Tracage proxy

[fripouille]

Bonjour a tous, <BR> <BR>J ai un petit malin, surement un employe de la boite pour laquelle je travaille, qui se connecte sur notre site internet, puis rentre sur l intranet avec un login/passe valide (c est ce qui me fait penser qu il travaille encore chez nous) et modifie des données utilisateurs et clients. <BR>C est TRES lourd. D autant plus que le ptit gars utilise un proxy allemand anonyme ... <BR>Je ne suis pas newbie en reseau et securite, mais le proxy m arrete bien dans mes investigations. <BR>J ai toutes les données recuperables du type (toutes les variables HTTP par ex), mais en realite ce sont les donnees du proxy. <BR>J ai contacte le proprietaire du proxy (en allemand dans le texte, s il vous plait !), lui ai envoye un mail, et n ai aucune reponse de sa part (surprenant non ?). <BR> <BR>Y a t il un moyen de coincer le vilain pirate ? Je pensais a installer 'discretement' un plug in, ou meme tenter de lui coller un trojan ... Bref, le coincer !! <BR> <BR>Merci de votre aide <IMG SRC="images/smiles/icon_smile.gif">

[kerozene]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Y a t il un moyen de coincer le vilain pirate ? Je pensais a installer 'discretement' un plug in, ou meme tenter de lui coller un trojan ... Bref, le coincer !! </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Attention, <BR> <BR>Bien que vouloir le coincer soit totalement légitime, tu n'as pas pour autant le droit d'utiliser des moyens illégaux pour ce faire : donc pas de virus, trojan ou autres petites choses du même acabit... <BR> <BR>Il accède avec un compte bien définit : bien, demerde toi pour trouver lequel (car apparemment tu ne sait pas encore quel compte est utilisé) et alors après quand tu sauras lequel est-ce, il te restera au choix soit la monte d'un dossier complet pour le confondre et lui coller le procès de sa vie soit plus simple pour tout le monde fermer le compte et laisser pisser. <BR> <BR>a toi de voir... <BR> <BR>

[arapaho]

Tu peux simplement le bloquer en interdisant toute requete venant de ce proxy, dont tu as evidemment l'adresse. <BR> <BR>Ensuite, tu fermes le compte qui lui permet d'accéder à l'intranet. Que l'intranet tourne sur un serveur web standard ou sur une plateforme proprio, il est obligatoire que tu es des logs concernant les accès. Quoi qu'il arrive, les logs d'accès aux pages sont également dans ceux des serveurs exécutant l'intranet.

[mozo]

D'accord avec Kero. <BR>N'utilise pas de moyens frauduleux. <BR>Si tu veux le coincer, la démarche consite à déposer plainte contre X avec toutes les données que tu auras pu collecter : moyens d'intrusion, évaluation du préjudice, variables, adresse du proxy anonyme, démarches effectuées, etc. <BR>Etant donné les accords européens de coopération en matière de lutte contre la criminalité, une commission rogatoire internationale peut être diligentée par les autorités françaises aux fins d'identification de l'individu. <BR>Ca mettra peut-être un peu de temps mais qui sait. <BR>Avec le seul bémol à la clé : le proxy garde-t-il ses logs? <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">

[fripouille]

Le probleme est que le compte qu il utilise est un compte "general" qui est utilise par une quinzaine de personnes. <BR> <BR>Resoudre le probleme ca c est facile, je change le pass, bloque cette IP (il trouvera un autre proxy mais bon ...) et le tour est joué. <BR>Mais le bloquer ne m interesse pas, je veux le retrouver. <BR> <BR>Si qqun de votre societe s amusait a ecrire des trucs style "societe de $%#&!, bande de $%#&!, gros bouffins, sale pute", je pense que vous voudriez vous en debarasser <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Quand je parlais de "trojans" je ne pensais pas en realite a un virus ou autre moyen illegal, mais plutot a un plug in, ou autre manoeuvre me permettant de connaitre soit son IP d origine, soit des infos sur son poste. J ai essaye les HTTP REFERER, et evidemment c est le proxy qui repond. <BR> <BR>Je vais donc reformuler ma question : y a t il un moyen legal qui me permette de faire envoyer a son poste des infos au serveur ? Peut etre a travers un plug in, un javascript, enfin n importe quoi qui oblige son poste a lui a envoyer des infos. <BR> <BR>Par exemple, certain sites "de boules" copient des fichiers sur votre poste quand vous cliquez sur "oui" a une question pop-up tout a fait innocente (du genre "voulez vous acceder a cette page securisee"), ne serait il pas possible de faire pareil ? <BR> <BR>

[arapaho]

Malheureusement je ne crains que ce ne soit pas possible. Les proxy réécrivent les adresses sources dans les en-têtes des paquets. <BR> <BR>Pour ma part, je ne vois qu'une seule solution pour vérifier si effectivement, l'adresse source a été réécrite: mettre en place un 'catcher' de trames sur la passerelle ayant pour seule but de récupérer les paquets en provenance de ce fameux proxy pour ainsi les décortiquer et les ananlyser. Peut être restera-t-il une trace de l'adresse source. <BR> <BR>Et petite question au passage: du point de vue sécurité, un compte général, même en interne, utilisé par une 15aine de personnes, est à mon avis très peu judicieux. Surtout si ce compte authorise un accès en écriture à l'intranet.

[kerozene]

Je sais pas si c'est possible mais éventuellement, tu pourrais lui laisser l'accès mais rerouter tout ce qui vient de ce proxy allemand vers un site copie conforme de ton intranet,et ou tu pourrais alors faire joujou avec un certain nombre de piège...

[fripouille]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> Et petite question au passage: du point de vue sécurité, un compte général, même en interne, utilisé par une 15aine de personnes, est à mon avis très peu judicieux. Surtout si ce compte authorise un accès en écriture à l'intranet. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Certes, mais ce n est pas possible autrement. Et les infos changées ne sont pas vitales, c est juste agacant. <BR> <BR>Pour Kerozene : hehe ok, mais quels pieges ? <IMG SRC="images/smiles/icon_razz.gif"> <BR>

[dedalus]

j'ai vu dernièrement qu'apparemment en ce moment la mode est au honeypot, c'est peut être bête ce que je dis mais pourquoi pas ??? <BR> <BR>en fait c'est une machine qui se place sur le réseau et sur laquelle on place volontairement des trous de secu de façon à piéger les trouble faites ou fête <IMG SRC="images/smiles/icon_wink.gif">... <BR> <BR>c'est juste une suggestion ... je ne sais pas ce qu'elle vaut <BR>

[mozo]

Lien Ixus : <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?name=News&sid=560&mode=thread&order=1&thold=-1" TARGET="_blank">Les services français de lutte contre la criminalité informatique</A><!-- BBCode u2 End -->. <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">