j'aime lorsque l'auteur décrit sa démarche complète et pas seulement le résultat final
lorsque je serai à la retraite (et si Al Zeimer me laisse tranquille), il faudra que j'essaie de me faire un boîtier de filtrage/inspection du trafic réseau domestique
à moins qu'il existe déjà une "appliance" "NOOB ready" pour ce genre de chose ou bien avec des instructions d'assemblage compréhensibles par un archlinuxien de base ???
Posté par Samuel (site web personnel) .
Évalué à 7.
Dernière modification le 06 février 2020 à 09:55.
J'ai fait une version basique avec un routeur sous openwrt récemment, c'est assez facile !
Voici la recette:
Une box OpenWRT avec 3 ports : un pour contrôler la machine (« LAN » client DHCP, port SSH ouvert), deux pour s’intercaler sur le lien réseau qu’on veut écouter (si on veut écouter A ↔ B, on place la box C entre les 2 : A ↔ C ↔ B, ça nécessite un câble de plus).
Installer tcpdump sur la box
Le port de contrôle : zone = LAN / INPUT = ACCEPT / OUTPUT = ACCEPT
Le port d’espionnage : zone = WAN / INPUT = DROP / OUTPUT = DROP / FORWARD = DROP (pas sûr que ça soit nécessaire)
Le port d’espionnage = interface bridge sur les deux interfaces (eth1 / eth2 ou whatever), protocol = unmanaged / cocher force link et décocher « use builtin IPv6 management » (ça évite d’émettre des trames réseau) / assign zone = wan.
Puis la configuration de /etc/config/network :
config interface 'lan'
option ifname 'eth0'
option proto 'dhcp'
config interface 'wan'
option type 'bridge'
option proto 'none'
option ifname 'eth1 eth2'
option delegate '0'
option force_link '1'
(selon les modèles, c'est parfois eth0.1 et .2 qu'il faut indiquer plutôt que eth1/2)
Pour écouter, y'a plus qu'à se connecter SSH sur la machine et faire : tcpdump -i br-wan -o mon-ecoute.pcap, puis récupérer et ouvrir ce fichier avec wireshark. Comme le fichier grossit rapidement, il vaut mieux faire ça pas trop longtemps et sur une clé USB, ou envoyer ça directement sur le réseau et le récupérer sur une autre machine)
Bon, pour intégrer burp ou mitmproxy, c'est sans doute un peu plus de travail. Il est possible d'installer python sur openwrt, donc mitmproxy doit pouvoir l'être aussi.
Note que dans cette configuration, la box est "indétectable" par le réseau qu'elle espionne. Si cette fonctionnalité ne t'es pas nécessaire car tu la mets sur le même réseau que le lien que tu veux débugger/surveiller, tu peux simplifier la configuration et mettre une seule interface "br-lan", client DHCP et accès INPUT/OUTPUT ouvert. Mais il faudra alors soit ajouter des filtres pour la capture tcpdump, soit écrire la capture dans un fichier mais pas l'afficher dans ta session SSH ou l'envoyer sur le réseau car sinon tu crées une boucle qui explose très très vite :) .
As part of installing its drivers/dans le cadre de l'installation de ses pilotes
Grand utilisateur de tablette graphique wacom, comme tout bon linuxien, je n'ai jamais installé de drivers Wacom.
Par ailleurs, s'il fallait recenser toutes les applis/drivers windows qui espionnent les utilisateurs, cette section "liens" serait complètement saturée…
En tant que linuxien et utilisateur de tablette Wacom je me sens concerné. Je n'utilise pas leur driver pas libre trop bavard. Mais leur acheter du matériel c'est les conforter dans leur politique nauséabonde. C'est un manque total de respect envers leurs clients qui paient le prix pour avoir un matériel correct. Ils ne sont pas les seuls à faire cela, mais ce n'est en rien une excuse ni pour eux ni pour les autres.
# article intéressant
Posté par pralines . Évalué à 1.
j'aime lorsque l'auteur décrit sa démarche complète et pas seulement le résultat final
lorsque je serai à la retraite (et si Al Zeimer me laisse tranquille), il faudra que j'essaie de me faire un boîtier de filtrage/inspection du trafic réseau domestique
à moins qu'il existe déjà une "appliance" "NOOB ready" pour ce genre de chose ou bien avec des instructions d'assemblage compréhensibles par un archlinuxien de base ???
Envoyé depuis mon Archlinux
[^] # Re: article intéressant
Posté par Samuel (site web personnel) . Évalué à 7. Dernière modification le 06 février 2020 à 09:55.
J'ai fait une version basique avec un routeur sous openwrt récemment, c'est assez facile !
Voici la recette:
Puis la configuration de /etc/config/network :
(selon les modèles, c'est parfois eth0.1 et .2 qu'il faut indiquer plutôt que eth1/2)
Et celle de /etc/config/firewall :
Pour écouter, y'a plus qu'à se connecter SSH sur la machine et faire :
tcpdump -i br-wan -o mon-ecoute.pcap, puis récupérer et ouvrir ce fichier avec wireshark. Comme le fichier grossit rapidement, il vaut mieux faire ça pas trop longtemps et sur une clé USB, ou envoyer ça directement sur le réseau et le récupérer sur une autre machine)Bon, pour intégrer burp ou mitmproxy, c'est sans doute un peu plus de travail. Il est possible d'installer python sur openwrt, donc mitmproxy doit pouvoir l'être aussi.
Note que dans cette configuration, la box est "indétectable" par le réseau qu'elle espionne. Si cette fonctionnalité ne t'es pas nécessaire car tu la mets sur le même réseau que le lien que tu veux débugger/surveiller, tu peux simplifier la configuration et mettre une seule interface "br-lan", client DHCP et accès INPUT/OUTPUT ouvert. Mais il faudra alors soit ajouter des filtres pour la capture tcpdump, soit écrire la capture dans un fichier mais pas l'afficher dans ta session SSH ou l'envoyer sur le réseau car sinon tu crées une boucle qui explose très très vite :) .
# Pas concernés
Posté par Maderios . Évalué à 1.
Je lis
Grand utilisateur de tablette graphique wacom, comme tout bon linuxien, je n'ai jamais installé de drivers Wacom.
Par ailleurs, s'il fallait recenser toutes les applis/drivers windows qui espionnent les utilisateurs, cette section "liens" serait complètement saturée…
[^] # Re: Pas concernés
Posté par ted (site web personnel) . Évalué à 4.
En tant que linuxien et utilisateur de tablette Wacom je me sens concerné. Je n'utilise pas leur driver pas libre trop bavard. Mais leur acheter du matériel c'est les conforter dans leur politique nauséabonde. C'est un manque total de respect envers leurs clients qui paient le prix pour avoir un matériel correct. Ils ne sont pas les seuls à faire cela, mais ce n'est en rien une excuse ni pour eux ni pour les autres.
Un LUG en Lorraine : https://enunclic-cappel.fr
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.