Attaque réseau

[angelique]

faut que tu m'expliques là greywolf car le reseau et moi ça fait 2^^

 

ça roule sans soucis comme ça!!

[S.Birkoff]

Bonsoir tout le monde ,

 

 

et ta résolution DNS tu la fais comment?

 

Hmm..que ne comprends tu pas ? Résolution DNS c'est juste pour mettre un nom sur une adresse ip lorsque tu surf, et je crois bien que cela utilise le protocole udp...(greywolf va me flinguer si je dis une c***** )

 

Violi voilà...

 

Bonne soirée

Birkoff

Modifié le 31 janvier 2006 par S.Birkoff

[angelique]

bah ouai!! mais za pro est configuré avec entre autre "bloquer udp entrants et sortants ds zones sures et zones internet de (1-65535)",donc c'est pour ça je pige pas la question!!

 

et en regardant mes historiques j'ai rien en rentrant comme udp,juste de tmp en tmp(meme si za est censé bloquer) un udp sortant(tres rarement) ou tcp sortant et plusieurs tcp sortant quand je suis sur le net,mais j'ai rien de rentrant!

[S.Birkoff]

.....ah bon Bon ben je suis aussi paumé que toi Attendons l'explication de Greywolf

[Greywolf]

DNS utilise le protocole UDP sur le port 53 pour les requêtes "courtes" et TCP 53 pour les requêtes longues (transfert de zone notamment)

 

Sous windows, c'est svchost qui se charge de ça je crois; tu as forcément du autoriser des requêtes DNS quelquepart, soit spécifiquement au niveau de la couche liaison soit au niveau de l'application "resolver" (svchost si mes souvenirs sont bons) et comme svchost fait beaucoup de choses autres que la résolution DNS, il est fort probable que ton ZA, au travers de l'autorisation de svchost, laisse passer d'autres trucs.

 

Pour les règles d'un firewall, il faut savoir que le paquet intercepté est analysé récursivement contre la liste des règles dans leur ordre d'apparition

 

une liste de règles comme suit autorisera toujours la résolution DNS puisque la première règle "matchée" est la première de la liste:

 

svchost -> autoriser

UDP In/Out -> interdire

 

si tu mets en tête de liste

TCP In/Out -> interdire

UDP In/Out -> interdire

 

il est peu probable que tu arrives à surfer correctement (ou alors il te faut te poser des questions sur ton firewall)

 

//tu as pensé à faire logger les paquets sortants autorisés et non pas uniquement ceux qui sont bloqués?

[angelique]

j'ai plus ça:

 

TCP In/Out -> autoriser

UDP In/Out -> interdire

 

les ports sensibles st automatiquement masqués par za!

 

les paquets sortant vont tous vers les ip de mon fai!

[Greywolf]

TCP In/Out -> autoriser

 

tu autorises toutes les connexions entrantes et sortantes TCP

 

ben faut pas chercher plus loin, il est là le trou...

 

les paquets sortant vont tous vers les ip de mon fai!

 

si tu as mis en zone sûre, les adresses de DNS de ton FAI, les paquets sont autorisés (ZA doit alors faire un override des règles pour les zones sûres)

[angelique]

je n'autorise pas ds za,je ne defini aucune regles pour le tcp/ip!

il s'en charge automatiquement.

et je persiste et signe en disant que je n'ai pas de tcp/ip ni udp entrant ds l'historique de za!

 

Tous les tests de secu me donne le resultat "masqué"

 

ZA doit alors faire un override des règles pour les zones sûres

 

override!! un peu du chimois pour moi

bon le principal c'est que je sois pas agréssée

[megataupe]

Bonsoir à tous . Pour compléter les excellentes explications de

Greywolf, je constate que sur Look'n'Stop il existe une option

'Contrôler les appels DNS' qui, je pense, surveille le service

svchost :

 

'Contrôler les appels DNS': permet de détecter les applications

qui se connectent à internet pour effectuer des résolutions

d'adresse (alors que ce service est normalement centralisé sous

Windows 2000/XP et que ces appels peuvent passer inaperçus).

 

J'ignore par contre, si un pare feu comme ZA intégre cette fonction.

[Greywolf]

Tous les tests de secu me donne le resultat "masqué"

 

ça, c'est pour les TCP Syn entrant qui n'appartienne à aucune session active, ZA fait son boulot vis à vis de l'extérieur, normal.

 

je n'ai pas de tcp/ip ni udp entrant ds l'historique de za!

 

normal, également que les paquets appartenant à une connexions liée ou existante n'apparaisse pas même s'ils sont entrants, c'est du stateful inspection => les réponses à des connexions initiées par ton PC sont automatiquement acceptées si les ID session sont concordants.

Note: UDP étant un protocole déconnecté, le contrôle d'état se fait uniquement sur une base temporelle.

 

je n'autorise pas ds za,je ne defini aucune regles pour le tcp/ip!

il s'en charge automatiquement.

 

ça fait longtemps que j'a vu un ZA, mais comme tu le dis, s'il s'en charge automatiquement, c'est qu'il doit laisser passer tes requêtes DNS car il considère que c'est du traffic légitime.

 

Afin de tester si ton firewall est correctement configuré et ne laisse pas passer des connexions DNS sortantes à ton insu, peux-tu:

-créer une règle spéciale bloquant intégralement et totalement svchost.exe que tu places en tête de file et faire une résolution de nom (nslookup)?

 

-créer une règle bloquant les connexions sortantes TCP et UDP à destination du port 53 0.0.0.0/0 et faire une résolution de nom?