règles de base pour Kerio Personal Firewall
Ce petit guide de configuration a été conçu par JacK, notre grand maître du forum. Il est en grande partie basé sur la FAQ de KPF et l'expérience de nombreux bêta-testeurs...(Notify=avertir) signifie afficher une alerte.
(Logged=inscrire dans le journal) signifie logger l'évènement quand la règle correspond.
La règle de "loopback" n'est plus absolument indispensable avec KPF, cependant sur bien des configurations, elle accélère le système, je conseillerai donc de la rajouter après les règles système.
Dans le champ "Description de la règle", vous pouvez entrer le descriptif que vous voulez plutôt en remplacement du texte en anglais.
Vous la trouverez ainsi que quelques autres règles utiles dans "divers" note : entrez toutes les règles dans l'ordre indiqué. Lors de la création d'une règle spécifique à une application, déplacez-la juste en dessous de la règle s'appliquant à une application similaire. Par exemple, les règles s'appliquant à un autre navigateur se placent sous les règles d'Internet Explorer. présentation générale des règles - Règles 1 et 2 Concernent le blocage NetBIOS. Entrer comme indiqué, même si vous avez désolidarisé NetBIOS du protocole TCP/IP, elles vous permettront de savoir s'il y a une tentative d'intrusion. (Présuppose que vous n'utilisez pas LEGITIMEMENT NetBIOS sur votre système)
- Règles 3 et 4 permettent aux applications de se connecter à vos serveurs DNS. Il vous faut créer autant de règles que votre FAI utilise de serveur DNS.
(Comment trouver vos serveurs DNS sera expliqué dans divers) - Règles 5 à 9 concernent les règles ICMP
- Règle 10 bloque et logge toutes les requêtes externes vers des ports classiques : FTP, HTTP, POP3, SMTP, Telnet, NetBios, etc.
- Règles 11 à 14 règles supplémentaires facultatives ( Par défaut de AtGuard). Couvert par d'autres règles mais peut être utile en cas d'attaque pour loger précisément l'agresseur.
Peuvent être désactivées et activées en cas de besoin. - Règles 15 et 16 Blocage des ports troyens classiques, (bas et haut). Pas indispensables, comme 11 à 14.
- Règles 17 à 20 Règles spécifiques aux applications. Vous aurez généralement une ou deux règles à éditer par application devant avoir accès à Internet.
- Règle 21 Bloque et loge toutes les requêtes UDP/TCP indésirables depuis votre PC (troyen, ver, etc...),
ATTENTION : cette règle bloque l'option apprentissage ! (requête en sortie inconnue).
- Règle 22 Règle "tout bloquer". Ne pas l'activer avant d'avoir créé toutes les règles pour vos applications ! Laissez l'assistant (Demander quand une règle n'est pas trouvée) , surtout si vous installez souvent de nouvelles applications devant avoir accès au W3.
RESPECTEZ L'ORDRE DES REGLES ! (KPF interprète les règles du haut vers le bas) les règles proprement dites Règle 1: Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 2: Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY = = = = = = = = = = = = = = = =
Règle 3: Description: ISP Domain Name Server Any App UDP
Protocol: UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Single
Host address: (Your ISP DNS) IP number
Port type: Single
Port number: 53
Action PERMIT = = = = = = = = = = = = = = = =
Règle 4: Description: Other DNS
Protocol: TCP and UDP
Direction: Both
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Single
Port number: 53
Action DENY ** Sur certaines configurations, cette règle peut empêcher tout accès au Web, désactiver si c'est le cas.
= = = = = = = = = = = = = = = =
Règle 5: Description: Out Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo
Remote Endpoint: Any
Action PERMIT = = = = = = = = = = = = = = = =
Règle 6: Description: In Needed To Ping And TraceRoute Others
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action PERMIT = = = = = = = = = = = = = = = =
Règle 7: Description: In Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Incoming
ICMP Type: Echo
Remote Endpoint: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 8: Description: Out Block Ping and TraceRoute ICMP
(Notify)
Protocol: ICMP
Direction: Outgoing
ICMP Type: Echo Reply, Destination Unreachable, Time
Exceeded
Remote Endpoint: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 9: Description: Block ICMP (Logged)
Protocol: ICMP
Direction: Both
ICMP Type: Echo Reply, Destination Unreachable, Source
Quench, Redirect,
Echo, Time Exceeded, Parameter Prob, Time Stamp, Time
StampReply, Info
Request, Info Reply, Address, Adress Reply, Router
Advertisement, Router
Solicitation (ALL)
Remote Endpoint: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 10: Description: Block Common Ports (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports:
113,79,21,80,443,8080,143,110,25,23,22,42,53,98
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 11: Description: Back Orifice Block (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 54320,54321,31337
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 12: Description: Netbus Block (Logged)
Protocol: TCP
Direction: Incoming
Port type: List of Ports
Local App.: Any
List of Ports: 12456,12345,12346,20034
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 13: Description: Bootpc (Logged)
Protocol: TCP and UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 68
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 14: Description: RPCSS (Logged)
Protocol: UDP
Direction: Incoming
Port type: Single port
Local App.: Any
Port number: 135
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 15: Description: Block Low Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 1
Last port number: 79
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 16: Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY
** Facultatif, cette règle peut vous empêcher l'utilisation e certains proxies ou
la navigation sur des serveurs FTP tournant sur des ports "exotiques"
= = = = = = = = = = = = = = = =
Règle 17: Description: Internet Explorer-Web browsing
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => iexplore.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 80,8080,3128,443,20,21
Action PERMIT
** Vous pouvez remplacer la liste de port par ANY si nécessaire (utilisation de IE pour des serveurs FPT sur port "exotique")
= = = = = = = = = = = = = = = =
Règle 18: Description: Outlook Express
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => msimn.exe
Remote Address Type: Any
Port type: List of ports
List of ports: 25,110,119,143
Action PERMIT
** Une règle complémentaire (voir "divers") peut être rajoutée juste en dessous.
= = = = = = = = = = = = = = = =
Règle 19: Description: ICQ Web Access Block
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 80
Action DENY
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 20: Description: ICQ Application
Protocol: TCP
Direction: Outgoing
Port type: Any
Local App.: Only selected below => icq.exe
Remote Address Type: Any
Port type: Single port
List of ports: 5190
Action PERMIT
** Si vous ne pouvez vous passer de ce truc seulement
= = = = = = = = = = = = = = = =
Règle 21: Description: Block Outbound Unauthorized Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Outgoing
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY = = = = = = = = = = = = = = = =
Règle 22: Description: Block Inbound Unknown Apps TCP UDP
(Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Any
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY Si vous êtes sur un LAN, il peut être nécessaire d'autoriser le NetBIOS pour les PC de votre réseau local, les ajouter avant les règles 1 et 2 : Règle 2a: Description: Trusted Inbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Any
Action PERMIT = = = = = = = = = = = = = = = =
Règle 3b: Description: Trusted Outbound NetBIOS TCP UDP
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Trusted Address Group
Port type: Port/Range
First Port: 137
Last Port: 139
Action PERMIT divers A.Règles complémentaires : = = = = = = = = = = = = = = =
Description: Loopback
Protocole TCP and UDP
Direction : Both
Local Port : Any
Local App : Any
Remote address Type : Single
Host Address : 127.0.0.1
Port Type : Any
Action : PERMIT
** A ajouter sous la règle 9
= = = = = = = = = = = = = = =
Descrition : Outlook Express Out
protocole : TCP and UDP
Direction : Outgoing
Local Port : Any
Local App : msimn.exe
Remote Address : Any
Port Type : Any Action : DENY ** Ajouter sous la règle 18
Cette règle permet d'éviter que OE ne se connecte automatiquement au W3 suite à l'insertion de script dans des messages Html ou ne renvoie des informations sur l'ouverture ou non du courrier grâce à un webbug par exemple. = = = = = = = = = = = = = = =
Description : Internet Explorer In
Protocole : TCP and UDP
Direction Ingoing
LocalPort : Any
Local App : iexplore.exe
Remote Address : Any
Port Type : Any
Action : DENY ** Ajouter sous la règle 17
Cette règle permet de contrer certaines tentatives d'exécution d'attaque depuis le web
sur votre PC
= = = = = = = = = = = = = = =
Règles pour le DHCP, si utilisé :
A ajouter au-dessus de la règle 15 = = = = = = = = = = = = :
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: DHCP Server IP
Rule Valid: Always
Action: Permit
Logging: None = = = = = = = = = = = = :
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE)
Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None
B. Déterminer ses serveurs DNS et DHCP:
Sous win95/98/Me : Démarrer\Exécuter : winipcfg/détails Sous Win2K/XP : Dans une fenêtre DOS (invite de commande) : ipconfig/all
C. Résolution de problèmes
Le buffer par défaut de KPF peut se révéler insuffisant sous certaines configurations, pour l'augmenter se rendre à la clé : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv et modifier la valeur
MaxBufferSize :
DWORD VALUE 4000 (hex) Le moteur expérimental de détection d'accès au kernel peut causer certains conflits sous certaines configuration. Pour le désactiver se rendre à la clé : HKLM\System\CurrentControlSet\Services\fwdrv et mettre "KernelModuleAuth"
Valeur DWORD 0 (Hex) au lieu de 1 D. Astuce A titre documentaire, rétablir le cryptage ensuite pour des raisons de sécurité.[Valeur "0" (hex)]
Ouvrir le fichier x:\Program Files\Kerio\Personal Firewall\persfw.conf
avec un éditeur de texte Aller à la clé : HKEY_LOCAL_MACHINE\Software\Kerio\Personal Firewall
Cliquer [edit][new]
Choisir : "DWORD Value"
Entrer "EncrDisabled" comme nom de nouvelle clé
Cliquer : [edit][modify] and entrer "1"(hex) comme valeur
Redémarrer.
E. Adresses utiles :
La FAQ en Eng : http://www.tpffaq.com/cgi-bin/faqmanager.cgi?
Un test complet par le scanner Nessus qui vous permettra de peaufiner vos règles en fournissant des conseils : https://secure1.securityspace.com/smysecure/login.html
Inscription gratuite. Ensuite exécuter le No Risk Audit (plusieurs heures)
Liste de ports à autoriser pour certaines applications types (Messenger, serveurs de jeux, etc) : http://www.practicallynetworked.com/sharing/app_port_list.htm La version finale de KPF2.1 comporte maintenant un fichier help dont je viens de réaliser la traduction. J'attends l'accord de Kerio pour le mettre à dispo une fois recompilé. Il permettra de remplacer le fichier kpf.chm Eng par son clone en français. l'incontournable FAQ pour les nouveaux uilisateurs de WinXP 
Un fichier avec les règles de bases de KPF réalisé par A. Vouillon :
http://a.vouillon.online.fr/faq-winxp.htm#19
Ce fichier doit être enregistré dans le répertoire de Kerio. Pour le charger, click droit sur l'icône de Kerio dans la zone de notification de XP, sélectionner Administration, à l'onglet Miscellaneous, clicker Load et sélectionner le fichier des régles de bases. A l'onglet Firewall, bouton Advanced..., désélectionner la dernière règle n°999 pour ajouter de nouvelles programmes. Lorsque vous utiliserez un nouveau programme, Kerio vous proposera d'ajouter une règle (si vous avez laissé le curseur sur 'Ask me first'). Laisser cette règle n°999 en dernière position.
http://a.vouillon.online.fr/ftp/kpf212_basic_rules.conf JacK websecurite.org | 