Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire
comment faire
Ex. :
Attaquant (sur LAN 172.20.0.x à Paris)
||
Firewall (NAT)
||
modem ADSL
||
[INTERNET]
||
modem ADSL à Knock-le-zout
||
Firewall à auditer [-- DMZ]
||
autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher
sur l'interface externe... :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet
?
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non,
alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les
tests) ?
Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui
concerne l'audit de Firewalls,
car j'en ai plutôt marre des recherches google ("firewall testing" ,
"firewall testing tools", "firewall probing" etc.). En + on retombe
tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys,
Saint etc.)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On 31 Aug 2003 05:34:52 GMT, (Coutancais) wrote:
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ?
Ben... La meilleure façon de savoir si un réseau est bien protégé, c'est justement de l'"attaquer" de l'extérieur. Donc, si le firewall est derrière un modem ADSL, tu peux bien sûr le tester depuis l'extérieur (et uniquement depuis l'extérieur, d'ailleurs), à condition bien sûr de connaître son adresse IP.
Si par contre il est derrière un routeur qui filtre les données entrantes (via NAT par exemple), tu n'as effectivement pas un accès direct au firewall -- mais c'est pas grave, puisque les pirates non plus n'y ont pas accès.
On 31 Aug 2003 05:34:52 GMT, jackoneill9@yahoo.fr (Coutancais) wrote:
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ?
Ben... La meilleure façon de savoir si un réseau est bien protégé,
c'est justement de l'"attaquer" de l'extérieur. Donc, si le firewall
est derrière un modem ADSL, tu peux bien sûr le tester depuis
l'extérieur (et uniquement depuis l'extérieur, d'ailleurs), à
condition bien sûr de connaître son adresse IP.
Si par contre il est derrière un routeur qui filtre les données
entrantes (via NAT par exemple), tu n'as effectivement pas un accès
direct au firewall -- mais c'est pas grave, puisque les pirates non
plus n'y ont pas accès.
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ?
Ben... La meilleure façon de savoir si un réseau est bien protégé, c'est justement de l'"attaquer" de l'extérieur. Donc, si le firewall est derrière un modem ADSL, tu peux bien sûr le tester depuis l'extérieur (et uniquement depuis l'extérieur, d'ailleurs), à condition bien sûr de connaître son adresse IP.
Si par contre il est derrière un routeur qui filtre les données entrantes (via NAT par exemple), tu n'as effectivement pas un accès direct au firewall -- mais c'est pas grave, puisque les pirates non plus n'y ont pas accès.
Patrick D
s'il était impossible de l'auditer, il serait également impossible de l'attaquer, comme tu l'as dit toi-même !
Nessus peut faire l'affaire un poste externe avec Nessus attaquant ton ip à tester devrait te donner pas mal de renseignements j'ai déjà essayé ça à partir de chez moi sur le firewall de mon boulot !
-- * remove '.don't.spam' and '.invalid' from my eMail address if you want to write me * * enlevez '.don't.spam' et '.invalid' de mon adresse eMail si vous voulez m'écrire *
s'il était impossible de l'auditer, il serait également impossible de l'attaquer, comme tu l'as dit toi-même !
Nessus peut faire l'affaire
un poste externe avec Nessus attaquant ton ip à tester devrait te donner pas mal de renseignements
j'ai déjà essayé ça à partir de chez moi sur le firewall de mon boulot !
--
* remove '.don't.spam' and '.invalid' from my eMail address if you want to write me *
* enlevez '.don't.spam' et '.invalid' de mon adresse eMail si vous voulez m'écrire *
s'il était impossible de l'auditer, il serait également impossible de l'attaquer, comme tu l'as dit toi-même !
Nessus peut faire l'affaire un poste externe avec Nessus attaquant ton ip à tester devrait te donner pas mal de renseignements j'ai déjà essayé ça à partir de chez moi sur le firewall de mon boulot !
-- * remove '.don't.spam' and '.invalid' from my eMail address if you want to write me * * enlevez '.don't.spam' et '.invalid' de mon adresse eMail si vous voulez m'écrire *
T0t0
"Coutancais" wrote in message news:
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ?
A priori, je ne confirmerai pas.
Le principe est assez simple. Si ton firewall possède une adresse IP valide sur le net (publique) ce qui semble être le cas sur ton schéma, il sera atteignable au niveau IP et donnera donc un certain nombre d'informations sur sa configuration. Il sera ainsi possible de mener toute une batterie de tests.
Mais il faut bien faire la différence entre un audit de configuration/conformité et un test d'intrusion. Si c'est un test externe à l'aveugle pour voir quels ports du firewall sont ouverts, c'est tout à fait possible (dans une certaine mesure). Si tu souhaites savoir si la configuration mise en place est correcte, il serait mieux d'avoir la main dessus. Un test d'intrusion n'est pas obligatoirement exhaustif, et ses résultats ne donneront pas obligatoirement un aperçu de l'ensemble des failles, mais seulement de celles trouvées par l'auditeur.
ou au contraire comment faire
Il existe des méthodes et outils permettant de donner un aperçu de la configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais un scan de ports te donnera déjà une première vision, sachant que celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi le firewalking qui permet de déterminer les ports ouverts.
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher sur l'interface externe... :-(( ??
Nop, du net, tu obtiendras la même chose si ce n'est pas la configuration du logiciel et de la machine que tu veux voir.
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet ?
Dans une certaine mesure, oui.
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non, alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Ils demandent sur les newgroups ? Bon, ok, je suis méchant ;-) Je dirais qu'il faut se documenter sur le fonctionnement de TCP/IP, puis de celui d'un firewall. Après ce sera plus simple de comprendre comment les attaques peuvent être menées.
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les tests) ? Car le but est évidemment de simuler une attaque venant du Web
Ben, je te propose de suivre la démarche précédemment évoquée si tu souhaites que ton scan soit efficace. A mon avis, si on ne comprend pas les enjeux qui sont derrière, un scan n'a que peu d'intérêt.
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui concerne l'audit de Firewalls, car j'en ai plutôt marre des recherches google ("firewall testing" , "firewall testing tools", "firewall probing" etc.). En + on retombe tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys, Saint etc.)
Essaye: comprendre + TCP/IP, firewall + basics, man + nmap, firewalking. Mais ca va demander un peu de temps et d'investissement ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Coutancais" <jackoneill9@yahoo.fr> wrote in message
news:4e164303.0308301730.26f6656c@posting.google.com
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ?
A priori, je ne confirmerai pas.
Le principe est assez simple. Si ton firewall possède une adresse IP
valide sur le net (publique) ce qui semble être le cas sur ton schéma,
il sera atteignable au niveau IP et donnera donc un certain nombre
d'informations sur sa configuration. Il sera ainsi possible de mener
toute une batterie de tests.
Mais il faut bien faire la différence entre un audit de
configuration/conformité et un test d'intrusion.
Si c'est un test externe à l'aveugle pour voir quels ports du firewall
sont ouverts, c'est tout à fait possible (dans une certaine mesure).
Si tu souhaites savoir si la configuration mise en place est correcte,
il serait mieux d'avoir la main dessus. Un test d'intrusion n'est pas
obligatoirement exhaustif, et ses résultats ne donneront pas
obligatoirement un aperçu de l'ensemble des failles, mais seulement de
celles trouvées par l'auditeur.
ou au contraire comment faire
Il existe des méthodes et outils permettant de donner un aperçu de la
configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais
un scan de ports te donnera déjà une première vision, sachant que
celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi
le firewalking qui permet de déterminer les ports ouverts.
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher
sur l'interface externe... :-(( ??
Nop, du net, tu obtiendras la même chose si ce n'est pas la
configuration du logiciel et de la machine que tu veux voir.
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet
?
Dans une certaine mesure, oui.
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non,
alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Ils demandent sur les newgroups ?
Bon, ok, je suis méchant ;-)
Je dirais qu'il faut se documenter sur le fonctionnement de TCP/IP,
puis de celui d'un firewall. Après ce sera plus simple de comprendre
comment les attaques peuvent être menées.
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les
tests) ?
Car le but est évidemment de simuler une attaque venant du Web
Ben, je te propose de suivre la démarche précédemment évoquée si tu
souhaites que ton scan soit efficace. A mon avis, si on ne comprend
pas les enjeux qui sont derrière, un scan n'a que peu d'intérêt.
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui
concerne l'audit de Firewalls,
car j'en ai plutôt marre des recherches google ("firewall testing" ,
"firewall testing tools", "firewall probing" etc.). En + on retombe
tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys,
Saint etc.)
Essaye: comprendre + TCP/IP, firewall + basics, man + nmap,
firewalking.
Mais ca va demander un peu de temps et d'investissement ;-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ?
A priori, je ne confirmerai pas.
Le principe est assez simple. Si ton firewall possède une adresse IP valide sur le net (publique) ce qui semble être le cas sur ton schéma, il sera atteignable au niveau IP et donnera donc un certain nombre d'informations sur sa configuration. Il sera ainsi possible de mener toute une batterie de tests.
Mais il faut bien faire la différence entre un audit de configuration/conformité et un test d'intrusion. Si c'est un test externe à l'aveugle pour voir quels ports du firewall sont ouverts, c'est tout à fait possible (dans une certaine mesure). Si tu souhaites savoir si la configuration mise en place est correcte, il serait mieux d'avoir la main dessus. Un test d'intrusion n'est pas obligatoirement exhaustif, et ses résultats ne donneront pas obligatoirement un aperçu de l'ensemble des failles, mais seulement de celles trouvées par l'auditeur.
ou au contraire comment faire
Il existe des méthodes et outils permettant de donner un aperçu de la configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais un scan de ports te donnera déjà une première vision, sachant que celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi le firewalking qui permet de déterminer les ports ouverts.
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher sur l'interface externe... :-(( ??
Nop, du net, tu obtiendras la même chose si ce n'est pas la configuration du logiciel et de la machine que tu veux voir.
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet ?
Dans une certaine mesure, oui.
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non, alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Ils demandent sur les newgroups ? Bon, ok, je suis méchant ;-) Je dirais qu'il faut se documenter sur le fonctionnement de TCP/IP, puis de celui d'un firewall. Après ce sera plus simple de comprendre comment les attaques peuvent être menées.
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les tests) ? Car le but est évidemment de simuler une attaque venant du Web
Ben, je te propose de suivre la démarche précédemment évoquée si tu souhaites que ton scan soit efficace. A mon avis, si on ne comprend pas les enjeux qui sont derrière, un scan n'a que peu d'intérêt.
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui concerne l'audit de Firewalls, car j'en ai plutôt marre des recherches google ("firewall testing" , "firewall testing tools", "firewall probing" etc.). En + on retombe tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys, Saint etc.)
Essaye: comprendre + TCP/IP, firewall + basics, man + nmap, firewalking. Mais ca va demander un peu de temps et d'investissement ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Arnaud
Bonjour,
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire comment faire
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Arnaud "La Hyène" -- GA: pas assez convivial et surtout ce qui me gene le plus, c'est GA: que linux c'est trop un systeme de droite. HS: linux est en train d'etre récuperé politiquement par DL -+- Hans in Guide du linuxien pervers : "ST serait il un virus ?" -+-
Bonjour,
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire
comment faire
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi
la présence d'un modem, routeur ou autre truc faisant du nat pourrait
empêcher de "parler avec" un firewall...
Arnaud "La Hyène"
--
GA: pas assez convivial et surtout ce qui me gene le plus, c'est
GA: que linux c'est trop un systeme de droite.
HS: linux est en train d'etre récuperé politiquement par DL
-+- Hans in Guide du linuxien pervers : "ST serait il un virus ?" -+-
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire comment faire
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Arnaud "La Hyène" -- GA: pas assez convivial et surtout ce qui me gene le plus, c'est GA: que linux c'est trop un systeme de droite. HS: linux est en train d'etre récuperé politiquement par DL -+- Hans in Guide du linuxien pervers : "ST serait il un virus ?" -+-
Eric Razny
"T0t0" a écrit dans le message de news:
"Coutancais" wrote in message news:
Il existe des méthodes et outils permettant de donner un aperçu de la configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais un scan de ports te donnera déjà une première vision, sachant que celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi le firewalking qui permet de déterminer les ports ouverts.
Pour un débutant quelques liens ce n'est pas mal aussi :)
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP. Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP ne ferait pas de mal. Pour les autres le temps et un intérêt probablement croissant devrait suffire.
Eric.
"T0t0" <bibi@antionline.org> a écrit dans le message de
news:4b7e16ae68771583b832d0998b4518fe_28089@mygate.mailgate.org...
"Coutancais" <jackoneill9@yahoo.fr> wrote in message
news:4e164303.0308301730.26f6656c@posting.google.com
Il existe des méthodes et outils permettant de donner un aperçu de la
configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais
un scan de ports te donnera déjà une première vision, sachant que
celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi
le firewalking qui permet de déterminer les ports ouverts.
Pour un débutant quelques liens ce n'est pas mal aussi :)
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP.
Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP
ne ferait pas de mal. Pour les autres le temps et un intérêt probablement
croissant devrait suffire.
Il existe des méthodes et outils permettant de donner un aperçu de la configuration d'un firewall. Ce n'est pas du tout ma spécialité, mais un scan de ports te donnera déjà une première vision, sachant que celle-ci sera limitée au filtrage selon ton adresse IP. Il y a aussi le firewalking qui permet de déterminer les ports ouverts.
Pour un débutant quelques liens ce n'est pas mal aussi :)
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP. Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP ne ferait pas de mal. Pour les autres le temps et un intérêt probablement croissant devrait suffire.
Eric.
T0t0
"Eric Razny" wrote in message news:3f53564a$0$16177$
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP. Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP ne ferait pas de mal. Pour les autres le temps et un intérêt probablement croissant devrait suffire.
UDP, comme ICMP sont dans la pile TCP/IP qui est pour moi un nom générique désignant un ensemble de protocoles. Il ne faut pas le réduire à TCP sur IP. Désolé si je n'ai pas été précis.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" <trash2@razny.net> wrote in message
news:3f53564a$0$16177$626a54ce@news.free.fr
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP.
Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP
ne ferait pas de mal. Pour les autres le temps et un intérêt probablement
croissant devrait suffire.
UDP, comme ICMP sont dans la pile TCP/IP qui est pour moi un nom
générique désignant un ensemble de protocoles. Il ne faut pas le
réduire à TCP sur IP.
Désolé si je n'ai pas été précis.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" wrote in message news:3f53564a$0$16177$
Enfin pour le reste de ton post on dirait un peu qu'il n'y a que TCP sur IP. Dans le cas d'un ordi perso le minimum, à mon sens, c'est TCP et UDP. ICMP ne ferait pas de mal. Pour les autres le temps et un intérêt probablement croissant devrait suffire.
UDP, comme ICMP sont dans la pile TCP/IP qui est pour moi un nom générique désignant un ensemble de protocoles. Il ne faut pas le réduire à TCP sur IP. Désolé si je n'ai pas été précis.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
T0t0
"Arnaud" wrote in message news:
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Ben, avec de la NAT dynamique et ton firewall ayant une adresse privée derrière, je ne vois pas bien comment tu vas faire pour le joindre depuis le net ?
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Arnaud" <Arnaud@ifrance.com> wrote in message
news:slrnbl6gvr.103.Arnaud@fin-lebret.beauvais.fr
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi
la présence d'un modem, routeur ou autre truc faisant du nat pourrait
empêcher de "parler avec" un firewall...
Ben, avec de la NAT dynamique et ton firewall ayant une adresse privée
derrière, je ne vois pas bien comment tu vas faire pour le joindre
depuis le net ?
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Ben, avec de la NAT dynamique et ton firewall ayant une adresse privée derrière, je ne vois pas bien comment tu vas faire pour le joindre depuis le net ?
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Marwan FeanoR/var Burelle
On 01 Sep 2003 15:00:30 GMT Arnaud wrote:
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Je ne sais pas s'il s'agit d'un modem/routeur ADSL comme celui que j'ai a la maison, mais, par expérience leur comportement peut paraître déroutant au premier abord.
