Ma question 1 donc: Que dois-je mettre comme matériel faisant slave sensor ?
Dans une autre discussion (sur fcre) on m'a parlé de hub ethernet, mais difficile à trouver parait-il. Est-ce celà?:
Ma question 2: Pour l'utilisation de TCPDump, l'installer ainsi convient-il ?
BoxADSL --- PC + TCPDump --- Routeur --- Lan
Ma question 3: J'ai une sortie DMZ sur mon routeur FW SPI, où je peux mettre un PC avec un server WEB, FTP, etc, et bien sûr Snort. Est-ce que la totalité du trafic envoyé vers mon IP va-t-il être reçu par ce PC ? Ou seulement tout le trafic qui n'a pas été initié par 1 des PC de mon Lan ?
Comme vous le voyez je patauge, mais je veux comprendre/apprendre, et n'hésitez pas à me reprendre si les termes que j'emploie ne sont pas appropriés.
Merci pour vos éclaircissement éventuels.
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
Les réponses au message de Steph (steph@lavillerose.com.adressebidon.invalid)
Steph a écrit : > Dans une autre discussion (sur fcre) on m'a parlé de hub ethernet, mais > difficile à trouver parait-il. Est-ce celà?:
Il faut se méfier de la dénomination, car il n'est pas rare qu'un soi-disant "hub" soit en réalité un switch. J'ai même vu un "switching hub" qui était un banal switch. Ici l'absence de support du fast ethernet 100Base-T* et la présence d'un port BNC et d'un voyant de collision sont des indices laissant penser qu'il s'agit bien d'un hub. Mais purée, qu'il est cher ! J'avais payé beaucoup moins pour un hub de caractéristiques identiques... en 2002. L'inconvénient du hub est le fonctionnement en 10 Mbit/s half duplex seulement, donc avec des collisions.
> Ma question 2: > Pour l'utilisation de TCPDump, l'installer ainsi convient-il ? > BoxADSL --- PC + TCPDump --- Routeur --- Lan
Oui, comme déjà dit dans le forum ethernet. Le plus simple serait que le PC avec tcpdump fonctionne en pont transparent.
> Ma question 3: > J'ai une sortie DMZ sur mon routeur FW SPI, où je peux mettre un PC avec > un server WEB, FTP, etc, et bien sûr Snort. Est-ce que la totalité du > trafic envoyé vers mon IP va-t-il être reçu par ce PC ? Ou seulement > tout le trafic qui n'a pas été initié par 1 des PC de mon Lan ?
Il faut consulter le manuel du routeur. Généralement la DMZ reçoit seulement le trafic entrant qui n'est pas explicitement destiné à une autre adresse.
>sont des indices laissant penser qu'il s'agit bien d'un hub. >Mais purée, qu'il est cher !
Tant qu'à faire, un switch "haut de gamme" avec un port spécialement prévu ?
Sinon, si on veut du matériel d'une vieille technologie, je recommande le marché de l'occasion : 2xmoinscher.com et priceminister.com par exemple. Ça ne m'étonnerait pas que l'OP trouve sur ces sites un hub à quelques euros.
Fabien LE LEZ a écrit : > On 29 Sep 2007 15:12:41 GMT, Pascal Hambourg : >>sont des indices laissant penser qu'il s'agit bien d'un hub. >>Mais purée, qu'il est cher ! > Tant qu'à faire, un switch "haut de gamme" avec un port spécialement > prévu ?
Je voulais dire "cher pour ce que c'est" : 74 ¤. Ça se trouve, des switches avec port miroir à ce prix ?
Le 29/09/2007 18:31, Fabien LE LEZ disait: > On 29 Sep 2007 15:12:41 GMT, Pascal Hambourg : >> sont des indices laissant penser qu'il s'agit bien d'un hub. >> Mais purée, qu'il est cher ! > Tant qu'à faire, un switch "haut de gamme" avec un port spécialement > prévu ? > Sinon, si on veut du matériel d'une vieille technologie, je recommande > le marché de l'occasion : 2xmoinscher.com et priceminister.com par > exemple. Ça ne m'étonnerait pas que l'OP trouve sur ces sites un hub à > quelques euros.
Si mes souvenirs sont exacts, un de vos buts était d'observer les méchancetés qui vous agressaient pendant la navigation. Pour ça, il faut soit que la sonde tourne sur la machine qui navigue, soit que vous mirroriez le port de la machine en question. Parce que si la sonde est sur une autre bécane en DMZ, elle risque pas de voir ce traffic là. -- Nina
On 29 Sep 2007 17:38:33 GMT, Pascal Hambourg wrote:
>Je voulais dire "cher pour ce que c'est" : 74 ¤. Ça se trouve, des >switches avec port miroir à ce prix ?
J'avais vaguement cherché l'an dernier, et j'avais rien trouvé à moins de 3 ou 400 euros. Mais bon, j'avais pas tout écumé, non plus... J'ai donc décidé que je continuerais à jouer avec snort sur ma bécane, en dmz, comme d'hab :-) -- Nina
Le 29/09/2007 20:03, Nina Popravka disait: > On 29 Sep 2007 14:06:53 GMT, Steph > wrote: >> Merci pour vos éclaircissement éventuels. > Si mes souvenirs sont exacts, un de vos buts était d'observer les > méchancetés qui vous agressaient pendant la navigation.
Non pas exactement, je veux un ids qui loggue le trafic, comme conseillé sur la page du Certa sus-mentionnée. Et on peut se tutoyer non ? ça me vieillit encore plus sinon :)
> Pour ça, il faut soit que la sonde tourne sur la machine qui navigue, > soit que vous mirroriez le port de la machine en question. > Parce que si la sonde est sur une autre bécane en DMZ, elle risque pas > de voir ce traffic là.
Vu le coût, le mirroring je laisse de côté. Comme tu vois, j'"n suis au début: choix de la bonne canne à pêche, des hameçons et du meilleurcoin où il y a de la poiscaille :)
Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ?
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
>Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ?
Pas systématiquement, hein... parce que snort ça bouffe quand même de la ressource... Mais il m'arrive parfois de me demander quelle est la météo actuelle sur l'internet de m'dame Michu (donc moi), et je lance snort, met mon PC en DMZ (ou connexion directe), et je regarde quelle est la tonalité du bruit de fond à la mode ; le plus dur est de retrouver comment mettre à jour les règles. D'ailleurs tu m'as fait penser à regarder ce qu'il pense des navigateurs, Snort, je m'y met le we prochain. Il faut évidemment avoir une machine très religieusement tenue à jour, et savoir très précisément ce qui s'y passe... (enfin autant qu'on puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un process qui était pas là avant, ni d'interpréter les résultats des anti rootkit divers, mieux vaut oublier... -- Nina
Le Sat, 29 Sep 2007 18:06:37 +0000, Nina Popravka a écrit :
>>Je voulais dire "cher pour ce que c'est" : 74 ¤.
Ben oui, mais il y a un port BNC :) On ne rigole pas, il y a un an j'ai encore vu un lan avec les bouchons et tout tout...
>>Ça se trouve, des switches avec port miroir à ce prix ?
> J'avais vaguement cherché l'an dernier, et j'avais rien trouvé à moins > de 3 ou 400 euros. Mais bon, j'avais pas tout écumé, non plus... > J'ai donc décidé que je continuerais à jouer avec snort sur ma bécane, > en dmz, comme d'hab :-)
J'étais dans la même gamme de prix.
Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça doit faire un jouli switch manageable (comment ça c'est gacher? :) )
Et ce qui ne gache (cette fois) rien le bestiaux serait à approx 60¤.
Eric
PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer de switch manageable : http://www.snort.org/docs/tap/
Eric Razny a écrit : > Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et > netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça > doit faire un jouli switch manageable (comment ça c'est gacher? :) )
ROUTE, c'est mal. :-p D'ailleurs les développeurs de Netfilter ont fini par le virer du patch-o-matic-ng. Comme certains regrettaient son option --tee, quelqu'un a écrit une cible TEE reprenant cette fonctionnalité.
Archives des discussions sur la liste netfilter-devel :
[les archives sur lists.netfilter.org ne marchent plus]
> PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer > de switch manageable : http://www.snort.org/docs/tap/
Allons, qui peut raisonnablement conseiller ce montage douteux ?
Le 29/09/2007 21:35, Nina Popravka disait: > Mais il m'arrive parfois de me demander quelle est la météo actuelle > sur l'internet de m'dame Michu (donc moi), et je lance snort, met mon > PC en DMZ (ou connexion directe), et je regarde quelle est la tonalité > du bruit de fond à la mode ; le plus dur est de retrouver comment > mettre à jour les règles.
ah ben je saurais à qui m'adresser lorsque j'en serais là ;)
> D'ailleurs tu m'as fait penser à regarder ce > qu'il pense des navigateurs, Snort, je m'y met le we prochain.
Est-ce que tu publies tes résultats sur une page perso ?
> Il faut évidemment avoir une machine très religieusement tenue à jour, > et savoir très précisément ce qui s'y passe... (enfin autant qu'on > puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un > process qui était pas là avant, ni d'interpréter les résultats des > anti rootkit divers, mieux vaut oublier...
Oui j'apprends au fur et à mesure. Si tu as des url incontournables, n'hésite pas à me les envoyer, ma curiosité sur ce sujet est boulimique. Si tout le monde suivait à la lettre ton "mieux vaut oublier", il n'y aurait pas beaucoup de L(W)AMP en DMZ branché sur la Toile (à moins que tu parles d'autre chose).
Bon, je n'ai toujours pas de réponses à ma Q de 19h52 hier, mais c'est le WE, grand soleil bleu, profitons !
-- Steph Enlever l'.adressebidon.invalid pour m'écrire en privé
Le (on) samedi 29 septembre 2007 21:35, Nina Popravka a écrit (wrote) :
> On 29 Sep 2007 19:04:12 GMT, Steph > wrote: >>Et toi donc, tu surfes avec ton PC en DMZ, où est installé Snort ? > Il faut évidemment avoir une machine très religieusement tenue à jour, > et savoir très précisément ce qui s'y passe... (enfin autant qu'on > puisse). Si tu n'es pas capable au premier coup d'oeil d'identfier un > process qui était pas là avant, ni d'interpréter les résultats des > anti rootkit divers, mieux vaut oublier...
Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une machine que ça dérange pas de réinstaller régulièrement...
>Et sinon, c'est concevable de faire ça sur une machine de test ? Genre une >machine que ça dérange pas de réinstaller régulièrement...
Tant qu'à faire, si possible, autant utiliser une machine virtuelle (VMware par exemple) : on peut enregistrer l'état de la machine (disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de la machine à deux moments successifs.
On 30 Sep 2007 09:59:21 GMT, Pascal Hambourg wrote:
>> PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer >> de switch manageable : http://www.snort.org/docs/tap/ >Allons, qui peut raisonnablement conseiller ce montage douteux ?
Groumpf, décourage pas les bonnes volontés, depuis le temps que j'attend le témoignage de quelqu'un d'assez inconscient pour tester ce truc... :-)))))) -- Nina
Le Sun, 30 Sep 2007 09:59:21 +0000, Pascal Hambourg a écrit :
> Eric Razny a écrit : >>> Par contre si quelqu'un a du temps, un p'tit wrt54gl avec openwrt[1] et >> netfilter passé au patchomatic avec ROUTE[2] et l'option --gw --tee ça >> doit faire un jouli switch manageable (comment ça c'est gacher? :) ) > ROUTE, c'est mal. :-p
Pas grave, je suis le grand Satan.
> D'ailleurs les développeurs de Netfilter ont fini par le virer du > patch-o-matic-ng.
Elle reste dans le extra repository. Par parenthèse amha ce n'est pas parce qu'une option peut casser des trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. Sinon on peut jeter REJECT ou DROP, car /sbin/iptables -I INPUT 1 -j DROP peut casser des trucs aussi :)
> Comme certains regrettaient son option --tee, > quelqu'un a écrit une cible TEE reprenant cette fonctionnalité
Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce que cherche l'OP, et en plus c'est simple à mettre en place.
> Archives des discussions sur la liste netfilter-devel : > [les archives sur lists.netfilter.org ne marchent plus]
Merci pour les liens.
>> PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer >> de switch manageable : http://www.snort.org/docs/tap/ > Allons, qui peut raisonnablement conseiller ce montage douteux ?
Ca dépend clairement ce que tu compte en faire. Pour l'usage de l'OP ça me parait suffisant, pas toi?
Et puis je suis comme Nina, j'aimerais bien un retour!
Eric Razny a écrit : >>>ROUTE, c'est mal. :-p > Pas grave, je suis le grand Satan. >>D'ailleurs les développeurs de Netfilter ont fini par le virer du >>patch-o-matic-ng. > Elle reste dans le extra repository.
Ben non, justement. Elle reste juste mentionnée sur le site web et le docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le sources.list comme certains patches qui on été "externalisés".
> Par parenthèse amha ce n'est pas parce qu'une option peut casser des > trucs *avec* un mauvais paramètrage, qu'il ne faut pas la garder. > Sinon on peut jeter REJECT ou DROP, car > /sbin/iptables -I INPUT 1 -j DROP > peut casser des trucs aussi :)
Oui mais non. :-) Le problème est que ROUTE court-circuite le routage alors que Netfilter n'est pas censé agir directement à ce niveau mais seulement influer avec les marques ou le NAT. Il bloque, il marque, il modifie les paquets, mais il ne route pas. C'est très sale.
>>Comme certains regrettaient son option --tee, >>quelqu'un a écrit une cible TEE reprenant cette fonctionnalité > Oui mais elle n'est pas dans le patchomatic :) comment ça je suis têtu?
C'est vrai - pour les deux.
> Par contre que ce soit TEE tout seul ou --tee --gw de ROUTE ça fait ce > que cherche l'OP, et en plus c'est simple à mettre en place.
ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et ne préservent pas les adresses MAC. Et si le suivi de connexion s'en mêle, la fragmentation n'est pas préservée non plus. Il faut voir si c'est gênant ou pas pour l'OP.
>>>PS : rappel, sur le site de snort on trouve ce qu'il faut pour se passer >>>de switch manageable : http://www.snort.org/docs/tap/ >>>Allons, qui peut raisonnablement conseiller ce montage douteux ? > Ca dépend clairement ce que tu compte en faire. > Pour l'usage de l'OP ça me parait suffisant, pas toi?
Ça dépend. Déjà ça ne peut marcher qu'en 10Base-T et 100Base-TX, mais pas en gigabit ethernet 1000Base-T qui utilise les 4 paires de façon bidirectionnelle.
> Et puis je suis comme Nina, j'aimerais bien un retour!
Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
On 30 Sep 2007 20:23:49 GMT, Pascal Hambourg wrote:
>> Et puis je suis comme Nina, j'aimerais bien un retour! >Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Franchement, je ne me sens pas au niveau technique, faut bricoler plein de fils avec plein de couleurs, certains même avec des rayures. Je préférerais avoir le retour de quelqu'un de techniquement expérimenté, comme Razny ou toi.
>Tant qu'à faire, si possible, autant utiliser une machine virtuelle >(VMware par exemple) : on peut enregistrer l'état de la machine >(disque dur, RAM, écran) n'importe quand, ce qui permet de revenir en >arrière pour annuler une manoeuvre dangereuse, ou comparer l'état de >la machine à deux moments successifs.
Eventuellement, et surtout si il s'agit de machine virtuelle, installer un *nix plutôt qu'un win, dans ce cas de figure. La config est strictement identique, sauf qu'il faut être très rompu aux subtilités des chemins d'accès dans le fichier de conf pour faire tomber le truc en marche sous Win, en général (les docs de pingouins laissent toujours de nombreuses embûches pour perturber le windowsien de base...) -- Nina
Le Sun, 30 Sep 2007 20:46:58 +0000, Nina Popravka a écrit :
>>Tas de feignasses, vous n'avez qu'à essayer vous-mêmes. :-p
Eh, ça va pas non, à quoi ça sert sinon de se reposer sur les autres? Steph à l'air plein de bonne volonté.
> Franchement, je ne me sens pas au niveau technique, faut bricoler > plein de fils avec plein de couleurs, certains même avec des rayures.
Ah les filles... tu préfères les carreaux pour les couleurs?
> Je préférerais avoir le retour de quelqu'un de techniquement > expérimenté, comme Razny ou toi.
Tu ne m'as visiblement jamais vu souder! Tu sais les gros pâtés qui portent en plus le doux nom de soudures sèches ;) Bon, la pince à sertir ça va mieux quand même.
Plaisanteries mises à part 10Base-T ou 100Base-TX sont probablement suffisant pour l'OP et ça prend de facto en compte la remarque de Pascal sur la couche OSI.
Le Sun, 30 Sep 2007 20:23:49 +0000, Pascal Hambourg a écrit :
> Ben non, justement. Elle reste juste mentionnée sur le site web et le > docs qui ne sont pas à jour. Télécharge un snapshot récent ou va voir > dans le SVN, tu ne le trouveras plus. Il n'est même pas dans le > sources.list comme certains patches qui on été "externalisés".
Glups. Ca c'est du nettoyage.
> Oui mais non. :-) > Le problème est que ROUTE court-circuite le routage alors que Netfilter > n'est pas censé agir directement à ce niveau mais seulement influer avec > les marques ou le NAT. Il bloque, il marque, il modifie les paquets, > mais il ne route pas. C'est très sale.
C'est clair que ça justifie sa disparition du pom, mais ils auraient pu le laisser en sources.list, ça ne fait pas de mal parfois les quicks&dirty tricks : quand tu veux juster tester un truc pendant un temps court et que ça prendrait trois plombes à faire proprement Remarque c'est comme ça en général que ça dégénère, quand le bidule bien cracra est finalement utile et finit par rester (et c'est aussi super bon pour la sécurité du tout :) )
> ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent > dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et > ne préservent pas les adresses MAC. Et si le suivi de connexion s'en > mêle, la fragmentation n'est pas préservée non plus. Il faut voir si > c'est gênant ou pas pour l'OP.
Au temps pour moi, l'OP parlait de mettre snort après le routeur, et dans ce cas effectivement il faut redescendre au moins d'un niveau s'il veut voir les trames ethernet passer.
Eric Razny a écrit : > Glups. Ca c'est du nettoyage.
Quand un membre de la "core team" de Netfilter écrit "it's gone now", c'est que c'est vraiment parti. :-)
> C'est clair que ça justifie sa disparition du pom, mais ils auraient pu > le laisser en sources.list,
N'importe qui peut reprendre le patch à son compte et demander à ce qu'il soit ajouté au sources.list. C'est ce qui s'est passé pour les patches sortis du pom qui y sont listés.
> ça ne fait pas de mal parfois les > quicks&dirty tricks : quand tu veux juster tester un truc pendant un > temps court et que ça prendrait trois plombes à faire proprement > Remarque c'est comme ça en général que ça dégénère, quand le > bidule bien cracra est finalement utile et finit par rester
Et après on finit par oublier et un jour on se demande pourquoi des paquets sont routés d'une certaine façon alors que rien dans les tables et règles de routage ne l'explique. Ou bien on modifie lesdites tables et règles de routage mais certains paquets y échappent mystérieusement.
>>ROUTE et TEE ont néanmoins un inconvénient : comme ils interviennent >>dans la couche réseau, ils ne prennent en compte que les paquets IPv4 et >>ne préservent pas les adresses MAC. Et si le suivi de connexion s'en >>mêle, la fragmentation n'est pas préservée non plus. Il faut voir si >>c'est gênant ou pas pour l'OP. > Au temps pour moi, l'OP parlait de mettre snort après le routeur, et dans > ce cas effectivement il faut redescendre au moins d'un niveau s'il veut > voir les trames ethernet passer.
Faut voir si c'est vraiment utile de voir les trames ethernet et pas seulement les paquets IP. Si j'ai bien compris, l'OP souhaite mettre une sonde entre une FAIbox ADSL et un routeur. Dans ce cas, sauf box en bridge avec PPPoE, les seules adresses MAC qu'on voit passer sont celles de la FAIbox et du routeur, donc pas forcément intéressant. D'autre part dans un environnement qui utilise seulement IP(v4), les seules trames ethernet non IP en jeu sont les trames ARP, et là encore sur le segment entre la FAIbox et le routeur ça a peu d'intérêt. Enfin si la FAIbox et le routeur font du NAT, ils font déjà le réassemblage des fragments, donc plus la peine de se préoccuper de préserver la fragmentation.
Cepandant toutes ces remarques deviennent caduques si la FAIbox fait du wifi.
Eric Razny a écrit : > Tu ne m'as visiblement jamais vu souder! > Tu sais les gros pâtés qui portent en plus le doux nom de soudures > sèches ;) > Bon, la pince à sertir ça va mieux quand même.
Il existe des embases RJ45 auto-dénudantes ne nécessitant ni pince ni fer à souder. En plus les couleurs des fils sont même marquées dessus.
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite
Sécurité réseau avec Snort et les IDS Par Kerry Cox, Christopher Greg, Sébastien Namèche (O'Reilly) Les lecteurs de ce livre lui attribuent une note moyenne de 4/5.<
/font>
Message de Pascal Hambourg (boite-a-spam@plouf.fr.eu.org) (29 Septembre 2007)
Les lecteurs de ce livre lui attribuent une note moyenne de 4/5.<
/font>
