Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre
l'identification par prise d'empreinte TCP/IP", l'auteur parle de
normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce
qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
Avez-vous des informations sur ces possibilités ?
Sur un firewall en coupure, savez-vous si Netfilter ré-assemble les
paquets ?
Merci de vos réponses.
--
==============================================
| FREDERIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
===========================Debian=GNU/Linux===
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Fri, 08 Oct 2004 16:35:44 +0000, Frederic MASSOT a écrit :
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre l'identification par prise d'empreinte TCP/IP", l'auteur parle de normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
C'est normal, il n'y en a pas.
Avez-vous des informations sur ces possibilités ?
Il faut appliquer un patch spécialement développer pour tromper les prises d'empreintes TCP appelé IP Personality :
http://ippersonality.sourceforge.net/
C'est un projet assez ancien, qui n'est plus maintenu à l'heure actuelle. en particulier, il n'existe pas de port pour les noyaux 2.6.
Grosso modo, ce patch permet de configurer la réaction de la pile IP, éventuellement à la volée sur un routeur, avec entres autres la modification des ISNs et la normalisation du trafic en sortie selon un pattern défini.
Sur un firewall en coupure, savez-vous si Netfilter ré-assemble les paquets ?
Si le suivi d'état est activé (conntrack) est activé, oui (forcément). Sinon non.
-- HC> Pourquoi les dates sont de la forme "04 Feb" et non "04 Fév", comme HC> on est en droit de l'attendre sur une hiérarchie francophone ? Pourquoi il y a tant d'enculeurs de mouches fainéants sur fr.* ? -+- AT in: Guide du Neuneu d'Usenet- Le dino n'est pas neuneutophone -+-
Le Fri, 08 Oct 2004 16:35:44 +0000, Frederic MASSOT a écrit :
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre
l'identification par prise d'empreinte TCP/IP", l'auteur parle de
normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce
qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
C'est normal, il n'y en a pas.
Avez-vous des informations sur ces possibilités ?
Il faut appliquer un patch spécialement développer pour tromper les
prises d'empreintes TCP appelé IP Personality :
http://ippersonality.sourceforge.net/
C'est un projet assez ancien, qui n'est plus maintenu à l'heure actuelle.
en particulier, il n'existe pas de port pour les noyaux 2.6.
Grosso modo, ce patch permet de configurer la réaction de la pile IP,
éventuellement à la volée sur un routeur, avec entres autres la
modification des ISNs et la normalisation du trafic en sortie selon un
pattern défini.
Sur un firewall en coupure, savez-vous si Netfilter ré-assemble les
paquets ?
Si le suivi d'état est activé (conntrack) est activé, oui (forcément).
Sinon non.
--
HC> Pourquoi les dates sont de la forme "04 Feb" et non "04 Fév", comme
HC> on est en droit de l'attendre sur une hiérarchie francophone ?
Pourquoi il y a tant d'enculeurs de mouches fainéants sur fr.* ?
-+- AT in: Guide du Neuneu d'Usenet- Le dino n'est pas neuneutophone -+-
Le Fri, 08 Oct 2004 16:35:44 +0000, Frederic MASSOT a écrit :
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre l'identification par prise d'empreinte TCP/IP", l'auteur parle de normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
C'est normal, il n'y en a pas.
Avez-vous des informations sur ces possibilités ?
Il faut appliquer un patch spécialement développer pour tromper les prises d'empreintes TCP appelé IP Personality :
http://ippersonality.sourceforge.net/
C'est un projet assez ancien, qui n'est plus maintenu à l'heure actuelle. en particulier, il n'existe pas de port pour les noyaux 2.6.
Grosso modo, ce patch permet de configurer la réaction de la pile IP, éventuellement à la volée sur un routeur, avec entres autres la modification des ISNs et la normalisation du trafic en sortie selon un pattern défini.
Sur un firewall en coupure, savez-vous si Netfilter ré-assemble les paquets ?
Si le suivi d'état est activé (conntrack) est activé, oui (forcément). Sinon non.
-- HC> Pourquoi les dates sont de la forme "04 Feb" et non "04 Fév", comme HC> on est en droit de l'attendre sur une hiérarchie francophone ? Pourquoi il y a tant d'enculeurs de mouches fainéants sur fr.* ? -+- AT in: Guide du Neuneu d'Usenet- Le dino n'est pas neuneutophone -+-
Patrice Auffret
On 08 Oct 2004 16:35:44 GMT Frederic MASSOT wrote:
Bonjour,
Bonjour,
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre l'identification par prise d'empreinte TCP/IP", l'auteur parle de normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
Je n'ai jamais parlé de ces options sur Netfilter, mais sur Packet Filter.
Pour le reste, voir la réponse de Cédric Blancher.
On 08 Oct 2004 16:35:44 GMT
Frederic MASSOT <frederic@juliana-multimedia.com> wrote:
Bonjour,
Bonjour,
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre
l'identification par prise d'empreinte TCP/IP", l'auteur parle de
normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce
qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
Je n'ai jamais parlé de ces options sur Netfilter, mais sur
Packet Filter.
Pour le reste, voir la réponse de Cédric Blancher.
On 08 Oct 2004 16:35:44 GMT Frederic MASSOT wrote:
Bonjour,
Bonjour,
Dans l'article du MISC n°14 (juillet/août 2004) sur "se protéger contre l'identification par prise d'empreinte TCP/IP", l'auteur parle de normalisation de paquets et de réecriture de l'ISN pour Netfilter. Ce qui m'étonne, car je n'ai jamais vu ces options dans l'aide d'Iptables.
Je n'ai jamais parlé de ces options sur Netfilter, mais sur Packet Filter.
Pour le reste, voir la réponse de Cédric Blancher.
