[OK]configuration de kerio

[Nadine]

Bonjour

J'ai kerio 2.15 et je ne sais pas le configurer pour fermer certains ports.
Pourriez-vous m'indiquer la marche à suivre?

Merci d'avance

[Titus]

Salut,

Fermer certains ports? Ils apparaissent ouverts lors d'un scan?

Pour ce qui est de personnalisations, ce site est super: http://babin.nelly.free.fr/kerio.htm , en adaptant un peu, tu trouveras ce que tu cherches.

Et pour peaufiner, tu as http://www.pcflank.com/fw_rules_for_app.htm?appid=122

[Nadine]

merci Titus

en effet ils appraissent ouverts lors d'un scan là :

http://check.sdv.fr/




J'essaie donc de comprendre, sachant que j'ai kerio, plus passerelle servant de routeur.
Je voudrais déjà fermer le port 21, car je suis sûre que je peux le fermer

Quant aux 3 autres, je ne sais pas si je dois les fermer:
80 c'est bien pour l'accès au net ?
5800, 5900 c'est pour Vnc, donc si je ferme ne vais-je pas mettre le binz ?

[Nemric]

Salut,

Tu as un routeur/passerelle !

ca vaut dire que ces ports ne se sont pas ouvert pas hasard ! il faut le faire expres ! par defaut un routeur n'a aucun port ouvert

le mieu c'est de parametrer ta passerelle, et d'effacer ou desactiver les "transferts de port" !

pour ce faire, microsoft et moi même te dirais "en cas de probleme demandez a la personne qui gere votre reseau"
en effet, il y a plusieurs facon de parametrer son routeur mais generalement, on peut y acceder en tapant http://192.168.0.1 ou 192.168.0.254 mais bon ... dis nous en plus sur ton routeur stp

Je voudrais déjà fermer le port 21

oui, deja, c'est un port sensible ! il s'agit du FTP

80 c'est bien pour l'accès au net ?

oui et non :
ce port ouvert sur ton pc signifie que TU heberges un site
en fait, lorsque tu visite un site http, ta demande de connexion part de n'importe quel port mais va "toujours" sur le port 80 du serveur web
ex
ton ip est n.a.di.ne et tu visite infoprat a l'adresse in.fo.pr.at
la connexion ressemblera a (apres les : le port)
n.a.di.ne:1234 --> in.fo.pr.at:80

ainsi, pour acceder a ton site, je taperais http://n.a.di.ne:80 (le :80 est implicite dans ton navigateur puisque reservé pour le http, mais si tu tape http://infoprat.net:80 le resultat est le même)

donc, comme le ftp, il faut le fermer, sauf si tu heberge un site chez toi

5800, 5900 c'est pour Vnc, donc si je ferme ne vais-je pas mettre le binz ?

c'est toit qui choisi :
si tu le ferme, personne ne pourra acceder a ton vnc (pour rappel : qui sert a prendre le controle de ta machine) sinon, tout le monde peut le faire !

De facon absolue, tout port ouvert abouti a un service que tu rend (en vocabulaire info, infoprat est un serveur et tu est cliente, vnc est un serveur, la personne qui voit ton ecran est un client ) s'il ne t'est pas utile, ferme le port et/ou desactive le service

je sais pas si tout est clair ...

Nemric

[Nadine]

OK Nemric c'est tout clair pour moi.
Je viens d'avoir confirmation de mon admin réseau, ils ont été ouverts manuellement

Je vais donc fermer les port 21 et 80 qui n'ont été ouverts que pour des tests à partir de mon ordi. (Heureusement que j'suis là pour fermer les portes après les tests )


J'ai compris ce que tu expliques sur VNC, car je connaissais la théorie sur ce log. Mais que la théorie.
Je vais laisser ouverts les ports 5800 et 5900 car mon admini réseau estime avoir besoin d'utiliser VNC à partir de mon ordi

