[Resolu]détection tunnel HTTP

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

[Resolu]détection tunnel HTTP

Messagepar vanvan » 06 Juil 2004 12:19

salut la compagnie.

la question d'un autre membre du site, m'a fais m'interroger sur le fait de savoir comment détecter un tunnel HTTP sur une MNF sachant que seule la partie firewall est utilisée.

merci d'avance pour vos idées.
Dernière édition par vanvan le 20 Jan 2005 12:40, édité 1 fois au total.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar vanvan » 06 Juil 2004 16:28

personne n'a d'idée ?
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Fwdavy » 07 Juil 2004 12:14

Salut,

Je croix que DGSE95 a la réponse dans ce TOPIC :

http://forums.ixus.net/viewtopic.php?t=16027&postdays=0&postorder=asc&start=30

@+
...car le mot avatar vient du sanskrit avatara désignant chacune des incarnations successives du dieu Visnu.
Avatar de l’utilisateur
Fwdavy
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 202
Inscrit le: 07 Jan 2004 01:00
Localisation: Quebec

Messagepar Methos_Hi » 07 Juil 2004 17:03

Soit vous vous êtes pas compris soit c'est moi qui n'est pas compris ...

Vanvan, est-ce que tu souhaites pouvoir connaïtre le trafic encapsulé dans du trafic http ou bien il s'agit d'autre chose?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar vanvan » 08 Juil 2004 11:50

c exactement ça.

car je v pas tarder à avoir du people qui touche grave sur mon parc, et pour anticiper les éventuels petits malins qui voudraient rebondir cez eux depuis mon parc, je cherche un moyen sur la mnf de faire du filtrage sur http.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Jacques- » 08 Juil 2004 13:51

Peut-être que ce lien te donnera quelques pistes :
http://www.certa.ssi.gouv.fr/site/CERTA ... tml.2.html

D'autres infos, sur la méthode pour cacher les données cette fois, avec d'autres liens que tu as peut-être déjà trouvés : http://gray-world.net/projects/papers/h ... er_fr.html

Personnellement, je pense que filtrer par un proxy applicatif et analyser les logs des connexions est probablement la méthode la plus facile pour tenter de repérer un flux caché.
L'analyse de la durée des connexions est déjà un indicateur ainsi que la fréquence des sites visités.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar tomtom » 08 Juil 2004 14:00

Ouep.

On peut travailler aussi de manière assez efficace sur le rapport ente flux ascendant et flux descendant entre un client et un sevreur.

Un flux symétrique trahira presque à coup sur un shelle encapsulé.. et cela evite d'envahir complétement la vie privée des users.

D'un autre coté, si le tunel est https au lieu d'etre http, il n'y a aucun moyen de controler ce qu'il y a dans le flux, donc mêem si la methode de la symetrie permet de se douter de quelquechose, c'est tres difficile à prouver.
Mieux vaut alors s'approcher directemetn de l'utilisateur et discuter avec lui.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar vanvan » 08 Juil 2004 15:36

Jacques- a écrit:Peut-être que ce lien te donnera quelques pistes :
http://www.certa.ssi.gouv.fr/site/CERTA ... tml.2.html

D'autres infos, sur la méthode pour cacher les données cette fois, avec d'autres liens que tu as peut-être déjà trouvés : http://gray-world.net/projects/papers/h ... er_fr.html

Personnellement, je pense que filtrer par un proxy applicatif et analyser les logs des connexions est probablement la méthode la plus facile pour tenter de repérer un flux caché.
L'analyse de la durée des connexions est déjà un indicateur ainsi que la fréquence des sites visités.

Jacques


vraiment sympa les liens. ma nouvelle lecture de chevet.

tomtom a écrit:Ouep.

On peut travailler aussi de manière assez efficace sur le rapport ente flux ascendant et flux descendant entre un client et un sevreur.

Un flux symétrique trahira presque à coup sur un shelle encapsulé.. et cela evite d'envahir complétement la vie privée des users.

D'un autre coté, si le tunel est https au lieu d'etre http, il n'y a aucun moyen de controler ce qu'il y a dans le flux, donc mêem si la methode de la symetrie permet de se douter de quelquechose, c'est tres difficile à prouver.
Mieux vaut alors s'approcher directemetn de l'utilisateur et discuter avec lui.

t.


à mon avis selon l'activité et si c de l'https : il y a toujours moyen de capter le signal même si on ne peux pas en lire le contenu, j'avais trouvé une appli l'année dernière qui faisait ça pour ssl.
Mais je dois avoué que j'avais pas du tout pensé au rapport flux ascendant/descendant et c vraiment une très bonne idée.

En tout merci les gars d'avoir répondu, avec ça je vais avoir de quoi me préparer quelques bricoles pour éviter les mauvaises surprises. mais bon le risque 0 ça restera toujours utopique.
encore merci.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)