Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Tester une politique de firewall
Bonsoir,
Voila j'essaie de comprendre comment peut-on creer des paquet dans le but de connaitre la politique d'un firewall;
J'essaie de formuler correctement ma question
Quels sont les critéres qui pourrait me permettre d'identifier plus ou moins les régles de filtrages ?
cad par exemple en fonction de temps de réponse, du paquet envoyé ... (des exemples)
Si vous avez une documentation je suis preneur parce que j'ai cherché partout j'ai pas trouvé ce que je cherchais.
Merci !
Faire du reverse engeenering sur une politique de filtrage firewall, vaste problème.
Il n'y a pas de réponse complète et absolue à ce problème.
D'abord, une politique de filtrage est faite avec les éléments suivants :
- protocole de couche 4 (tcp, udp, icmp, spx, ...)
- adresse source (sur IPV4, c'est 4 294 967 295 d'adresses)
- adresse destination
- port source (si cela a un sens pour le protocole concerné). Sur TCP et UDP, c'est 65535 ports.
- port destination (si cela a un sens pour le protocole concerné)
Avec ces quelques paramètres, on peut voir qu'il y a potentiellement un nombre gigantesque de règles différentes.
Pour ajouter un peu en complexité, il est possible de rajouter la notion d'heure (certains protocoles ou IP interdites de 12H00 à 14H00 par exemple).
Je dirais donc que quelleque soit la méthode que tu utilises, tu ne seras jamais sûr d'avoir la configuration complète de filtrage du firewall.
Autre problème, en général, un firewall est discret, c'est à dire qu'il ne prévient pas quand il jette un paquet, il le fait silencieusement et c'est tout. Tu ne peux même pas tenir compte de ces réponses ou non réponses. C'est tellement discret un firewall que certains même ne modifient pas le TTL d'un paquet IP pour ne pas montrer qu'il y a un équipement de routage/filtrage sur la route.
Une approche que l'on avait suivi il y a quelques années était le principe de la sonde (mais le but n'était pas le même, il s'agissait de valider le firewall).
On envoyait un paquet sur une interface, on connaissait la politique de filtrage appliquée, il y avait une sonde sur l'interface de sortie qui disait au programme émetteur si elle voyait on non un paquet.
Cela avait pour but de valider qu'un firewall particulier en cas de très forte sollicitation ne devenait pas une passoire sous prétexcte qu'il n'avait pas le temps de tester tous les paquets.
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
CafuroCafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
e-verbe
Ma page personnelle sur DVP.
Bonjour,
Je vais ajouter quelques lignes, juste pour enrichir ce qu'a dit ram-0000, car il a bien entouré le périmètre de la problématique :
http://www.symantec.com/connect/arti...ction-part-one....Quels sont les critéres qui pourrait me permettre d'identifier plus ou moins les régles de filtrages ?
Ça dépend de ton algorithme que tu veux implémenter, en général implémenter une politique de filtrage est très spécifique à chacun, ça dépend des services qui tourneront derrière...etc
Tu peux te baser par exemple, sur l'algorithme : snort, portsentry...et puis optimiser.
Merci de vos réponses
En faite je m'interesse beaucoup à la cartographie d'un réseaux;
J'essaie de repérer la présence d'un firewall sur un réseaux, les ports qui y sont activés avec la commande traceroute et hping ...
Voila je vous explique, imaginons que lorsque je fais un traceroute sur une destination :
Et que j'obtiens :
Les commandes traceroute sous linux par defaut envoient des paquets UDP
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Donc là on voit que ca bloque au niveau du saut 10 pour ensuite atteindre notre machine destination 22.66.66.66
Ici j'essaie d'envoyer un paquet SYN sur le port 80 ayant pour en tete TTL 10
Code : Sélectionner tout - Visualiser dans une fenêtre à part hping3 -S -t 10 -p 80 22.66.66.66 -c 1
Impossible d'obtenir une réponse favorable de la part de la machine pourtant j'ai essayé tous les services étant ouvert sur 22.66.66.66
Alors comment puis-je trouver l'adresse de ce firewall, ses ports actifs etc alors que je n'ai aucun liens avec lui seulement un TTL de 10
Merci !!
S'il est discret, il ne te répondra pas et tu ne sauras pas.Envoyé par boubz013
Essaye avec les options IP "Record Route" (regarde dans la RFC 791 pour plus de détails) mais j'ai un doute qu'il renseigne ce genre d'info.
Autre solution, tu regardes la conf routeur 9 (en te connectant dessus) pour connaitre l'adresse du prochain saut sur le routeur 10 (mais j'ai aussi un gros doute sur la possibilité de se connecter sur le routeur 9).
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
Cafuro
e-verbe
Ma page personnelle sur DVP.
A OUI je vois c'est du genre
Par contre j'ai une derniére question, imaginons que je scanne les ports d'une machine x.xx.xx.xx, et que je vois un port par exemple 1234 actif
Je peux me demander "mais sur quelle machine est activée ce port ?"
Est ce que si je fais un traceroute en TCP sur ce port je peux avoir l'adresse de la machine?
Puisque si je réalise bien: j'envoie un paquet sur le routeur, mon paquet arrive sur l'interface externe du routeur xx.xx.xx.xx, le routeur analyse le datagramme et voit que le port destination et bon, donc il route mon paquet peu étre à un firewall noté ww.ww.ww.ww , celui ci me le redirige vers la bonne machine rr.rr.rr.rr et donc sur mon traceroute j'aurais bien l'adresse de rr.rr.rr.rr normalement nan ?
Merci
J'ai l'impression que tu mélanges un peu 2 choses différentes.
D'un côté, il y a la configuration du routeur (ou firewall) qui le rend discret de manière à ne pas divulguer d'informations personnelles. C'est la raison des "*" dans le résultat du traceroute et c'est pourquoi je pense aussi que les options "Record Route" ne fonctionneront pas sur lui. Il est discret et il le restera pour ne pas se dévoiler.
D'autre part, il y a la politique de filtrage appliquée sur ce routeur/firewal qui autorise ou non un paquet à transiter. Dans ton cas, les paquets traceroute sont autorisés à transiter et c'est pour cela que tu "vois" les réseaux au delà de ce routeur discret.
Si tu peux voir le port 1234 sur une machine au delà de ce routeur/firewall, c'est que ce routeur/firewall l'autorise et d'ailleurs, il n'a peut être même pas de politique de filtrage si c'est un routeur de FAI (mis à part celle qui protège le routeur/firewall contre les petits curieux).
Raymond
Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi
Cafuro
e-verbe
Ma page personnelle sur DVP.
En mettant le TTL à 10, le paquet n'est pas tout simplement jeté par le supposé firewall ? Je comprend pas trop à quoi ca va te servir de le mettre à 10 ?
Je me trompe ?
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager