Reprise du message précédent :
je l'ai relancé après avoir mis tcp udp both, all partout, et il marche normalement. regle unique c'est ça? dans ma version (française), j'ai regle valide: au choix "continu" ou "dans cet intervalle". C'est quoi ça?

je viens de découvrir un truc
 
L'intervalle sert à activer une règle entre des heures bien précises, et continu veut dire: active tout le temps.

continu c'est qu'elle s'applique tout le temps
 
laisses comme ca

Je veux bloquer le port 1033 (netspy) avec Kerio...vous pouvez m'aider (newbie)...j essaie de comprendre et j'avoue que j'ai beaucoup de difficulté à saisir quoi accepter et refuser...pas toujours évident répondre à toutes ces questions lorsque le PC boot.

Direction: Ingoing (entrée)
Protocol: TCP and UDP
Port (single/simple): 1033
Action: block
 
j'ai pas mon firewall sous les yeux, j'espère ne rien avoir oublié

application: any
action: deny

Bon c'est fait...je suis en train d'apprivoiser ce programme. Il y a un truc que je ne saisi pas pour bloquer les javascripts les activeX et les VBscripts dans l'onglet WEB...j'ai activé le blocage pour tous les sites sauf certains car je ne vois pas tout le contenu alors j ai créé des exceptions pour qu'il accepte les 3 mais on dirait qu'il ne tient pas compte de mes exceptions. Vous pourriez me dire où je fais défaut.

Hello,
 
Kerio me demande régulièrement si je dois accepter le remplacement d'un programme appelé Llass (export version) ou quelquechose comme ça.
 
Je m'inquiète ? ou je refuse tout le temps (ce qui est mon choix jusqu'à maintenant)?
 
Mais bon, après avoir mis quelques temps a calmer les pop-ups indésirables à droite à gauche, c'est presqu'un peu pénible...

Si c'est un logiciel qui accéde en temps normal au net ET qui vient d'être mis à jour, ce genre d'alerte est normal et il faut accepter.  
En clair, Kerio PF demande de confirmer dans ce cas qu'une mise à jour a bien été effectuée volontairement et non que le logiciel (en tout cas son exécutable) a été remplacé en douce (auquel cas, personnellement, je désinstallerais et réinstallerais le logiciel en question).

C'est à dire que je crois que LSASS (je viens de revérifier sur l'ordi sur lequel je suis en ce moment càd pas le mien mais même famille de d'OS) est un composant de l'OS justement. Je suis sur XP chez moi et 2000 ici (au taf).
 
Et donc ce message ne vient pas d'une install.

> Et donc ce message ne vient pas d'une install.
 
Donc, il peut "potentiellement" venir d'une substitution/modification du LSASS d'origine contenu dans WinXP par un autre fichier du même nom suite à un ver, virus ou troyen... Donc, ce serait possiblement une install à ton insu et non suite à une mise à jour volontaire. Comme je l'ai écrit.
 
A vérifier avec des scans antivirus et anti-troyens pour mettre tout ça au clair.

Bon, après un grand scan avé Kaspersky mis à jour et fouillage manuel de la base de registre (HKLM/software/microsoft/windows/currentversion/run) où il n'y a rien de suspect ainsi même que la liste des process où tout va bien je crois pouvoir dire que mon PC n'a pas l'air infecté.
 
Par contre, Kerio continue à me proposer:
 
C:\Windows\system32\Lsass.exe was replaced by another application with description 'LSA Shell (Export Version)'
Accept Oui/non
 
Si qqun a des infos sur ce que cela peut-être ?

Question sur les ports à bloquer ? doit-on les mettre en mode stealth ? Je suis allé sur le site grc.com...et de là ils m ont dit que certains ports en bas de 1055 étaient ouverts et 2 autres fermés...alors de là ma question.

port fermé = port non bloqué (par le firewall) mais rien derrière pour gérer la communicatin sur ce port
port stealth = port bloqué (par le firewall).
 
Si t'as pas de serveur sur ta machine, tu peux bloquer tranquillement tout ce qui se trouve en dessous de 1055 sauf le 53 (DNS). Mieux encore, limite l'accès à ton port 53 aux IP ds serveurs DNS de ton provider et tu auras un sans faute.

Bon, ben comme visiblement j'étais le seul à avoir le problème de LSA shell (export version), j'ai continué à bricoler pour essayer de résoudre ça tout seul et il semblerait qu'un petit tour tout con sur windows update ai résolu le truc.
 
Ce qui au passage accréditerai l'idée d'un petit script malin caché quelquepart à l'autre bout de mon adsl...
 
Merci tout de même au fils de Cthulhu.
 
ciao

hummm par certain de comprendre. Dans le cas de tous les ports en dessous de 1055, j'ai inscrit dans port range 0 et 1055 (TCP & UDP) deny = problème avec mon outlook ainsi que l'internet. Aie-je fait une erreur pour la config ?  
et pour ton explication du dns, je n y comprends rien. tu pourrais m expliquer comment configurer puisque je suis plutôt débutant dans ce domaine.

oups mauvaise idée l'interdiction des ports en dessous de 1055
 
je suppose que tu as interdit ces ports sur la partie distante, dans ce cas, il est normal que ça ne marche pas.  Va falloir que je pense à expliquer le BA.B.A. de TCP/IP si quelqu'un ne le fait avant moi parce que ça risque d'être un peu long à écrire

Je viens d'installer Kerio 4.0.10 pour le tester
Y zont refait l'interface et tout... franchement, il a l'air po mal du tout !!!

je que je n'aime pas avec les FW...c'est qu'on devient parfois parano. Et que dire de la configuration...on ne sait pas toujours ce que l'on doit accepter ou refuser surtour avec les progs peer to peer j'ai fait scanner mes ports sur le NET, y en a qui sont ouverts et là on se dit qu'on est déjà vulnérable. Vraiment pas évident.

Pas besoin d'être parano, suffit d'avoir une bonne politique de sécurité. Et pour moi la meilleure est de bloquer ce qui n'est pas connu. Comme règle de conduite de base, on ne peut pas faire plus simple  C'est comme ça qu'on évite des msblaster-like, même si l'OS n'est pas forcément patché avec les dernières mises à jour.

Mais faut-il ABSOLUMENT bloquer certains ports ou on peut sans problèmes laisser ces ports ouverts ?

Si tu ne t'en sers pas, oui, il faut les fermer.

j'ai kerio en version 2
me conseillez vous l'upgrade en v4 ?
vais je perdre mes règles lors de l'update ?

comment, de façon simple à comprendre, puis-je savoir quel port aie-je besoin ?

J'ai testé les deux. Et j'ai trouvé la v4 plus lourde à gérer avec l'ajout de fonctions qui (pour moi) n'ont pas grand choses à faire sur un firewall. Je trouve que l'interface en est rendue plus confuse en imposant de naviguer à travers plusieurs onglets pour arriver à la fonction désirée contrairement à la v2.1.5 qui va à davantage vers l'éfficacité en ne proposant que l'essentiel. De plus, même si elle (la v4) reste gratuite pour un usage non commerciale, elle perd certaines fonctions au bout de 30 jours (par exemple Internet Gateway, embêtant quand on monte son petit réseau).
 
Il y a un système de récupération automatique des règles quand on upgrade.

Bon je mets les images en link sinon ça va bouffer de la place
 
Le raisonnement derrière ces quelques règles est simple: j'interdis tout, et j'autorise au cas par cas. C'est la règle de base la plus sûre à suivre: n'autorisez rien qui ne vous serve pas. Les worms, trojans et compagnie seraient trop heureux de voir que vous avez laissé une porte ouverte, les immenses dégâts provoqués par msblaster et ses compères en sont la meilleure preuve.
 
Règle 1: boucle locale
Autoriser tout trafic avec l'adresse 127.0.0.1 (tous protocoles, tous les ports)
http://www.nightwing.easynet.be/pi [...] opback.png
 
Règle 2: DNS entrant
Autoriser les communications entrantes en UDP sur ton port local 53 (port standard pour le DNS). Il est à noter que je précise ici les adresses IP des serveurs DNS de mon provider, il faudra donc spécifier les vôtres à la place.
http://www.nightwing.easynet.be/pi [...] -local.png
 
Règle 3: DNS sortant
Autoriser les communications sortantes en UDP vers toute machine distante sur son port 53 (éventuellement, spécifier à nouveau les IP des serveurs DNS du provider).
http://www.nightwing.easynet.be/pi [...] remote.png
 
Règle 4: ping et traceroute
l'ICMP est un protocole particulier, pas vraiment nécessaire pour une utilisation normale, mais indispensable dès qu'on aime faire des pings ou des traceroutes, soit les types 0, 3 et 11, dans les 2 sens.
http://www.nightwing.easynet.be/pi [...] 4-icmp.png
 
Règle 5: application internet cliente
Je prends l'exemple très simple du navigateur, mais cela vaut aussi pour un client mail/newsgroups, un instant messenger ou un client IRC, toute application que vous voulez autoriser à aller sur le net. Notez que c'est la première fois que je spécifie une application dans le champ adéquat, ce qui est très important puisque cet exemple de règle ne concerne pas un service système mais bien une application cliente (laquelle généralement fait des connexions en TCP vers des machines distantes). Donc la règle dira: autoriser IE à communiquer vers toute adresse distante en TCP. Pas de port à préciser puisqu'un serveur web n'écoute pas forcément sur le port 80, et IE peut se connecter sur d'autres ports (serveur proxy: 1080, 8080, etc. / serveur FTP: 21 ou autre / etc.). Dans mon cas, pas de limitation du genre.
 
http://www.nightwing.easynet.be/pi [...] rowser.png
 
Règle 6: DHCP
Soit le protocole qui vous permet d'avoir une adresse IP de votre provider. Ici c'est très précis: communication entrante en UDP depuis une adresse 0.0.0.0:68 vers votre port 67. Si vous avez une configuration avec IP fixe, cette règle ne vous concerne pas.
 
http://www.nightwing.easynet.be/pi [...] client.png
 
Règle 7: enregistrer une trace des communications non autorisées
Cette règle-ci est facultative, elle fait ce que fait l'option "Deny Unknown" du firewall: bloquer les communications non-prévues dans vos règles. Pour ma part, il s'agit d'avoir un log complet de ce qui a été bloqué, via cette règle. J'affiche ici la règle à propos des communications entrantes, mais j'en ai une pour les communications sortantes, la différence étant que je me fous des communications sortantes bloquées (mais vous verriez que Windows aime votre connexion internet ).
 
http://www.nightwing.easynet.be/pi [...] ockall.png
 
Au niveau des options de log, c'est à vous de voir, je suis un brin parano et j'aime parfois savoir ce qui passe, mais surtout ce qui ne passe pas.

Merci Drasche!!!! Très apprécié.
Mais (évidemment) j'ai quelques questions...sur la règle 1 pour autoriser tout trafic, tu inscris l'adresse 127.00.1 . Est-ce que c'est une adresse standard dans tous les pays ?
Et pour ce qui est des serveurs DNS entrant et sortant, mon provider a un serveur DNS principal et un serveur DNS secondaire.
avec 2 adresses. Ce serait bien que tu m'éclaircisses là-dessus encore.
 
et merci encore pour ta dernière réponse.

L'adresse 127.0.0.1 est une adresse standard, peu importe le pays, il s'agit ici de technique. En fait, cette adresse est reliée au nom "localhost" qui désigne la machine locale, via un fichier de configuration planqué quelque part sous le répertoire system32.
 
Pour le DNS, ce n'est pas grave si tu ne mets pas d'adresse IP particulière, je ne connais personnellement pas d'attaque qui vise le port 53, c'est plutôt une sécurité supplémentaire. Il faut que tu connaisses évidemment les DNS de ton provider, ceci doit t'avoir été communiqué avec tes paramètres de connexion. Personnellement, j'ai la chance qu'elles se suivent, j'ai donc spécifié une plage d'adresses.... de deux adresses

la seule fonction qui me manque dans la version 2 est la détection d'un programme qui en lance un autre pour sortir sur le réseau
ex : un programme qui lance IE pour aller sur le net
 
mais du coup j'hésite à passer le pas

Dans ce cas, tu peux bien sûr essayer la v4, mais n'oublie pas de sauvegarder les paramètres de la v2 (administration/misc.../save) si jamais tu comptes revenir finalement à la v2. Ca ne coûte rien d'essayer effectivement.

Je suis sous un reseau (had-oc) 2 pc un hote et un client , kerio est uniquement sur le pc hote qui est connecté à internet par un modem xtence eci usb.
 
En fonctionnement normal aucun port ouvert protection maximale sur le pc hote, mais inpossible de connecter le pc client
 
après avoir coché (dans la rubrique avancé) la case "fonctionne sur une passerelle internet" le pc client accède à internet.
 
Le problème c'est qu'il y a 3 ports ouverts:
 
ftp ouvert 21/tcp File Transfer [Control]  
 
ldap ouvert 389/tcp Lightweight Directory Access Protocol EntrustManager - NorTel DES auth network see 389/tcp EntrustManager - NorTel DES auth network see 389/tcp  
 
H.323 Q.931 ouvert 1720/tcp Interactive media  
 
 
Est il important de les fermer et comment faire avec kerio ?

up!
 je viens de faire 3 règles pour fermer les trois ports , mais rien à faire  ils restent ouverts (verification par :
 
http://check.sdv.fr/

Question Drasche...avec tes règles tout est impeccable il n y a que EDONKEY qui ne reussit plus à télécharger...pour le upload, pas de problèmes...mais c est avec le download. Merci d'avance

tiens à l'époque j'avais suivi ce post p.2 à la lettre...
Il y a nettement plus de règles    
 
http://forum.hardware.fr/forum2.ph [...] 7#t1297433

ouais 'fin ya des règles inutiles dans son post, par exemple bloquer IE en entrée ou les trojans, c'est fait automatiquement par la règle du tout blocage (lui aussi en a prévue une).
 
Je dois peut-être justement nuancer ce que j'ai mis: je ne fais jamais travailler mon firewall en mode apprentissage: je spécifie toujours mes règles à la mano.
 
Bon le P2P c'est tabou ici alors je vais donner une règle générique qui vaut aussi pour ICQ par exemple: la fenêtre Status du firewall donne la liste des applications connectées ou qui aimeraient se connecter. Il y a une ligne par communication ou par port ouvert.
 
Certaines applications ouvrent l'un ou l'autre port pour une bonne raison (pour ICQ c'est le transfert de fichier lancé par un de vos contacts), et il faut une règle séparée pour autoriser les communications entrantes pour ces applications.
 
Il faut faire attention: beaucoup d'applications clientes ouvrent un port UDP, et ce port me paraît aléatoire (jamais le même à chaque démarrage de l'application): ça ne sert à rien et il ne faut pas créer une règle pour ce type d'applications. Ceci vaut notamment pour les clients mails ou web.

up

hé oui j'insiste,   bon les gars un geste pour un grand    
 
LSA shell Kerboro  
LSA shell (LDAP)
IGMP
ICMP
 
Pouvez vous m'éclairer, à quoi correspondent ces sigles et dans le meme temps une petite réponse pour les ports ouverts, merci d'avance.

 
meme problème comment ta fait ? pls      
 
Kerio 2.15 question sur les pc client du lan...
Voila tout marche sauf, le refresh des server sous tacticals ops et counter sux
Il faut que les clients de mon reseau est accés au protocole udp, or j'ai fait une regle qui bloque toutes les appli sur le protocole udp qui ne sont pas connue par kerio sur le server internet.
Donc comment faire pour autoriser les clients du lan à utiliser le protocole udp pour pouvoir lister les servers de jeux online sur mes clients sachant que tout le reste marche impec, car ma 1er regle est d'autoriser tout ce qui viens de mes ip du lan
avec outpost 2 pro j'utiliser cette regle dans option/system:
Protocol UDP
Direction Outbound
Allow It
Activate Stateful Inspection

bon le problème de refresh des server est règler, par contre les clients ftp marche pas sur les clients
 
Règle sur la passerelle internet -> http://membres.lycos.fr/spidy667/KerioVsPort21.jpg

Bonjour,
 
J'ai kerio 2.1.5 et j'ai un petit pb avec outlook
 
Je met la règle
-----------------------------
Règle 18:  
 
Description: Outlook Express  
Protocol: TCP  
Direction: Outgoing  
Port type: Any  
Local App.: Only selected below => msimn.exe  
Remote Address Type: Any  
Port type: List of ports  
List of ports: 25,110,119,143  
Action PERMIT  
----------------------------
 
Et outlook ne transfert plus les messages.
Outlook les transfert qd je met tout les ports ouverts dans list of ports.
Il manquerait pas des ports à ouvrir?
 
Merci

 
Ma liste de ports (sous outlook normal) est la suivante : 25,110,119,143,80,8080,3128,443,20,21