pfSense Support Subscription

Author Topic: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE  (Read 321 times)

0 Members and 1 Guest are viewing this topic.

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« on: March 20, 2017, 08:35:38 am »
Bonjour à tous,

J'ai un pfsense avec trois pattes réseaux.

j'essaie de dupliquer le traffic venant de la patte LAN et la patte WAN vers la troisieme patte.

Je fouille un peu pfsense je trouve qu'il est possible de du faire du SNAP (port mirror) en utilisant une interface bridge.

Avez vous une idée, je veux dupliquer le traffic venant sur deux inerfaces vers une troisieme.

Merci

Cordialement.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #1 on: March 20, 2017, 03:11:27 pm »
Sur le plan fonctionnel quel est l'objectif ? Quel intérêt y  t il a dupliquer ce trafic ?

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1719
  • Karma: +85/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #2 on: March 21, 2017, 12:02:54 am »
Quel intérêt y  t il a dupliquer ce trafic ?

Snort et autres NIDS  ;)

Mais c'est quelque chose qu'on fait généralement avec des switchs. Pas sûr que le FW soit le meilleur endroit pour le faire. de plus, dupliquer à la fois du WAN et du LAN vers la même interface...  ???

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #3 on: March 21, 2017, 03:25:28 am »
J'imagine aussi. Je préfère avoir la réponse de l’intéressé. Le cas échéant ce n'est pas, de loin, la meilleure option pour ce travail.

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #4 on: March 21, 2017, 04:54:35 am »
Sur le plan fonctionnel quel est l'objectif ? Quel intérêt y  t il a dupliquer ce trafic ?

l'objectif est simplement de dupliquer le traffic à partir du LAN et de la DMZ et de l'a récuperer sur 3eme patte pour faire de l'analyse de paquet, sans que ce dernier emet ces propres paquets dans les deux autres interfaces.

pfsense propose une option de bridge avec le SPAN, mais perplexe puisque il duplique juste au niveau 2 de la couche OSI.

Ce que j'aimerais faire est que pfsense fonctionne comme un TAP.

J'ai déjà mis en place une sonde snort pour sniffer le traffic des autres pattes, mais je veux une duplication du traffic, comme si les requettes venant du LAN transitent vers la DMZ et soit dupliqué vers la 3eme patte en utilisant pfsense pour qu'une VM par exemple les recuperes.

Cordialement.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #5 on: March 21, 2017, 05:36:43 am »
Quote
perplexe puisque il duplique juste au niveau 2 de la couche OSI.
Qu'entendez vous par juste dupliquer au niveau 2 ? Là c'est moi qui suis perplexe.


Quote
Ce que j'aimerais faire est que pfsense fonctionne comme un TAP.
Mais Pfsense est un firewall et n'est pas conçu pour cela. A essayer de planter un clou avec un tournevis vous allez vous faire mal aux doigts. On trouve des tap box pour moins de 200€ sur ebay.
Les gens savent ce qu'ils voudraient mais ils ne savent pas ce qu'ils veulent. Vous avez besoin d'un tap, prenez un tap.
Par ailleurs la solution du switch avec un port de copie connecté a l'interface de capture de la sonde (donc sans adresse ip) est aussi une solution "best pratices".

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #6 on: March 21, 2017, 07:45:37 am »
Quote
perplexe puisque il duplique juste au niveau 2 de la couche OSI.
Qu'entendez vous par juste dupliquer au niveau 2 ? Là c'est moi qui suis perplexe.

je me suis mal exprimé, je voulais dire il ne route pas de paquet ip, mais c'est vrai, qu'il peut transmettre l'ensemble des paquets.

Quote
Ce que j'aimerais faire est que pfsense fonctionne comme un TAP.
Mais Pfsense est un firewall et n'est pas conçu pour cela. A essayer de planter un clou avec un tournevis vous allez vous faire mal aux doigts. On trouve des tap box pour moins de 200€ sur ebay.
Les gens savent ce qu'ils voudraient mais ils nt pas ce qu'ils veulent. Vous avez besoin d'un tap, prenez un tap.
Par ailleurs la solution du switch avec un port de copie connecté a l'interface de capture de le savena sonde (donc sans adresse ip) est aussi une solution "best pratices".

je n'ai pas saisi la solution avec une sonde sans ip (parce que connecté à un switch), ce que je veux, c'est qu'une VM (ubnutu, debian) recupere les paquets du LAN et de la DMZ qui on été dupliqué par le pfsense.

Je travaille dans un environement virtuel vmware

Donc la methode serait :

Avec pfsense d'utiliser sa fonctionalité "bridge" pour faire du SPAN, en rajoutant une 4eme patte reseau, 1 pour le lan, 1 pour la dmz, 1 bridge lan to span, 1 bridge dmz to span ?

et avec la Vm, elle n'a plus de gw ip pour communiqué avec pfsense ?

pk avec pfsense ? parce que il est concu à partir d'un freeBDS, il y a peut etre un moyen de taper des commandes pour la duplication de trafic, donc potentiellement de faire du TAP, je ne sais pas.

par exemple, avec iptable2, en utilisant la table mangle, il est possible de faire du port mirror sur une ubuntu.

Cordialement.

« Last Edit: March 21, 2017, 08:09:13 am by locklock »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #7 on: March 21, 2017, 08:13:12 am »
Quote
je n'ai pas saisi la solution avec une sonde sans ip (parce que connecté à un switch), ce que je veux, c'est qu'une VM (ubnutu, debian) recupere les paquets du LAN et de la DMZ qui on été dupliqué par le pfsense.

Que l'on utilise un switch, un tap ou autre chose ne change rien. Il n'y a pas de rapport de cause à effet entre le swiitch (avec span port) et l'absence d'ip sur la sonde. Pour des raisons de sécurité assez évidentes une sonde n'écoute jamais le réseau qu'elle doit surveiller avec une adresse ip mais toujours en mode promiscuité. Donc sans ip.

Je vous recommande la lecture donnée en lien ci dessous qui vous permettra, je l'espère, d'acquérir une vision plus opérationnelle et moins faites d'aprioris sur ce sujet.
Quote
pk avec pfsense ? parce que il est concu à partir d'un freeBDS, il y a peut etre un moyen de taper des commandes pour la duplication de trafic, donc potentiellement de faire du TAP, je ne sais pas.
Encore faudrait il que Pfsense ait été développé avec l'idée d'en faire un tap logiciel, hors ce n'est pas le cas. C'est un firewall.
Pour la lecture : http://www.ssi.gouv.fr/uploads/2015/01/architecture_systeme_securisee_sonde_IDS_reseau-article.pdf

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #8 on: March 21, 2017, 08:29:10 am »
Quote
je n'ai pas saisi la solution avec une sonde sans ip (parce que connecté à un switch), ce que je veux, c'est qu'une VM (ubnutu, debian) recupere les paquets du LAN et de la DMZ qui on été dupliqué par le pfsense.

Que l'on utilise un switch, un tap ou autre chose ne change rien. Il n'y a pas de rapport de cause à effet entre le swiitch (avec span port) et l'absence d'ip sur la sonde. Pour des raisons de sécurité assez évidentes une sonde n'écoute jamais le réseau qu'elle doit surveiller avec une adresse ip mais toujours en mode promiscuité. Donc sans ip.

Je vous recommande la lecture donnée en lien ci dessous qui vous permettra, je l'espère, d'acquérir une vision plus opérationnelle et moins faites d'aprioris sur ce sujet.
Quote
pk avec pfsense ? parce que il est concu à partir d'un freeBDS, il y a peut etre un moyen de taper des commandes pour la duplication de trafic, donc potentiellement de faire du TAP, je ne sais pas.
Encore faudrait il que Pfsense ait été développé avec l'idée d'en faire un tap logiciel, hors ce n'est pas le cas. C'est un firewall.
Pour la lecture : http://www.ssi.gouv.fr/uploads/2015/01/architecture_systeme_securisee_sonde_IDS_reseau-article.pdf

Merci pour le lien.

Donc la best practice, serait d'avoir juste une troisieme patte pfsense en l'a reliant à une sonde réseau (snort) ?
sinon, je pourrais tout simplement utilisé un script python qui utilise la bibliothéque libpcap pour capturer le traffic en mode promiscuité ? (ca m'éviterait d'installer snort, qui  propose d'autres solutions).

Mais sinon, pour l'extension bridge sur pfsense, personne ne m'a répondu.
Elle est déconseillé d'utiliser ?

Quote
- Avec pfsense d'utiliser sa fonctionalité "bridge" pour faire du SPAN, en rajoutant une 4eme patte reseau, 1 pour le lan, 1 pour la dmz, 1 bridge lan to span, 1 bridge dmz to span ?

- et avec la Vm, elle n'a plus de gw ip pour communiqué avec pfsense ?

« Last Edit: March 21, 2017, 08:33:07 am by locklock »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #9 on: March 21, 2017, 09:06:09 am »
Quote
Donc la best practice, serait d'avoir juste une troisieme patte pfsense en l'a reliant à une sonde réseau (snort) ?
Non, le firewall n'est pas le lieu idéal où réaliser cette opération. Si votre firewall tombe vous n'avez plus d'analyse de trafic. Vous rendez un moyen de défense dépendant du fonctionnement d'un autre, ce qui n'est pas souhaitable. Ce n'est qu'un des problèmes.
Je déconseille d'utiliser la fonction bridge de Pfsense pour traiter votre besoin. Il m'est arrivé de l'utiliser mais pour des raisons tout à fait différentes.

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #10 on: March 21, 2017, 09:10:08 am »
Quote
Donc la best practice, serait d'avoir juste une troisieme patte pfsense en l'a reliant à une sonde réseau (snort) ?
Non, le firewall n'est pas le lieu idéal où réaliser cette opération. Si votre firewall tombe vous n'avez plus d'analyse de trafic. Vous rendez un moyen de défense dépendant du fonctionnement d'un autre, ce qui n'est pas souhaitable. Ce n'est qu'un des problèmes.
Je déconseille d'utiliser la fonction bridge de Pfsense pour traiter votre besoin. Il m'est arrivé de l'utiliser mais pour des raisons tout à fait différentes.

C'est justement pour des raisons expérimentale que je veux cette duplication de trafic au niveau de pfsense.
Je suis d'accord, qu'il faudrait une appliance indépendant de pfsense pour réaliser cette opération.

Offline locklock

  • Newbie
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #11 on: March 25, 2017, 03:22:58 pm »
Quel intérêt y  t il a dupliquer ce trafic ?

Snort et autres NIDS  ;)

Mais c'est quelque chose qu'on fait généralement avec des switchs. Pas sûr que le FW soit le meilleur endroit pour le faire. de plus, dupliquer à la fois du WAN et du LAN vers la même interface...  ???

snort ne visualisera pas les paquets s'il lui son directement adressé (snort sera sur une interface du pfsense et non en coupure).

Mais peut on le configurer pour qu'il recoit les paquets ?

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2756
  • Karma: +33/-11
    • View Profile
Re: DUPLIQUER TRAFFIC SUR UNE 3EME INTERFACE
« Reply #12 on: March 26, 2017, 07:14:51 am »
Je ne comprend pas cette histoire de visualisation de paquet avec Snort dans l'hypothèse où l'on se sert d'un spin port sur un switch.