[Tuto] Renforcer la sécurité de Outpost

Modérateur: Modérateurs et Modératrices

[Tuto] Renforcer la sécurité de Outpost

Messagede Jim Rakoto » 20 Mai 2005, 18:52

Salut,

Attention cette sécurisation n'est plus appliquable à la version 3.5 de Outpost


en complément du paramétrage de Outpost

Guide pour une configuration sécurisée du pare-feu Outpost

Ce guide est basé sur le travail de Paranoïd2000, modérateur des forums Outpost.
http://www.outpostfirewall.com/forum/sh ... eadid=9858
Toutes mes excuses à Paranoid2000 si je n'ai pas réalisé une traduction littérale de ses propos

Introduction

Les suggestions suivantes sont prévues pour permettre une configuration plus sévère de Outpost afin de limiter le trafic sortant.
Avec la quantité croissante de logiciel qui essayent de « téléphoner maison » sans consentement de l'utilisateur (dialer), et l'augmentation du nombre de trojans et de virus cherchant à déguiser leur activité en tant que trafic légitime d'Internet, avoir une politique restrictive sur ce qui est Autorisé en sortie est maintenant aussi important que limiter ce qui est autorisé en entrée.


Puisqu'un certain nombre de changements aux règles par défaut sont inclus, si vous rencontrez n'importe quels problèmes et que vous postiez sur le forum Outpost, mentionnez svp quelles règles vous avez employées dans cette liste (par exemple section D1-(b) Application DNS).
Ce document nécessite d'être familarisé avec - les nouveaux utilisateurs peuvent consulter http://www.outpostfirewall.com/guide/ et http://assiste.forum.free.fr/viewtopic.php?t=3483 avant de suivre les étapes de ce guide.

Il y a toujours une différence entre la sécurité et la rentabilité - certains des changements ci-dessous peuvent exiger un travail supplémentaire significatif et peuvent assurer des actions (comme changer des ISPs) bien plus difficiles. Certaines configurations de réseau (en particulier dans les entreprises) peuvent poser des problèmes avec quelques sections. Veuillez examiner les avantages et les inconvénients énumérés pour assurer chaque section avant de la mettre en application - en cas de doute, essayez un changement à la fois et examinez complètement, en passant en revue les notes appropriées d'Outpost.
L'intention de ces recommandations est de favoriser la sécurité parfois au détriment du confort d'utilisation.
En conclusion, notez svp que ce document n'est pas produit ou n'est pas soutenu par Agnitum. Toutes les questions résultant des recommandations ci-dessous devraient être postées dans le forum d'Outpost.

Credits

Ce guide a été au commencement produit par Paranoid2000 et a été augmenté par la rétroaction des autres modérateurs du forum. En particulier un merci tout spécial à David pour son travail des règles pour svchost.exe dans la section E2, application critique pour des utilisateurs de Windows XP.

Note pour les utilisateurs de la version free

Les paramétrages de ce guide n'ont pas été testés avec la version free de Outpost et quelques passages, notamment la section D traitant des règles globales, ne peuvent pas être mises en application entièrement (puisque les règles globales peuvent être handicapées mais non changées dans la version Free de Outpost) tandis que d'autres (contrôle des éléments) sont des dispositifs nouveaux propres à Outpost v2. Néanmoins plusieurs des remarques faites ici peuvent être testées et apporter une amélioration valable à la sécurité de votre système.

A – Paramètres LAN
Options/Système/Paramètres LAN/Paramètres

Avantage : Augmentation sécurité par limitation des privilèges d'accès PC .
Inconvénient : Plus de travail pour mises en route et maintien spécialement pour un grand réseau.

Cette section spécifie quelles adresses IP peuvent être considérées comme fiables. D'un point de vue sécurité, plus la liste des entrées est courte, meilleur c'est, puisque le trafic vers et de ces adresses peut être autorisé, outrepassant toute application ou règles globales (voir http://www.outpostfirewall.com/forum/sh ... eadid=8394 pour plus de détails)

Pour un PC isolé, aucune adresse IP n'est utile.
Astuce sécurité : Décocher la case : Détection automatique des nouveaux paramètres réseau pour prévenir le danger qu'une entrée inconnue ne soit acceptée par Outpost.
Les entrées suivantes seront prises en considération pour les explications suivantes :
Les PC en réseau local pour lesquels vous souhaitez un accès fichiers et/ou impression ;
Les PC en réseau local qui utilisent des applications partagées qui ne peuvent se contenter des règles par défaut;
Une passerelle Internet Connection Sharing (ICS) qui doit inclure les adresses IP de chaque client ICS en adresse sécurisée . Lire la FAQ http://www.outpostfirewall.com/forum/sh ... eadid=7338 pour plus de détails.

Instructions:
Décocher la détection automatique des nouveaux paramètres réseau pour être certain que Outpost n'acceptera pas de nouvelles entrées. Il faudra dès lors entrer manuellement tout ajout de carte réseau et donc de nouvelle adresse IP;
Entrer les adresses IP de chaque PC . Seules les adresses réseau doivent apparaître ici. Jamais d'adresse internet ;
Pour l'impression de fichiers, cocher la case « NetBIOS » pour les PC autorisés;
Pour des applications réseau , cocher la case « Sécurisé ».


B – Paramètres ICMP
Options/Système/ICMP/Paramètres

ICMP (Internet Control Message Protocole) est une partie du Protocole internet utilisée pour diagnostiquer erreurs de connexions. http://www.faqs.org/rfcs/rfc792.html.

Les paramètres par défaut autorisent les fonctions suivantes :
Test de base des connexions utilisant la commande Ping (Echo Request Out and Echo Reply In) – Les Pings d'entrée doivent être bloqués pour cacher la présence en ligne de votre PC;
Messages indiquant qu'une adresse IP internet n'est pas accessible (Destination Unreachable In and Out);
Messages indiquant que le délai de connexion à une adresse IP internet est dépassé (Time Exceeded for a Datagram In). Ceci est utilisé et requis pour la commande Tracert - traceroute entrant doit être bloqué pour cacher la présence en ligne de votre PC.
Ces paramètres sécurisent suffisamment la majorité des utilisateurs.
Cependant, ce paramétrage peut permettre certains types de scans (la grande majorité est toutefois bloquée par Outpost). Bloquer ces autorisations peut réduire la visibilité de votre PC sur Internet.

Avantage : Cacher votre système aux quelques scanners qui peuvent échapper à Outpost .
Inconvénient : Des recherches de destination peuvent être envoyées légitimement dans certains cas et seront alors bloquées . Ceci peut provoquer des « timeouts » pour certaines applications (comme le P2P) quand d'autres sont connectés sur votre système.
Instructions:
Décocher la case « Destination non accessible « (3)" .


En cas d'utilisation d'un serveur vous pouvez souhaiter être visible lors de commandes Ping et Tracerts. Quelques FAI peuvent exiger une réponse à leurs Pings pour maintenir la connexion. Suivre alors les instructions suivantes.

Avantage : Autoriser les utilisateurs à tester connexion et performances réseau sur le serveur. Requis par certains FAI .
Inconvénient : Expose votre système à une possible attaque en Deni de service.
Instructions:
Cocher la case "Réponse Echo (0)" Sortie et "Demande Echo (8)" Entrée pour autoriser les réponses au Ping.
Cocher la case "Destination non accessible (3)" Sortie et "Délai dépassé pour un Datagramme (11)" Sortie pour autoriser réponse à la commande Tracert.
Instructions alternatives : Les instructions précédentes autorisent pings et traceroutes de n'importe qui. Il est possible d'utiliser une règle globale pour autoriser ICMP uniquement pour les adresses fiables mais elle autorisera tous les messages ICMP. Comme ces adresses spécifiques sont connues , c'est sans doute préférable. Pour ce faire :
Créer une règle globale avec les paramètres suivants :
Autoriser ICMP sécurisé :
Protocole IP > taper ICMP,
Hôte distant <saisir l'adresse IP sécurisée>,
Autoriser

A noter : le trafic entrant et sortant doivent être autorisés



C – Mode Pare-feu
Options/Système/ Mode pare-feu

Laisser la case devant « Furtif » cochée.


D – Changer les règles globales
Options/Système/ Règles générales de raw-sockets et de système


D1 – Spécifier les adresses DNS

DNS (Domain Name System) est la méthode qui permet de trouver une adresse IP au départ d'un nom de domaine (par exemple Outpostfirewall.com a l'adresse IP 216.12.219.12 – une description complète est disponible sur http://www.faqs.org/rfcs/rfc1034.html .
Puisque le trafic DNS doit être autorisé par le pare-feu afin de pouvoir exécuter la consultation de l'adresse IP requise en se reliant à un emplacement, quelques trojans et leaktests essayent de déguiser leur trafic comme demande de DNS.
Toutefois en limitant l'accès seulement aux adresses DNS fournies par votre FAI, cette tactique peut être efficacement bloquée. Voici deux options à suivre:

(a). L'option globale DNS - Saisir les adresses DNS de votre FAI dans la règle globale

Avantage : Bloquer les adresses DNS avec un miminum de travail supplémentaire.
Inconvénients: Si vous utilisez plusieurs FAI, les adresses IP de chaque FAI doivent être saisies. Si vous changez de FAI ou si les adresses DNS changent, vous devez modifier la règle avec les nouvelles adresses.
Si vous avez des applications ou un réseau qui utilisent un système de recherche itératif alors cette règle peut provoquer des problèmes et ne doit pas être utilisée.

Instructions:
Trouver les adresses DNS de votre FAI . La méthode la plus rapide est d'utiliser la commande ipconfig /all en allant dans Démarrer > exécuter > taper cmd
Entrer ces adresses dans la règle « Autoriser résolution DNS (TCP et UDP) > hôte distant .
Les utilisateurs peuvent également ajouter ces adresses dans les règles des applications services.exe et svchost.exe (de plus amples détails dans la section E2).
Astuce sécurité Si vous êtes en réseau, les adresses du FAI peuvent être remplacées par celle du routeur 192.168.0.1 ou 192.168.1.1 ou 192.168.1.254 ( vérifier dans le mode d'emploi du routeur)


(b). L'option Applications DNS – Supprimer la règle générale et créer une règle DNS pour chaque application

Avantage : Les nouvelles applications ont maintenant besoin de 2 règles (règle normale + règle DNS) ce qui dminue les chances d'un accès par un programme malicieux.
Les programmes malicieux essayent de « téléphoner maison » ou essayent d'obtenir une adresse IP. Les programmes malicieux peuvent être « dupés » en pensant que la connexion est impossible et rester « en attente » jusqu'à ce qu'une connexion soit possible.
Les Trojans qui utilisent uniquement le Protocole DNS requièrent une règle spécifique.
C'est la seule options qui peut bloquer le « DNShell leaktest et exploits similaires.

Inconvénients: Un travail supplémentaire est nécessaire puisque chaque application a besoin d'une règle spécifique et chaque changement d'adresses IP nécessite une modification des règles.
Instructions:
Pour Windows 2000 or XP, désactiver le service client DNS (via Démarrer > exécuter > taper services.msc > clic droit sur la ligne > Propriétés > désactivé > arrêter > appliquer > OK . ceci va forcer les applications à utiliser leurs propres requêtes DNS plutôt que les déléguer à services.exe (Win2000) ou svchost.exe (WinXP).
Décocher Autoriser résolution dns (TCP et UDP).
Pour chaque application , ajouter la règle avec les paramètres suivants :

<Application> DNS Resolution:
Protocole UDP,
Port distant 53,
adresses distantes <les adresses DNS de votre FAI ou l'adresse routeur >,
Autoriser

Astuce La création de règles peut être simplifiée en éditant le fichier preset.lst
Pour ce faire > fermer connexion internet > fermer Outpost, ouvrir le fichier Preset.lst qui se trouve dans le programme Outpost et ajouter la règle suivante à la fin des autres règles > enregistrer alors les modifications

; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: <entrer les adresses IP du FAI, séparée par une virgule ou l'adresse du routeur>
AllowIt

attention : insérer une ligne blanche après AllowIt

Quand c'est fait, sélectionner l' application > clic droit > créer des règles en utilisant des paramètres définis > clic sur Application DNS resolution
Noter que ce changement dans preset.lst peut désactiver la mise à jour automatique de Outpost.


Mon commentaire : Si vous avez ajouté ces instructions dans preset.lst, il vous suffira de désactiver Autoriser résolution DNS (TCP et UDP) dans les règles générales. Dès ce moment, chaque fois qu'une application essayera de se connecter, Outpost vous avertira et vous proposera systématiquement d'autoriser la connexion avec comme paramétrage suggéré Application DNS resolution . que demander de plus ?

Considérations sur ces deux options DNS

N'importe laquelle de ces options peut être choisie, un autre cas doit être considéré : les questions de résolution de DNS utilisant TCP (Protocole de commande de transport) plutôt que le UDP (User Datagram Protocole).
Les requêtes employant le TCP sont rares et se produisent normalement pour des requêtes complexes - dans la pratique elles peuvent être bloquées puisque ceci semble avoir comme conséquence que les requêtes sont renvoyées vers le Protocole UDP. Par conséquent une règle globale indiquant ceci devrait être ajoutée

Bloquer DNS (TCP): Protocole TCP, En partance, Port distant 53, bloquer

Autoriser ceci est toutefois préférable, donc Autoriser (Global DNS) ou créer une seconde règle DNS pour chaque application utilisant des instances TCP ou UDP (Application DNS).

Activité possible de Trojan DNS

N'importe quelle requête DNS vers une autre adresse IP que celle du FAI doit être perçue comme suspecte et non autorisée sans investigations ( Une recherche avec la commande ipconfig /all dans une fenêtre DOS peut être utilisée pour vérifier si les adresses DNS du FAI ont changé , nécessitant alors une mise à jour de la règle DNS).

Pour renforcer ceci, si vous utilisez des DNS globaux, ajouter la présente règle générale après les autres règles DNS. la seconde est seulement nécessaire si les DNS TCP sont Autorisés:

Possible Trojan DNS (UDP):
Protocole UDP,
Port distant 53,
Bloquer

Possible Trojan DNS (TCP):
Protocole TCP,
Sortant,
Port distant 53,
Bloquer

Ceci renforcera et bloquera n'importe quelle tentative d'accès. Cette option n'est pas recommandée pour les applications DNS puisque des adresses légitimes de serveur de DNS doivent être exclues de ces règles pour éviter les fausses alarmes (par exemple quand une application ne possède pas encore de règles pour ses requêtes d'accès) .

D2 – Adresses spécifiques serveur DHCP

DHCP (Dynamic Host Configuration Protocole) est la méthode utilisée par de nombreux FAI pour assigner des adresses IP dynamiques.
Depuis que le trafic DHCP a été utilisé pour autoriser les connexions au FAI, ce moyen est utilisé par des trojans quand ils essayent d'envoyer des données non détectées.
Ainsi, l'envoi d'un flux de requêtes DHCP à une adresse spécifique peut être considéré comme une attaque en Déni de service (DoS) .Pour de plus amples informations, consulter RFC 2131 - Dynamic Host Configuration Protocole.

Si votre système possède une adresse IP fixe (parce que vous êtes en réseau ou parce que utilisez un routeur qui donne une adresse dynamique ) , vous pouvez sauter cette section.
Pour savoir quel serveur DHCP est utilisé ou non, aller dans Démarrer > exécuter et taper cmd puis dans la fenêtre DOS , taper ipconfig /all .

La limitation de DHCP à un serveur spécifique est légèrement plus compliquée qu'avec le DNS parce que Outpost ne semble pas identifier toujours exactement la direction du trafic DHCP (en partie du fait de l'utilisation du Protocole UDP et en partie du fait du changement d'adresse IP qu'il peut impliquer).
Par conséquent la règle recommandée emploie des restrictions des ports locaux et distants ainsi que la direction.
En outre, la première demande DHCP envoyée est une émission à l'adresse 255.255.255.255 (qui devrait atteindre tous les serveurs sur le réseau local seulement) puisqu'au démarrage il n'y a aucune manière de savoir ce qu'est l'adresse de serveur de DHCP. D'autres demandes de DHCP (pour remplacer le bail de l'adresse IP ) seront adressées au serveur.
Les utilisateurs Windows 2000 et XP peuvent limiter DHCP plus loin en permettant seulement des connexions avec la règle globale et en employant une règle d'application pour les autres demandes (services.exe pour Windows 2000, svchost.exe pour Windows XP). Consulter la section E2 pour plus de détails sur les règles pour les applications.

Avantage: Prévention des abus de permissions DHCP .
Inconvénient: Lors d'utilisation de plusieurs FAI , chaque FAI doit avoir des adresses séparées qui nécessitent d'être reprises dans le paramétrage.
Instructions:
Trouver l'adresse IP du serveur DHCP en utilisant la commande ipconfig /all comme décrit dans les règles DNS . Noter que cela n'est pas nécessairement la même que celle du serveur DNS.

Création des règles pour Windows 9x/ME:

Autoriser les requêtes DHCP : Protocole UDP, Adresse distante: <adresse serveur FAI>, 255.255.255.255, Port distant BOOTPS, Port Local BOOTPC, Autoriser

Pour les utilisateurs Windows 2000/XP :

Autoriser émissions DHCP : Protocole UDP, Adresse distante 255.255.255.255, Port distant BOOTPS, Port Local BOOTPC, Autoriser

Depuis que les adresses du serveur DHCP peuvent changer, il est recommandé d'essayer de neutraliser l'entrée « adresse distante" de ces règles si des problèmes de renouvellement du bail des adresses IP se produisent. Si un renouvellement de bail peut alors être fait, vérifier et mettre à jour (au besoin) l'adresse de serveur de DHCP avant de permettre à nouveau à cette règle .
Les serveurs DHCP sont moins appréciés des réseaux cependant, employer une adresse IP réseau (par exemple 192.168.2. *) devrait être une méthode efficace pour réduire ce problème.

D3 – Désactiver la règle "Autoriser Loopback"

La règle globale "Autoriser Loopback" comprise dans la configuration par défaut présente un risque sécurité significatif pour ceux qui utilisent des serveurs proxy comme AnalogX Proxy, Proxomitron, WebWasher et quelques anti-spam/antivirus parce qu'elle autorise toutes les applications non spécifiquement bloquées en accès à internet par les règles du proxy. Désactiver ou supprimer cette règle enlève cette possibilité.

Avantage : Protéger les règles du serveur proxy d'un exploit par un programme malicieux.
Inconvénients : Chaque application utilisant un serveur proxy nécessite une règle spécifique pour autoriser sortie du proxy (celle proposée par le tuteur de règles est suffisante dans la majorité des cas.)
Instructions:
Dans Options/Système/Règles générales > décocher la case « Autoriser loopback.



D4 – Désactiver les règles globales non nécessaires

Certaines règles globales peuvent ne pas être appropriées et dès lors désactivées en décochant la case. Ceci comprend :
Autoriser identification entrante - c'est une simple, incertaine, et par conséquent rarement utilisée, méthode de vérifier le propriétaire d'un raccordement de réseau. Si on l'exige, alors l'enlèvement de ceci peut causer un retard dans la connexion de quelques serveurs d'email ;
Autoriser Protocole GRE , Autoriser connexion de contrôle PPTP – celles-ci sont nécessaires pour le Virtual Private Networks (VPNs) utilisé dans le Protocole Point-to-Point Tunneling. Si ce n'est pas votre cas, ces règles peuvent être désactivées.
Avantage : Prévenir autant que possible un exploit utilisant ces protocoles.
Inconvénient : Bloquer l'identification entrante peut provoquer un retard dans le rapatriement des emails (Dans ce cas, autoriser cette règle , ajouter le serveur mail comme Site distant).
Instructions:
Dans Options/Système/Règles générales/Règles > décocher les cases devant ces règles.



D5 – Bloquer les Protocoles inusités ou inconnus

Des règles globales peuvent être définies pour le Protocole Internet (IP) aussi bien pour les Protocoles TCP que UDP. Pour IP, une longue liste d'éventualités est possible et il est conseillé de tout bloquer avec les exceptions suivantes :
ICMP (1) - ceci est traité par l'intermédiaire des paramètres ICMP ;
IGMP (2) - ceci est employé pour des multicasts (par exemple video), si ceux-ci sont légitimes, ne pas bloquer ;
ESP (50) et AH (51) – ceux-ci sont nécessaires pour IPSec so VPN (Virtual Private Network) > ne pas bloquer.
Les utilisateurs de sociétés doivent lire attentivement cette liste car quelques options peuvent être nécessaires pour le trafic réseau.

Une règle globale peut être définie pour se protéger des Protocoles inconnus (qui peuvent inclure certains comme IPX ou NetBEUI) .

Avantage : Prévenir les exploits utilisant ces Protocoles.
Inconvénients : Etant donné la manière dont Outpost construit ses règles , ces changements peuvent de manière significative augmenter la quantité de traitements , particulièrement pour des utilisateurs travaillant en réseau.
Instructions:

Protocoles inutilisés
Dans Options/Système/Règles générales/Règles;
Clic sur « Ajouter » pour créer une nouvelle règle;
Cocher « Où le Protocole est : IP » ;
Clic sur type Non défini > une fenêtre avec une série de Protocoles IP s'ouvre;
Cocher la case devant chaque Protocole non utilisé > clic OK;
Cocher alors Bloquer > donner un nom à la règle > OK.
Protocoles inconnus
Dans Options/Système/Règles globales/Règles;
Clic sur « Ajouter » pour créer une nouvelle règle;
Cocher la case « Où le Protocole spécifié est » : Choisir Inconnu > OK
Clic sur Bloquer > donner un nom à la règle> OK.



E – Règles d'Applications
Options/Applications

E1 – Supprimer les entrées dans le groupe « Applications sécurisées » .

Même lorsque les applications ont le besoin légitime d'accès d'Internet, fournir ceci sans restriction est généralement imprudent.
Quelques applications peuvent demander plus de raccordements que nécessaire (gaspillant la largeur de bande), d'autres peuvent avoir une fonctionnalité « Téléphoner maison » qui pourrait avoir des implications de sécurité. Pour cette raison, il faut transférer ces applications dans le groupe « Applications Partiellement autorisées » .

E2 – Les applications partiellement autorisées

L'option de la configuration automatique de Outpost créera des règles par défaut pour tous les programmes qu'elle surveille.
Cependant ces règles par défaut sont créées avec l'intention de faciliter l'utilisation et peuvent donc être restreintes pour la plupart des personnes.
De quelle manière décider quel accès autoriser ou non est assurément la partie la plus difficile de la configuration du pare-feu et sera personnelle à chacun .
Pour faciliter le paramètrage, un code couleur sera utilisé par règles.

Les recommandations seront en rouge
Les suggestions en bleu
Les règles optionnelles en vert

Si l'option Application DNS détaillée dans la section D1 (b) est utilisée, alors chaque application a besoin de la règle DNS ajoutée.
Noter que ces règles d'application prennent le pas sur les règles globales, comme détaillé dans la FAQ http://www.outpostfirewall.com/forum/sh ... eadid=8394 .

Notes à propos de l'utilisation des noms de domaine dans les règles
Quand un nom de domaine est fourni comme adresse locale ou distante, Outpost recherchera immédiatement l'adresse IP correspondante (et exige l'accès au serveur DNS pour ce faire). Si ce domaine change plus tard l'adresse, la règle ne sera pas mise à jour automatiquement - le nom de domaine doit être resaisi. Considérez cette possibilité si une application ou une règle globale comprenant des noms de domaine ne semble plus fonctionner.

Quelques domaines peuvent avoir des adresses multiples d'IP – Outpost trouvera toutes ces adresses quand une règle est créée par l'intermédiaire des options/applications mais pas quand elle est créée en utilisant le message de sollicitation de l'assistant de règles. Par conséquent, avec des règles créées par l'assistant de règles, resaisissez le nom de domaine en utilisant options/application pour être certain que toutes les adresses sont reconnues.

Astuces sécurité

Svchost.exe (Windows XP)

Svchost.exe est un cas maladroit - il exige un accès Internet afin d'effectuer la gestion de réseau de base, mais lui donner le plein accès laissera des systèmes vulnérables aux exploits de RPC comme les vers Blaster et Welchia/Nachi.
Créer un paramétrage approprié pour cette application est donc d'importance critique.


Autoriser DNS (UDP)
clic droit sur svchost.exe > modifier les règles > Ajouter > dans la fenêtre qui s'ouvre, saisir :
Protocole : UDP
Port distant 53
Adresse distante <adresses DNS du FAI séparée par une virgule ou adresse IP du routeur>,
Autoriser
OK

Autoriser DNS (TCP):
Protocole TCP,
Sortant
Port distant 53
Adresse distante <adresses DNS du FAI séparée par une virgule ou adresse IP du routeur>,
Autoriser
OK
Quand ces règles sont établies, clic sur « monter » pour amener ces règles en première position
Clic sur Appliquer

Possible Trojan DNS (UDP): Protocole UDP, Port distant 53, Bloquer
Possible Trojan DNS (TCP): Protocole TCP, En partance, Port distant 53, Bloquer


Règles DNS - voir section D1 pour plus de détails. Pas nécessaire si le service windows DNS Client n'est pas désactivé
Comme seulement une règle TCP est requise ici, il faut l'autoriser;
Depuis que des trojans essayent de déguiser leur trafic comme DNS, il est recommandé de considérer toutes les tentatives de connexions autres que sur votre FAI comme malicieuses .

Bloquer Entrant SSDP: Protocole UDP, Local Port 1900, Bloquer
Bloquer Sortant SSDP: Protocole UDP, Port distant 1900, Bloquer

Cette règle bloque « Simple Service Discovery Protocole » (SSDP) qui est utilisé pour trouver les dispositifs « Universal Plug and Play » (UPnP) sur le réseau local. Depuis que UPnP a présenté de multiples problèmes de sécurité , il est préférable de le désactiver tant qu'il n'est pas absolument nécessaire. Il suffit alors de l'autoriser. Si la règle "Bloquer autres UDP" est incluse, elle protège SSDP . Pour cette raison, ces règles sont des suggestions.

Bloquer entrées UPnP: Protocole TCP, En arrivée, Port local 5000, Bloquer
Bloquer sorties UPnP: Protocole TCP, En partance, Port distant 5000, Bloquer

Ceci va bloquer les paquets UPnP - en fonction des règles SSDP ci-dessus, si vous avez absolument besoin de UPnP alors choisir Autoriser mais ajouter les adresses IP du FAI ou du routeur dans Adresses distantes.

Bloquer RPC (TCP): Protocole TCP, En arrivée, Port local 135, Bloquer
Bloquer RPC (UDP): Protocole UDP, Port Local 135, Bloquer

Ceci est une copie des règles générales qui bloquent le trafic RPC/DCOM . Elles ne sont pas indispensables mais doivent être considérées comme une protection supplémentaire. Si un accès RPC/DCOM est nécessaire, alors choisir Autoriser mais uniquement vers des adresses distantes fiables.

Autoriser requêtes DHCP : Protocole UDP, Adresse distante <adresses DHCP du FAI >, Port distant BOOTPS, Port Local BOOTPC, Autoriser
Règle DHCP - consulter la section D2 pour plus de détails (noter que ce n'est pas nécessaire si l'adresse IP est statique ). C'est nécessaire ici depuis que svchost.exe est responsable des consultations DHCP - les règles globales de DHCP n'hériteront pas des règles « bloquer autre TCP/UDP » .

Autoriser « Autoriser Help Web Access »: Protocole TCP, Sortant, Port distant 80, 443, Autoriser
L'aide Windows peut avoir besoin d'un accès Web en utilisant svchost.exe pour quelques fonctions – Si vous n'utilisez pas l'aide , bloquer cette règle.

Autoriser Time Synchronisation: Protocole UDP, Port distant 123, Adresse distante: time.windows.com, time.nist.gov, Autoriser
Utiliser pour la « time synchronisation » - Inclure cette règle uniquement si vous utilisez ce service de Windows XP. A déconseiller

Bloquer Other TCP Traffic: Protocole TCP, Sortant, Bloquer
Bloquer Other TCP Traffic: Protocole TCP, Entrant, Bloquer
Bloquer Other UDP Traffic: Protocole UDP, Bloquer

Entrer ces règles en dernier – elles préviennent les multiples Assistants de règles pour des services indéfinis. Toute autre règle doit être ajoutée avant celles-ci .

Les utilisateurs d'entreprises peuvent consulter http://support.microsoft.com/default.as ... -us;832017 pour des détails sur d'autres ports qui peuvent être autorisés pour des services système.


Services.exe (Windows 2000 )

Autoriser DNS (UDP):
Protocole : UDP
Port distant 53
Adresse distante <Adresses DNS de votre FAI ou celle du routeur>,
Autoriser

Autoriser DNS (TCP):
Protocole TCP
Sortant
Port distant 53
Adresse distante <Adresses DNS de votre FAI ou celle du routeur>,
Autoriser


Possible Trojan DNS (UDP): Protocole UDP, Port distant 53, Bloquer
Possible Trojan DNS (TCP): Protocole TCP, Sortant, Port distant 53, Bloquer

Règles DNS - consulter la section D1 pour plus de détails. Elles sont nécessaires uniquement si le service Client Service n'est pas désactivé,
Une seule règle TCP est nécessaire ici, cocher Autoriser;
Comme avec la règle svchost plus haut, les règles « de Trojan possible » rendent compte de l'accès de DNS à d'autres adresses .

Autoriser Requêtes DHCP : Protocole UDP, Adresse distante <Adresse du serveur DHCP du FAI>, Port distant BOOTPS, Port Local BOOTPC, Autoriser
Règle DHCP – consulter la section D2 pour plus de détails (noter que cette règle n'est pas nécessaire si des adresses statiques sont utilisées en réseau local . Elle est nécessaire ici pour la même raison que donné ci-dessus dans svchost.exe.

Bloquer Other TCP Traffic: Protocole TCP, Sortant, Bloquer
Bloquer Other TCP Traffic: Protocole TCP, Entrant, Bloquer
Bloquer Other UDP Traffic: Protocole UDP, Bloquer

Entrer ces règles en dernier – elles préviennent les multiples Assistants de règles pour des services indéfinis. Toute autre règle doit être ajoutée avant celles-ci.

Comme pour svchost.exe les utilisateurs professionnels peuvent consulter http://support.microsoft.com/default.as ... -us;832017 pour des détails sur d'autres ports qui peuvent être autorisés pour des services système.


A+ Image
Dernière édition par Jim Rakoto le 15 Mar 2006, 18:53, édité 1 fois.
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 26 Juil 2005, 15:42

Bonjour,

Waouw, sacré boulot, merci Jim.

J'ai mis ce tuto de côté, il semble costaud, et je le lirais quand je serais plus sûr de moi et que j'en saurais un peu plus...la prudence est mère de nombreuses vertus.

J'ai Outpost Firewall Pro ver. 2.7.485.5401 (412) , je suis seul à utiliser mon PC et je ne suis pas connecté en réseau, cela fait bientôt 2 ans que j'utilise Outpost, et jamais l'ombre d'un problème, 2 ou 3 attaques bien bloquées, pas de véroles ni chevaux de Troie, je suis très prudent sur le Net et avec ma messagerie, alors je me demande si ce tuto est vraiment utile pour une config comme la mienne ?

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Jim Rakoto » 26 Juil 2005, 19:09

Salut

Etant donné ce que tu écris, pas besoin de pousser le bouchon aussi loin.

S'il fallait vraiment faire qq chose :
- désactiver la détection automatique dans les paramètres LAN puisque tu n'as pas de réseau.
- bloquer les dns dans autoriser résolution dns TCP et UDP dans règles générales sur les dns de ton FAI.

Vérifier les services repris dans svchost.exe et bloquer les inutiles. mais s'ils sont déjà désactivés avec XPantispy, SafeXP ou Zebprotect, pas besoin de plus.

Pour moi le plus important dans toute connexion, c'est de passer par un compte utilisateur avec droits réduits, soit par création d'un compte limité, soit en utilisant Dropmyrights. Là, il n'y a plus bcp de possibilités pour les saloperies.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 27 Juil 2005, 04:42

Salut Jim,

Voilà, c'est fait, je viens d'appliquer strictement ce que tu m'as dit de faire sous Outpost, mais j'ai quand même fait un Ghost au cas où... :D même si je ne sais pas trop à quoi ça sert en matière de sécurité, il n'y a que pour la désactivation de la détection automatique du réseau dans les paramètres LAN que j'ai capté, mais pour ce qui est des bidules DNS TCP et UDP...

J'ai Zebprotect, XP-Antispy et Safe-XP d'installés et de configurés...pas de soucis donc. C'est donc OK pour les svchost.exe.

Muchas gracias compañero !

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Jim Rakoto » 27 Juil 2005, 08:38

Salut

Pour les dns, faisons simple.
Tu as certainement déjà vu dans les logs HJT que des saloperies (coolwebsearch notamment qui détourne également des services Windows d'où l'utilité de fermer les services inutiles) installent des adresses dns sur lesquelles le pc hijacké se connecte à l'insu du propriétaire.
En bloquant "Autoriser résolution des dns" sur les dns du FAI en hôte distant, Outpost bloquera toute tentative de connexion sur d'autres dns que celles, légitimes, indiquées.

Et comme une règle Application est plus forte qu'une règle générale, le tuto "renforcer la sécurité" prévoit de travailler directement sur les paramètres qui proposent des règles Applications en créent une règle Application qui bloque les dns sur le FAI, notamment pour svchost.exe, cible privilégiée des CWS.

Voilà, voilà

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 27 Juil 2005, 14:10

Salut,

Ben quand c'est expliqué comme ça, tout devient clair comme de l'eau de roche.

J'ai configuré Outpost d'une manière adéquate maintenant et les CWS iront chez mon voisin dorénavant :Mouaaarrrrffffffff: .

Merci encore de ta patience.

Bonne journée.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Adresses DNS du FAI

Messagede Charpy » 26 Aoû 2005, 21:38

Bonjour,

Tout d'abord un grand merci Jim pour la qualité des informations et des réponses que vous apportez à ce forum OUTPOST.
Votre aide est très précieuse surtout pour les novices comme moi.

Bien que débutant, je vais essayer de participer à ce forum en apportant quelques compléments d’information à votre post (en tout modestie !) ou plutôt donner mon retour d’expérience.
(Pour info, j’ai mis 3 mois avant de faire fonctionner ma première règle d’application qui concernait svchost.exe)

Section D1 de votre post :
Pour trouver les adresses DNS de son FAI, il faut effectivement taper ipconfig/all mais au préalable il faut se connecter à Internet pour que les adresses apparaissent.
Mais, attention, ces adresses ne sont pas utilisables pour créer des règles d’application (section E du post) si elles sont générées automatiquement lors de la connection à Internet. Pour le savoir, il faut regarder si la case « obtenir les adresses des serveurs DNS automatiquement » est cochée (allez dans demarrer/connexion./connection ADSL/Gestion de réseau/Protocole Internet TCP-IP/Propriété). Vous pouvez également essayer de vous déconnecter et de vous reconnecter à Internet pour voir si les adresses DNS ont changés.
Pour corriger ce problème, il faut entrer manuellement les adresses DNS de son FAI. Pour cela, il faut cocher la case « utiliser les adresses de serveur DNS suivantes » et enregistrer les adresses DNS primaire et secondaire de son FAI (une liste est disponible sur le site assiste.com).
Si les adresses sont correctes vous devez normalement pouvoir vous connecter à Internet. Vous constaterez également en tapant à nouveau la commande ipconfig/all que les adresses que vous venez d’enregistrer apparaissent.

Bilan pour éviter de devenir chauve après 3 mois de galère :
- connectez vous avant de taper la commande ipconfig/all
- entrer des adresses DNS fixe pour son FAI.

Attention, a façon de faire est peut-être à améliorer ? place aux experts ??

Bonne soirée à tous.
Charpy
 

Messagede Jim Rakoto » 27 Aoû 2005, 16:47

Salut

Merci pour ce complément utile. Je vais voir comment l'insérer dans le tuto.

Plusieurs FAI ont des adresses DNS qui sont fixes.
C'est ainsi que dans mon routeur, j'ai désactivé "obtenir automatiquement adresses DNS" et je les ai saisies manuellement.

C'est une autre façon de protéger ses connexions pour ceux qui utilisent un routeur.

Je vais voir quels sont les FAI classiques qui ont des adresses DNS non-fixes.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Tuto renforcer la securité d'Outpost

Messagede curepipe » 10 Fév 2006, 23:55

Bonsoir,
Ce tuto est-il toujours d'actualité avec la version 3.5 ?
Merci
curepipe
 
Messages: 8
Inscription: 26 Juin 2005, 22:33
Localisation: FRANCE

Messagede Jim Rakoto » 11 Fév 2006, 08:53

Salut

édité

Il faudra un peu de temps pour que les différentes modifications "remontent" en commentaires.
Agnitum a amélioré plusieurs points.

Des règles automatiques sont créées (256 dans la base de données) il faut donc voir quelles sont ces règles avant de savoir s'il faut les durcir.

Je vais donc me brancher sur le forum d'Outpost pour "lire les nouvelles"

A+

Edité : ben non, il semble y avoir problèmes

Note: If you have followed the setup instructions in A Guide to Producing a Secure Configuration for Outpost for Application DNS, then this will not be practical under 3.5 since it has removed support for user-created or modified preset rules. While existing configurations will work, users with this setup should consider remaining with their current version of Outpost and contacting Agnitum to request this feature be reinstated.

Note 2: Beta-testers have reported issues which have yet to be fixed in the released version and some do not consider this as being ready for release. Please check the Known Issues list at the end and only install 3.5 if the extra features are likely to outweigh the reported problems.

Note 3: The rules auto-creation feature has been found to have potentially serious security implications, sometimes creating non-removable rules if the Allow Once option of a Rules Wizard popup is selected. This means that rules could be created unintentionally so it is strongly recommended that this feature be disabled (Options/Policy/Do not create rules automatically).
http://www.outpostfirewall.com/forum/sh ... hp?t=16486
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy


Retourner vers OutPost Firewall

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité