J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.
Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.
Si qqn a une idée ?
Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"jean lavenant" wrote in message news:bs9920$i7c$
J'ai un firewall linux avec 4 interface réseau. Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder une trace des attaquants.
Le port mirroring se fait au niveau du switch, pas du firewall.
Je pense à un truc du style arpspoof des 4 ports, mais en redirection sur eth5 de façon transparente.
Je ne vois pas bien, mais à vue de nez, ca ne me semble pas canon de faire passer des informations de réseaux(VLANs) différents par un même port si tu ne tag pas avec 802.1q par exemple...
Si qqn a une idée ?
Il faudrait regarder la doc du switch. Ou changer de switch :-)
Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?
A priori, le store&forward du switch permet de s'affranchir des problèmes de charge, à moins que tes liens soient chargés comme des bourrins.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"jean lavenant" <jean.lavenant@equipement.gouv.fr> wrote in message
news:bs9920$i7c$1@setranews.setra.fr
J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.
Le port mirroring se fait au niveau du switch, pas du firewall.
Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.
Je ne vois pas bien, mais à vue de nez, ca ne me semble pas canon de
faire passer des informations de réseaux(VLANs) différents par un même
port si tu ne tag pas avec 802.1q par exemple...
Si qqn a une idée ?
Il faudrait regarder la doc du switch. Ou changer de switch :-)
Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?
A priori, le store&forward du switch permet de s'affranchir des
problèmes de charge, à moins que tes liens soient chargés comme des
bourrins.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
J'ai un firewall linux avec 4 interface réseau. Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder une trace des attaquants.
Le port mirroring se fait au niveau du switch, pas du firewall.
Je pense à un truc du style arpspoof des 4 ports, mais en redirection sur eth5 de façon transparente.
Je ne vois pas bien, mais à vue de nez, ca ne me semble pas canon de faire passer des informations de réseaux(VLANs) différents par un même port si tu ne tag pas avec 802.1q par exemple...
Si qqn a une idée ?
Il faudrait regarder la doc du switch. Ou changer de switch :-)
Et si qqn a déja testé en terme de charge, ou de problèmes potentiels ?
A priori, le store&forward du switch permet de s'affranchir des problèmes de charge, à moins que tes liens soient chargés comme des bourrins.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
jean lavenant
T0t0 wrote:
Le port mirroring se fait au niveau du switch, pas du firewall.
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont juste des routeurs. Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports me semble suffisante, vu que je fais juste du sniffing de trame !!
T0t0 wrote:
Le port mirroring se fait au niveau du switch, pas du firewall.
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont
juste des routeurs.
Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports
me semble suffisante, vu que je fais juste du sniffing de trame !!
Le port mirroring se fait au niveau du switch, pas du firewall.
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont juste des routeurs. Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports me semble suffisante, vu que je fais juste du sniffing de trame !!
T0t0
"jean lavenant" wrote in message news:bs9kh9$ocr$
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont juste des routeurs. Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports me semble suffisante, vu que je fais juste du sniffing de trame !!
Heu, j'ai bien peur de ne pas avoir compris ce que vous voulez mettre en place. Peut être pourriez vous nous expliquer ce que vous souhaitez faire pour que j'y vois plus clair :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"jean lavenant" <jean.lavenant@equipement.gouv.fr> wrote in message
news:bs9kh9$ocr$1@setranews.setra.fr
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont
juste des routeurs.
Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports
me semble suffisante, vu que je fais juste du sniffing de trame !!
Heu, j'ai bien peur de ne pas avoir compris ce que vous voulez mettre
en place. Peut être pourriez vous nous expliquer ce que vous souhaitez
faire pour que j'y vois plus clair :-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Bien sur, j'utilise deja un NIDS sur ma DMZ avec un switch.
Et justement, je ne veux pas rajouter 3 switches, puisque mes liens sont juste des routeurs. Une seule carte réseau Gigabit, récupérant les trames des 3 autres ports me semble suffisante, vu que je fais juste du sniffing de trame !!
Heu, j'ai bien peur de ne pas avoir compris ce que vous voulez mettre en place. Peut être pourriez vous nous expliquer ce que vous souhaitez faire pour que j'y vois plus clair :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Tensibai
Bonjour,
J'ai un firewall linux avec 4 interface réseau. Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder une trace des attaquants.
Si j'ai bien compris tu veux récupérer les trames des 4 cartes sur une autre.. Si c'est ça tu dois pouvoir t'en sortir avec un mappage des cartes sur une carte virtuelle (aliasing)
Je pense à un truc du style arpspoof des 4 ports, mais en redirection sur eth5 de façon transparente.
Je comprends pas ton idée de redirection quand m^m
Bonjour,
J'ai un firewall linux avec 4 interface réseau.
Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher
un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour
mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder
une trace des attaquants.
Si j'ai bien compris tu veux récupérer les trames des 4 cartes sur une
autre..
Si c'est ça tu dois pouvoir t'en sortir avec un mappage des cartes sur une
carte virtuelle (aliasing)
Je pense à un truc du style arpspoof des 4 ports, mais en redirection
sur eth5 de façon transparente.
Je comprends pas ton idée de redirection quand m^m
J'ai un firewall linux avec 4 interface réseau. Je cherche à faire du port mirroring sur 4 de ces ports, pour brancher un NIDS dessus afin de pouvoir contrôler les intrusions mais aussi pour mesurer l'efficacite des règles vis-à-vis de ces intrusions, et garder une trace des attaquants.
Si j'ai bien compris tu veux récupérer les trames des 4 cartes sur une autre.. Si c'est ça tu dois pouvoir t'en sortir avec un mappage des cartes sur une carte virtuelle (aliasing)
Je pense à un truc du style arpspoof des 4 ports, mais en redirection sur eth5 de façon transparente.
Je comprends pas ton idée de redirection quand m^m
