Règles pour Look ‘n’ Stop - partie 6
Comment créer des règles pour vos applications - troisième partie
1- Résumé de l’article précédent
Nous avons déjà vu dans l’article précédent qu’il est possible d’utiliser les entrées du journal pour déterminer les règles pour une application. Dans les cas les plus faciles cela peut se faire directement avec le journal tel qu’il se présente dans l’onglet “Journal” de Look’n'Stop sinon en utilisant le format brut du journal avec un chiffrier. Cette dernière méthode permet de choisir plus facilement les éléments à conserver, de trier les colonnes pour regrouper les données et obtenir un aperçu ordonné des traces laissées par une application au cours des connexions. Bref il faut:
- Créer une règle temporaire sans restrictions pour l’application à surveiller
- Placer cette règle immédiatement après la règle pivot
- Utiliser le programme en essayant toutes ses fonctions
- Utiliser un chiffrier pour ne conserver que les lignes de TEST et les trier
- Créer un jeu de règles de test à partie des résultats de la “phase 1″ du test
- Conserver la première règle TEST comme “garbage collector” durant la “phase 2″
- Recommencer à partir de l’étape 3 et rafinez vos règles.
2- La méthode d’élaboration des règles et les applications P2P
La méthode est relativement facile à utiliser avec la plupart des applications. Dans le cas d’applications “purement” serveur, la règle de test devrait évidemment être placée avant la règle pivot. Toutefois il serait surprenant que cela soit nécessaire; les ports locaux utilisés par le serveur sont parmis les ports “bien connus”.
Un problème se pose par contre pour les applications P2P, celles-ci étant à la fois des applications clientes ET des applications serveur. Comment alors déterminer les règles “serveur” devant être placées avant la règle pivot et les règles “clientes” placées après?
Voici comment faire:
- Créez une règle de Test “client” et positionnez-la comme nous l’avons déjà vu.
- Créez une règle de Test “serveur” exactement identique mais cette fois-ci positionnez-la immédiatement avant la règle pivot.
- Utilisez votre programme. Vous allez remarquer que seule la règle de Test “serveur” est utilisée, l’autre n’étant pas prise en compte…
- Désactivez la règle de Test “serveur” vous allez constater que cette fois-ci seule la règle de Test “client” est prise en compte ET que vous avez des blocages signalés par la règle pivot. C’est exactement ce que nous voulions!
Les captures d’écran vont vous permettre de comprendre de quoi il s’agit.
Les deux règles de Test sont activées et le programme est mis à l’essai.
Ce qui nous donne ces entrées au journal:
puis la règle de Test “Serveur” est désactivée et cela occasionne des blocages.
Ce qui donne en fin de compte les données suivantes: 
La partie A indiquée en mauve comprend toutes les entrées mais sans que nous sachions s’il s’agit de la partie cliente ou serveur. Par contre nous connaissons déjà les ports utilisés: 6346, 6347, 6348 puis des ports de la gamme 1024-5000, enfin des ports hors de cette gamme.
La partie B indiquée en bourgogne signale les blocages après avoir désactivée la règle Test “serveur”. Nous obtenons de cette façon ce que nous voulions savoir: quel est le port local utilisé par la partie serveur: 6346 en TCP. Notez que parmi les ports bloqués par la règle pivot, seuls ceux indiqués ici dans la partie A doivent être pris en compte. Des blocages sur les ports 135, 445 ou autre ne doivent pas être pris en comptes puisqu’ils ne sont pas reliées à ceux utilisés par l’application surveillée.
Les parties C en vert et D en marine nous donnent les ports utilisés par la partie cliente une fois le blocage activé: 6346 en TCP et UDP.
Nous avons donc obtenus rapidement toute une série d’indications sur les port utilisés en local et en distant, avec quels protocoles et s’il s’agit de la partie cliente ou serveur. Nous avons donc tous les éléments nécessaires pour élaborer un premier jeu de règles qui pourront par la suite être testées et rafinées sans trop de problèmes avec la méthode connue: d’abord des règles pas trop restrictives, puis une autre phase de test et enfin la rédaction des règles définitives.
3- En guise de conclusion temporaire…
Ainsi s’achève cette série d’articles sur Look’nStop. Si ces articles vous ont permis de mieux connaître les protocoles internets et les possibilités de filtrage et de surveillance de Look’n'Stop mon objectif principal sera atteint: vous permettre de maîtriser un des meilleurs pare-feu à règles pour Windows.
4- Jeu de Règles pour télécharger et importer dans Look’n'Stop
Voici quelques règles à télécharger. Vous pouvez les essayer telles quelles, les modifier ou vous en inspirer pour en créer de meilleures. Ces règles sont publiées sous une licence Creative Common. Merci de respecter les termes de cette licence.
Cette création est mise à disposition sous un contrat Creative Commons.
Jeu de règles “Climenole version 1 “règles climenole version 1 <<== (Enregistrez la cible du lien sous…)
Le nouveau jeu de règles “climenole version 3″ est disponible sur le forum officiel de Look’n’Stop:
Jeu de Règles Climenole Version 3 Français
MISE à JOUR 28 juin 07:
Jeu de Règles Climenole Version 3.01 Français
The new climenoles rules set version 3 is available in the official Look’nStop forum:
Climenole’s Rules Set Version 3 English
UPDATE June the 28th , 07:
Climenole’s Rules Set Version 3.01 English
Notes de version:
Disponibles sur le forum de Look’nStop
[Attention aux "fakes"... 
]
Mise à jour 27 juin 2006 21:25 EST
Effectivement des fakes sont en circulation et identifiées à mes règles.
MISE EN GARDE IMPORTANTE
De Fausses “Règles Climenoles” en circulation sur les réseaux P2P
Des Règles Climenole … et des FAUSSES!
5- Autres ressources
La FAQ de Look’n'Stop
Le Forum de Look’n'Stop
A+
