Promiscuous sur eth0

par **ImoThep** » 11 Nov 2003 22:43

bonjour, j'ai installé une debian 2.4 avec snort 2.0.4. Pour récupérer les paquets, le mode promiscuous est activé sur eth0 et snort fonctionne. Pourtant qd je fais un ifconfig je ne vois po le mode promiscuous activé. est-ce une info "masquée" ? merci pour vos reponses.

par **swapfiles** » 11 Nov 2003 22:50

tu as fait quoi comme manip pour l'activer??? ifconfig eth0 PROMISC eth0 Lien encap:Ethernet HWaddr 00:02:E3:00:B6:26 inet adr:192.168.0.1 Bcast:192.168.0.255 Masque:255.255.255.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1514 Metric:1 RX packets:61335 errors:0 dropped:0 overruns:0 frame:0 TX packets:531 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:27009380 (25.7 Mb) TX bytes:91648 (89.5 Kb)

par **swapfiles** » 11 Nov 2003 22:52

désolé mais j'ai appuyer sur poster trop tôt: Tu peux faire aussi pour vois quelles sont les cartes qui sont en mode PROMISC ifconfig -a | grep PROMISC voilà là j'ai fini <IMG SRC="images/smiles/icon_biggrin.gif">

par **ImoThep** » 11 Nov 2003 23:07

ifconfig -a | grep PROMISC ne rend rien. par contre ds syslog, j'ai "device eth0 entered promiscuous mode" Mais je croyais que ce mode etait visible avec un ifconfig. M'enfin c po trop grave tout fonctionne <IMG SRC="images/smiles/icon_smile.gif"> mias c'etait juste pour ma curiosité <IMG SRC="images/smiles/icon_wink.gif"> merci

par **swapfiles** » 11 Nov 2003 23:16

ben oui lorsque tu fais ifconfig eth0 PROMISC il est visible par défaut ( je ne crois pas dire une betise) par contre c'est bizarre que le ifconfig -a | grep PROMISC ne te rende rien tu l'as bien tapé en majuscules après le grep???

par **tomtom** » 12 Nov 2003 10:21

Il me semble que tu n'as le mode promiscuous marqué dans ifconfig que si tu as monté ton interface dans ce mode au demarrage du réseau (eg, dans le script networking pour debian). Mais même quand elle n'est pas dans ce mode, des utilitaires (ethereal, tcpdump, snort...) savent utiliser la carte en promiscuous pour recuperer les paquets... Et c'est une bien meilleure solution, car ainsi quand tu coupes ton sniffer ou ton ids, tu economises de la cpu car ce n'est pas la peine de recuperer des paquets ip qui ne seront traités par personne <IMG SRC="images/smiles/icon_wink.gif"> t.

par **ImoThep** » 12 Nov 2003 10:40

ok, merci pour ton explication tomtom. <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif">

par **ImoThep** » 19 Nov 2003 15:06

Bonjour, Je relance ce sujet pour une autre question. Je suis etudiant et je fais des test sur les IDS et ds le cas present sur snort. j'ai testé les retour de scan avec et sans firewall (meme config que le premier post) (outils utilisés: superscan pour Windows,whcc-current sous Win ) Et je remarque que les log augmentent uniquement ds le cas ou le firewall est désactivé. 1- Je me demandait si le mode promiscuous, activé selon la demande (cf explication de tomtom au dessus), passe après le traitement iptable. 2- J'ai testé snort via IPCop avant de passer ss debian et le fait de bloquer les ping au niveau du firewall ne bloquait pas les log de snort (si je me souvient bien <IMG SRC="images/smiles/icon_wink.gif"> ) Avis aux IPCopiens: Est-ce que le mode promiscuous est actif dès le démarage de l'interface ou ce mode ce déclare sur demande de snort ? mouarf, je sais po trop si je suis clair, n'hésitez po a demander des infos.

par **tomtom** » 19 Nov 2003 16:38

Si une carte est en mode promiscuous, alors netfilter n'y fait rien, le scan se fait avant le moindre filtrage (et même avant le prerouting je pense, mais ça c'est à vérifier...). Par contre, dans le cas de la config de squid (ou de tethereal) avec une carte non proiscuous, là je pesne que le filtrage doit avoir lieu (le prerouting c'ets quasi sur, ,surement le filtrage de input...) Je ne sais pas si ça repond à ta question ? T.

par **tomtom** » 19 Nov 2003 17:00

OK, j'ai trouvé un truc interressant. Netfilter discard les paquets acquis en mode promiscuous par la carte avant même le premier Hook (qui conduit au prerouting), ce qui fait que ton nids ne verra pas grand chose..... <a href="http://archives.neohapsis.com/archives/sf/ids/2000-q3/0006.html" target="_blank">http://archives.neohapsis.com/archives/sf/ids/2000-q3/0006.html</a> un hack a été développé : <a href="http://www.fokus.gmd.de/research/cc/glone/employees/sebastian.zander/private/netfilter.html" target="_blank">http://www.fokus.gmd.de/research/cc/glone/employees/sebastian.zander/private/netfilter.html</a> Je ne l'ai pas testé, mais il devrait permettre de conserver les paquets acquis en promiscuous et ainsi de les detecter avec l'IDS. Par contre, il me semble que des sniffers (ex : ethereal) interceptent les paquets avant même le premier hook netfilter. Je cherche de la doc là dessus, je te tiens au courant. t.

par **ImoThep** » 19 Nov 2003 17:17

tomtom, voila ce que j'ai compris: j'ai essayer de comprendre avec --> <a href="http://christian.caleca.free.fr/netfilter/architecture.htm" target="_blank">http://christian.caleca.free.fr/netfilter/architecture.htm</a> Si la carte est déclaré en mode promiscuous ds le script networking cad que le mode est actif dès que l'interface est montée, qq soit le paquet arrivant sur l'interface, il sera "vu" par les outils (type snort ou sniffer). Par contre dans le cas où le mode promiscuous est activé a la demande (mon cas) le filtrage est effectué en amont, et seul les paquets arrivant au module NF_IP_LOCAL_IN (module 2 du schèma de l'adresse ci dessus) remontent une alerte dans snort. c'est qqch comme ca ?

par **tomtom** » 19 Nov 2003 17:21

Heu je ne suis même pas sur.... A mon avis, même si la carte est en promiscuous, les paquets qu'elle recupere sont degagés par la pile netfilter avant même d'arriver au premier hook, et donc tu ne les verras pas.... Le seul moyen, c'est que snort travaille grace à la libpcap avant le premier hook netfilter. Mais je ne suis pas sur de ceci... c'est pourquoi je cherche de la doc sur la libpcap avant de te repondre <IMG SRC="images/smiles/icon_smile.gif"> t.

par **tomtom** » 19 Nov 2003 17:44

OK, voila un test simple qui explique tout : sur mon linux (un knoppix) sans firewall : iptables -I INPUT -p tcp --dport 1515 -j DROP iptables -I INPUT -p tcp --dport 1515 -j LOG --log-prefix [COUCOU] (clair <IMG SRC="images/smiles/icon_smile.gif"> ) Je lance la capture avec tethereal, filtrage sur port 1515 Puis, d'un autre poste, je fais un simple # nc mon_ip 1515 voici ce qui arrive dans tethereal (summary) Packets cout : 1 Filtered packets count : 1 Marked packets count : 0 ... et dans le fichier /var/log/messages : Nov 19 16:33:36 MO4714 kernel: eth0: Setting promiscuous mode. Nov 19 16:33:36 MO4714 kernel: device eth0 entered promiscuous mode Nov 19 16:33:39 MO4714 kernel: [COUCOU]IN=eth0 OUT= MAC=00:c0:4f:56:8d:c1:00:04:dc:23:d2:05:08:00 SRC=192.208.11.168 DST=192.208.15.133 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=60464 DF PROTO=TCP SPT=1554 DPT=1515 WINDOW=65535 RES=0x00 SYN URGP=0 C'est clair : ethereal passe la carte en promiscuous. Les paquets ne sont pas filtrés par netfilter car ils sont en promiscous. Ethereal peut donc les traiter. Il sont tout de mêem dropes et logués par netfilter, mais apres.... Je ne sais pas si snort fonctionne pareil mais à mon avis oui. t.

par **ImoThep** » 19 Nov 2003 23:23

par **ImoThep** » 22 Nov 2003 23:00

Bon je crois que j'ai posté un peu rapidement la dernière fois et en fait, j'avais po tout compris. J'ai d'ailleur essayé de supprimer mon post ms g po réussi. <IMG SRC="images/smiles/icon_rolleyes.gif"> Je vais essayer de patcher iptable avec le hack du second lien et je te tiens au courant. (D'ici une petite semaine, je vais po pouvoir le faire avant) Encore merci pour tes explication tomtom <IMG SRC="images/smiles/icon_up.gif">

Promiscuous sur eth0

Qui est en ligne ?