Discussion :

[tasna]

Bonsoir,

J'ai entendu parler dans des vidéos de piratage éthique de techniques avancées permettant de passer au travers de pare-feu.

Je n'ai pas tout compris à la vidéo vu que j'ai du mal à comprendre l'anglais parlé avec du bruit de fond et un mec qui n'articule pas tout le temps.

Je voudrais savoir par curiosité si il existe des techniques pour passer n'importe quel pare-feu. A part la technique du vol de session TCP.

Je voudrais savoir ça parce que j'en développe un et je voudrais savoir à quoi m'attendre comme résultat final. Est-ce que je dois m'attendre à ce que des pirates arrivent à passer au travers ou qu'ils soient tous bloqués selon les règles définies.

En plus quand j'entends souvent dire "Ce qu'un informaticien peut faire, un autre peut le défaire" je me demande si c'est vrai.

Je me demande ça aussi parce que j'ai configuré mon pare-feu pour interdire toute donnée entrante IP, UDP, TCP et ICMP si je n'ai pas autorisé mon PC à établir le contact en premier et je voudrais savoir si quelqu'un peut quand même le passer.

D'avance merci.

[MiaowZedong]

Je voudrais savoir par curiosité si il existe des techniques pour passer n'importe quel pare-feu. A part la technique du vol de session TCP.

N'importe quel pare-feu? Je ne crois pas. Mais un firewall donné aura sûrement des failles, le software parfait n'existe pas.

En plus quand j'entends souvent dire "Ce qu'un informaticien peut faire, un autre peut le défaire" je me demande si c'est vrai.

Ça n'est pas vrai en crypto

En informatique "pure", a priori je dirais que ça n'est vrai qu'avec des accès équivalents, on peut faire beaucoup plus de choses à une machine à laquelle on a un accès physique.

[ptah35]

J'ai entendu parler dans des vidéos de piratage éthique de techniques avancées permettant de passer au travers de pare-feu.
D'avance merci.

D'après mes connaissances, tout dépend si le loup est déjà dans la bergerie ou non.

Très souvent un firewall d'entreprise laisse ouvert le port 443 et si c'est effectivement le cas, un programme malveillant pourrait utiliser ce port pour établir une communication --- du simple envoie de donnée à l'établissement d'un VPN, tout est possible --- avec un serveur laquelle ne peut être inspectée par le firewall. Mais cela implique, comme je le disais en préambule, l'existence d'un programme client à l'intérieur du périmètre.

Dans la plus part des cas, le firewall peut tout au plus être utilisé pour détecter et éventuellement interdire le traffic vers un serveur suspect.

De plus un firewall installé sur chaque machine avec des règles prenant en compte non seulement le port, la source et la destination du traffic mais également le processus qui est à l'origine de ce traffic permet de mitiger ce genre de risque, à condition bien sûr que les règles ne soit pas modifiable par le programme malveillant qui ne devrait bien entendu idéalement ne même pas pouvoir être installé ;-)

Maintenant, évidemment quand le firewall est inexistant ou mal configuré ou que des failles de serveurs publique se trouvant à l'intérieur du périmètre sont utilisés, c'est une tout autre histoire...

[tasna]

C'est évident qu'avec un malware qui a déjà infiltré une machine, l'établissement d'une connexion est beaucoup plus aisé mais si on imagine ce cas :

Mon PC avec Windows.
Dans une DMZ.
Avec le port du Bureau à distance en écoute (TCP 3389).
Un pare-feu qui n'autorise aucune connexion entrante.

Est-ce que quelqu'un peut se connecter au port TCP 3389 ?

(Tout en supposant que le pare-feu a été bien développé.)

EDIT :

Au contraire je pense qu'on peut développer le software parfait et que les seuls problèmes qui pourront lui arriver seront la cause du système ou d'une fonction système mal développée.

[Invité]

j'ai configuré mon pare-feu pour interdire toute donnée entrante IP, UDP, TCP et ICMP

Salut,

il faut comparer ce qui est comparable. Là, tu parles de ton réseau perso ...

Mais un firewall qui protège une grosse architecture est bien obligée d'ouvrir des ports en entrée pour garantir les services qui sont mis en ligne surtout s'ils sont facturés à des clients qui s'y connectent au travers d'Internet.

Si un port X est bloqué par un firewall, effectivement il n'est pas possible d'attaquer un réseau au travers de ce port. Les hackers utilisent les protocoles autorisés et les ports ouverts sur les firewalls pour atteindre d'autres protocoles et d'autres ports dans "l'inside".

Steph

[messinese]

Salut,

il faut comparer ce qui est comparable. Là, tu parles de ton réseau perso ...

Mais un firewall qui protège une grosse architecture est bien obligée d'ouvrir des ports en entrée pour garantir les services qui sont mis en ligne surtout s'ils sont facturés à des clients qui s'y connectent au travers d'Internet.

Si un port X est bloqué par un firewall, effectivement il n'est pas possible d'attaquer un réseau au travers de ce port. Les hackers utilisent les protocoles autorisés et les ports ouverts sur les firewalls pour atteindre d'autres protocoles et d'autres ports dans "l'inside".

Steph

+1

Et puis j'ajouterais que si c'est pour femer les ports et essayer de le rendre inaccéssible pourquoi mettre un poste en DMZ ? c'est clairement contradictoire ! ;-)

Un firewall peut etre bypasser a priori mais cela dépend des regles appliquées, de sa configuration, des services actifs sur les ports filtrés/ouverts et des compétences en réseaux/applicatif de l'assaillant car c'est tout de meme trés limité (paquets forgés pour l'occasion dans le cadre d'un bypassing sans backdoor ou autre vulnérabilitées liées aux applications) de part les compétences requises .

La premiere étape pour vérifier tes règle est donc le "firewalling" , technique permettant de définir les regles en place sur ton firewall .
Tu peux en devellopper un personnel ou t'appuyer sur de l'existant avec des tools comme firewalk ou encore scapy/scaperl.
Cdlt.