Bonjour,
Pourquoi le champs Mac Adress n'est-il pas remplis dans le log file du Firewall?
Merci
Firewall log file et Mac adresse
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
Firewall log file et Mac adresse
par olivier.baltus » 24 Juil 2005 22:21
- olivier.baltus
- Matelot
- Messages: 10
- Inscrit le: 15 Août 2004 10:24
par jdh » 24 Juil 2005 22:44
Je ne connais pas IPCOP. Je ne connais donc pas le log de firewall.
Mais je réponds autour d'une réflexion sur les MAC adresses.
Une MAC adresse n'a d'intéret que sur le réseau local.
En effet dès qu'on franchit un routeur, la MAC adresse source (ou destination) est remplacé par celle du routeur.
Dans un paquet IP, il y a les adresses IP source et destination et aussi avant les adresses MAC sources et destination. Or, lors de la résolution ARP, nécessaire pour connaitre comment joindre l'adresse IP, le routeur qui sait accéder à l'adresse IP destination demandée indique sa propre adresse MAC en retour à la requete ARP. Ce qui permet à l'émetteur de contruire la totalité du paquet avec chaque élément nécessaire : les MAC adresses et IP adresses.
En définitive seule les IP ont donc de l'intéret à priori dans un log. D'où ...
Le seul outil s'intéressant réellement aux adresses MAC est DHCP, bien sur (hors ARP bien évidemment). Il permet, bien sur, de fournir des adresses IP selon ou non les adresses MAC, et faire ainsi un pseudo réseau statique en laissant les PC en client DHCP. L'adressage statique est cependant conseillé pour les routeurs et serveurs.
A noter cependant, l'intéret de "ARP spoofing" dans un réseau local qui permet de tromper les switchs pour les amener à fonctionner un peu comme un hub. Et, par là, écouter un traffic voire intervenir à l'intérieur de celui-ci : attaque dite "man in the middle". Un (ensemble d')outil connu pour cela : dsniff.
Il y a dans le domaine linux 2 logiciels (plus sérieux) qui peuvent avoir aussi de l'intéret concernant les MAC adresses : arpwatch et arpsnmp. Le premier permet de contruire une table des MAC adresses (avec IP correspondantes) circulant dans un réseau local (y compris en réseau switché). Le second permet d'interroger un routeur pour connaitre sa table ARP et donc connaître les adresses MAC du réseau distant.
Si tu veux traquer les adresses MAC inconnues, arpwatch s'impose donc.
En ce qui me concerne, je recommande dans un soft de gestion de parc de noter l'adresse MAC de chaque PC, serveur, imprimante, élément actif. Car l'utilisateur "moyen" n'est pas capable de la changer en général (et en caporal !). On ne sait jamais ... pour le jour où on veut se prendre pour Big Brother ...
Je ne réponds pas exactement à ta question mais ...
Mais je réponds autour d'une réflexion sur les MAC adresses.
Une MAC adresse n'a d'intéret que sur le réseau local.
En effet dès qu'on franchit un routeur, la MAC adresse source (ou destination) est remplacé par celle du routeur.
Dans un paquet IP, il y a les adresses IP source et destination et aussi avant les adresses MAC sources et destination. Or, lors de la résolution ARP, nécessaire pour connaitre comment joindre l'adresse IP, le routeur qui sait accéder à l'adresse IP destination demandée indique sa propre adresse MAC en retour à la requete ARP. Ce qui permet à l'émetteur de contruire la totalité du paquet avec chaque élément nécessaire : les MAC adresses et IP adresses.
En définitive seule les IP ont donc de l'intéret à priori dans un log. D'où ...
Le seul outil s'intéressant réellement aux adresses MAC est DHCP, bien sur (hors ARP bien évidemment). Il permet, bien sur, de fournir des adresses IP selon ou non les adresses MAC, et faire ainsi un pseudo réseau statique en laissant les PC en client DHCP. L'adressage statique est cependant conseillé pour les routeurs et serveurs.
A noter cependant, l'intéret de "ARP spoofing" dans un réseau local qui permet de tromper les switchs pour les amener à fonctionner un peu comme un hub. Et, par là, écouter un traffic voire intervenir à l'intérieur de celui-ci : attaque dite "man in the middle". Un (ensemble d')outil connu pour cela : dsniff.
Il y a dans le domaine linux 2 logiciels (plus sérieux) qui peuvent avoir aussi de l'intéret concernant les MAC adresses : arpwatch et arpsnmp. Le premier permet de contruire une table des MAC adresses (avec IP correspondantes) circulant dans un réseau local (y compris en réseau switché). Le second permet d'interroger un routeur pour connaitre sa table ARP et donc connaître les adresses MAC du réseau distant.
Si tu veux traquer les adresses MAC inconnues, arpwatch s'impose donc.
En ce qui me concerne, je recommande dans un soft de gestion de parc de noter l'adresse MAC de chaque PC, serveur, imprimante, élément actif. Car l'utilisateur "moyen" n'est pas capable de la changer en général (et en caporal !). On ne sait jamais ... pour le jour où on veut se prendre pour Big Brother ...
Je ne réponds pas exactement à ta question mais ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par olivier.baltus » 25 Juil 2005 09:21
Merci pour ta reponse. Mais justement, je voudrais localiser dans le logfile les tentatives d'instrusion sur mon reseau wifi.
- olivier.baltus
- Matelot
- Messages: 10
- Inscrit le: 15 Août 2004 10:24
4 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité