Sniffage et Switch ??

par **zac789** » 24 Avr 2005 17:43

Bonjour à tous, et merci pour votre site.
Ma question pourra paraitre simple à certain mais j'ai un probléme avec des constantes que je ne peux pas modifier, seulement AJOUTER des éléments. voici la situation : j'ai un modem ADSL (freebox) + un switch FW. Ces deux éléments doivent rester en l'état. De veux sniffer tout mon réseau MAIS, évidement, je n'ai pas de port répliquateur sur le switch. Alors comment faire? MERCI BEAUCOUP

par **Zeno** » 24 Avr 2005 18:44

Tu veux sniffer le traffic ?

par **HaM** » 24 Avr 2005 19:28

Tu colles un hub entre la FreeBox et le switch et tu sniff ce qui passe par le hub.
Par contre tu ne veras que le traffic Internet pas entre les postes en local.

par **krisnalada** » 24 Avr 2005 20:58

ouai le coup du hub c du bon ca ^_^
ou alors tu colles un poste avec un distrib linux et 2 cartes réseaux entre ton modem et ton switch, tu la mets en forward all comme ca elle fait tout suivre mais tu peux recup le traffic.
Sinon tu peux aussi faire de l'arp spoofing pour faire croire à toutes les machines que c'est toi le routeur et ensuite tu forwards toutes les frames au modem/routeur.
Dans tous les cas, ca sera toujours pour le traffic Internet, pour le traffic de poste à poste ben c'est mort.

par **zac789** » 24 Avr 2005 22:30

merci mille fois à tous.
j'avais eu l'idée du hub entre le switch et le modem, mais probléme, kelle adresse donner à cette machine ? L'ARP spoofing c'est pas mal aussi, mais cela ne désactive til pas mon routeur / FW ? merci à tous !!

par **krisnalada** » 24 Avr 2005 23:07

peut importe, c une machine du réseau donc une adresse ip du sous réseau ca ira bien.
Pour l'arp spoofing, ca le désactive pas, du moins pas pour longtemps, juste le temps de faire comprendre à tout le monde qui est qui ^_^

par **zac789** » 24 Avr 2005 23:34

Merci, effectivement, mon premier test avait fait sauté mon modem free (je pense que j'avais laissé le DHCP). Mais maintenant ca marche super !! merci encore. Continuons alors (quand on a à faire à un érudit, on en profite ;-)

) : Je cherche à créer une rules et déclancher une alert mail sur le sniff, ya til plus simple que SNORT ? (et ses regles difficiles) ?

par **HaM** » 24 Avr 2005 23:36

Sous Linux tu peut faire ça avec un petit peu de programmation en Python (mon langage preferé) et Scapy pour sniffer et envoyer un mail suivant le resultat du sniff.

par **zac789** » 24 Avr 2005 23:44

Génial! je jette un oeil tout de suite sur le Python...j'éspére que cela ne sera pas trop hard à implémenter. De toute façon, la solution LINUX correspond plus à ma situation car la machine d'analyse doit être peu puissante... et je ne pense pas que cela soit possible sous Win. Merci donc pour toutes ces idées et votre temps !! ZAC

par **krisnalada** » 25 Avr 2005 11:40

Tout à fait d'accord avec HaM si tu veux pas un truc compliqué programmes le.
Voici quelques "sniffers"
Tcpdump, Hunt, Linux-sniff; Sniffit, Ethereal, Karpski, Gnusniff, Dsniff et bien sur Snort.
Dans tous les cas, tu définis tes régles et ensuite tu peux te faire un p'tit programme en ce que tu veux qui t'envoie un email pour te prévenir.

par **zac789** » 25 Avr 2005 14:54

Merci à vous tous. je suis en plein test et espére surtout parvenir à programmer l'alerte MAIL.... je vous tiens au courant....et relance un nouveau sujet : J'ai entendu parlé d'une version LINUX pour routeur CISCO. - Lien - Qu'en savez-vous ? - existe il d'autre boitiers du genre miniboite, qui aurait la possibilité de recevoir un LINUX en flashant une ROM (mis à part, bien sur les boitiers MINIPC LINUX) ?? MERCI ENCORE - ZAC -

par **tomtom** » 25 Avr 2005 14:55

J'utilise un wrt54g avec openwrt ca marche super bien

Sinon, vu le prix d'un cisco, je laisse l'IOS dessus :lol:

t.

par **krisnalada** » 25 Avr 2005 18:57

C'est clair, tomtom a raison je vois pas du tout l'interet de mettre un linux à la place de l'ISO cisco ... vu le prix que tu payes le routeur c'est p'être bien pour quelque chose. Que tu mettes linux sur tes vieux pcs pour les recycler en routeur ca c'est normal mais bon sur du cisco ...

par **zac789** » 25 Avr 2005 20:26

Vous avez raison, sauf qu'on peut maintenant trouver des vieux routeurs d'occaz vers 100 / 120 €...et comme je cherche aussi tout type de boitier linux, peu encombrant et "genre" boite, sans bruit... j'ai pensé à ça, mais suis toujours à l'écoute pour des idées...

par **tomtom** » 26 Avr 2005 09:49

zac789 a écrit: peu encombrant et "genre" boite, sans bruit...

On n'a pas du bosser avec les mêmes cisco :lol:

Franchement, le wrt54gs est à 72 Euros rue montgallet, c'est nettement plus silencieux et moins encombrant qu'un 2500.. Et pis c'est neuf à ce prox là !

Il existe pas mal de boites qui vont bien our des linux, mieux que des routeurs !

t.

Sniffage et Switch ??

Sniffage et Switch ??

Qui est en ligne ?