Un site à découvert mon adresses IP locale (192.168.....) alors que je suis
derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était
pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça
n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine
?
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine ?
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le site web de la CNIL qui fait une demonstration de ca, et qui explique un peu le pourquoi du comment.
Apres, pour "que ca n'arrive pas", il faut a priori un proxy http qui nettoie un peu les requetes des navigateurs.....
A +
VANHU.
"Fred Bona" <nospam@nospam.fr> writes:
Bonjour,
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis
derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était
pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça
n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine
?
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le
site web de la CNIL qui fait une demonstration de ca, et qui explique
un peu le pourquoi du comment.
Apres, pour "que ca n'arrive pas", il faut a priori un proxy http qui
nettoie un peu les requetes des navigateurs.....
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine ?
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le site web de la CNIL qui fait une demonstration de ca, et qui explique un peu le pourquoi du comment.
Apres, pour "que ca n'arrive pas", il faut a priori un proxy http qui nettoie un peu les requetes des navigateurs.....
A +
VANHU.
Fred Bona
VANHULLEBUS Yvan pianota :
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le site web de la CNIL qui fait une demonstration de ca, et qui explique un peu le pourquoi du comment.
Le site de la CNIL montre l'adresse IP du routeur, celle fournie par le FAI, mais pas celle du reseau local il me semble.
VANHULLEBUS Yvan pianota :
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le
site web de la CNIL qui fait une demonstration de ca, et qui explique
un peu le pourquoi du comment.
Le site de la CNIL montre l'adresse IP du routeur, celle fournie par le FAI,
mais pas celle du reseau local il me semble.
Si c'est un site web, rien de bien extraordinaire la dedans, Cf le site web de la CNIL qui fait une demonstration de ca, et qui explique un peu le pourquoi du comment.
Le site de la CNIL montre l'adresse IP du routeur, celle fournie par le FAI, mais pas celle du reseau local il me semble.
Dominique Blas
Fred Bona wrote:
Bijour,
Un site à découvert mon adresses IP locale (192.168.....) Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ? Un site ou une adresse source ? Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. A moins qu'une entrée spécifique ne soit créée dans le routeur non ce n'est
pas possible ... directement. Cependant certains chevaux de Troie font cela très bien et indirectement. D'où les précisions de vocabulaire et de contexte demandées ci-dessus sans lesquelles nous ne pourrons pas grand chose pour toi.
db -- email : usenet blas net
Fred Bona wrote:
Bijour,
Un site à découvert mon adresses IP locale (192.168.....)
Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ?
Un site ou une adresse source ?
Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
alors que je
suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce
n'était pas possible.
A moins qu'une entrée spécifique ne soit créée dans le routeur non ce n'est
pas possible ... directement. Cependant certains chevaux de Troie font cela
très bien et indirectement.
D'où les précisions de vocabulaire et de contexte demandées ci-dessus sans
lesquelles nous ne pourrons pas grand chose pour toi.
Un site à découvert mon adresses IP locale (192.168.....) Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ? Un site ou une adresse source ? Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. A moins qu'une entrée spécifique ne soit créée dans le routeur non ce n'est
pas possible ... directement. Cependant certains chevaux de Troie font cela très bien et indirectement. D'où les précisions de vocabulaire et de contexte demandées ci-dessus sans lesquelles nous ne pourrons pas grand chose pour toi.
db -- email : usenet blas net
Fred Bona
Re-bijour,
Dominique Blas pianota :
Bijour,
Un site à découvert mon adresses IP locale (192.168.....) Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ? Un site ou une adresse source ? Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
Précisions: En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x).
A moins qu'une entrée spécifique ne soit créée dans le routeur non ce n'est pas possible ... directement. Cependant certains chevaux de Troie font cela très bien et indirectement. D'où les précisions de vocabulaire et de contexte demandées ci-dessus sans lesquelles nous ne pourrons pas grand chose pour toi.
Le PC est sous Win XP SP1 mis à jour, F-secure 2004, et le routeur est un cisco avec firewall. Voilà.
Fred
Re-bijour,
Dominique Blas pianota :
Bijour,
Un site à découvert mon adresses IP locale (192.168.....)
Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ?
Un site ou une adresse source ?
Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
Précisions:
En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/
En allant sur Firewall test, ou patch management, le site me donne mon IP
locale (192.168.0.x).
A moins qu'une entrée spécifique ne soit créée dans le routeur non ce
n'est pas possible ... directement. Cependant certains chevaux de
Troie font cela très bien et indirectement.
D'où les précisions de vocabulaire et de contexte demandées ci-dessus
sans lesquelles nous ne pourrons pas grand chose pour toi.
Le PC est sous Win XP SP1 mis à jour, F-secure 2004, et le routeur est un
cisco avec firewall.
Voilà.
Un site à découvert mon adresses IP locale (192.168.....) Ah ? Qu'est-ce à dire ? C'est pas très clair.
Qu'entends-tu par site ? Un site ou une adresse source ? Comment t'en es-tu rendu compte ? Journal, analyse réseau ?
Précisions: En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x).
A moins qu'une entrée spécifique ne soit créée dans le routeur non ce n'est pas possible ... directement. Cependant certains chevaux de Troie font cela très bien et indirectement. D'où les précisions de vocabulaire et de contexte demandées ci-dessus sans lesquelles nous ne pourrons pas grand chose pour toi.
Le PC est sous Win XP SP1 mis à jour, F-secure 2004, et le routeur est un cisco avec firewall. Voilà.
Fred
Olivier Croquette
Fred Bona wrote:
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine ?
Bonjour,
une lecture du fil à l'origine du message suivant t'intéressera peut-être: http://groups.google.com/groups?hl=fr&lr=&selm=alo63r%24fcn%241%40wanadoo.fr
C'était sur ce même newsgroup il y 2 ans.
Fred Bona wrote:
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis
derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était
pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça
n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine
?
Bonjour,
une lecture du fil à l'origine du message suivant t'intéressera peut-être:
http://groups.google.com/groups?hl=fr&lr=&selm=alo63r%24fcn%241%40wanadoo.fr
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible. Mon windows XP est à jour, qu'y a t il à faire pour que ça n'arrive pas ? Est ce que cela montre une faille de sécurité pour la machine ?
Bonjour,
une lecture du fil à l'origine du message suivant t'intéressera peut-être: http://groups.google.com/groups?hl=fr&lr=&selm=alo63r%24fcn%241%40wanadoo.fr
C'était sur ce même newsgroup il y 2 ans.
Cedric Blancher
Le Tue, 25 Jan 2005 21:03:01 +0000, Fred Bona a écrit :
En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x).
Je suis pas très fort en analyse de JS encodé, mais ça sent l'appel à l'installation de spyware déguisée en soft de sécurité.
L'IP qui s'affiche n'est pas générée par le serveur, mais par un JavaScript qui tourne en local. Le tout pour te pousser à aller télécharger du logiciel, gratuit mais probablement truffé de saloperies, et d'autres obscurs trucs payant, du genre un HFNetChk 4.3...
-- prom_printf("Detected PenguinPages, getting out of here.n"); 2.0.38 /usr/src/linux/arch/sparc/mm/srmmu.c
Le Tue, 25 Jan 2005 21:03:01 +0000, Fred Bona a écrit :
En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/
En allant sur Firewall test, ou patch management, le site me donne mon IP
locale (192.168.0.x).
Je suis pas très fort en analyse de JS encodé, mais ça sent l'appel à
l'installation de spyware déguisée en soft de sécurité.
L'IP qui s'affiche n'est pas générée par le serveur, mais par un
JavaScript qui tourne en local. Le tout pour te pousser à aller
télécharger du logiciel, gratuit mais probablement truffé de
saloperies, et d'autres obscurs trucs payant, du genre un HFNetChk 4.3...
--
prom_printf("Detected PenguinPages, getting out of here.n");
2.0.38 /usr/src/linux/arch/sparc/mm/srmmu.c
Le Tue, 25 Jan 2005 21:03:01 +0000, Fred Bona a écrit :
En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x).
Je suis pas très fort en analyse de JS encodé, mais ça sent l'appel à l'installation de spyware déguisée en soft de sécurité.
L'IP qui s'affiche n'est pas générée par le serveur, mais par un JavaScript qui tourne en local. Le tout pour te pousser à aller télécharger du logiciel, gratuit mais probablement truffé de saloperies, et d'autres obscurs trucs payant, du genre un HFNetChk 4.3...
-- prom_printf("Detected PenguinPages, getting out of here.n"); 2.0.38 /usr/src/linux/arch/sparc/mm/srmmu.c
Dominique Blas
Fred Bona wrote: Bisoir,
Précisions: En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x). Ah ben voilà, c'est plus clair là !
Eh bien, c'est instructif. Notre ami auditmypc cherche à installer une appliquette Java, effectue différents tests de vulnérabilité du navigateur IE, cherche à détecter les plugin IE présents sur la machine, est capable d'aller farfouiller le CDROM à la recherche de l'autorun et installe un (super)cookie. C'est l'appliquette Java qui est sensée filer un URL comportant l'adresse locale en paramètre.
Alors pour répondre à la question maintenant : << pb de sécurité ou pas ? >> Sans vouloir jauger le niveau de sécurité de ton PC sur lequel on ne sait rien (et encore heureux) il apparaît que le pb de sécurité est plutôt du côté d'auditpc. En effet, le comportement de ce site est pour le moins intrusif. D'aucuns diront que c'est son rôle mais il n'y a aucune signalisation explicite en ce sens ! Et ça c'est mal.
La moindre des choses serait de prévenir qu'il va installer quelque chose et, ensuite, d'en demander la permission. Or, là, je n'ai rien vu de tel. C'est même pire étatn donné qu'au sein de la page sur les aspects privés il est écrit noir sur blanc :
Free spyware removal is made possible using javascript without having to download and install software.
Ben voyons ...
db -- email : usenet blas net
Fred Bona wrote:
Bisoir,
Précisions:
En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/
En allant sur Firewall test, ou patch management, le site me donne mon IP
locale (192.168.0.x).
Ah ben voilà, c'est plus clair là !
Eh bien, c'est instructif.
Notre ami auditmypc cherche à installer une appliquette Java, effectue
différents tests de vulnérabilité du navigateur IE, cherche à détecter les
plugin IE présents sur la machine, est capable d'aller farfouiller le CDROM
à la recherche de l'autorun et installe un (super)cookie.
C'est l'appliquette Java qui est sensée filer un URL comportant l'adresse
locale en paramètre.
Alors pour répondre à la question maintenant : << pb de sécurité ou pas ? >>
Sans vouloir jauger le niveau de sécurité de ton PC sur lequel on ne sait
rien (et encore heureux) il apparaît que le pb de sécurité est plutôt du
côté d'auditpc.
En effet, le comportement de ce site est pour le moins intrusif. D'aucuns
diront que c'est son rôle mais il n'y a aucune signalisation explicite en
ce sens ! Et ça c'est mal.
La moindre des choses serait de prévenir qu'il va installer quelque chose
et, ensuite, d'en demander la permission. Or, là, je n'ai rien vu de tel.
C'est même pire étatn donné qu'au sein de la page sur les aspects privés il
est écrit noir sur blanc :
Free spyware removal is made possible using javascript without having to
download and install software.
Précisions: En cherchant un truc je suis tombé sur ce site: http://www.auditmypc.com/ En allant sur Firewall test, ou patch management, le site me donne mon IP locale (192.168.0.x). Ah ben voilà, c'est plus clair là !
Eh bien, c'est instructif. Notre ami auditmypc cherche à installer une appliquette Java, effectue différents tests de vulnérabilité du navigateur IE, cherche à détecter les plugin IE présents sur la machine, est capable d'aller farfouiller le CDROM à la recherche de l'autorun et installe un (super)cookie. C'est l'appliquette Java qui est sensée filer un URL comportant l'adresse locale en paramètre.
Alors pour répondre à la question maintenant : << pb de sécurité ou pas ? >> Sans vouloir jauger le niveau de sécurité de ton PC sur lequel on ne sait rien (et encore heureux) il apparaît que le pb de sécurité est plutôt du côté d'auditpc. En effet, le comportement de ce site est pour le moins intrusif. D'aucuns diront que c'est son rôle mais il n'y a aucune signalisation explicite en ce sens ! Et ça c'est mal.
La moindre des choses serait de prévenir qu'il va installer quelque chose et, ensuite, d'en demander la permission. Or, là, je n'ai rien vu de tel. C'est même pire étatn donné qu'au sein de la page sur les aspects privés il est écrit noir sur blanc :
Free spyware removal is made possible using javascript without having to download and install software.
Ben voyons ...
db -- email : usenet blas net
Eric Razny
Dominique Blas wrote:
Free spyware removal is made possible using javascript without having to download and install software.
Ben voyons ...
Si si! Tout est dans le *and*. Il download un bidule java et l'exécute (petite tasse à café près de l'horloge sur un zinzin dans mon cas) mais ne l'installe pas (ie sur le hd)
Si le java ou javascript n'est pas autorisé pas de problème :)
Contrairement à toi je ne le trouve pas si intrusif : ça donne une petite idée de ce que n'importe qui peut faire :)
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Dominique Blas wrote:
Free spyware removal is made possible using javascript without having to
download and install software.
Ben voyons ...
Si si!
Tout est dans le *and*.
Il download un bidule java et l'exécute (petite tasse à café près de
l'horloge sur un zinzin dans mon cas) mais ne l'installe pas (ie sur le hd)
Si le java ou javascript n'est pas autorisé pas de problème :)
Contrairement à toi je ne le trouve pas si intrusif : ça donne une
petite idée de ce que n'importe qui peut faire :)
Eric.
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Free spyware removal is made possible using javascript without having to download and install software.
Ben voyons ...
Si si! Tout est dans le *and*. Il download un bidule java et l'exécute (petite tasse à café près de l'horloge sur un zinzin dans mon cas) mais ne l'installe pas (ie sur le hd)
Si le java ou javascript n'est pas autorisé pas de problème :)
Contrairement à toi je ne le trouve pas si intrusif : ça donne une petite idée de ce que n'importe qui peut faire :)
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
A. Caspis
Fred Bona wrote:
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible.
En plus des pistes déjà suggérées (vulnérabilités d'une appli tournant sur le PC), voici un autre scénario :
1. Le NAT traite une connexion TCP du PC vers le site. 2. Après une période d'inactivité, le NAT oublie la connexion, alors qu'elle existe toujours au niveau du PC. 3. Le PC reprend l'émission sur la connexion. 4. Le NAT ne crée pas un nouveau contexte et ne traduit pas l'adresse source, peut-être parce qu'il n'y a pas de SYN. 5. Le firewall laisse sortir le paquet malgré l'adresse source locale et l'absence de contexte NAT associé.
Donc gros problème d'implémentation ou de paramétrage du routeur firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois en provenance de 192.168/16. Je doute quand même qu'un site s'amuse à collectionner de tels paquets et à les corréler avec des connexions récentes.
Fred Bona wrote:
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis
derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était
pas possible.
En plus des pistes déjà suggérées (vulnérabilités d'une appli
tournant sur le PC), voici un autre scénario :
1. Le NAT traite une connexion TCP du PC vers le site.
2. Après une période d'inactivité, le NAT oublie la connexion,
alors qu'elle existe toujours au niveau du PC.
3. Le PC reprend l'émission sur la connexion.
4. Le NAT ne crée pas un nouveau contexte et ne traduit pas
l'adresse source, peut-être parce qu'il n'y a pas de SYN.
5. Le firewall laisse sortir le paquet malgré l'adresse source
locale et l'absence de contexte NAT associé.
Donc gros problème d'implémentation ou de paramétrage du routeur
firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois
en provenance de 192.168/16. Je doute quand même qu'un site
s'amuse à collectionner de tels paquets et à les corréler avec
des connexions récentes.
Un site à découvert mon adresses IP locale (192.168.....) alors que je suis derrière un routeur firewall qui fait de la Nat. Je pensais que ce n'était pas possible.
En plus des pistes déjà suggérées (vulnérabilités d'une appli tournant sur le PC), voici un autre scénario :
1. Le NAT traite une connexion TCP du PC vers le site. 2. Après une période d'inactivité, le NAT oublie la connexion, alors qu'elle existe toujours au niveau du PC. 3. Le PC reprend l'émission sur la connexion. 4. Le NAT ne crée pas un nouveau contexte et ne traduit pas l'adresse source, peut-être parce qu'il n'y a pas de SYN. 5. Le firewall laisse sortir le paquet malgré l'adresse source locale et l'absence de contexte NAT associé.
Donc gros problème d'implémentation ou de paramétrage du routeur firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois en provenance de 192.168/16. Je doute quand même qu'un site s'amuse à collectionner de tels paquets et à les corréler avec des connexions récentes.
Manu
A. Caspis wrote:
Donc gros problème d'implémentation ou de paramétrage du routeur firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois en provenance de 192.168/16. Je doute quand même qu'un site s'amuse à collectionner de tels paquets et à les corréler avec des connexions récentes.
On pourrait aussi imaginer un firewall n'ayant pas de "helper" (terminologie netfilter) pour un protocol de haut niveau qui où les IP des machines sont échangées. Comme FTP, par exemple.
A. Caspis wrote:
Donc gros problème d'implémentation ou de paramétrage du routeur
firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois
en provenance de 192.168/16. Je doute quand même qu'un site
s'amuse à collectionner de tels paquets et à les corréler avec
des connexions récentes.
On pourrait aussi imaginer un firewall n'ayant pas de "helper"
(terminologie netfilter) pour un protocol de haut niveau qui où les IP
des machines sont échangées. Comme FTP, par exemple.
Donc gros problème d'implémentation ou de paramétrage du routeur firewall.
C'est comme ça que je m'explique tous les ACKs que je reçois en provenance de 192.168/16. Je doute quand même qu'un site s'amuse à collectionner de tels paquets et à les corréler avec des connexions récentes.
On pourrait aussi imaginer un firewall n'ayant pas de "helper" (terminologie netfilter) pour un protocol de haut niveau qui où les IP des machines sont échangées. Comme FTP, par exemple.
