• STATISTIQUES
  • Il y a eu un total de 0 membres et 36648 visiteurs sur le site dans les dernières 24h pour un total de 36 648 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Hack this site
    Basic: 11, Realistic: 17, Application: 18, Programming: 12, Extbasic: 14, Javascript: 7, Stego: 17
    Challenges
    [FR] frameip
    le site de partage des connaissances du monde TCPIP
    Protocole
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Firewall Windows & matching rule & svchost
17-07-2014, 01h25 (Modification du message : 17-07-2014, 01h27 par gruik.)
Message : #6
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Firewall Windows & matching rule & svchost
ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc)

[Image: attachment.php?aid=127]

mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici Wink

le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez)

finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol

Code BATCH :
C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC",
"Modification de la stratégie de plateforme de filtrage",
"Autres événements de modification de stratégie",
"Rejet de paquet par la plateforme de filtrage",
"Connexion de la plateforme de filtrage" /success:disable /failure:enable


on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s)

[Image: attachment.php?aid=128]

reste que - et c'était ça ma question finalement - :
- il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux
- si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là" mais y'a rien de formel


Pièces jointes
.png   wf.png (Taille : 55.93 Ko / Téléchargements : 77)
.png   eventvwr.png (Taille : 60.72 Ko / Téléchargements : 77)
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (0) -1 (1) Répondre


Messages dans ce sujet
RE: Firewall Windows & matching rule & svchost - par 0pc0deFR - 15-07-2014, 23h02
RE: Firewall Windows & matching rule & svchost - par 0pc0deFR - 16-07-2014, 18h36
RE: Firewall Windows & matching rule & svchost - par gruik - 17-07-2014, 01h25

Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Installer Windows 8.1 sur un PC sans OS InforMods 6 312 04-11-2016, 21h21
Dernier message: InforMods

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut