Règles de base pour Kerio Personal Firewall
Au bas de la fenêtre des personnalisation des
règles, se trouvent deux cases à cocher:
Jouraliser si cette règle correspond, signifie que si elle correspond, ce sera noté dans un fichier-journal (log).
Afficher une alerte si cette règle correspond affichera une fenêtre d'avertissement à l'écran.
Mais, faites donc confiance à Kerio, ne
vous prenez pas la tête à lire les divers jounaux (sauf en cas
de problèmes éventuels
de connexion, là, ils pourraient vous fournir une piste) , laissez-lui
faire son boulot, vous n'avez pas besoin d'avoir connaissance des diverses
tentatives (de la par des pirates, ou non), votre firewall les enverra quand
même ballader
La
règle
de loopback n'est plus absolument indispensable avec KPF, cependant sur bien
des configurations, elle accélère
les échanges,
je conseillerais donc de la rajouter après les règles system,
ou mieux 2 règles loopback pour IE et OE juste avant celle les concernant.
Dans le champs Description de la règle, vous pouvez
entrer le texte que vous voulez plutôt que le texte Anglais.
Note : Entrez toutes les règles dans l'ordre chronologique. Lors
de la création d'une règle spécifique à une application,
déplacez-la juste en-dessous de la règle s'appliquant à une
application similaire. Par exemple, les règles s'appliquant à un
autre browser se placent sous les règles équivalentes de IE.
Règles 1 - 2, concernent le blocage NetBIOS. Entrer comme
indiqué,
même si vous avez désolidarisé NetBIOS du Protocole TCP/IP,
elles vous permettront de savoir s'il y a une tentative d'intrusion. (Pré-suppose
que vous n'utilisez pas LEGITIMEMENT NetBIOS sur votre système)
Règle 1:
Description: Block Inbound NetBIOS TCP UDP (Avertir)
Protocole: TCP et UDP
Direction: Entrante
Port local: Port/gamme
First port number: 137
Last port number: 139
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 2a:
Description: Trusted Inbound NetBIOS TCP UDP
Protocole: TCP et UDP
Direction: Entrante
Port local: Port/gamme
First port number: 137
Last port number: 139
Application: Tous
Adresse distante: Réseau/gamme: Adresses de confiance
Port distant: Tous
Action: AUTORISER
Règle 2:
Description: Block Outbound NetBIOS TCP UDP (Avertir)
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: Tous
Adresse distante: Toutes
Port distant: Port/gamme
First port number: 137
Last port number: 139
Action: REFUSER
Règles 3 - 4, permettent aux applications de se connecter à vos
serveurs DNS. Il vous faut créer autant de règles que votre FAI
utilise de serveurs DNS.
Règle 3:
Description: ISP Domain Name Server Any App UDP
Protocole: UDP
Direction: Deux
Port: Tous
Application: Tous
Adresse distante: Simple
Adresse hôte: DNS de votre fournisseur d'accès Internet
Port distant: Simple
Port number: 53
Action: AUTORISER
Règle 3b:
Description: Trusted Outbound NetBIOS TCP UDP
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: Tous
Adresse distante: Réseau/gamme: Adresses de confiance
Port distant: Port/gamme
First port number: 137
Last port number: 139
Action: AUTORISER
Règle 4:
Description: Other DNS
Protocole: TCP et UDP
Direction: Deux
Port local: Tous
Application: Tous
Adresse distante: Toutes
Port: Simple
Port number: 53
Action: REFUSER
** Sur certaines configurations, cette règle peut empêcher tout
accès au Web, désactiver si c'est le cas.
Règles 5 - 9, concernent l'ICMP
Règle 5:
Description: Out Needed To Ping And TraceRoute Others
Protocole: ICMP
Direction: Sortante
Type d'ICMP: Echo Request
Adresses distantes: Toutes
Action: AUTORISER
Règle 6:
Description: In Needed To Ping And TraceRoute Others
Protocole: ICMP
Direction: Entrante
Type d'ICMP: Echo Reply, Destination Unreachable, Time
Exceeded
Adresses distantes: Toutes
Action: AUTORISER
Règle 7:
Description: In Block Ping and TraceRoute ICMP
(Avertir)
Protocole: ICMP
Direction: Entrante
Type d'ICMP: Echo Request
Adresses distantes: Toutes
Action: REFUSER
Règle 8:
Description: Out Block Ping and TraceRoute ICMP
(Avertir)
Protocole: ICMP
Direction: Sortante
Type d'ICMP: Echo Reply, Destination Unreachable, Time
Exceeded
Adresses distantes: Toutes
Action: REFUSER
Règle 9:
Description: Block ICMP (Journalisation)
Protocole: ICMP
Direction: Deux
Type d'ICMP: Echo Reply, Destination Unreachable, Source
Quench, Redirect, Echo, Time Exceeded, Parameter Prob, Time Stamp, Time StampReply,
Info Request, Info Reply, Address, Adress Reply, Router Advertisement, Router
Solicitation (ALL).
Adresses distantes: Toutes
Action: REFUSER
Règle 10, bloque et loge toutes les requêtes externes vers des
ports classiques :FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc.
Règle 10:
Description: Block Common Ports (Journalisation)
Protocole: TCP et UDP
Direction: Entrante
Port local: Liste de ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règles 11 – 14 : règles supplémentaires facultatives.
Couvertes par d'autres règles mais peuvent être utile en cas d'attaque
pour loger précisément l'agresseur.
Ces règles peuvent être désactivées et activées
en cas de besoin.
Règle 11:
Description: Back Orifice Block (Journalisation)
Protocole: TCP et UDP
Direction: Entrante
Port local: Liste de ports: 54320,54321,31337
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 12:
Description: Netbus Block (Journalisation)
Protocole: TCP
Direction: Entrante
Port local: Liste de ports: 12456,12345,12346,20034
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 13:
Description: Bootpc (Journalisation)
Protocole: TCP et UDP
Direction: Entrante
Port local: Port Simple
Port number: 68
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 14:
Description: RPCSS (Journalisation)
Protocole: UDP
Direction: Entrante
Port local: Port simple
Port number: 135
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règles 15 - 16 Blocage des ports trojans classiques, (bas et haut).
Elles ne sont pas indispensables, comme les règles 11 à 14.
Les règles (15a et 15ab) servent au DHCP s'il est utilisé :
Règle 15a
Description: DHCP In/Out
Protocole: UDP
Direction: Deux
Port local: Port simple
Port number: 68
Application: Tous (ou votre Application DHCP : C:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Adresse distante: IP du serveur DHCP (ou Tous)
Port distant: Port simple
Port number: 67
Action: AUTORISER
Règle 15ab
Description: DHCP
Protocole: UDP
Direction: Sortante
Port local: Port simple
Port number: 68
Application: Tous (ou votre Application DHCP : C:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Adresse distante: 255.255.255.255
Port distant: Port simple
Port number: 67
Action: AUTORISER
Règle 15:
Description: Block Low Trojan Ports TCP UDP (Avertir)
Protocole: TCP et UDP
Direction: Deux
Port: Port/gamme
First port number number: 1
Last port number number: 79
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 16:
Description: Block High Trojan Ports TCP UDP (Avertir)
Protocole: TCP et UDP
Direction: Deux
Port: Port/gamme
First port number number: 5000
Last port number number: 65535
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
** Facultatif, cette règle peut empêcher l'utilisation de
certains proxies ou la navigation sur des serveurs FTP tournant sur des ports
inhabituels.
Règles 17 - 20 Règles spécifiques aux applications. Vous
aurez généralement une ou deux règles à éditer
par application devant avoir accès à Internet.
Règle 17a
Description: Loopback Cache IE
Protocole: UDP
Direction: Sortante
Port local: Tous
Application: Seulement iexplore.exe
Adresse distante: Adresse simple
Adresse hôte : 127.0.0.1
Port distant: Tous
Action : AUTORISER
Règle 17ab
Description : Loopback Cache OE
Protocolee TCP
Direction: Sortante
Port local : Tous
Application: seulement msimn.exe
Adresse distante: Simple
Adresse hôte : 127.0.0.1
Port distant: Tous
Action : AUTORISER
Ces 2 règles peuvent être remplacées par la suivante
(moins restrictives):
Derscription: LoopBack TCP/UDP
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: Tous
Adresse distante: Adresse simple
Adresse hôte: 127.0.0.1
Port distant: Tous
Action: AUTORISER
Règle 17:
Description: Internet Explorer-Web browsing
Protocole: TCP
Direction: Sortante
Port local: Tous
Application: seulement iexplore.exe
Adresse distante: Toutes
Port distant: Liste de ports: 80,8080,3128,443,20,21
Action: AUTORISER
** Vous pouvez remplacer la liste de port par Tous si nécessaire (utilisation
de IE pour des serveurs FPT sur port inhabituel)
Règle 17 bis
Description : Internet Explorer In
Protocole: TCP et UDP
Direction : Entrante
Port local: Tous
Application: iexplore.exe
Adresse distante: Toutes
Port distant : Tous
Action: REFUSER
** Cette règle permet de contrer certaines tentatives d'exécution
d'attaque depuis le web sur votre PC
Règle 18:
Description: Outlook Express
Protocole: TCP
Direction: Sortante
Port local: Tous
Application: Seulement msimn.exe
Adresse distante: Toutes
Port distant: Liste de ports:
25,110,119,143
Action: AUTORISER
** Une règle complémentaire peut être
rajoutée juste en-dessous (18 bis).
Règle 18 bis
Description : Outlook Express Out
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: msimn.exe
Adresse distante: Toutes
Portdistnt : Tous
Action: REFUSER
**
Cette règle permet d'éviter que OE ne se connecte automatiquement
au WWW suite à l'insertion de scripts dans des messages HTLM ou ne
renvoie des informations sur l'ouverture ou non du courrier grâce à un
webbug par exemple
Ne pas utiliser si vous récupérez votre
courrier Hotmail avec OutlookExpress.
Règle 19:
Description: ICQ Web Access Block
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: Seulement icq.exe
Adresse distante: Toutes
Port distant: Port simple: 80
Action: REFUSER
** Seulement si vous employez ICQ.
Règle 20:
Description: ICQ Application
Protocole: TCP
Direction: Sortante
Port: Tous
Application: Seulement icq.exe
Adresse distante: Toutes
Port distant: Port simple: 5190
Action: AUTORISER
** Seulement si vous employez ICQ.
Règle 21 Bloque et loge toutes les requêtes UDP/TCP indésirables
depuis votre PC (trojan, ver,etc...),
ATTENTION : cette règle bloque l'option apprentissage (requête
en sortie inconnue)
Règle 21:
Description: Block Outbound Unauthorized Apps TCP/UDP
(Avertir)
Protocole: TCP et UDP
Direction: Sortante
Port local: Tous
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Règle 22 est la règle "tout bloquer". Ne pas l'activer
avant d'avoir créé toutes les règles pour vos applications
! Laissez l'assistant (Demander quand une règle n'est pas trouvée)
, surtout si vous installez souvent de nouvelles applications devant avoir
accès au WWW.
Règle 22:
Description: Block Inbound Unknown Apps TCP UDP
(Avertir)
Protocole: TCP et UDP
Direction: Entrante
Port local: Tous
Application: Tous
Adresse distante: Toutes
Port distant: Tous
Action: REFUSER
Les deux règles suivantes sont en fait des exemples pour vous montrer comment
bloquer un troyen ou un processus indésirable, elles ne sont pas destinées
à être intégrées aux régles précédentes.
Description : faille PPTP
Protocole: TCP et UDP
Direction: Entrante
LocalPort : 1723
Application: Tous
Adresse distante: Toutes
Port : Tous
Action: REFUSER
Description : Exploit mshta
Protocole: TCP et UDP
Direction: Deux
Port : Tous
Application: MSHTA.EXE C:\WINDOWS\system32\mshta.exe)
Adresse distante: Toutes
Port : Tous
Action: REFUSER
** Attention : Cet exploit permet d'installer et d'exécuter n'importe
quelle application sur votre ordinateur depuis une page web malveillante
Dernière mise à jour le vendredi 4 janvier, 2008