#1 Le 13/08/2010, à 10:32
- baracouda57
Ubuntu server comme passerelle et relevé de log
bonjour,
je suis tout nouveau dans le joyeux monde libre, et je vous demande donc de rester gentil avec moi
Je suis stagiaire en informatique et mon boss me demande d'installer un serveur Linux ubuntu avec deux cartes réseau, et de redirigé tout le flux de l'une vers l'autre, sans contrôle ni blocage ( donc pas de firewall) mais que celui-ci journalise tout le trafic afin de pouvoir l'analyser en profondeur.
Étant vraiment noob en Linux, je cherche de l'aide et vous sembler être en mesure de m'aider.
Merci déjà pour votre superbe site et par avance pour votre aide.
Hors ligne
#2 Le 13/08/2010, à 13:00
- ssdg
Re : Ubuntu server comme passerelle et relevé de log
Je sais qu'IPtables fournit des options pour ça (la partie re-routage, je l'ai déjà mise en place dans le cadre de mes études) la partie loguage... Je ne l'ai pas faite, mais si on se base sur ceci:
http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial/logtarget.html
Cela devrait être possible assez rapidement.
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#3 Le 13/08/2010, à 13:10
- totopouet
Re : Ubuntu server comme passerelle et relevé de log
IPtables peut tout à fait logguer, de manière assez fine d'ailleurs.
Un bête -j LOG dans la/les règles en question font le bouleau, et logguent dans syslog de mémoire. Après on peut donner un nom à chaque règle à logguer : --log-prefix "nomàchoisir"
"First they ignore you, then they laugh at you, then they fight you, then you win."
Mohandas Gandhi
Hors ligne
#4 Le 13/08/2010, à 13:41
- alex2423
Re : Ubuntu server comme passerelle et relevé de log
A moins que je me trompe, j'aurais dis plutot que c'est le boulot du proxy. Je trouve que logué au niveau firewall (iptable), c'est à un niveau trop bas. Cela permet de logguer plus facilement les domaines.
Après je me trompe peut etre ...
Hors ligne
#5 Le 13/08/2010, à 13:45
- ssdg
Re : Ubuntu server comme passerelle et relevé de log
C'est un choix... qui depend de ce que veux faire le patron de notre ami.
C'est vrai que notre solution ne monitorera que les connections... pas les adresses...
En contrepartie, le proxy impliquera de ne laisser passer que certains protocoles... De fait tout ne passera pas (la messagerie instantanée, les mails ou d'autres trucs plus compliqués ne passeront pas)
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#6 Le 13/08/2010, à 13:46
- mbtfc
Re : Ubuntu server comme passerelle et relevé de log
Le plus simple c'est d'installer Ebox: http://www.ebox-platform.com/ qui est basé sur Ubuntu 8.04, si le système de log/analyse n'est pas assez poussé tu peux ajouter Wireshark + Xplico.
Hors ligne
#7 Le 13/08/2010, à 14:29
- baracouda57
Re : Ubuntu server comme passerelle et relevé de log
merci beaucoup pour vos réponse, mais je pense que je vais devoir vous demandez encore pas mal d'aide, je suis vraiment novice sur ubuntu, et de ce fait, pas évident de tout comprendre de suite.:/
Hors ligne
#8 Le 13/08/2010, à 14:34
- ssdg
Re : Ubuntu server comme passerelle et relevé de log
Bon, en l'occurrence il faut que tu définisse quelles informations tu veux remonter. ("tout" n'est pas une réponse, "ce qu'il faut" non plus, quand à "ce qui est nécéssaire", n'en parlons même pas)
S'agit-il d'analyser les sites visités? les durées de connections (Je ne sais pas bien si c'est possible)? les quantité de données qui voyagent? etc...
En fonction de ce que tu voudra faire remonter, nous pourrons te conseiller la meilleure solution.
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#9 Le 13/08/2010, à 14:46
- baracouda57
Re : Ubuntu server comme passerelle et relevé de log
alors, il s'agit d'une connection que nous avons et qui ne peux pas être intégrer au firewall de l'entreprise. Du coup, cette connection est "utilisable" sans restriction a l'heure actuel.
Le but de ce projet, et de voir qui ( IP) utilise cette connection et quel protocoles est utilisé ( au minimum).
Si on peut avoir la durée de connection et éventuellement ip destinataire/ site web pour le http(s) c'est encore mieux.
Merci beaucoup de votre aide.
Pour le moment, je remonte un serveur et install l'OS.
EDIT = évidemment, le filtrage d'abus sera la suite de cette étape de snif
Dernière modification par baracouda57 (Le 13/08/2010, à 14:47)
Hors ligne
#10 Le 13/08/2010, à 14:49
- sksbir
Re : Ubuntu server comme passerelle et relevé de log
Bonjour
Question complémentaire : cette installation se fait-elle au grand jour, ou à l'insu des utilisateurs potentiellement concernés ?
Dernière modification par sksbir (Le 13/08/2010, à 14:50)
Hors ligne
#11 Le 13/08/2010, à 14:52
- baracouda57
Re : Ubuntu server comme passerelle et relevé de log
a l'insu des utilisateurs évidemment
En fait, je suis dans le service info d'un hôpital, est cette connexion doit normalement être utilisé à des fin spécifique, et les utilisateurs disposent d'un autre connexion pour leur usages quotidiens.
édit : La connexion pour laquelle on à ce projet et normalement réservé à des transfert avec un site particulier.
D'où l'intérêt de ne pas la surchargé avec un trafic anormal.
Dernière modification par baracouda57 (Le 13/08/2010, à 14:57)
Hors ligne
#12 Le 13/08/2010, à 15:02
- sksbir
Re : Ubuntu server comme passerelle et relevé de log
a l'insu des utilisateurs évidemment ...
C'est bien ce que je pensais, mais je voulais en être sûr...
Donc, attention à l'aspect juridique de la chose : le flicage à l'insu des utilisateurs ne peut pas être utilisé pour les sanctionner, et je suis sûr qu'il y a d'autres risques juridiques...
Concernant l'aspect technique, vu que tu vas insérer une machine avec 2 adresses réseaux, et vu que cette machine ne peut pas avoir la même adresse IP sur les 2 cartes, tu vas devoir reconfigurer l'adresse réseau de l'équipement réseau en amont.
Sinon, c'est l'adresse en aval qu'il faudra changer, et là, plus question de faire ça en douce...
A moins que tu remplaces un routeur déja en place par ta nouvelle passerelle ?
Hors ligne
#13 Le 13/08/2010, à 15:13
- baracouda57
Re : Ubuntu server comme passerelle et relevé de log
ce n'est pas pour flicer ou qqc du genre, mais pour couper les protocoles ect...
Pour ce qui est de le faire en douce, il n'y a aucun soucis la dessus, ce n'est en aucun cas une obligation.
Pour ce qui est du routeur déjà en place, impossible d'en changer, matériel spécifique oblige, mais cette machine prendra place entre ce routeur et un commutateur de niveau 3.
Je pensais donc entrer l'ip de ma machine (interface coté user) comme passerelle dans le commutateur ( de plus, en plusieurs VLAN) Donc de ce coté là, pas de problèmes.
Ce qui me pose de vrai souci, c'est mon incompétence en Ubuntu.
Comment créer un pont entre les deux cartes réseau et relevé tout les logs voulus.
Pour le reste, le plan IP est bien définit.
Merci pour toute votre aide.
édit : je répète que pour le moment, je ne veux pas interdire quoi que ce soit, mais voir ce qui passe par cette connexion.
Dernière modification par baracouda57 (Le 13/08/2010, à 15:15)
Hors ligne
#14 Le 13/08/2010, à 15:29
- ssdg
Re : Ubuntu server comme passerelle et relevé de log
baracouda57 > Voir, fliquer... aux prud'hommes la nuance est infinitésimale.
J'ajoute que pour faire ce genres de choses il faut absolument que la charte informatique que tes collègues ont signés mentionne que cela peut arriver (peut être que si c'est dans le règlement intérieur ça passe, mais je crois bien qu'ils doivent être au courant)
Question con, ce site spécifique... n'aurait-il pas par hasard une IP fixe? si oui (et si ton boss ne te regarde pas de travers quand tu va commencer à lui proposer ça) pourquoi ne pas plutot autoriser uniquement le trafic vers ce site sur ton accès (les règles IPtables sont sans doute plus faciles à trouver toutes faites) et paramètrer les routes qu'il faut sur tes postes/ équipements intermédiaires. (en gros, si ça va sur ce site, tu utilise cette passerelle, si ça va sur les autres, tu utilise les autres.... pareil avec les règles de proxys dans les navigos du parc)
Peut être un peu (beaucoup) plus long à mettre en place, mais tu respecte la vie privée (et les accusations de flicage ne tiennent plus la route), tu as une solution plus transparente pour les utilisateurs (ils ne voient plus la différence entre les deux accès s'ils ne farfouillent pas) et ton second accès est protégé.
Par contre, si mes quelques années en entreprise m'on appris un truc c'est que les gens qui te demandent de filtrer les accès détestent avoir leurs accès filtrés.
Le but de ce projet, et de voir qui ( IP) utilise cette connection et quel protocoles est utilisé ( au minimum).
Si on peut avoir la durée de connection et éventuellement ip destinataire/ site web pour le http(s) c'est encore mieux.
Normalement les logs d'IPtable devraient te sortir ça (je n'en ai jamais vu, mais j'ai du mal à voir ce qu'il pourrait loguer si ce n'est ça)... attention toutefois, il ne logguera sans doute pas les noms DNS mais les IP (en gros, tu aura besoin d'un script qui fera des reverse DNS sur les IP de destination après coup)
Toutefois, je reste très inquiète légalement sur la partie "de voir qui ( IP)" ... conseille par écrit à ton boss de faire TRES attention avec ça. Et attend avant de commencer à loguer sa réponse.
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#15 Le 13/08/2010, à 16:05
- baracouda57
Re : Ubuntu server comme passerelle et relevé de log
la charte indique très clairement ce fait, et bloquer sur cette seul adresse ip n'est pas possible.
Concernant l'aspect juridique, je ne suis pas tout a fait au courant, mais cela voudrais dire que toutes les sociétés qui ont un firewall ou un outil de supervision réseau serait hors la loi ?
pas de coup de bâton, ce n'est qu'une question
Hors ligne
#16 Le 15/08/2010, à 19:55
- Kreocore
Re : Ubuntu server comme passerelle et relevé de log
iptraf en continu peut te donner tout ces renseignements et meme en temps reel
Hors ligne
#17 Le 15/08/2010, à 22:36
- ssdg
Re : Ubuntu server comme passerelle et relevé de log
Hum...
Je crois en tout cas que c'est particulièrement encadré.
s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.
Hors ligne
#18 Le 16/08/2010, à 08:13
- Xarkam
Re : Ubuntu server comme passerelle et relevé de log
Perso, je pense que tu prend le problème à l'envers.
Tu bloque tout les proto sauf celui dont tu a besoin pour la co au site.
Comme ca nulle besoin de commencer à regarder moult logs.
Par contre, un conseil, documente toi sur iptables.
Osames Manager
---
Asus Rampage V Extrême | Intel i7 5820K | Corsair 16GB DDR4 | NVIDIA GeForce 770GTX
Utilisateur d'Ubuntu, Debian, et Windows
Hors ligne