Voici les regles de base à mettre pour configurer Kerio
présentation générale des règles
Règles 1 et 2 Concernent le blocage NetBIOS. Entrer comme indiqué, même si vous avez désolidarisé NetBIOS du protocole TCP/IP, elles vous permettront de savoir s'il y a une tentative d'intrusion.(Présuppose que vous n'utilisez pas LEGITIMEMENT NetBIOS sur votre système)
Règles 3 et 4 permettent aux applications de se connecter à vos serveurs DNS. Il vous faut créer autant de règles que votre FAI utilise de serveur DNS.
Règles 5 à 9 concernent les règles ICMP
Règle 10 bloque et logge toutes les requêtes externes vers des ports classiques : FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc.
Règles 11 à 14 règles supplémentaires facultatives ( Par défaut de AtGuard). Couvert par d'autres règles mais peut être utile en cas d'attaque pour loger précisément l'agresseur.
Peuvent être désactivées et activées en cas de besoin.
Règles 15 et 16 Blocage des ports troyens classiques, (bas et haut). Pas indispensables, comme 11 à 14.
Règles 17 à 20 Règles spécifiques aux applications. Vous aurez généralement une ou deux règles à éditer par application devant avoir accès à Internet.
Règle 21 Bloque et loge toutes les requêtes UDP/TCP indésirables depuis votre PC (troyen, ver, etc...),ATTENTION : cette règle bloque l'option apprentissage ! (requête en sortie inconnue).
Règle 22 Règle "tout bloquer". Ne pas l'activer avant d'avoir créé toutes les règles pour vos applications ! Laissez "assistant" (Demander quand une règle n'est pas trouvée), surtout si vous installez souvent de nouvelles applications devant avoir accès au W3.
RESPECTEZ L'ORDRE DES REGLES ! (KPF interprète les règles du haut vers le bas)
les règles proprement dites
Règle 1:
Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 2:
Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY
= = = = = = = = = = = = = = = =
Règle 3:
Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT
= = = = = = = = = = = = = = = =
Règle 4:
Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY
** Sur certaines configurations, cette règle peut empêcher tout accès au Web, désactiver si c'est le cas.
= = = = = = = = = = = = = = = =
Règle 5:
Description: Out Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo
Remote Endpoint: Any
Action PERMIT
= = = = = = = = = = = = = = = =
Règle 6:
Description: In Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action PERMIT
= = = = = = = = = = = = = = = =
Règle 7:
Description: In Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo
Remote Endpoint: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 8:
Description: Out Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 9:
Description: Block ICMP (Logged)
Protocol: ICMP
Direction: Both
ICMP Type: Echo Reply, Destination Unreachable, Source
Quench, Redirect,
Echo, Time Exceeded, Parameter Prob, Time Stamp, Time
StampReply, Info
Request, Info Reply, Address, Adress Reply, Router
Advertisement, Router
Solicitation (ALL)
Remote Endpoint: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 10:
Description: Block Common Ports (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 11:
Description: Back Orifice Block (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 54320,54321,31337
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 12:
Description: Netbus Block (Logged)
Protocol: TCP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 12456,12345,12346,20034
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 13:
Description: Bootpc (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 68
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 14:
Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 15:
Description: Block Low Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 1
Last port number: 79
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 16:
Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY
** Facultatif, cette règle peut vous empêcher l'utilisation e certains proxies ou
la navigation sur des serveurs FTP tournant sur des ports "exotiques"
= = = = = = = = = = = = = = = =
Règle 17:
Description: Internet Explorer-Web browsing
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => iexplore.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 80,8080,3128,443,20,21
Action PERMIT
** Vous pouvez remplacer la liste de port par ANY si nécessaire (utilisation de IE pour des serveurs FPT sur port "exotique" )
= = = = = = = = = = = = = = = =
Règle 18:
Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => msimn.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 25,110,119,143
Action PERMIT
** Une règle complémentaire (voir "divers" ) peut être rajoutée juste en dessous.
= = = = = = = = = = = = = = = =
Règle 19:
Description: ICQ Web Access Block
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 80
Action DENY
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 20:
Description: ICQ Application
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 5190
Action PERMIT
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 21:
Description: Block Outbound Unauthorized Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
= = = = = = = = = = = = = = = =
Règle 22:
Description: Block Inbound Unknown Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY
Si vous êtes sur un LAN, il peut être nécessaire d'autoriser le NetBIOS pour les PC de votre réseau local, les ajouter avant les règles 1 et 2 :
Règle 2a:
Description: Trusted Inbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Any
Action PERMIT
= = = = = = = = = = = = = = = =
Règle 3b:
Description: Trusted Outbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Port/Range
First Port: 137
Last Port: 139
Action PERMIT
divers
A.Règles complémentaires :
= = = = = = = = = = = = = = =
Description: Loopback
Protocole TCP and UDP
Direction : Both
Local Port : Any
Local App : Any
Remote address Type : Single
Host Address : 127.0.0.1
Port Type : Any
Action : PERMIT
** A ajouter sous la règle 9
= = = = = = = = = = = = = = =
Descrition : Outlook Express Out
protocole : TCP and UDP
Direction : Outgoing
Local Port : Any
Local App : msimn.exe
Remote Address : Any
Port Type : Any
Action : DENY
** Ajouter sous la règle 18
Cette règle permet d'éviter que OE ne se connecte automatiquement au W3 suite à l'insertion de script dans des messages
Html ou ne renvoie des informations sur l'ouverture ou non du courrier grâce à un webbug par exemple.
= = = = = = = = = = = = = = =
Description : Internet Explorer In
Protocole : TCP and UDP
Direction Ingoing
LocalPort : Any
Local App : iexplore.exe
Remote Address : Any
Port Type : Any
Action : DENY
** Ajouter sous la règle 17
Cette règle permet de contrer certaines tentatives d'exécution d'attaque depuis le web
sur votre PC
= = = = = = = = = = = = = = =
Règles pour le DHCP, si utilisé :
A ajouter au-dessus de la règle 15
= = = = = = = = = = = = :
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: DHCP Server IP
Rule Valid: Always
Action: Permit
Logging: None
= = = = = = = = = = = = :
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None
Ports qu'Edonkey utilise:
Edonkey peut fonctionner avec n'importe quel port. Par défaut il utilise :
TCP port 4661 pour la connexion au serveur.
TCP port 4662 pour la connexion avec les autres utilisateurs.
UDP port 4665 pour communiquer avec les serveurs autres que celui auquel vous êtes connecté.
Ensuite il faut autoriser les applications ki doivent avoir accès à internet.