Firewall Windows & matching rule & svchost
|
15-07-2014, 12h52
Message : #1
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
Firewall Windows & matching rule & svchost
le contexte est simple, j'ai un firewall configuré aux petits oignons sous windows 7, et y compris les logs des connexions droppées entrantes/sortantes, ça me permet notament de mettre des policy drop en entrée et en sortie et de configurer finement le tout
seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ? autre question, pour un paquet rejected, est-ce que quelqu'un connait un moyen pour identifier la règle qui a rejeté le paquet ?
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
15-07-2014, 13h02
Message : #2
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: Firewall Windows & matching rule & svchost
(15-07-2014, 12h52)gruik a écrit : seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ? Je ne sais pas comment faire dans le context du firewall, mais je sais que tu peux récupérer le service associé à un process via la commande tasklist /svc. Pour le reste, je ne peux malheureusement pas faire avancer le shmilblic. |
|
15-07-2014, 23h02
Message : #3
|
|
0pc0deFR Non-enregistré |
RE: Firewall Windows & matching rule & svchost
Tu utilises quel firewall?
|
|
16-07-2014, 09h42
Message : #4
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Firewall Windows & matching rule & svchost
(15-07-2014, 23h02)0pc0deFR a écrit : Tu utilises quel firewall? le firewall de windows (15-07-2014, 13h02)Booster2ooo a écrit : tu peux récupérer le service associé à un process via la commande tasklist /svc. yep ça peut aider avec une peu de chance en effet
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
16-07-2014, 18h36
Message : #5
|
|
0pc0deFR Non-enregistré |
RE: Firewall Windows & matching rule & svchost
Pour les paquets rejetés, regarde la dedans ce que tu peux trouver: C:\Windows\System32\LogFiles\Firewall (Ce sont les logs du firewall Windows).
|
|
17-07-2014, 01h25
(Modification du message : 17-07-2014, 01h27 par gruik.)
Message : #6
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Firewall Windows & matching rule & svchost
ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc)
mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez) finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol Code BATCH :
C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC", on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s) reste que - et c'était ça ma question finalement - : - il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux - si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là " mais y'a rien de formel
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
20-07-2014, 11h57
Message : #7
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Firewall Windows & matching rule & svchost
bon ben ça a pas l'air de déchainer les foules
pour ce qui est de trouver le service exact à l'origine des paquets envoyés une solution peut consister à dédier un processus svchost pour chaque service (je connais pas l'impact sur la machine, pas testé encore, si quelqu'un à de la visibilité là dessus...) la manip consiste à modifier pour chaque service le comportement via sc config quelque chose du genre : Code : sc config <service> type=own
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Installer Windows 8.1 sur un PC sans OS | InforMods | 6 | 317 |
04-11-2016, 21h21 Dernier message: InforMods |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)