Pour le tunneling IP, certains Firewall/IPS droppent les options TCP non standard, comme cest le cas avec les Cisco ASA et IPS (voir comment activer BGP + Auth à travers lASA ).
Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça passe partout est de déléguer un sous domaine son serveur en tant que serveur DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce qui fait que les serveur DNS vont forward les requêtes pour les sous domaines de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car si on empêche nos serveur internes de contacter les serveurs DNS pour les domaines externes, on risque davoir des soucis avec certains sites On peut toujours rate limiter le DNS mais ça ne couperas pas à 100% En tous cas cest pratique pour surfer gratuitement sur les hotspots ;) Je suis pas un guru du DNS, mais si quelquun voit une solution efficace pour bloquer ce genre de mécanisme cela peut être intéressant From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of François-Frédéric Ozog Sent: Sunday, June 05, 2011 23:52 To: 'MM'; 'Adrien Pujol' Cc: 'MikeMuir'; frnog@FRnOG.org Subject: RE: [FRnOG] Le troll du vendredi par Michel Tunneling IP dans les options TCP cest plus fun que sur dur DNS ;-) De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de MM Envoyé : mardi 31 mai 2011 16:40 À : Adrien Pujol Cc : MikeMuir; frnog@FRnOG.org Objet : Re: [FRnOG] Le troll du vendredi par Michel Ça passe en chine en tout cas (ça m'a bien servi pendant les JO). Ce qui peut arriver en général c'est que la connexion soit TCP soit coupée (volontairement par le DPI) - ou que le DPI te fasse un MITM sur le handshake SSL (et là tu ne laisse pas passer - mais ce genre de truc est mega rare et ne se fait qu'en entreprise, dans des pays peu accueillants ou quand un rigolot s'amuse sur le réseau) Tiens, un truc sympa qui marchait il y a un moment : un tunnel sur du DNS (avec un serveur DNS spécifique en face, bien sûr - et un beau client en local) - ça marchait même chez certains fournisseurs câble sur des connexions non activées :D A priori ça a été développé depuis, google NSTX Allez, il y a toujours un moyen de sortir d'une façon ou d'une autre :D Mathieu Le 31 mai 2011 à 16:17, Adrien Pujol a écrit : Si la techno de filtrage est à base de DPI, ça passera pas forcement.. -- Adrien Pujol <http://www.crashdump.fr/> http://www.crashdump.fr <mailto:adrien.pu...@crashdump.fr> adrien.pu...@crashdump.fr Le mardi 31 mai 2011 à 15:18, MM a écrit : Ça tombe bien, j'ai un openvpn qui tourne en tcp sur les ports 80 et 443 (sur le 443 c'est plus discret ...) Je suppose qu'ils ont laissé https d'ouvert aussi (sinon, plus de webmail ou autre) :D
