Discussion :

[Trebly]

Bonjour,

J'ai lancé une discussion qui n'a généré aucune réponse .
A la fin figurait une (des) question(s) concernant l'interprétation des audit d'évènements.

Comment lire et comprendre pour les évènements réseau :
1- "Type d'évènement"
2- "protocole" (indiqué par un numéro)
3- "port"
Les autres contenus étant supposés facilement interprétables.

Je fournis ici la réponse qui, non spécialiste réseaux, m'a demandé un certain temps de travail :

1. Les codes de type d'évènements (échecs) : http://www.microsoft.com/en-us/downl....aspx?id=21561 vous pourrez télécharger un fichier xls donnant la liste des codes d'évènements.
2. Les numéros de protocoles :
   
   • By Sockets : http://www.sockets.com/protocol.htm. donne l'utilisation des 255 numéros de protocoles, les familles (car les codes courants désignent le plus souvent des familles), les noms exacts, la référence aux normes appliquées.
   • By MS :
   • By IANA : http://www.iana.org/assignments/prot...ol-numbers.xml
3. Les numéros de ports et de protocoles et services liés :
   
   • IANA :http://www.iana.org/assignments/serv...rt-numbers.xml
   • MS :
   • Autre (T1shopper) : donne une liste de tous les ports avec un lien descriptif : http://www.t1shopper.com/tools/port-number/
4. REBOL : Une brève synthèse sur les protocoles courants : http://www.rebol.com/docs/core23/rebolcore-13.html

Pourquoi et en quoi ces liens sont utiles (me sont et pourront l'être à d'autres) :
De manière générale pour lire et exploiter un rapport d'audit et/ou des logs de firewall quand des anomalies apparaissent, donc :

1. Pour interpréter les audit d'évènements réseau (faire correspondre les numéros de protocoles et de ports à des noms, du texte, des services, des normes, des contraintes, l'historique)
2. Debugguer des erreurs de règles spéciales de firewalls (des règles peuvent bloquer des blocs de data essentiels)
3. Mettre au point des règles de firewall (affiner les règles en faisant disparaitre des échecs anormaux)
4. Comprendre pourquoi un firewall trop strict peut bloquer des fonctions système (trouver une relation entre dysfonctionnements et règles, l'utilisation des ports et protocoles sous windows 7 peut créér des situations inattendues)
5. Définir des règles très précises de firewall ouvrant les portes utiles mais pas trop (limiter l'ouverture de communications avec certaines machines à certains services tant en réseau local que via le net, en utilisant la normalisation protocoles-ports-services)
6. utiliser soi-même des ports spéciaux libres sans problème pour améliorer la sécurité tout en évitant d'utiliser des ports réservés.

Pour ma part avec plus de quinze ans à faire tourner des réseaux assez simples (10 postes), avec un contexte à quelques postes, mais plus de protocoles introduits (dont UpNp IGD multimedia), des sécurités renforcées à cause de l'intégration d'un serveur internet, j'ai la preuve quasi certaine que : le sujet :
Blocage de l'explorateur de périphériques et analyse d'audit a pour origine des règles de firewall trop restrictives...
Maintenant si j'ouvre certaines portes, des problèmes sont résolus mais d'autres (plus sévères) apparaissent. Et personne (que je connaisse) n'a une configuration équivalente.
Et, enfin, quant à une ré-installation trop souvent conseillée, elle n'aurait strictement aucun intérêt puisque l'on obtiendrait à coup sûr la même situation après avoir tout réinstallé et que le système, en tant que tel, n'a pas de défaut, pas plus que la base de registre...

En espérant avoir été utile.
Cordialement

Trebly