Porte de sortie pour troyen dans pare-feu

Le
Useur lambda
Salut,

A la première ligne des filtres de configuration de mon Kerio,
je trouve une entrée inconnue nommée "interne" (en français
apparemment!) qui a pour effet de laisser passer toutes les
demandes sortantes en TCP et UDP pour toutes les applications.

Voilà qui doit bien faire l'affaire d'un troyen.
Est-ce que ça vous parle?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Useur lambda
Le #1689518
Ainsi parla Jean-Francois Ortolo :
Bonjour Monsieur

Ben, le problème, c'est que dans uen connexion initiée par le client,
le port du client est imprévisible, et supérieur à 1024. On connait
l'adresse IP, mais pas le port. Impossible donc de faire une règle
valide d'après le poste client.

Si on devait faire une règle sortante d'après les coordonnées du
serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les
ports, car celà reviendrait à s'interdire d'utiliser certaines
applications situées sur les serveurs à distance.

Effectivement on pourrait, mais ce seraient des règles d'interdiction
ciblées, avec ce que celà sous-entend de multiplication des règles
suivant les applications, et la nécessité d'être informé d'abord, des
application serveur posant problème.

Si vous prévoyer de traiter les troyens d'un certain type avec un
certain comportement, il est probable, que vous vous interdisiez aussi,
d'accéder à ce même port serveur, avec une application correcte
celle-là, de votre ordinateur.

La seule différence étant le nom de votre application sur votre ordi
comportant ou non le troyen, celà voudrait dire que vous savez au départ
les noms des applications sur votre ordinateur, qui sont infectées...

... ;)

Bien à vous.

Amicalement.

Jean-Francois Ortolo



Euh, sans doute, bien que je n'ai pas tout saisi.

Peut-être la question manquait-elle de clarté :

Dans mon pare-feu est soudain apparue une règle énigmatiquement
nommée "interne" qui a tout bonnement pour effet de le désactiver
complètement en sortie, pour toutes les applications, toutes les
adresses IP et tous les ports.

Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ?
(quelque chose l'a bien créée cette règle, et c'est pas moi,
je le jure!)

Jean-Francois Ortolo
Le #1689307
Salut,

A la première ligne des filtres de configuration de mon Kerio,
je trouve une entrée inconnue nommée "interne" (en français
apparemment!) qui a pour effet de laisser passer toutes les
demandes sortantes en TCP et UDP pour toutes les applications.

Voilà qui doit bien faire l'affaire d'un troyen.
Est-ce que ça vous parle?



Bonjour Monsieur

Ben, le problème, c'est que dans uen connexion initiée par le client,
le port du client est imprévisible, et supérieur à 1024. On connait
l'adresse IP, mais pas le port. Impossible donc de faire une règle
valide d'après le poste client.

Si on devait faire une règle sortante d'après les coordonnées du
serveur, ce serait galère - l'adresse IP n'en parlons pas - pour les
ports, car celà reviendrait à s'interdire d'utiliser certaines
applications situées sur les serveurs à distance.

Effectivement on pourrait, mais ce seraient des règles d'interdiction
ciblées, avec ce que celà sous-entend de multiplication des règles
suivant les applications, et la nécessité d'être informé d'abord, des
application serveur posant problème.

Si vous prévoyer de traiter les troyens d'un certain type avec un
certain comportement, il est probable, que vous vous interdisiez aussi,
d'accéder à ce même port serveur, avec une application correcte
celle-là, de votre ordinateur.

La seule différence étant le nom de votre application sur votre ordi
comportant ou non le troyen, celà voudrait dire que vous savez au départ
les noms des applications sur votre ordinateur, qui sont infectées...

... ;)

Bien à vous.

Amicalement.

Jean-Francois Ortolo

DePassage
Le #1689306
Useur lambda wrote:


Euh, sans doute, bien que je n'ai pas tout saisi.

Peut-être la question manquait-elle de clarté :


Sa réponse ne l'est pas moins :-)


Dans mon pare-feu est soudain apparue une règle énigmatiquement
nommée "interne" qui a tout bonnement pour effet de le désactiver
complètement en sortie, pour toutes les applications, toutes les
adresses IP et tous les ports.

Serait-ce l'oeuvre de quelque "malware", auriez-vous un nom ?
(quelque chose l'a bien créée cette règle, et c'est pas moi,
je le jure!)


Et si dans un premier temps tu virais cette règle ?

En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"

Il faudrait y adjoindre quelques outils qui seraient plus parlant que
Kerio qui dit "Application interne" :

Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...

http://technet.microsoft.com/fr-fr/sysinternals/bb897437(en-us).aspx

sans oublier les Process monitor
http://www.clubic.com/telecharger-fiche27722-process-monitor.html

ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé
sous les listes pas toujours facile à décoder pour non-averti)
http://www.clubic.com/telecharger-fiche12492-starter.html

Useur lambda
Le #1689302
Ainsi parla DePassage :

Et si dans un premier temps tu virais cette règle ?


Sûr que j'ai pas attendu pour le faire :-)

En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"


Certes, certes... mais le vilain cafard pourrait bien recréer la
règle à l'insu de mon plein gré juste avant de se livrer à ses
sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?

Il faudrait y adjoindre quelques outils qui seraient plus parlant que
Kerio qui dit "Application interne" :

Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...

http://technet.microsoft.com/fr-fr/sysinternals/bb897437(en-us).aspx

sans oublier les Process monitor
http://www.clubic.com/telecharger-fiche27722-process-monitor.html

ou Starter (peut etre plus facile à lire et comprendre pour qui est noyé
sous les listes pas toujours facile à décoder pour non-averti)
http://www.clubic.com/telecharger-fiche12492-starter.html


Bien, merci, je vais essayer tout ça et je reviendrai en rendre
compte si les recherches sont "fructueuses".

DePassage
Le #1697514
Useur lambda wrote:
Ainsi parla DePassage :

Et si dans un premier temps tu virais cette règle ?


Sûr que j'ai pas attendu pour le faire :-)


Ben comme tu ne le précisais pas... :-)


En théorie, ton firewall, si tu procèdes par liste blanche, devrait te
poser la question de savoir si il doit laisser sortir cette application
"interne"


Certes, certes... mais le vilain cafard pourrait bien recréer la
règle à l'insu de mon plein gré juste avant de se livrer à ses
sournoises besognes et passer ainsi toujours inaperçu, n'est-il pas?


Oui mais (je connais mal Kerio), en procédant par liste blanche, un bon
firewall t'indiquera de suite si tel programme ou application essaie de
communiquer sournoisement

Néanmoins meme en couplant avec des programmes d'analyse, tout cela a
ses limites.
Preuve en est qu'il est difficile de savoir ce qui transite réellement

http://cryptome.org/nsa-ssl-email.htm

"Zone Alarm, Symantec, MacAfee: All facilitate Microsoft's
NSA-controlled remote admin access via IP/TCP ports 1024 through 1030;
ie will allow access without security flag. Unknown whether or not
software port forward routing by these same programs will defeat NSA
access."

Pourtant pour ZA, ce n'est pas la première fois que cela est évoqué (y a
2 ans)
Mais bon on pourrait aussi parler de MSN et autres qui continuent de
"baver" meme après désinstallation :-)

Sans lancer la grosse artillerie, peut ete qu'un simple "Tcpview" suffit...
Bien, merci, je vais essayer tout ça et je reviendrai en rendre

compte si les recherches sont "fructueuses".


Sans aller jusqu'à un Ethereal tu peux tester aussi (propre car simple
.exe) :

site d'origine :

http://www.nirsoft.net/utils/cports.html

Avec son compagnon
http://www.nirsoft.net/utils/ipnetinfo.html

Descriptif à :
http://www.clubic.com/telecharger-fiche31635-currports.html


Publicité
Poster une réponse
Anonyme