Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent Jumet
Hello !
Laurent wrote:
L> ça fait plusieurs fois que j'entends dire sur ce forum ou ailleurs que L> Kerio 2.1.5 laisse passer les paquets fragmentés. L> Questions : L> - Qu'est-ce que cela signifie réellement ? L> - Y a-t-il un risque à continuer à l'utiliser ? L> - Qu'en est-il des autres FW gratuits ?
Je ne comprends pas ce que tu veux dire. Kerio regarde d'où viennent les connexions et où elles vont sur ton pc; la dimension des paquets est définie ailleurs, ce n'est pas Kerio qui s'en occupe.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
L> ça fait plusieurs fois que j'entends dire sur ce forum ou ailleurs que
L> Kerio 2.1.5 laisse passer les paquets fragmentés.
L> Questions :
L> - Qu'est-ce que cela signifie réellement ?
L> - Y a-t-il un risque à continuer à l'utiliser ?
L> - Qu'en est-il des autres FW gratuits ?
Je ne comprends pas ce que tu veux dire.
Kerio regarde d'où viennent les connexions et où elles vont sur ton pc;
la dimension des paquets est définie ailleurs, ce n'est pas Kerio qui s'en
occupe.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
L> ça fait plusieurs fois que j'entends dire sur ce forum ou ailleurs que L> Kerio 2.1.5 laisse passer les paquets fragmentés. L> Questions : L> - Qu'est-ce que cela signifie réellement ? L> - Y a-t-il un risque à continuer à l'utiliser ? L> - Qu'en est-il des autres FW gratuits ?
Je ne comprends pas ce que tu veux dire. Kerio regarde d'où viennent les connexions et où elles vont sur ton pc; la dimension des paquets est définie ailleurs, ce n'est pas Kerio qui s'en occupe.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Francois Ropert
Questions : - Qu'est-ce que cela signifie réellement ?
Cela signifie qu'une attaque réseau est découpée en plusieurs petits paquets fragmentés et ainsi outrepasser le firewall qui ne sait reconnaître l'attaque seulement lorsqu'elle est constituée d'un seul et unique paquet. Cela permet d'ouvrir des connexions même si une règle du firewall l'interdit.
Renseignes-toi sur les attaques tiny fragments et overlapping. Pour contrer ce type d'attaques, le firewall doit normaliser les paquets. C'est à dire qu'il reconstitue chaque fragment puis décide de filtrer ou non la connexion.
- Y a-t-il un risque à continuer à l'utiliser ?
Oui.
- Qu'en est-il des autres FW gratuits ?
C'est écrit dans les spécifications du produit. Ce type d'attaque est connue depuis plus années. A l'heure actuelle, n'importe quel pare-feu récent doit savoir gérer les attaques par fragmentation.
François
Questions :
- Qu'est-ce que cela signifie réellement ?
Cela signifie qu'une attaque réseau est découpée en plusieurs petits paquets
fragmentés et ainsi outrepasser le firewall qui ne sait reconnaître
l'attaque seulement lorsqu'elle est constituée d'un seul et unique paquet.
Cela permet d'ouvrir des connexions même si une règle du firewall
l'interdit.
Renseignes-toi sur les attaques tiny fragments et overlapping.
Pour contrer ce type d'attaques, le firewall doit normaliser les paquets.
C'est à dire qu'il reconstitue chaque fragment puis décide de filtrer ou non
la connexion.
- Y a-t-il un risque à continuer à l'utiliser ?
Oui.
- Qu'en est-il des autres FW gratuits ?
C'est écrit dans les spécifications du produit. Ce type d'attaque est connue
depuis plus années.
A l'heure actuelle, n'importe quel pare-feu récent doit savoir gérer les
attaques par fragmentation.
Questions : - Qu'est-ce que cela signifie réellement ?
Cela signifie qu'une attaque réseau est découpée en plusieurs petits paquets fragmentés et ainsi outrepasser le firewall qui ne sait reconnaître l'attaque seulement lorsqu'elle est constituée d'un seul et unique paquet. Cela permet d'ouvrir des connexions même si une règle du firewall l'interdit.
Renseignes-toi sur les attaques tiny fragments et overlapping. Pour contrer ce type d'attaques, le firewall doit normaliser les paquets. C'est à dire qu'il reconstitue chaque fragment puis décide de filtrer ou non la connexion.
- Y a-t-il un risque à continuer à l'utiliser ?
Oui.
- Qu'en est-il des autres FW gratuits ?
C'est écrit dans les spécifications du produit. Ce type d'attaque est connue depuis plus années. A l'heure actuelle, n'importe quel pare-feu récent doit savoir gérer les attaques par fragmentation.
François
David Bizeul
- Y a-t-il un risque à continuer à l'utiliser ?
Quelques tests utilisant fragroute/hping2 confirment que la version 2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test "ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait suffire (pour du lan avec mtu 1500)
- Y a-t-il un risque à continuer à l'utiliser ?
Quelques tests utilisant fragroute/hping2 confirment que la version
2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test
"ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait suffire
(pour du lan avec mtu 1500)
Quelques tests utilisant fragroute/hping2 confirment que la version 2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test "ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait suffire (pour du lan avec mtu 1500)
k4t4rpill4r
David Bizeul wrote:
- Y a-t-il un risque à continuer à l'utiliser ?
Quelques tests utilisant fragroute/hping2 confirment que la version 2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test "ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait suffire
(pour du lan avec mtu 1500)
Et si tu veux vraiment décortiquer le pourquoi et le comment avec test a l'appui, va faire un tour sur ce lien ==> http://digital.net/~gandalf/Rose_Frag_Attack_Explained.htm . Pour le tester, ce serait plus pratique si t'avais un unix a portée de main. Moi je l'ai testé sur une netbsd avec pf comme firewall, rien ne passe. Par contre le nombre d'alertes que snort m'a sorti m'a impressioné. Et le pire c'est qu'avec le tool de gandalf, t'as une option qui random l'ip source!!Donc intraçable. Enfin a tester absolument.
David Bizeul wrote:
- Y a-t-il un risque à continuer à l'utiliser ?
Quelques tests utilisant fragroute/hping2 confirment que la version
2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test
"ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait
suffire
(pour du lan avec mtu 1500)
Et si tu veux vraiment décortiquer le pourquoi et le comment avec test
a l'appui,
va faire un tour sur ce lien ==>
http://digital.net/~gandalf/Rose_Frag_Attack_Explained.htm .
Pour le tester, ce serait plus pratique si t'avais un unix a portée de
main.
Moi je l'ai testé sur une netbsd avec pf comme firewall, rien ne
passe.
Par contre le nombre d'alertes que snort m'a sorti m'a impressioné.
Et le pire c'est qu'avec le tool de gandalf, t'as une option qui random
l'ip source!!Donc intraçable.
Enfin a tester absolument.
Quelques tests utilisant fragroute/hping2 confirment que la version 2.1.5 laisse passer les paquets dès lors qu'ils sont fragmentés.
Somme toute, un simple test "ping -s 1472 kerio_box" puis "ping -s 1473 kerio_box" devrait suffire
(pour du lan avec mtu 1500)
Et si tu veux vraiment décortiquer le pourquoi et le comment avec test a l'appui, va faire un tour sur ce lien ==> http://digital.net/~gandalf/Rose_Frag_Attack_Explained.htm . Pour le tester, ce serait plus pratique si t'avais un unix a portée de main. Moi je l'ai testé sur une netbsd avec pf comme firewall, rien ne passe. Par contre le nombre d'alertes que snort m'a sorti m'a impressioné. Et le pire c'est qu'avec le tool de gandalf, t'as une option qui random l'ip source!!Donc intraçable. Enfin a tester absolument.
