• STATISTIQUES
  • Il y a eu un total de 0 membres et 29042 visiteurs sur le site dans les dernières 24h pour un total de 29 042 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking
    [EN] wechall
    Pour les gens n'étant pas familiers avec les sites de challenges, un site de challenges est un site propos...
    Hacking
    [EN] Sabre Films
    Site de challenge présenté sous la forme d'une quête. Vous êtes un détective et devrez résoudre d...
    Challenges
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Firewall Windows & matching rule & svchost
15-07-2014, 12h52
Message : #1
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
Firewall Windows & matching rule & svchost
le contexte est simple, j'ai un firewall configuré aux petits oignons sous windows 7, et y compris les logs des connexions droppées entrantes/sortantes, ça me permet notament de mettre des policy drop en entrée et en sortie et de configurer finement le tout

seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ?

autre question, pour un paquet rejected, est-ce que quelqu'un connait un moyen pour identifier la règle qui a rejeté le paquet ?
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre
15-07-2014, 13h02
Message : #2
Booster2ooo Hors ligne
Contributeur
*****



Messages : 165
Sujets : 14
Points: 63
Inscription : Aug 2011
RE: Firewall Windows & matching rule & svchost
(15-07-2014, 12h52)gruik a écrit : seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ?

Je ne sais pas comment faire dans le context du firewall, mais je sais que tu peux récupérer le service associé à un process via la commande tasklist /svc.

Pour le reste, je ne peux malheureusement pas faire avancer le shmilblic.
+1 (0) -1 (0) Répondre
15-07-2014, 23h02
Message : #3
0pc0deFR
Non-enregistré



 
RE: Firewall Windows & matching rule & svchost
Tu utilises quel firewall?
positive (1) negative (0) Répondre
16-07-2014, 09h42
Message : #4
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Firewall Windows & matching rule & svchost
(15-07-2014, 23h02)0pc0deFR a écrit : Tu utilises quel firewall?

le firewall de windows

(15-07-2014, 13h02)Booster2ooo a écrit : tu peux récupérer le service associé à un process via la commande tasklist /svc.

yep ça peut aider avec une peu de chance en effet
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre
16-07-2014, 18h36
Message : #5
0pc0deFR
Non-enregistré



 
RE: Firewall Windows & matching rule & svchost
Pour les paquets rejetés, regarde la dedans ce que tu peux trouver: C:\Windows\System32\LogFiles\Firewall (Ce sont les logs du firewall Windows).
positive (1) negative (0) Répondre
17-07-2014, 01h25 (Modification du message : 17-07-2014, 01h27 par gruik.)
Message : #6
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Firewall Windows & matching rule & svchost
ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc)

[Image: attachment.php?aid=127]

mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici Wink

le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez)

finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol

Code BATCH :
C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC",
"Modification de la stratégie de plateforme de filtrage",
"Autres événements de modification de stratégie",
"Rejet de paquet par la plateforme de filtrage",
"Connexion de la plateforme de filtrage" /success:disable /failure:enable


on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s)

[Image: attachment.php?aid=128]

reste que - et c'était ça ma question finalement - :
- il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux
- si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là" mais y'a rien de formel


Pièces jointes
.png   wf.png (Taille : 55.93 Ko / Téléchargements : 77)
.png   eventvwr.png (Taille : 60.72 Ko / Téléchargements : 77)
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre
20-07-2014, 11h57
Message : #7
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Firewall Windows & matching rule & svchost
bon ben ça a pas l'air de déchainer les foules Big Grin

pour ce qui est de trouver le service exact à l'origine des paquets envoyés une solution peut consister à dédier un processus svchost pour chaque service (je connais pas l'impact sur la machine, pas testé encore, si quelqu'un à de la visibilité là dessus...)

la manip consiste à modifier pour chaque service le comportement via sc config
quelque chose du genre :
Code :
sc config <service> type=own
un reboot est nécéssaire ensuite (comme souvent...)
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Installer Windows 8.1 sur un PC sans OS InforMods 6 309 04-11-2016, 21h21
Dernier message: InforMods

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut