Bonjour à tous,
Je suis actuellement alternant et j'ai pour projet la détection d'intrus sur le réseau. Plus précisément, le projet est le suivant:
Dès qu'un port d'un switch est UP, il faut pouvoir le détecter et analyser la station qui vient de se connecter (à l'aide d'une information qui est réservée entreprise, par exemple dans la base de registre ?). Ainsi, si la station est légitime, elle peut accéder au réseau, sinon le port est administrativement (et automatiquement) fermé. Puis optionnellement, un rapport d'intrusion est envoyé à l'administrateur.
Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.
Je tente de réussir ce projet à l'aide d'un (ou plusieurs) script(s), en PHP, C, Perl ou Java.
C'est pour cela que je vous demande votre aide pour savoir si vous avez déjà écrit un tel script et quelques pistes pour arriver à son fonctionnement.
Je vous remercie,
détection d'intrusion sur réseau
6 message(s)
• Page 1 sur 1
détection d'intrusion sur réseau
par El_Cypriano » 04 Jan 2013 15:18
- El_Cypriano
- Message(s) : 2
- Inscription : 04 Jan 2013 15:08
Re: détection d'intrusion sur réseau
par sibsib » 04 Jan 2013 20:42
Bonjour,
Bref, tu veux faire du NAC, mais à l'envers
En général, le NAC (Network Access Control) met tous les ports non utilisés dans un VLAN de quarantaine sur lequel se trouve uniquement un serveur DHCP et un serveur d’authentification. Si un poste 'valide' se connecte, il s’authentifie sur le serveur d’authentification, qui va alors basculer le port du client dans le VLAN entreprise. J'ai très grossièrement simplifié, mais ceci est un processus que tu peux imiter à relativement peu de frais. Tu n'as même pas besoin d'un serveur de plus : un serveur existant, peut être configuré pour accéder à deux VLANS et avoir un service DHCP, un service d’authentification (là, ton imagination est reine) et bien sur de sévères règles iptables pour ne pas être attaqué par ce VLAN (ce serait dommage !)
Évidemment, je pars du principe que tu as des switches un peu intelligents qui supportent le changement de VLAN par exemple en SNMP. Si tu as du switch Cisco, ces switches peuvent même t'envoyer un trap chaque fois qu'une nouvelle adresse MAC apparait sur un port (En plus evidemment d'un trap chaque fois qu'un lien passe UP ou Down).
Ne pas oublier aussi qu'un poste dûment authentifié peut devenir un bridge pour d'autres, une fois que le port est ouvert. Donc, des règles qui n'autorisent qu'une MAC par port me semblent également un prérequis.
Il y a pleins d'autres paramètres à prendre en compte, mais voilà déjà le premier wagon
A+,
Pascal
Bref, tu veux faire du NAC, mais à l'envers
En général, le NAC (Network Access Control) met tous les ports non utilisés dans un VLAN de quarantaine sur lequel se trouve uniquement un serveur DHCP et un serveur d’authentification. Si un poste 'valide' se connecte, il s’authentifie sur le serveur d’authentification, qui va alors basculer le port du client dans le VLAN entreprise. J'ai très grossièrement simplifié, mais ceci est un processus que tu peux imiter à relativement peu de frais. Tu n'as même pas besoin d'un serveur de plus : un serveur existant, peut être configuré pour accéder à deux VLANS et avoir un service DHCP, un service d’authentification (là, ton imagination est reine) et bien sur de sévères règles iptables pour ne pas être attaqué par ce VLAN (ce serait dommage !)
Évidemment, je pars du principe que tu as des switches un peu intelligents qui supportent le changement de VLAN par exemple en SNMP. Si tu as du switch Cisco, ces switches peuvent même t'envoyer un trap chaque fois qu'une nouvelle adresse MAC apparait sur un port (En plus evidemment d'un trap chaque fois qu'un lien passe UP ou Down).
Ne pas oublier aussi qu'un poste dûment authentifié peut devenir un bridge pour d'autres, une fois que le port est ouvert. Donc, des règles qui n'autorisent qu'une MAC par port me semblent également un prérequis.
Il y a pleins d'autres paramètres à prendre en compte, mais voilà déjà le premier wagon
A+,
Pascal
- sibsib
- Message(s) : 188
- Inscription : 20 Oct 2011 21:08
Re: détection d'intrusion sur réseau
par Cool34000 » 04 Jan 2013 21:08
Salut,
Juste une remarque : en mettant le switch dans une baie informatique fermée à clef, tu réduira déjà pas mal le risque de connexions "sauvages"...
Sinon, une solution relativement simple est d'utiliser un serveur RADIUS et de faire de l'authentification par MAC... Pas de MAC connue, pas de chocolat !
Mais il faut que le switch le gère, et ce n'est pas à la portée du 1er switch venu !
Il existe aussi des switches qui sont capables de faire des actions en fonction d'évènements...
Ces switches savent même exécuter directement des scripts (généralement dans un langage propriétaire), mais si on parle de prix, tu risques de partir en courant !!!
Surement pas : que se passe-t'il si je me branche à la place d'un port déjà utilisé et donc non désactivé ? Oups !
Juste une remarque : en mettant le switch dans une baie informatique fermée à clef, tu réduira déjà pas mal le risque de connexions "sauvages"...
Sinon, une solution relativement simple est d'utiliser un serveur RADIUS et de faire de l'authentification par MAC... Pas de MAC connue, pas de chocolat !
Mais il faut que le switch le gère, et ce n'est pas à la portée du 1er switch venu !
Il existe aussi des switches qui sont capables de faire des actions en fonction d'évènements...
Ces switches savent même exécuter directement des scripts (généralement dans un langage propriétaire), mais si on parle de prix, tu risques de partir en courant !!!
El_Cypriano a écrit :Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.
Surement pas : que se passe-t'il si je me branche à la place d'un port déjà utilisé et donc non désactivé ? Oups !
In a world without walls and fences, who needs windows and gates?
- Cool34000
- Message(s) : 199
- Inscription : 12 Sep 2011 19:02
- Localisation : Nimes, France
Re: détection d'intrusion sur réseau
par Cool34000 » 04 Jan 2013 21:08
Oups, pris de vitesse pas Sibsib
In a world without walls and fences, who needs windows and gates?
- Cool34000
- Message(s) : 199
- Inscription : 12 Sep 2011 19:02
- Localisation : Nimes, France
Re: détection d'intrusion sur réseau
par Franck78 » 05 Jan 2013 14:30
El_Cypriano a écrit :Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.
Surement pas : que se passe-t'il si je cascade un autre switch/hub ?
- Franck78
- Message(s) : 525
- Inscription : 11 Sep 2011 16:04
- Localisation : France
Re: détection d'intrusion sur réseau
par ccnet » 05 Jan 2013 19:08
(à l'aide d'une information qui est réservée entreprise, par exemple dans la base de registre ?)
Je ne suis pas certain que cela soit pertinent. Premier probleme, l'interopérabilité trés limitée. Pour faire court, la solution efficace c'est l'utilisation de certificats. Cryptographiquement fiables, indépendant de l'OS.
- ccnet
- Message(s) : 113
- Inscription : 02 Nov 2011 08:51
- Localisation : Paris
6 message(s)
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité