- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Pas de problème à déclarer, pas de blaster ou sasser ;-)
- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Pas de problème à déclarer, pas de blaster ou sasser ;-)
- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Pas de problème à déclarer, pas de blaster ou sasser ;-)
Le Fri, 07 May 2004 15:38:03 +0000, T0t0 a écrit :- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2. Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
Le Fri, 07 May 2004 15:38:03 +0000, T0t0 a écrit :
- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2. Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
Le Fri, 07 May 2004 15:38:03 +0000, T0t0 a écrit :- Son filtrage niveau 2 (j'ai vu qu'il y avait un article de Cédric
dans le MISC du mois là-dessus...)
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2. Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais je
me trompe peut-être.
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action de
certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais je
me trompe peut-être.
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action de
certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais je
me trompe peut-être.
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action de
certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
Le 07/05/2004 19:38, Gedin Frederic écrivait ceci :J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais
je me trompe peut-être.
et oui ! filtrage IP...
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action
de certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
ca veut dire quoi ?!
un filtrage niveau IP suffit pour bloquer un troyen.
un filtrage niveau 2 n'a aucun interet pour un firewall personnel...
Le 07/05/2004 19:38, Gedin Frederic écrivait ceci :
J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais
je me trompe peut-être.
et oui ! filtrage IP...
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action
de certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
ca veut dire quoi ?!
un filtrage niveau IP suffit pour bloquer un troyen.
un filtrage niveau 2 n'a aucun interet pour un firewall personnel...
Le 07/05/2004 19:38, Gedin Frederic écrivait ceci :J'avais cru comprendre que kerio faisait un filtrage de niveau 2. Mais
je me trompe peut-être.
et oui ! filtrage IP...
En tout cas, avoir un filtrage de niveau 2 peut aussi bloquer l'action
de certains chevaux de troie bien conçus qui chercheraient à sortir
discrêtement.
ca veut dire quoi ?!
un filtrage niveau IP suffit pour bloquer un troyen.
un filtrage niveau 2 n'a aucun interet pour un firewall personnel...
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2.
Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
Pas de problème à déclarer, pas de blaster ou sasser ;-)
C'est qui la soeur de Blaster ? OK, je sors.
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2.
Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
Pas de problème à déclarer, pas de blaster ou sasser ;-)
C'est qui la soeur de Blaster ? OK, je sors.
Je ne connais _aucun_ firewall personnel qui mette en oeuvre du filtrage
de niveau 2.
Ceci étant, je ne suis pas sûr que ce soit vraiment
nécessaire, le filtrage de niveau 2 répondant à des problématiques
très particulières qui me semble dépasser ce contexte.
Pas de problème à déclarer, pas de blaster ou sasser ;-)
C'est qui la soeur de Blaster ? OK, je sors.
J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
Le Fri, 07 May 2004 20:31:53 +0000, Gedin Frederic a écrit :J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
Ce sont des trojans qui vont installer (ou profiter d'une installation
existante) une bibliothèque style winpcap pour injecter directement les
trames au niveau NDIS et donc passer en dessous du FW personnel. Ceci dit,
pour que ce soit possible, il faut soit que la winpcap (ou autre) soit
déjà installée, soit disposer des droits suffisants pour l'installer
(cf. ma présentation sur le sujet au SSTIC 2003 ou mon article du HS13 de
Linux Mag).
Mais bon, c'est un peu dépassé comme technique parce que trop
contraignante sur le contexte. Les trojans à la mode préfèrent l'API
hooking, largement plus efficace, qui leur permettent de se greffer à des
processus existants qui ont le droits de sortir pour communiquer (cf. la
présentation de Eyal Dotan et Éric Detoisien à la JSSI 2004). C'est
terriblement efficace et ne nécessite pas de privilège particulier.
Le Fri, 07 May 2004 20:31:53 +0000, Gedin Frederic a écrit :
J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
Ce sont des trojans qui vont installer (ou profiter d'une installation
existante) une bibliothèque style winpcap pour injecter directement les
trames au niveau NDIS et donc passer en dessous du FW personnel. Ceci dit,
pour que ce soit possible, il faut soit que la winpcap (ou autre) soit
déjà installée, soit disposer des droits suffisants pour l'installer
(cf. ma présentation sur le sujet au SSTIC 2003 ou mon article du HS13 de
Linux Mag).
Mais bon, c'est un peu dépassé comme technique parce que trop
contraignante sur le contexte. Les trojans à la mode préfèrent l'API
hooking, largement plus efficace, qui leur permettent de se greffer à des
processus existants qui ont le droits de sortir pour communiquer (cf. la
présentation de Eyal Dotan et Éric Detoisien à la JSSI 2004). C'est
terriblement efficace et ne nécessite pas de privilège particulier.
Le Fri, 07 May 2004 20:31:53 +0000, Gedin Frederic a écrit :J'avais cru comprendre que certains chevaux de troie sortaient en
s'interfaçant directement au niveau NDIS et non aux niveaux supérieurs ou
égaux à IP.
Je me réfère à un article du Hors Série de Linux Magazine Novembre 2002.
Ce sont des trojans qui vont installer (ou profiter d'une installation
existante) une bibliothèque style winpcap pour injecter directement les
trames au niveau NDIS et donc passer en dessous du FW personnel. Ceci dit,
pour que ce soit possible, il faut soit que la winpcap (ou autre) soit
déjà installée, soit disposer des droits suffisants pour l'installer
(cf. ma présentation sur le sujet au SSTIC 2003 ou mon article du HS13 de
Linux Mag).
Mais bon, c'est un peu dépassé comme technique parce que trop
contraignante sur le contexte. Les trojans à la mode préfèrent l'API
hooking, largement plus efficace, qui leur permettent de se greffer à des
processus existants qui ont le droits de sortir pour communiquer (cf. la
présentation de Eyal Dotan et Éric Detoisien à la JSSI 2004). C'est
terriblement efficace et ne nécessite pas de privilège particulier.
il me semble que cest faisable de glisser un petit cheval de troie qui
fera son boulot une fois que le firewall sera effectivement activé.
Compte tenu du temps de détection d'une nouvelle machine sur le net,
cela ne me semble pas improbable.
La technique d'API hooking, si elle redoutablement efficace, peut
éventuellement être détectée (un peu tard il est vrai) si on utilise
un proxy et si on analyse ses logs. On devrait tôt ou tard voir des
traces régulières de contact vers une adresse IP ou vers une URL
"étrange".
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
il me semble que cest faisable de glisser un petit cheval de troie qui
fera son boulot une fois que le firewall sera effectivement activé.
Compte tenu du temps de détection d'une nouvelle machine sur le net,
cela ne me semble pas improbable.
La technique d'API hooking, si elle redoutablement efficace, peut
éventuellement être détectée (un peu tard il est vrai) si on utilise
un proxy et si on analyse ses logs. On devrait tôt ou tard voir des
traces régulières de contact vers une adresse IP ou vers une URL
"étrange".
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
il me semble que cest faisable de glisser un petit cheval de troie qui
fera son boulot une fois que le firewall sera effectivement activé.
Compte tenu du temps de détection d'une nouvelle machine sur le net,
cela ne me semble pas improbable.
La technique d'API hooking, si elle redoutablement efficace, peut
éventuellement être détectée (un peu tard il est vrai) si on utilise
un proxy et si on analyse ses logs. On devrait tôt ou tard voir des
traces régulières de contact vers une adresse IP ou vers une URL
"étrange".
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
Qu'est-ce qu'on juge comme étant une IP ou une URL "étrange" ? La
question est là.
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
On ne peut pas (ou très difficilement) gruger les équipements réseau.
en particulier, si tu forces le passage par un proxy HTTP, il est d'abord
plus difficile pour l'injecteur de prévoir le contexte correctement, et
ensuite, le proxy devra voir les requêtes, sinon elles ne seront pas
forwardées. CQFD...
Qu'est-ce qu'on juge comme étant une IP ou une URL "étrange" ? La
question est là.
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
On ne peut pas (ou très difficilement) gruger les équipements réseau.
en particulier, si tu forces le passage par un proxy HTTP, il est d'abord
plus difficile pour l'injecteur de prévoir le contexte correctement, et
ensuite, le proxy devra voir les requêtes, sinon elles ne seront pas
forwardées. CQFD...
Qu'est-ce qu'on juge comme étant une IP ou une URL "étrange" ? La
question est là.
Il ne me semble pas que l'utilisation de trames au niveau
NDIS laisse des traces.
On ne peut pas (ou très difficilement) gruger les équipements réseau.
en particulier, si tu forces le passage par un proxy HTTP, il est d'abord
plus difficile pour l'injecteur de prévoir le contexte correctement, et
ensuite, le proxy devra voir les requêtes, sinon elles ne seront pas
forwardées. CQFD...
Si je pars de l'hypothese qu'un proxy HTTP ne voir et ne traite que des
requêtes HTTP, le problème est simplifié.
IP etrange: pas de resolution DNS inverse disponible pour cette IP.
URL etrange: membre d'une blacklist de proxy HTTP. Je reconnais qu'il faut
d'abord bootstraper mais il suffit qu'une personne ai considéré cette URL
comme "blacklistable" et qu'il ait propagé sa blacklist (n'est-ce pas comme
cela que fonctionne squid-gard?)
Mon hypothèse était que, si on passe au niveau NDIS, on se contente
d'envoyer des trames IP que le proxy HTTP n'aurait aucune raison de voir.
Cela dit, tu as raison, les équipements réseau vont voir ces trames,
mais ont-ils les moyens d'analyser?
ces deux adresses sont à consulter dans l'ordre inverse
.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
Si je pars de l'hypothese qu'un proxy HTTP ne voir et ne traite que des
requêtes HTTP, le problème est simplifié.
IP etrange: pas de resolution DNS inverse disponible pour cette IP.
URL etrange: membre d'une blacklist de proxy HTTP. Je reconnais qu'il faut
d'abord bootstraper mais il suffit qu'une personne ai considéré cette URL
comme "blacklistable" et qu'il ait propagé sa blacklist (n'est-ce pas comme
cela que fonctionne squid-gard?)
Mon hypothèse était que, si on passe au niveau NDIS, on se contente
d'envoyer des trames IP que le proxy HTTP n'aurait aucune raison de voir.
Cela dit, tu as raison, les équipements réseau vont voir ces trames,
mais ont-ils les moyens d'analyser?
ces deux adresses sont à consulter dans l'ordre inverse
.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
Si je pars de l'hypothese qu'un proxy HTTP ne voir et ne traite que des
requêtes HTTP, le problème est simplifié.
IP etrange: pas de resolution DNS inverse disponible pour cette IP.
URL etrange: membre d'une blacklist de proxy HTTP. Je reconnais qu'il faut
d'abord bootstraper mais il suffit qu'une personne ai considéré cette URL
comme "blacklistable" et qu'il ait propagé sa blacklist (n'est-ce pas comme
cela que fonctionne squid-gard?)
Mon hypothèse était que, si on passe au niveau NDIS, on se contente
d'envoyer des trames IP que le proxy HTTP n'aurait aucune raison de voir.
Cela dit, tu as raison, les équipements réseau vont voir ces trames,
mais ont-ils les moyens d'analyser?
ces deux adresses sont à consulter dans l'ordre inverse
.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
