Promiscuous sur eth0

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Messagepar ImoThep » 11 Nov 2003 22:43

bonjour, <BR> <BR>j'ai installé une debian 2.4 avec snort 2.0.4. <BR>Pour récupérer les paquets, le mode promiscuous est activé sur eth0 et snort fonctionne. Pourtant qd je fais un ifconfig je ne vois po le mode promiscuous activé. <BR>est-ce une info "masquée" ? <BR> <BR>merci pour vos reponses. <BR> <BR>
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar swapfiles » 11 Nov 2003 22:50

tu as fait quoi comme manip pour l'activer??? <BR>ifconfig eth0 PROMISC <BR> <BR>eth0 Lien encap:Ethernet HWaddr 00:02:E3:00:B6:26 <BR> inet adr:192.168.0.1 Bcast:192.168.0.255 Masque:255.255.255.0 <BR> UP BROADCAST RUNNING PROMISC MULTICAST MTU:1514 Metric:1 <BR> RX packets:61335 errors:0 dropped:0 overruns:0 frame:0 <BR> TX packets:531 errors:0 dropped:0 overruns:0 carrier:0 <BR> collisions:0 lg file transmission:100 <BR> RX bytes:27009380 (25.7 Mb) TX bytes:91648 (89.5 Kb) <BR> <BR> <BR>
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux

Messagepar swapfiles » 11 Nov 2003 22:52

désolé mais j'ai appuyer sur poster trop tôt: <BR>Tu peux faire aussi pour vois quelles sont les cartes qui sont en mode PROMISC <BR> <BR>ifconfig -a | grep PROMISC <BR> <BR>voilà là j'ai fini <IMG SRC="images/smiles/icon_biggrin.gif">
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux

Messagepar ImoThep » 11 Nov 2003 23:07

ifconfig -a | grep PROMISC <BR>ne rend rien. <BR> <BR>par contre ds syslog, j'ai "device eth0 entered promiscuous mode" <BR>Mais je croyais que ce mode etait visible avec un ifconfig. <BR> <BR>M'enfin c po trop grave tout fonctionne <IMG SRC="images/smiles/icon_smile.gif"> mias c'etait juste pour ma curiosité <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>merci
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar swapfiles » 11 Nov 2003 23:16

ben oui lorsque tu fais ifconfig eth0 PROMISC il est visible par défaut ( je ne crois pas dire une betise) <BR>par contre c'est bizarre que le ifconfig -a | grep PROMISC ne te rende rien <BR>tu l'as bien tapé en majuscules après le grep???
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux

Messagepar tomtom » 12 Nov 2003 10:21

Il me semble que tu n'as le mode promiscuous marqué dans ifconfig que si tu as monté ton interface dans ce mode au demarrage du réseau (eg, dans le script networking pour debian). <BR> <BR>Mais même quand elle n'est pas dans ce mode, des utilitaires (ethereal, tcpdump, snort...) savent utiliser la carte en promiscuous pour recuperer les paquets... <BR> <BR>Et c'est une bien meilleure solution, car ainsi quand tu coupes ton sniffer ou ton ids, tu economises de la cpu car ce n'est pas la peine de recuperer des paquets ip qui ne seront traités par personne <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ImoThep » 12 Nov 2003 10:40

ok, merci pour ton explication tomtom. <BR> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar ImoThep » 19 Nov 2003 15:06

Bonjour, <BR> <BR>Je relance ce sujet pour une autre question. Je suis etudiant et je fais des test sur les IDS et ds le cas present sur snort. <BR> <BR>j'ai testé les retour de scan avec et sans firewall (meme config que le premier post) <BR>(outils utilisés: superscan pour Windows,whcc-current sous Win ) <BR>Et je remarque que les log augmentent uniquement ds le cas ou le firewall est désactivé. <BR>1- Je me demandait si le mode promiscuous, activé selon la demande (cf explication de tomtom au dessus), passe après le traitement iptable. <BR> <BR>2- J'ai testé snort via IPCop avant de passer ss debian et le fait de bloquer les ping au niveau du firewall ne bloquait pas les log de snort (si je me souvient bien <IMG SRC="images/smiles/icon_wink.gif"> ) <BR>Avis aux IPCopiens: Est-ce que le mode promiscuous est actif dès le démarage de l'interface ou ce mode ce déclare sur demande de snort ? <BR> <BR> <BR>mouarf, je sais po trop si je suis clair, n'hésitez po a demander des infos. <BR> <BR>
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar tomtom » 19 Nov 2003 16:38

Si une carte est en mode promiscuous, alors netfilter n'y fait rien, le scan se fait avant le moindre filtrage (et même avant le prerouting je pense, mais ça c'est à vérifier...). <BR> <BR>Par contre, dans le cas de la config de squid (ou de tethereal) avec une carte non proiscuous, là je pesne que le filtrage doit avoir lieu (le prerouting c'ets quasi sur, ,surement le filtrage de input...) <BR> <BR>Je ne sais pas si ça repond à ta question ? <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 19 Nov 2003 17:00

OK, j'ai trouvé un truc interressant. <BR> <BR>Netfilter discard les paquets acquis en mode promiscuous par la carte avant même le premier Hook (qui conduit au prerouting), ce qui fait que ton nids ne verra pas grand chose..... <BR><!-- BBCode auto-link start --><a href="http://archives.neohapsis.com/archives/sf/ids/2000-q3/0006.html" target="_blank">http://archives.neohapsis.com/archives/sf/ids/2000-q3/0006.html</a><!-- BBCode auto-link end --> <BR> <BR> <BR>un hack a été développé : <BR><!-- BBCode auto-link start --><a href="http://www.fokus.gmd.de/research/cc/glone/employees/sebastian.zander/private/netfilter.html" target="_blank">http://www.fokus.gmd.de/research/cc/glone/employees/sebastian.zander/private/netfilter.html</a><!-- BBCode auto-link end --> <BR> <BR>Je ne l'ai pas testé, mais il devrait permettre de conserver les paquets acquis en promiscuous et ainsi de les detecter avec l'IDS. <BR> <BR>Par contre, il me semble que des sniffers (ex : ethereal) interceptent les paquets avant même le premier hook netfilter. Je cherche de la doc là dessus, je te tiens au courant. <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ImoThep » 19 Nov 2003 17:17

tomtom, voila ce que j'ai compris: <BR> <BR>j'ai essayer de comprendre avec <BR>--> <!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/architecture.htm" target="_blank">http://christian.caleca.free.fr/netfilter/architecture.htm</a><!-- BBCode auto-link end --> <BR> <BR>Si la carte est déclaré en mode promiscuous ds le script networking cad que le mode est actif dès que l'interface est montée, qq soit le paquet arrivant sur l'interface, il sera "vu" par les outils (type snort ou sniffer). <BR>Par contre dans le cas où le mode promiscuous est activé a la demande (mon cas) le filtrage est effectué en amont, et seul les paquets arrivant au module NF_IP_LOCAL_IN (module 2 du schèma de l'adresse ci dessus) remontent une alerte dans snort. <BR> <BR>c'est qqch comme ca ?
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar tomtom » 19 Nov 2003 17:21

Heu je ne suis même pas sur.... <BR> <BR>A mon avis, même si la carte est en promiscuous, les paquets qu'elle recupere sont degagés par la pile netfilter avant même d'arriver au premier hook, et donc tu ne les verras pas.... <BR>Le seul moyen, c'est que snort travaille grace à la libpcap avant le premier hook netfilter. Mais je ne suis pas sur de ceci... c'est pourquoi je cherche de la doc sur la libpcap avant de te repondre <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 19 Nov 2003 17:44

OK, voila un test simple qui explique tout : <BR> <BR>sur mon linux (un knoppix) sans firewall : <BR> <BR>iptables -I INPUT -p tcp --dport 1515 -j DROP <BR>iptables -I INPUT -p tcp --dport 1515 -j LOG --log-prefix [COUCOU] <BR> <BR>(clair <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR>Je lance la capture avec tethereal, filtrage sur port 1515 <BR>Puis, d'un autre poste, je fais un simple <BR># nc mon_ip 1515 <BR> <BR>voici ce qui arrive dans tethereal (summary) <BR>Packets cout : 1 <BR>Filtered packets count : 1 <BR>Marked packets count : 0 <BR>... <BR> <BR> <BR>et dans le fichier /var/log/messages : <BR>Nov 19 16:33:36 MO4714 kernel: eth0: Setting promiscuous mode. <BR>Nov 19 16:33:36 MO4714 kernel: device eth0 entered promiscuous mode <BR>Nov 19 16:33:39 MO4714 kernel: [COUCOU]IN=eth0 OUT= MAC=00:c0:4f:56:8d:c1:00:04:dc:23:d2:05:08:00 SRC=192.208.11.168 DST=192.208.15.133 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=60464 DF PROTO=TCP SPT=1554 DPT=1515 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR> <BR>C'est clair : <BR>ethereal passe la carte en promiscuous. <BR>Les paquets ne sont pas filtrés par netfilter car ils sont en promiscous. <BR>Ethereal peut donc les traiter. <BR>Il sont tout de mêem dropes et logués par netfilter, mais apres.... <BR> <BR> <BR>Je ne sais pas si snort fonctionne pareil mais à mon avis oui. <BR> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ImoThep » 19 Nov 2003 23:23

<BR><BR><font size=-2></font>
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar ImoThep » 22 Nov 2003 23:00

Bon je crois que j'ai posté un peu rapidement la dernière fois et en fait, j'avais po tout compris. J'ai d'ailleur essayé de supprimer mon post ms g po réussi. <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>Je vais essayer de patcher iptable avec le hack du second lien et je te tiens au courant. (D'ici une petite semaine, je vais po pouvoir le faire avant) <BR> <BR>Encore merci pour tes explication tomtom <BR> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Suivant

Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron