Firewall Windows & matching rule & svchost - Version imprimable +- N-PN White-Hat Project (https://n-pn.fr/forum) +-- Forum : Questions (https://n-pn.fr/forum/forumdisplay.php?fid=11) +--- Forum : Question diverses (https://n-pn.fr/forum/forumdisplay.php?fid=30) +--- Sujet : Firewall Windows & matching rule & svchost (/showthread.php?tid=3697) |
Firewall Windows & matching rule & svchost - gruik - 15-07-2014 le contexte est simple, j'ai un firewall configuré aux petits oignons sous windows 7, et y compris les logs des connexions droppées entrantes/sortantes, ça me permet notament de mettre des policy drop en entrée et en sortie et de configurer finement le tout seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ? autre question, pour un paquet rejected, est-ce que quelqu'un connait un moyen pour identifier la règle qui a rejeté le paquet ? RE: Firewall Windows & matching rule & svchost - Booster2ooo - 15-07-2014 (15-07-2014, 12h52)gruik a écrit : seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ? Je ne sais pas comment faire dans le context du firewall, mais je sais que tu peux récupérer le service associé à un process via la commande tasklist /svc. Pour le reste, je ne peux malheureusement pas faire avancer le shmilblic. RE: Firewall Windows & matching rule & svchost - 0pc0deFR - 15-07-2014 Tu utilises quel firewall? RE: Firewall Windows & matching rule & svchost - gruik - 16-07-2014 (15-07-2014, 23h02)0pc0deFR a écrit : Tu utilises quel firewall? le firewall de windows (15-07-2014, 13h02)Booster2ooo a écrit : tu peux récupérer le service associé à un process via la commande tasklist /svc. yep ça peut aider avec une peu de chance en effet RE: Firewall Windows & matching rule & svchost - 0pc0deFR - 16-07-2014 Pour les paquets rejetés, regarde la dedans ce que tu peux trouver: C:\Windows\System32\LogFiles\Firewall (Ce sont les logs du firewall Windows). RE: Firewall Windows & matching rule & svchost - gruik - 17-07-2014 ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc) mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez) finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol Code BATCH :
C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC", on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s) reste que - et c'était ça ma question finalement - : - il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux - si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là" mais y'a rien de formel RE: Firewall Windows & matching rule & svchost - gruik - 20-07-2014 bon ben ça a pas l'air de déchainer les foules pour ce qui est de trouver le service exact à l'origine des paquets envoyés une solution peut consister à dédier un processus svchost pour chaque service (je connais pas l'impact sur la machine, pas testé encore, si quelqu'un à de la visibilité là dessus...) la manip consiste à modifier pour chaque service le comportement via sc config quelque chose du genre : Code : sc config <service> type=own |