J'ai déjà posté ce mot hier, mais ne le voyant pas arriver sur le
forum, je le re-poste.
Excusez moi s'il finit par arriver en double !
Je viens d'apprendre que Kerio 2.1.5, qui passait (notamment sur ce
forum) pour être le meilleur choix, laisse passer les paquets
fragmentés sans les voir, et peut donc se révéler une passoire (cf plus
bas)
Du coup, quel pf peut être conseillé, qui soit à la fois
- gratuit
- paramétrable
- contrôle entrant et sortant (donc pas le pf de Win XP...)
- efficace (donc pas kerio 2.1.5...)
Merci de vos avis
- motivés
- éclairés
- et documentés.
Pour ce qui est du pb de Kerio, voila le test très simple que l'on m'a
suggéré... et dont le résultat fait peur :
- Créer une règle Kerio qui interdise tout le ICMP entrant (donc les
retours de ping), et mettre cette règle en premier
- ping qui_vous_voulez : aucun retour, "délai d'attente dépassé". OK,
donc.
- ping -l 5000 qui_vous_voulez : oh horreur, ça passe ! (le paramètre
-l en forçant une taille de paquet au dessus du MTU a obligé à
fragmenter...)
Plus grave encore : ne mettez même pas cette règle, mais avec l'icône
de la systray, faites le choix "Arreter le trafic"
Même dans ce cas, le ping fragmenté part et revient très bien...
Ça dépend de ton ISP, certains ont tendance à modifier leur serveurs DNS très souvent et/ou sans prévenir les utilisateurs.
Oui, effectivement j'avais déjà noté que les adresses du smtp et du pop avaient été changées (je suis chez free) Je viens de refaire un paramétrage avec les dns attribués aujourd'hui par dhcp, cela à l'air de fonctionner. On va voir combien de temps cela tient ! Merci.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
"JacK [MVP]" <ihatespam@wanamou.fr> a écrit dans le message de news:
mn.3d327d536c942059.26509@wanamou.fr...
'lut,
Ça dépend de ton ISP, certains ont tendance à modifier leur serveurs DNS
très souvent et/ou sans prévenir les utilisateurs.
Oui, effectivement j'avais déjà noté que les adresses du smtp et du pop
avaient été changées (je suis chez free)
Je viens de refaire un paramétrage avec les dns attribués aujourd'hui par
dhcp, cela à l'air de fonctionner.
On va voir combien de temps cela tient !
Merci.
--
http://www.optimix.be.tf MVP Windows Security http://websecurite.org
http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK
Ça dépend de ton ISP, certains ont tendance à modifier leur serveurs DNS très souvent et/ou sans prévenir les utilisateurs.
Oui, effectivement j'avais déjà noté que les adresses du smtp et du pop avaient été changées (je suis chez free) Je viens de refaire un paramétrage avec les dns attribués aujourd'hui par dhcp, cela à l'air de fonctionner. On va voir combien de temps cela tient ! Merci.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Laurent Jumet
Hello !
"Fred" wrote:
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses rentrer "0", "3" et "11". Le reste tu bloques dans les deux sens.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello !
"Fred" <nospam@nospam.net> wrote:
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu
F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et
F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme
F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle
F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien,
F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In,
F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage
F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses
rentrer "0", "3" et "11".
Le reste tu bloques dans les deux sens.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses rentrer "0", "3" et "11". Le reste tu bloques dans les deux sens.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Fred
"Laurent Jumet" a écrit dans le message de news:
Hello !
"Fred" wrote:
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses rentrer "0", "3" et "11". Le reste tu bloques dans les deux sens.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Merci Laurent, C'est ce que j'ai fait hier soir suite aux différents échanges sur ce fil. J'avais complètement bloqué l'ICMP dans tous les sens (pour simplifier) lorque j'avais créé mes règles il y a quelques temps maintenant. A vrai dire, le ping ne m'avais jamais manqué depuis ! Maintenant tout fonctionne parfaitement au cas où !
"Laurent Jumet" <1st_NAME.Lst_NAME@skynet.be> a écrit dans le message de
news: GED422D5F6D@1st_NAME.Lst_NAME.skynet.be...
Hello !
"Fred" <nospam@nospam.net> wrote:
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu
F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et
F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme
F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une
règle
F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien,
F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In,
F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage
F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses
rentrer "0", "3" et "11".
