Tester un Firewall via Web
Le
jackoneill9
Bonjour,
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire
comment faire
Ex. :
Attaquant (sur LAN 172.20.0.x à Paris)
||
Firewall (NAT)
||
modem ADSL
||
[INTERNET]
||
modem ADSL à Knock-le-zout
||
Firewall à auditer [-- DMZ]
||
autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher
sur l'interface externe :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet
?
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non,
alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les
tests) ?
Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui
concerne l'audit de Firewalls,
car j'en ai plutôt marre des recherches google ("firewall testing" ,
"firewall testing tools", "firewall probing" etc.). En + on retombe
tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys,
Saint etc.)
Jack
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire
comment faire
Ex. :
Attaquant (sur LAN 172.20.0.x à Paris)
||
Firewall (NAT)
||
modem ADSL
||
[INTERNET]
||
modem ADSL à Knock-le-zout
||
Firewall à auditer [-- DMZ]
||
autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher
sur l'interface externe :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet
?
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non,
alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les
tests) ?
Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui
concerne l'audit de Firewalls,
car j'en ai plutôt marre des recherches google ("firewall testing" ,
"firewall testing tools", "firewall probing" etc.). En + on retombe
tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys,
Saint etc.)
Jack
Poser une question
Ben... La meilleure façon de savoir si un réseau est bien protégé,
c'est justement de l'"attaquer" de l'extérieur. Donc, si le firewall
est derrière un modem ADSL, tu peux bien sûr le tester depuis
l'extérieur (et uniquement depuis l'extérieur, d'ailleurs), à
condition bien sûr de connaître son adresse IP.
Si par contre il est derrière un routeur qui filtre les données
entrantes (via NAT par exemple), tu n'as effectivement pas un accès
direct au firewall -- mais c'est pas grave, puisque les pirates non
plus n'y ont pas accès.
Nessus peut faire l'affaire
un poste externe avec Nessus attaquant ton ip à tester devrait te donner pas mal de renseignements
j'ai déjà essayé ça à partir de chez moi sur le firewall de mon boulot !
--
* remove '.don't.spam' and '.invalid' from my eMail address if you want to write me *
* enlevez '.don't.spam' et '.invalid' de mon adresse eMail si vous voulez m'écrire *
A priori, je ne confirmerai pas.
Le principe est assez simple. Si ton firewall possède une adresse IP
valide sur le net (publique) ce qui semble être le cas sur ton schéma,
il sera atteignable au niveau IP et donnera donc un certain nombre
d'informations sur sa configuration. Il sera ainsi possible de mener
toute une batterie de tests.
Mais il faut bien faire la différence entre un audit de
configuration/conformité et un test d'intrusion.
Si c'est un test externe à l'aveugle pour voir quels ports du firewall
sont ouverts, c'est tout à fait possible (dans une certaine mesure).
Si tu souhaites savoir si la configuration mise en place est correcte,
il serait mieux d'avoir la main dessus. Un test d'intrusion n'est pas
obligatoirement exhaustif, et ses résultats ne donneront pas
obligatoirement un aperçu de l'ensemble des failles, mais seulement de
celles trouvées par l'auditeur.
Il existe des méthodes et outils permettant de donner un aperçu de la
configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais
un scan de ports te donnera déjà une première vision, sachant que
celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi
le firewalking qui permet de déterminer les ports ouverts.
Nop, du net, tu obtiendras la même chose si ce n'est pas la
configuration du logiciel et de la machine que tu veux voir.
Dans une certaine mesure, oui.
Ils demandent sur les newgroups ?
Bon, ok, je suis méchant ;-)
Je dirais qu'il faut se documenter sur le fonctionnement de TCP/IP,
puis de celui d'un firewall. Après ce sera plus simple de comprendre
comment les attaques peuvent être menées.
Ben, je te propose de suivre la démarche précédemment évoquée si tu
souhaites que ton scan soit efficace. A mon avis, si on ne comprend
pas les enjeux qui sont derrière, un scan n'a que peu d'intérêt.
Essaye: comprendre + TCP/IP, firewall + basics, man + nmap,
firewalking.
Mais ca va demander un peu de temps et d'investissement ;-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi
la présence d'un modem, routeur ou autre truc faisant du nat pourrait
empêcher de "parler avec" un firewall...
Arnaud "La Hyène"
--
GA: pas assez convivial et surtout ce qui me gene le plus, c'est
GA: que linux c'est trop un systeme de droite.
HS: linux est en train d'etre récuperé politiquement par DL
-+- Hans in Guide du linuxien pervers : "ST serait il un virus ?" -+-
Pour un débutant quelques liens ce n'est pas mal aussi :)
http://packetstormsecurity.org.pk/U...-final.pdf
un peu ancien mais simple a comprendre.
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP.
Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP
ne ferait pas de mal. Pour les autres le temps et un intérêt probablement
croissant devrait suffire.
Eric.