Surveillance des flux de données et des ports - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 04-02-2008 à 12:55:50
J'ai fait un test en machine virtuelle, je suis connecté à mon réseau. J'arrive à voir la quantité de données qui transite entre mon poste et les autres, mais je n'arrive pas à avoir d'informations sur les autres postes de mon réseau...
Que faut-il faire ?
Merci.
Marsh Posté le 04-02-2008 à 13:55:13
Bonjour,
il existe des tas de solutions dont:
- Serveur proxy SQUID avec cache et avec log + accès par mot de passe
- nmap est un outil qui permet de voir quels sont les ports ouverts sur la machine w.x.y.z.
- Un ethereal qui tourne en tâche de fond sur une machine virtuelle (suicidaire mais bon) et qui ne fait rien d'autre que publier des logs parmi des filtres
Marsh Posté le 04-02-2008 à 15:08:00
Merci beaucoup pour ta réponse !
Je crois que je vais opter pour un serveur SQUID et installer l'outil NMAP dessus. Je vais les tester en machine virtuelle.
Par ailleurs, le serveur proxy, suis-je obligé de l'installer juste derrière le routeur ADSL ? (entre le routeur et les switches) Faut-il configurer chacun des clients ? (qui sont tous en IP Fixe).
Merci.
Marsh Posté le 04-02-2008 à 15:22:03
tu sais pas ce qu'est un proxy, alors dit pas que c'est ce qeu tu veux.
Ce que tu veux, c'est ntop sur la machine qui fait office de routeur ...
Marsh Posté le 04-02-2008 à 15:34:14
Me prends pas pour un neuneu non plus hein ...
Mon routeur ADSL est un Cisco. Ce n'est pas un simple PC avec une carte d'accès distant.
Le proxy va me permettre d'instaurer un système de logs de consultation des pages WEB. Le proxy ne me servira probablement pas de cache.
Ce que je veux savoir, c'est qui se connecte à quel site, et je pense qu'un serveur proxy sait faire ça ...
Je suis quasiment obligé de mettre un PC derrière le routeur-modem ADSL Cisco si je souhaite avoir des logs précis.
J'ai essayé NTOP sur une machine virtuelle. Ca marche très bien mais uniquement sur l'interface de mon PC. Il n'y pas d'autres interfaces. J'ai ptet pas suffisament chercher, mais si tu m'aidais un peu plutôt que me dire ce que je veux.
Je sais quand même ce que je veux, c'est pas toi qui va me le dire... Allez, sans rancune
Marsh Posté le 04-02-2008 à 15:49:53
Salut,
Il te faut effectivement un proxy pour logguer les pages visitées par des utilisateurs. Cependant, pourquoi tu parles de mettre un PC derrière le routeur-modem ADSL ? Il suffit de donner une IP fixe à ton proxy et de faire pointer les browser web de tes machines vers ce proxy.
En parallèle, ferme les flux sortants directs sur ton routeur (via ACL par exemple si tu n'as pas de Firewall dédié).
Lors de la mise en place de ton proxy, n'oublie pas de prévenir tes utilisateurs de sa mise en place via l'adoption d'une charte Internet.
Marsh Posté le 04-02-2008 à 16:14:13
Eh bien, je ne contrôle pas ce que les utilisateurs font. Il y a des astuces pour contourner le proxy. Il suffit d'enlever les paramètres proxy du navigateur non ? Par ailleurs, si un utilisateur vient à installer un autre navigateur... le problème est le même.
Merci pour ton post !
Marsh Posté le 04-02-2008 à 16:55:43
Bien justement, si tu filtres le traffic en sortie au niveau d'un firewall par exemple tu peux interdire tout le traffic HTTP(S) & Cie en direct. Comme cela, même si ton utilisateur décide de ne plus passer par le proxy, il sera bloqué en sortie et ne pourra pas surfer.
Marsh Posté le 04-02-2008 à 19:39:24
Si c'est que pour le traffic web uniquement, alors oui, le proxy est la solution.
Tu forces tes utilisateurs a utiliser le proxy en limitant l'acces au net a cette seule et unique machine.
Si c'est pour tous les traffics, alors je maintiens ntop.
Une linuxbox pas trop puissante, avec 2 nic, que tu mets entre ton lan et ton routeur ...
Marsh Posté le 05-02-2008 à 09:21:25
Je vais me renseigner pour le firewall. Je ne sais pas si il y en a un. Si il y en a pas, dois-je en installer un ? Sur quelle machine ? C'est encore un peu flou pour moi ...
Merci pour votre aide.
Sinon, trictrac, pour ntop, je l'ai essayé hier sur une machive virtuelle sur le réseau. Il ne voyait que l'interface de la machine qui faisait tourner ntop. Y a-t-il une configuration particulière à faire pour gérer les autres interfaces ? Ou faut-il placer la machine avec ntop à la base du réseau (c'est à dire entre les switchs et le routeur ADSL) ?
Marsh Posté le 07-02-2008 à 18:47:18
essaye sans machine virtuelle...
Ntop quand je l'avais testé, je n'avais eu aucun soucis de config. Ca marchait direct.
Pour ton info, lis ces posts::
http://forum.hardware.fr/hfr/syste [...] 2532_1.htm
http://forums.ixus.fr/viewtopic.php?t=38995
Marsh Posté le 08-02-2008 à 12:06:22
Bonjour a tous , je suis moi meme en train de monter une machine avec NTOP !
C'est un logiciel assez puissant, je te le conseille vivement, j'ai du mettre 1h ou 2 à tout configurer comme je le voulais et à comprendre le fonctionnement.
Ntop est un sniffer passif, il va te scanner les paquets qui entrent et sortent de l'interface de ton pc sur lequel tu as installé ntop.
Etant donné que ntop est passif, plusieurs solution s'offre a toi ensuite.
-Soit tu configures ta machine en bridge avec 2 cartes réseaux, en la plaçant juste avant le routeur, afin de voir tout le trafic.
-Soit tu as un switch (backbone) qui peut faire du port monitoring (port miroir), ca te permettra de dupliquer le trafic qui sort vers internet ou qui en viens, et tu le renvois sur le port sur lequel est branché ta machine
voila, si tu as besoin d'information pour la configuration à mettre en place ensuite, n'hésite pas a me mp !
Marsh Posté le 11-02-2008 à 09:31:40
Je pourrais te conseiller deux puissants firewall; Endian (gratuit) et untangle http://www.untangle.com/index.php? [...] Itemid=150 ! Ces deux te permettrons facilement de surveiller tout le trafique entrant & sortant (avec des adresses IP fixes, etc) ! Ils s'installent facilement sur des boitiers (micro PC) ou des machines moyen de gammes ! Les deux ont des services comme; IDS, antispam, antivirus (untangle possède deux antivirus), antihacker (snort), proxy, etc.
Marsh Posté le 04-02-2008 à 10:36:23
Bonjour à tous,
Je souhaiterais mettre en place des outils de surveillance de mon réseau. Celui-ci compte une petite centaine de machines et j'ai constaté depuis plusieurs semaines que la bande passante était largement utilisée pour du streaming par exemple. Je ne sais cependant pas quels postes utilisent telle bande passante. J'ai eu l'idée de mettre en place un serveur proxy (sous linux de préférence) derrière le routeur ADSL. Je souhaite ainsi consulter des informations qui m'informe de ce que font les utilisateurs.
Par ailleurs, je souhaite connaître sur les postes clients, les ports qui sont ouverts qui ne sont pas utilisés, mais qui pourraient l'être si un acte malveillant est commis.
Avez-vous des idées à me donner pour les fonctionnalités que je souhaite mettre en place ?
J'ai trouvé SQUID, je ne l'ai pas encore testé, je ne sais donc pas si il est capable d'accomplir les tâches voulues.
Dernièrement, je ne sais pas du tout quelle machine il faut pour faire tourner le serveur proxy correctement. Je ne veux pas qu'il ralentisse davantage mon réseau.
Ce serveur pourra être par ailleurs surveillé par un serveur de supervision (sur une autre machine) pour surveillé la charge du proxy.
Merci de votre aide !