Reprise du message précédent :

 
Si à ma connaissance Ethereal peut être installé sur un server. Je crois que son seul prob avec des server concerne la compatibilité entre WinPcap et NT/2Kserv.
 
WinPcap est l'interface obligatoire entre ethereal et Win et il a du mal à interpreter le protocole ppp (sa reste à vérifier)
 
mais à mon avis pour pas polluer ton serve vaut mieux l'installer sur 1 poste.
 
 

Oui mais il faut que je "dédouble" un port du switch ... mais le soucis c'est que je n'ai plus de port de libre ....

 
pourquoi?
 

Hey les mecs, vous avez deja entendu parler du spoofing???
 
C tout simplement un mec qui a modifié les entêtes des paquets IP pour faire croire que son adresse est 1.2.3.4 mais en fait cette adresse n'est pas attribuée.. Si tu fait un traceroute dessus tu te rends bien compte que aucun router du net n'est capable de la trouver, IE que cette adresse n'existe pas!!!
Donc tu as eu à faire à un connard de script kiddy qui a reussi à shunter ton firewall et tu peux t'attendre à une attaque en bonne et due forme (ou un simple squattage de disque) d'ici qq jours...
Ecartes les fesses, ça passera mieux!

 
t'enfonces des portes ouvertes par les fenetres toi    
 

Ben ouais mais comme ça c clair, non?

 
MDR

 
Le truc c'est que "l'eth0" c'est l'interface INTERNE !
Et que le 120.0.100.150 est l'adresse interne de notre FW evidemment ....
 
Je vois pas comment ca pourrait etre du spoofing ... et comment le firexall aurait laissé passer ca

ca veut peut-etre dire que qqun fait du spoofing a partir de ton réseau, c'est-à-dire un de tes utilisateurs.  
 
Ca et une mauvaise config de ton routeur, ce sont à peu pres les seules explications possibles pour que tu vois ca sur ton interface interne.

 
C'est pas du spoofing.

Tjrs rien sur le réseau en 1.2.3.4 ....
 
C'est vraiment bizarre quand meme !

Ben soit ça vient du local (dans ce cas yen a un qui va se prendre un sacré savon) et le firewall doit avoir l'adresse mac qqpart, soit le mecs est déjà entré sur le reseau ou a tenté une ataque de boucle sur le firewall. Ca consiste à le tromper sur la provenance des packets et modifiant aussi la mac dans les entêtes.

 
Encore faudrait il le trouver le p'tit salaud !
 
Et à 2h du mat' je vois pas trop qui ca pourrait etre ..........

Du spoofing peut etre, peut etre pas.
 
1.2.3.4 n'est pas routable donc si ces paquets IP proviennent d'un autre réseau, il s'agit de spoofing.  
 
Ces paquets étant bloqués sur l'interface interne, il est logique de penser qu'ils viennent du réseau interne.
 
Pour savoir d'où ils viennent, il serait en effet judicieux d'avoir l'@ MAC (bien qu'on puisse très bien forger des trames avec une fausse @ MAC oui oui c'est possible). Pour cela vérifie s'il existe pas une option sur ton firewall pour qu'à chaque entrée de log il indique l'@ MAC en plus de l'IP. C'est possible sur ton bon équipement.

Ben c un connard de script kiddy, point barre.
Et ton firewall doit ^pas être au top pour qu'il laisse passer ce genre d'ataque...

 
mon firewall vous voulez savoir de quoi il s'agit?
 
c'est un arkoon !
 
J'ai regardé la table arp du fw ! RIEN !
 
Vous me faites peur là ...

 
il laisse pas passer ... deny qui y'a ecrit
 

Voila ce que je vois assez souvent aussi:
 

 
Ca c'est les tentatives de réponse de mon PDC ... ca doit bien etre une machine interne non? vu que j'ai aucune autre @IP qui tente de lui répondre .....

Ben si il bloque bien, ya pas de souci.
C quoi comme firewall?

un arkoon !

C lequel arkoon?
Ca a de la gueule leurs solutions, mais c du pure soft. J'ai discuté ya deux semaines avec un mec qui essayait de vendre du NetASQ (le même genre) et il a fini par avouer que rien ne valait des solutions vraiment dédiés (filtrage en hard) paske les appliances sous linux etaient trop modulaires pour être suffisament blindées...

 
C'est le Blue je crois ...
 
Pour c'est du pure soft? un cisco c'est pareil: une base PC avec leur OS proprio dessus .... et bien la c'est la meme chose !
 
L'OS est sur un carte PCMCIA en lecture seule...
La config sur une autre.

Ben ouais mais comme tu dis c un os proprio, pas un linux custom... Et leur OS il est fait pour. C pas un truc generaliste et il est torturé en permanance afin de s'assurer de sa fiabilité... Mais c plus cher. Enfin j'ai regardé les arkoon d'un peu plus près et ça m'a l'air pas mal. Je vais essayer de mettre la main sur un comparatif entre differentes solutions du meme genre...

 
L'avantage c'est que CA FAIT TOUT !
 
-firewall
-Filtrage des virus
-Proxy (categorie de site)
-vpn
-Gestion de la BP
 
...

Justement, c parce qu'il y a une multitude de services qui tournent qu'il est plus vulnerable : on cumule les failles potentielles. Je pense que le réseau le plus fiable est celui ou chaque machine a son rôle et qu'on essaye pas de faire faire plusieurs chose en meme temps au meme apareil. A la limite, on peut le faire sur un système de backup au cas ou les appliances tombent en rade, mais si les decideurs sont conscients des risques et allouent le budget necessaire à la mise en place d'une bonne secu, chque point et chaque service tourne sur une machine dédié.
C'est un peu idéaliste mais je crois que les meilleurs systèmes doivent être construits sur ce shéma.
Mais je ne remets pas non plus en cause le choix d'une solution integrée : dans la majorité des cas elles font leur office. Et je sais par experience que dans certaines structures, les decideurs sont tellement mal informés qu'on ne peut pas obtenir le moindre centime pour la securité. La seule solution est alors de recycler un pc du parc en y installant une telemetrybox (par exemple)...

oui mais dans notre cas il a été possible d'installer ca !! et c'est deja pas mal !!
 

 
 
       
 
j'en pleure encore
 
sinon je suis le topic qui reste interessant ... j'aimerai bien trouver un truc qd meme ... le coup du spoofing c po si con, un mec en interne qui essaye un soft a la con ...

 
Je confirme, un PIX n'est ni plus ni moins qu'un Pentium 2 avec deux (ou plus ) cartes réseaux en PCI.

Oui mais l'os est basé sur quoi? Si c'est un truc développé QUE pour router, c ok. Mais si c une adaptation d'un système generaliste, ya plus de chance qu'il reste des failles...

 
L'os est une distrib complettement vidée de toute fonction non indispensable aux fonctions de l'arkoon ... après je sais pas ...
 
Enfin le top du top c'est : un arkoon pour tout faire et un PIX en plus.

ouaip! PIX Rulezzzz et arkoon pas trop mal...

 
On fait du VPN avec un PIX en face !
 
Je n'y connais rien en admin du FW cisco !
 
Je peux me lancer dans la decouverte sans risque? ou il faut absolument une formation la dessus ?
 
Sinon pas de nouvelle du 1.2.3.4 pour l'instant

Ben si t'es pas en production ou que tu as pas besoin d'un dispo 99% et/ou que tu as une maintenance derrière, tu peux toujours t'y risquer. Mais commences par eplucher toutes les docs que tu peux trouver sur internet (google powaaaaa!), des forums (en anglais) etc...
Enfin c l'occasion de faire joujou sur du beau matos, donc si tu as le temps ne t'en prive pas! Enfin c ce que je ferais, à toi de voir...

(euh question bête, as tu regardé la table arp du switch pour voir s'il y a l'@IP 1.2.3.4 )

Ben, si ta déjà manip sur des routeurs Cisco, tu dois pouvoir à peut pret te démerder.
Si ta jamais utilisé un routeur en mode console, je te déconseil car c'est quand même assez chaud la config d'un PIX surtout si il y a du VPN deçu

ben, ouai
 
ché pas. ton range ip dans bien dans celui de 1.0.0.0. donc, le routeur, lui, voyant que 1.2.3.4 est de la meme classe ( voire le range, ca depend de ton mask) que le 120.x.x.x, il le route de l'autre coté.
 
d'ailleurs, le range 1.0.0.0 n'est pas n'importe de quel range, si mon souvenir est bon, c'est celui de Internet Assigned Numbers Authority, le fameux IANA. en gros, le bordel qui gere les dns du monde entier. il voit que ta un résal dans la classe A deja prise, il doit se dire que: tiens, un 2iem domain qui a le meme range ip que celui qui l'a deja acheté( ca se trouve que c toi qui a acheté ce range, alors la, t un riche)
 
alors, il te balance des DNS request pour savoir qui t, si tu fais partie légalement du proprio de ce range ip.  
 
enfin, c'est ce que j'ai compris. apres je peux me tromper.

ben heuu, ouai
 
son lan est sur 120.x.x.x, c'est une plage publique, apres, c'est normal que tout le net cherche a savoir qui c'est. il est conflit ( à moins de mettre des sNAT et dNAT) avec une plage publique. donc, IANA cherche à savoir qui c'est en lui envoyant des dns resquest( je crois)
 
d'apres son log du routeur, c'est bien la cas, il recoit des paquet sur 53.
 
je pense que, soit, il se met dans une plage privée et plus soucis, ou, il met du nat partout, et plus souci non plus.
 
enfin, c'est que mon avis.

 
oui oui oui
Seulement la plage 120.0.0.0 ON L'A PAS ACHETE !! SUREMENT PAS !!
C'est notre adressage privé ......
 
Alala ... quand je vous aurais expliqué toute la merde "historique" qu'on a vous allez pleurer ....