Bonjour,
Est-il possible de filtrer avec Iptables l'encapsulation, par exemple, les demandes de connexions TCP dans une requête DNS qui permettent de contourner facilement firewall et proxy?
Merci d'avance.
Iptables et encapsulation
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
Iptables et encapsulation
par desvers » 13 Oct 2008 22:19
- desvers
- Matelot
- Messages: 8
- Inscrit le: 07 Sep 2005 15:54
par Franck78 » 14 Oct 2008 11:13
Salut,
Filter, bien évidement, c'est l'objet même d'IPTables.
Par contre,et c'est sans doute ta question, sait-il reconnaitre quand filtrer? Non à priori! C'est l'objet de 'LAYER 7', ton mot clé.
Mais ca vient.
http://l7-filter.sourceforge.net/
Filter, bien évidement, c'est l'objet même d'IPTables.
Par contre,et c'est sans doute ta question, sait-il reconnaitre quand filtrer? Non à priori! C'est l'objet de 'LAYER 7', ton mot clé.
Mais ca vient.
http://l7-filter.sourceforge.net/
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par desvers » 01 Nov 2008 13:17
Pouvez vous expliciter cela ?
Voir http://www.hsc.fr/ressources/outils/dns2tcp/index.html.fr
Les outils de ce genre contournent le firewall (iptables) et le proxy Squid (+Squidguard).
Sans en être certain, il me semble qu'un IDS tel que snort permet d'analyser le contenu des paquets et peut être de les bloquer. Est-ce vrai?
Merci
- desvers
- Matelot
- Messages: 8
- Inscrit le: 07 Sep 2005 15:54
par ccnet » 01 Nov 2008 14:42
La stricte limitation des sources et destinations dns réduit considérablement le risque.
Les machines du réseau local devraient n'utiliser qu'un dns interne. Seuls des machines serveurs clairement identifiées accèdent à des dns externe eux aussi identifiés. Et bien sûr udp/tcp:53 sortants sont interdits à l'exception des serveurs évoqués plus haut.
Si cela n'élimine pas les risques à 100%, cela les réduit considérablement. Par ailleurs dans le cas que vous citez il faut un serveur externe et un client qui ne sont pas disponibles pour Windows.
Les machines du réseau local devraient n'utiliser qu'un dns interne. Seuls des machines serveurs clairement identifiées accèdent à des dns externe eux aussi identifiés. Et bien sûr udp/tcp:53 sortants sont interdits à l'exception des serveurs évoqués plus haut.
Si cela n'élimine pas les risques à 100%, cela les réduit considérablement. Par ailleurs dans le cas que vous citez il faut un serveur externe et un client qui ne sont pas disponibles pour Windows.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par desvers » 05 Nov 2008 01:21
La stricte limitation des sources et destinations dns réduit considérablement le risque.....
Les clients et serveurs de notre réseau sont paramètrés tels que vous le préconisez (serveur dns interne, clients avec ce serveur dns dans leur configuration réseau et seul ce serveur dns peut émettre des requêtes dns.).
Pourtant, j'arrive à naviguer sur les sites normalement bloqués depuis Windows car cette solution existe pour Windows.
- desvers
- Matelot
- Messages: 8
- Inscrit le: 07 Sep 2005 15:54
par Franck78 » 06 Nov 2008 23:44
C'est quand même par compliqué de fournir une capture du flux en provenance de la machine soi-disant bloquée. Au moins on saura quels port/proto elle utilise pour percer le fw....
Rien n'est normal. Le normal, c'est le routage et le dialogue entre les machines.
Tout le reste, c'est du explicite. Et la, ca discute sur du vent.
C'est quoi qui est installé? C'est quoi qui ne devrait pas passer. Ca affecte tout les postes? Un seul? Pourquoi ce lien vers HSC?
normalement bloqués
Rien n'est normal. Le normal, c'est le routage et le dialogue entre les machines.
Tout le reste, c'est du explicite. Et la, ca discute sur du vent.
C'est quoi qui est installé? C'est quoi qui ne devrait pas passer. Ca affecte tout les postes? Un seul? Pourquoi ce lien vers HSC?
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
8 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité