Propos et Commentaires du Climenole

LnS - Jeu de règles à importer

Comment créer des règles pour vos applications - troisième partie

1- Résumé de l’article précédent

Nous avons déjà vu dans l’article précédent qu’il est possible d’utiliser les entrées du journal pour déterminer les règles pour une application. Dans les cas les plus faciles cela peut se faire directement avec le journal tel qu’il se présente dans l’onglet “Journal” de Look’n'Stop sinon en utilisant le format brut du journal avec un chiffrier. Cette dernière méthode permet de choisir plus facilement les éléments à conserver, de trier les colonnes pour regrouper les données et obtenir un aperçu ordonné des traces laissées par une application au cours des connexions. Bref il faut:

  1. Créer une règle temporaire sans restrictions pour l’application à surveiller
  2. Placer cette règle immédiatement après la règle pivot
  3. Utiliser le programme en essayant toutes ses fonctions
  4. Utiliser un chiffrier pour ne conserver que les lignes de TEST et les trier
  5. Créer un jeu de règles de test à partie des résultats de la “phase 1″ du test
  6. Conserver la première règle TEST comme “garbage collector” durant la “phase 2″
  7. Recommencer à partir de l’étape 3 et rafinez vos règles.

2- La méthode d’élaboration des règles et les applications P2P

La méthode est relativement facile à utiliser avec la plupart des applications. Dans le cas d’applications “purement” serveur, la règle de test devrait évidemment être placée avant la règle pivot. Toutefois il serait surprenant que cela soit nécessaire; les ports locaux utilisés par le serveur sont parmis les ports “bien connus”.

Un problème se pose par contre pour les applications P2P, celles-ci étant à la fois des applications clientes ET des applications serveur. Comment alors déterminer les règles “serveur” devant être placées avant la règle pivot et les règles “clientes” placées après?

Voici comment faire:

  1. Créez une règle de Test “client” et positionnez-la comme nous l’avons déjà vu.
  2. Créez une règle de Test “serveur” exactement identique mais cette fois-ci positionnez-la immédiatement avant la règle pivot.
  3. Utilisez votre programme. Vous allez remarquer que seule la règle de Test “serveur” est utilisée, l’autre n’étant pas prise en compte…
  4. Désactivez la règle de Test “serveur” vous allez constater que cette fois-ci seule la règle de Test “client” est prise en compte ET que vous avez des blocages signalés par la règle pivot. C’est exactement ce que nous voulions!

Les captures d’écran vont vous permettre de comprendre de quoi il s’agit.

Les deux règles de Test sont activées et le programme est mis à l’essai.

Test-Shareaza-02

Ce qui nous donne ces entrées au journal:
Test-Shareaza-01

puis la règle de Test “Serveur” est désactivée et cela occasionne des blocages.
Test-Shareaza-03

Ce qui donne en fin de compte les données suivantes: Test-Shareaza-04

La partie A indiquée en mauve comprend toutes les entrées mais sans que nous sachions s’il s’agit de la partie cliente ou serveur. Par contre nous connaissons déjà les ports utilisés: 6346, 6347, 6348 puis des ports de la gamme 1024-5000, enfin des ports hors de cette gamme.

La partie B indiquée en bourgogne signale les blocages après avoir désactivée la règle Test “serveur”. Nous obtenons de cette façon ce que nous voulions savoir: quel est le port local utilisé par la partie serveur: 6346 en TCP. Notez que parmi les ports bloqués par la règle pivot, seuls ceux indiqués ici dans la partie A doivent être pris en compte. Des blocages sur les ports 135, 445 ou autre ne doivent pas être pris en comptes puisqu’ils ne sont pas reliées à ceux utilisés par l’application surveillée.

Les parties C en vert et D en marine nous donnent les ports utilisés par la partie cliente une fois le blocage activé: 6346 en TCP et UDP.

Nous avons donc obtenus rapidement toute une série d’indications sur les port utilisés en local et en distant, avec quels protocoles et s’il s’agit de la partie cliente ou serveur. Nous avons donc tous les éléments nécessaires pour élaborer un premier jeu de règles qui pourront par la suite être testées et rafinées sans trop de problèmes avec la méthode connue: d’abord des règles pas trop restrictives, puis une autre phase de test et enfin la rédaction des règles définitives.

3- En guise de conclusion temporaire…

Ainsi s’achève cette série d’articles sur Look’nStop. Si ces articles vous ont permis de mieux connaître les protocoles internets et les possibilités de filtrage et de surveillance de Look’n'Stop mon objectif principal sera atteint: vous permettre de maîtriser un des meilleurs pare-feu à règles pour Windows.

4- Jeu de Règles pour télécharger et importer dans Look’n'Stop

Voici quelques règles à télécharger. Vous pouvez les essayer telles quelles, les modifier ou vous en inspirer pour en créer de meilleures. Ces règles sont publiées sous une licence Creative Common. Merci de respecter les termes de cette licence.

Creative Commons License
Cette création est mise à disposition sous un contrat Creative Commons.

Jeu de règlesClimenole version 1

règles climenole version 1 <<== (Enregistrez la cible du lien sous…)

Le nouveau jeu de règles “climenole version 3″ est disponible sur le forum officiel de Look’n'Stop:

Jeu de Règles Climenole Version 3 Français

MISE à JOUR 28 juin 07:

Jeu de Règles Climenole Version 3.01 Français

The new climenoles rules set version 3 is available at the official Look’nStop forum:

Climenole’s Rules Set Version 3 English

UPDATE June the 28th , 07:

Climenole’s Rules Set Version 3.01 English

Notes de version:

Disponibles sur le forum de Look’nStop

;)

.

5- Autres ressources

La FAQ de Look’n'Stop
Le Forum de Look’n'Stop


11 commentaires »

  1. Salut Climenole …

    J’ai longtemps chercher un tuto pour Look’n’stop, et bien avec le tiens je suis servie vraiment rien a dire sur la qualité de ton taf, a part Merci… ;o) bravo.!!

    Commentaire par ZameZame — 2006/07/25 @ 6:16

  2. Salut ZameZame :)

    Bien content que mon tuto sur LNS te soit utile. Pour des éclaicissments ou des questions tu peux utiliser les commentaires ou pour des questions plus élaborées, le forum de LNS dont tu as le lien à la fin de l’article LNS 6.

    Merci et bonne journée.
    :)

    Commentaire par climenole — 2006/07/25 @ 9:43

  3. hi, sorry i cant understand =)
    can anyone tell where to read such a lot info in English please? thanks

    Commentaire par ss — 2006/07/28 @ 13:23

  4. Hi SS :)

    In English? Well… may be I’ll translate my articles about LNS
    but for the moment I’m too lazzy…

    You may start with Wikipedia and the TCP-Ip …

    Have a nice day :)

    Commentaire par climenole — 2006/07/28 @ 14:16

  5. super boulot , j’usqu’à présent j’utilisais les regles de Phant0m sans rien y comprendre et enfin je tiens un début d’explication clair. A la lecture de ton article je m’en vais m’inspirer de ton travail pour contruire un jeu adapté a mon instalation : 1 PC + Neufbox.
    Par contre je suppose que ton jeu de regle ne s’applique pour un modem adsl simple et malheureusement aujourd’hui en france avec devellopement de l’adsl+ (8M à 20M), les fournisseurs d’acces internet on tendance a refiler a tout le monde des modem-ROUTEUR et conseille de relier le PC par le biais du cable reseau (l’usb ralentissant la connexion).
    En l’état ton jeu de regles appliqué sur ma config (en modifiant juste la Résolution des noms E01 en : 192.168.1.2) bloque tout ! et justement du fait de la connexion reseau etabli entre le modem-routeur et le PC sous une ip de 192.168.1.2, et donc je dois adaptés certaines regles comme j’imagine la B07 dans laquelle je dois exclure mon ip local : 192.168.1.2 de la restriction
    Bon ça marche toujours pas grave, peut etre je l’offre là une idée pour un prochain article : L&S et les modem-routeurs. Merci beaucoup en tout cas pour ton magnifique tutorial, grace a toi, je me coucherais moins bete ce soir.

    Commentaire par miz — 2006/10/16 @ 16:37

  6. Salut Miz :)

    «
    super boulot , jusqu’à présent j’utilisais les regles de Phant0m sans rien y comprendre et enfin je tiens un début d’explication clair. A la lecture de ton article je m’en vais m’inspirer de ton travail pour contruire un jeu adapté a mon instalation : 1 PC + Neufbox.
    »

    Merci de ton commentaire et bravo pour ton idée de contruire toi-même un jeu de règles adapté à la configuration de ton système.

    «
    Par contre je suppose que ton jeu de regle ne s’applique pour un modem adsl simple et malheureusement aujourd’hui en france avec devellopement de l’adsl+ (8M à 20M), les fournisseurs d’acces internet on tendance a refiler a tout le monde des modem-ROUTEUR et conseille de relier le PC par le biais du cable reseau (l’usb ralentissant la connexion).
    En l’état ton jeu de regles appliqué sur ma config (en modifiant juste la Résolution des noms E01 en : 192.168.1.2) bloque tout ! et justement du fait de la connexion reseau etabli entre le modem-routeur et le PC sous une ip de 192.168.1.2, et donc je dois adaptés certaines regles comme j’imagine la B07 dans laquelle je dois exclure mon ip local : 192.168.1.2 de la restriction
    »

    La règle “{B.07}; [EB]; IP Locales 192*” bloque les paquets entrants depuis internet avec cette adresse IP réservée en local (cette adresse IP réservée ne doit jamais être routée sur internet). Pour un modem routeur utilise des règles pour le DHCP.

    Tu dois ajouter 2 règles pour le DHCP en te basant sur les informations données par ipconfig.
    Démarrer | exécuter | cmd /k
    puis
    ipconfig /all

    Note l’adresse Ip (locale ) de ton PC et l’adresse IP (locale) du serveur DHCP puis ajoute les deux règles suivantes:

    1- Protocole UDP, paquets entrants et sortants
    Dans la partie de gauche
    Adresse: égale mon @IP
    Port 68

    Dans la partie de droite
    Adresse: égale
    inscrit l’adresse IP du serveur DHCP (en fait ton routeur… ;)
    port 67

    2- Protocole UDP, paquets entrants
    Dans la partie de gauche
    Adresse: égale
    inscrit l’adresse Ip de ton serveur DHCP
    port 67

    Dans la partie de droite
    Adresse: égale
    255.255.255.255 (l’adresse de diffusion)
    port 68

    Place ces 2 règles après la règle autorisant les requêtes DNS.
    Sauve le tout et redémarre le PC… Ça devrait aller avec peut-être quelques ajustements…

    «
    Bon ça marche toujours pas grave, peut etre je l’offre là une idée pour un prochain article : L&S et les modem-routeurs. Merci beaucoup en tout cas pour ton magnifique tutorial, grace a toi, je me coucherais moins bete ce soir.
    »

    Suggestion retenue. Des articles sont en préparation pour la version 2 des règles. Je vais y ajouter un topo sur les routeurs.

    :)

    Commentaire par climenole — 2006/10/16 @ 17:11

  7. Salut Climenole et mille merci pour ces explications très instructives ! Comme dit Miz, je me coucherai moins bête ce soir ^^
    Tout est bien plus clair à présent !

    Cependant je rencontre le même problème que Miz, derrière ma Livebox pour ma part, à savoir que tout est bloqué, même après avoir suivi les étapes pour créer les 2 règles pour le DHCP, et aussi modifié la règle {E.01}, [AA], DNS - Résolution des noms afin de mettre mon propre serveur DNS qui est 192.168.1.1

    La procédure est-elle différente selon si on utilise une Neufbox ou une Livebox (Inventel) ? Le tuto sur les routeurs dont tu parles est-il consultable à l’heure actuelle ? Si oui, où ?

    Ayant vraiment accroché sur la qualité de tes services, je reste tout ouï et je ne compte pas baisser les bras si prêt du but :P

    Merci.

    Commentaire par k3at0n — 2007/01/19 @ 20:20

  8. Salut k3at0n :)

    Pour la LiveBox ou tout autre bidule utilisant le DHCP il faut avoir des règles spécifiques…

    Ces règles peuvent se placer en début de liste ou après celle du DNS.

    Règles # 1

    Protocole UDP
    partie de gauche de l’édition de la règle:
    adresse IP : correspond à l’adresse IP locale de ton PC
    Par exemple = 192.168.0.2
    Port 68

    Partie de droite de l’édition de la règle:
    adresse IP : correspond à celle du serveur DHCP
    (tu obtient cette adresse avec la commande ipconfig /all comme ceci:
    démarrer | exécuter | cmd /k puis dans la fenêtre : ipconfig /all )
    Port 67

    Règle # 2

    Protocole UDP
    partie de gauche de la règle:
    adresse IP du serveur DHCP
    Port 67

    partie de droite de la règle:
    Adresse IP: 255.255.255.255
    (ceci est l’adresse Ip standard pour la diffusion ou broadcast)
    Port 68

    Sauve ces 2 règles et redémarre le PC.

    Le Tuto prévu pour les routeurs est remis à plus tard. De nouvelles exigences professionnelles me prennent plus de temps que prévu.

    Pour des questions/Réponses plus élaborées (avec la présence de d’autres utilisateurs de LNS) tu peux poser tes questions sur le forum officiel de LNS (que je “hante” de temps en temps… ;) )

    http://www.wilderssecurity.com/forumdisplay.php?f=29

    A+
    :)

    Commentaire par climenole — 2007/01/19 @ 20:36

  9. Ce sont bien les 2 règles que tu avais énoncées plus haut et que j’avais donc créées (hors mis pour mon adresse locale qui est 192.168.1.63 et que LnS me confirme sur la page d’accueil), mais le fait de les placer en début de liste ou juste après la règle des DNS n’a rien changé. J’ai peut-être un problème autre…

    Je vais donc m’orienter vers le forum sur ton conseil pour ne pas saturer cette page. Je pense que le fait d’avoir précisé le lien du forum évitera de voir d’autres boulets comme moi poster des questions ici (lol). Désolé et encore merci d’avoir répondu si rapidement ! ;-)
    Bon courage pour tes exigences professionnelles ^^

    Commentaire par k3at0n — 2007/01/19 @ 21:01

  10. Salut k3at0n :)

    Ok. On se revoit sur le forum. Ce sera plus facile d’échanger sur la question et d’utiliser des copies d’écran ou des envoi de log pour “débugger”…

    A+
    :)

    Commentaire par climenole — 2007/01/19 @ 21:34

  11. salut climénole et compagnie,

    alors ça avance la version PDF lol.
    Sinon pour les livebox, desactivé le DHCP en configurant tcp/ip ….

    boujou

    Commentaire par karim — 2007/01/23 @ 18:28

Flux RSS des commentaires de cet article. URI de Trackback

Ajouter un commentaire

Publié sur WordPress.