Dans cet article je vais rapidement présenter comment installer un pont transparent pour faire une étude rapide des flux réseaux transitant entre différents nœuds de l’infrastructure.
Pré-requis
Au niveau matériel, j’ai récupéré un vieil ordinateur avec une carte réseau à 100Mbits, et je lui ai ajouté 2 autres cartes réseau à 1000Mbits celles là.
Je commence à partir d’une installation netinstall d’une distribution Debian Etch. L’installation étant minimale, j’ai besoin au préalable d’ajouter quelques paquets.
Installation logiciel
Je mets déjà à jour le fichier /etc/apt/sources.list avec les informations suivantes:
deb http://ftp.fr.debian.org/debian/ etch main deb-src http://ftp.fr.debian.org/debian/ etch main deb http://security.debian.org/ etch/updates main contrib deb-src http://security.debian.org/ etch/updates main contrib
suivi des requêtes d’update pour le système
aptitude update aptitude dist-upgrade
Maintenant j’ajoute le paquet pour gérer les bridges … (je ne comprends d’ailleurs pas pourquoi nativement le paquet n’est pas installé. Les *BSD et OpenSolaris ont ces fonctionnalités en mode “minimal”)
aptitude install bridge-utils
Configuration
Ma carte 100Mbits est identifiée comme étant eth0. Ce lien nous servira uniquement pour la gestion du “pont”.
Les 2 autres cartes à 1000Mbits sont reconnues comme eth1 et eth2, elles seront les composantes du “pont”.
ifconfig eth0 ip netmask 255.255.255.0 ifconfig eth1 0.0.0.0 ifconfig eth2 0.0.0.0 brctl addbr mon_bridge brctl addif mon_bridge eth1 brctl addif mon_bridge eth2 brctl stp mon_bridge on ifconfig mon_bridge up
J’ai activé le Spanning Tree pour éviter les boucles dues aux branchements hasardeux (ou trop rapides).
Quelques outils
Une fois le pont placé et configuré, j’installe deux applications différentes pour capturer les paquets transitant à travers l’interface.
aptitude install tcpdump ntop
J’utilise essentiellement TCPDUMP pour sauvegarder les paquets dans un fichier (pour une analyse en différé).
NTOP permet d’avoir des statistiques plus “directes” du traffic réseau, via une interface Web.
J’aurais pu installer aussi le logiciel TSHARK qui est la version texte du logiciel phare wireshark.
Voilà, je ferai peut-être un post plus tard sur l’utilisation intensive de ces applications.
