Quels ports ouvrir, quels ports fermer

[Bronco78]

J'ai un modem routeur firewall fonctionnant dans un mode basic, quoiqu'efficace, mais je cherche un document fournissant une liste de ports standards à gérer pour les principales applis windows ou autre (rien de révolutionnaire, IE, Outlook ..., mais l'efficacité fait que dès qu'on branche le FW on a l'impression d'avoir débranché l'ADSL ... et faute de logs la chasse aux ports devient un sport réservé à une élite )

Existe-t-il, par exemple, des sites où l'on décrit en détail ce qui soutend un paramétrage d'un fw évolué ou quelque chose d'approchant ? Des infos en mode "bite et couteau", niveau actuel de l'interface de config de mon jouet ...

Merci d'avance

[wolfvorine]

Salut ,

Deja commence par nous donnée plus d'informations sur ton modem routeur
la marque, ref ..

Ensuite je pourrais peut etre t'aidez sur le mis en place des regle sur ton fw, et la mis en route des logs s'il en existe.

[Bronco78]

J'ai un USR 9003, modem routeur ADSL 1USB + 2 10/100. 1 10/100 sur un switch. Connecté en PPoE ou PPoA selon les humeurs de mon FAI (quand un mode merde trop pour accrocher, je swape). Gestion du DHCP local avec un switch derrière. Proxy et NAT actifs.

La doc USR est plus que succinct, seules les fonctions de connection sont décrites, mais dès qu'on part sur Firewall et Proxy ... nada, aucune info sur ce qui se passe effectivement.

Je sais paramétrer le FW, je pourrai probablement me débrouiller seul en faisant des essais, mais je manque de temps pour jouer et suivre les ports au fur et à mesure des ennuis... D'où ma recherche d'une "checklist" rapide, pour gagner du temps et ne pas oublier de ports cachés ou peu utilisés.
Le mode de configuration recherché est de tout fermer et d'ouvrir les ports nécessaires avec parcimonie et à bon escient.

Les usages sont triviaux :
- Surf (IE6 pour le moment, Mozilla bientôt en test, les besoins doivent être identiques) et download, SSL actif, ftp (in/out), MSN, mail (accès POP, SMTP, IMAP)
- net time, et updates diverses (Windows, norton live update, adobe ...)
- Eventuellement, VPN et jeux en ligne ultérieurement, mais je n'ai pas le besoin aujourd'hui

D'avance merci

[wolfvorine]

Voila ce que je te propose:

LAN ==> NET autorise
NET ==> LAN drop

Normalement si ton routeur/firewall est statfull, tu n'auras pas besoin de mettre en place une regle de retour vers ton LAN pour ce qui est du port TCP 80, TCP 443, TCP 21 et 22, TCP 110 et TCP 25.....

J'ai mis un exemple de règle firewall/routeur avec Nat statique dans un poste.
Je t'invite ICI

[Bronco78]

Ok, çà devrait le faire.

J'ai aussi trouvé 2 sites en tirant les ficelles :

http://www.pcflank.com/fw_rules_db.htm
et
http://www.iana.org/assignments/port-numbers

le premier donne pour les principaux logiciels les ports utilisés, et le second la liste exhaustive des ports réservés.

Je te remercie

[wolfvorine]

Le site PCflank te permet aussi de test l'efficacite de ton fw, test de port ouvert de 0 à 1024 et un autre pouvant allez jusqu'au 65535.

test des port utilise pour les trojan .... et j'en passe.

[Bronco78]

J'ai vu, mais la limite de ces tests est très vite atteinte quand tu as un routeur dans ta conf, car tu teste les ports ouverts suir le routeur, pas ceux du PC.

Je suis blindé en niveau 1, maintenant je m'occupe du niveau 2

[wolfvorine]

Pour les tests de trojan je suis d'accord avec toi.
Mais le but premier d'un routeur/firewall est d'intercepter les paquet IP avant de les router sur ton LAN, il est donc normale que les tests sont effectués sur le routeur et non sur ton pc.

[Bronco78]

Objection ...

Il est normal que les tests s'arrêtent au routeur, ne serait-ce que parce que d'une part prendre en compte toutes les confs possible est infaisable, d'autre part des tests trop poussés pourraient paraître ambigus.

Mais un bon hacker peut contourner le premier niveau, et c'est là que le bridage du deuxième niveau devient important car c'est lui, in fine, qui est sensible. Sauf si je suis certain que mon routeur est impiratable par construction, mais là les infos manquent pour être sure.

A vue de nez car je n'ai pas les outils pour vérifier, j'ai le sentiment d'être attaqué en déni de service assez régulièrement (2 fois par mois environ en moyenne). Tant que je suis en IP variable, il suffit de rebooter le routeur, mais le jour, proche j'espère, où je vais passer en IP fixe pour cause de dégroupage, je préfére être blindé.