Question sur les firewalls et la securité

Question sur les firewalls et la securité - Windows & Software

Marsh Posté le 16-05-2002 à 15:42:33    

salut
 
Je me pose une question plutot technique, apres avoir lu plusieurs bouquin sur la securité ( windows et linux) et la mise en place d'un firewall , il y a quelques points sur lesquels j'ai du mal a comprendre .. peut etre les experts dans ce domaine m'expliqueront ?
 
Voila : Il est possible de rendre inutilisable une connexion par deni de service : par exemple un gros ping mais il y en a d'autres ... Ce qui a pour but de ralentir considerablement la bande passante. Pour cela , "On" dit d'installer un firewall  pour empecher ce genre de chose ... c est la que je comprends pas . Par exemple chez moi j'ai l'ADSL (pack ci) donc j'ai un download max de environ 50 ko /sec, bon cela signifie (arretez moi si je me trompe) que 50 ko /sec maximum peuvent rentrer dans le "tuyau". Or si une personne (ou machine) externe m'envoie sans arret des requetes quelconques afin de me pourrir la bande passante , rien de l'empeche de me les envoyer ? le firewall (ou autre element de securité) n'agit que sur la machine c est a dire empeche de rentrer dans la machine mais en aucun cas n'empeche aux trames d'arriver jusqu'a l'entree de la machine ...
 
Je trouve donc "facile" de rendre une connexion inutilisable par deni de service ... ou alors il y a quelque chose que je n'ai pas compris.
 
Peut on m'eclairer a ce sujet ?
 
Merci.

Reply

Marsh Posté le 16-05-2002 à 15:42:33   

Reply

Marsh Posté le 16-05-2002 à 15:48:12    

Tu as raison, quelqu'un peut tjs générer du trafic jusqu'à ta ligne.
 
Le DoS, c'est envoyer des pings avec une taille de paquet plus qu'anormale, et à une vitesse soutenu. La machine a du mal à gérer tout ça car maquet invalide, hop, ça surcharge la machine, ça plante la pile TCP/IP et boum, la machine s'écroule.
 
Alors qu'avec un FW, avec les rules adéquat, tout est dropé et le firewall ne se casse pas la gueule.
 
 
Je ne suis pas encore expert dans le domaine, c'est par contre ce que j'ai compris.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 15:50:30    

Je suis d'accord que tout soit drop avec un bon firewall , mais ca n'empeche qu'avant d'arriver au firewall , lestrames sont bien presentes dans ta connexion de ton FAI vers chez toi , ca genere donc une occupation de la bande passante que tu ne peux pas maitriser ? que faire dans ce cas , je ne vois pas de solution ...

Reply

Marsh Posté le 16-05-2002 à 15:52:07    

Rien à mon avis, ou alors faudrait intervenir plus haut, modifier la conf des routeur du FAI pour bloquer le trafic provenant de tel range d'IP, etc..


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 15:55:05    

En fait tu peux et dois configurer ton FW pour pas te faire embetter par certains paquets mais pas tous ..
 
en gros tes 50ko/s en DL du net sont par rapport au port 80 ou 8080 ou similaire enfin port HTTP ... si par contre l'uatre utilise une technique comme un ping pour saturer ta bande passante tu peux dire a ton FW de ne pas répondre aux requète ping ... en gros il recevra les paquets mais ne les renverra pas ce qui fait ramer certes mais pas entièrement ... :lol:

Reply

Marsh Posté le 16-05-2002 à 16:00:26    

Sigma, kess tu racontes ?? Le débit par rapport au proto HTTP ??  :??:  
Le débit d'une ligne (DSL, RNIs, etC..) c'est sur TOUTE la ligne, pas que pour un protocole.
 
Si le Firewall est configuré pour Droper ce qui est généré de telle source, si je ne dis pas de bêtise, la machine ne s'occupera pas de traiter les paquets. Non ? C'est en fonction de l'emplacement de la couche de Firewalling sur la pile TCP ? Là je sais pas

 

[jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 16:03:59--[/jfdsdjhfuetppo]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:00:46    

Groody a écrit a écrit :

Rien à mon avis, ou alors faudrait intervenir plus haut, modifier la conf des routeur du FAI pour bloquer le trafic provenant de tel range d'IP, etc..  




 
Et ce genre de service est proposé par les FAI ?

Reply

Marsh Posté le 16-05-2002 à 16:03:40    

xilebo a écrit a écrit :

 
 
Et ce genre de service est proposé par les FAI ?



 
Déjà, je ne pense pas qu'ils vont s'amuser à ça pour un particulier ;)
Au moins, faut envoyer une plainte auprès du provider et voir avec eux.
 
ensuite, ça dépend de ta connexion. Si tu prends une connexion (exemple) TurboDSL chez Oléane, tu as la possibilité de prendre une offre sécurisé. Le firewall est chez eux (c'est plus du nat, car rien n'est bloqué en sortie par defaut). Donc ce sont eux qui se font bouffer le débit, et toi sur ta ligne, rien, car le firewall est en entré de ta ligne.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:07:20    

C est ce que je voulais savoir, si de tels services existaient!!
 
merci du renseignement  
 
( ps : je me doute qu'en tant que particulier le FAI a autre chose a faire :D )

Reply

Marsh Posté le 16-05-2002 à 16:08:36    

Groody a écrit a écrit :

Sigma, kess tu racontes ?? Le débit par rapport au proto HTTP ??  :??:  
Le débit d'une ligne (DSL, RNIs, etC..) c'est sur TOUTE la ligne, pas que pour un protocole.
 
Si le Firewall est configuré pour Droper ce qui est généré de telle source, si je ne dis pas de bêtise, la machine ne s'occupera pas de traiter les paquets. Non ? C'est en fonction de l'emplacement de la couche de Firewalling sur la pile TCP ? Là je sais pas  
 
 



c'est la fin de journée j'ai un peu de mal a m'exprimer comme je veux ...
 
ce que je voulais essayer de dire c'est que ce qui sature une bande passante ce n'est pas uniquement ce qui est recu comme paquet mais aussi ce qui est renvoyer ... et c souvent la surdose de paquet recu/envoyé qui fait sauter la connexion "en qqsorte" ..
 
donc sur un ping f par exemple ce qui sature la bande passante ce n'est pas uniquement la reception des ping ... mais aussi la réponse en pong ... donc en configurant le serveur pour qu'il ne reponde pas au ping ... tu peux eviter le crash de la connexion (ou du service dans le cas d'un DoS)
 
c'est plus claire ou je dois aller me coucher et rexpliquer un autre jour ? :lol:

Reply

Marsh Posté le 16-05-2002 à 16:08:36   

Reply

Marsh Posté le 16-05-2002 à 16:09:52    

oui mais faut pas oublier que en général celui qui veut te poourrir ta ligne faut qu'il aie ton IP... alors si  tu as bien config ton firewall... il ne verra rien de son coté et pensera que l'Ip n'est pas attribué... c'est comme ca que fonctionne les analyseur de ports

Reply

Marsh Posté le 16-05-2002 à 16:10:49    

Parfait :D
Très clair (pour moi :p).
 
Exact. Je n'avais pas abordé le fait que la capacité de la ligne (débit) était aussi tronquée puisque réponse, trafic généré en retour.
J'ai plus abordé le côté "surcharge" de la machine.
:jap:


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:10:56    

non c clair vaut mieux faire un reject plutot qu'un refuse (la ca renvoie kekchose alors que le premier non)
 
Mais moi ce qui me souciait , c est le traffic ascendant et pas montant, et la on peut rien faire de chez soi ( ca parait logique)

Reply

Marsh Posté le 16-05-2002 à 16:12:14    

xilebo a écrit a écrit :

non c clair vaut mieux faire un reject plutot qu'un refuse (la ca renvoie kekchose alors que le premier non)
 
Mais moi ce qui me souciait , c est le traffic ascendant et pas montant, et la on peut rien faire de chez soi ( ca parait logique)  




oui c logique mais faudrait vraiment etre un gol pour faire des ping vers une @ qui ne répond  :pt1cable: pas!

Reply

Marsh Posté le 16-05-2002 à 16:13:41    

papangue a écrit a écrit :

oui mais faut pas oublier que en général celui qui veut te poourrir ta ligne faut qu'il aie ton IP... alors si  tu as bien config ton firewall... il ne verra rien de son coté et pensera que l'Ip n'est pas attribué... c'est comme ca que fonctionne les analyseur de ports



 
Et si monsieur Xilebo heberge un site, le mec connais le DN, il fait un ping -f www.xilebo.net et les serveur DNS se chargent de la résolution. La machine ne répondera surement pas présent aux pings, mais elle sera là. si il veut y aller, l'IP (son NET ID) sera connu des routeurs du monde entier, et le trafic sera quand même acheminé à destination.
 
EDIT : ton explication n'est valable que lorsque c'est quelqu'un qui recherche une IP correspondante à ses "besoins", lors d'un SCAN par exemple.

 

[jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 16:14:18--[/jfdsdjhfuetppo]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:13:57    

papangue a écrit a écrit :

 
oui c logique mais faudrait vraiment etre un gol pour faire des ping vers une @ qui ne répond  :pt1cable: pas!  




 
 
c sur :D

Reply

Marsh Posté le 16-05-2002 à 16:15:00    

papangue a écrit a écrit :

 
oui c logique mais faudrait vraiment etre un gol pour faire des ping vers une @ qui ne répond  :pt1cable: pas!



 
Nan, CF mon post si dessus.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:15:26    

Groody a écrit a écrit :

 
 
 
EDIT : ton explication n'est valable que lorsque c'est quelqu'un qui recherche une IP correspondante à ses "besoins", lors d'un SCAN par exemple.  
 
 




 
C'est justement ce à koi je pensais  :D !

Reply

Marsh Posté le 16-05-2002 à 16:18:04    

pour un pc personnel l'avantage d'un FW a la con genre ZA quand tu le mets au nivo maximum ...
quand le gamin veut s'amuser il va commencer par faire un ping ou tracert ... si tu bloques le ping et le tracert le gars va vite oublier le reste des scans et compagnie puisqu'il n'obtiendra aucune info...
 
 
:lol: je suis pas hyper douée en connaissance info mais par contre nivo connerie je suis douée [:olimou]

Reply

Marsh Posté le 16-05-2002 à 16:20:12    

sigma_me a écrit a écrit :

pour un pc personnel l'avantage d'un FW a la con genre ZA quand tu le mets au nivo maximum ...
quand le gamin veut s'amuser il va commencer par faire un ping ou tracert ... si tu bloques le ping et le tracert le gars va vite oublier le reste des scans et compagnie puisqu'il n'obtiendra aucune info...
 
 
:lol: je suis pas hyper douée en connaissance info mais par contre nivo connerie je suis douée [:olimou]



 
Tu peux rester :D
 
Avec un Firewall permettant de gérer les Rules (règles), il faut rajouter les bonnes. Ex : bloquer en arrivé (réception) les ICMP Echo_Request, en proto ICMP.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:20:30    

un firewall de type ZA empeche t il vraiment le deni de service puisque qu'il ne filtre pas réellement les paquets IP à proprement dit (comme un firewall matériel)??

Reply

Marsh Posté le 16-05-2002 à 16:21:53    

sigma_me a écrit a écrit :

pour un pc personnel l'avantage d'un FW a la con genre ZA quand tu le mets au nivo maximum ...
quand le gamin veut s'amuser il va commencer par faire un ping ou tracert ... si tu bloques le ping et le tracert le gars va vite oublier le reste des scans et compagnie puisqu'il n'obtiendra aucune info...



 
Je reviens la dessus.
On ne peut bloquer un TRACE, car quand on trace une IP, comme je le disais, son NetID est connu de tous les routeurs, et le trafic sera acheminé. Le tracert passera tous les routeurs, et une fois arrivé a destination (dernier saut), un aura une TIME OUT, TIME OUt, TIME OUT, etc...
Le Tracert est résolu.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 16:32:11    

Groody a écrit a écrit :

 
 
Je reviens la dessus.
On ne peut bloquer un TRACE, car quand on trace une IP, comme je le disais, son NetID est connu de tous les routeurs, et le trafic sera acheminé. Le tracert passera tous les routeurs, et une fois arrivé a destination (dernier saut), un aura une TIME OUT, TIME OUt, TIME OUT, etc...
Le Tracert est résolu.  



Dans mon esprit le tracert n'est pas complet si je n'obtiens pas tout le cheminement de mon ip de départ à celle d'arrivée demandée ... donc pour moi les time out je les considère comme un echec de tracert mais bon tu as pas tort ... tu as meme raison tout est question de vision de la chose ...
 
papangue> j'ai dit ZA au hasard enfin en qqsorte ... car j'avais deja fait des tests sur un ami (on testait nos FW de l'epoque) ... il avait ZA et moi tiny .. donc du coté attaquant on obtient pas ce qu'on veut par contre du coté attaqués j'ai des doutes (surtout que pour moi ZA est loin d'etre un bon FW .. car il a tout simplement des failles) ... tu me fais penser que j'ai toujours pas testé mon routeur (qui doit faire FW a la base) ... je vais devoir m'en occuper  :sarcastic:

Reply

Marsh Posté le 16-05-2002 à 16:52:21    

Pour les DoS vous avez un bon résumé chez GRC.com.
 
De toute manière, un bon firewall qu'il soit soft ou hard ne pourra rien contre un DoS s'il se trouve sur le poste (ou juste avant ;) ) visé.
Il faut qu'il se trouve entre l attaquant et ton Fai  :ange:  dans tout les cas, si la personne veut vraiment t'emmerder elle faut qu'elle y aille!! car elle doit s occuper premièrement de ton FAI (pour peux que ton Firewall se trouve chez lui )
Pour les particulier... ben tu peux marqué dommage  :(  
 
Ch'tit exemple pratique:
quelqu'un qui te connais bien et te veux du mal (toujours bien connaître sa victime :P , l adage est connu) vois que tu es connecté (icq par exemple) choppe ton IP, et attends que tu aies ton match à CS pour te lancer une grosse DoS et gacher ta soirée  :ouch:  :o   :cry:  et la victime ne peux rein faire (enfin.. je ne sais pas encore si il y a une solution )
 
Tested wis succes avec un ex pote qui cheatait comme un porc... avec un ping de 2000 parfois (adsl 512 :D ) je le plantais facilemetn au  :love: COUTÔ :love:


---------------
Twitch YoutubeGaming Hitbox à toute, maooow!
Reply

Marsh Posté le 16-05-2002 à 18:03:40    

sigma_me a écrit a écrit :

 Dans mon esprit le tracert n'est pas complet si je n'obtiens pas tout le cheminement de mon ip de départ à celle d'arrivée demandée ... donc pour moi les time out je les considère comme un echec de tracert mais bon tu as pas tort ... tu as meme raison tout est question de vision de la chose ...



Bah, pour moi le tracert sert à voir le chemin utilisé entre tel et tel point, et ainsi que la géo-localisation (ça existe ce mot ? :o) de chaque bon, surtout les derniers.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 18:10:01    

Groody a écrit a écrit :

 
Bah, pour moi le tracert sert à voir le chemin utilisé entre tel et tel point, et ainsi que la géo-localisation (ça existe ce mot ? :o) de chaque bon, surtout les derniers.  



bah voila pareil et si l'ip s'arrete un ou plusieurs bon avant bah ca m'ennerve  :fou:  
 
enfin ca dépend si c pour un site ou un particulier  :ange:

Reply

Marsh Posté le 16-05-2002 à 18:10:21    

Groody a écrit a écrit :

 
 
Je reviens la dessus.
On ne peut bloquer un TRACE



Heu moi je pense que l'on peut.
Un tracert est en faites une succession de paquets UDP incrementes au fur et a mesure.

Reply

Marsh Posté le 16-05-2002 à 18:15:40    

kassdelire a écrit a écrit :

 
Heu moi je pense que l'on peut.
Un tracert est en faites une succession de paquets UDP incrementes au fur et a mesure.



 
Un tracert sert à voit la liste des routeurs (chemin) parcourus, traversés, en indiquant l'IP. Si tu ne bloques pas avant (à part en entreprise avec adressage local avec NetID publique), tu ne peux contacter une IP sur un LAN, donc t'arriveras à chaque fois sur le firewall, donc, la localisation, la machine pointée.
 
Vas, je te fille mon IP et t'essayes de me tracer. Pourtant je bloque tout, tu y arriveras, sauf arrivé à destination. 62.147.141.80


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 18:19:03    

Ah bah voilà, enfin quelqu'un qui essaye :D
 
Qui c'est ? Que vois tu ?

 

[jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 18:19:35--[/jfdsdjhfuetppo]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 18:19:57    

voilà déjà le résultat du ping:
 
PING 62.147.141.80 (62.147.141.80) from xx.xx.xx.XX : 56(84) bytes of data.
 
--- 62.147.141.80 ping statistics ---
55 packets transmitted, 0 packets received, 100% packet loss
 
 
Pour le tracert, j'en suis au saut numéro 15 et sortis des routers.proxad.net (3° saut, je suis sur Free telecom) je ne vois + rien.

 

[jfdsdjhfuetppo]--Message édité par Mjules le 16-05-2002 à 18:21:22--[/jfdsdjhfuetppo]


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 16-05-2002 à 18:20:24    

Reply

Marsh Posté le 16-05-2002 à 18:24:41    

Résultat du traceroute:
 
traceroute to 62.147.141.80 (62.147.141.80), 30 hops max, 38 byte packets
 1  192.168.254.254 (192.168.254.254)  29.228 ms  23.247 ms  24.758 ms
 2  courbevoie-3-a7.routers.proxad.net (213.228.3.125)  53.164 ms  36.302 ms  35
.999 ms
 3  nas-cbv-4.routers.proxad.net (212.27.32.213)  37.373 ms  36.135 ms  36.463 m
s
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
 
NB: c'est un traceroute de Linux Mandrake; peut-être que tracert de win donne + de résultats.

 

[jfdsdjhfuetppo]--Message édité par Mjules le 16-05-2002 à 18:25:44--[/jfdsdjhfuetppo]


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 16-05-2002 à 18:26:39    

Y'a un soucis avec ton trace route  :heink:


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 18:34:03    

pourquoi ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 16-05-2002 à 18:36:02    

Je dis ptet des b^tises, il est ptet normal. On doit être proche c pour ça :o
y'a que 2 Hops entre nous deux.
EDIT : Ftb va venir nous donner ses résultats.

 

[jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 18:36:23--[/jfdsdjhfuetppo]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 18:37:19    

C:\WINDOWS>tracert 62.147.141.80
Détermination de l'itinéraire vers nas-cbv-4-62-147-141-80.dial.proxad.net [62.147.141.80]
avec un maximum de 30 sauts :
  1     1 ms     2 ms     1 ms  192.168.0.1
  2    49 ms    50 ms    48 ms  ASte-Genev-Bois-103-1-3-1.abo.wanadoo.fr [xx.xx.xx.x]
  3    52 ms    50 ms    50 ms  80.11.248.33
  4    52 ms    53 ms    53 ms  P4-0.nraub301.Aubervilliers.francetelecom.net [193.252.99.2]
  5    54 ms    52 ms    53 ms  P5-0.ntaub201.Aubervilliers.francetelecom.net [193.251.126.142]
  6    53 ms    53 ms    52 ms  P5-0.ntaub101.Aubervilliers.francetelecom.net [193.251.126.181]
  7    54 ms    53 ms    51 ms  P7-0.noprx101.Paris.francetelecom.net [193.251.126.18]
  8    54 ms    55 ms    64 ms  Proxad-12322.tlh.giga.parix.net [198.32.247.71]
  9    77 ms    54 ms    53 ms  nas-cbv-4.routers.proxad.net [212.27.32.213]
 10     *        *        *     Délai d'attente de la demande dépassé.
 11

 

[jfdsdjhfuetppo]--Message édité par ftb91 le 16-05-2002 à 18:46:38--[/jfdsdjhfuetppo]


---------------
Functional Troubleshooting Bizzard
Reply

Marsh Posté le 16-05-2002 à 18:37:23    

je sais pas, t'es ou ?  
moi je suis sur Besançon, (ça doit être le POP de Dijon que j'appelle)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 16-05-2002 à 18:38:19    

Oh bah finallement .. :D RP, à l'est
 
Et voilà, le 10e Hop de FTB, c'est chez moi.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-05-2002 à 22:56:29    

le tracert de win utilise TCP ca compte ?

Reply

Marsh Posté le 16-05-2002 à 23:55:35    

kassdelire a écrit a écrit :

le tracert de win utilise TCP ca compte ?



 
Heink ?
Lequel veux-tu essayer ?


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed