[Resolu]détection tunnel HTTP

[vanvan]

salut la compagnie.

la question d'un autre membre du site, m'a fais m'interroger sur le fait de savoir comment détecter un tunnel HTTP sur une MNF sachant que seule la partie firewall est utilisée.

merci d'avance pour vos idées.

[vanvan]

personne n'a d'idée ?

[Fwdavy]

Salut,

Je croix que DGSE95 a la réponse dans ce TOPIC :

http://forums.ixus.net/viewtopic.php?t=16027&postdays=0&postorder=asc&start=30

@+

[Methos_Hi]

Soit vous vous êtes pas compris soit c'est moi qui n'est pas compris ...

Vanvan, est-ce que tu souhaites pouvoir connaïtre le trafic encapsulé dans du trafic http ou bien il s'agit d'autre chose?

[vanvan]

c exactement ça.

car je v pas tarder à avoir du people qui touche grave sur mon parc, et pour anticiper les éventuels petits malins qui voudraient rebondir cez eux depuis mon parc, je cherche un moyen sur la mnf de faire du filtrage sur http.

[Jacques-]

Peut-être que ce lien te donnera quelques pistes :
http://www.certa.ssi.gouv.fr/site/CERTA ... tml.2.html

D'autres infos, sur la méthode pour cacher les données cette fois, avec d'autres liens que tu as peut-être déjà trouvés : http://gray-world.net/projects/papers/h ... er_fr.html

Personnellement, je pense que filtrer par un proxy applicatif et analyser les logs des connexions est probablement la méthode la plus facile pour tenter de repérer un flux caché.
L'analyse de la durée des connexions est déjà un indicateur ainsi que la fréquence des sites visités.

Jacques

[tomtom]

Ouep.

On peut travailler aussi de manière assez efficace sur le rapport ente flux ascendant et flux descendant entre un client et un sevreur.

Un flux symétrique trahira presque à coup sur un shelle encapsulé.. et cela evite d'envahir complétement la vie privée des users.

D'un autre coté, si le tunel est https au lieu d'etre http, il n'y a aucun moyen de controler ce qu'il y a dans le flux, donc mêem si la methode de la symetrie permet de se douter de quelquechose, c'est tres difficile à prouver.
Mieux vaut alors s'approcher directemetn de l'utilisateur et discuter avec lui.

t.

[vanvan]

Peut-être que ce lien te donnera quelques pistes :
http://www.certa.ssi.gouv.fr/site/CERTA ... tml.2.html

D'autres infos, sur la méthode pour cacher les données cette fois, avec d'autres liens que tu as peut-être déjà trouvés : http://gray-world.net/projects/papers/h ... er_fr.html

Personnellement, je pense que filtrer par un proxy applicatif et analyser les logs des connexions est probablement la méthode la plus facile pour tenter de repérer un flux caché.
L'analyse de la durée des connexions est déjà un indicateur ainsi que la fréquence des sites visités.

Jacques

vraiment sympa les liens. ma nouvelle lecture de chevet.

Ouep.

On peut travailler aussi de manière assez efficace sur le rapport ente flux ascendant et flux descendant entre un client et un sevreur.

Un flux symétrique trahira presque à coup sur un shelle encapsulé.. et cela evite d'envahir complétement la vie privée des users.

D'un autre coté, si le tunel est https au lieu d'etre http, il n'y a aucun moyen de controler ce qu'il y a dans le flux, donc mêem si la methode de la symetrie permet de se douter de quelquechose, c'est tres difficile à prouver.
Mieux vaut alors s'approcher directemetn de l'utilisateur et discuter avec lui.

t.

à mon avis selon l'activité et si c de l'https : il y a toujours moyen de capter le signal même si on ne peux pas en lire le contenu, j'avais trouvé une appli l'année dernière qui faisait ça pour ssl.
Mais je dois avoué que j'avais pas du tout pensé au rapport flux ascendant/descendant et c vraiment une très bonne idée.

En tout merci les gars d'avoir répondu, avec ça je vais avoir de quoi me préparer quelques bricoles pour éviter les mauvaises surprises. mais bon le risque 0 ça restera toujours utopique.
encore merci.