DAPL >

> A vérifier, mais il me semble que, via un ActiveX, le poste du LAN
> établi une connection *HTTP* avec des serveurs intermédiaires sur le
> Net. Le poste qui veux prendre la main n'a donc qu'Ã*** se connecter sur le
> serveur intermédiaire pour accéder au poste cible. Comme MSN, en
> quelques sortes.


Non, c'est heureusement prévu ;-)

Si je prend par exemple la doc de Teamviewer
«
Codage

TeamViewer met en oeuvre un codage intégral Ã*** base d’un échange de clés
public / privé de type RSA et d’un codage de session RC4. Cette technique
est utilisée également pour le https/SSL et est considérée comme totalement
sécurisée selon l’état actuel de la technologie. Comme la clé privée ne
quitte jamais l’ordinateur client, ce procédé permet d’assurer que des
ordinateurs intermédiaires dans l’Internet ne peuvent déchiffrer le flux de
données ; ceci s'applique également aux serveurs de routage TeamViewer.
»
http://www.teamviewer.com/fr/products/security.aspx

Un relais ne sert d'ailleurs qu'Ã*** initialiser la connexion si on ne dispose
pas d'IP fixe ou de nom DNS. Une fois le socket établi entre les deux
machines, le relai n'intervient plus.

La technique est utilisée par pas mal de produits.
Voir l'explication du principe ici
http://www.ultravnc.fr/addons/nat2nat.html

mdnews a écrit :
> Un relais ne sert d'ailleurs qu'Ã*** initialiser la connexion si on ne dispose
> pas d'IP fixe ou de nom DNS. Une fois le socket établi entre les deux
> machines, le relai n'intervient plus.

Oui mais on peut tjs jouer sur les plages d'ip utilisées par ces softs
(toujours comme msn d'ailleurs).
Enfin, pb réglé pour moi en tout cas.
Merci.

Le Fri, 20 Jun 2008 14:50:00 +0000, Stephane Catteau a écrit***:

> DAPL devait dire quelque chose comme ceci :
>
>> Le minimum pour le gestionnaire du réseau, c'est au moins de savoir
>> quels sont les flux qui y transitent et pourquoi.
>
> Oui, et ? Le filtre IP lui dira d'où ils viennent, où ils vont et quel
> est le protocole applicatif le plus probablement utilisé. Le proxy[1],
> quant à lui, confirmera que le protocole applicatif est le bon.

Et?
Si tu me mets un "vrai" proxy sur un flux qui est en principe chiffré
(https, ssh etc) ça veut dire que le proprio du proxy est en position de
MiM et qu'il vaut mieux ne pas utiliser le système (du point de vue
utilisateur).

Amha si on doit controler l'utilisateur à ce point (ce qui n'est pas
nécessairement un mal ) on lui interdit le net non chiffré -et on lui
met un proxy- et pour le reste ça passe par un vpn jusqu'aux serveurs de
l'entreprise (plus précisement sur l'intranet, avec les contrôles qui
vont bien) uniquement avec les applis spécifiées.

Eric

Le Fri, 20 Jun 2008 14:55:36 +0000, Stephane Catteau a écrit***:

>> Il n'y a pas forcément de différence entre les deux. Si Mme Michu
>> accède à son PC professionnel via son PC personnel rempli à ras-bord
>> de cochonneries diverses, je n'ose même pas imaginer le résultat.
>
> S'infiltrer dans un tunnel crypté n'est pas à la portée du premier
> malware venu, non ? Du coup il s'agit d'une attaque ciblée, et le
> logiciel de prise de contrôle à distance n'est probablement pas la
> seule entrée possible.

Salut
Tu peux aussi avoir une attaque non ciblée (on va prendre le contrôle
des machines de ceux qui finissent par installer le malware -peut importe
la façon-) et, ô surprise, quand on est sur la machine de madame michu
(via internet "classique") elle a un jouli tunnel tout fraichement ouvert
vers la machine de sa boite...