Ceux qu'il m'a été donné de voir ne répondent pas au ping par défaut (mais c'est réglable dans la conf). Ensuite, ils dropent systématiquement tous les paquets entrants pour lesquels ils n'ont rien de prévu (mais je suis pas sûr qu'ils ne fassent pas leur trie sur les flags de connexion établies), enfin comme ils proposent en général du forward de port (PAT, déNAT et autre appellations...), les ports ouverts sont vu avec une partie du comportement et de la signature de l'OS vers lequel les ports sont forwardés, ce qui a tendance a perdre nmap en tout cas.
Le résultat est que nmap a du mal à faire son fingerprint, il se goure régulièrement (tout dépend des ports forwardés), de plus, comme le routeur ne répond pas au ping, sans l'option adéquate, nmap considère que le host est down.
Maintenant, il faudrait voir avec des outils plus évolués qui sont parfois capables de détecter ce type de forward.
Le défaut quand même dans tout ça, c'est qu'on ne sait généralement pas ce qu'il y a dans la boite (et donc quelle est la fiabilité du machin).
On 01 Sep 2003 15:00:30 GMT
Arnaud <Arnaud@ifrance.com> wrote:
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi
la présence d'un modem, routeur ou autre truc faisant du nat pourrait
empêcher de "parler avec" un firewall...
Je ne sais pas s'il s'agit d'un modem/routeur ADSL comme celui que j'ai a
la maison, mais, par expérience leur comportement peut paraître déroutant
au premier abord.
Ceux qu'il m'a été donné de voir ne répondent pas au ping par défaut (mais
c'est réglable dans la conf). Ensuite, ils dropent systématiquement tous
les paquets entrants pour lesquels ils n'ont rien de prévu (mais je suis
pas sûr qu'ils ne fassent pas leur trie sur les flags de connexion
établies), enfin comme ils proposent en général du forward de port (PAT,
déNAT et autre appellations...), les ports ouverts sont vu avec une partie
du comportement et de la signature de l'OS vers lequel les ports sont
forwardés, ce qui a tendance a perdre nmap en tout cas.
Le résultat est que nmap a du mal à faire son fingerprint, il se goure
régulièrement (tout dépend des ports forwardés), de plus, comme le routeur
ne répond pas au ping, sans l'option adéquate, nmap considère que le host
est down.
Maintenant, il faudrait voir avec des outils plus évolués qui sont parfois
capables de détecter ce type de forward.
Le défaut quand même dans tout ça, c'est qu'on ne sait généralement pas ce
qu'il y a dans la boite (et donc quelle est la fiabilité du machin).
Moi, ça me paraît plutôt relever du fol espoir : je ne vois pas en quoi la présence d'un modem, routeur ou autre truc faisant du nat pourrait empêcher de "parler avec" un firewall...
Je ne sais pas s'il s'agit d'un modem/routeur ADSL comme celui que j'ai a la maison, mais, par expérience leur comportement peut paraître déroutant au premier abord.
Ceux qu'il m'a été donné de voir ne répondent pas au ping par défaut (mais c'est réglable dans la conf). Ensuite, ils dropent systématiquement tous les paquets entrants pour lesquels ils n'ont rien de prévu (mais je suis pas sûr qu'ils ne fassent pas leur trie sur les flags de connexion établies), enfin comme ils proposent en général du forward de port (PAT, déNAT et autre appellations...), les ports ouverts sont vu avec une partie du comportement et de la signature de l'OS vers lequel les ports sont forwardés, ce qui a tendance a perdre nmap en tout cas.
Le résultat est que nmap a du mal à faire son fingerprint, il se goure régulièrement (tout dépend des ports forwardés), de plus, comme le routeur ne répond pas au ping, sans l'option adéquate, nmap considère que le host est down.
Maintenant, il faudrait voir avec des outils plus évolués qui sont parfois capables de détecter ce type de forward.
Le défaut quand même dans tout ça, c'est qu'on ne sait généralement pas ce qu'il y a dans la boite (et donc quelle est la fiabilité du machin).
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire comment faire
Ex. : Attaquant (sur LAN 172.20.0.x à Paris) || Firewall (NAT) || modem ADSL || [INTERNET] || modem ADSL à Knock-le-zout || Firewall à auditer [-- DMZ] || autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher sur l'interface externe... :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet ? Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non, alors comment y font, les méchants vilains Jean-Kevin Leboulet ? Si oui comment, à part créer un VPN (pas très réaliste et ralentit les tests) ? Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui concerne l'audit de Firewalls, car j'en ai plutôt marre des recherches google ("firewall testing" , "firewall testing tools", "firewall probing" etc.). En + on retombe tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys, Saint etc.)
Jack Bonjour ! Je me permet de vous suggérer de tester votre Pare_feu sur le
site de Gibson Research www.grc.com : Le test se nomme Shield-Up , testez tous les ports (voir les choix au bas de la page web). Vous serz surpris par le nombre de ports non-sécurisés sur votre système : bon point de départ pour corriger la situation.
-- "Il vaut mieux rester silencieux et passer pour un idiot que de parler et de lever tous les doutes." Mark Twain Claude LaFrenière Marieville, Qc, Canada
Bonjour,
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer
un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem
ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire
comment faire
Ex. :
Attaquant (sur LAN 172.20.0.x à Paris)
||
Firewall (NAT)
||
modem ADSL
||
[INTERNET]
||
modem ADSL à Knock-le-zout
||
Firewall à auditer [-- DMZ]
||
autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher
sur l'interface externe... :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet
?
Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non,
alors comment y font, les méchants vilains Jean-Kevin Leboulet ?
Si oui comment, à part créer un VPN (pas très réaliste et ralentit les
tests) ?
Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui
concerne l'audit de Firewalls,
car j'en ai plutôt marre des recherches google ("firewall testing" ,
"firewall testing tools", "firewall probing" etc.). En + on retombe
tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys,
Saint etc.)
Jack
Bonjour ! Je me permet de vous suggérer de tester votre Pare_feu sur le
site de Gibson Research
www.grc.com : Le test se nomme Shield-Up , testez tous les ports (voir
les choix au bas de la page web).
Vous serz surpris par le nombre de ports non-sécurisés sur votre
système : bon point de départ pour corriger
la situation.
--
"Il vaut mieux rester silencieux et passer pour un idiot que de parler
et de lever tous les doutes." Mark Twain
Claude LaFrenière
Marieville, Qc, Canada
Quelqu'un pourrait-il me confirmer qu'il est *IM-PO-SSI-BLE* d'auditer un Firewall (nessus, nmap, ftester hping etc.) situé derrière un modem ou routeur ADSL à partir d'un poste sur Internet ? ou au contraire comment faire
Ex. : Attaquant (sur LAN 172.20.0.x à Paris) || Firewall (NAT) || modem ADSL || [INTERNET] || modem ADSL à Knock-le-zout || Firewall à auditer [-- DMZ] || autre LAN
Autrement dit, le seul moyen c'est d'aller sur place et de se brancher sur l'interface externe... :-(( ??
Plus généralement, est-il possible d'auditer un Fw à partir d'Internet ? Si non, ce s'rait-y pas qu'y s'rait pas attaquable ? Bien sûr que non, alors comment y font, les méchants vilains Jean-Kevin Leboulet ? Si oui comment, à part créer un VPN (pas très réaliste et ralentit les tests) ? Car le but est évidemment de simuler une attaque venant du Web
D'avance merci pour vos idées, conseils, liens etc. sur tout ce qui concerne l'audit de Firewalls, car j'en ai plutôt marre des recherches google ("firewall testing" , "firewall testing tools", "firewall probing" etc.). En + on retombe tjrs sur les mms pages ou les mms liens COMMERCIAUX (ISS, Qualys, Saint etc.)
Jack Bonjour ! Je me permet de vous suggérer de tester votre Pare_feu sur le
site de Gibson Research www.grc.com : Le test se nomme Shield-Up , testez tous les ports (voir les choix au bas de la page web). Vous serz surpris par le nombre de ports non-sécurisés sur votre système : bon point de départ pour corriger la situation.
-- "Il vaut mieux rester silencieux et passer pour un idiot que de parler et de lever tous les doutes." Mark Twain Claude LaFrenière Marieville, Qc, Canada