Tester une politique de firewall

boubz013 · 09/12/2010, 01h17

Bonsoir,

Voila j'essaie de comprendre comment peut-on creer des paquet dans le but de connaitre la politique d'un firewall;

J'essaie de formuler correctement ma question

Quels sont les critéres qui pourrait me permettre d'identifier plus ou moins les régles de filtrages ?

cad par exemple en fonction de temps de réponse, du paquet envoyé ... (des exemples

)

Si vous avez une documentation je suis preneur parce que j'ai cherché partout j'ai pas trouvé ce que je cherchais.

Merci !

ram-0000 · 09/12/2010, 08h51

Faire du reverse engeenering sur une politique de filtrage firewall, vaste problème.

Il n'y a pas de réponse complète et absolue à ce problème.

D'abord, une politique de filtrage est faite avec les éléments suivants :

protocole de couche 4 (tcp, udp, icmp, spx, ...)
adresse source (sur IPV4, c'est 4 294 967 295 d'adresses)
adresse destination
port source (si cela a un sens pour le protocole concerné). Sur TCP et UDP, c'est 65535 ports.
port destination (si cela a un sens pour le protocole concerné)

Avec ces quelques paramètres, on peut voir qu'il y a potentiellement un nombre gigantesque de règles différentes.
Pour ajouter un peu en complexité, il est possible de rajouter la notion d'heure (certains protocoles ou IP interdites de 12H00 à 14H00 par exemple).

Je dirais donc que quelleque soit la méthode que tu utilises, tu ne seras jamais sûr d'avoir la configuration complète de filtrage du firewall.

Autre problème, en général, un firewall est discret, c'est à dire qu'il ne prévient pas quand il jette un paquet, il le fait silencieusement et c'est tout. Tu ne peux même pas tenir compte de ces réponses ou non réponses. C'est tellement discret un firewall que certains même ne modifient pas le TTL d'un paquet IP pour ne pas montrer qu'il y a un équipement de routage/filtrage sur la route.

Une approche que l'on avait suivi il y a quelques années était le principe de la sonde (mais le but n'était pas le même, il s'agissait de valider le firewall).

On envoyait un paquet sur une interface, on connaissait la politique de filtrage appliquée, il y avait une sonde sur l'interface de sortie qui disait au programme émetteur si elle voyait on non un paquet.

Cela avait pour but de valider qu'un firewall particulier en cas de très forte sollicitation ne devenait pas une passoire sous prétexcte qu'il n'avait pas le temps de tester tous les paquets.

benjmarwen · 09/12/2010, 09h38

Bonjour,
Je vais ajouter quelques lignes, juste pour enrichir ce qu'a dit ram-0000, car il a bien entouré le périmètre de la problématique :

Citation:

Quels sont les critéres qui pourrait me permettre d'identifier plus ou moins les régles de filtrages ?

http://www.symantec.com/connect/arti...ction-part-one....
Ça dépend de ton algorithme que tu veux implémenter, en général implémenter une politique de filtrage est très spécifique à chacun, ça dépend des services qui tourneront derrière...etc

Tu peux te baser par exemple, sur l'algorithme : snort, portsentry...et puis optimiser.

boubz013 · 09/12/2010, 19h57

Merci de vos réponses

En faite je m'interesse beaucoup à la cartographie d'un réseaux;

J'essaie de repérer la présence d'un firewall sur un réseaux, les ports qui y sont activés avec la commande traceroute et hping ...

Voila je vous explique, imaginons que lorsque je fais un traceroute sur une destination :

Et que j'obtiens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
9  75.30.0.50  33.981 ms  32.001 ms  28.266 ms
10  * * *
11  22.66.66.66  123.230 ms  125.057 ms  123.989 ms
12  22.66.66.66  137.152 ms !H  136.482 ms !H  122.985 ms !H

Les commandes traceroute sous linux par defaut envoient des paquets UDP

Donc là on voit que ca bloque au niveau du saut 10 pour ensuite atteindre notre machine destination 22.66.66.66

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

hping3 -S -t 10 -p 80  22.66.66.66 -c 1

Ici j'essaie d'envoyer un paquet SYN sur le port 80 ayant pour en tete TTL 10

Impossible d'obtenir une réponse favorable de la part de la machine pourtant j'ai essayé tous les services étant ouvert sur 22.66.66.66

Alors comment puis-je trouver l'adresse de ce firewall, ses ports actifs etc alors que je n'ai aucun liens avec lui seulement un TTL de 10

Merci !!

ram-0000 · 11/12/2010, 17h37

Citation:

Envoyé par boubz013

Alors comment puis-je trouver l'adresse de ce firewall, ses ports actifs etc alors que je n'ai aucun liens avec lui seulement un TTL de 10

S'il est discret, il ne te répondra pas et tu ne sauras pas.

Essaye avec les options IP "Record Route" (regarde dans la RFC 791 pour plus de détails) mais j'ai un doute qu'il renseigne ce genre d'info.

Autre solution, tu regardes la conf routeur 9 (en te connectant dessus) pour connaitre l'adresse du prochain saut sur le routeur 10 (mais j'ai aussi un gros doute sur la possibilité de se connecter sur le routeur 9

).

boubz013 · 11/12/2010, 19h29

A OUI je vois c'est du genre

je vais lire le RFC 791 !

Par contre j'ai une derniére question, imaginons que je scanne les ports d'une machine x.xx.xx.xx, et que je vois un port par exemple 1234 actif

Je peux me demander "mais sur quelle machine est activée ce port ?"

Est ce que si je fais un traceroute en TCP sur ce port je peux avoir l'adresse de la machine?

Puisque si je réalise bien: j'envoie un paquet sur le routeur, mon paquet arrive sur l'interface externe du routeur xx.xx.xx.xx, le routeur analyse le datagramme et voit que le port destination et bon, donc il route mon paquet peu étre à un firewall noté ww.ww.ww.ww , celui ci me le redirige vers la bonne machine rr.rr.rr.rr et donc sur mon traceroute j'aurais bien l'adresse de rr.rr.rr.rr normalement nan ?

Merci

ram-0000 · 12/12/2010, 10h57

J'ai l'impression que tu mélanges un peu 2 choses différentes.

D'un côté, il y a la configuration du routeur (ou firewall) qui le rend discret de manière à ne pas divulguer d'informations personnelles. C'est la raison des "*" dans le résultat du traceroute et c'est pourquoi je pense aussi que les options "Record Route" ne fonctionneront pas sur lui. Il est discret et il le restera pour ne pas se dévoiler.

D'autre part, il y a la politique de filtrage appliquée sur ce routeur/firewal qui autorise ou non un paquet à transiter. Dans ton cas, les paquets traceroute sont autorisés à transiter et c'est pour cela que tu "vois" les réseaux au delà de ce routeur discret.

Si tu peux voir le port 1234 sur une machine au delà de ce routeur/firewall, c'est que ce routeur/firewall l'autorise et d'ailleurs, il n'a peut être même pas de politique de filtrage si c'est un routeur de FAI (mis à part celle qui protège le routeur/firewall contre les petits curieux).

slyz0r · 13/12/2010, 14h15

En mettant le TTL à 10, le paquet n'est pas tout simplement jeté par le supposé firewall ? Je comprend pas trop à quoi ca va te servir de le mettre à 10 ?

slyz0r · 14/12/2010, 12h19

Je me trompe ?

09/12/2010, 01h17	#1
boubz013 Membre à l'essai yoni Inscription : février 2010 Messages : 110 Détails du profil Informations personnelles : Nom : yoni Informations forums : Inscription : février 2010 Messages : 110 Points : 22 Points : 22	Tester une politique de firewall Bonsoir, Voila j'essaie de comprendre comment peut-on creer des paquet dans le but de connaitre la politique d'un firewall; J'essaie de formuler correctement ma question Quels sont les critéres qui pourrait me permettre d'identifier plus ou moins les régles de filtrages ? cad par exemple en fonction de temps de réponse, du paquet envoyé ... (des exemples ) Si vous avez une documentation je suis preneur parce que j'ai cherché partout j'ai pas trouvé ce que je cherchais. Merci !
	00

09/12/2010, 08h51	#2
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 471 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 471 Points : 10 993 Points : 10 993	Faire du reverse engeenering sur une politique de filtrage firewall, vaste problème. Il n'y a pas de réponse complète et absolue à ce problème. D'abord, une politique de filtrage est faite avec les éléments suivants : protocole de couche 4 (tcp, udp, icmp, spx, ...) adresse source (sur IPV4, c'est 4 294 967 295 d'adresses) adresse destination port source (si cela a un sens pour le protocole concerné). Sur TCP et UDP, c'est 65535 ports. port destination (si cela a un sens pour le protocole concerné) Avec ces quelques paramètres, on peut voir qu'il y a potentiellement un nombre gigantesque de règles différentes. Pour ajouter un peu en complexité, il est possible de rajouter la notion d'heure (certains protocoles ou IP interdites de 12H00 à 14H00 par exemple). Je dirais donc que quelleque soit la méthode que tu utilises, tu ne seras jamais sûr d'avoir la configuration complète de filtrage du firewall. Autre problème, en général, un firewall est discret, c'est à dire qu'il ne prévient pas quand il jette un paquet, il le fait silencieusement et c'est tout. Tu ne peux même pas tenir compte de ces réponses ou non réponses. C'est tellement discret un firewall que certains même ne modifient pas le TTL d'un paquet IP pour ne pas montrer qu'il y a un équipement de routage/filtrage sur la route. Une approche que l'on avait suivi il y a quelques années était le principe de la sonde (mais le but n'était pas le même, il s'agissait de valider le firewall). On envoyait un paquet sur une interface, on connaissait la politique de filtrage appliquée, il y avait une sonde sur l'interface de sortie qui disait au programme émetteur si elle voyait on non un paquet. Cela avait pour but de valider qu'un firewall particulier en cas de très forte sollicitation ne devenait pas une passoire sous prétexcte qu'il n'avait pas le temps de tester tous les paquets. __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	10

12/12/2010, 10h57	#7
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 471 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 471 Points : 10 993 Points : 10 993	J'ai l'impression que tu mélanges un peu 2 choses différentes. D'un côté, il y a la configuration du routeur (ou firewall) qui le rend discret de manière à ne pas divulguer d'informations personnelles. C'est la raison des "*" dans le résultat du traceroute et c'est pourquoi je pense aussi que les options "Record Route" ne fonctionneront pas sur lui. Il est discret et il le restera pour ne pas se dévoiler. D'autre part, il y a la politique de filtrage appliquée sur ce routeur/firewal qui autorise ou non un paquet à transiter. Dans ton cas, les paquets traceroute sont autorisés à transiter et c'est pour cela que tu "vois" les réseaux au delà de ce routeur discret. Si tu peux voir le port 1234 sur une machine au delà de ce routeur/firewall, c'est que ce routeur/firewall l'autorise et d'ailleurs, il n'a peut être même pas de politique de filtrage si c'est un routeur de FAI (mis à part celle qui protège le routeur/firewall contre les petits curieux). __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	10

11/12/2010, 19h29	#6
boubz013 Membre à l'essai yoni Inscription : février 2010 Messages : 110 Détails du profil Informations personnelles : Nom : yoni Informations forums : Inscription : février 2010 Messages : 110 Points : 22 Points : 22	A OUI je vois c'est du genre je vais lire le RFC 791 ! Par contre j'ai une derniére question, imaginons que je scanne les ports d'une machine x.xx.xx.xx, et que je vois un port par exemple 1234 actif Je peux me demander "mais sur quelle machine est activée ce port ?" Est ce que si je fais un traceroute en TCP sur ce port je peux avoir l'adresse de la machine? Puisque si je réalise bien: j'envoie un paquet sur le routeur, mon paquet arrive sur l'interface externe du routeur xx.xx.xx.xx, le routeur analyse le datagramme et voit que le port destination et bon, donc il route mon paquet peu étre à un firewall noté ww.ww.ww.ww , celui ci me le redirige vers la bonne machine rr.rr.rr.rr et donc sur mon traceroute j'aurais bien l'adresse de rr.rr.rr.rr normalement nan ? Merci
	00

13/12/2010, 14h15	#8
slyz0r Membre régulier Inscription : décembre 2009 Messages : 95 Détails du profil Informations forums : Inscription : décembre 2009 Messages : 95 Points : 70 Points : 70	En mettant le TTL à 10, le paquet n'est pas tout simplement jeté par le supposé firewall ? Je comprend pas trop à quoi ca va te servir de le mettre à 10 ?
	00

14/12/2010, 12h19	#9
slyz0r Membre régulier Inscription : décembre 2009 Messages : 95 Détails du profil Informations forums : Inscription : décembre 2009 Messages : 95 Points : 70 Points : 70	Je me trompe ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email