Scan de ports réseaux, comment contrer et journaliser ?

[fuser]

Salut tout le monde. C'est le premier sujet que je pose, donc excusez mes mes "inexactitudes" Je dispose d'un firewall pour la plate-forme windows fonctinnement sur un réseaux TCP/IP distribué. J'aimerais y intégrer un module qui détecte les scans des ports réseaux et les OSfingerprinting et qui permettra de les journaliser. Je serais trés reconnaissant si quelqu'un pourrait m'aider comment procéder et sur quel(s) critère(s) je dois jouer pour détecter un scan.

Merci pour votre aide.

[Aramis]

Bonjour,

Citation:

Je dispose d'un firewall pour la plate-forme windows fonctinnement sur un réseaux TCP/IP distribué.

Qu'est ce que cela veut dire exactement? Vous avez ecrit votre propre logiciel de par-feu? ou bien comptez-vous modifier un projet existant (sourceforge etc...)? ou bien voulez ajouter quelque chose a des produits deja present tel que Windows Firewall ou bien Zone Alarm?

Citation:

J'aimerais y intégrer un module qui détecte les scans des ports réseaux et les OSfingerprinting et qui permettra de les journaliser.

Un Par-feu a peu pres correct, tel qu'on en trouve sur les Router ADSL par exemple, devrait deja possede cette fonction. Evidement, cela est difficile a etablir si votre hote n'est pas "constatement" scanner Toujours est-il que bien souvent ces methodes de scans ont une signature bien precise et donc une fois la signature decouverte si il suffit d'ajouter une entree dans un log... rien de bien sorcier je trouve. Certes il faut aussi gerer les signatures.

Citation:

Je serais trés reconnaissant si quelqu'un pourrait m'aider comment procéder et sur quel(s) critère(s) je dois jouer pour détecter un scan.

Commencez par des faire quelque recherche! J'au du mal a croire qu'avec un projet pareil vous n'ayez jamais entendu parler de Snort . Il y a beaucoup d'articles de recherche qui utilisent Snort en tant que base dont je recommenderai la lecture , tel que:

E.P Markatos, S. Antonatos, M. Polychronakis and K.G Anagnostakis. ExB: Exclusion-based signature matching for intrusion detection. Proceedings of the IASTED International Conference on Communications and Computer Networks (CCN), pp. 146-152, Cambridge, USA, November 2002

Par contre, je vous mettrais en garde contre l'integration avec un Par-Feu car comme le montre l'article suivant ca risque de faire plus de mal que de bien : lien .


Ar@mi$

[fuser]

resalut !!
Merci Aramis pour votre aide.
mais j'aimerais vous déranger un pe plus
je pense que snort ne fonctionne que sur Linux. Pour expliquer ma situation un pe plus, je suis entrain de faire mon projet de fin d'études au sein d'une entreprise d'audit de sécurité. Ils produisent un firewall, et le module de détection de scan manque. J'aimeraius développer quelque chose de fiable, mais surtout j'ai besoin de fierwalls, incluant la détection des scans, en open source. le meilleur que g trouvé, c Kerio, je suis entrain d'essayer sur savungan aussi.
la problématique pour moi, quels sont les citères que je dois vérifier pour signaler un scan ?
Merci.

[Aramis]

Citation:

Envoyé par fuser

[...]
je pense que snort ne fonctionne que sur Linux.

Pourriez vous avoir la gentillesse de lire la documentation avant d'ecrire une chose pareil?

Citation:

Envoyé par fuser

Pour expliquer ma situation un pe plus, je suis entrain de faire mon projet de fin d'études au sein d'une entreprise d'audit de sécurité. Ils produisent un firewall, et le module de détection de scan manque. J'aimeraius développer quelque chose de fiable, mais surtout j'ai besoin de fierwalls, incluant la détection des scans, en open source.

Exceusez encore une fois mon Francais mais la j'ai rien compris. Tout d'abord, vous n'avez pas forcement besoin d'un Par-Feu pour detecter un scan. Ensuite, il me semble que c'est illegal d'integrer un module d'une application OpenSource ou bien sous licence GPL et etc. [note: il y a un article sur DVP sur les licenses que je vous recommende de lire].

Citation:

Envoyé par fuser

le meilleur que g trouvé, c Kerio, je suis entrain d'essayer sur savungan aussi.

Le "meilleur" sur quels criteres? Ma these de doctorat est justement sur les Par-Feu (reseaux et non pas logiciel), je suis donc toujours curieux de savoir sur quels points "on" determine quel est le meilleur produit. Apres avoir lu S. Kamara, S. Fahmy, E. Schultz, F. Kerschbaum, and M. Frantzen, “Analysis of vulnerabilities in internet firewalls,” Computers and Security, vol. 22, no. 3, pp.214 – 232, 2003. - Je me demande si nous avons tous les meme criteres d'evaluation

Citation:

Envoyé par fuser

la problématique pour moi, quels sont les citères que je dois vérifier pour signaler un scan ?

C'est la meme chose qu'avec les autres intrusions tel que les virus par exemple: ca depend du virus. A ma connaissance chaque Scan a une signature bien precise, un peu comme le Ping d'ICMP qui envoie l'alphabet [sous Windows]. Le clef est de developper un systeme qui "connait" ces signatures et est capable de rassembler les informations au fur et a mesure que les communications sont analyse (ici par le Par-Feu). Il me semble que certaine version de OSFinger possede l'information "OS Finger" dans le paquet reseau; demandant ainsi au systeme d'exploitation de repondre a la requete. Par consequent il suffit simplement de chercher pour cette chaine de characteres dans *chaque* paquet recu. Et etc pour les autres methodes de Scan. Enfin, ce genre d'information est presente dans la documentation de Snort et bien d'autre outils du meme acabis, ou bien une bonne dose de recherche vous donnera toutes les informations necessaire.

Ar@mi$

[_solo]

Citation:

je pense que snort ne fonctionne que sur Linux

FAUX avant de dire des inepties faut faire des recherches sur le sujet http://www.snort.org/dl/binaries/win32/ .

Citation:

la problématique pour moi, quels sont les citères que je dois vérifier pour signaler un scan ?

Prenez un scanner un sniffer reseaux et faites un scan , sur la machine sur lequel vous aurez lancez le scanner , si avec ca vous n'arrivez pas a avoir au moins une sugnature d'un scanner ...

discourt incoherent

Citation:

J'aimerais développer quelque chose de fiable, mais surtout j'ai besoin de fierwalls, incluant la détection des scans, en open source

Citation:

le meilleur que g trouvé, c Kerio, je suis entrain d'essayer sur savungan aussi.

ah!bon depuis quand ils sont open-source ceux la.

je doute tres fortement de votre motivation pour votre projet et des recherche que vous avez faites ( si vous en avez faites ).

[fuser]

je vous remercie messieurs. J'essayerais de lire la documentation que vous m'avez proposé et je serais de retour pour être digne de communiquer avec vous. Mais, soyez un peu indulgent, çe ne fait que peu de temps que je je travaille dessus, et le niveai de l'école ou j'étudie n'est pas top en sécurité, donc un peu dans le flou jusqu'à maintenant. Merci à vous de nouveau.
(Rque pr solo: je sais bien que Kerio et savungan ne sont pas disponibles en open source mais je ne n'ai pas su m'exprimer !!)

[Aramis]

Re,

il n'y a pas d'etre "digne ou pas" sur les forums de DVP.com. Cependant, tout projet demande un minimum de recherche et je pense que lorsque quelqu'un demande de l'aide la moindre des choses a faire c'est quand meme de lire les resources fournies.

En ce qui concerne votre expression/redaction, je vous recommanderai simplement de ne pas vous presser. En effet, si vous faites votre message a la va-vite vous risquez de perdre la substence et du coup tout le monde perd son temps a essayer de vous comprendre, et a poser plus de questions pour obtenir les details suffisants.

Cordialement,

Ar@mi$

[fuser]

Je vous remercie Aromis, vous me motivez vraiment là à m'investir à fond. Je suis entrain de lire les docs que tu m'as recommandé.
Amicalement, Fuser.

[_solo]

il me semble que durant la sstic passee il y a eue des sujets de cet ordre regarde sur http://actes.sstic.org/ pour etre sure.

[Aramis]

@_solo

Toute conference un temps soit peu reconnue traite de ce sujet C'est, en ce moment, le grand reve des compagnies tel que Cisco ou bien Microsoft d'avoir un prioduit Par-Feu/Intrusion distribue. Mais bon, malgre les annonces qu'ont fait ces deux entreprises et comme l'ecrit Porter et al. dans l'article que j'ai donne ci-dessus, ce n'est pas pour demain. Je pense qu'au final ils essayent de faire un systeme ferme comme c'est le cas a present dans les anti-virus et du coup ce sont des systemes peu verifiable et donc peu adopte ou bien pas tres bien acceuilli cf. Bajcsy et al. ainsi que Bakry.
La question devient donc comment creer un systemes commercialement viable et verifiable en meme temps...

Cordialement,

Ar@mi$

[_solo]

Citation:

C'est, en ce moment, le grand reve des compagnies tel que Cisco ou bien Microsoft d'avoir un prioduit Par-Feu/Intrusion distribue

c'est pour ca qu'il rachete tous , a tout va , des societes specialise dans la securite , mais je crois surtout que tous suivent trop 'les modes du moment' ( N.A.C ).

Citation:

Je pense qu'au final ils essayent de faire un systeme ferme comme c'est le cas a present dans les anti-virus et du coup ce sont des systemes peu verifiable et donc peu adopte ou bien pas tres bien acceuilli

Faut voir aussi que dans communaute de la securite informatique , ils ont de tres forte tendance parano ( ce qui est un atout dans ce milieu ) , et quand on voit le prix de certaines solution glouuuuups.