Discussion :

[Invité]

Bonjour à tous,

Je suis nouveau sur ce site, donc peut-être que le problème a déjà été soulevé. Je vous expose ce dernier.

J'ai pour projet de développer un script (en langage C) qui va permettre de bloquer un port dès qu'une personne malveillante va se connecter soit sur le switch directement, soit à une prise murale. Un script a déjà été fait en php mais celui-ci scanne toutes les 5 min, et ce que l'on veut, c'est un script en C qui permet de ne pas trop polluer le réseau avec le scan.

Mon problème est que je ne sais pas trop par où commencer, si des exemples de script existent pour ce genre d'application. Par ailleurs, je ne veux pas utiliser d'IDS, car le maître mot dans l'entreprise est "scripting".

Je vous remercie d'avance pour vos remarques et réponses

[gangsoleil]

Bonjour,

C'est quoi un script en langage C ?

Comment veux-tu connaitre l'etat d'un port sans envoyer une requete ? Tu as acces aux switchs ?

[Obsidian]

Bonjour et bienvenue,

Je ne comprends pas trop ce que tu veux faire exactement, car ta description est trop imprécise.

D'abord, bloquer un port relève de la programmation système et pas du langage C en particulier. Ça veut dire que c'est intimement dépend de l'O.S. que tu utilises, et que l'on ne connaît pas encore. Sous Linux, par exemple, tout ou presque se fait à travers iptables, qui fait cela très bien.

Ensuite, tu veux bloquer le port de quelle machine ? Celle que l'on branche à ladite prise murale ou les serveurs de ta compagnie ? En plus, dans les deux cas, le plus sage est de fermer le port a priori. Pas au moment où la machine est connectée.

Enfin, il faut absolument sortir des clichés dans lesquels les « attaques » sont des sortes de gros missiles contre lesquels on se protège comme on peut. Filtrer un réseau, c'est un peu comme se faire poser le téléphone chez soi puis, ensuite, installer un dispositif sur son téléphone pour l'empêcher de sonner quand quelqu'un appelle. Il est important de bien comprendre cela pour concevoir une protection adaptée (ce qui consiste entre autre à ne pas entraver inutilement les portions du réseau qui n'ont pas de raison de l'être).

[Invité]

Je vais tenter d'être un peu plus clair.

La problématique est la suivante: nous avons un parc informatique de quelques centaines machines, reliés sur plusieurs switchs (de chez Nortel). Nous avons la main sur ces switchs grâce à un petit outil nommé ESM qui est bien pratique pour les administrer. Sur ces switchs, certains ports sont désactivés, d'autres activés mais non utilisés, et d'autres activés et en utilisation.
Par l'intermédiaire d'un script, on voudrait pouvoir être en mesure de détecter un intrus qui s'est installé sur le réseau (donc sur un port activé) en vérifiant dans une BdD qu'il n'est pas parmis les ordinateurs légitimes du réseau. Le problème est que je ne sais pas quand est-ce que l'on peut savoir qu'un port est utilisé si ce n'est en lui envoyant des paquets, donc en faisant des scans à intervalles réguliers. Mais ce n'est pas ce que l'on souhaite.
C'est pour cela que je demandais des exemples de script afin de m'en inspirer afin de trouver une solution

[gangsoleil]

Bonjour,

Si tu as la main sur les switchs, regarde s'il n'est pas possible de generer une alarme SNMP a chaque fois qu'un branchement s'effectue.

[Obsidian]

Par l'intermédiaire d'un script, on voudrait pouvoir être en mesure de détecter un intrus qui s'est installé sur le réseau (donc sur un port activé) en vérifiant dans une BdD qu'il n'est pas parmis les ordinateurs légitimes du réseau. Le problème est que je ne sais pas quand est-ce que l'on peut savoir qu'un port est utilisé si ce n'est en lui envoyant des paquets, donc en faisant des scans à intervalles réguliers. Mais ce n'est pas ce que l'on souhaite.

En principe, à moins d'avoir un équipement vraiment très vieux, il est quand même possible de savoir au niveau de la couche physique si un brin est relié à une prise et est sous tension (autrement dit : si la petite LED s'allume), ce qui devrait déjà répondre à tes premières questions.

Ensuite, ce qu'il faut faire à ce niveau, c'est configurer tous tes ports avec une seule règle par défaut qui n'autorise le trafic que vers un serveur d'authentification. De là, un client installé sur les machines « approuvées » ouvre une connexion sécurisée vers ce serveur avec du SSL/TLS ordinaire, et notamment un certificat pré-établi. Il peut alors s'authentifier et, de là, c'est le serveur qui envoie un ordre au switch pour débrider le port concerné.