Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: KB951748 bloque internet ?

0 views
Skip to first unread message

Le Gaulois

unread,
Jul 9, 2008, 11:32:48 AM7/9/08
to
Bonjour,

Dominique Ottello a écrit :
>
> > Cette dernière mise à jour µ$ me bloque l'accès internet.
> > Y a-t-il une explication ?
>
> Cette mise à jour change les règles de résolution DNS.
>
> Dans votre parefeu il faut éditer la règle UDP qui Autorise votre
> ordinateur à demander au serveur DNS de transformer un nom en une
> adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant
> la plage de port entre 1024 et 5000 par 49152 et 65535.
>
> Ça fonctionne très bien avec Look'n'Stop

Chez moi, j'ai une régle qui autorise
Protocole : UDP
local : [Anyport]
remote : [Any adress]:[53]

y a-t-il quelque chose à changer ?
Pour ceux qui utilisent autre chose que Windows XP ou Vista,
par exemple Windows 2000, NT4, 98, linux, etc. ont-ils quelque
chose à faire ?
Les autres équipements réseaux doivent-ils être mis à jour ou
paramétrés différemments ?

FU2 fr.comp.securite

lefrob

unread,
Jul 9, 2008, 11:57:18 AM7/9/08
to
"Le Gaulois" <no...@ifrance.com> a écrit dans le message de news: 4874D9D2...@ifrance.com...

> Bonjour,
>
> Dominique Ottello a écrit :
>>
>> > Cette dernière mise à jour µ$ me bloque l'accès internet.
>> > Y a-t-il une explication ?
>>
>> Cette mise à jour change les règles de résolution DNS.
>>


Bonjour
Si tu as Zone Alarm voir l'explication dans
msnews.microsoft.com/microsoft.public.fr.windowsxp
A+ Robert

Droger Jean-Paul

unread,
Jul 9, 2008, 3:31:16 PM7/9/08
to
Le Gaulois avait soumis l'idée :

bonne question, je suis toujours sous W2k, et la mise à jour sus nommée
a bloquée l'accès à Internet (mail, sites, et ce quelque que soit le
soft qui veut aller sur le net)!

désinstallé en 1mn et cela remarche; je bloque donc les mises à jour
jusqu'à nouvel ordre!!

J'ai ZA et veut le garder, c'est la seule façon que j'ai de controler
ce qui sort et cela m'a permis de débusquer par 3 fois un intru compris
dans un chargement .... et qui s'est trouvé bloqué en moins de temps
qu'il na fallut pour l'éradiquer!!

bonne soirée.

--
Pour m'envoyer un mail, remplacer anti par droger et manama par
wanadoo; to send me directly a mail replace anti with droger and manama
with wanadoo;
anti.je...@manama.fr

Pierre

unread,
Jul 9, 2008, 4:24:36 PM7/9/08
to
Droger Jean-Paul a utilisé son clavier pour écrire :

D'apres ce que j'ai lu sur les forums: Pour accéder à internet après la
MàJ, il faut baisser le niveau de securité de Zone Alarm de "haut" à
"moyen". Cela est une solution TEMPORAIRE , le temps que ZA envoie une
MAJ

Pour ceux qui ont looknstop (comme moi ;-) ) Les ports locaux pour les
connexions DNS ont changé, la plage habituelle 1024-5000 n'est plus
utilisée, mais apparemment 49152-65535 (comme pour Vista).

Ce qu'il faut faire:
- editer la règle "UDP : Autoriser la résolution des noms (DNS)"
- ensuite il y a 2 possibilités selon votre jeu de règles:
- soit vous avez 1024 et 5000 pour le port et il faut les remplacer par
49152 et 65535
- soit vous avez le critère "Dans Local", et il faut le remplacer par
"Entre A-B" et mettre aussi 49152 et 65535 juste dessous.

Si ça marche, ne pas oublier de sauver le jeu de règles.
Sinon consulter le journal pour voir ce qui bloque à nouveau.

PS: Voir ici pour quelques copies d'écran sur le changement à effectuer
(post en anglais équivalent à ce qui est indiqué ci-dessus):
http://www.wilderssecurity.com/showp...49&postcount=2
(en bleu ce que vous avez avant le changement, en vert ce que vous
devez avoir après le changement).

En esperant que cela t'aidera et aidera les autres....

Pascal Hambourg

unread,
Jul 10, 2008, 9:18:12 AM7/10/08
to
Salut,

Dominique Ottello a écrit :


>
> Dans votre parefeu il faut éditer la règle UDP qui Autorise votre
> ordinateur à demander au serveur DNS de transformer un nom en une
> adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant
> la plage de port entre 1024 et 5000 par 49152 et 65535.

Quel est l'intérêt à la base de restreindre la plage de ports sources
pour les requêtes DNS sortantes à autre chose que 1024-65535 ?

[crossport et suivi vers fr.comp.securite]

Dominique Ottello

unread,
Jul 10, 2008, 9:52:04 AM7/10/08
to
Pascal Hambourg <boite-...@plouf.fr.eu.org> écrivait :

L'intérêt, je ne le connais pas.
J'ai « restreint » à 49152-65535 à cause d'un article Microsoft à ce
sujet (Voir FAQ) :
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

et, entre autres :
« By default, the range on Windows Vista and Windows Server 2008 is
49152 to 65535. »

--
Aujourd'hui, l'idéal du progrès est remplacé par l'idéal de l'innovation :
il ne s'agit pas que ce soit mieux, il s'agit seulement que ce soit nouveau,
même si c'est pire qu'avant et cela de toute évidence. Montherlant
Technologie aéronautique - http://ottello.net - Les anciens de Vilgénis

maxsax

unread,
Jul 10, 2008, 5:22:51 PM7/10/08
to
Pierre a écrit :

>
> En esperant que cela t'aidera et aidera les autres....

Ah oui alors... Merci !

Sylvain SF

unread,
Jul 10, 2008, 5:58:49 PM7/10/08
to
Le Gaulois wrote on 09/07/2008 17:32:
>
>> Cette mise à jour change les règles de résolution DNS.
>>
>> Dans votre parefeu il faut éditer la règle UDP []

Zone Alarm a posté une mise à jour de ses softs sur son site.

à noter, le machin 951748 bloque également l'accès remote
à un serveur exchange - les programmes MS non conformes avec
les stratégies MS c'est pas une nouveauté non plus.

Sylvain.

Stephane Catteau

unread,
Jul 14, 2008, 9:58:51 AM7/14/08
to
Pascal Hambourg n'était pas loin de dire :

>> Dans votre parefeu il faut éditer la règle UDP qui Autorise votre
>> ordinateur à demander au serveur DNS de transformer un nom en une
>> adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant
>> la plage de port entre 1024 et 5000 par 49152 et 65535.
>
> Quel est l'intérêt à la base de restreindre la plage de ports sources
> pour les requêtes DNS sortantes à autre chose que 1024-65535 ?

Lorsque le système dispose lui-même d'une plage restreinte, cela
permet de bloquer une partie des malwares qui essayeraient de profiter
du fait que le port 53 est ouvert sur toutes les machines pour initier
une connexion malveillante. Mais cela ne concerne qu'une partie, et
probablement une très faible partie, de ces malwares, puisque la plage
de ports utilisée par le système est connue, et un malware un peut
réfléchi utilisera un port source situé dans la bonne fourchette, pour
ne pas se faire remarquer.
La meilleure défense à ce niveau là reste de fixer en dur l'adresse
des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela
garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour
franchir le filtre IP.

[1]
Il reste toujours la possibilité de corrompre l'un des serveurs DNS
pour qu'il puisse recevoir les données, mais on est là dans l'attaque
de haut vol.

Pascal Hambourg

unread,
Jul 14, 2008, 10:31:49 AM7/14/08
to
Stephane Catteau a écrit :

>
> La meilleure défense à ce niveau là reste de fixer en dur l'adresse
> des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela
> garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour
> franchir le filtre IP.
>
> [1]
> Il reste toujours la possibilité de corrompre l'un des serveurs DNS
> pour qu'il puisse recevoir les données, mais on est là dans l'attaque
> de haut vol.

Beaucoup plus simplement, il reste la possibilité de téléphoner maison
au travers de requêtes DNS particulières qui aboutissent sur un serveur
DNS contrôlé par le destinataire de la communication. L'efficacité en
terme de débit risque de ne pas être énorme, mais on doit pouvoir faire
des trucs sympa avec des requêtes TXT par exemple.

0 new messages