Tester un firewall sans @IP ??!!

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Tester un firewall sans @IP ??!!

Messagepar TitBen » 21 Mai 2004 11:18

Bonjour !!

Je dispose d'un FreeBSD 5.1 (pour le moment ... que je vais surement passer en 5.3) mis en pont filtrant transparent.
Je n'ai donc aucune adresse IP sur mes 2 interfaces réseau.

:?: Comment faire pour faire un test sur mon firewall ?? Par exemple, voir les ports ouverts ?!

Alors là, j'attends votre aide..

Merci. :roll:
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar ioguix » 21 Mai 2004 11:32

mmmh,

Je suis pas sûr de comprendre, mais dans le doute, tu peux toujours connaitre l'IP de ta passerelle en allant sur le site de la cnil :
http://www.cnil.fr/index.php?id=123

++ ;)
IoGuiX
ioguix@jabber.org Image
gpg id: 0828C222
Avatar de l’utilisateur
ioguix
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 22 Mars 2004 01:00
Localisation: France

Messagepar TitBen » 21 Mai 2004 11:42

voilà la configuration :

[pc portable] ---- [Firewall/BSD] ---- [Hub] ---- [Réseau Interne]

c'est une configuration de test. je vais sur le Net par le pc portable !

et j'aimerai tester mon firewall (comme savoir les ports ouverts) alors que c'est un pont transparent !

voilà ...

j'ai cliqué sur ton lien, mais ca me donne l'adresse IP du pc portable, c'est tout !

Merci.

voilà ce que ca me dit :

Votre configuration

Saviez vous que l'adresse IP de votre machine est : MON IP
et que votre adresse DNS est :

Nous pouvons voir que votre ordinateur utilise : Microsoft Windows XP
comme système d'exploitation.
Votre navigateur a pour nom de code :Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
mais c'est en fait : Microsoft Internet Explorer 6.0.
Votre écran a une résolution de 1024 x 768 pixels.


Pour accéder à cette page, vous avez cliqué sur un lien situé à l'adresse suivante :

viewtopic.php?p=122303
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar ioguix » 21 Mai 2004 11:51

j'suis désolé, mais j'ai du mal à comprendre...

Quel est la machine ayant la connexion au net ?
Ton BSD ou ton portable ?
Je suppose que c'est le BSD...et si c'est le cas, et bien l'adresse affiché par la cnil est bien l'IP de ta BSD...

Ce que je comprend pas, c'est que si c'est ta maquette à toi, tu doit pouvoir avoir la main sur ta machine ? si t'es sur un réseau local, tu dois avoir configuré ton serveur...tu doit donc bien connaitre ton IP nan ??

Et sinon, pour tester ton firewall, ben lance un scan depuis ixus...il y a tellement de site aujourd'hui qui te propose un scan de firewall...

++ :)
IoGuiX
ioguix@jabber.org Image
gpg id: 0828C222
Avatar de l’utilisateur
ioguix
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 22 Mars 2004 01:00
Localisation: France

Messagepar TitBen » 21 Mai 2004 12:01

Ma machine FreeBSD n'est qu'un pont filtrant.
C'est avec le pc portable que je navigue sur le net.

[pc portable]---[Firewall/BSD]---[Hub]----[Une autre machine ayant acces au net]--{Internet}

Les 2 interfaces que j'ai dans mon FreeBSD n'ont aucune adresse IP ! c'est normal car je veux que mon firewall soit transparent ! c'est mon propre module de test !! donc j'ai acces à tout .

Et pour le scan du firewall, je peux pas ! car j'ai pas d'adresse IP à donner pour le scan !! voilà tout.

J'espère que c'est plus clair !
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar braouazou » 21 Mai 2004 12:39

Je n'ai toujours pas compris malgré tes explications!
L'accès internet est sur le firewall FreeBSD ou tu as un modem directement sur le portable?

Tu veux scanner les ports ouverts depuis ton réseau ou depuis l'extérieur? Dans le dernier cas, si ton modem est branché sur le portable, je ne vois pas comment ce serait possible, sinon, pas de problème puisque l'IP Publique affichée par exemple par le site de la CNIL est bien celle de ton FreeBSD!! A moins que tu aies une plage d'adresses publiques, dans ce cas, c'est à toi de savoir quelle IP tu as attribuée à quelle machine.

Merci de nous donner des explications plus précises si tu veux obtenir une réponse...

Edit: tu ne fais pas la confusion entre hub et routeur ???
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar carlos » 21 Mai 2004 13:00

Hello!

En fait, le filtrage trensparent permet d'interconnecter deux réseaux en routant les paquets et en les filtrant. Comme tu le dis, le pont n'a pas d'adresse ip. Logique.
Bien que je ne sois pas très familier avec ce type de dispositif, je pense que si tu tentes un scan sur ton portable (qui a une ip) depuis une machine située de l'autre côté (comme celle qui fournit l'accès internet sur ton schéma), le pont devrait bloquer le scan s'il est efficace.
Si tu scannes depuis l'extérieur, tu vas scanner la passerelle vers internet et non ton pont. Ca peut toujours servir pour voir si l'accès à internet est bien sécurisé mais bon, ce n'est pas l'objet... :wink:

Voici aussi un peu de doc à propos des ponts transparents sur OpenBSD, mais tu devrais te sentir en terrain connu. :
http://www.openbsd-france.org/mirrors/w ... au.htm#2.4

Essaie et dis-nous!

A+ :wink:
Avatar de l’utilisateur
carlos
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 09 Mai 2003 00:00
Localisation: Belgium

Messagepar TitBen » 21 Mai 2004 14:21

braouazou a écrit:Je n'ai toujours pas compris malgré tes explications!
L'accès internet est sur le firewall FreeBSD ou tu as un modem directement sur le portable?

Tu veux scanner les ports ouverts depuis ton réseau ou depuis l'extérieur? Dans le dernier cas, si ton modem est branché sur le portable, je ne vois pas comment ce serait possible, sinon, pas de problème puisque l'IP Publique affichée par exemple par le site de la CNIL est bien celle de ton FreeBSD!! A moins que tu aies une plage d'adresses publiques, dans ce cas, c'est à toi de savoir quelle IP tu as attribuée à quelle machine.

Merci de nous donner des explications plus précises si tu veux obtenir une réponse...

Edit: tu ne fais pas la confusion entre hub et routeur ???


Alors je vais essayer de faire le schéma complet !! pourtant c'était relativement clair !

{Internet}---[ROUTEUR]---[Firewall]---[Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

voilà, ca résume en gros le réseau !! :o
Moi je m'occupe que de la partie [Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

:arrow: Comme le dit Carlos ci dessus, mon pont est transparent donc AUCUNE @IP !

Donc Carlos, si j'ai bien compris, si j'ai bien compris ce que tu m'as dit, (dans mon cas), je fait un scan de la machine quelconque à partir du pc portable et inversement ?? et comment on fait un scan ?? c'est peut être une question con, mais bon ... excusez moi ! :?

Je vais cependant aller voir ton lien pour voir ce que ca donne.

Merci beaucoup de votre aide .... j'attends d'autres avis !!

Thanks les amizzzz 8) 8) 8)
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar ioguix » 21 Mai 2004 14:53

de ta machine quelconque, tu peux lancer un scan avec l'utilitaire bien connu nmap...

va voir ce lien pour avoir la doc et l'installation...

++ ;)
IoGuiX
ioguix@jabber.org Image
gpg id: 0828C222
Avatar de l’utilisateur
ioguix
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 22 Mars 2004 01:00
Localisation: France

Messagepar braouazou » 21 Mai 2004 15:14

TitBen a écrit:
Alors je vais essayer de faire le schéma complet !! pourtant c'était relativement clair !

{Internet}---[ROUTEUR]---[Firewall]---[Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

voilà, ca résume en gros le réseau !! :o
Moi je m'occupe que de la partie [Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]



Ah là c'est plus clair, merci! ;-)

Je ne vois pas comment tu pourrais scanner ta machine depuis l'extérieur, si elle se trouve déjà derrière un autre firewall...

De l'intérieur du réseau ça doit être possible, mais c'est vrai que là, ça me pose une vraie colle aussi!! Je ne maitrise pas du tout cet aspect réseaux, mais est-ce qu'un pont (transparent comme tu le précises) peut également faire office de firewall??

Désolé si je ne te fais pas avancer, là c'est plus pour ma culture personnelle, mais peut-être qu'en creusant un peu, j'aurai un flash ;-)
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar TitBen » 21 Mai 2004 15:50

oui oui, un pont transparent peut faire office de firewall !!
c'est là tout l'intéret ! car non seulement le pc est invisible par rapport à l'extérieur , mais aussi par rapport à l'intérieur du réseau, mais il filtre tout par la meme occasion ! Seul l'administrateur (moi) est au courant de ce pont filtrant !
C'est un atout important pour la sécurité aujourd'hui !

comme il n'a pas d'@IP, il est presque impossible d'être découvert et donc attaqué !

voilà ...

bon sinon, j'ai fais quelques tests !

Avec NmapWin voici le résultat :
Code: Tout sélectionner
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on  (@IP):
(The 1598 ports scanned but not shown below are in state: filtered)
Port       State       Service
53/tcp     closed      domain                 
80/tcp     closed      http                   
443/tcp    closed      https                   
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 267 seconds


Avec Superscan4 (http://www.foundstone.com/resources/freetools/superscan4.zip) :
Code: Tout sélectionner
The IP list contains 1 entries
Service TCP ports: 179
Service UDP ports: 88
Packet delay: 60
Discovery passes: 1
ICMP pinging for host discovery: Yes
Host discovery ICMP timeout: 2000
TCP banner grabbing timeout: 8000
UDP banner grabbing timeout: 8000
Service scan passes: 1
Hostname resolving passes: 1
Full connect TCP scanning for service scanning: No
Service scanning TCP timeout: 4000
Service scanning UDP timeout: 2000
TCP source port: 0
UDP source port: 0
Enable hostname lookup: Yes
Enable banner grabbing: Yes

Scan started: 05/21/04 15:47:32

-------- Scan of 1 hosts started --------
Scanning 1 machines with 1 remaining.
-------- Host discovery pass 1 of 1 --------
Host discovery ICMP (Echo) scan (1 hosts)...
0 new machines discovered with ICMP (Echo)
Host discovery ICMP (Timestamp) scan (1 hosts)...
0 new machines discovered with ICMP (Timestamp)
Host discovery ICMP (AddrMask) scan (1 hosts)...
0 new machines discovered with ICMP (AddrMask)
Host discovery ICMP (Info) scan (1 hosts)...
0 new machines discovered with ICMP (Info)
Reporting scan results...
-------- Scan done --------

Discovery scan finished: 05/21/04 15:47:40

Live hosts this batch: 0

______________________________________________

Total live hosts discovered        0
Total open TCP ports               0
Total open UDP ports               0


Voilà ... dites moi ce que vous en pensez !
C'est bisar, parce que j'ai quand meme laissé des ports ouverts !!

Merci .
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar braouazou » 21 Mai 2004 16:11

Merci pour tes explications!

Mais là tu scannes depuis la machine elle-même par le loopback? Ca n'a pas de réel intérêt puisque je présume qu'aucun service ne tourne sur ta machine...

Il faut la scanner depuis l'extérieur, mais là, on en revient à ta question de départ à laquelle je suis incappable de répondre :-(
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar TitBen » 21 Mai 2004 16:14

bah en fait, là pour avoir ces résultats là, j'ai scané à partir du pc portable, une machine quelconque derrière le firewall !!
normalement ca devrait etre bon là non ??

[pc portable]---[Firewall/BSD]---[Hub]---[Machine quelconque]

alors ??
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Messagepar ioguix » 21 Mai 2004 17:40

pour ton second scan, c'est normal...enfin, je crois comprendre qu'il tente de détecter l'host par ping avant de la scanner...hors ta passerelle doit virer tout icmp...du coup, il detecte pas d'host...

pour nmap, avoir les option utilisée pour le scan serait utile, mais il est étrange qu'il voit des port comme le http/https comme fermé...à moin que ce soit de réelles règle dans ta passerelle / firewall ?

++
IoGuiX
ioguix@jabber.org Image
gpg id: 0828C222
Avatar de l’utilisateur
ioguix
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 22 Mars 2004 01:00
Localisation: France

Messagepar TitBen » 21 Mai 2004 17:48

pour les options, ce sont celles par défaut !!
en ce qui concerne mes règles de firewall, ma politique c'est ca : TOUT CE QUI N'EST PAS EXPLICITEMENT AUTORISE EST INTERDIT !

et en particulier, pour les port 443 (HTTPS) 80 (HTTP) et 53 (DNS) je les ai laissé ouvert !

bizar ...
Avatar de l’utilisateur
TitBen
Major
Major
 
Messages: 84
Inscrit le: 15 Avr 2004 11:22
Localisation: Tours

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)