Bonjour,
 
Je cherche à monter une passerelle transparente permettant de récupérer l'ensemble des paquets circulant sur un réseau.
Cette passerelle est une machine sous debian contenant 2 interfaces réseaux.
 
Mes première recherches me mènent vers différentes solutions :
- Installer un proxy en mode transparent afin qu'il fasse circuler les paquets par lui même pour enfin pouvoir les récupérer.
- Paramétrer iptables afin qu'il fasse passer tout le trafic d'une interface réseau à l'autre et Ulog pour journaliser les paquets ayant circulé.
 
Est-ce que cela vous semble correct ? Quelle solution conseilleriez-vous?
 
merci d'avance.
 
Aulm

un switch avec du mirroring ?
un équipement en coupure qui snoop/analyse le trafic discrètement ?

Quelle est l'utilisation/besoin finale ?

 
Oui c'est ça. Un switch en mode bridge qui se place sous le routeur pour recueillir l'ensemble des paquets qui circulent pour une analyse discrète.
 
Le but est ensuite de traiter toutes ces requêtes et de pouvoir mettre en place des règles de sécurité (blocage par URL, blocage par ports, message à l'utilisateur pour l'avertir d'un usage illégale,...).
 

Si tu mets une machine en coupure, tu prends un risque
 
Si tu peux, prends un tap, c'est fait pour ça (perso je préfère ça à du port-mirroring qui est susceptible de perdre des paquets)

Quel risque ? C'est le concept fondamental d'un firewall d'être en coupure.
Ce qu'il veut faire c'est la première étape d'une mise en place de firewall : analyse des flux existants.

Après le port mirroring, effectivement, c'est pas la panacée et plutôt orientée débuggage qu'analyse précise (surcharge du switch, limitation, etc...)

Je réitère la question, quel risque?
 
Je comprend bien que si la machine tombe , le réseau tombe, mais c'est pas un problème.
 
Qu'est ce qu'un tap ?
 
Pour rappel, j'ai peur qu'on se mélange, le boitier est une machine debian et pas un switch (cisco ou autres).
 
Je pense que la première étape est de faire passer les requêtes de eth0 à eth1 sans perdre le net, dhcp ,...
 
iptables est vraisemblablement la meilleur solution non?

iptables est l'outils qui commande le firewall. Il ne doit pas intervenir dans cette étape, uniquement pour mettre en place des règles de logs. Typiquement, tu vas enregistré le premier paquet de toute nouvelle connexion TCP ou flux UDP afin d'avoir une vue de tes flux.
 
Je pense que tu devrais peut être pas le mettre en mode transparent, ça complexifie la conf en particulier si il a pour but de rester en place et de filtrer à terme. Plutôt, tu devrais :
>> le configurer en routeur
   - activer le routage
   - mettre toute les politiques du firewall à ACCEPT afin de rien filtrer.
   - modifier l'adressage de ton réseau (en particulier du routeur existant)
   LAN ---- FW ---- routeur internet
 
. l'espace LAN tu gardes le même adressage
. sur la patte LAN du FW tu prends l'adresse du routeur internet
. tu définis un nouveau réseau entre FW et le routeur
. tu rajoutes une route sur le routeur pour joindre le LAN
. si adressage DHCP, tu configures un serveur DHCP sur le FW (simple et rapide sous n'importe quel linux).
 
>> une fois que cela fonctionne, tu mets en place tes règles de log comme précisé au dessus :
. tu acceptes tout
. tu mets en place le stateful
. tu log les premiers paquets de toutes les connexions
 
>> tu définis ta politique de filtrage et tu l'implémentes.

D'ac, je vais réfléchir à ça .
 
Merci en tous cas

Pas besoin de faire du routage pour faire un pont filtrant.
 
Cherche "Linux ethernet bridge" sur Google, et regarde du côté de la commande brctl pour mettre en place un bridge entre tes 2 interfaces.

 
J'allais venir présenter la solution au cas ou. J'ai finalement fait comme ça : un bridge ethernet avec brctl.
 
Merci pour vos réponses !

Pour le tap, "Dieu" Korben est à la rescousse : un network tap maison pour moins de 10€* (avec Wireshark pour le logiciel) (* hors coût de la machine qui inspectera le réseau)