Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Matériel Réseaux et Internet IP

port mirrroring sous linux

Le
jean lavenant
Bonjour,

J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.

Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.

Si qqn a une idée ?

Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?

Merci

Jean LAVENANT
Lire les 4 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
T0t0
Le #83177
"jean lavenant" news:bs9920$i7c$
J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.


Le port mirroring se fait au niveau du switch, pas du firewall.

Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.


Je ne vois pas bien, mais à vue de nez, ca ne me semble pas canon de
faire passer des informations de réseaux(VLANs) différents par un même
port si tu ne tag pas avec 802.1q par exemple...

Si qqn a une idée ?


Il faudrait regarder la doc du switch. Ou changer de switch :-)

Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?


A priori, le store&forward du switch permet de s'affranchir des
problèmes de charge, à moins que tes liens soient chargés comme des
bourrins.





--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Répondre en citant
jean lavenant
Le #83175
T0t0 wrote:

Le port mirroring se fait au niveau du switch, pas du firewall.


Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.

Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont
juste des routeurs.
Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports
me semble suffisante, vu que je fais juste du sniffing de trame !!

Répondre en citant
T0t0
Le #83174
"jean lavenant" news:bs9kh9$ocr$
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.

Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont
juste des routeurs.
Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports
me semble suffisante, vu que je fais juste du sniffing de trame !!


Heu, j'ai bien peur de ne pas avoir compris ce que vous voulez mettre
en place. Peut être pourriez vous nous expliquer ce que vous souhaitez
faire pour que j'y vois plus clair :-)






--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Répondre en citant
Tensibai
Le #82434
Bonjour,

J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.



Si j'ai bien compris tu veux récupérer les trames des 4 cartes sur une
autre..
Si c'est ça tu dois pouvoir t'en sortir avec un mappage des cartes sur une
carte virtuelle (aliasing)

Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.



Je comprends pas ton idée de redirection quand m^m

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme