Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
2026 connectés 

 



 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  16  17  18  19  20  21
Auteur Sujet :

[Topic R+]Kerio 2.1.5 et paramétrage *maj23/03*

n°1811106
ramkin
Posté le 22-11-2004 à 20:28:42  profilanswer
 

Reprise du message précédent :

Inek a écrit :

Oui ca change rien pour ma navigation avec les regles DNS 3 et 4. Par contre jai une liste enorme de regle apres celle que tu vois, qui concerne tout les programmes qui m'ont demandé en ask me first. Peut etre ca vient de là.


 
Non, rien à voir à mon avis. N'oublie pas que Kerio applique les règles de haut en bas. Tes règles DNS sont en premier, donc ça doit passer!
 
Ahhhh, yep!! Je pense à un truc. Remonte ta règle Internet Explorer pour la mettre juste en dessous des règles DNS, juste pour voir....


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
mood
Publicité
Posté le 22-11-2004 à 20:28:42  profilanswer
 

n°1811110
minipouss
un mini mini
Posté le 22-11-2004 à 20:30:03  profilanswer
 

moi chez Tele2 j'ai mis que le range IP du 130...161 au 130...169 et pas l'autre et ça roule ( de temps en temps des pages non trouvées mais très rare)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1811113
ramkin
Posté le 22-11-2004 à 20:30:49  profilanswer
 

Au fait, quand tu crées tes règles, par exemple les DNS 3 et 4, tu les mets bien au bon en droit, en les insérant??  :sweat:  Tu ne les mets pas à la fin bien sur!!


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811124
ramkin
Posté le 22-11-2004 à 20:34:22  profilanswer
 

Bon, alors Inek, vraiment je vois pas.... :(  C'est complètement fou ce truc!!
 
Et tu dis que losque tu les deux règles DNS pour toutes les aplications, ça marche très bien??


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811335
phil_IP
Posté le 22-11-2004 à 22:03:11  profilanswer
 

ramkin a écrit :


 
phil_IP( :hello: ), ton hébergeur c'est quoi?? Moi je suis sur Lycos et i-France (en utilisant Filezilla). C'est pas top niveau temps de connexion, mais au bout d'un moment la connexion se fait. Est-ce que tu as attendu suffisemment pour voir si la connexion se fait quand même?
 
Allez, allez, au boulot!!  
 
 :sol:


 
je suis sur OVH, et je confirme que la connexion se fait bien
j'ai le massage de bienvenue du FTP dans Filezilla  
ce n'est que l'ors du LIST qu ca merde un max  :??:  !
avec le firewal desactivé le resultat du LIST est presque immediat
 
gargl

n°1811355
ramkin
Posté le 22-11-2004 à 22:10:38  profilanswer
 

phil_IP a écrit :

je suis sur OVH, et je confirme que la connexion se fait bien
j'ai le massage de bienvenue du FTP dans Filezilla  
ce n'est que l'ors du LIST qu ca merde un max  :??:  !
avec le firewal desactivé le resultat du LIST est presque immediat
gargl


 
Tu pourrais mettre un screen de tes règles?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811410
phil_IP
Posté le 22-11-2004 à 22:37:36  profilanswer
 

ramkin a écrit :

Tu pourrais mettre un screen de tes règles?


 
ail !!!  
oui je veux bien  
juste un truc... comment faire pour mettre une image ici ????????
 
sinon pour info j'ai Kerio Personal Firewall 4.0

n°1811441
ramkin
Posté le 22-11-2004 à 22:59:17  profilanswer
 

phil_IP a écrit :


sinon pour info j'ai Kerio Personal Firewall 4.0


 
Aiiiiie, à mon tour. Je connais pas, et je veux pas connaitre. J'ai essayé une fois, et bof...Trop compliqué, trop habillé, trop "d'options" destinés à des professionnels ( La VRAIE 4.0 est payante!!) pour finalement peut-être etre pas mieux que  notre bonne vieille 2.1.5.
 
Pour info, un screen se fait en appuyant sur la touche Impr.écran de ton clavier. Et tu vas dans un soft d'image (genre le Paint de Windows suffit largement..), un Crtl+V, et tu enregistre là-chose au format que tu veux (ou que le soft peux... :D )
 
 :sol:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811474
ramkin
Posté le 22-11-2004 à 23:14:48  profilanswer
 

Inek, une autre idée.
(ça pourrait au moins tenter d'isoler le problème)
 
En relisant tes posts je m'aperçois d'un truc: lorsque tu as décoché les règles Deny, le Svchost.exe tentait de se connecter sur l'IP serveur au port 53.
Essaie ça.
-Tu mets les règles DNS 1 et 2 comme d'hab.
-En-dessous tu crées deux autres règles avec le processus svchost.exe, en remote 212.151.136.254:53 pour la première, et
230.244.127.161:53 pour la deuxième. Dans un premier temps t'as qu'à mettre tous type de protocole, en both, et sur tous les ports.
 
Fais tourner, et fais moi signe.
 
 :sol:  


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1811889
serveur
Posté le 23-11-2004 à 08:54:18  profilanswer
 

*****************************
Une MAJ a été faite:
 

  • Remis le topic dans "Sécurité"


  • Lien vers le patch pour la "francisation"


  • Résumé des failles sécunia, dans la partie failles et limites(finalement, c'est moins grave que ce que je m'imaginais) et vous devriez être rassuré à la lecture. Les autres failles que j'ai lues concernaient la version 4..


*****************************
 je fais une copie de la MAJ sur la traduction  résumée des failles secunia:

  • Faille n°SA12468: (peu critique)

Concerne un "bypass" sur le système de protection de démarrage d'applications définis dans Kerio. Cette faille a été vérifiée pour la version 4, mais pourrait exister sur les précédentes versions.

Citation :

Sur Win2k/XP, il est possible de restorer le "SDT ServiceTable" du noyau en cours d'execution  à son état d'origine, puisqu'une copie complète existe dans "ntoskrnl.exe". Un utilitaire 'SDTrestore rootkit-defense tool' a réussi a restaurer cette table à son origine sur un système faisant tourner  KPF4. La protection contre l'execution d'applis définis est désactivée, et Kerio n'indique pas quand un nouveau programme (ou un programme modifié) se lance.. La protection firewall reste cependant intacte!

Pour exploiter cette faille, il faut le privilège administrateur. bref, un attaquant doit d'abord convaincre l'utilisateur d'executer un programme malicieux comme administrateur!!! (genre l'admin qui clique sur "superrousse.exe"  :sarcastic:  )
pour en savoir plus: http://www.security.org.sg/vuln/kerio4016.html
 

  • Faille n°SA10746: (peu critique)

Elle concerne la version 2.1.5 mais a été indiquée plus haut avec la soluce! ( Elle concerne la manière dont Kerio charge le jeu de règle en nécessitant le privilège "system" ). Conseil supplémentaire: En plus du mot de passe, ne pas prêter son ordinateur a des utilisateurs peu digne de confiance (généralement une grosse faille dans la sécurité).
 

  • Faille n°SA8682: (très critique)

Ne concerne que la version 2.1.4 et antérieure.. donc on n'est pas concerné! Cependant, pour expliquer brièvement, il s'agissait d'une faille lié à la fonction d'administration à distance de Kerio. Il fallait se connecter à l'interface de contrôle a distance ( c'était faisable à condition d'être en mesure de "monitorer" les paquets entre l'admin et le firewall afin de pouvoir executer un "replay" de ces paquets et il fallait le monitorer à une session où l'admin désactive ses règles!! (bref dans les semaines de 4 jeudis ;) ) . La soluce consiste à désactiver l'admin à distance de Kerio pour ces versions.
 

  • Faille n°SA8663 : (pas critique)

N'est pas considéré comme critique par sécunia, mais perso, je la trouve gênante pour plusieurs raisons:
- la première est qu'elle concerne notre version 2.1.5 puisque toute les versions avant la 4.1.0 sont concernés et que le fix (patch) n'a été que pour cette version et les versions postérieures.
- Qu'on apprend qu'il serait possible à une personne malveillante de "spoofer" le port 53 :heink: pour communiquer avec des services 'systèmes' en écoute sur le protocole UDP (nécessite quand même de faire un scan des ports, mais la règle par défaut de Kerio permettait TOUT traffic UDP entrant sur le port 53)  - nota : d'où à priori l'importance de ne pas mettre "toute appli" dans les règles pour les DNS -
Le fix de la société a été d'appliquer un "stateful inspection" (analyse dynamique) sur les paquets UDP et d'autres protocoles IP, pour corriger le problème!  
> D'où tout a coup un doute m'assaille pour notre version 2.1.5, car dans le fichier help, il est juste écrit que la méthode principale est le "stateful inspection", mais ne précise pas sur quels paquets s'effectue l'analyse dynamique. Si cela s'averrait qu'ils n'ont implémenté l'analyse dynamique (c'est à dire d'effectuer un suivi des trames)  sur l'UDP qu'a partir de la 4.1, alors cela pourrait expliquer pourquoi il y a une lenteur d'affichage des pages web à cause d'un moins bon suivi des retours DNS..(?)
 
*****************************
 
:hello: Ramkin et merci pour ton aide.. je regardais les posts hier soir pendant que je faisais les tests et ça m'aide pas mal( non, non, on ne vous as pas abandonné.. ;) ) .  
 
Pour répondre a plusieurs des questions:
> Concernant les règles DNS, c'est bien celles-là que j'utilise (wifi et boulot, celle du provider adsl était celui d'un fournisseur finlandais que j'ai laissé à titre d'exemple), mais je sais qu'il y a justement là quelquechose à améliorer: parceque j'ai le même problême que vous. C'est à dire que  si je n'ai quand même pas l'erreur de page introuvable (certainement dû à un délai d'expiration trop long), j'ai tout de même un ralentissement conséquent dans l'affichage des pages par rapport à un surf normal sans firewall, et si je commence à avoir des éléments de réponses (voir l'hypothèse du doute qui m'assaille en faille 4 sécunia de la MAJ ainsi que les tests ci-dessous), il me reste encore à comprendre si c'est lié au moteur d'analyse de Kerio, aux retours des DNS FAI, de la nécessité d'accepter l'accès aux DLL, ou autre chose..
 
>le loopback ne servirait, je pense, que dans le cas où tu aurais préalablement configuré un fichier localhost avec des adresses IP > noms de domaines et cela accélerait la recherche. Mais effectivement, en désactivant la règle, ça ne va pas plus vite , ni moins vite. Si le navigateur tente de verifier le localhost, c'est dans ce but il me semble.
 
>Concernant le DHCP.
Un FAI possède normalement un serveur DHCP pour t'attribuer dynamiquement une adresse IP. Cependant dans mes logs, sur une heure de surf wifi, il n'y a pas d'autres tentatives de connexions sur le port 68 en UDP.. (faudrait que je teste sur un réseau non wifi pour voir si c'est également le cas), mais peut-être ton FAI communique t'il au 'service.exe' à effectuer ces connexions répétés au cas où ton adresse IP attribuée change ? ou bien est-ce le service XP qui est différent de 2000 ? Là je ne sais pas trop. Tu as décoché la règle avant de te connecter, ou l'as tu fait après connexion ?  
 
 
 
J'ai fait les tests suivants sur le reseau wifi meteor:
 
- passage des règles DNS en "toute application"  (donc "no-owner" accepté !).
même observation que minipouss. Ca ne va pas plus vite.
 
- Activation de la règle INBOUND du navigateur. Même chose. Pas plus rapide.
 
- Désactivation du firewall (en gardant la connexion), bah pareil! même vitesse que précédemment. (Il faut que je refasse ce test sur une nouvelle connexion)
 
 
En analysant mes logs , je remarquai les tentatives continue d'un autre serveur sur le port 2313. J'ai découvert un protocole que je ne connaissais pas : l'IAPP.
C'est propre aux réseaux Wifi avec plusieurs bornes:

Citation :

IAPP( Inter Access-Point Protocol ) or IEEE Std 802.11f is a part of IEEE 802.11, designed for the enforcement of unique association throughout a ESS ( Extended Service Set ) and for secure exchange of station's security context between current access point(AP) and new AP during handoff period.
It provides a means to make APs communicate with each other.  
It is implemented on top of IP and uses UDP/IP and SNAP as transfer protocol.  
IEEE802.11 does not support handover.  
IEEE802.11 does not support AP coordination.  
IEEE802.11 has no exposed interface to the Distribution System


 
- cependant, même en créant une règle DNS inbound spécifique sur ce port en UDP, cela n'amena rien en terme de vitesse de surf.  
 
Je suis donc toujours au point mort, mais avec d'autres recherches a faire. :(  
 
 
 
>El muchacho. merci pour les applis.. je vais regarder ça ce week-end.


Message édité par serveur le 24-11-2004 à 09:13:30

---------------
Si tu es champion pour ouvrir ta gueule sur les forums, alors souviens toi de franz et Emma qui sont en train de payer pour toi: http://opserpir.free.fr/petitionF.html
mood
Publicité
Posté le 23-11-2004 à 08:54:18  profilanswer
 

n°1813055
VAN LOCK
Posté le 23-11-2004 à 17:25:28  profilanswer
 


 
 
ça marche comment si tu autorises "generic host process" en "out" ?
 
 


Message édité par VAN LOCK le 23-11-2004 à 17:27:30
n°1813175
VAN LOCK
Posté le 23-11-2004 à 18:10:56  profilanswer
 

un forum consacré a kerio :
 
http://www.dslreports.com/forum/kerio
 
 

n°1814015
ramkin
Posté le 23-11-2004 à 23:37:37  profilanswer
 

serveur a écrit :


>Concernant le DHCP.
 Tu as décoché la règle avant de te connecter, ou l'as tu fait après connexion ?  


 
Actuellement cette règle est décochée en permanence. Je n'ai pas eu de demande depuis un moment. Par contre je l'ai déjà laissé passer au tout début. Mais depuis une semaine, c'est décochée et pas de demande. Donc c'est peut-être pas utile pour une connexion ADSL, ou alors juste une fois..?  :??:  
Et oui je suis sous 2000 Pro, donc là aussi, suivant les système, doit y avoir des différences de fonctionnement.
 
 
Inek. Quand tu dis: Quand jautorise il me demande sans cesse pour chaque nouveau site une regle pour le programme svchost.exe sur le port 53 avec differentes IP.
Ca veut dire qu'en authorisant à chaque fois tu arrives à naviguer?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1814304
serveur
Posté le 24-11-2004 à 08:52:36  profilanswer
 

Ramkin> euh non, je suis aussi sous 2000pro donc pas de différence avec moi. Je vais faire un test ce soir en restaurant une Image DD pour être sûr que l'info n'est pas écrite dans le registre ou une DLL, et  décocher cette règle pour voir si on peut être attribué une adresse IP via l'UDP sur un autre port. Sinon il va falloir que j'approfondisse mon sujet sur l'attribution des IP par les FAI [:vanilla].
 
Van Lock> merci pour le lien, car j'ai l'impression que le forum sur le site officiel est en train de mourir  :(


Message édité par serveur le 24-11-2004 à 08:54:47

---------------
Si tu es champion pour ouvrir ta gueule sur les forums, alors souviens toi de franz et Emma qui sont en train de payer pour toi: http://opserpir.free.fr/petitionF.html
n°1814622
ramkin
Posté le 24-11-2004 à 12:15:18  profilanswer
 

serveur a écrit :

Ramkin> euh non, je suis aussi sous 2000pro donc pas de différence avec moi. Je vais faire un test ce soir en restaurant une Image DD pour être sûr que l'info n'est pas écrite dans le registre ou une DLL, et  décocher cette règle pour voir si on peut être attribué une adresse IP via l'UDP sur un autre port. Sinon il va falloir que j'approfondisse mon sujet sur l'attribution des IP par les FAI [:vanilla].
 
Van Lock> merci pour le lien, car j'ai l'impression que le forum sur le site officiel est en train de mourir  :(


 
Tiens, moi aussi, je compte reformater proprement d'ici une semaine, et faire une image bien propre avant toute connexion. ;)  
 
Je "crois" quand même me rappeller que cette connexion UDP du services.exe sur le local 67 et en remote 68 (la règle DHCP, donc...) était réclamée assez souvent. Du genre tellement souvent que je l'ai laissé passer.
 
Donc ça pourrait être ça: néscessité d'une première connexion en UDP sur ces ports, genre pour vérification, et après basta... :??:  
 
A suivre...
 
 :sol:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1814670
ramkin
Posté le 24-11-2004 à 12:36:20  profilanswer
 

Inek, tu voudrais pas répondre à la question que je t'ai posé? Je veux bien essayer de t'aider mais tu zappes pas mal de choses dans les posts que j'écris... :whistle:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1814790
ramkin
Posté le 24-11-2004 à 13:35:25  profilanswer
 

Inek:
 
Bon, à priori, c'est nescessaire pour toi d'authoriser le processus svchost.exe. Laisse moi deviner, tu serais pas sous Windows XP par hasard?? :D  
 
Donc ça va être prise de tête au début mais il faut que tu y passes...
 
Donc tu vas effacer toutes tes règles, et tu vas en créer seulement :
- les 2 règles DNS déjà écrites:
- la règle IE déjà écrite
 
Tu laisses en Ask me first et tu te connectes:
1) Lorsque le svchost.exe tente de se connecter sur le port 53 tu customises la règle (le bouton customize, en bas de la fenêtre d'alerte) en choisissant:
-tous les ports locaux
-juste l'adresse IP indiquée
-uniquement le port distant 53
Tu fais OK, tu coches customiser, et clic sur Permit
 
2) Pour le reste, tu refuses simplement. Si certains t'ennuient vraiment trop (je pense à SYSTEM, mstask...) crée carrément une règle de refus, pour qu'ils ne t'ennuie plus le temps de peaufiner tout ça
 
Fais ça un moment, pour avoir une petite dizaine de règle sur le svchost.
Si ça marche comme ça, tu regardes ensuite les règles que tu as créé


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1815742
minipouss
un mini mini
Posté le 24-11-2004 à 19:56:44  profilanswer
 

pour les ports distants tu peux restreindre à
 
80 http
443 https
 
et 20,21 FTP

n°1815762
ramkin
Posté le 24-11-2004 à 20:04:48  profilanswer
 

Ah beh voilà, nondidju!!! Enfin ça marche!  :bounce:  
 
T'as encore pas répondu à ma question Inek, je vais me facher!!  :ange:  
C'est quoi ton système d'exploitation??
 
Parce que ce que je vois de très intéressant, c'est que comparé à mes règles de bases:
 
http://www.ifrance.com/ramkin/Divers/kerio_config.jpg
 
on voit que mes règles DNS 3 et 4 correspondent à tes règles Generic Host Process, avec cette même IP qui est l'IP des serveurs tele2 sauf les 3 derniers chiffres . Sauf que moi cest le services.exe et toi svchost.exe.
Donc c'est pour ça que j'aimerais bien savoir si tu es sous XP!!  :fou:  
 
DONC, mon esprit affuté et vif me laisse à penser que tu pourrais peut-être restreindre ces 4 règles aux seuls ports locaux 1024-5000, comme pour les règles DNS. C'est toujours ça de pris.
Par contre, au lieu de faire ces 4 règles, tu pourrais peut-être n'en faire que deux en les mettant en Both..Ca fera du ménage.
 
Pout Firefox aussi tu peux (tu dois...) te limiter au port distant 80


Message édité par ramkin le 24-11-2004 à 20:06:44

---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1816095
ramkin
Posté le 24-11-2004 à 22:58:25  profilanswer
 

Ca navigue?


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1816121
ramkin
Posté le 24-11-2004 à 23:09:17  profilanswer
 

Bon beh, voilà... :)  Je trouve ça pas mal effectivement.
 
En plus on vient d'apprendre une différence de fonctionnement entre 2000 et XP.
 
Alors maintenant je crois qu'on en est au même stade. En gros je ne laisse rien d'autre passer. Il n'y a que Filezilla qui a certaines permissions.
Par contre tu as du remarquer que Firefox (ainsi que Thunderbird) faisait assez souvent des requètes TCP sur le port 127.0.0.1, ce qui correspond à la fameuse règle du Loopback. Jusqu'à présent j'ai toujours refuser en attendant d'en savoir plus...( serveur?? :bounce: ).
 
De même le services.exe fait toujours de temps en temps une demande de sortie vers 255.255.255.255: [68] sur le port local 67. (une requète DHCP???). Moi je refuse, mais c'est par esprit de contrariété uniquement.  :D


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1816122
ramkin
Posté le 24-11-2004 à 23:10:54  profilanswer
 

Inek a écrit :

Jai des requetes avec ça dedans :
 
Someone from d213-103-247-3.cust.tele2.fr [213.103.247.3], port 1767 wants to connect to port 445 owned by 'SYSTEM' on your computer
 
Ya le mot télé2 dedans ca m'interpelle  [:noxauror]


 
Moi tout ce qui est SYSTEM je refuse.  :non:


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1816136
ramkin
Posté le 24-11-2004 à 23:19:00  profilanswer
 

Non, j'ai rajouté des Deny à chaque fois pour ce genre de processus windows. En fait le "Bloque tout" est décochée car je regarde ce qui se passe pour l'instant.


---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
n°1816165
ramkin
Posté le 24-11-2004 à 23:33:12  profilanswer
 

Inek a écrit :

C'est quoi ça ? Someone on address 255.255.255.255 wants to send ICMP packet to your machine :heink:


 
Inek!!! Tu lis pas les posts!! :non:  Regarde au tout début du post ce qu'a écrit serveur. C'est pour le ping.
 
Pour faire court, si tu sais pas ce que c'est, t'en as pas besoin. Tu peux bloquer tout ce qui est protocole ICMP.
 
 :sol:


Message édité par ramkin le 24-11-2004 à 23:33:34

---------------
Heureusement que par-delà l'infini, quand il ne reste plus aucun espoir, veille le capitaine Flam...
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  16  17  18  19  20  21

Aller à :
Ajouter une réponse
 

Sujets relatifs
pb kerio msnmozilla kerio et propagation de virus
Kerio et reso??paramétrage en Microsoft Outlook pour hotmail
paramétrage MSN sous XPAttaque DOS MSDTC attempt avec Kerio 4.1.1
kerio 4.1.1PB avec Kerio 4.0 réseau wifi avec routeur
Site Web introuvable avec Kerio, [résolu]Kerio -> lecture des cd impossible....
Plus de sujets relatifs à : [Topic R+]Kerio 2.1.5 et paramétrage *maj23/03*


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR