Le 6 juin 2011 à 18:16, Bastien Migette a écrit : > Pour le tunneling IP, certains Firewall/IPS droppent les options TCP non > standard, comme c’est le cas avec les Cisco ASA et IPS (voir comment activer > BGP + Auth à travers l’ASA…). > > Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça > passe partout est de déléguer un sous domaine son serveur en tant que serveur > DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce > qui fait que les serveur DNS vont forward les requêtes pour les sous domaines > de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car > si on empêche nos serveur internes de contacter les serveurs DNS pour les > domaines externes, on risque d’avoir des soucis avec certains sites… On peut > toujours rate limiter le DNS mais ça ne couperas pas à 100% > En tous cas c’est pratique pour surfer gratuitement sur les hotspots ;) > > Je suis pas un guru du DNS, mais si quelqu’un voit une solution efficace pour > bloquer ce genre de mécanisme cela peut être intéressant… >
J'ai un gros doute que l'on puisse utiliser iodined pour passer les hotspots gratuitement (d'ailleurs j'ai déjà eu cette discussion il y a quelques jours). AMHA, sur un hotspot bien foutu, avant l'authentification de l'utilisateur, l'AP va faire trois choses: - Dropper tout le trafic par défaut - Rediriger vers son adresse les ports 80 et 53 - Mettre un wildcard DNS vers son adresse sur le serveur de nom Avant l'authentification de l'utilisateur, je ne vois pas à quel moment l'AP aurait besoin de laisser passer du trafic vers l'extérieur (y compris du trafic DNS).
