Je realise une analyse reseau, et utilise 2 outils de monitoring : Ntop et
Ethereal
J´ai configuré le port mirroring sur le switch de sorte a copier le traffic
circulant par le port du mail server
Voila le dispositif ( les liens de la monitoring station sont provisoires,
le temps de l´analyse)
exchange server
|
|
Swicth ------------------ Monitoring station
| |
| |
Firewall ----------------------Switch ----------- Mail server
DMZ ------------- internet
Y a un truc que je comprends pas, par rapport au fonctionnement des outils.
Ntop : il m´indique que la moitié du traffic, soit 50Mo, se fait entre le
Mail server et le Firewall. Par contre a aucun moment de l´analyse
n´apparait l´exchange server.
Ethereal : chaque fois que le Mail server contacte le reseau interne, il
utilise l´adresse de Exchange server.
Par contre je n´ai pas reussi a capturer une seule trame contenant l´adresse
du firewall ( pourtant avec 50Mo,je devrais bien en voir passer qques un
!!!! )
Ces 2 outils analysent bien le meme traffic ?!!!!. Comment est ce possible
que l´un voit des paquets transiter avec l´adresse du firewall et l´autre
avec l´adresse de l´exchange server. J´ai bien eu qques problemes au niveau
de l ínterpretation des reultats avec Ntop mais jamais a ce point la. ( Ntop
considere toujours les ports inferieurs a 1024 comme client)
Indice (a prendre avec precaution : je suis en allemagne, ca parle anglais,
et le responsable n´est pas un expert )
Le responsable du reseau m´a dit qu´il y avait une translation d´adresse au
niveau du firewall mais qu´il ne comprends pas les resultats de l´analyse,
je m´en retourne donc a vous tous pour m´aider a comprendre.
J´espere etre clair. Peut etre ai je fourni aussi des explications
superflues, je m´en excuse, c mon premier post.
Merci
Cedric
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"Chris" wrote in message news:3f39edd1$0$16563$
Y a un truc que je comprends pas, par rapport au fonctionnement des outils. Ntop : il m´indique que la moitié du traffic, soit 50Mo, se fait entre le Mail server et le Firewall. Par contre a aucun moment de l´analyse n´apparait l´exchange server.
Il doit s'agir des adresses de couche 2.
Ethereal : chaque fois que le Mail server contacte le reseau interne, il utilise l´adresse de Exchange server. Par contre je n´ai pas reussi a capturer une seule trame contenant l´adresse du firewall ( pourtant avec 50Mo,je devrais bien en voir passer qques un !!!! )
Et là des adresses de couche 3.
Ces 2 outils analysent bien le meme traffic ?!!!!. Comment est ce possible que l´un voit des paquets transiter avec l´adresse du firewall et l´autre avec l´adresse de l´exchange server.
C'est l'adresse du firewall qui est dans les trames en destination pour la couche 2, et celle du serveur pour la couche 3.
Indice (a prendre avec precaution : je suis en allemagne, ca parle anglais, et le responsable n´est pas un expert ) Le responsable du reseau m´a dit qu´il y avait une translation d´adresse au niveau du firewall mais qu´il ne comprends pas les resultats de l´analyse, je m´en retourne donc a vous tous pour m´aider a comprendre.
Ce n'est vraiment qu'une supposition, il faudrait voir la doc de ces deux produits pour voir sur quels critères se font la classification des échanges.
J´espere etre clair. Peut etre ai je fourni aussi des explications superflues, je m´en excuse, c mon premier post.
Non, au contraire, plus il y en a, mieux c'est.
Tu peux lire cela sur le routage qui pourra peut être t'aider à en avoir une meilleure vision: <http://www.lalitte.com/routage>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Chris" <c.tschopp@caramail.com> wrote in message
news:3f39edd1$0$16563$626a54ce@news.free.fr
Y a un truc que je comprends pas, par rapport au fonctionnement des outils.
Ntop : il m´indique que la moitié du traffic, soit 50Mo, se fait entre le
Mail server et le Firewall. Par contre a aucun moment de l´analyse
n´apparait l´exchange server.
Il doit s'agir des adresses de couche 2.
Ethereal : chaque fois que le Mail server contacte le reseau interne, il
utilise l´adresse de Exchange server.
Par contre je n´ai pas reussi a capturer une seule trame contenant l´adresse
du firewall ( pourtant avec 50Mo,je devrais bien en voir passer qques un
!!!! )
Et là des adresses de couche 3.
Ces 2 outils analysent bien le meme traffic ?!!!!. Comment est ce possible
que l´un voit des paquets transiter avec l´adresse du firewall et l´autre
avec l´adresse de l´exchange server.
C'est l'adresse du firewall qui est dans les trames en destination pour
la couche 2, et celle du serveur pour la couche 3.
Indice (a prendre avec precaution : je suis en allemagne, ca parle anglais,
et le responsable n´est pas un expert )
Le responsable du reseau m´a dit qu´il y avait une translation d´adresse au
niveau du firewall mais qu´il ne comprends pas les resultats de l´analyse,
je m´en retourne donc a vous tous pour m´aider a comprendre.
Ce n'est vraiment qu'une supposition, il faudrait voir la doc de ces
deux produits pour voir sur quels critères se font la classification
des échanges.
J´espere etre clair. Peut etre ai je fourni aussi des explications
superflues, je m´en excuse, c mon premier post.
Non, au contraire, plus il y en a, mieux c'est.
Tu peux lire cela sur le routage qui pourra peut être t'aider à en
avoir une meilleure vision:
<http://www.lalitte.com/routage>
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Y a un truc que je comprends pas, par rapport au fonctionnement des outils. Ntop : il m´indique que la moitié du traffic, soit 50Mo, se fait entre le Mail server et le Firewall. Par contre a aucun moment de l´analyse n´apparait l´exchange server.
Il doit s'agir des adresses de couche 2.
Ethereal : chaque fois que le Mail server contacte le reseau interne, il utilise l´adresse de Exchange server. Par contre je n´ai pas reussi a capturer une seule trame contenant l´adresse du firewall ( pourtant avec 50Mo,je devrais bien en voir passer qques un !!!! )
Et là des adresses de couche 3.
Ces 2 outils analysent bien le meme traffic ?!!!!. Comment est ce possible que l´un voit des paquets transiter avec l´adresse du firewall et l´autre avec l´adresse de l´exchange server.
C'est l'adresse du firewall qui est dans les trames en destination pour la couche 2, et celle du serveur pour la couche 3.
Indice (a prendre avec precaution : je suis en allemagne, ca parle anglais, et le responsable n´est pas un expert ) Le responsable du reseau m´a dit qu´il y avait une translation d´adresse au niveau du firewall mais qu´il ne comprends pas les resultats de l´analyse, je m´en retourne donc a vous tous pour m´aider a comprendre.
Ce n'est vraiment qu'une supposition, il faudrait voir la doc de ces deux produits pour voir sur quels critères se font la classification des échanges.
J´espere etre clair. Peut etre ai je fourni aussi des explications superflues, je m´en excuse, c mon premier post.
Non, au contraire, plus il y en a, mieux c'est.
Tu peux lire cela sur le routage qui pourra peut être t'aider à en avoir une meilleure vision: <http://www.lalitte.com/routage>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG