"Vous pensiez que l'on ne pouvait pas scanner une machine sans faire apparaitre son IP ? Dans ce cas cet article va vous faire froid dans le dos ..."
Cédric Foll ajoute : Les méthodes proposées sont: proxy SOCKS et HTTP. On pourrait aussi citer le FTP Bounce qui n'est plus trop au goût du jour (parce qu'il ne marche plus beaucoup ;-)). Ces techniques de scan sont plus furtives que celles par spoofing. En effet c'est, avec nmap, toujours la même addresse IP qui apparaît même si ce n'est pas la votre. Aussi certains IDS actifs vont blocker le scan, les passifs vont logger l'évenement.
Enfin, je joins un artcle de phrack (très théorique) qui met en lumière des améliorations possibles pour les IDS afin de logger ce genre d'attaques (et autres attaques très furtives).
Note du Modérateur: C'est un peu ancien mais intéressant ; attention l'archive est en fait un .tar.gz et non un simple .tar
Aller plus loin
- Article (8 clics)
- Download (5 clics)
- Scan (4 clics)
- IDS dans Phrack (2 clics)
# Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
La contre-mesure proposée par l'auteur de l'article est de mettre des règles anti-spoofing sur le firewall : interdire le traffic du LAN privé sur l'interface externe.
Avec pf, les deux lignes suivantes devraient donc protéger les LAN de ce type de scan :
spoofed="{ 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32 }"
block in quick on $external from $spoofed to any
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Stéphane (Tufqi) Enten . Évalué à 10.
arreteront de faire l'amalgame entre "sécuriser
ses réseaux" et "je mets en IPs privées donc
personne n'y a acces!!" :-)
Sérieux ... le nombre de boites qui ont
payé une SSII pour leur réseau et qui se
retrouvent avec toutes leurs machines derriere
du NAT pour "raisons de sécurité", ca me sidere.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Cédric Foll . Évalué à 10.
Après avoir vu cette astuce qui marche très rarement avec un réseau NATé car il est rare que le router soit vulnérable à cette attaque. Le champ pid se comporte rarement comme il est décrit dans l'article, souvent les routers refusent de voir arriver sur leur interface internet une IP de l'intranet. Quand bien même les deux problèmes ci dessus n'arrivent pas il faut encore qu'il y est très peu de traffic réseau pour que le champ pid ne soit pas tellement incrémenté par tout le traffic pour pouvoir voir encore qq chôse. Dès lors la seule solution pour voir les ports ouverts (car n'oublions pas que c'est tout ce que cette technique permet) est de scanner la nuit pendant qu'il n'y a plus personne (et que la pluprt des machines sont éteintes.)
Donc:
1) A mon sens le NAT est une bonne mesure de sécurité (il faut quand même que je router/firewall soit bien protégé)
2) Cette technique est rarement exploitrable pour scanner des réseaus nons routables. C'est néanmoins une des technqiues (pas la seule ni la plus rapide) pour ne pas faire apparaitre son IP. Les autres moyens sont par exemple le squat de socks ou de proxy http.
[^] # squat de socks ou de proxy http ?
Posté par VACHOR (site web personnel) . Évalué à 5.
C'est intéressant ?
Tu pourrais expliquer en 2 (disons plutot quelques) mots ? Merci d'avance.
[^] # Re: squat de socks ou de proxy http ?
Posté par Cédric Foll . Évalué à 10.
C'est un article paru dans le dernier 2600.
Il explique comment utiliser (code source en Perl à l'apuie) comment ne pas faire appaitre son IP lors d'un scan.
Les méthodes proposées sont: proxy SOCKS et HTTP.
[^] # Re: squat de socks ou de proxy http ?
Posté par PLuG . Évalué à 10.
socks est un proxy tcp, si tu en trouves un ouvert sur Internet, il sera ravi de faire le scan en ton nom. utiliser un proxy http revient au meme.
passé un temps on utilisait aussi les serveurs FTP pour cela (en mode actif, la connection data est a l'initiative du serveur et l'IP et le port sont dans la negociation qui a eu lieu avec le client ...)
bref des methodes de scan, il y en a plein. Mais le scan ne mene pas loin, je ne considere pas cela comme une attaque. Par contre cela peut donner des pistes pour une attaque ulterieure.[attention, certaines machines sont tres sensibles aux scans de port ala nmap. si vous descendez une machine en la scannant, cette fois c'est une attaque meme si la machine cible est buggée (HACMP par exemple)]
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . Évalué à 9.
Cet article est pourtant la preuve qu'on peut passer à travers un firewall un peu trop souple pour scanner des machines du NAT. Le NAT améliore effectivement la sécurité, mais cela ne signifie pas pour autant que ton réseau est invulnérable.
[^] # Sécurité réseau
Posté par wismerhill . Évalué à 3.
La seule façon d'interdire l'accés à un ordinateur c'est le rouleau compresseur :-)) ou alors à la terminator II mais obtenir un basin de métal enfusion n'est pas des plus simple ;-)
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Cédric Foll . Évalué à 6.
C'est déjà pas mal que la seule chose que l'on puisse faire sur une machine c'est l'ui faire envoyer un paquet SYN/ACK par le router auquelle elle répondra par un RST si sont par est ouvert.
Mais avec ça on ira pas loin !!! Donc, oui le NAT améliore beaucoup la sécurité d'un réseau (si le router est bien protégé bien sure).
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
La sécurité, c'est pas de mettre un firewall ou un proxy ou un IDS.
La sécurité est un process, pas un produit, et rien n'est pire qu'une fausse impression de sécurité, comme celle d'être bien au chaud derrière un firewall qui cache le LAN.
Quand tu dis "Certe on peu scanner les machines, et après ?", c'est que tu n'as pas du tout compris la manière de penser "sécurité" : il faut être parano. Ou alors, on ne parle pas de sécurité.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par pfrenard . Évalué à 3.
A partir du moment ou on peut scanner les ports, on sait ce qu'il faut tenter pour faire du mal.
Un des plus simple est un bon vieux Denie de Service... Comme cite plus haut HACMP qui ne suporte pas un scan NMAP.
RuZed
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Cédric Foll . Évalué à 2.
Grosse méprise, il est impossible d'envoyer le moindre paquet par nmap sur une machine d'un NAT. Donc les SYN flood et autres paquets fragméentés, on oublit !
Tout ce qu'il est possible de faire c'est de faire envoyer un paquet par le router à un des machines non routables (plus précisément un paquet SIN|ACK). Si la machine filtre le port, le router ne reçoit rien. Si la machine possède le port ouvert (ou fermé), elle renvoie au router un RST parce qu'elle n'a rien envoyé. C'EST TOUT.
Je ne me fait en aucun cas une fausse idée de ce qu'est la sécurité. D'autres attaques restent possibles (genre envoie de trojan (et encore pas n'importe lesqueles, tous ceux qui fonctionnent grace à un port ouvert genre bo2k, c'est mort) ou de virus, social ingénieuring).
Une architecture ne permétant pas l'exploitation d'un port ouvert oublié avec un démon mal configuré, je diste juste «hé pas mal». Je ne vais pas tout rejeter en bloc parce que celà ne fait pas tout et que l'on peut parfois (pas souvent) quand même dire quels sont les ports ouverts sur les machines nons routables (ce qui impressione tjs c'est vrai;-)).
Je persiste et je signe: Le NAT ne fais pas tout, mais c'est une bonne mesure de sécurité dans de nombreux cas.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Mathieu Dessus (site web personnel) . Évalué à 9.
Meme si le filtrage du fw ou routeur d'entree ne filtre pas les adresses privees, des paquets a destination d'adresses privees ne devraient pas quitter le provider de l'emetteur (par definition, les adresses privees ne sont pas routables).
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Vanhu . Évalué à 10.
Le NAT n'esp pas une mesure de sécurité, mais de camouflage.
S'il y a une bonne sécurité avant/après, alors c'est un plus intéressant (etre protégé ET caché est mieux qu'etre simplement protégé).
Mais il y a trop de réseaux qui sont "sécurisés" par un routeur de base qui ne fait que du NAT......
[^] # Re: Les machines en adressage privé sont scannables !
Posté par VACHOR (site web personnel) . Évalué à 10.
Quand à d'autres techniques dérivées de celle la, c'est pas gagné : c'est quand même bien ciblé, et le protocole étant relativement simple, faire une autre version sera difficile (a moins de jouer sur 2 paquets au lieu d'un, ce genre de chose...)
Vivement IPV6 partout qu'on rigole ;-)
[^] # Bof ...
Posté par Huzi . Évalué à 6.
n'importe quel outil de filtrage de paquet te permet de bloquer ces attaques ..
Vivement IPV6 partout qu'on rigole ;-)
là je t'avoue que moi aussi, je suis assez curieux ;)
[^] # Les machines en adressage privé sont scannables !
Posté par kalahann . Évalué à 10.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
Evidemment, ici sur linuxfr les gens ont un niveau de connaissances sur IP plutôt élevé, donc ils hurlent quand on parle de routeur n'ayant pas de règles anti-spoofing. Mais le fait est que beaucoup d'entreprises (souvent des PME) n'ont pas eu un gars compétent qui a installé leur modem/wingate/routeur ADSL, et cela se traduit par un nombre non négligeable de réseaux "visitables".
[^] # Re: Les machines en adressage privé sont scannables !
Posté par kadreg . Évalué à 7.
Tu as des noms de produits (ouais, balance !) ?
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Stephane JUTIN . Évalué à 7.
Je dirais plutot que linuxfr est remplie d'etudiants qui bien qu'ayant relativement peu de connaissance, ont pour des motifs relativement puerils, tendance à se la jouer "je m'y connais vachement en informatique".
Ainsi, l'utilisateur moyen de LinuxFr choisira une distribution Debian parce qu'elle est suffisamment compliqué pour qu'il puisse "se la jouer" tout en camouflant son incompetence a compiler soi-meme un package ...
Franchement, j'ai plus de sympathie pour un utilisateur debutant de Mandrake qui en connait a peine moins et qui lui au moins n'enerve pas tout le monde avec des remarques du style "j'ai les chevilles qui gonfle" : (cf cette remarque extrait du thread AOL/RedHat)
Linux restera toujours sous GPL, donc les vrais, les durs de durs, ceux qui utilisent Debian quoi, profiteront de toute façon des améliorations technique
D'ailleurs je me suis toujours demandé pourquoi les seules news qui ne recevaient pas de commentaires sur LinuxFr etait celles avec un contenu technique ... (exemple netfilter, systemes de fichiers ...) ...
Desole pour ce post off-topic mais certains intervenants de ce site m'exaspérent de vanité ... et desole pour les fautes d'orthographes
[^] # adresse privée sur l'interface publique ???!!!
Posté par B. franck . Évalué à 10.
une des premières règles d'un pare-feu
est de bien cloisonner les accès aux interfaces
en fonction des adresses réseau et notamment
interdire les adresses du réseau privé sur l'interface
publique, non ?
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Vanhu . Évalué à 10.
Et ca rejoint ce que je dis plus haut, il y a beaucoup trop de monde qui est "protégé" par un simple routeur qui fait du NAT, et qui est persuadé d'être aussi bien protégé que s'il y avait un *bon* firewall *bien configuré*.
Bien sur, je ne parle ici que de protection "réseau", et j'en profite pour rappeler que le meilleur firewall du monde, avec la meilleure configuration du monde, ne pourra *rien* faire contre un beau virus qui arrive par disquette/CD, par exemple ....
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Huzi . Évalué à 9.
Pour moi c'est une technique certes utile pour la culture générale, mais qui n'apporte pas grand chose car dans 95% (je laisse une marge quand même), elle n'est pas applicable.
C'est une technique que nous pourrions appeler "SsSRPPACF" (Scan sur Simulation d'un Réseau Pourri Pour Arriver A Ces Fins(Tm) ).
Pas étonnant .. ca vient de l'Epita ;)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 9.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Vanhu . Évalué à 3.
On leur a vendu une boite miracle, qui fait l'accès a internet, "protège" le réseau, fait le café, fait revenir leur femme et leur donne les bons numéros du loto, ils sont contents et ne cherchent pas plus loin !
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Vanhu . Évalué à 4.
Devrait en avoir les compétences....
Mais comme le client ne les a pas, il ne peut pas savoir si ce qu'on lui propose est cohérent ou pas.
Qaund tu vas poser ta voiture chez le garagiste, tu supposes que celui-ci est compétent, mais si tu tombes sur un gars qui s'en fout et/ou qui veut t'arnaquer et/ou qui est pas si compétent que ca, ben tu y verras que du feu !
Or, en informatique, il est très simple de faire croire qu'on s'y connait, et plein de gens ont fait ca il y a quelques temps (et ca se fait encore, mais un peu moins quand meme, on dirait...).
Et pour finir, tu serais surpris de constater le niveau des "responsables informatiques" de pas mal de boites (surtout des petites, mais ca se trouve aussi dans quelques grosses), qui ont été propulsés à cette place simplement parcequ'ils savaient un peu mieux utiliser Windows que les autres....
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Annah C. Hue (site web personnel) . Évalué à 8.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Annah C. Hue (site web personnel) . Évalué à 8.
Prenons par exemple un routeur avec trois interfaces : lan0, dmz0, et wan0.
en entrée sur lan0, interdiction des paquets en provenance d'autre chose que le réseau LAN
en entrée sur dmz0, interdiction des paquets en provenance d'autre chose que le réseau DMZ
en entrée sur wan0, interdiction des paquets en provenance du LAN et de la DMZ (et des adresses non routables pour faire joli).
Il faut donc configurer l'antispoofing sur toutes les interfaces, nous n'avons aucune raison de faire confiance aux gens du LAN, et encore moins à ceux de la DMZ.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par pas_moi . Évalué à 5.
Bon, mise en conditions réelles:
lan0=192.168.1.xxx
dmz0=192.168.10.xxx
wan0=on s'en fout
Tu installes un firewall qui doit interconnecter ces 3 réseaux. Est-ce que tu trouves normal que ce firewall accepte en entrée sur son interface lan0 un paquet dont la source est 192.168.10.137?
Si oui, je ne préfère pas voir comment tu configures ce firewall... Si non, il faut chercher à comprendre pourquoi: parce que 192.168.10.137 n'est pas une adresse locale à lan0. Conclusion: le firewall doit se limiter à ne laisser entrer que les paquets dont l'adresse IP source est locale à l'interface. C'est quand même ça qu'on appelle de l'antispoofing, non?
Ce n'est pas le rôle d'un firewall que d'empêcher les machines d'un lan de se faire passer pour une autre machine de ce même lan (ou comme tu le dis, il faut faire 1 machine = 1 dmz).
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Comment ça on est d'accord??
Posté par pas_moi . Évalué à 4.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . Évalué à 4.
[^] # Re: Comment ça on est d'accord??
Posté par pas_moi . Évalué à 3.
Tout le monde dit des bêtises de temps à autre, soit parce que ses idées sont mal écrites, soit parce que le sujet n'est pas maîtrisé dans son ensemble, soit parce que ce sont des bêtises tout court. Il faut savoir admettre quand on dit une bêtise et avoir le courage de dire pourquoi.
Dans ton cas, tu as tellement voulu défendre tes idées face à des arguments que tu n'as même pas cherché à nier que ça en devient ridicule. Les gens ont de la patience, mais faudrait voir à ne pas en abuser non plus, et même si tu n'insultes personnes avec tes posts à deux cents, faut quand même avouer que tu commences à nous les briser.
Ca m'embête d'en arriver à de telles grossièretés, mais je n'aime pas que l'on se foute de la gueule de ceux qui prennent le temps d'expliquer.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Comment ça on est d'accord??
Posté par pas_moi . Évalué à 3.
> bien ils n'avaient pas coché la case
> 'antispoofing' sur toutes les interfaces
J'espère que tu voulais dire interfaces externes ;-D Car si tu antispoof les internes (et bloque 192.168.X.X et 10.X.X.X) tu n'es pas bien...
C'est ici que commencent tes posts insignifiants? Parce que pour quelqu'un qui s'y connaît, il s'agit quand même d'une belle bêtise.
Le seul commentaire de toi que je vois avant celui-là dans ce thread, c'est le commentaire où tu donnes quelques URLs (sûrement très intéressantes, mais ne t'obligeant pas à raconter et soutenir n'importe quoi par la suite).
Sur la "lan", ce n'est pas de l'anti spoofing de se réduire aux adresses locales, en effet n'importe qui peut changer très facilement d'adresse locale (excepté si on teste les adresses mac mais rarement exploitable).
Là, c'est sûr, tu venais de fumer la moquette avant d'écrire cette phrase... Empêcher un paquet dont l'adresse source n'appartient pas au lan1 de passer du lan1 au lanX, ce n'est pas de l'antispoofing d'après toi?
Le reste du commentaire est navrant de bêtise et je ne préfère pas en parler. Si c'est un troll que tu voulais faire, je ne le trouve pas des plus réussi au niveau finesse (même s'il a quand même eu une belle efficacité).
Ensuite arrive le coup du firewall connecté à un seul réseau... bon, d'accord, tout le monde avait compris que tu voulais dire un seul réseau privé, mais ce serait quand même bien de prendre le temps de se relire. Toujours est-il que j'ai préféré te faire préciser la question plutôt que de répondre à ce qui me semblait assez trivial: l'explication reste valable si l'on retire une des pates au firewall ou qu'on en rajoute une centaine.
mes posts précédents montrent, il me semble que j'y connais quelque chose
Ben, désolé, mais sur ce thread, pas trop...
Cela n'aurait pas du produire de réaction
Tu peux préciser pourquoi? j'ai du mal à suivre: si tu fais des trolls dans le but de ne pas avoir de réaction, pourquoi donc alors? et si tu étais vraiment sérieux quand tu as posté tes bêtises, penses-tu vraiment que ça n'aurait pas du entrainer de correction?
Bon, on va arrêter de jouer parce que tu t'enfonces de plus en plus... je vais aller voir ce que tu as raconté sur les clients ssh (il paraît qu'il faut un serveur X pour faire du X11 forwarding :-)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
[^] # Re: Comment ça on est d'accord??
Posté par pas_moi . Évalué à 4.
La réponse reste la même: le paquet doit être refusé. Le firewall ne doit pas accepter en entrée un paquet n'ayant rien à faire sur l'interface qui le reçoit: l'interface lan0 refuse en entrée tout ce qui ne vient pas de 192.168.1.xxx tout comme l'interface wan0 refuse en entrée tout ce qui ne provient pas d'une IP routable sur internet.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par pfrenard . Évalué à 4.
Mais sur des produits commerciaux ( Cisco, CheckPoint ... ) ce n'est pas tout a fait la meme chose.
Par exemple Firewall One est un produit qui marche pas mal, la configuration antispoofing est cache au fin fon d'un menu/onglet un peu obscure au premier abord.
La personne qui veut faire de la securite avec un outils comme celui ci, fera quelque chose de pas trop mal mais laissera des gros trous par manque de connaissances. Et ca a mon avis c'est au moins 50% des reseaux....
RuZed
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Wi][ish . Évalué à 2.
Vu le prix de la bête (FW-1, VPN-1 et autres modules qui vont avec), faut être fou pour mêtre un administrateur qui n'a pas, au minimum, suivit la formation checkpoint (ou alors qui n'a pas de sérieuses bases en firewalling).
Danc un cas comme celui-ci, l'incompétance viens des dirigeants.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par kalahann . Évalué à 2.
Pas forcément (hint: les décideurs pressés, pour qui se sentir en sécurité est plus important que la sécurité elle-même)
Je dirais même que c'est la plupart des cas!
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Vanhu . Évalué à 1.
C'est encore plus perfide que ca: les décideurs ne veulent pas se sentir en sécurité d'un point de vue réseau, ils veulent se sentir couverts: actuellement, *personne* ne peut vous reprocher d'avoir choisi du FW-1, meme si c'est un produit très cher pour ce que c'est, et même si vous proposez à coté un produit moins cher et mieux....
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par tomazi . Évalué à 1.
des noms !
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Vanhu . Évalué à 0.
Donc, tu sors ton petit Google, tu réfléchis bien sur l'indice que je viens de laisser dans ma phrase précédente et tu cherches :-)
Hop, -1
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par tomazi . Évalué à 1.
Mais lâches-toi, ce n'est pas de l'autopromotion, c'est de l'information puisque c'est moi qui te le demande ;) (au pire des cas si tu as peur de représaille, envois l'info sur mon email)
# C'est un peu ancien
Posté par Wi][ish . Évalué à 10.
Pour tous ceux qui s'intéressent un peu à nmap, cette option de scan par témoin est disponible depuis un petit moment déjà.
Et pour tous ceux qui aiment s'amuser avec la pile TCP, voici un autre truc aumusant, peu connu, et relativement discret :
http://xprobe.sourceforge.net(...(...))
(apt-get install xprobe)
# un peu HS mais une petie question...
Posté par blackshack . Évalué à 4.
merci d'avance, car le site web c vraiment pour bientoit
[^] # Re: un peu HS mais une petie question...
Posté par Gaël Le Mignot . Évalué à 3.
Avec Netfilter/Iptables, une règle de type iptables -P INPUT DROP drop absolument tous les paquets entrant, sauf s'ils sont validés par une autre règle (du style iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT qui autorise les paquets s'inscrivant dans des connexions déjà établies).
[^] # mon firewall en question...
Posté par blackshack . Évalué à 1.
# Beaucoup plus intéressant
Posté par Huzi . Évalué à 10.
http://www.securityfocus.com/archive/1/251418(...(...))
il serait possible d'obtenir 20 octets de la mem d'une machine en exploitant un Bug de la pile TCP/IP.
Perso, j'ai joué avec pendant plus d'une heure hier soir, impossible d'avoir quoi que ce soit.
Le post n'a eu aucun retour sur la liste et quelques détails me paraissent étonnant dans ce post genre :
lo < 127.0.0.1 > 127.0.0.1: icmp: ip reassembly time exceeded
alors que d'après la rfc aucun ICMP type 11 doit être envoyé si l'adresse source est une adresse loopback.
D'autres détails sont troublant.
En Hors sujet ou complément comme vous voulez, le succès de tels posts prouvent que la création d'un site basé sur DacoDe spécial sécu dans un aussi bon esprit que LinuxFR trouverait sa place sur le net français. Un site de sécu qui ne se prend pas la tête .. à bon entendeur
# Idle Spoof Scanning
Posté par Pognant Sylvain . Évalué à 5.
Article technique en anglais:
http://rr.sans.org/audit/hping2.php(...(...))
[^] # Idle Spoof Scanning par Antirez
Posté par Huzi . Évalué à 5.
autant allé directement à la source :
http://www.hping.org(...(...))
[^] # Re: Idle Spoof Scanning
Posté par vjm . Évalué à 3.
ensuite pour ce qui est de l'article de phrack présenté. Il est très verbeux et sans fond. Sa méthode suppose qu'on puisse décrire des scénarios complet d'attaque ce qui s'avère assez complexe et de plus il parle d'utiliser des IA alors que les tests à base de réseaux de neurone se montrer exceptionnellement lent et surtout trop strict (pas assez d'approximation dû aux méthodes d'apprentissage). Ca pourrait facilement être implémenté dans des IDS network-based/knowledge-based classique en ayant un meta-langage de description d'attaque permettant de chaîner ces attaques pour donner un scénario (avec des alertes de plus en plus fortes selon l'avancement dans le scénario ou dans le réseau).
Je recommande aussi de lire le travail effectué pour NIDES/EMERALD, un IDS experimental efficace et behavior-based (detection statistique, profiling...).
En terme d'IDS les articles de phrack sont malheureusement peut intéressant. Chercher sur le projet IDS de l'université de colombia (/me se touche sur les papers de lee et stolfo ;).
http://www.sdl.sri.com/projects/nides/(...(...))
http://prelude.sourceforge.net/(...(...))
http://www.cs.columbia.edu/ids/(...(...))
A noter qu'utiliser des proxies c'est bien gentil mais ça ne change strictement rien à la détection des scans par les IDS. Ce qui va changer c'est qu'on ne remontera pas jusqu'à l'attaquant. C'est certes embêtant en forensic mais aussi trivial qu'inutile en détection (signatures ou scénarios resteront les mêmes, seule l'adresse change).
Sinon moa j'ai une petite question : Reverse Path Forwarding est il disponible ou prévu sous FreeBSD (ou autre *BSD/Linux) ? Le RPF peut s'avérer très utile pour contrer le spoofing mais je ne le vois que sur des routeurs Cisco/Juniper.
# nmap -sI
Posté par Gentoo][Gravis . Évalué à 0.
[^] # Re: nmap -sI
Posté par Aurélien Jarno (site web personnel) . Évalué à 0.
man nmap :
-sI <zombie host[:probeport]>
Idlescan: This advanced scan method allows for a
truly blind TCP port scan of the target (meaning no
packets are sent to the target from your real IP
address). Instead, a unique side-channel attack
exploits predictable "IP fragmentation ID" sequence
generation on the zombie host to glean information
about the open ports on the target. IDS systems
will display the scan as coming from the zombie
machine you specify (which must be up and meet cer
tain criteria). I am planning to put a more
detailed explanation up at http://www.inse(...(...))
cure.org/nmap/nmap_documentation.html in the near
future.
Besides being extraordinarily stealthy (due to its
blind nature), this scan type permits mapping out
IP-based trust relationships between machines. The
port listing shows open ports from the perspective
of the zombie host. So you can try scanning a tar
get using various zombies that you think might be
trusted (via router/packet filter rules). Obvi
ously this is crucial information when prioritizing
attack targets. Otherwise, you penetration testers
might have to expend considerable resources "own
ing" an intermediate system, only to find out that
its IP isn't even trusted by the target host/net
work you are ultimately after.
a particular port on the zombie host for IPID
changes. Otherwise Nmap will use the port it uses
by default for "tcp pings".
[^] # Re: nmap -sI
Posté par Pascal Terjan (site web personnel) . Évalué à 2.
La Mandrake est en 2.54BETA22 -> PAS OK
La Potato est en 2.12.5 -> PAS OK
La Woody est en 2.54BETA30 -> OK
La Sid est en 2.54BETA30 -> OK
Dans la slackware, nmap ne semble pas etre un package officiel
La RedHat est en 2.54BETA22 -> PAS OK
La SuSE est en 2.54BETA22 -> PAS OK
[^] # Re: nmap -sI
Posté par Gentoo][Gravis . Évalué à 0.
merci !!
# Les attaques par les couches de niveau 2
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
En fait, la téchnique consiste à voler l'IP de quelqu'un en modifiant l'association faite entre IP-MAC. Ainsi, tout le trafic (même interne) passe par la machine espionne avant de passer par le réseau. Redoutable !
"La première sécurité est la liberté"
[^] # Re: Les attaques par les couches de niveau 2
Posté par B. franck . Évalué à 2.
et consoeurs...
Si vous voulez blinder votre firewall.
http://lin.fsid.cvut.cz/~kra/index.html#HUNT(...(...))
[^] # Arp Cache Poisonning
Posté par Huzi . Évalué à 3.
cf : http://www.monkey.org/~dugsong/dsniff/(...(...))
# l'article de phrack : une vague traduction
Posté par Michaël (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.