilisation du FTP en mode actif:

une règle pour la connexion du client vers le port 21 du serveur FTP et une règle pour la nouvelle connexion initiée depuis le port 20 du serveur FTP vers le client sur l’un des ports d’une gamme prédéterminée. Cela constitue donc une connexion de type serveur puisque le client doit accepter une connexion entrante en provenance du serveur FTP vers son propre système (Paquet TCP + flag SYN).

Il y a donc dans le protocole applicatif FTP des échanges de ports et d’adresses IP ne devant normalement se dérouler qu’au niveau des protocoles de transport (TCP/UDP).

De plus l’utilisation du FTP en mode actif initie une deuxième connexion de type serveur sur le client lui-même comme nous venons de le voir.

Enfin dans les deux modes les ports utilisés pour les transferts sont imprévisibles et obligent la mise à la disposition des applications utilisant le FTP une large de ports. On peut parler ici de “protocoles à larges culottes”…

Dans le cas du mode passif le client se connecte au port 21 du serveur FTP et les données sont transférées au client depuis n’importe quel port du serveur FTP vers l’un des ports du client au cours de la même connexion (initiée par le client). Ce dernier mode est plus sécuritaire puisqu’il se déroule à l’intérieur d’une connexion unique initiée par le client.

Clients FTP (et fonctions FTP du navigateur) en mode passif

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Toutes
• Destination Port: 21 FTP-control [première règle]
• Destination Port(s): 49153 à 65535 (parfois 1024 à 65535) [deuxième règle]
• Références: Protocoles réseau à contenu sale
• Commentaires:
• le FTP utilisé via un client FTP tel que Filezilla ne pose pas de problèmes particuliers à part ceux mentionnés dans la référence donnée pour ce protocole. Cependant, en tant que fonction du navigateur cela oblige à chaque fois que celui-ci est lancé à laisser la possibilité d’ouvir l’accès sur une gamme de ports distants étendue tout à fait inutile pour les besoins normaux de navigation.
• De plus cela semble causer quelques ennuis à Look’n'Stop si une autre application utilisant elle aussi une gamme de ports étendue est lancée en même temps. Le pare-feu tend à mélanger les pinceaux au moins au niveau de la journalisation: des accès de MSN Messenger ou d’ITunes pour l’écoute en stream étant journalisés comme des accès FTP.
• Ceci est un exemple d’une limitation de Look’n'Stop: pare-feu à état mais pas pare-feu d’applications proprement dit; il n’y a pas de vérification ni de différence faites entre des paquets FTP ou HTTP par exemple. Un un mot, L’n'S reconnaît bien les paquets du niveau Transport (TCP, UDP, ICMP, etc.) mais ne distingue pas les échanges au niveau applicatif (HTTP, FTP, SIP, etc.). Ces différences sont indirectement (et imparfaitement) contrôlées avec les règles limitant l’accès à des ports distants correspondants au protocoles du niveau 5 des couches TCP-IP. Dans le cas de protocoles “à larges culottes” un méli-mélo semble s’installer au niveau de la détection des sockets…
• Les limitations, les “bugs” et les améliorations souhaitables de Look’n'Stop sortent du cadre de cet article et seront examinés dans de prochains articles.

Client FTP en mode actif

• Serveur: placer obligatoirement entre la règle { G.07} et la règle { Q.999}
• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000 (ou une autre gamme déterminée par le client FTP)
• Destination Adresse(s) IP: Toutes (ou adresses IP des serveurs FTP)
• Destination Port: 20
• Commentaire: ambigüité de source et destination. Dans le cas d’un échange de paquets en entrée et sortie la source et la destination varient. Le terme plus exact serait local [L] plutôt que “source” et distant [D] plutôt que “destination”. C’est d’ailleurs ainsi que les indications doivent être comprises. Dans le cas de l’édition des règles de L’n'S, “source” désigne les champs d’adresses et de ports à gauche, tandis que “destination” désigne les champs à droite.
• 
  

Le protocole IDENT ou le “n’importe quoi”

• Serveur: placer obligatoirement entre la règle { G.07} et la règle { Q.999}
• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Source Adresse(s) IP: @IP
• Source Port(s): 113
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): tous
• Application(s): option du client IRC ou WinIdent
• Références: Ident

Le protocole IDENT serait, paraît-il, important pour les serveurs IRC afin identifier l’accès aux serveurs IRC depuis un système multi-utilisateur afin d’identifier et d’éventuellement bannir cet utilisateur en cas d’abus plutôt que de bannir le système multi-utilisateur à partir duquel il s’est connecté. En cas d’absence de réponse à la requête IDENT le nom de l’utilisateur connecté est alors préfixé avec un tilde [ ~ ] indicant qu’il n’y a pas de nom d’utilisateur obtenu par l’IDENT et que celui-ci pourrait être un “fake”…

Il peut même arriver qu’un serveur IRC bloque l’accès à toute tentative de connection de donnant pas de réponse à la requête IDENT. Une mini-polémique a d’alleurs opposée MM. Erik Fair et Russell Nelson au sujet de ce protocole.Le premier soutenant que ce protocole est sans pertinence et possiblement dangereux, l’autre retournant l’argument cul par dessus tête en soutenant que ce protocole serait des plus utile aux administrateurs de système pour identifier les utilisateurs abusifs (de serveurs IRC…).

Erik Fair: identd (identification protocol) is pointless and potentially dangerous
Russell Nelson: ident is not of use to servers

Pour vous faire une idée vous même je vous invite à consulter le RFC 1413 et en particulier cet extrait (c’est moi qui souligne…):

RFC 1413

«
6- Security Considerations

The information returned by this protocol is at most as trustworthy as the host providing it OR the organization operating the host. For example, a PC in an open lab has few if any controls on it to prevent a user from having this protocol return any identifier the user wants. Likewise, if the host has been compromised the information returned may be completely erroneous and misleading.

The Identification Protocol is not intended as an authorization or access control protocol. At best, it provides some additional auditing information with respect to TCP connections. At worst, it can provide misleading, incorrect, or maliciously incorrect information.

The use of the information returned by this protocol for other than auditing is strongly discouraged. Specifically, using Identification Protocol information to make access control decisions – either as the primary method (i.e., no other checks) or as an adjunct to other methods may result in a weakening of normal host security.

An Identification server may reveal information about users, entities, objects or processes which might normally be considered private. An Identification server provides service which is a rough analog of the CallerID services provided by some phone companies and many of the same privacy considerations and arguments that apply to the CallerID service apply to Identification. If you wouldn’t run a “finger” server due to privacy considerations you may not want to run this protocol.

»

Pour ma part je soutiens que ce protocole est insignifiant, sans pertinence et utilisé par certains serveurs IRC encroûtés à la façon d’une mauvaise habitude. Il n’aide personne, ni les administrateurs de ces serveurs, ni les utilisateurs, ni les administrateurs de systèmes multi-utilisateurs: personne (même pas les Script Kiddies!). Plus amusant encore il même très facile de donner à la requête IDENT une réponse fantaisiste et gobée telle quelle par les serveurs IRC. Il suffit par exemple d’utiliser le programme WinIdent Server plutôt que l’option de réponse IDENT du client IRC.

Voici une capture d’écran de la connexion d’une machine sous Windows XP se présentant chez Dalnet en tant que BSD Unix à l’aide de WinIdent:

En somme un truc totalement inutile qui nécessite l’installation d’un serveur dont la valeur est douteuse sauf évidemment pour faire une blague ou un clin d’oeil aux serveurs IRC ou autrement de ne pas l’utiliser.
Vous pouvez trouver le programme WinIdent server sur le site de l’auteur (inaccessible?): http://www.rndware.info ou via les réseaux P2P en format zip.

Checksum:

sha1:QKHRVMK6MIEKPVJZ7TZMUJQH3G3FXPY2 md5:4b1e263c071db6ecc50e49bc7f2232ac

Les autres “n’importe quoi” ou protocles fantaisistes

Dans le cas des Messageries et de la VoIP, les fonctions de connexion utilisent le HTTP et le HTTPS mais toutes les autres fonctionnalités: présence, communications vocales et vidéo, échanges de fichiers et autres utilisent un protocole propriétaire, des ports locaux et distants variants selon le service de messagerie utilisée et obligent la plupart du temps à autoriser une gamme très large de ports. Les règles doivent en conséquence être adaptées chaque fois pour accomoder le protocole propriétaire de tel ou tel service de messagerie. Ce sont aussi des “protocoles à larges culottes” nécessaires pour y installer confortablement leur gros derrières flasques.

On note cependant que Jabber permet l’utilisation de d’autres protocoles via les “transports” ce qui permet évidemment de simplifier les règles du pare-feu. Cependant les transports faisant office de passerelles vers d’autres services de messageries sont dépendants de protocles fermés et ne permettent pas en général d’accéder à toutes les fonctions disponibles en utilisant le client de messagerie dédié à ce protocole.

Il en va de même des applications multimédia: les fonctions de “stream” pour l’écoute des radios en lignes par exemple utilisent une multitude de ports distants: aucune norme n’étant prévue pour ces applications. Pour les jeux en lignes: chacun établissant ses propres normes il n’est pas possible d’avoir une règle générale permettant de tous les utiliser.

Enfin les applications de serveurs et de P2P sont relativement bien documentées mais dans le cas des applications P2P l’implantation de règles correctes est plus ardue puisqu’il s’agit à la fois d’application clientes ET d’application serveur.

Le protocole BitTorrent ou à “géométrie variable”

Dans le cas particulier de BitTorrent le port d’accès de la partie serveur est “officiellement” le port TCP 6881. Cependant il est recommandé de ne pas l’utiliser à cause du filtrage de ce port par de nombreux serveurs. Il est suggéré d’utiliser un des ports non assignés par l’I.A.N.A,. tel que, par exemple, 46881. On voit tout de suite le problème: chaque client BT permet le choix de n’importe quel port de serveur. Ce n’est pas tout: le protocole BitTorrent utilise plusieurs port différents pour l’annonce des torrents: les ports 6969 en HTTP ou 7000 en HTTPS sont utilisés mais ce n’est pas toujours le cas et l’annonce peut être faite sur n’importe quel autre. Enfin certains clients BT tel qu’Azureus utilisent aussi le Distributed Hash Table en UDP.

Tout cela ne pose pas vraiment de problèmes pour établir des règles mais oblige encore une fois à permettre l’utilisation d’une gamme importante de ports locaux et distants puisqu’il est impossible de prévoir lequels parmi cette gamme seront utilisés. (Dans le cas d’Azureus on notera aussi l’envoi amusant d’un paquet IGMP vers l’adresse IP 224.0.0.22 au lancement et à la fermeture du programme… Pourquoi? En attendant les commentaires des auteurs on peut demander à Google ou au hacker d’à côté en échange d’une pointe de pizza.)

On peut parler ici de flexibilité de l’implantation du protocole ou insister sur les pirouettes nécessaires pour intégrer ce protocole aux règles d’un pare-feu bien ordonné. Sur ce point je préfère le prendre tel quel et me débrouiller pour trouver les meilleures règles possibles compte tenu des circonstances.

À SUIVRE (?!)

Je vous avais promis de publier dans cette quatrième partie la méthode pour créer des règles à partir du format brut du journal et d’un chiffrier de même que le jeu de règles à télécharger. Mais la dimension de l’article ayant été plus importante que ce que j’avais prévu, la suite fera l’objet d’un cinquième et dernier article. Je vous remercie à l’avance pour votre patience et votre compréhension.

à bientôt.

Présentation commentée d'un jeu de règles.

« Ce qui a forme et contours peut être observé par chacun dans l'Empire [...] Tout cela est soumis à des formes se dominant mutuellement. Celui qui excelle aux formes refuse de les imiter. Car il sait que la grandeur du Tao réside dans ce qu'il n'a pas de forme. Sans-forme il ne peut être ni dominé, ni mesuré, ni trompé, ni même deviné. »

Extrait du "Houai-Nan Tse", commentaire de l'Art de la Guerre de Sun Tzu.

1- Résumé des deux articles précédents

Dans le premier article nous avons vu les points importants dont il faut tenir compte dans l'élaboration de notre jeu de règles: les adresses IP, l' Internet Control Messages Protocol, l'User Datagram Protocol et le Transmission Control Protocol.

Dans le second article de cette série nous avons abordé l'édition des règles pour les filtrages logiciel et internet.

Les éléments déjà vu dans les articles précédents nous fournissent donc les matériaux et les moyens pour monter un jeu de règles permettant à votre système d'être furtif, sans fuite et informatif.

Furtif:

Votre ordinateur ne répond à aucune sollicitation en provenance d'internet tel que des balayages par ICMP, l'envoi de datagrammes UDP ou des tentatives sollicitation de votre système en tant que serveur avec des paquets TCP qui ne vous sont pas normalement destinées ou mal formés.

Parmis ces paquets un bon mombre proviennent de restes de connexions précédentes destinées à l'adresse IP dynamique que vous venez d'obtenir, de routeurs mal configurés, de paquets en provenance de "Zombies" et plus rarement de balayages dirigés vers votre adresse IP utilisés pour détecter si cette adresse IP correspond à une machine en opération et en cas de réponse d'un système non-furtif quelles sont les réponses obtenues.

Ces "scans" permettent de déterminer les ports ouverts, fermés, la présence d'un service en écoute et même le type de système d'exploitation en analysant la signature des réponses. Dans d'autres cas des envois massifs de paquets anormaux sont utilisés pour exploiter des faiblesses connues ou possibles de tel ou tel système d'exploitation.

Look'n'Stop est un pare-feu à état (Stateful): les paquets sont analysés en eux-mêmes et selon qu'ils font partie d'une connexion que vous avez initiée, établie entre votre PC et un serveur et faisant partie de la séquence des paquets échangés pour cette connexion.

Un point important à préciser: les "attaques" et les tentatives d'intrusion dirigées contre des ordinateurs personnels sont rares: les "attaques" étant surtout le fait de "Script_kiddies" et les tentatives d'intrusion résultant le plus souvent d'une infection de l'ordinateur par des programmes malveillants d'où l'importance de préserver votre système de toute infection par ces programmes malveillants et l'importance pour le pare-feu d'empêcher tout fuite vers l'extérieur de la part de ces "malwares".

Votre système étant furtif, vu de l'extérieur, votre adresse Ip ne révèle rien, ni les ports ouverts ou fermés, ni le type de système ni même la présence ou non d'une machine en activité correspondant à cette adresse.

Sans fuites:

Seuls les programmes autorisés peuvent se connecter à internet ou lancer d'autres programmes qui s'y connectent. Le pare-feu identifie la signature du programme, en demande l'autorisation à l'utilisateur, filtre les connexions selon les règles pré-établies et bloque le reste.

À première vue cela ne devrait pas poser de problème et le filtrage de l'intérieur vers l'extérieur est plus une question d'ordre et d'information qu'autre chose. Mais le système n'est pas clos: il est ouvert sur l'extérieur et les connexions établies sur internet échangent des données au cours des connexions via les applications, les mises à jours et les installations de nouveaux programmes.

Les filtrages du pare-feu concernent la couche TCP-IP de liaison, la couche réseau, la couche transport et la couche application. Cependant la protection de look'n'Stop ne s'étend pas jusqu'aux détails des échanges tels que ceux du navigateur avec un site web. Par exemple, le pare-feu autorise le navigateur à se connecter au site en TCP, sur le port distant 80 (HTTP) mais les données et les codes échangés entre ceux-si sont du ressort des paramètres de sécurité du navigateur (cookies, Javascript, redirections, etc.).

Les tests de fuite révèlent les méthodes les plus courantes utilisées par les programmes malveillants pour passer outre au couches de protection: substitution, lancement indirect, accès direct aux couches réseau, injection par DLL, injection de processus, attaque par multiplication d'identificateur de processus, requêtes récursive, etc.

Le filtrage de Look'n'Stop est l'une des couches de protection intérieure de votre système. Le maintient à jour du système d'exploitation, des pilotes et des applications, une configuration correcte des services, un anti-virus à jour et en protection résidente ("On Access"), des protections anti-spywares, des applications dont les paramètres de sécurité sont correctement réglés et possiblement un protecteur d'intégrité tel que System Safety Monitor font aussi parties de ce système de protection par couches.

Il est indispensable de noter que la plupart des problèmes de fuites dépendent de la façon dont les systèmes MS Windows ™ sont conçus: "interdépendances" des programmes, niveaux de permissions, privilèges d'exécution, etc. Ce n'est pas le rôle d'un pare-feu de servir de béquille aux méthodes boiteuses d'un système d'exploitation à moins de vouloir transformer les fonctions d'un pare-feu en redresseur de système d'exploitation tordu.

Mais le facteur le plus important est l'utilisateur en tant qu'administrateur de son système. C'est la pratique du Safe-Hex qui assure le bon dosage de sécurité et de fonctionnalité. Être informé est à la base de la pratique du Safe-Hex et les notifications et les journaux du pare-feu vous en procurent une bonne partie.

Sans négliger l'importance d'avoir de bon outils il est bon de rappeler à la suite de Bruce Schneier que la sécurité n'est pas [d'abord]un produit mais [principalement]un processus.

« Security is not a product, it's a process »

Informatif:

Le pare-feu doit enfin vous donner les informations nécessaire pour que vous restiez le "maître à bord". La journalisation et les notification en temps réel doivent vous permettre de décider en connaissance de cause de la validité ou non d'une application se connectant à internet. Ces notifications, combinées à d'autres outils tels que Process Explorer ou Packetyzer, vous permetrent un contrôle raisonnable sur les échanges entre votre système et internet.

Il importe toutefois de trouver un juste dosage entre les notifications et la journalisation. Les notifications immédiates ne doivent pas vous alerter inutilement et la journalisation doit être suffisamment complète pour être utilisable. Le point majeur étant la pertinence de ces informations.

Les notifications de Look'n'Stop lors du lancement d'une nouvelle application, la notification lors d'un changement de signature d'un programme sont nécessaires par contre des alertes à tout bout de champs pour les moindres blocages sont aussi ennuyantes qu'inutiles.

Quant à la journalisation elle doit vous permettre des vérifications occasionnelles, retracer les activités du système et l'élaboration de règles d'applications plus précises. Il est évident que passer toutes les entrées en revue ou d'archiver les journaux pour de trop longues périodes seraient aussi fastidieux qu'inutile. Il existe aussi des moyens pour traiter les journaux avec des programmes tiers tels que OO Calc ou MS Excel pour en faire la synthèse permettant d'en faire ressortir les points pertinents.

2- Modèles possibles de jeu de règles

Compte tenu des possibilitées offertes par look'n'Stop par les filtrages logiciel et internet quel peut être la bonne combinaison entre les restrictions et la fonctionnalité du système? Il est possible par exemple de déterminer précisément pour chaque programme reconnu les ports, les adresses ou gammes d'adresses tout en inscrivant au journal l'ensemble des activitées de ceux-ci. Il est possible aussi de n'y mettre aucune contrainte du moment que le programme est approuvé. Quant au filtrage internet on peut établir une gamme de possibilités de filtrage allant d'une seule règle générale permettant à toutes les applications de se connecter à internet jusqu'à un jeu de règles pour chaque application.

Je propose le dosage suivant pour le filtrage logiciel: les programmes susceptible d'être détournés par des programmes malveillants doivent être restreints tant pour les ports, les adresses et la possibilité ou non soit de se connecter à internet ou de lancer d'autres applications susceptibles de le faire. Pour les autres programmes, les contraintes seront minimales au niveau du filtrage logiciel.

Programmes bloqués: pas d'accès internet et pas de lancement de programmes tiers, mention dans le journal en cas d'exécution: wscript.exe et cscript.exe, mshta.exe, schtasks.exe et son jumeau at.exe, rundll32.exe, cmd.exe, wmiprvse.exe.

Sans oublier la nouvelle initiative anti-piratage de Microsoft d'un goût douteux: wgatray.exe.

Programmes bloquées en accès direct avec autorisation de lancer d'autre application internet et notifications au journal: winlogon.exe, smss,exe, services.exe, explorer.exe.

Programmes restreints d'accès par ports et adresses IP avec notification au journal: svchost.exe et msiexec.exe. Les détails sont indiquées plus loin.

Et finalement celui-ci:

Une des sources les plus importantes d'infections, traînant depuis des lunes des failles jamais corrigées, cible rêvée de tous les vandales de la Toile, IE est aussi l'intermédiaire de choix utilisé par un bon nombre de programmes malveillants pour passer outre les couches de protection de votre système. Utilisation fortement déconseillée. Ce machin inqualifiable est bloqué. Il faut cependant être conscient du fait que cela n'est pas une garantie absolue et que le blocage logiciel ne constitue pas une panacée.

En ce qui concerne le filtrage internet pour les programmes y ayant accès, je propose d'établir une règle par type d'application en tenant compte de la couche application du protocole TCP-Ip (Http, Https, Ftp, Nntp, Ntp, etc.). Puisqu'il faut un ordre je propose que les règles pour les programmes internet soient listés par le dernier port distant utilisé par la couche application à savoir 21 pour les programmes ou fonctions de programmes Ftp, 80 pour le Http et ainsi de suite. Certains protocoles pourront être regroupés tels que le Pop3 et le Smtp et des exceptions sont prévues pour certains cas. Voyons d'abord le jeu de règles générales (avec les restrictions déjà mentionnées précédemment: pas de réseau, connexion internet PPPoE sans routeur ou DHCP) [3] puis quelques règles pour les applications internet courantes et quelques autres qui pourraient vous intéresser [4].

3- Exemple d'un jeu de règles simple

Tout d'abord un mot sur la numérotation des règles. Le problème à résoudre était d'identifier chaque règle ET d'indiquer en même temps la position relative de chacune d'elles en tenant compte de la possibilité d'une expansion future de celles-ci. J'ai constaté que le positionnement correct des nouvelles règles est souvent mal compris. Les règles sont examinées à partir du début de la liste et dès que tous les critères d'une règle correspondent, cette règle est appliqué et les suivantes ne sont pas prises en compte. De plus le modèle utilisé doit permettre d'ajouter facilement et dans le bon positionnement de nouvelles règles reflétant des modifications à la configuration (ajout d'un routeur, installation d'un réseau local ou d'un serveur, nouvelles applications internet, etc.)

Le modèle de numérotation que je propose n'est évidemment pas parfait mais peut vous inspirer pour en trouver un meilleur. Les règles sont classées par catégories au moyen d'un capitale romaine de A à Z: A est réservée pour une expansion future des règles, B pour les règles des gammes d'adresse IP, C pour le protocole ICMP, D pour les règles communes au TCP et à l'UDP, E pour les règles UDP, F est en réserve, G pour les règles en TCP, H à P en réserves pour le réseau local et les serveurs, Q est utilisé pour la règle unique de blocage des sollicitation de connexions serveur (paquets TCP SYN en entrée), R est prévu pour les règles des programmes internet, S en réserve , T à Y utilisés pour les verrouillages des protocoles et enfin, Z utilisé pour la règle finale et obligatoire qui clos la liste des règles: le blocage de tout le reste.

{ A.00}, [AA], identifiant

Entre accolades: la catégorie en capitale romaine, point, numéro de règle, virgule

Entre crochet: l'identifiant de direction des paquets AA autorisé en entrée/sortie, XX interdit en entrée / sortie, EA pour entrée autorisée, SA pour sortie autorisée, EB pour entrée bloquées, SB pour sortie bloquée, suivi d'une virgule.

Enfin le nom de la règle.

L'utilisation des virgules est prévue pour la séparation des champs dans le format brut du journal. (Tout cela est évidemment optionnel: cela vous en indique la possibilité.)

I – Règles { B.01} à { B.09} concernent le blocage en entrée de paquets de n'importe quel protocole en provenance d'adresses IP ne devant pas se retrouver sur internet: adresse IP se terminant par 0 ou 255, adresses réservées pour les réseaux locaux ou le bouclage sur "localhost" et enfin les adresses réservées par L'I.A.N.A pour usage futur.

{ B.01}, [EB], IP Invalides *0

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Masque 0.0.0.0 / 0.0.0.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP (mon adresse IP)
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.02}, [EB], IP Invalides *255

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Masque 0.0.0.0 / 0.0.0.0
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.03}, [EB], IP Locales 10*

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 10.0.0.0- 10.255.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.04}, [EB], IP Locales 127*

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 127.0.0.0 – 127.255.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.05}, [EB], IP Locales 169*

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 169.254.0.0 – 169.254.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.06}, [EB], IP Locales 172*

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 172.16.0.0 – 172.31.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.07}, [EB], IP Locales 192*

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 192.168.0.0 – 192.168.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.08}, [EB], IP Multipoints

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset: n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 224.0.0.0 – 239.255.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ B.09}, [EB], IP Réservées

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: Tous
• Frag. Offset n/a
• Frag. Flag: n/a
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Entre A-B 240.0.0.0 – 255.255.255.255
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

II- Règles { C.01} à { C.05} concernent le protocole ICMP. Elles comprennent d'abord deux règles de blocages visant la fragementation et trois règles autorisant l'utilisation légitime de ce protocole par votre système. Une règle de blocage finale est prévue à la fin du jeu de règles.

{ C.01}, [EB], Fragmentés

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: ICMP
• Frag. Offset: Different 0
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: Tous
• type: Tous
• Source Adresse(s) IP: Toutes
• Source Port(s): n/a
• Destination Adresse(s) IP: @IP
• Destination Ports(s): n/a
• Application(s): Toutes

{ C.02}, [EB], + Fragments

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: ICMP
• Frag. Offset: Tous
• Frag. Flag: MF
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: Tous
• type: Tous
• Source Adresse(s) IP: Toutes
• Source Port(s): n/a
• Destination Adresse(s) IP: @IP
• Destination Ports(s): n/a
• Application(s): Toutes

{ C.03}, [SA], Requête

AUTORISÉ

• Type Ethernet: IP
• Direction(s): Sortante
• Protocole IP: ICMP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: 0
• type: 8
• Source Adresse(s) IP: @IP
• Source Port(s): n/a
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): n/a
• Application(s): Toutes

{ C.04}, [EA], Réponse

AUTORISÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: ICMP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN; n/a
• code: 0
• type: 0
• Source Adresse(s) IP: Toutes
• Source Port(s): n/a
• Destination Adresse(s) IP: @IP
• Destination Ports(s): n/a
• Application(s): Toutes

{ C.05}, [EA], Dépassement de temps

AUTORISÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: ICMP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: 0
• type: 11
• Source Adresse(s) IP: Toutes
• Source Port(s): n/a
• Destination Adresse(s) IP: @IP
• Destination Ports(s): n/a
• Application(s): Toutes

III- Règles { D.01} à { D.04} concernent les règles de blocages communes aux protocoles TCP et UDP: paquets en provenance ou en direction du port 0 et paquets fragmentés.

{ D.01}, [EB], Src Port 0 Invalide

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP/UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): 0
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ D.02}, [EB], Dst Port 0 Invalide

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP/UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP:@IP
• Destination Ports(s): 0
• Application(s): Toutes

{ D.03}, [EB], Fragmentés

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrantes
• Protocole IP: TCP/UDP
• Frag. Offset: Différent 0
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ D.04}, [EB], + Fragments

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP/UDP
• Frag. Offset: Tous
• Frag. Flag: MF
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

IV- Règles { E.01} à { E.99} concernent l'autorisation des requêtes DNS, mettent des numéros de règles en réserve pour le DHCP et les NetBios en UDP pour un réseau local et se terminent par le blocage des datagrammes NetBios et NetSend Messenger en provenance d'internet.

{ E.01}, [AA], DNS – Résolution des noms

AUTORISÉ

• Type Ethernet: IP
• Direction(s): Entrantes et Sortantes
• Protocole IP: UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-5000
• Destination Adresse(s) IP: Ip des serveurs DNS
• Destination Ports(s): 53
• Application(s): Toutes

Commentaire: l'adresse IP des serveurs DNS est celles indiquées par la commande Ipconfig /all

{ E.98}, [EB], NetBios name/datagram

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): 137-138
• Application(s): Toutes

Commentaire: la règle ne bloque pas les paquets NetBios sortants. Le jeu de règles présenté suppose que le NetBios n'est pas utilisé (pas de réseau local) et que votre système est correctement configuré (paramètres de la connexion réseau et les services NetBios et associés arrêtés et mis en mode manuel ou désactivé.) Les règles ne sont pas une béquille pour une mauvaise configuration …

{ E.99}, [EB], Net send messenger

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): 1024-1055
• Application(s): Toutes

Commentaire: cette règle concerne les datagrammes UDP du service d'affichage des messages détournées par les "spammeurs" (principalement originaires du "Pacific Ring" ou des pays d'Europe de l'est.). Si votre système est à jour et correctement configuré vous ne devriez pas être ennuyés par ces messages. Toutefois j'ai inclu cette règle afin de différencier le blocage du Net Send Messenger des autres blocages UDP. Cette règle est optionnelle mais pratique pour des raisons de débogage des applications utilisant l'UDP et pour une journalisation plus précise.

V- Règles { G.01} à { G.07} concernent les règles de blocage pour le TCP; le bouclage sur l'adresse Ip de votre système [l'exploit "Land Attack"] et le blocage des paquets TCP avec des flags anormaux.

{ G.01}. [XX]. Src & Dst = @IP

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: @IP
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ G.02}, [EB], Null

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: URG ACK PSH RST SYN FIN
• Actif : Aucun flag activé
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ G.03}, [EB], Full

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: URG ACK PSH RST SYN FIN
• Actif : Tous les flags activés
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

{ G.04}, [EB], Fin & variantes

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: ACK FIN
• Actif : FIN
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

Commentaire: cette règle permet un filtrage des paquets TCP anormaux avec les 14 variantes suivantes: FIN, FIN-SYN, FIN-RST, FIN-PSH, FIN-URG, FIN-SYN-RST, FIN-SYN-PSH, FIN-SYN-URG, FIN-RST-PSH, FIN-RST-URG, FIN-PSH-URG, FIN-SYN-RST-PSH, FIN-SYN-RST-URG, FIN-SYN-RST-PSH-URG.

{ G.05}, [EB], Syn Rst & variantes

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: ACK RST SYN FIN
• Actif : RST SYN
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

Commentaire: cette règle permet un filtrage des paquets TCP anormaux avec les 4 variantes suivantes: SYN-RST, SYN-RST-PSH, SYN-RST-URG, SYN-RST-PSH-URG.

{ G.06}, [EB], Syn Psh & variantes

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: ACK PSH RST SYN FIN
• Actif : PSH SYN
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

Commentaire: cette règle permet le filtrage des paquets TCP anormaux suivants: SYN-PSH, SYN-PSH-URG.

{ G.07}, [EB], Syn Urg

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP:
• Masque: URG ACK SYN FIN
• Actif : URG SYN
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

VI- Règle { Q.999} concerne le blocage des paquets TCP avec le flag SYN en provenance d'internet. Cette règle est la règle pivot du jeu de règles. Elle permet de bloquer toute tentative de solliciter votre système en tant que serveur. Si vous installez un serveur sur votre PC, les règles concernant le serveur devront se placer obligatoirement entre la règle { G.07} et la règle { Q.999}. Toutes les règles concernant les programmmes internets doivent être à la suite de cette règle et précéder les règles finales de verrouillage.

{ Q.999}, [EB], SYN Entrant

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: Option "bloquer les connexions réseau" cochée
• Masque: URG ACK PSH RST SYN FIN
• Actif : SYN
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: @IP
• Destination Ports(s): Tous
• Application(s): Toutes

VII- Règles {R.00000.00} à {R.99999.99} sont réservées pour les règles des programmes devant normalement se connecter à internet. Les identifiants { S.00} sont gardés en réserve pour des utilisations de déboguage ou autre.

{R.00000.00}, [AA], Programmes internet

AUTORISÉ

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP/UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: @IP
• Source Port(s): 1024-65535
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): Toutes
• Application(s): Au moins une des applications listées dans le filtrage logiciel.

Commentaire: cette règle très peu restrictive permet d'utiliser à peu près n'importe quelle application internet; navigateur, courrielleur, messagerie instatanée, etc. Cependant elle doit être combinée à l'option de journalisation du filtrage logiciel à défaut de quoi la trace de "qu'est-ce ce qui fait quoi" se perd assez vite. Est-il besoin de préciser que cette règle ne doit pas être utilisée sans inclure au moins une application pour la règle. De plus le nombre d'applications maximales par règle étant de 10, ses limites se recontrent assez rapidement. Dans le prochain article de cette série nous verrons une façon plus ordonnée de procéder. Il est à noter qu'une règle sans restriction pourra être utilisée de façon temporaire pour suivre l'exécution à la trace d'un programe afin d'en déterminer les règles précises.

VIII- Règles { T.00} à { Y.9999} sont utilisées pour le verrouillage final des différents protocoles. Sans être obligatoires ces règles permettent d'identifier facilement le blocages par protocole.

{ T.99999}, [XX], Verrouillage TCP

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: TCP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: Tous
• Destination Ports(s): Tous
• Application(s): Toutes

{ U.99999}, [XX], Verrouillage UDP

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante et sortante
• Protocole IP: UDP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP: n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): Tous
• Application(s): Toutes

{ V.99999}, [XX], Verrouillage ICMP

BLOQUÉ

• Type Ethernet: IP
• Direction(s): Entrante et Sortante
• Protocole IP: ICMP
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: Tous
• type: Tous
• Source Adresse(s) IP: Toutes
• Source Port(s) n/a
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): n/a
• Application(s): Toutes

IX- Règle {Z.99999.99} est la règle finale et obligatoire pour clore le jeu de règles afin d'interdire et de bloquer tout ce qui n'est pas soumis à une règle placée avant. Elle est absolument nécessaire pour assurer la validité de votre jeu de règles.

{ Z.9999999}, [XX], VERROUILLAGE FINAL

BLOQUÉ

• Type Ethernet: Tous
• Direction(s): Entrantes et Sortantes
• Protocole IP: Tous
• Frag. Offset: Tous
• Frag. Flag: Tous
• Flag TCP n/a
• Masque: URG ACK PSH RST SYN FIN: n/a
• Actif : URG ACK PSH RST SYN FIN: n/a
• code: n/a
• type: n/a
• Source Adresse(s) IP: Toutes
• Source Port(s): Tous
• Destination Adresse(s) IP: Toutes
• Destination Ports(s): Tous
• Application(s): Toutes

4- Règles pour les programmes internets

Le jeu de règles tel que présenté jusqu'ici permet de bloquer les paquets anormaux en provenance d'internet, d'utiliser n'importe quel programme internet et de verrouiller correctement le jeu de règles.

Toutefois la règle unique autorisant les programmes internets est trop permissive et suppose soit que le filtrage logiciel précise les ports ou les adresses IP autorisées pour les applications soit que les programmes internets soient contrôlés par des règles spécifiques du filtrage internet.

Dans le prochain article de cette série nous verrons comment combiner les possibilités du filtrage logiciel et du filtrage internet pour les programmes les plus courants de façon à n'autoriser explicitement les programmes qu'avec des règles de filtrage internet.

L'avantage de cette méthode de filtrage est de réduire les possibilités de fuites et d'avoir les traces explicites des activités, programme par programme, dans les journaux. Cela permet aussi de simplifier la gestion de votre pare-feu en regroupant les réglages du côté du filtrage internet plutôt qu'en les dispersant dans le filtrage logiciel.

Les règles présentées ici seront dans le prochain article en format téléchargeable prêtes à l'importation dans Look'n'Stop pour vous permettre de les essayer, de les adapter à votre système et de les améliorer. La méthode pour créer de nouvelles règles à partir du format brut des journaux avec un chiffrier sera aussi expliquée.

À bientôt.

Présentation de l'édition des règles de look'n'Stop

1- Nom de la règle: c'est ce nom qui apparaît dans le journal de Look'n'Stop et il est préférable de le rendre le plus significatif possible. Il peut être aussi utilisé pour une classification des règles selon leur ordre dans la liste puisque celui-ci est pertinent.

Un exemple de classification alphanumérique tenant compte de la position relative des règles sera présenté dans le prochain article portant sur le jeu de règles proposées.

Comme dans tout pare-feu à règles celles-ci sont examinées depuis la première de la liste et la première dont tous les critères s'appliquent à un paquet est appliquée, les autres règles n'étant pas, par défaut, examinées.

En quelque sorte il s'agit d'une série de propositions universelles (Si tous les critères de la règle sont vrais alors la règle s'applique) reliées entres elles par une série de XOR [exclusion réciproque]: parmi la série de règles une et une seule est vraie à l'exclusion de toutes les autres. D'où l'importance de positionner ces règles dans le bon ordre et la nécessité de verrouiller la série de règles par une règle de blocage de tous les autres paquets ne répondant à aucune des règles précédentes.

Un modèle théorique simple d'un jeu de règles serait: Règle d'autorisation selon les critères a,b,c … XOR Règle d'interdiction de tout ce qui est différent de la règle précédente. Un jeu de règles n'est que le déploiement différencié de ces deux règles, la dernière étant toujours nécessaire afin de clore le jeu et d'assurer sa cohésion.

2- Direction des paquets: détermine si les paquets sont envoyés, reçus ou échangés. Il est à remarquer que dans ce dernier cas il peut y avoir plusieurs possibilitées: soit un échange où la source et la destination des paquets est réciproque, soit un échange où l'adresse ou une gamme d'adresses IP est indiquée comme source ou destination. Le cas le plus fréquent est l'indication de l'adresse IP locale comme source de l'échange des paquets. Dans le cas d'une application cliente pour indiquer la source initiant la connexion et dans le cas d'un serveur indicant l'adresse IP du port de service en écoute.

3- Description de la règle: permet de conserver certaines références pour la règle. Ce champs est optionnel et n'a aucune influence sur l'application des règles.

4- Type Ethernet: les choix sont IP, Arp ou autres. IP est l'option la plus fréquente.

5- Protocole IP: les choix sont tous, TCP, UDP, TCP/UDP, ICMP, IGMP, autres, 47-GRE et 50-SIPP-ESP (Sipp Encapsulated Security Payload).

6- Positionnement des fragments: les choix sont tous, égal , différent de 0, égal 1, différent de 1. (Pour DF: 0= fragmentation interdite, 1 fragmentation permise. Pour MF: 0= dernier fragment, 1= fragments supplémentaires.).

7- Flag des fragments: DF signifie "Don't Fragment", MF, "More Fragment".

Les choix sont tous, DF (fragmentation interdite), !DF (fragmentation permise), MF (fragments supplémentaires autorisés), !MF (dernier fragment), DF+MF (fragmentation interdite ET fragments supplémentaires autorisés), DF+!MF ( fragmentation interdite ET dernier fragment) , !DF+MF (fragmentation permise ET fragments supplémentaires autorisés), !DF+!MF (fragmentation permise ET dernier fragment).

8- Flags TCP ou code et type ICMP: les choix dans le cas des paquets TCP sont les flags URG, ACK, PSH, RST, SYN et FIN de même que le masque de ces flags.Dans le cas du protocole ICMP les choix sont entre les différents types et codes ICMP.

9- Options pour l'adresse Ethernet: toutes, égale ou différente de l'adresse MAC indiquée dans le champs Adresse Ethernet.

10- Adresse Ethernet: il s'agit de l'adresse Media Access Control.

11- Options pour l'adresse IP: les choix sont toutes, égale, différent, entre A-B, Hors A-B, Masqué, Non-masqué, Égale à mon adresse IP, Différent de mon adresse IP, Égale ou, Différent et.

12- Options pour les ports TCP/UDP: les choix sont tous, égale, Entre A-B, Hors A-B, Égal ou, Différent et.

13- Applications: indique si la règle est valable pour toutes les applications (aucune application inscrite) ou pour telle ou telle application. Il est possible d'indiquer un maximum de 10 applications par règle.

Édition du filtrage logiciel

A-

La première colonne indique si le programme est connu de Look'n'Stop. Dans le cas contraire chaque fois que ce programme sera lancé une boîte de dialogue vous demandra l'autorisation de l'exécuter.

La deuxième colonne indique si le programme est autorisé à se connecter à internet (vert), autorisé conditionnellement (jaune) ou interdit (rouge). Ces conditions concernent les ports autorisés ou interdits ou les adresses IP autorisées ou interdites.

La troisième colonne indique si le programme est autorisé à lancer d'autres applications se connectant à internet.

La quatrième colonne indique si l'exécution réussi ou non est sans avertissement (.), signalée en cas de blocage (!) ou signalée dans tous les cas dans le journal de Look'n'Stop.

Les autres colonnes non-modifiables indiquent respectivement l'icône du programme, son nom qui apparaît dans le champ "Applications…" de l'édition de règle et enfin le chemin de l'application.

B-

Champ des ports autorisés ou non en TCP.

Les ports sont séparés par le signe ; , les gammes par le signe - tandis que les ports interdits sont précédés du signe ! Par exemple: 80 = port 80 autorisé, !5000 = port interdit, 80;443 = ports 80 et 443 autorisés, 1024-5000 = gamme de ports autorisée, !1-1023 = gamme de ports interdite.

Le même champs et les même normes existent aussi pour les ports en UDP.

C-

L'autre champ concerne les adresses IP autorisées ou non et la même notation est utilisée pour ce champ. Celui-ci existe aussi pour le protocole UDP.

Dans l'édition de règle il est possible d'indiquer une adresse ou une gamme d'adresses Ip continues ou encore d'utiliser un masque pour filtrer un type précis d'adresses IP. Toutefois, dans le cas d'une série discontinue d'adresses ou de gammes d'adresses IP il est plus pratique d'utiliser ce champ plutôt que de multiplier le nombre de règles du filtrage internet.

Remarques:

Règle générale il n'est pas nécessaire de spécifier les ports autorisés pour la plupart des programmes et dans le cas contraire il est préférable d'utiliser la notification de blocage dans le journal au cas ou les restrictions de ports empêcherait le fonctionnement normal du programme.

Certains programmes détectés par Look'n'Stop et listés dans l'onglet de filtrage logiciel ne se connectent jamais à internet mais sont susceptibles de lancer d'autres programmes qui eux le font.

Par exemple "Application services et contrôleur" C:WINDOWSSystem32services.exe ne se connecte pas à internet mais doit être autorisé à lancer d'autres applications qui, elles, doivent s'y connecter. Un autre exemple est celui de la plupart des applications qui ont une option pour se connecter au site web de l'éditeur du logiciel. En ce cas, même s'il s'agit d'une application locale et non d'une application internet, elle est listés dans la liste de filtrage logiciel afin de vous permettre d'indiquer si oui ou non cette application peut lancer le navigateur par défaut pour se connecter au site web.

En somme, l'édition de règles combinée à l'édition des critères d'accès des programmes permettent d'élaborer un jeu de règles souples et précises qui permettent à Look'n'Stop de rencontrer les caractéristiques d'un pare-feu efficace: la furtivité sur internet, l'absence de fuite vers internet et une notification suffisante pour conserver un contrôle raisonnable sur les connexions entre votre ordinateur et l'extérieur.

Le prochain article de cette série sur Look'n'Stop présentera un jeu de règles complet, documenté et permettra à l'occasion de préciser certains points abordés dans les deux premier articles.

À bientôt.

Je me propose dans cette série d'articles de présenter un jeu de règles pour le pare-feu Look'n'Stop.

La connaissance des éléments des protocoles internet est un préalable indispensable pour la compréhension de ces règles. C'est par l'explication sommaire de ces protocoles que nous allons commencer.

Je me limite ici à un jeu de règles pour un système hors-réseau et utilisant une connexion internet PPPoE. Ce jeu pourra par la suite être adapté aux configurations avec DHCP, Routeur ou en réseau local.

1- Le protocole TCP-Ip et le rôle du Pare-feu

Le protocole TCP-Ip se présente comme un modèle en 5 couches: physique, liaison, réseau, transport et applications. Les couches de la pile TCP-IP concernées se limiteront au trois dernières qui touchent directement le sujet de cet article puisque c'est à ces niveaux qu'intervient le pare-feu.

Les protocoles IP sont définis dans les Request for Comments et permettent de différencier les paquets respectants ces normes de ceux qui en diffèrent. Les paquets hors-normes seront réputés malformées et possiblement malveillants.

Les normes sont dans l'ordre: les adresses Ip et en particulier les adresses réservées, le protocole Icmp, le protocole Udp et le protocole Tcp. Le même ordre sera reflété dans la liste des règles.

Cet ordre a été choisi parce qu'il commence par les normes les plus générales et se continu vers celles qui sont plus particulières. Les adresses Ip concernent toutes les normes qui suivent, l'ICMP dépend des normes précédentes et concernent l'ensemble des connexions indépendement des ports UDP ou TCP. Pour ce qui est de l'UDP les datagrammes sont principalement utilisés par le protocole de résolution des adresses Domain Name Service, la synchronisation Network Time Protocol et certaines applications telles que les réseaux P2P. Enfin le TCP est le protocole "principal" pour la plupart des applications et est l'un des plus utilisé par des applications internet.

Les adresses IP

Depuis 2005 les adresses IP sont classées selon le Classless Inter-Domain Routing qui remplace les classes A, B, C, D, E. L' IANA a réservé certaines plages d'adresses pour des fonctions particulières:

Unicast ou Point-à-point: les ex-classes A, B, et C et qui sont utilisable pour l'adressage sur internet comme adresses IP sources et destinations.

Multicast ou Multipoints: (l'ex-classe D) 224.4.0.0 – 239.255.255.255

Broadcast ou de Diffusion: 255.255.255.255

de même que des plages d'adresses réservées pour les réseaux locaux:

10.0.0.0 – 10.255.255.255

169.254.0.0 – 169.254.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255 

puis 240.4.0.0 – 255.255.255.254 , gamme réservée par L'IANA

et enfin 127.0.0.0 -127.255.255.255 réservé au bouclage en local.

Ces plages d'adresses ne doivent pas être retrouvées sur internet et dans le cas contraire elles sont le fait de routeurs mal configurés ou signalent des paquets malveillants. Il faut aussi noter que les adresses Ip légitimes ne peuvent finir par 0 ou 255 la première spécifiant le réseau lui-même, l'autre étant utilisée pour la diffusion pour la gamme d'adresse.

Wikipedia: Adresse IP

L'ICMP

L'Internet Control Message Protocol ne concerne aucun port en particulier et n'est principalement destiné qu'à signaler les incidents se produisant sur le réseau.

À l'exception des codes/types Echo request, Echo Reply et Traceroute les codes et types de ce protocole ne sont pas utilisés directement par les applications réseau. Cependant l'utilisation de sondages d'adresses Ip utilisant l'Icmp est une des formes les plus simples pour détecter la présence d'un système actif correspondant à cette adresse IP.

Le rôle du pare-feu est de ne permettre que l'émission d'un requête d' "echo", la réception de la réponse à cette requête et l'utilisation du "Traceroute". C'est ce qui assure, au niveau de ce protocole, la furtivité de votre système. Toute sollicitation de celui-ci par un sondage Icmp doit être ignorée.

Wikipedia: ICMP

L'UDP

L'User Datagram Protocol permet la transmission de paquets définie par une adresse Ip et un numéro de port sans garantir que la réception s'est faite ou non. Il est principalement utilisé pour le service de résolution des noms permettant la traduction entre un URL et une adresse IP, les échanges permettant d'établir une adresse Ip avec le DHCP, la synchronisation avec les serveurs Network Time Protocol et des appplications en streaming .

Le protocole UDP sert en particulier à transmettre des datagrammes pour le protocole NetBios, pour transmettre le "spam" du service d'affichage des messages vers les systèmes mal protégés et pas à jour de même que certain types de sondages tel que le "scan UDP ICMP_PORT_UNREACHABLE" qui utilise les paquets UDP pour déclencer une réponse ICMP signalant quels sont les ports ouverts ou fermés sur le système visé par le balayage.

D'autres méthodes utilisent des paquets malformés pour tenter d'exploiter des faiblesses des systèmes d'exploitation. On peut aussi signaler au passage les paquets UDP en provenance de sites de surveillances des réseaux d'échanges pair-à-pair et d'envoi de "fakes" sur de tels réseaux.

Les transmissions utilisant l'UDP doivent se limiter à celles qui sont légitimes: DNS , DHCP , NTP et aux applications de streaming. Tout autre paquet UDP devant être ignoré.

Wikipedia: UDP

Le TCP

Le Transmission Control Protocol est celui qui retiendra le plus notre attention.

Une bonne façon de comprendre le protocole TCP est à de présenter une exemple de connexion entre un client et un serveur afin de comprendre ce que sont ces échanges et ainsi différencier les paquets légitimes de ceux qui doivent être ignorés.

Exemple d'une connexion d'un navigateur à un serveur web

Lorsque vous entrez l'URL d'un site web dans le champ d'adresse de votre navigateur la premère chose qui est vérifiée par le système d'exploitation est la présence de cet URL dans le fichiers HOSTS. Si cet URL est présent alors le navigateur se connecte à l'adresse IP indiquée dans le fichier HOSTS. La première ligne du fichier HOST se présente obligatoirement ainsi:

127.0.0.1 localhost

En général les adresses présentes dans ce fichier sont celles qui doivent être bloquées pour des raisons de sécurité. En ce cas la ligne correspondant à cet URL se présente par exemple ainsi:

127.0.0.1 URL_du_Site_malveillant.com

En ce cas la connexion boucle en local et l'accès au site à problème est interdit.

Dans le cas probable où l'URL du site n'est pas présent et bloqué par le fichier HOST le système fait une requête de résolution des noms vers le serveur DNS. Puis traduit cet URL en adresse IP, utilise le premier port local disponible entre 1024 et 5000 et initie la connexion en envoyant un paquet TCP ne contenant aucune donnée et avec le flag SYN vers le port 80 en écoute (listening). Le serveur accepte l'établissement d'une connexion sollicitée par le client et renvoie un paquet TCP avec les flags SYN-ACK.

La connexion entre le client et le serveur entre dans l'état "established". La connexion se poursuit par l'échange de paquets TCP avec les flags SYN-ACK, ACK et à l'occasion ACK-PSH.

La fermeture de la session de connexion se produit lorsque le client envoie un paquet TCP avec le flag FIN signalant la fermeture de la connexion. Cette fermeture est confirmée par l'envoi par le serveur d'un paquet TCP avec les flags ACK-FIN et se termine par l'acquiescement du client avec un paquet TCP avec le flag ACK.

Les points les plus importants à retenir de cet exemple simplifié sont:

1- que le paquet TCP avec le flag SYN qui introduit la connexion n'est envoyé que depuis le client vers un serveur et jamais l'inverse.

2- que les paquets TCP transmis de part et d'autre durant la connexion ont tous au moins le flag ACK

3- Que le paquet TCP avec le flag FIN n'est lui aussi transmis que par le client vers le serveur.

Dans le cas où le port du seveur n'est pas en écoute mais fermé la réponse à la demande de connexion SYN du client recevra un paquet TCP avec les flags ACK-RST suivi d'un réponse du client avec un paquet TCP avec le flag ACK.

En somme, l'examen des transmissions TCP normales permet de connaître les combinaisons de flags légitimes de celles qui ne le sont pas et de même que les destinataires valides selon qu'il s'agisse d'un client ou d'un serveur.

Enfin les fonctions des flags permettent de reconnaître les combinaison illégales.

Les paquets TCP avec le seul flag SYN ou FIN ne sont légitimes que depuis le client vers un serveur mais pas l'inverse.

Les paquets TCP échangés durant la connexion ont tous au moins le flag ACK.

Les combinaisons possibles sont SYN (vers le serveur), FIN (vers le serveur), ACK-SYN, ACK-PSH, ACK-URG, ACK-PSH, ACK-RST et ACK.

Toute autre combinaison étant réputée anormale et présumée d'origine malveillante tel que des paquets TCP sans aucun flag, avec tous les flags ou avec des combinaisons absurdes tel que SYN-FIN, PSH-URG-FIN, etc.

La non-réponse à toute sollicitation visant votre ordinateur comme un serveur assure le caractère furtif à votre système au niveau du protocole TCP. Comme vous le constatez il s'agit d'une défense plutôt "ZEN"

Wikipedia: TCP

Les prochains articles à paraître seront:

2- Présentation de l'édition des règles de look'n'Stop

3- Le jeu de règles proposées

4- Comment créer facilement de nouvelles règles d'applications

Outil suggéré pour l'étude des protocoles internet:Packetyzer