Connaître les ports ouverts de mon FW en SORTIE via un appui internet - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 17-11-2005 à 17:11:46
Tu chercherais pas un moyen de traverser un firewall qui n'est sous ton administration
Marsh Posté le 17-11-2005 à 17:16:32
En fait je suis moi-même administrateur réseau et FW dans le professionnel. Mais je suis en train de rassembler des outils dans le cadre d'audits sécurité, oualà.
T'as des idées ? Bon il est évident que je pourrais mettre en oeuvre un serveur de ce type mais j'imagine que sur l'internet des tools en ligne de ce genre doivent déjà exister.
Marsh Posté le 17-11-2005 à 17:24:40
Dans l'autre sens il en existe, mais dans le sens interne => externe je n'en connait aucun répondant à tes besoins.
Tu peux toujours mettre un équipement qui ne filtre rien en sortie de ton réseau.
Depuis l'intérieur tu le scannes avec nmap. Avec nmap tu as la possibilité d'avoir une sortie en XML et de faire, pratiquement, ce que tu veux.
Marsh Posté le 17-11-2005 à 17:26:44
1 ) Non au niveau client parce que au niveau de nmap, certains firewalls ont des contre-mesures
2 ) En fait il me faudrait la réf du serveur destinataire sur l'internet qui aurait tous les ports ouverts (dédié à ce genre d'analyse), et en utilisant un client propre (sollicitations HTTP en transaction connect, pas de syn/rst ni de xmas tree etc..)
Marsh Posté le 17-11-2005 à 17:28:58
IOKY Pour la question de la machine placée après le firewall, c'est pas possible :
Ben non parce qu'à la frontière de mon réseau, de l'autre côté c'est le FAI de l'entreprise (un client chez qui je vais faire un audit par exemple) et il ne mettra pas une bécane dans cette zone pour mes beaux yeux
Marsh Posté le 17-11-2005 à 17:32:14
En meme temps un scan de bourrin (tous les ports est facilement détectable) que ce soit avec nmap ou tout autre scanner. Si un site tel que tu le veux existe ca sera le meme probleme. Pour qu'un scan passe sans etre détecté il faut qu'il soit étalé sur une longue période afin que le FW ou IDS ne voit pas qu'un équipement effectue un grand nombre de requete en peu de temps.
Et je doute qu'un site web répondant a ce critère existe.
Apres il est clair que les scans de nmap sont bruyant (notament quand tu t'amuse avec les flags). Le plus silencieux a mon avis est un scan connect étalé sur une longue période et noyé dans de faux autres scans.
Marsh Posté le 17-11-2005 à 17:33:40
il n'y a pas de DMZ sur le réseau de ton entreprise où tu pourrais mettre un tel équipement ?
Marsh Posté le 17-11-2005 à 17:34:00
bilbo24 a écrit : IOKY Pour la question de la machine placée après le firewall, c'est pas possible : |
Si tu as un labo a ton taf tu n'as qu'a en mettre un la.
Sinon il existe des milliers de bécane non protégée qui répondent par de beau RST sur tous les ports.
Avant d'aller chez ton client tu les repères et voilà
Marsh Posté le 17-11-2005 à 17:37:10
l0ky a écrit : En meme temps un scan de bourrin (tous les ports est facilement détectable) que ce soit avec nmap ou tout autre scanner. Si un site tel que tu le veux existe ca sera le meme probleme. Pour qu'un scan passe sans etre détecté il faut qu'il soit étalé sur une longue période afin que le FW ou IDS ne voit pas qu'un équipement effectue un grand nombre de requete en peu de temps. |
En fait puisqu'il y a connexion complète (tcpconnect) pour certains ports, les contre-mesures des firewalls n'ont pas le droit d'interdire un connect (voir checkpoint par exemple). Il y a contre-mesure seulement dans le cas de bombardement SYN/RST dans 99% des cas et rejet simple des SYN sans réponse mais passage des SYN-ACK-ACK quand on scan en tcpconnect (exemple notamment de la différence entre un superscan en connect d'un côté et un nmap par défaut de bourrin)
Marsh Posté le 17-11-2005 à 17:40:18
l0ky a écrit : Si tu as un labo a ton taf tu n'as qu'a en mettre un la. |
Justement je ne veux pas de RST parce que le RST peut provenir soit de la bécane destinataire soit du FW. D'autant plus que je ne peux pas forcément faire des traceroute vers le destinataire pour les différencier. Je cherche un service dédié dur le web en online tools et qui me fait une synthèse finale.
Marsh Posté le 17-11-2005 à 17:42:16
Bon désolé je plie bagage j'ai des courses à faire on en reparle demain ? Si vous avez des infos sur des sites, c'est avec joie. A +
Marsh Posté le 18-11-2005 à 09:43:23
Bon alors ki a des tuyaux ?J'imagine que je ne dois pas être le seul à chercher un truc dans le genre ?
Marsh Posté le 18-11-2005 à 15:20:38
up !
Marsh Posté le 22-11-2005 à 09:41:04
up !
Marsh Posté le 23-11-2005 à 14:27:20
des idées ?
Marsh Posté le 25-11-2005 à 11:53:24
Y a personne qui a les mêmes besoins, je suis étonné, c'est pourtant fondamental dans les analyses sécurité ?
Marsh Posté le 25-11-2005 à 14:16:17
ReplyMarsh Posté le 25-11-2005 à 14:19:18
Non, c'est pas ca qu'il veut. Il veut vérifier les ports ouverts de l'intérieur vers Internet !
Marsh Posté le 25-11-2005 à 14:21:29
Sinon une autre technique de lancer un scan d'une machine en interne vers n'importe quoi sur Internet de telle manière que le TTL expire apres le firewall. Si tu recois un ICMP en retour => le FW laisse passer sinon non.
Ca doit pas etre bien dur de développer un scanner tel que ca (si ca n'existe pas encore).
Marsh Posté le 25-11-2005 à 14:54:01
l0ky a écrit : Non, c'est pas ca qu'il veut. Il veut vérifier les ports ouverts de l'intérieur vers Internet ! |
Desole , j'ai lu trop vite ....
Marsh Posté le 28-11-2005 à 22:20:58
désolé je suis incapable de t'aider, mais par contre si tu pouvais partager la liste des outils que tu avais rassemblé ca serait sympa
Merci
Marsh Posté le 29-11-2005 à 14:09:19
Pour ceux qui veulent quelques online tools....
Mais ça ne répond pas pour l'instant à mon besoin.
J'ai aussi besoin d'un site qui me renvoie mon adresse IP telle qu'il la voit en HTTP mais aussi en HTTPS si certains savent où trouver ça (car sur certains sites les proxies http et https n'ont pas la même IP externe)
Merci à ceux qui veulent bien m'aider dans ce topic....
----------------
Reverse Whois: http://www.hashemian.com/tools/reverse-whois.php
Domain/Mail MX records: http://www.hashemian.com/tools/domain-email.php
Atomic Clock : http://www.hashemian.com/tools/atomic-clock.php
whoami : http://www.hashemian.com/tools/whoami.php
Whois : http://www.hashemian.com/tools/whois.php
http://centralops.net/co/
Worldtime converter : http://www.all-nettools.com/toolbox,geo
DomainCountryconverter : http://www.all-nettools.com/toolbox,geo
CountrybyIPAdddress : http://www.all-nettools.com/toolbox,geo
NSLookup : http://www.all-nettools.com/toolbox,net
WebEnvtVariablesTest : http://www.all-nettools.com/toolbox,net
AnonymousLevelProxyTest : http://www.all-nettools.com/toolbox,net
OnlinePing : http://www.all-nettools.com/toolbox,net
http://centralops.net/co/
OnlineTraceroute : http://www.all-nettools.com/toolbox,net
http://centralops.net/co/
http://centralops.net/co/
Anonymous Surfing : http://www.all-nettools.com/toolbox,privacy ****
https://www.snoopblocker.com/ ****
HTTPMetatagCreator : http://www.freereports.net/metatags.html
FullDopmainDossier : http://centralops.net/co/ *****
DomainAvailabilityCheck : http://centralops.net/co/
Emailaddressinvestigator : http://centralops.net/co/
Anonymous Remailer : http://www.gilc.org/speech/anonymous/remailer.html
http://secret101.com/anonymous101/index.htm
BrowserMirror+Cookiereader : http://centralops.net/co/ *****
GrabWebPage : http://centralops.net/co/
World trafic projection: http://www.hostip.info/images/geoc [...] day_lg.png *****
OnlineIntrusionTest : http://onlinecheck.emsisoft.com/en/
Filterhostlists : ???????????????????
FUllTCPPortACKServer : ???????????????????
HTTP+HTTPS IP Source analyzor : ???????????????????
CurrencyConvertor : http://www.all-nettools.com/toolbox,financial
Generate Password : http://www.hashemian.com/tools/password-generate.php
http://www.all-nettools.com/toolbox,privacy
Online BIN Mastercard/Visa id : http://www.all-nettools.com/toolbox,financial
TemperatureConverter : http://www.all-nettools.com/toolbox,measurement
WeightConverter : http://www.all-nettools.com/toolbox,measurement
LengthConverter : http://www.all-nettools.com/toolbox,measurement
AreaConverter : http://www.all-nettools.com/toolbox,measurement
OnlineLanguageTranslation : http://www.all-nettools.com/toolbox,lang
Rem : notez aussi que le plugin mozilla firefox transformation phonétique en cyrillique est aussi utile pour coder des mots de passe quand vous êtes obligés de les écrire sur un post-it par exemple
............
Marsh Posté le 29-11-2005 à 15:32:05
moi j aime bien celui la:
http://www.grc.com/default.htm
clique sur ShieldsUp apres pour un test firewall...
Marsh Posté le 30-11-2005 à 09:17:50
C'est un très bon site, mais concernant l'intrusion et non pas l' "ex-trusion". Néanmoins je l'ajoute à ma liste. QQ'un a trouvé un site pour l'id de notre IP source en via https ?
Marsh Posté le 17-11-2005 à 17:09:19
Bonjour,
J'aimerais savoir si vous connaissez un site me permettant de connaître quels sont les ports ouverts de mon Firewall en SORTIE. Il y en a plein qui testent le FW en entrée mais pas en sortie.
Le principe : un serveur sur l'internet qui aurait tous les ports 1 à 65535 ouverts et accrochables et qui répondent un ACK en retour d'une sollicitation http://serveurinternet:N°port [1-65535]
Ensuite, une page http de synthèse est renvoyée par le serveur au client.
Cela dresse ainsi une cartographie des ports ouverts en sortie sur mon FW.
Merci d'avance.