Le reste tu bloques dans les deux sens.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Merci Laurent,
C'est ce que j'ai fait hier soir suite aux différents échanges sur ce fil.
J'avais complètement bloqué l'ICMP dans tous les sens (pour simplifier)
lorque j'avais créé mes règles il y a quelques temps maintenant. A vrai
dire, le ping ne m'avais jamais manqué depuis ! Maintenant tout fonctionne
parfaitement au cas où !
F> Bien que tout à fait d'accord avec le principe du IN et du OUT que tu F> exposes, je viens de faire quelques tests avec Kerio 2.1.5, et F> effectivement, il semble que sa façon de gérer l'ICMP est plus conforme F> avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle F> ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, F> mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, F> désactivée temporairement pour faire le test) Est-ce le bon paramétrage F> ?
Avec Kerio en ICMP, tu laisses sortir un "8" seul, et tu laisses rentrer "0", "3" et "11". Le reste tu bloques dans les deux sens.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Merci Laurent, C'est ce que j'ai fait hier soir suite aux différents échanges sur ce fil. J'avais complètement bloqué l'ICMP dans tous les sens (pour simplifier) lorque j'avais créé mes règles il y a quelques temps maintenant. A vrai dire, le ping ne m'avais jamais manqué depuis ! Maintenant tout fonctionne parfaitement au cas où !
Jean Pierre
Dans les news:, JacK [MVP] a écrit:
Fred a formulé la demande :
"JacK [MVP]" a écrit dans le message de news:
Laurent a utilisé son clavier pour écrire :
JacK [MVP] a écrit le 07/03/2005 :
Ton test ne prouve absolument rien : ce n'est pas parce que tu bloques le ICMP entrant que tu n'as pas de réponse à une requête *sortante* que tu as initiée ,pour ton FW c'est du OUT et pas du IN.
Erreur votre honneur ! La réponse à un Ping est bien du IN (cce n'est pas le résultat de ton OUT, mais bien un *nouveau* message, qui lui, est IN.
Non, pas du point de vue de ton FW, quel qu'il soit : consulter rfc1575 De même que si tu appelles une page depuis un serveur en envoyant HTTP une requête sur le port 80, les données proviennent bien de l'extérieur mais comme c'est bien toi qui a sollicité la connexion, ton FW considère que c'est du OUT.
Par contre, si tu *réponds* à un Echo Request (ICMP Type 8) venant de l'extérieur (cad du IN) les données envoyées en réponse depuis ton PC (Echo Reply Type 0 ) sont considérées comme du IN par ton FW Voir par RFC 792
Je n'ai pas dit que la faille n'existait pas, je crois me souvenir l'avoir lu quelque part il y a plus d'un an mais je n'utilise plus KPF depuis longtemps, je signale simplement que si la faille est avérée et que si le FW laisse passer les echo request remote fragmentés, tout ce que ça peut engendrer, c'est un DDoS si ta machine est spécialement ciblée par un attaquant qui doit déjà connaître ton IP, ce n'est en aucun cas une technique utilisée par les SK pour trouver des machines vulnérables. -- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Bonsoir Jack, Bien que tout à fait d'accord avec le principe du IN et du OUT que tu exposes, je viens de faire quelques tests avec Kerio 2.1.5, et effectivement, il semble que sa façon de gérer l'ICMP est plus conforme avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, désactivée temporairement pour faire le test) Est-ce le bon paramétrage ?
Hello,
En principe, avec un FW à règles, l'echo reply IN doit être autorisé pour ton ou tes outils tel outil de ping ou de tracert et bloqué pour tout le reste.
Bonjour,
Il me semble que la version 4 voir même la version bétâ corrige ce problème mais à voir qd même.
Cordialement.
Dans les news:mn.3d167d530b9b80c8.26509@wanamou.fr,
JacK [MVP] <ihatespam@wanamou.fr> a écrit:
Fred a formulé la demande :
"JacK [MVP]" <ihatespam@wanamou.fr> a écrit dans le message de news:
mn.3cd17d53e6483b82.26509@wanamou.fr...
Laurent a utilisé son clavier pour écrire :
JacK [MVP] a écrit le 07/03/2005 :
Ton test ne prouve absolument rien : ce n'est pas parce que tu
bloques le ICMP entrant que tu n'as pas de réponse à une requête
*sortante* que tu as initiée ,pour ton FW c'est du OUT et pas du
IN.
Erreur votre honneur !
La réponse à un Ping est bien du IN (cce n'est pas le résultat de
ton OUT, mais bien un *nouveau* message, qui lui, est IN.
Non, pas du point de vue de ton FW, quel qu'il soit : consulter
rfc1575 De même que si tu appelles une page depuis un serveur en
envoyant
HTTP une requête sur le port 80, les données proviennent bien de
l'extérieur mais comme c'est bien toi qui a sollicité la connexion,
ton FW considère que c'est du OUT.
Par contre, si tu *réponds* à un Echo Request (ICMP Type 8) venant
de l'extérieur (cad du IN) les données envoyées en réponse depuis
ton PC (Echo Reply Type 0 ) sont considérées comme du IN par ton FW
Voir par RFC 792
Je n'ai pas dit que la faille n'existait pas, je crois me souvenir
l'avoir lu quelque part il y a plus d'un an mais je n'utilise plus
KPF depuis longtemps, je signale simplement que si la faille est
avérée et que si le FW laisse passer les echo request remote
fragmentés, tout ce que ça peut engendrer, c'est un DDoS si ta
machine est spécialement ciblée par un attaquant qui doit déjà
connaître ton IP, ce n'est en aucun cas une technique utilisée par
les SK pour trouver des machines vulnérables. --
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your
warranty since 2000 ---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK
Bonsoir Jack,
Bien que tout à fait d'accord avec le principe du IN et du OUT que tu
exposes, je viens de faire quelques tests avec Kerio 2.1.5, et
effectivement, il semble que sa façon de gérer l'ICMP est plus
conforme avec ce que dit Laurent qu'avec la théorie :-(
A savoir : avec une règle ICMP Out, et le niveau de sécurité moyen
(demander), un ping sort bien, mais sa réponse est bloquée. (J'avais
une règle blocant l'ICMP In, désactivée temporairement pour faire le
test) Est-ce le bon paramétrage ?
Hello,
En principe, avec un FW à règles, l'echo reply IN doit être autorisé
pour ton ou tes outils tel outil de ping ou de tracert et bloqué pour
tout le reste.
Bonjour,
Il me semble que la version 4 voir même la version bétâ corrige ce
problème mais à voir qd même.
Ton test ne prouve absolument rien : ce n'est pas parce que tu bloques le ICMP entrant que tu n'as pas de réponse à une requête *sortante* que tu as initiée ,pour ton FW c'est du OUT et pas du IN.
Erreur votre honneur ! La réponse à un Ping est bien du IN (cce n'est pas le résultat de ton OUT, mais bien un *nouveau* message, qui lui, est IN.
Non, pas du point de vue de ton FW, quel qu'il soit : consulter rfc1575 De même que si tu appelles une page depuis un serveur en envoyant HTTP une requête sur le port 80, les données proviennent bien de l'extérieur mais comme c'est bien toi qui a sollicité la connexion, ton FW considère que c'est du OUT.
Par contre, si tu *réponds* à un Echo Request (ICMP Type 8) venant de l'extérieur (cad du IN) les données envoyées en réponse depuis ton PC (Echo Reply Type 0 ) sont considérées comme du IN par ton FW Voir par RFC 792
Je n'ai pas dit que la faille n'existait pas, je crois me souvenir l'avoir lu quelque part il y a plus d'un an mais je n'utilise plus KPF depuis longtemps, je signale simplement que si la faille est avérée et que si le FW laisse passer les echo request remote fragmentés, tout ce que ça peut engendrer, c'est un DDoS si ta machine est spécialement ciblée par un attaquant qui doit déjà connaître ton IP, ce n'est en aucun cas une technique utilisée par les SK pour trouver des machines vulnérables. -- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Bonsoir Jack, Bien que tout à fait d'accord avec le principe du IN et du OUT que tu exposes, je viens de faire quelques tests avec Kerio 2.1.5, et effectivement, il semble que sa façon de gérer l'ICMP est plus conforme avec ce que dit Laurent qu'avec la théorie :-( A savoir : avec une règle ICMP Out, et le niveau de sécurité moyen (demander), un ping sort bien, mais sa réponse est bloquée. (J'avais une règle blocant l'ICMP In, désactivée temporairement pour faire le test) Est-ce le bon paramétrage ?
Hello,
En principe, avec un FW à règles, l'echo reply IN doit être autorisé pour ton ou tes outils tel outil de ping ou de tracert et bloqué pour tout le reste.
Bonjour,
Il me semble que la version 4 voir même la version bétâ corrige ce problème mais à voir qd même.
