Qu: [Win2000] Kerio 2.1.5 derriere un firewall materiel

[Patrick 'Zener' Brunet]

Bonjour.

Mon PC proxy+passerelle est raccordé à Internet par un routeur+firewall
matériel. Ce FW fonctionne comme une diode et donc bloque toute "initiative"
de l'extérieur, par contre il n'assure pas les fonctions de surveillance
interne telles que le filtrage de paquets autorisés et le contrôle des
applications accédant à Internet par exemple (le LAN étant supposé sain sauf
faille des logiciels de communication standards comme il se doit).

D'où l'idée de compléter par un firewall logiciel "ultra-light", rôle que
Kerio 2.1.5 pourrait remplir très bien.

Mais j'ai du mal à évaluer si la faille connue des paquets fragmentés
pourrait compromettre un tel assemblage (donc au niveau de paquets sortants
qui seraient mal filtrés car fragmentés ?!?).

Un avis d'expert ?

En fait la version 4 est trop complexe et trop lourde pour une telle
application, et je ne connais pas d'autre FW en version freeware, allégée et
fonctionnant correctement en mode service NT.

Look'n'Stop Lite 1.04 pourrait à la rigueur, mais il ne fonctionne pas
vraiment en mode service (c'est un service séparé qui le lance), il perd
souvent ses paramètres pour revenir aux règles par défaut et ce de manière
invisible en cas d'arrêt un peu sec (et précisément le service essaie de le
relancer quand le système s'arrête!), et enfin il ne gère qu'une seule
connexion puisqu'il ne gère qu'un jeu de paramètres.

Un autre mini-FW qui ferait mieux ?

Merci de vos suggestions.

Cordialement,

--

/***************************************\
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
\***************************************/

[Soeur Anne]

Dans le post :422db639$0$16913$636a...@news.free.fr,
Patrick 'Zener' Brunet <use.link.i...@ddress.invalid> nous a dit
:

> Un autre mini-FW qui ferait mieux ?

http://www.framasoft.net/article2423.html

--
Soeur Anne

[Patrick 'Zener' Brunet]

Bonjour.

"Soeur Anne" <a...@a.news.free.fr> a écrit dans le message de news:
422dded3$0$21306$626a...@news.free.fr...

Merci, Soeur Anne, mais je vous vois venir : il y a encore du boulot sur ce
truc :-)
Mais si je trouve le temps de l'intercaler dans les travaux en cours,
pourquoi pas ?

[Soeur Anne]

Dans le post :422eaf07$0$17914$636a...@news.free.fr,

Patrick 'Zener' Brunet <use.link.i...@ddress.invalid> nous a dit
:

> Merci, Soeur Anne, mais je vous vois venir : il y a encore du boulot

> sur ce truc :-)
> Mais si je trouve le temps de l'intercaler dans les travaux en cours,
> pourquoi pas ?

C'était en réponse à la question : mini-FW

j'ai pas connaissance d'un scrip plus succint à part les commandes
iptables et ipchains ;-)

--
Soeur Anne

[Stephane Catteau]

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
<news:422db639$0$16913$636a...@news.free.fr> :

> Mais j'ai du mal à évaluer si la faille connue des paquets

> fragmentés [NdA: de Kerio] pourrait compromettre un tel assemblage

> (donc au niveau de paquets sortants qui seraient mal filtrés car
> fragmentés ?!?).

Tout dépend de l'étendue de la faille, de l'attention que tu accordes
a la sécurité de ton ordinateur et des risques que tu acceptes de
courrir.
Si la faille se limite aux pings ou aux messages ICMP, le risque est
limité. Il reste possible d'organiser une fuite d'information par le
biais de ping fragmentés, mais c'est plus du ressort d'un pirate "pro"
et implique que tu ais des informations confidentielles qu'il tienne à
consulter. Par contre si la faille s'avère concerner tous les paquets
fragmentés, c'est toute la sécurité du poste qui est compromise.

> Un autre mini-FW qui ferait mieux ?

A toi de voir celui que tu préfères parmis les gratuits :

- Adorons Firewall
<http://www.enigmasoftwaregroup.com/more_info_adorons_firewall.shtml>

- Filseclab Personal Firewall
<http://www.filseclab.com/eng/products/firewall.htm>

- Ghost Personal Firewall
<http://kerio.sourceforge.net/>
Un kerio like open-source qui manque sans doute encore d'un peu de
maturité

- Jetico Personal Firewall
<http://www.jetico.com/jpfirewall.htm>
Dont il existe une traduction en français

- Kerio Personal Firewal
<http://www.kerio.fr/>
Dont la version 2.x est largement préférable à la version 4.x
Il exite une traduction en français.

- Look'n Stop
<http://www.looknstop.com>
Il existe encore une version gratuite, mais où ?
En français

- Outpost Agnitum
<http://www.agnitum.com/products/outpost/>
En français

- Primedius Personal Firewall Lite
<http://www.primedius.com/PersonalFirewall.htm>

- Securepoint Personal Firewall
<http://www.securepoint.cc/en/products-pcfirewall.html>

- Sygate Personal Firewall
<http://smb.sygate.com/products/spf_standard.htm>
L'un des rares anciens à être toujours gratuit et efficace.

- Wyvenworks Firewall
<http://www.wyvernworks.com/firewall.html>

- Zone Alarm
<http://www.zonelabs.com>
En français

> Merci de vos suggestions.

De rien

--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

[Patrick 'Zener' Brunet]

Bonjour.

"Stephane Catteau" <steph....@sc4x.net> a écrit dans le message de news:
d14r1f.3...@sc4x.org...

> Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
> <news:422db639$0$16913$636a...@news.free.fr> :
>
>
> > Mais j'ai du mal à évaluer si la faille connue des paquets
> > fragmentés [NdA: de Kerio] pourrait compromettre un tel assemblage
> > (donc au niveau de paquets sortants qui seraient mal filtrés car
> > fragmentés ?!?).
>
> Tout dépend de l'étendue de la faille, de l'attention que tu accordes
> a la sécurité de ton ordinateur et des risques que tu acceptes de
> courrir.
> Si la faille se limite aux pings ou aux messages ICMP, le risque est
> limité. Il reste possible d'organiser une fuite d'information par le
> biais de ping fragmentés, mais c'est plus du ressort d'un pirate "pro"
> et implique que tu ais des informations confidentielles qu'il tienne à
> consulter. Par contre si la faille s'avère concerner tous les paquets
> fragmentés, c'est toute la sécurité du poste qui est compromise.
>

Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis l'extérieur, il y
a un FW matériel qui bloque tout ce qui n'est pas en réponse à une
conversation initiée par l'intérieur.

Donc il faudrait que l'agression se fasse sous ces contraintes.

En fait mon but est d'avoir un FW ultra-light qui rajoute seulement le
contrôle applicatif + protocoles dans le sens de la sortie.

Je n'aurai besoin d'un FW plus complet que si je dois revenir sur le modem
RTC de secours, mais là je pense que je lui collerai un Look'n'Stop tuné par
mes soins (sans contrôle applicatif par contre, cette version de l'a pas).

>
> > Un autre mini-FW qui ferait mieux ?
>
> A toi de voir celui que tu préfères parmis les gratuits :

Merci pour la liste, il y en a que je ne connaissais pas :-)

Cordialement,

--

/***************************************\
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
\***************************************/

> --
> "En amour, on plaît plutôt par d'agréables défauts que par des qualités
> essentielles ; les grandes vertus sont des pièces d'or, dont on fait
> moins usage que de la monnaie"
> Ninon de Lenclos

Un homme c'est comme une huître : une grosse coquille dure et rugueuse, et
dedans c'est tout mou.
Mathilde Seigner

[Stephane Catteau]

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite

<news:4236998c$0$30270$626a...@news.free.fr> :

> Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis
> l'extérieur, il y a un FW matériel qui bloque tout ce qui n'est
> pas en réponse à une conversation initiée par l'intérieur.
>
> Donc il faudrait que l'agression se fasse sous ces contraintes.

On va faire un petit test :

Là, on vient de faire connaissance, avec le temps pourquoi ne pas
commencer à engager la conversation sur un plan moins strict, par le
biais du mail, du chat, d'IRC, ou autre. D'ici deux mois il est
possible que je saches que [xxx] est un sujet que tu aimes bien.
Trouver une animation flash traitant avec humour de ce sujet ne devrait
pas être un gros problème. Encapsuler cette animation dans un
exécutable n'en est pas vraiment un non plus, et c'est l'un des modes
de diffusion de ces annimations. Mettre un trojan dans cet exécutable
est tout à fait faisable.
La question est donc, après deux mois ou plus, lancerais-tu la pièce-
jointe que je t'enverais accompagné d'un message du style "j'ai trouvé
ça, comme je sais que tu adores [xxx] j'ai pensé à toi ;-)" ?

Si, comme tout être humain normal, tu es ne serait-ce que tenté de
répondre oui, alors il y a un risque même avec ta boîte filtrante. Pour
ne pas rendre l'exécutable trop lourd, le trojan pourrait se contenter
d'aller chercher une backdoor sur une machine tierce préalablement
compromise. Backdoor qui serait elle-même active, c'est-à-dire qu'elle
initierait la connexion, ce qui permet de sortir de ton réseau. Etant
entendu que cette connexion se fera vers une machine tierce, je ne vais
quand même pas donner mon adresse IP ;-)
Il n'est même pas besoin que cette connexion soit constante. Il suffit
que la backdoor récupère régulièrement les en-têtes d'un forum donné
(connexion sortante donc permise) et active la connexion si un pseudo
donné à écrit un message, l'adresse IP de la machine compromise pouvant
alors être trouvée dans les en-tête du message.

Si kerio laisse passer tous les paquets fragmentés, et bien le trojan
et la backdoor utiliseront des paquets fragmentés pour passer...

> En fait mon but est d'avoir un FW ultra-light qui rajoute
> seulement le contrôle applicatif + protocoles dans le sens de la
> sortie.

Sage prévoyance n'est-ce pas ? ;-)

[Patrick 'Zener' Brunet]

Bonjour.

"Stephane Catteau" <steph....@sc4x.net> a écrit dans le message de news:

d171aq.3...@sc4x.org...

> Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
> <news:4236998c$0$30270$626a...@news.free.fr> :
>
> > Dans mon cas, le LAN est supposé sain, donc sûr. Et depuis
> > l'extérieur, il y a un FW matériel qui bloque tout ce qui n'est
> > pas en réponse à une conversation initiée par l'intérieur.
> >
> > Donc il faudrait que l'agression se fasse sous ces contraintes.
>
> On va faire un petit test :
>

> [Faire passer amicalement un executable en PJ]

> La question est donc, après deux mois ou plus, lancerais-tu la pièce-
> jointe que je t'enverais accompagné d'un message du style "j'ai trouvé
> ça, comme je sais que tu adores [xxx] j'ai pensé à toi ;-)" ?
>
> Si, comme tout être humain normal, tu es ne serait-ce que tenté de
> répondre oui, alors il y a un risque même avec ta boîte filtrante.

Ca sert de ne pas être un humain normal ;-)

Je n'ouvre plus d'exécutables ni autres fichiers ayant un impact sur le
système et envoyés par mail, même de la part de mes amis proches, et je leur
explique pouquoi, et je leur interdis aussi de se télécharger sauf depuis
des sources ultra vérifiées.

Bien entendu, il est également possible de faire lancer un exe en douce par
le navigateur, spécialement cet abruti d'IE qui ne tient pas compte des
types MIME et "ouvre" n'importe quoi naturellement avec la commande shell
appropriée, même quand ça tombe du web =<:-(
Firefox lui est capable de s'en abstenir, mais sans toutefois s'abstenir de
télécharger le fichier, qui provoque donc une alerte au niveau de mon
anti-virus. Et je n'ai pas trouvé comment lui interdire par défaut d'ouvir
ce qu'il ne connaît pas explicitement.

Je me demande d'ailleurs si un anti-virus courant essaie aussi de détecter
les trojans... Sinon bien sûr ça attend le scan d'Ad-Aware et de Spybot, qui
ne repèrent que ceux qu'ils connaissent.

J'ai également un firewall applicatif (Kerio v4) sur chaque station, et
normalement l'EXE en question va se faire repérer s'il essaie d'aller sur le
réseau. Bien sûr s'il passe par la couche réseau du système, ou s'il fait
une injection de code dans une appli autorisée (à se demander pourquoi une
telle API est disponible en standard dans le système !), alors là...

Bref j'ai fait de mon mieux, mais boucher les trous c'est toujours plus
difficile que ne pas les faire :-@

> [...]

> Si kerio laisse passer tous les paquets fragmentés, et bien le trojan
> et la backdoor utiliseront des paquets fragmentés pour passer...
>

Evidemment. En fait je me demandais s'il était possible que les paquets
soient reconstitués par les services proxy de mon PC proxy avant de sortir,
mais je ne peux pas y compter...

>
> > En fait mon but est d'avoir un FW ultra-light qui rajoute
> > seulement le contrôle applicatif + protocoles dans le sens de la
> > sortie.
>
> Sage prévoyance n'est-ce pas ? ;-)
>

Il ne me reste plus qu'à trouver un ultra-light sans trous et qui marche
bien comme service NT dans la liste pour jouer ce rôle.

Tout de même, il y a encore beaucoup de gens qui recommandent régulièrement
Kerio PF 2.1.5.
Je me demande pourquoi l'éditeur n'a pas sorti une version intermédiaire
corrigée mais sans les gros suppléments avant la v4 gratuite.

Tout ça me paraît dramatiquement clair.

Merci,

[Stephane Catteau]

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite

<news:42371c87$0$31838$636a...@news.free.fr> :

[KPF 2.x]

> Je me demande pourquoi l'éditeur n'a pas sorti une version
> intermédiaire corrigée mais sans les gros suppléments avant la v4
> gratuite.

Parce que la version 2 a arrêté d'être soutenue avant que la faille ne
soit découverte. S'ils avaient de la jugeotte, ils corrigeraient quand
même, ça démontrerait le sérieux de la société et ne pourrait donc que
faire du bien pour le version 4.x qui est payante, mais apparement ce
n'est pas à l'ordre du jour :-(
Il ne reste plus qu'à voir ce que donnera Ghost Personal Firewall
lorsqu'il sera vraiment abouti, puisqu'il se veut un clone de KPF.

[Patrick 'Zener' Brunet]

Bonjour.

Je redonne des nouvelles sur ce thème :

"Stephane Catteau" <steph....@sc4x.net> a écrit dans le message de news:

d14r1f.3...@sc4x.org...

> Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
> <news:422db639$0$16913$636a...@news.free.fr> :
>

> > [ Besoin d'un FW soft lite pour filtrage applicatif + filtrage fin des
paquets
> > sortants, sachant que le gros du boulot est fait par un FW matériel.
> > Ceci en ADSL, protéger le modem RTC de secours serait un plus.
> >
> > Kerio 2.1.5 est disqualifié car il est vulnérable aux fragmentés]

>
> > Un autre mini-FW qui ferait mieux ?
>
> A toi de voir celui que tu préfères parmis les gratuits :
>

> - Jetico Personal Firewall
> <http://www.jetico.com/jpfirewall.htm>
> Dont il existe une traduction en français
>

La structure de tables cascadées semble répondre à un souci de forte
optimisation que j'ai apprécié. Ca s'installe tout seul. Par contre définir
des règles est assez laborieux, et elles ne s'exportent apparemment qu'en
binaire, incluant les paramètres d'applications => non transférables à une
autre plate-forme, il faut tout resaisir.
A noter : pas de protection apparente contre "l'administration illégale" du
FW.
Pas pu trouver sur Internet d'avis éclairés sur les bugs éventuels.

> - Kerio Personal Firewal
> <http://www.kerio.fr/>
> Dont la version 2.x est largement préférable à la version 4.x
> Il exite une traduction en français.
>

Ben oui, mais il y a la faille des fragmentés qui ruyine la v2...
J'ai eu un truc bizzare sur la v4 : après expiration de la période d'essai
et donc le passage en mode gratuit, je ne peux plus créer de règles pour les
applications (pas de bouton Add). Elles ne se créent qu'en réponse à la
règle par défaut : Ask to User, mais n'apparaissent pas dans la table !?!?

> - Look'n Stop
> <http://www.looknstop.com>
> Il existe encore une version gratuite, mais où ?
> En français
>

Là (le patch FR doit se trouver ailleurs, mais en a-t-on vraiment besoin ?)
http://www.aboutlyrics.com/Software/Download/Look-n-Stop-Lite.php

Ce FW est le plus confortable que j'aie pu essayer, MAIS la version lite
1.04 a des gros défauts :
- Ce n'est pas un service NT, il y a un service bidouille pour la lancer
mais c'est pas terrible parce qu'il essaie de la relancer lors d'un shutdown
système :-/
- Elle ne gère qu'un adaptateur réseau à la fois. Il est recommandé de
lancer plusieurs instances, mais comme les noms de zones de stockage des
paramètres sont hard-codés, les paramètres sont partagés de force (sauf hack
de l'EXE),
- Elle n'a pas de filtrage applicatif,
- Après un arrêt surprise, le FW reprend ses paramètres par défaut et ça ne
se voit pas : si on ne vérifie pas les règles en cours, on peut se retrouver
sans protection !

A part ça, les règles sont très claires et intuitives, elles peuvent être
sauvegardées dans un fichier lisible (pratique pour sauvegarder la config ou
la reporter sur d'autres plates-formes), le soft consomme très peu de
puissance et il sait fonctionner en mode non-bavard (alerte sonore + log
mais sans fenêtre à valider, pratique pour une passerelle).

Il y a des règles standards bien visibles pour le LandAttack, les Nuke et
autres gâteries, dont je n'ai pas pu vérifier l'existence sur les autres.

Si je pouvais trouver les mêmes avantages sans ces défauts ailleurs !

> - Zone Alarm
> <http://www.zonelabs.com>
> En français
>

ZA pompe énormément de ressources AMHA, et son fonctionnement est assez
opaque. Recommandé pour un usage en FW soft seul et pour un utilisateur qui
ne veut pas chercher à comprendre.

> - Outpost Agnitum
> <http://www.agnitum.com/products/outpost/>
> En français
>

> - Securepoint Personal Firewall
> <http://www.securepoint.cc/en/products-pcfirewall.html>
>

Même impression d'opacité due à l'automatisation des paramétrages.
D'autres avis ?

> - Sygate Personal Firewall
> <http://smb.sygate.com/products/spf_standard.htm>
> L'un des rares anciens à être toujours gratuit et efficace.
>

Donc peut être pas de performances sacrifiées au profit d'une IHM trop
fun...
J'essaie...

> - Adorons Firewall
> <http://www.enigmasoftwaregroup.com/more_info_adorons_firewall.shtml>
>
> - Filseclab Personal Firewall
> <http://www.filseclab.com/eng/products/firewall.htm>
>
> - Ghost Personal Firewall
> <http://kerio.sourceforge.net/>
> Un kerio like open-source qui manque sans doute encore d'un peu de
> maturité
>

> - Primedius Personal Firewall Lite
> <http://www.primedius.com/PersonalFirewall.htm>
>

> - Wyvenworks Firewall
> <http://www.wyvernworks.com/firewall.html>
>
Pas encore vus en détail...

[Stephane Catteau]

Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite

<news:423d5261$0$860$636a...@news.free.fr> :

[Snip]

Alors là, chapeau !

N'ayant pas le temps de faire des tests moi-même en ce moment, et mes
derniers essais de chacun commençant à dater un peu trop à mon goût,
cela te dérange-t-il si je reprend en partie ce que tu as dit pour
l'intégrer à la FAQ du forum ?

Et j'en profite que je répond publiquement pour inviter qui le veut à
donner aussi son avis.

[Patrick 'Zener' Brunet]

Bonsoir.

"Stephane Catteau" <steph....@sc4x.net> a écrit dans le message de news:

d1kdlk.3...@sc4x.org...

> Patrick 'Zener' Brunet nous disait récement dans fr.comp.securite
> <news:423d5261$0$860$636a...@news.free.fr> :
>
> [Snip]
>
> Alors là, chapeau !
>
> N'ayant pas le temps de faire des tests moi-même en ce moment, et mes
> derniers essais de chacun commençant à dater un peu trop à mon goût,
> cela te dérange-t-il si je reprend en partie ce que tu as dit pour
> l'intégrer à la FAQ du forum ?
>
> Et j'en profite que je répond publiquement pour inviter qui le veut à
> donner aussi son avis.
>

Si ça peut éviter à d'autres de galérer, j'en serai enchanté.
Cela dit, ce n'est que mon humble évaluation, tous les goûts sont dans la
nature.