Tester un firewall sans @IP ??!!

[TitBen]

Bonjour !!

Je dispose d'un FreeBSD 5.1 (pour le moment ... que je vais surement passer en 5.3) mis en pont filtrant transparent.
Je n'ai donc aucune adresse IP sur mes 2 interfaces réseau.

Comment faire pour faire un test sur mon firewall ?? Par exemple, voir les ports ouverts ?!

Alors là, j'attends votre aide..

Merci.

[ioguix]

mmmh,

Je suis pas sûr de comprendre, mais dans le doute, tu peux toujours connaitre l'IP de ta passerelle en allant sur le site de la cnil :
http://www.cnil.fr/index.php?id=123

++

[TitBen]

voilà la configuration :

[pc portable] ---- [Firewall/BSD] ---- [Hub] ---- [Réseau Interne]

c'est une configuration de test. je vais sur le Net par le pc portable !

et j'aimerai tester mon firewall (comme savoir les ports ouverts) alors que c'est un pont transparent !

voilà ...

j'ai cliqué sur ton lien, mais ca me donne l'adresse IP du pc portable, c'est tout !

Merci.

voilà ce que ca me dit :

Votre configuration

Saviez vous que l'adresse IP de votre machine est : MON IP
et que votre adresse DNS est :

Nous pouvons voir que votre ordinateur utilise : Microsoft Windows XP
comme système d'exploitation.
Votre navigateur a pour nom de code :Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
mais c'est en fait : Microsoft Internet Explorer 6.0.
Votre écran a une résolution de 1024 x 768 pixels.


Pour accéder à cette page, vous avez cliqué sur un lien situé à l'adresse suivante :

viewtopic.php?p=122303

[ioguix]

j'suis désolé, mais j'ai du mal à comprendre...

Quel est la machine ayant la connexion au net ?
Ton BSD ou ton portable ?
Je suppose que c'est le BSD...et si c'est le cas, et bien l'adresse affiché par la cnil est bien l'IP de ta BSD...

Ce que je comprend pas, c'est que si c'est ta maquette à toi, tu doit pouvoir avoir la main sur ta machine ? si t'es sur un réseau local, tu dois avoir configuré ton serveur...tu doit donc bien connaitre ton IP nan ??

Et sinon, pour tester ton firewall, ben lance un scan depuis ixus...il y a tellement de site aujourd'hui qui te propose un scan de firewall...

++

[TitBen]

Ma machine FreeBSD n'est qu'un pont filtrant.
C'est avec le pc portable que je navigue sur le net.

[pc portable]---[Firewall/BSD]---[Hub]----[Une autre machine ayant acces au net]--{Internet}

Les 2 interfaces que j'ai dans mon FreeBSD n'ont aucune adresse IP ! c'est normal car je veux que mon firewall soit transparent ! c'est mon propre module de test !! donc j'ai acces à tout .

Et pour le scan du firewall, je peux pas ! car j'ai pas d'adresse IP à donner pour le scan !! voilà tout.

J'espère que c'est plus clair !

[braouazou]

Je n'ai toujours pas compris malgré tes explications!
L'accès internet est sur le firewall FreeBSD ou tu as un modem directement sur le portable?

Tu veux scanner les ports ouverts depuis ton réseau ou depuis l'extérieur? Dans le dernier cas, si ton modem est branché sur le portable, je ne vois pas comment ce serait possible, sinon, pas de problème puisque l'IP Publique affichée par exemple par le site de la CNIL est bien celle de ton FreeBSD!! A moins que tu aies une plage d'adresses publiques, dans ce cas, c'est à toi de savoir quelle IP tu as attribuée à quelle machine.

Merci de nous donner des explications plus précises si tu veux obtenir une réponse...

Edit: tu ne fais pas la confusion entre hub et routeur ???

[carlos]

Hello!

En fait, le filtrage trensparent permet d'interconnecter deux réseaux en routant les paquets et en les filtrant. Comme tu le dis, le pont n'a pas d'adresse ip. Logique.
Bien que je ne sois pas très familier avec ce type de dispositif, je pense que si tu tentes un scan sur ton portable (qui a une ip) depuis une machine située de l'autre côté (comme celle qui fournit l'accès internet sur ton schéma), le pont devrait bloquer le scan s'il est efficace.
Si tu scannes depuis l'extérieur, tu vas scanner la passerelle vers internet et non ton pont. Ca peut toujours servir pour voir si l'accès à internet est bien sécurisé mais bon, ce n'est pas l'objet...

Voici aussi un peu de doc à propos des ponts transparents sur OpenBSD, mais tu devrais te sentir en terrain connu. :
http://www.openbsd-france.org/mirrors/w ... au.htm#2.4

Essaie et dis-nous!

A+

[TitBen]

Je n'ai toujours pas compris malgré tes explications!
L'accès internet est sur le firewall FreeBSD ou tu as un modem directement sur le portable?

Tu veux scanner les ports ouverts depuis ton réseau ou depuis l'extérieur? Dans le dernier cas, si ton modem est branché sur le portable, je ne vois pas comment ce serait possible, sinon, pas de problème puisque l'IP Publique affichée par exemple par le site de la CNIL est bien celle de ton FreeBSD!! A moins que tu aies une plage d'adresses publiques, dans ce cas, c'est à toi de savoir quelle IP tu as attribuée à quelle machine.

Merci de nous donner des explications plus précises si tu veux obtenir une réponse...

Edit: tu ne fais pas la confusion entre hub et routeur ???

Alors je vais essayer de faire le schéma complet !! pourtant c'était relativement clair !

{Internet}---[ROUTEUR]---[Firewall]---[Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

voilà, ca résume en gros le réseau !!
Moi je m'occupe que de la partie [Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

Comme le dit Carlos ci dessus, mon pont est transparent donc AUCUNE @IP !

Donc Carlos, si j'ai bien compris, si j'ai bien compris ce que tu m'as dit, (dans mon cas), je fait un scan de la machine quelconque à partir du pc portable et inversement ?? et comment on fait un scan ?? c'est peut être une question con, mais bon ... excusez moi !

Je vais cependant aller voir ton lien pour voir ce que ca donne.

Merci beaucoup de votre aide .... j'attends d'autres avis !!

Thanks les amizzzz

[ioguix]

de ta machine quelconque, tu peux lancer un scan avec l'utilitaire bien connu nmap...

va voir ce lien pour avoir la doc et l'installation...

++

[braouazou]

Alors je vais essayer de faire le schéma complet !! pourtant c'était relativement clair !

{Internet}---[ROUTEUR]---[Firewall]---[Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

voilà, ca résume en gros le réseau !!
Moi je m'occupe que de la partie [Machine quelconque]---[Hub]---[Firewall/BSD]---[Pc portable]

Ah là c'est plus clair, merci!

Je ne vois pas comment tu pourrais scanner ta machine depuis l'extérieur, si elle se trouve déjà derrière un autre firewall...

De l'intérieur du réseau ça doit être possible, mais c'est vrai que là, ça me pose une vraie colle aussi!! Je ne maitrise pas du tout cet aspect réseaux, mais est-ce qu'un pont (transparent comme tu le précises) peut également faire office de firewall??

Désolé si je ne te fais pas avancer, là c'est plus pour ma culture personnelle, mais peut-être qu'en creusant un peu, j'aurai un flash

[TitBen]

oui oui, un pont transparent peut faire office de firewall !!
c'est là tout l'intéret ! car non seulement le pc est invisible par rapport à l'extérieur , mais aussi par rapport à l'intérieur du réseau, mais il filtre tout par la meme occasion ! Seul l'administrateur (moi) est au courant de ce pont filtrant !
C'est un atout important pour la sécurité aujourd'hui !

comme il n'a pas d'@IP, il est presque impossible d'être découvert et donc attaqué !

voilà ...

bon sinon, j'ai fais quelques tests !

Avec NmapWin voici le résultat :

Code: Tout sélectionner

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on  (@IP):
(The 1598 ports scanned but not shown below are in state: filtered)
Port       State       Service
53/tcp     closed      domain                 
80/tcp     closed      http                   
443/tcp    closed      https                   
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 267 seconds

Avec Superscan4 (http://www.foundstone.com/resources/freetools/superscan4.zip) :

Code: Tout sélectionner

The IP list contains 1 entries
Service TCP ports: 179
Service UDP ports: 88
Packet delay: 60
Discovery passes: 1
ICMP pinging for host discovery: Yes
Host discovery ICMP timeout: 2000
TCP banner grabbing timeout: 8000
UDP banner grabbing timeout: 8000
Service scan passes: 1
Hostname resolving passes: 1
Full connect TCP scanning for service scanning: No
Service scanning TCP timeout: 4000
Service scanning UDP timeout: 2000
TCP source port: 0
UDP source port: 0
Enable hostname lookup: Yes
Enable banner grabbing: Yes

Scan started: 05/21/04 15:47:32

-------- Scan of 1 hosts started --------
Scanning 1 machines with 1 remaining.
-------- Host discovery pass 1 of 1 --------
Host discovery ICMP (Echo) scan (1 hosts)...
0 new machines discovered with ICMP (Echo)
Host discovery ICMP (Timestamp) scan (1 hosts)...
0 new machines discovered with ICMP (Timestamp)
Host discovery ICMP (AddrMask) scan (1 hosts)...
0 new machines discovered with ICMP (AddrMask)
Host discovery ICMP (Info) scan (1 hosts)...
0 new machines discovered with ICMP (Info)
Reporting scan results...
-------- Scan done --------

Discovery scan finished: 05/21/04 15:47:40

Live hosts this batch: 0

______________________________________________

Total live hosts discovered        0
Total open TCP ports               0
Total open UDP ports               0

Voilà ... dites moi ce que vous en pensez !
C'est bisar, parce que j'ai quand meme laissé des ports ouverts !!

Merci .

[braouazou]

Merci pour tes explications!

Mais là tu scannes depuis la machine elle-même par le loopback? Ca n'a pas de réel intérêt puisque je présume qu'aucun service ne tourne sur ta machine...

Il faut la scanner depuis l'extérieur, mais là, on en revient à ta question de départ à laquelle je suis incappable de répondre

[TitBen]

bah en fait, là pour avoir ces résultats là, j'ai scané à partir du pc portable, une machine quelconque derrière le firewall !!
normalement ca devrait etre bon là non ??

[pc portable]---[Firewall/BSD]---[Hub]---[Machine quelconque]

alors ??

[ioguix]

pour ton second scan, c'est normal...enfin, je crois comprendre qu'il tente de détecter l'host par ping avant de la scanner...hors ta passerelle doit virer tout icmp...du coup, il detecte pas d'host...

pour nmap, avoir les option utilisée pour le scan serait utile, mais il est étrange qu'il voit des port comme le http/https comme fermé...à moin que ce soit de réelles règle dans ta passerelle / firewall ?

++

[TitBen]

pour les options, ce sont celles par défaut !!
en ce qui concerne mes règles de firewall, ma politique c'est ca : TOUT CE QUI N'EST PAS EXPLICITEMENT AUTORISE EST INTERDIT !

et en particulier, pour les port 443 (HTTPS) 80 (HTTP) et 53 (DNS) je les ai laissé ouvert !

bizar ...