Merci à vous

[Nemric]

Salut,

N'empeche qu'il y a un probleme !
Quoi qu'il en soit, ce n'est pas prudent de laisser vnc accessible a tout internet, puisque la seule barriere a une intrusion reseau est le mot de passe de vnc !
il ne faut pas oublié qu'il y a un paquet de personnes bien plus callées que nous, et qu'un mot de passe n'effaie pas !

conseil :
- prendre connaissance des IP sources (ip internet, sur le reseau LAN on s'en fou) des clients vnc habituels (les administrateurs de ton reseau)
- utiliser un firewall pour limiter l'acces a ces seules adresses ip

[Nadine]

Bonjour nemric

Heuuuuuuu , mon admin réseau a la même IP que moi, vu que son PC est aussi ds ma maison


Avec kerio, Il suffit que je limite l'ouverture de ces ports à mon adresse IP c'est ça ?

[Nemric]

Oh oh !

mon admin réseau a la même IP que moi, vu que son PC est aussi ds ma maison

1 - On est donc dans le cas d'une administration LOCALE ... ce n'est donc pas utile d'ouvrir l'acces depuis internet ... les ports peuvent êtres fermés sans mettre le binz

2 - vous avez pas la même ip, mais vous avez la même ! Ah ah !
En fait, sur internet, vous avez la même ip, mais pas sur le reseau local.
en fait ton reseau ressemble a ca :

internet
|
|
ip du modem/routeur zone internet : 123.456.789.123
modem/routeur
ip de la passerelle en zone locale : 192.168.0.254
|
|
|--pc administrateur personnel de nadine 192.168.0.1
|--pc nadine 192.168.0.2

zone securisée
zone dangereuse
intermedaire avec 2 cartes reseaux

en gros lorsque vous allez sur le net, votre ip "vue" par le site est 123.456.789.123, mais, en local, vous avez une ip differente 192.168.0.1 et 192.168.0.2

un routeur fait le lien entre les 2 ip locales et l'ip internet grace à la fonction NAT (network adress translation : translation d'adresse reseau), c'est entre autre ce qui permet d'aller sur internet, a plusieurs, avec 1 seule connexion/adresse ip externe. c'est la dessus que repose tout internet, l'interconnexion des reseaux commence ici, chez toi !

[Nadine]

vous avez pas la même ip, mais vous avez la même ! Ah ah !
En fait, sur internet, vous avez la même ip, mais pas sur le reseau local.
en fait ton reseau ressemble a ca :

Vi vi je suis daccord avec tout ça Nemric.
Donc en gros, tu me dis d'aller chercher mon rouleau à patisserie pour régler le prob avec mon admin réseau qui a osé laisser des ports ouverts sur mon PC alors qu'il les avait fermés sur le sien

Mon problème est résolu, merci beaucoup et merci aussi à Titus pour les sites sur kerio.

[Nemric]

Donc en gros, tu me dis d'aller chercher mon rouleau à patisserie pour régler le prob avec mon admin réseau qui a osé laisser des ports ouverts sur mon PC alors qu'il les avait fermés sur le sien

pas du tout, les ports sont ouverts sur le routeur, et redirigés soit sur ta machine, soit sur la sienne ... en tout cas une de vos machine est accessible depuis internet, avec comme seule protection un mot de passe. (d'ailleurs, il vaut mieu que ce mot de passe ne soit pas un mot du dictionnaire, contenant des lettres, chiffres et symbols d'au moin 6-8 caracteres)

Mon problème est résolu

oui, mais je pense deja a ton prochain probleme. Avez vous besoin d'autoriser n'importe qui à prendre potentielement le control total d'une de vos machine a partir d'internet ?

je suis penible hein ?

[Nadine]

Nan, nan t'es pas pénible, c'est juste que ce n'est pas du tout mon domaine et que je cernais pas bien le problème, car il me semblait que je pouvais intervenir de mon PC.