Parametrage Firewall pour XP [long]

Le
Steph
Bonjour,

Je suis en train de tester et paramétrer Kerio sur mon XP Home.
Il y avait 10 règles pré-instalées suivantes, qu'en pensez-vous ?
(toutes placées juste avant les règles propres aux applications
installées, soit la règle 17 de http://babin.nelly.free.fr/kerio.htm)

1) LSA Shell (Kerberos)
UDP in + out
Port local: tous
Appli: d:windowssystem32lsass.exe
Adresse distante: toutes
Port distant: 389
Allow

2) Windows Logon Application (LDAP)
TCP out
Port local: tous
Appli: d:windowssystem32winlogon.exe
Adresse distante: toutes
Port distant: 88
Allow

3) LSA Shell (LDAP)
UDP in + out
Port local: tous
Appli: d:windowssystem32lsass.exe
Adresse distante: toutes
Port distant: 389
Allow

4) LSA Shell
TCP out
Port local: tous
Appli: d:windowssystem32lsass.exe
Adresse distante: toutes
Port distant: tous
Allow

5) Userinit Logon Application (LDAP)
TCP out
Port local: tous
Appli: d:windowssystem32userinit.exe
Adresse distante: toutes
Port distant: 389
Allow

6) Microsoft-DS
TCP out
Port local: tous
Appli: system
Adresse distante: toutes
Port distant: 445
Allow

7) Generic Host Process for Win32 Services
UDP + TCP out
Port local: tous
Appli: d:windowssystem32svchost.exe
Adresse distante: toutes
Port distant: tous
Allow

8) Simple Service Discovery Protocol (incoming)
UDP in
Port local: 1900
Appli: d:windowssystem32svchost.exe
Adresse distante: toutes
Port distant: tous
*Deny*

9) LSA Shell (Export Version)
TCP in
Port local: tous
Appli: d:windowssystem32lsass.exe
Adresse distante: toutes
Port distant: tous
*Deny*

10) Application Layer Gateway Service
TCP out
Port local: tous
Appli: d:windowssystem32alg.exe
Adresse distante: toutes
Port distant: tous
Allow

Voyez-vous d'éventuelles (futures) brèches ?

De plus j'ai ajouté les 2 règles suisvantes:

11) Windows Update
TCP out
Port local: tous
Appli: d:windowssystem32wuauclt.exe
Adresse distante: toutes
Port distant: tous
Allow

12) WinXP Synchro time.nist.gov
UDP in + out
Port local: tous
Appli: d:windowssystem32svchost.exe
Adresse distante: 192.43.244.18
Port distant: 123
Allow

Je vois dans mes logs que mon port 445 est souvent demandé, à cause
sûrement du virus Deloder
(<http://www.secuser.com/alertes/2003/deloder.htm>). À quoi sert ma
règle n°6 et est-ce que celà pourrait avoir un rapport sur les machines
infectées, dans le sens Faut-il laisser cette règle ?

De plus j'ai lu attentivement les règles de PCFlank et Outpost et autres
concernant les programmes mais ils sont souvent en contradiction.
Exemple sur MSN Messenger (idem pour conf.exe):
<http://www.pcflank.com/fw_rules_for_app.htm?appid>
<http://www.outpostfirewall.com/guide/rules/preset_rules/communication.htm#msn_messenger>
ou encore
<http://blueduck.free.fr/informatique/windows/kerio/regles_applications.html#ftp_expert>

N'y-a-il pas qqpart un consensus sur les règles des programmes ?

Merci d'avance
Steph
--
Enlever l'adresse bidon invalide pour m'écrire
Vos réponses
Trier par : date / pertinence
Claude LaFrenière
Le #209757
Le 2003-10-08, "Steph" a supposé :
Bonjour,

Je suis en train de tester et paramétrer Kerio sur mon XP Home.
Il y avait 10 règles pré-instalées suivantes, qu'en pensez-vous ?


Bonjour Steph !

Voir le site de JacK : optimix (hyperlien avec ma signature).

Après avoir paramétré votre Pare-Feu je vous suggère de le mettre
en apprentissage et d'utiliser à tour de rôle les apllications qui
accèdent à internet
afin de créer les règles corrrespondantes e.g. navigateur, client de
courrier , anti-spam,
w. media player , Windows Up-dates etc.À chaque étape il serait bon que
vous vérifiiez avec le
"Shield Test" de Gibson Research (hyperlien avec ma signature).
Voir aussi FAQ fr.comp.securite
http://www.usenet-fr.net/fur/comp/securite/firewall.html

Amicalement.

--
COALITION CONTRE LE POLLUPOSTAGE:
http://www.euro.cauce.org/fr/index.html France
http://cauce.ca/news.html Canada (anglais)
http://www.spampal.tk/ Anti-spam
FAQ etc.
http://a.vouillon.online.fr/ Windows Xp
http://www.arobase.org/ Courriel
http://www.grc.com/ Gibson Research
http://www.optimix.be.tf/ JacK
http://www.bellamyjc.org/ JC Bellamy
http://perso.wanadoo.fr/websecurite/ WebSecure

Claude LaFrenière

Thierry
Le #209705
Bonjour,

Steph a écrit :

Je vois dans mes logs que mon port 445 est souvent demandé, à cause
sûrement du virus Deloder


A quoi tu vois ça puisq'a priori tu ne log pas ?

Bascule vers Deny les 10 premieres regles sauf la 6 et
regarde la FAQ <news:fr.comp.securite.firewall-


--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"

Publicité
Poster une réponse
Anonyme