Forum Linux.général tcpdump et ipsec

Posté par  .
Étiquettes : aucune
0
23
jan.
2009
Bonjour

j'ai mis en place un vpn ipsec simple (sans racoon) entre 2 machines.
pour tester j'ai voulu utiliser netcat pour voir si les données sont bien chiffrées entre les 2 machines.
Hors, en desactivant ipsec, les données passent bien et je les vois avec tcpdump, si j'active ipsec les données passent toujours bien... mais je ne les vois plus avec tcpdump !

Est-ce un comportement normal ?
Si oui y a t'il un autre moyen de voir ce qui passe par mon interface (en tout cas de vérifier que tout est bien chiffré) ?
  • # Cacher ces données que je ne saurais voir

    Posté par  . Évalué à 2.

    A quoi ça te sert d'avoir un chiffrement si tu peux voir le contenu ?
    Ce serait du chiffrement en clair, aucun intérêt.

    Ou alors tu as mal expliqué :-)
    • [^] # Re: Cacher ces données que je ne saurais voir

      Posté par  . Évalué à 2.

      Je pense qu'il ne voit même plus passer les données chiffrées ...
      • [^] # Re: Cacher ces données que je ne saurais voir

        Posté par  . Évalué à 1.

        Oui c'est ça
        en fait je veux justement verifier que les donnés sont bien chiffrées
        Là, à partir du moment que j'active ipsec je ne vois plus rien.
        • [^] # Re: Cacher ces données que je ne saurais voir

          Posté par  . Évalué à 2.

          On peut avoir la syntaxe que tu utilises pour tcpdump ?
          On ne connait pas ton niveau donc ça peut venir d'un peu n'importe où (genre je n'écoute que le port 80).
          • [^] # Re: Cacher ces données que je ne saurais voir

            Posté par  . Évalué à 1.

            Alors, pour le test firewall coupé des 2 cotés

            sur la machine B
            nc -l -p 4242
            tcpdump -l -e -n -xX -i eth1 port 4242
            (j'ai également essayé les options -E algo:clé, et -R)

            et sur la machine A
            nc ipMachineB 4242
            et envoi de plein de truc au hasard

            Dans tout les cas ça mache très bien (la machine B reçoit bien les infos que j'envoi), mais lorsque j'active ipsec (programme setkey), tcpdump devient aveugle
            • [^] # Re: Cacher ces données que je ne saurais voir

              Posté par  (site web personnel) . Évalué à 3.

              Cela me semble normal :
              - en mode non-tunnel, Les données que tu veux envoyées le sont sur le port 4242 de la machine B
              - en mode ipsec, les données vont transiter à travers le tunnel ipsec, quelque soit le port de destination de la machine B (ici, 4242).

              Donc, en mode ipsec, les données chiffrées passeront par le le flux ipsec. Et a priori, c'est sur les ports tcp/500 ou udp/500 de la machine B que les données arriverons :

              tcpdump -n -i eth0 tcp port 500 or udp port 500
              • [^] # Re: Cacher ces données que je ne saurais voir

                Posté par  . Évalué à 1.

                Je suis en mode transport, de plus il me semble que mode tunnel n'utilise pas de port non plus (vu qu'on est au niveau ip), sauf utilisation de l2pt

                De plus je n'utilise pas ike, donc à prioris rien n'est sensé passer sur le 500 (et dailleurs après vérification il ne passe rien)
                De plus si jeffectue les tests avec les 2 firewalls lancés (et donc le 500 fermé), c'est la même problématique.
              • [^] # Re: Cacher ces données que je ne saurais voir

                Posté par  . Évalué à 1.

                Merci tu m'as mis sur la bonne voie
                je ne sais pas ou se place tcpdump, mais a prioris avant la couche tcp, du coup on ne peut pas connaitre le port. Il faut donc sniffer au niveau ip et en effet là j'ai des données qui passent lorsque j'utilise netcat
                Plus qu'à verifier que ce sont les bonnes.
            • [^] # Re: Cacher ces données que je ne saurais voir

              Posté par  . Évalué à 2.

              Il faut que tu récupères les paquets non pas arrivant sur le port xxx, mais venant de l'adresse de ta machine B.
              C'est src host 192.168.x.y

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.