détection d'intrusion sur réseau

(voir http://wiki.ixus.net/doku.php/ixus/cont ... vos_etudes)
Pourquoi les étudiants n'auraient-ils pas le droit de discuter de leurs devoirs avec des experts et des professionnels ? Mais cela doit se faire en connaissance de cause pour obtenir les meilleures réponses : les experts et les pros apprécient généralement bien peu qu'on tente de leur cacher ce contexte, et ce n'est pas aux vieux singes qu'on apprend à faire la grimace ! On discute ici de tous les projets, études, devoirs et autres travaux scolaires.

détection d'intrusion sur réseau

Message par El_Cypriano » 04 Jan 2013 15:18

Bonjour à tous,



Je suis actuellement alternant et j'ai pour projet la détection d'intrus sur le réseau. Plus précisément, le projet est le suivant:

Dès qu'un port d'un switch est UP, il faut pouvoir le détecter et analyser la station qui vient de se connecter (à l'aide d'une information qui est réservée entreprise, par exemple dans la base de registre ?). Ainsi, si la station est légitime, elle peut accéder au réseau, sinon le port est administrativement (et automatiquement) fermé. Puis optionnellement, un rapport d'intrusion est envoyé à l'administrateur.

Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.

Je tente de réussir ce projet à l'aide d'un (ou plusieurs) script(s), en PHP, C, Perl ou Java.

C'est pour cela que je vous demande votre aide pour savoir si vous avez déjà écrit un tel script et quelques pistes pour arriver à son fonctionnement.

Je vous remercie,
El_Cypriano
 
Message(s) : 2
Inscription : 04 Jan 2013 15:08

Re: détection d'intrusion sur réseau

Message par sibsib » 04 Jan 2013 20:42

Bonjour,

Bref, tu veux faire du NAC, mais à l'envers :-)

En général, le NAC (Network Access Control) met tous les ports non utilisés dans un VLAN de quarantaine sur lequel se trouve uniquement un serveur DHCP et un serveur d’authentification. Si un poste 'valide' se connecte, il s’authentifie sur le serveur d’authentification, qui va alors basculer le port du client dans le VLAN entreprise. J'ai très grossièrement simplifié, mais ceci est un processus que tu peux imiter à relativement peu de frais. Tu n'as même pas besoin d'un serveur de plus : un serveur existant, peut être configuré pour accéder à deux VLANS et avoir un service DHCP, un service d’authentification (là, ton imagination est reine) et bien sur de sévères règles iptables pour ne pas être attaqué par ce VLAN (ce serait dommage !)
Évidemment, je pars du principe que tu as des switches un peu intelligents qui supportent le changement de VLAN par exemple en SNMP. Si tu as du switch Cisco, ces switches peuvent même t'envoyer un trap chaque fois qu'une nouvelle adresse MAC apparait sur un port (En plus evidemment d'un trap chaque fois qu'un lien passe UP ou Down).
Ne pas oublier aussi qu'un poste dûment authentifié peut devenir un bridge pour d'autres, une fois que le port est ouvert. Donc, des règles qui n'autorisent qu'une MAC par port me semblent également un prérequis.

Il y a pleins d'autres paramètres à prendre en compte, mais voilà déjà le premier wagon :-)

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: détection d'intrusion sur réseau

Message par Cool34000 » 04 Jan 2013 21:08

Salut,

Juste une remarque : en mettant le switch dans une baie informatique fermée à clef, tu réduira déjà pas mal le risque de connexions "sauvages"...

Sinon, une solution relativement simple est d'utiliser un serveur RADIUS et de faire de l'authentification par MAC... Pas de MAC connue, pas de chocolat !
Mais il faut que le switch le gère, et ce n'est pas à la portée du 1er switch venu !

Il existe aussi des switches qui sont capables de faire des actions en fonction d'évènements...
Ces switches savent même exécuter directement des scripts (généralement dans un langage propriétaire), mais si on parle de prix, tu risques de partir en courant !!!


El_Cypriano a écrit :Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.

Surement pas : que se passe-t'il si je me branche à la place d'un port déjà utilisé et donc non désactivé ? Oups ! :lol:
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: détection d'intrusion sur réseau

Message par Cool34000 » 04 Jan 2013 21:08

Oups, pris de vitesse pas Sibsib :-)
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: détection d'intrusion sur réseau

Message par Franck78 » 05 Jan 2013 14:30

El_Cypriano a écrit :Vous allez sûrement me dire que normalement il n'y a pas besoin de cela si on ferme les ports des switchs non utilisés, je suis d'accord mais je ne peux faire autrement.

Surement pas : que se passe-t'il si je cascade un autre switch/hub ?
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: détection d'intrusion sur réseau

Message par ccnet » 05 Jan 2013 19:08

(à l'aide d'une information qui est réservée entreprise, par exemple dans la base de registre ?)

Je ne suis pas certain que cela soit pertinent. Premier probleme, l'interopérabilité trés limitée. Pour faire court, la solution efficace c'est l'utilisation de certificats. Cryptographiquement fiables, indépendant de l'OS.
ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris


Retour vers Aide aux devoirs

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron