3e Chapitre - Découverte de l'interface du firewall Sygate

La barre d'outils du firewall Sygate Pro vous donne accès rapidement à diverses fonctionnalités mais celle qui nous intéresse en premier lieu, c'est la journalisation.

4 journaux sont proposés:

Security Log... affiche, quand il y en a, les communications indésirables bloquées par votre firewall.
Traffic log... rassemble l'ensemble des données qui circulent et identifie l'adresse des ordinateurs distants (+ le port emprunté et parfois l'application sollicitée).
Packet Log... vous propose, quand vous l'avez activé, d'interprèter chaque paquet voulu. Pour l'activer pour toute communication, menu Tools > Options... > onglet Logs. Vous pouvez également l'activer pour une application seulement ou pour un protocole (nous rencontrerons dans cet article le menu qui nous le permettra).
System Log... notifie sommairement les évènements concernant la configuration du firewall.

Observons le journal de traffic pour savoir qui communique avec qui et selon quel protocole.
Dans la console qui s'ouvre, repérez vite ces symboles pour identifier la nature des communications entrantes (flèche de gauche à droite) et sortantes (flèches de droite à gauche).

et
Vous aurez deviné les paquets entrants et sortants bloqués ou non.

Par exemple, vous pourrez voir que votre ordinateur a envoyé une requête à geeksasylum.fr.st pour voir s'afficher la page d'accueil du site demandé. L'application (votre navigateur internet) n'a pas eu besoin de vous demander l'autorisation d'envoyer cette requête puisque nous lui avons donné une permission permanente (que nous pourrions enlever à tout moment).

L'adresse de votre ordinateur au moment de cet échange dans Source IP et l'adresse ou le nom du site demandé

Un petit plus du journal de traffic, faites un clic droit sur n'importe quelle adresse d'un ordinateur qui souhaitait entrer en relation avec votre PC:

BackTrace... va vous renseigner sur la région d'origine...

Quand l'info ne suffit pas dans le tableau du haut, insistez en utilisant le service Whois <<.
Dans cet exemple, c'est un internaute ADSL de la région de Reims.

S'il utilise Windows 2000/XP et n'a rien modifié sur son installation par défaut (service RPC laissé actif et firewall pas assez configuré), il pourra voir s'afficher une boîte de dialogue avec le message de votre choix.
Pour y arriver, tapez votre message dans une fenêtre de commande DOS comme ceci:

Le message doit être entre guillemets

L'internaute verra aussitôt s'afficher cette boîte sur son écran:

Cette technique est utilisée de façon inoffensive dans ce cas mais suppose d'autres attaques plus agressives.