Bonjour,
Pour mon projet de Master je recherche des informations sur les proxy applicatifs, mais pas n'importe lequel...
Mon but dans ce projet est de montré que les applications réseaux côté clients ne sont pas protégées. Les seuls protections sont Firewall, Antivirus (ce dernier étant capable de filtrer mail et contenu web la plupart du temps).
Au cours de ma recherche sur google, je n'ai trouvé aucun proxy/firewall applicatif permettant de protégé l'application cliente contre une utilisation abusive/illégale du protocole. Il en existe quelques un pour les serveurs (apache, ...)
L'application serait tel que (non définitif)
* intermédiaire entre le client et les serveurs ou autre client sur internet.
* analyse étape par étape le protocole utilisé
* détermine si l'action est valide
Pour pouvoir analyser tous les protocoles ( TCP/IP dans un premier temps), je pense générer un "moteur" pour analyser tous les protocoles (peut être via du xml/dtd) Il me semble que c'est la partie la plus sensible.
Pourquoi une telle application ?
Qui n'a jamais entendu que XX c'était fait pirater via son client irc (via un dcc), icq, msn,...
Ces attaques légale du point de vue du protocole tcp/ip ne sont pas forcément légal du point de vue du protocole applicatif (overflow, flood,null,..).
Je fais appel à toi journal pour connaître ton avis (constructif ...) sur ce projet, s'il existe déjà des projets similaires ou même des liens sur des recherches.
Merci de votre aide
Petit bonjour aux Frenchies students of UK ;)
# en une url ...
Posté par Loic Jaquemet . Évalué à 1.
[^] # Re: en une url ...
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Je viens de parcourir le projet et je trouve assez extraordinaire (sans aucune ironie) de pouvoir protéger le client avec juste une seul expression, ex:
pour ftp :
^220[\x09-\x0d -~]*ftp
Je vais me pencher de plus pres sur ce projet.
La méthode que je voudrais employer serait plus dans le suivie des transactions du protocole ( je sais tres tres long)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: en une url ...
Posté par _seb_ . Évalué à 1.
J'ai déjà expliqué en quoi l7-filter n'est pas en mesure de répondre très correctement au problème de firewall applicatif (http://linuxfr.org/comments/482339.html#482339(...)).
[^] # Re: en une url ...
Posté par ~ lilliput (site web personnel) . Évalué à 1.
bon je vais regarder du coté de Lex/Yacc pour la grammaire des protocoles
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# Et la sécurité ?
Posté par mac . Évalué à 5.
Hors, cette couche de cryptage suffit à elle seule à empêcher quasiment tout contrôle de sécurité au niveau 7 (le "Proxy Applicatif").
Sans compter que le travail devient quasiment impossible si tu veux le faire bien et en profondeur : si tu veux analyser un flux HTTP, faut-il également valider le format des fichiers .gif téléchargés par exemple ? Ou analyser le code Javascript (voire JAVA si il y a des applets) pour voir si rien de méchant ne s'y passe ?
Olivier
P.S. moi je n'ai jamais entendu que XX c'était fait pirater via son client irc (via un dcc), icq, msn
[^] # Re: Et la sécurité ?
Posté par ~ lilliput (site web personnel) . Évalué à 2.
Lorsque tu vas sur un serveur irc il est légitime de pouvoir communiquer en SSL.
Mais si tu viens a parler en privée en dcc avec une personne X ou Y, sont elles trustable ?
De plus si tu heberges le proxy sur ton ordi ( trusted ) on peut imaginer une encapsulation SSL vers le serveur.
Coté piratage d'application: citons les bot irc, et en ce moment sans pouvoir etre sur à 50% mais d'apres des retour d'utilisitateur de msn messenger, un trojan ou vers semblerait se propager via msn messenger (l'activité suspect etait que l'application messenger soit lancer via une application externe quicktime/explorer/rundll32.exe) ralentissement de la machine+écran bleu.
ICQ il y a maintenant 4ans avait quelques petite faiblesse.
Winamp à une faille qui permet via une url d'uploader un fichier ds le cache de l'explorateur () ou executer du code arbitraire ( http://www.techworld.com/security/news/index.cfm?NewsID=1343(...) ) .. enfin des trucs comme ca y'en a plein;
Le fait que toi même tu avoues que ce genre de piratage ne soit pas courant montre bien une faiblesse dans la sécurité des workstations actuel; (va faire un tour ds les scripts kiddies)
Je sais que pour le moment y a plein de "si" mais c'est la phase réflexion ;)
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Et la sécurité ?
Posté par mac . Évalué à 4.
Non, pas d'accord ! Je n'ai aucune raison de faire confiance au site web de ma banque, ils sont à la merci de virus et autres cochonneries comme tout le monde, mais je ne veux pas non plus que des informations confidentielles circulent en clair sur le réseau -> j'utilise du SSL.
Ce que SSL me garantit dans ce cas, c'est :
1. L'identité du serveur Web
2. La confidentialité du flux de données
et c'est tout !
Il ne me garantit rien concernant l'innocuité du serveur.
[^] # Re: Et la sécurité ?
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Etant donné que Man in the middle me semble t'il ne doit pas être envisageable sur ssl (sinon a quoi sert le protocole ssl :) )
Le proxy/firewall ne pourrait voir que les abus du à l'utilisation sur le protocole SSL. A moins d'envisager que le proxy demande lui meme le certificat ssl et regenere un certificat ssl vers le client (en spécifiant tout), mais bon ca devient vite l'horreur à gérer.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Et la sécurité ?
Posté par pasPierre pasTramo . Évalué à 2.
http://www.proofsecure.com/(...)
# fireflier
Posté par kolter (site web personnel, Mastodon) . Évalué à 1.
il intercepte tous les packets et les mets en files d'attentes en demandant ce que tu veux en faire acepter/refuser, faire des règles sur le modèle....
ça peut être un bon début...
M.
[^] # Re: fireflier
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Mais le coté filtering by application est pas mal
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# Un proxy est toujours applicatif!!!
Posté par Jean-Luc Henry . Évalué à 1.
Pour information, un firewall à la base ne fait que du filtrage ip source, ip dest, port source, port dest et quelques autres trucs au niveau de la couche réseau. Donc le firewall ne sait pas qu'a l'interieur du petit paquet tout jolie il y a une attaque.
L'on parle maintenant de firewall applicatif quand c'est un proxy qui s'est mis à faire du filtrage dans son niveau (donc applicatif).
Sinon, pour répondre à ta question, non je ne connais pas de firewall applicatif côté client.
J'imagine que Apache en proxy transparent avec mod-security devrait pouvoir faire ce travail! Mais oui mod security est prévu pour les attaques côté serveur et non client...
[^] # Re: Un proxy est toujours applicatif!!!
Posté par ~ lilliput (site web personnel) . Évalué à 1.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Un proxy est toujours applicatif!!!
Posté par Jean-Luc Henry . Évalué à 1.
Il est déja très difficile de faire du filtrage applicatif côté serveur (sur un ou 2 protocoles) alors le faire côté client sur plusieurs centaines de protocoles me paraît vraiment très très compliqué à mettre en oeuvre!
En ce qui concerne l7-filter, c'est un outil qui fait de la reconnaissance de protocole. Ce n'est pas un outil qui fait de la reconnaissance d'attaque au sein d'un protocole. De plus, le jour ou il le fera, il le fera côté serveur pas côté client.
Oui il y a des risques. Utiliser un client web, un client mail, msn... peut permettre à un attaquant de prendre le contrôle de ta machine.
Je suis désolé mais je n'ai pas de réelle solution à t'offir.
[^] # Re: Un proxy est toujours applicatif!!!
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Le but de ce post étant de savoir si des solutions existent déjà ;)
Par contre comme tu l'as si bien dit le plus dur sera de créer des centaines de règle pour plein de protocoles. ( La solution la plus rapide et viable, je pense, serait de créer un agent qui établirai des règles de transmissions grace à de l'IA. Mais bon ceci est un autre problème :) )
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
# Snort ?
Posté par Volnai . Évalué à 1.
Le filtrage applicatif, c'est treees dur, les produit proprio ne s'en sortent d'ailleurs pas beaucoup mieux que le libre dans ce domaine.
[^] # Re: Snort ?
Posté par Jean-Luc Henry . Évalué à 1.
Peut-être existe-il un site qui contient des empreintes représentant des attaques clientes. Hélàs, j'en doute.
Sinon l'idée en sois de snorte est bonne! Manque plus que les données pour nourrir le bousin.
[^] # Re: Snort ?
Posté par ~ lilliput (site web personnel) . Évalué à 1.
Elle detectera une attaque que parce qu'une expression reguliere correspond.
Le problème sera toujours le même avec des nouvelles attaques, et on observe une course à l'armement (c'est pas de moi).
Comme il s'agit d'un projet de recherche, je voulais savoir les techniques existantes, leur faiblesse, et ouvrir sur une nouvelle approche, ainsi que de simuler la technique (comprendre un logiciel en version alpha donnant des résultat probant)
Je tiens à tous vous remercier tous pour vos idées, et liens ca m'aide énormément pour ma recherche.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Snort ?
Posté par Jean-Luc Henry . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.