Firewall Windows & matching rule & svchost

[gruik]

le contexte est simple, j'ai un firewall configuré aux petits oignons sous windows 7, et y compris les logs des connexions droppées entrantes/sortantes, ça me permet notament de mettre des policy drop en entrée et en sortie et de configurer finement le tout

seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ?

autre question, pour un paquet rejected, est-ce que quelqu'un connait un moyen pour identifier la règle qui a rejeté le paquet ?

[Booster2ooo]

seul hic, lorsque le programme incriminé est svchost, comment je peux savoir quel service a envoyé le paquet ?

Je ne sais pas comment faire dans le context du firewall, mais je sais que tu peux récupérer le service associé à un process via la commande tasklist /svc.

Pour le reste, je ne peux malheureusement pas faire avancer le shmilblic.

[0pc0deFR]

Tu utilises quel firewall?

[gruik]

Tu utilises quel firewall?

le firewall de windows

tu peux récupérer le service associé à un process via la commande tasklist /svc.

yep ça peut aider avec une peu de chance en effet

[0pc0deFR]

Pour les paquets rejetés, regarde la dedans ce que tu peux trouver: C:\Windows\System32\LogFiles\Firewall (Ce sont les logs du firewall Windows).

[gruik]

ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc)



mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici

le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez)

finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol

Code BATCH :

C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC",
"Modification de la stratégie de plateforme de filtrage",
"Autres événements de modification de stratégie",
"Rejet de paquet par la plateforme de filtrage",
"Connexion de la plateforme de filtrage" /success:disable /failure:enable

on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s)



reste que - et c'était ça ma question finalement - :
- il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux
- si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là" mais y'a rien de formel

[gruik]

bon ben ça a pas l'air de déchainer les foules

pour ce qui est de trouver le service exact à l'origine des paquets envoyés une solution peut consister à dédier un processus svchost pour chaque service (je connais pas l'impact sur la machine, pas testé encore, si quelqu'un à de la visibilité là dessus...)

la manip consiste à modifier pour chaque service le comportement via sc config
quelque chose du genre :

Code :

sc config <service> type=own

un reboot est nécéssaire ensuite (comme souvent...)