Protocol reseaux et audit de SECU sur LL

Salut,

On 20 Mar 2005 13:07:37 GMT, ptilou <ptilou@gmail.com> wrote:

Je recherche quels sont les protocols qui sont au même niveau que la
couche IP

A même niveau qu'IP il y a IPX, AppleTalk et toute une tonne d'autres
protocoles, mais ils deviennent rarissimes.

comment ces protocol adresses sur le reseau (WWW, ou autres)?

Je ne suis pas sûr de comprendre la question, mais si elle veut dire "quel
est le format des adresses sur ces réseaux", c'est très variable.

En suite je connais deux façons de coder une adresse IP

Classique : xxx.xxx.xxx.xxx
Hexadécimal: FFF00FF0 (par exemple )

Ce ne sont pas vraiment des façons de la coder, mais de la représenter. Au
final, une adresse IP ce n'est toujours que 32 bits.

Comment une fois après avoir relever ces adresses sur une paserelle
via, toujours par exemple tcpdump, la recherché dans le code source
(quelqu'un me dit que cette opération est imposible )?

Le code source de quoi?

Comment faire en sorte que ma paserelle out-line

Qu'est-ce donc qu'une "passerelle out-line"?

renvoie un paquet à chaque requete reseau

Qu'appelez-vous une "requête réseau"?

afin de voir quel difference de comportement
entre in et out ?

No comprendo.

Désolé si c'est HS

C'est surtout pas très clair.

Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/

ptilou nous disait récement dans fr.comp.securite
<news:1111313081.249639.56910@o13g2000cwo.googlegroups.com> :

Bonjour,

De même,

Je recherche quels sont les protocols qui sont au même niveau que
la couche IP, comment ces protocol adresses sur le reseau (WWW, ou
autres) ?

La première question qui me vient à l'esprit est "mais pourquoi ?"

En suite je connais deux façons de coder une adresse IP

Classique : xxx.xxx.xxx.xxx
Hexadécimal: FFF00FF0 (par exemple )
Comment une fois après avoir relever ces adresses sur une
paserelle via, toujours par exemple tcpdump, la recherché dans
le code source (quelqu'un me dit que cette opération est imposible )?

En cherchant quelle est la structure de l'en-tête des paquets IP et
ensuite en regardant au bon endroit. Voir <news://fr.comp.reseaux.ip>
pour cela.

<parano_on>
Comment faire en sorte que ma paserelle out-line renvoie un paquet
à chaque requete reseau,

Ca dépend du filtre IP utilisé et du système sur lequel il tourne. La
meilleure piste pour commencer est donc de regarder le manuel.

afin de voir quel difference de comportement entre in et out ?

Ben quand c'est in, ça arrive à la machine, et lorsque c'est out ça
sort de la machine, point. Les différences de comportement, si
différence il y a, viennent des règles que tu as définies.

Désolé si c'est HS

Le forum étant modéré, si ton message avait été HS, tu n'aurais
dérangé personne à part les modérateurs.

Merci

De rien


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Bonjour,

Slt,

Je recherche quels sont les protocols qui sont au même niveau que la
couche IP, comment ces protocol adresses sur le reseau (WWW, ou autres)
?
Hum, il y a confusion entre << au même niveau >> et << transporté par

on dirait.

Dans les conceptions contemporaines d'infrastructure de réseaux, au même
niveau qu'IP, c'est à dire au niveau routage, nous avons au minimum
quelques dizaines de protocoles : X25, Appeltalk, IPX de nos amis
Novell, IPv6, IPNG et tous ceux émanant de groupes de travail dirigés
par l'IAB qui n'ont connu qu'une gloire éphémère ou ne sont utilisés que
dans des cadres spécifiques comme le domaine militaire ou la recherche ;
nous avons également quelques protocoles généralistes spécifiés par
l'ISO dans le cadre de son modèle et ceux spécifiés par le secteur
télécoom de cette même ISO (comme X25).

Maintenant s'il s'agit de parler de ce qui est transporté par IP (v4 ou
v6) là encore nous avons quelques centaines de protocoles.
De quoi parlons-nous exactement ?

En suite je connais deux façons de coder une adresse IP

Classique : xxx.xxx.xxx.xxx
Hexadécimal: FFF00FF0 (par exemple )
Comment une fois après avoir relever ces adresses sur une paserelle
via, toujours par exemple tcpdump, la recherché dans le code source
(quelqu'un me dit que cette opération est imposible )?

Il faudrait déjà préciser de quelle version d'IP nous parlons. On
supposera qu'il s'agit d'IPv4 par défaut.

Quel que soit le domaine de toute manière il faut distinguer le mode de
stockage (réprésentation interne) et le mode de représentation humaine.
Une adresse IPv4 est stockée sur 4 octets. Point !
Elle peut alors revêtir au moins 2 réprésentations internes selon que le
processeur est petit ou grand boutiste.
Mais elle ne dispose que d'une représentation humaine largement acceptée
: décimal pointée.
En ce qui concerne IPv6 même chose mais sur 128 bits en en hexa pointée.

<parano_on>

Comment faire en sorte que ma paserelle out-line renvoie un paquet à
chaque requete reseau, afin de voir quel difference de comportement
entre in et out ?

Pas très clair tout cela. Une passerelle out - line c'est quoi
exactement ? Elle est offline ou out ?

(sur la machine que j'audite !)
<parano_off>

Désolé si c'est HS
Non, ce n'est pas HS, enfin, étant donné la clarté cela aurait tout

aussi bien pu paraître dans fr.soc.culture.des.poireaux. :-)

db

--

Courriel : usenet blas net

Bonjour,

Dominique Blas wrote:

Bonjour,

Slt,

Je recherche quels sont les protocols qui sont au même niveau que
la

couche IP, comment ces protocol adresses sur le reseau (WWW, ou
autres)

?
Hum, il y a confusion entre << au même niveau >> et << transporté

par

on dirait.

Dans les conceptions contemporaines d'infrastructure de réseaux, au
même

niveau qu'IP, c'est à dire au niveau routage, nous avons au minimum
quelques dizaines de protocoles : X25, Appeltalk, IPX de nos amis
Novell, IPv6, IPNG et tous ceux émanant de groupes de travail
dirigés

par l'IAB qui n'ont connu qu'une gloire éphémère ou ne sont
utilisés que

dans des cadres spécifiques comme le domaine militaire ou la
recherche ;

nous avons également quelques protocoles généralistes spécifiés
par

l'ISO dans le cadre de son modèle et ceux spécifiés par le secteur

télécoom de cette même ISO (comme X25).

Maintenant s'il s'agit de parler de ce qui est transporté par IP (v4
ou

v6) là encore nous avons quelques centaines de protocoles.
De quoi parlons-nous exactement ?

En faite, je veux simplement comprendre comment "auditer" le code
source d'un OS , pour voir si il n'y a pas de "mouchard, backdoor, etc
..." (le nom est peut-être erroné ...)
Donc l'idée est de mettre un bridge, entre la machine audité et le
reseau, puit chaque fois qu'une adresse apparait sur la consol du
bridge, recherche ou elle se cache dans le code source !
Donc étant donné ma connexion (ADSL), je croix (sans sertitude) que
l'on est en IPv4, enfin je commence par le plus "populaire" ... (des
protocoles)

En suite je connais deux façons de coder une adresse IP

Classique : xxx.xxx.xxx.xxx
Hexadécimal: FFF00FF0 (par exemple )
Comment une fois après avoir relever ces adresses sur une
paserelle

via, toujours par exemple tcpdump, la recherché dans le code
source

(quelqu'un me dit que cette opération est imposible )?

Il faudrait déjà préciser de quelle version d'IP nous parlons. On
supposera qu'il s'agit d'IPv4 par défaut.

Quel que soit le domaine de toute manière il faut distinguer le mode
de

stockage (réprésentation interne) et le mode de représentation
humaine.

Une adresse IPv4 est stockée sur 4 octets. Point !
Elle peut alors revêtir au moins 2 réprésentations internes selon
que le

processeur est petit ou grand boutiste.

Tu veux parlé de 32 ou 64, ou bien j'ai pas saisie ?

Mais elle ne dispose que d'une représentation humaine largement
acceptée

: décimal pointée.
En ce qui concerne IPv6 même chose mais sur 128 bits en en hexa
pointée.

<parano_on>

Comment faire en sorte que ma paserelle out-line renvoie un paquet
à

chaque requete reseau, afin de voir quel difference de comportement
entre in et out ?

Pas très clair tout cela. Une passerelle out - line c'est quoi
exactement ? Elle est offline ou out ?

Offline, désolé pour le "lapsus" ...
L'idée est que le code indesirable, a un comportement different, si il
a ou n'a pas de reponse du reseau ...

Merci (j'éspere que c'est plus claire ! ;-) )

Philippe

Bonjour :)

En faite, je veux simplement comprendre comment "auditer" le code
source d'un OS , pour voir si il n'y a pas de "mouchard, backdoor,
etc ..." (le nom est peut-être erroné ...) Donc l'idée est de mettre
un bridge, entre la machine audité et le reseau, puit chaque fois
qu'une adresse apparait sur la consol du bridge, recherche ou elle se
cache dans le code source ! Donc étant donné ma connexion (ADSL), je
croix (sans sertitude) que l'on est en IPv4, enfin je commence par le
plus "populaire" ... (des protocoles)

Bon auditer est un très très grand mots.
Pour ce qui est des mouchards, tu n'interesse personne chez big brother
alors aucun mouchard n'est présent dans ton os.

Tu es en IPv4 oui et tu ne trouvera pas d'adresse ip dans le source de
ton OS.

Lire le code d'un OS demande beaucoups d'expérience dans la
programmation.

Une adresse IPv4 est stockée sur 4 octets. Point ! Elle peut alors
revêtir au moins 2 réprésentations internes selon que le
processeur est petit ou grand boutiste.
Tu veux parlé de 32 ou 64, ou bien j'ai pas saisie ?

Non il veux dire que le bit fort soit a gauche ou a droite.

chaque requete reseau, afin de voir quel difference de
comportement entre in et out ?
Pas très clair tout cela. Une passerelle out - line c'est quoi

exactement ? Elle est offline ou out ?
Offline, désolé pour le "lapsus" ... L'idée est que le code

indesirable, a un comportement different, si il a ou n'a pas de
reponse du reseau ...

Je ne vois pas de quel code indésirable tu parle :)
Et il ne se comporterais pas différement...

Merci (j'éspere que c'est plus claire ! ;-) )

Ce n'est pas clair pour toi, nous je pense que ca va :)

Philippe

Amicalement,

Seb :)

En faite, je veux simplement comprendre comment "auditer" le code
source d'un OS , pour voir si il n'y a pas de "mouchard, backdoor, etc
..." (le nom est peut-être erroné ...)

Ah ?
L'audit d'un code source s'effectue en le lisant et non en tentant de
l'interpréter d'une quelconque manière.
Les méthodes d'analyse << extérieures >> sont utiles lorsque les autres
méthodes ont été épuisées : découvrir quelle portion de code provoque le
plantage d'un périphérique par exemple.

Donc l'idée est de mettre un bridge, entre la machine audité et le
reseau, puit chaque fois qu'une adresse apparait sur la consol du
bridge, recherche ou elle se cache dans le code source !

Ben tiens. Parce que tu crois que les concepteurs d'un tel truc (si
jamais il y en avait un) ont été suffisamment
inconscients pour écrire l'adresse en toutes lettres (chiffres) ? Il y a
10 ans je ne dis pas mais en 2005, voyons !
Si jamais adresse il y avait, l'adresse serait chiffrée et le code
ferait appel à une routine de déchiffrement utilisant une clé stockée
ailleurs (/proc) par un autre processus.

Donc étant donné ma connexion (ADSL), je croix (sans sertitude) que
l'on est en IPv4, enfin je commence par le plus "populaire" ... (des
protocoles)

Ta démarche d'analyse << extérieure >> est intéressante mais non pas
pour auditer un code source mais bien pour déceler d'éventuelles
anomalies dans les flux pouvant conduire à suspecter la présence d'un
malware quelque part sur le réseau interne.
Mais bon courage pour dégager la substantifique moëlle du bruit et, par
ailleurs, il y a des outils tout fait pour cela : les détecteurs
d'intrusion réseau (NIDS) tels que SNORT ou Prélude ou Hogwash (Snort
sur un pont).

Mais je ne conteste pas le désir d'apprendre comment fonctionne un IDS
en commençant par en construire un ... manuel. C'est essentiel
culturellement et intellectuellement.

Bon courage donc,


db

--

Courriel : usenet blas net

Bonjour,

Dominique Blas wrote:

[...]

Si jamais adresse il y avait, l'adresse serait chiffrée et le code
ferait appel à une routine de déchiffrement utilisant une clé
stockée

ailleurs (/proc) par un autre processus.

Donc, je résume tes propos, une fois l'adresse IP trouvé, sur la
consol de mon bridge, imposible de trouver ou elle est dans le code
source !
Donc, j'ai pas de scrupule avec de tels propos à imaginer un
comportement different en cas de reponce par le bridge sur la machine
auditer ...

[...]

Ta démarche d'analyse << extérieure >> est intéressante mais non
pas

pour auditer un code source mais bien pour déceler d'éventuelles
anomalies dans les flux pouvant conduire à suspecter la présence
d'un

malware quelque part sur le réseau interne.

Non sur un O.S. Libre et une seule machine ...

Mais bon courage pour dégager la substantifique moëlle du bruit et,
par

ailleurs, il y a des outils tout fait pour cela : les détecteurs
d'intrusion réseau (NIDS) tels que SNORT ou Prélude ou Hogwash
(Snort

sur un pont).

IDS, c'est pour détecte une INTRUSION, et non un bout de code ...
(c'est l'étape du dessus, pourquoi sauter les étapes ? )

Mais je ne conteste pas le désir d'apprendre comment fonctionne un
IDS

en commençant par en construire un ... manuel. C'est essentiel
culturellement et intellectuellement.

Très gentille, tous dans le compliment ...
Donc j'en suis juste a IPv4, et déjà on parle de possibilité
incommensurable:
Franchement et la c'est H.S. tous me laisse à croire qu'au niveau
securité pour ma "clientelle" il vaut mieux recommender MS ou tous
autre éditeur d'envergure, qui n'aurat tous, sauf du temps pour
travailler aver ma "clientelle" ...
( en dehors de la clientelle, on peut imaginer l'utilisation de sa
machine, pour effectuer des opérations désagreable, pour le
propriétaire ... )

Donc il me semble que l'on peut tracer ce qu'effectue le logiciel ?
N'y a t'il pas moyen d'automatiser ?

Ou faut'il se résigner à dire qu'il n'y a point de sécurité pour
l'utilisateur "lambda" ?

Merci

Philippe

[...]

Donc, je résume tes propos, une fois l'adresse IP trouvé, sur la
consol de mon bridge, imposible de trouver ou elle est dans le code
source !
Pas impossible mais peu de chance en effet : ou les << adresses >>

seront dissiumlées dans le code ou, plus probablement, elles viendront
d'ailleurs (fichier de config d'un autre logiciel local [voir le cas des
vers sous Windows], réupération depuis une base de données locale, un
annuaire LDAP local) et tu te retrouveras avec une belle adresse en
clair cette fois-ci : 127.0.0.1 ou le nom localhost ou encore une
référence à /etc/HOSTNAME (sur Linux) ou au fichier /etc/hosts.
Le concepteur de ce genre de malware écrit un code le plus polyvalent
possible et coder en dur une adrese (même disimulée) ce n'est pas très
évolutif.

Déjà il y a peu de chance voire aucune chance que tu dégotes une adresse
utilisée sans raison apparente. A moins d'introduire toi-même le vers
dans le fruit, bien entendu. CEtte démarche t'éviteras de perdre du
temps d'ailleurs.

[...]

Non sur un O.S. Libre et une seule machine ...

Ben malware sur l'OS alors.

IDS, c'est pour détecte une INTRUSION, et non un bout de code ...
(c'est l'étape du dessus, pourquoi sauter les étapes ? )
Ben, les intrusions sont de plus en plus le fait de bouts de code hein ?

Un malware c'est quoi donc à ton avis ?
En outre c'est ainsi que l'on peut établir une signature.
Car pas facile d'établir la signature d'un comportement (enchaînement
d'actions) même si les choses ont bien évolué de ce côté là.

[...]

Très gentille, tous dans le compliment ...
Bah, c'était sincère. Comme quoi ...

Donc j'en suis juste a IPv4, et déjà on parle de possibilité
incommensurable:
Franchement et la c'est H.S. tous me laisse à croire qu'au niveau
securité pour ma "clientelle" il vaut mieux recommender MS ou tous
autre éditeur d'envergure, qui n'aurat tous, sauf du temps pour
travailler aver ma "clientelle" ...
S'il y a de l'argent, tout éditeur peut passer un temps proportionnel au

montant mis sur la table.

[...]

Donc il me semble que l'on peut tracer ce qu'effectue le logiciel ?
N'y a t'il pas moyen d'automatiser ?

Il y a gdb et strace. Mais là encore si << backdoor >> il y a,
il y a peu de chance que le code comporte une chaîne du genre
string "Bonjour farfouilleur adoré, tu trouveras ici un backdoor,
cherche-le !"

Ou faut'il se résigner à dire qu'il n'y a point de sécurité pour
l'utilisateur "lambda" ?

Il y en a un minimum en utilisant des outils tout fait dont on ne sait

pas vraiment ce qu'il font (d'où, une fois encore, l'intérêt du libre).
C'est comme dans tout : en antiquités seuls les habitués, les
professionnels sont capables de sentir les bonnes affaires, seul un
mécanicien averti peut réparer une bagnole (et encore aujourd'hui il y a
de l'informatique partout), etc.
Et non, on ne devient pas expert sécurté en 2 coups de bagueette magique
mais on peut apprendre les éléments de base rapidement : iptables,
ebtables, ipf, proxies, Snort, Prelude, etc. C'est déjà ça.

db


--

Courriel : usenet blas net

"ptilou" <ptilou@gmail.com> a dit quelque chose du genre

[...]

Si jamais adresse il y avait, l'adresse serait chiffrée et le code
ferait appel à une routine de déchiffrement utilisant une clé
stockée

ailleurs (/proc) par un autre processus.

Donc, je résume tes propos, une fois l'adresse IP trouvé, sur la
consol de mon bridge, imposible de trouver ou elle est dans le code
source !
Donc, j'ai pas de scrupule avec de tels propos à imaginer un
comportement different en cas de reponce par le bridge sur la machine
auditer ...
[...]
Non sur un O.S. Libre et une seule machine ...

Franchement et la c'est H.S. tous me laisse à croire qu'au niveau
securité pour ma "clientelle" il vaut mieux recommender MS ou tous
autre éditeur d'envergure, qui n'aurat tous, sauf du temps pour
travailler aver ma "clientelle" ...
( en dehors de la clientelle, on peut imaginer l'utilisation de sa
machine, pour effectuer des opérations désagreable, pour le
propriétaire ... )

Donc il me semble que l'on peut tracer ce qu'effectue le logiciel ?
N'y a t'il pas moyen d'automatiser ?

Je dois avouer que je suis toujours perdu quant à ce que notre ptilou veut
exactement. Tout ceci n'est pas très clair.
Tu veux auditer un OS? quel OS ( à priori c'est un truc dérivé du noyau
linux)? (quoique la dernière phrase me fait penser à un soft plutot)
l' "O.S" en question est installé sur ta machine ou sur celle de la
"clientèle"?
dis-moi si je me trompe, mais tu chercherais pas à savoir si ton "OS" envoie
des paquets vers une adresse précise ou bien en reçoit? (par exemple dans le
cas d'un ver, ou d'un malware qui tente de se compléter).

"La vérité est ailleurs? Ben Mon cerveau aussi dans ce cas :p"

Bonjour,

hotus wrote:

"ptilou" <ptilou@gmail.com> a dit quelque chose du genre

[...]

Je dois avouer que je suis toujours perdu quant à ce que notre
ptilou veut

exactement. Tout ceci n'est pas très clair.
Tu veux auditer un OS? quel OS ( à priori c'est un truc dérivé du
noyau

linux)? (quoique la dernière phrase me fait penser à un soft
plutot)

l' "O.S" en question est installé sur ta machine ou sur celle de la
"clientèle"?

Peut importe, je veux l'auditer ! ( Et c'est bien de l'unix like )

dis-moi si je me trompe, mais tu chercherais pas à savoir si ton
"OS" envoie

des paquets vers une adresse précise ou bien en reçoit? (par
exemple dans le

cas d'un ver, ou d'un malware qui tente de se compléter).

Mon O.S. envoie bien des paquets, l'infortisien étant fourbe a ses
moment perdu j'aimerais pouvoir trouvé par une solution informatique,
ces petits morceaux de codes qui permettent, de communiquer avec ce
grand reseau (WWW )

"La vérité est ailleurs? Ben Mon cerveau aussi dans ce cas :p"

Au moins, je te fais rire ...

Ptilou