Firewall sortant par application: comment ca marche ? Et sous unix ?
33 réponses
Yannick Patois
Bonjour,
J'ai lu que certains firewall sous windows etaient capable de donner
acces au reseau en selectionnant application par application les
autorisations.
J'aimerais savoir comment est fait ce mecanisme (comment le firewall
sait-il quelle application a cree le paquet a envoyer) et s'il est
facile a contourner (creer un binaire avec le meme nom, etc.).
Je serais surtout interesse par savoir si l'equivalent peut etre fait
sous unix (et linux en particulier), si cela a ete fait (les fw que je
connais ne le font pas) et quels sont les methodes permettant d'y
arriver eventuellement.
Merci.
Yannick
--
_/ Yannick Patois \___________________________________________________
| web: http://feelingsurfer.net/garp/ | Garp sur irc undernet |
| email: patois@calvix.org | |
| ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Le Sun, 30 May 2004 14:04:59 +0000, Emmanuel Florac a écrit :
Ouais, mais le but, c'est quand même de se servir de l'ordinateur. Et si on pense au même OS, pour les serveur, tip-top, mais comme station de travail... Personnellement j'utilise Linux exclusivement depuis 2 ans, je ne vois pas
ce qu'il lui manque.
Itou, mais dans le cas présent, je pensais OpenBSD+systrace.
-- 1h23 pour télécharger MRJ, j'espère qu'à cette vitesse ton accès au câble est offert sans abonnement ! -+- TM in Guide du Macounet Pervers : Les paquets passent la douane -+-
Le Sun, 30 May 2004 14:04:59 +0000, Emmanuel Florac a écrit :
Ouais, mais le but, c'est quand même de se servir de l'ordinateur. Et si
on pense au même OS, pour les serveur, tip-top, mais comme station de
travail...
Personnellement j'utilise Linux exclusivement depuis 2 ans, je ne vois pas
ce qu'il lui manque.
Itou, mais dans le cas présent, je pensais OpenBSD+systrace.
--
1h23 pour télécharger MRJ, j'espère qu'à cette vitesse ton accès au
câble est offert sans abonnement !
-+- TM in Guide du Macounet Pervers : Les paquets passent la douane -+-
Le Sun, 30 May 2004 14:04:59 +0000, Emmanuel Florac a écrit :
Ouais, mais le but, c'est quand même de se servir de l'ordinateur. Et si on pense au même OS, pour les serveur, tip-top, mais comme station de travail... Personnellement j'utilise Linux exclusivement depuis 2 ans, je ne vois pas
ce qu'il lui manque.
Itou, mais dans le cas présent, je pensais OpenBSD+systrace.
-- 1h23 pour télécharger MRJ, j'espère qu'à cette vitesse ton accès au câble est offert sans abonnement ! -+- TM in Guide du Macounet Pervers : Les paquets passent la douane -+-
Nicob
On Sun, 30 May 2004 11:38:07 +0000, Cedric Blancher wrote:
Et pour remédier à cela, il faudrait signer les bibliothèques et que l'application vérifie toutes les signatures lorsqu'il les charge pour s'assurer de leur intégrité.
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Nicob
On Sun, 30 May 2004 11:38:07 +0000, Cedric Blancher wrote:
Et pour remédier à cela, il faudrait signer les bibliothèques et que
l'application vérifie toutes les signatures lorsqu'il les charge pour
s'assurer de leur intégrité.
Z'êtes pas en train de dire que certains pare-feux personnels sous
Windows ne vérifie pas l'intégrité des DLL chargées par les programmes
surveillés ? Ce serait un comportment vraiment stupide ...
On Sun, 30 May 2004 11:38:07 +0000, Cedric Blancher wrote:
Et pour remédier à cela, il faudrait signer les bibliothèques et que l'application vérifie toutes les signatures lorsqu'il les charge pour s'assurer de leur intégrité.
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Nicob
Francois Le Gad
Nicob avait énoncé :
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Ce n'est pas le travail des antivirus, ça ?
-- François
Nicob avait énoncé :
Z'êtes pas en train de dire que certains pare-feux personnels sous
Windows ne vérifie pas l'intégrité des DLL chargées par les programmes
surveillés ? Ce serait un comportment vraiment stupide ...
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Ce n'est pas le travail des antivirus, ça ?
-- François
Cedric Blancher
Le Mon, 31 May 2004 09:25:04 +0000, Nicob a écrit :
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Ben franchement, je n'ai pas vérifié, mais vu le nombre d'update qui peuvent se faire sans que le fw personnel ne couine, ça me semble assez probable. On prendre par exemple la correction de la faille PCT qui affecte bien une DLL utilisée par IE. Pour autant, je ne me souviens pas voir vu l'alerte me disant que quelque chose avait été modifé. Alors que si je fais une update de IE, là, ça couine.
À vérifier, mais j'ai pas le banc de test sous la main :/
-- BOFH excuse #377:
Someone hooked the twisted pair wires into the answering machine.
Le Mon, 31 May 2004 09:25:04 +0000, Nicob a écrit :
Z'êtes pas en train de dire que certains pare-feux personnels sous
Windows ne vérifie pas l'intégrité des DLL chargées par les programmes
surveillés ? Ce serait un comportment vraiment stupide ...
Ben franchement, je n'ai pas vérifié, mais vu le nombre d'update qui
peuvent se faire sans que le fw personnel ne couine, ça me semble assez
probable. On prendre par exemple la correction de la faille PCT qui
affecte bien une DLL utilisée par IE. Pour autant, je ne me souviens pas
voir vu l'alerte me disant que quelque chose avait été modifé. Alors
que si je fais une update de IE, là, ça couine.
À vérifier, mais j'ai pas le banc de test sous la main :/
--
BOFH excuse #377:
Someone hooked the twisted pair wires into the answering machine.
Le Mon, 31 May 2004 09:25:04 +0000, Nicob a écrit :
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide ...
Ben franchement, je n'ai pas vérifié, mais vu le nombre d'update qui peuvent se faire sans que le fw personnel ne couine, ça me semble assez probable. On prendre par exemple la correction de la faille PCT qui affecte bien une DLL utilisée par IE. Pour autant, je ne me souviens pas voir vu l'alerte me disant que quelque chose avait été modifé. Alors que si je fais une update de IE, là, ça couine.
À vérifier, mais j'ai pas le banc de test sous la main :/
-- BOFH excuse #377:
Someone hooked the twisted pair wires into the answering machine.
Cedric Blancher
Le Mon, 31 May 2004 11:51:11 +0000, Cedric Blancher a écrit :
À vérifier, mais j'ai pas le banc de test sous la main :/
ZA semble pouvoir le faire, mais ne le fait pas par défaut, par contre, je n'ai rien vu de cet acabit dans Kerio par exemple.
--
J'veux un trombone pour sendmail ! Hum ... pauvre trombonne, avec ca, il va faire un brain overflow...
-+- NLS in GFA : Pitié pour les trombonnes ! -+-
Le Mon, 31 May 2004 11:51:11 +0000, Cedric Blancher a écrit :
À vérifier, mais j'ai pas le banc de test sous la main :/
ZA semble pouvoir le faire, mais ne le fait pas par défaut, par contre,
je n'ai rien vu de cet acabit dans Kerio par exemple.
--
J'veux un trombone pour sendmail !
Hum ... pauvre trombonne, avec ca, il va faire un brain overflow...
Le Mon, 31 May 2004 11:51:11 +0000, Cedric Blancher a écrit :
À vérifier, mais j'ai pas le banc de test sous la main :/
ZA semble pouvoir le faire, mais ne le fait pas par défaut, par contre, je n'ai rien vu de cet acabit dans Kerio par exemple.
--
J'veux un trombone pour sendmail ! Hum ... pauvre trombonne, avec ca, il va faire un brain overflow...
-+- NLS in GFA : Pitié pour les trombonnes ! -+-
Gilles RONSIN
Nicob , le lun. 31 mai 2004 11:25:04, écrivait ceci:
Salut,
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un programme est autorisé (donc en connaissance de cause) à ouvrir un port et pas un autre, il y a peu de risque.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelles astuces : Interprêtation des évenements XP en "français" (trad auto) Il est impossible pour un optimiste d'être agréablement surpris.
Nicob <nicob@I.hate.spammers.com>, le lun. 31 mai 2004 11:25:04,
écrivait ceci:
Salut,
Z'êtes pas en train de dire que certains pare-feux personnels sous
Windows ne vérifie pas l'intégrité des DLL chargées par les
programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un programme
est autorisé (donc en connaissance de cause) à ouvrir un port et pas un
autre, il y a peu de risque.
--
Embryon de site : http://gilles.ronsin.free.fr
Nouvelles astuces : Interprêtation des évenements XP en "français" (trad
auto)
Il est impossible pour un optimiste d'être agréablement surpris.
Nicob , le lun. 31 mai 2004 11:25:04, écrivait ceci:
Salut,
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un programme est autorisé (donc en connaissance de cause) à ouvrir un port et pas un autre, il y a peu de risque.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelles astuces : Interprêtation des évenements XP en "français" (trad auto) Il est impossible pour un optimiste d'être agréablement surpris.
Eric Razny
Gilles RONSIN wrote:
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un programme est autorisé (donc en connaissance de cause) à ouvrir un port et pas un autre, il y a peu de risque.
C'est une blague? Si la fonction appelée par le programme est dans une DLL _et_ que la DLL a été remplacée par une version trafiquée, la fonction exécutée sera bien la fonction trafiquée (au chargement de la nouvelle DLL). Si on contrôle qu'un programme est bien autorisé à sortir sans vérifier que la DLL n'est pas modifiée il y a comme un gros trou quelque part... :)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Gilles RONSIN wrote:
Z'êtes pas en train de dire que certains pare-feux personnels sous
Windows ne vérifie pas l'intégrité des DLL chargées par les
programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un
programme est autorisé (donc en connaissance de cause) à ouvrir un
port et pas un autre, il y a peu de risque.
C'est une blague?
Si la fonction appelée par le programme est dans une DLL _et_ que la DLL a
été remplacée par une version trafiquée, la fonction exécutée sera bien la
fonction trafiquée (au chargement de la nouvelle DLL). Si on contrôle qu'un
programme est bien autorisé à sortir sans vérifier que la DLL n'est pas
modifiée il y a comme un gros trou quelque part... :)
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Z'êtes pas en train de dire que certains pare-feux personnels sous Windows ne vérifie pas l'intégrité des DLL chargées par les programmes surveillés ? Ce serait un comportment vraiment stupide
C'est sûr que c'est risqué si une dll a été changée, mais si un programme est autorisé (donc en connaissance de cause) à ouvrir un port et pas un autre, il y a peu de risque.
C'est une blague? Si la fonction appelée par le programme est dans une DLL _et_ que la DLL a été remplacée par une version trafiquée, la fonction exécutée sera bien la fonction trafiquée (au chargement de la nouvelle DLL). Si on contrôle qu'un programme est bien autorisé à sortir sans vérifier que la DLL n'est pas modifiée il y a comme un gros trou quelque part... :)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Djoume SALVETTI
Le Thu, 27 May 2004 15:54:46 +0000, Yannick Patois a écrit :
L'idéal serait de remonter au numéro d'inode associé au programme qui est lancé, mais ce n'est pas aussi immédiat et ça demande du temps. Cette information peut etre accedee (meme lentement) et est n'est pas
falsifiable sans privileges ?
Non, parce que les informations comme les inodes sont traitées au niveau noyau, le niveau utilisateur ne voyant que le VFS.
Oui, cela semblerait raisonable. Mais je ne connais rien ou ce genre de chose ai ete implementee...
Le Thu, 27 May 2004 15:54:46 +0000, Yannick Patois a écrit :
L'idéal serait de remonter au numéro d'inode associé au programme qui
est lancé, mais ce n'est pas aussi immédiat et ça demande du temps.
Cette information peut etre accedee (meme lentement) et est n'est pas
falsifiable sans privileges ?
Non, parce que les informations comme les inodes sont traitées au niveau
noyau, le niveau utilisateur ne voyant que le VFS.
Oui, cela semblerait raisonable.
Mais je ne connais rien ou ce genre de chose ai ete implementee...
Le Thu, 27 May 2004 15:54:46 +0000, Yannick Patois a écrit :
L'idéal serait de remonter au numéro d'inode associé au programme qui est lancé, mais ce n'est pas aussi immédiat et ça demande du temps. Cette information peut etre accedee (meme lentement) et est n'est pas
falsifiable sans privileges ?
Non, parce que les informations comme les inodes sont traitées au niveau noyau, le niveau utilisateur ne voyant que le VFS.
Oui, cela semblerait raisonable. Mais je ne connais rien ou ce genre de chose ai ete implementee...
Le Tue, 01 Jun 2004 07:20:33 +0000, Djoume SALVETTI a écrit :
Ce n'est pas comme ça que marche fireflier? http://fireflier.sourceforge.net/
Je ne connaissais pas. Manifestement, y'a pas de choses qui sont faites par le démon à qui on envoie les paquets via QUEUE. Faudrait que je lise le code pour voir si c'est propre et si ce n'est pas vulnérable au coup du lien symbolique...
Le Tue, 01 Jun 2004 07:20:33 +0000, Djoume SALVETTI a écrit :
Ce n'est pas comme ça que marche fireflier?
http://fireflier.sourceforge.net/
Je ne connaissais pas.
Manifestement, y'a pas de choses qui sont faites par le démon à qui on
envoie les paquets via QUEUE. Faudrait que je lise le code pour voir si
c'est propre et si ce n'est pas vulnérable au coup du lien symbolique...
Le Tue, 01 Jun 2004 07:20:33 +0000, Djoume SALVETTI a écrit :
Ce n'est pas comme ça que marche fireflier? http://fireflier.sourceforge.net/
Je ne connaissais pas. Manifestement, y'a pas de choses qui sont faites par le démon à qui on envoie les paquets via QUEUE. Faudrait que je lise le code pour voir si c'est propre et si ce n'est pas vulnérable au coup du lien symbolique...
"Eric Razny" , le lun. 31 mai 2004 21:57:27, écrivait ceci:
Salut,
C'est une blague? Si la fonction appelée par le programme est dans une DLL _et_ que la DLL a été remplacée par une version trafiquée, la fonction exécutée sera bien la fonction trafiquée (au chargement de la nouvelle DLL). Si on contrôle qu'un programme est bien autorisé à sortir sans vérifier que la DLL n'est pas modifiée il y a comme un gros trou quelque part... :)
Oui tu as raison. Bien que je ne sache pas du tout (et je n'en trouve pas de trace) si les dll sont contrôlées. De la même façon, les injections de code ne sont pas controlées.
Je suis certain que Kerio est une bonne protection de base, mais elle n'est surement pas la meilleure.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelles astuces : Interprêtation des évenements XP en "français" (trad auto) Il est impossible pour un optimiste d'être agréablement surpris.
"Eric Razny" <news_01@razny.net>, le lun. 31 mai 2004 21:57:27,
écrivait ceci:
Salut,
C'est une blague?
Si la fonction appelée par le programme est dans une DLL _et_ que
la DLL a été remplacée par une version trafiquée, la fonction
exécutée sera bien la fonction trafiquée (au chargement de la
nouvelle DLL). Si on contrôle qu'un programme est bien autorisé à
sortir sans vérifier que la DLL n'est pas modifiée il y a comme un
gros trou quelque part... :)
Oui tu as raison. Bien que je ne sache pas du tout (et je n'en trouve
pas de trace) si les dll sont contrôlées. De la même façon, les
injections de code ne sont pas controlées.
Je suis certain que Kerio est une bonne protection de base, mais elle
n'est surement pas la meilleure.
--
Embryon de site : http://gilles.ronsin.free.fr
Nouvelles astuces : Interprêtation des évenements XP en "français"
(trad auto)
Il est impossible pour un optimiste d'être agréablement surpris.
"Eric Razny" , le lun. 31 mai 2004 21:57:27, écrivait ceci:
Salut,
C'est une blague? Si la fonction appelée par le programme est dans une DLL _et_ que la DLL a été remplacée par une version trafiquée, la fonction exécutée sera bien la fonction trafiquée (au chargement de la nouvelle DLL). Si on contrôle qu'un programme est bien autorisé à sortir sans vérifier que la DLL n'est pas modifiée il y a comme un gros trou quelque part... :)
Oui tu as raison. Bien que je ne sache pas du tout (et je n'en trouve pas de trace) si les dll sont contrôlées. De la même façon, les injections de code ne sont pas controlées.
Je suis certain que Kerio est une bonne protection de base, mais elle n'est surement pas la meilleure.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelles astuces : Interprêtation des évenements XP en "français" (trad auto) Il est impossible pour un optimiste d'être agréablement surpris.
