J'ai volontairement catégorisé ce programme à destination des utilisateurs avertis, car les termes utilisés pourront apparaitres abscons pour qui n'a pas de connaissances basiques en réseaux, et dans le programme, les différentes fenetres apparaitront en anglais
Ensuite, et c'est le plus important, une fausse manip (bien que le programme détermine des "recomanded" à chaque étape) peut engendrer des problèmes par la suite. Dans l'absolu, il n 'y a pas de risques majeurs mais...
PRESENTATION :
Il existe tout un tas de petits programmes, comme ZebProtect http://telechargement.zebulon.fr/zeb-protect.html qui permettent de fermer les ports les plus dangereux, et d'autres, moins connus qui s''occupent des paramètres mal configurés par windows et qui vous éviteront des attaques ICMP (un message ICMP de type 5 peut permettre une redirection et passera à travers le firewall),bref tout ce qui touche à la pile IP (Netbios, SYN, SYN-ACK, ...) des attaques "Denial of service" et autres attaques réseaux.
Evidemment tout cela peut se faire en faisant un petit tour par la base de registre mais c'est fastidieux (expérience perso)
par exemple pour une protection ICMP :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Modifiez la valeur REG_DWORD : EnableICMPRedirect en lui affectant la valeur 0
Juste contre le SYN FLOOD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Ajouter la valeur REG_DWORD : SynAttackProtect en lui affectant la valeur 2
Ajouter la valeur REG_DWORD : TcpMaxHalfOpen en lui affectant la valeur 100
Ajouter la valeur REG_DWORD : TcpMaxHalfOpenRetried en lui affectant la valeur 80
Ajouter la valeur REG_DWORD : TcpMaxPortExhausted en lui affectant la valeur 5
Ajouter la valeur REG_DWORD : EnableDeadGWDetect en lui affectant la valeur 0
Ajouter la valeur REG_DWORD : KeapAliveTime en lui affectant la valeur 300000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\
Ajouter la valeur REG_DWORD : NoNameReleaseOnDemand en lui affectant la valeur 1
Ajouter cette clé "Parameters" et les valeurs qui suivent dans votre base de registres :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\
Modifiez la valeur REG_DWORD : EnableDynamicBacklog en lui affectant la valeur 0
Modifiez la valeur REG_DWORD : MinimumDynamicBacklog en lui affectant la valeur 20
Modifiez la valeur REG_DWORD : MaximumDynamicBacklog en lui affectant la valeur 20000
Modifiez la valeur REG_DWORD : DynamicBacklogGrowthDelta en lui affectant la valeur 10
et ce n'est là qu'une toute petite partie..... (Extrait d'une doc de Tesgaz sur Zébulon.fr)
Autre exemple :
http://utilities4life.blogspot.com/2007 ... -ddos.html
On est alors content de trouver un programme qui se charge de tout
LIEN DE TELECHARGEMENT :
http://sniffem.exaserve.net/Hardenit.exe
LE SITE
http://www.sniff-em.com/index.shtml
(il semble y avoir un autre outil gratuit du nom de Secure-It interessant que je n'ai pas testé)
USAGE :
Il suffit de lancer l'excutable, qui après la présentation et l'accepation d'usage, vous offre la possibilité de procéder aux modifications OU ou le retour au réglages d'origine
Ensuite les questions et actions sont simples.
A savoir, les modifications sont différentes suivant l'usage "WorkStation" ou "'Serveur" (qui est proposé quand cela est necessaire) et dans le doute il y a souvent une ligne "recomanded" pour éviter le pire :-)
QUE FAIT HARDEN-IT ? :
(Désolé j'ai la flemme de toute traduire mais le programme est en anglais de toutes les façons)
Network Hardening Details :
• Adjusts retransmission of SYN-ACKS. The connection responses time out more quickly during a SYN flood.
• Determines how many connections the server can maintain in the half-open (SYN-RCVD) state before TCP/IP initiates SYN flooding attack protection.
• Determines how many connections the server can maintain in the half-open (SYN-RCVD) state even after a connection request has been retransmitted.
• Specifies the threshold of TCP connection requests that must be exceeded before SYN flood protection is triggered.
• Controls how many times a SYN-ACK is retransmitted before canceling the attempt when responding to a SYN request.
• Determines how many times TCP retransmits an unacknowledged data segment on an existing connection. TCP retransmits data segments until they are acknowledged or until this value expires.
• An attacker could force the MTU to a very small value and overwork the stack by forcing the server to fragment a large number of packets.
• This setting controls how Windows manages connection keep alive transmissions. Specifies how often TCP attempts to verify that an idle connection is still intact by sending a keep-alive packet.
• A denial of service (DoS) attack against Windows servers is to send it a "name release" command. This will cause it to release its NetBIOS, preventing clients from accessing the machine
• Internet Control Message Protocol (ICMP) redirects cause the stack to plumb host routes.
• Disables ICMP Router Discovery Protocol (IRDP) where an attacker may remotely add default route entries on a remote system.
• Determines whether TCP performs dead gateway detection. An attacker could force the server to switch gateways, potentially to an unintended one.
• Specifies AFD.SYS functionality to withstand large numbers of SYN_RCVD connections efficiently.
• Specifies the minimum number of free connections allowed on a listening endpoint. If the number of free connections drops below this value, a thread is queued to create additional free connections.
• Specifies the maximum total amount of both free connections plus those in the SYN_RCVD state. Set to lowest for Workstations!
• Specifies the number of free connections to create when additional connections are necessary.
• This parameter is used to prevent address sharing (SO_REUSEADDR) between processes so that if a process opens a socket, no other process can steal data from it.
• NAT is used to screen a network from incoming connections. An attacker can circumvent this screen to determine the network topology using IP source routing. Disables IP source routing.
• Processing fragmented packets can be expensive. Although it is rare for a denial of service to originate from within the perimeter network, this setting prevents the processing of fragmented packets.Prevents the IP stack from accepting fragmented packets.
• Multicast packets may be responded to by multiple hosts, resulting in responses that can flood a network. The routing service uses this parameter to control whether or not IP multicasts are forwarded. This parameter is created by the Routing and Remote Access Service.
• Your computers running Windows may be responding to Address Mask requests on the network, which could enable malicious users to discover some of your network topology information.
• By default, the DNS resolver accepts responses from the DNS servers that it did not query. This feature speeds performance but can be a security risk.
• Malicious User Can Shut Down Computer Browser Servic. An vulnerability exists in the computer browser protocol ResetBrowser frame that could allow a malicious user to shut down a computer browser on the same subnet, or shut down all of the computers browsers on the same subnet.
• Windows NT has a feature where anonymous logon users can list domain user names and enumerate share names.Users who want enhanced security have requested the ability to optionally restrict this functionality.
• A hidden share is identified by a dollar sign ($) at the end of the share name. Hidden shares are not listed when you look through the shares on a computer or use the net view command. If enabled this option will hide all the administrative shares.
• Determines how many times TCP sends an Address Request Packet for its own address when the service is installed. This is known as a gratuitous Address Request Packet.
• Determines the time that must elapse before TCP can release a closed connection and reuse its resources. This interval between closure and release is known as the TIME_WAIT state or 2MSL state.