Pb action automatisée en cas d'alerte [Résolu]

bessonnet · 21/04/2006, 15h27

bonjour,
je vous explique mon projet :
j'aimerais realiser (en gros) un systeme de detection d'intrusion :
ma passerelle analyse le traffic sur interface etho (toutes requete arp), je voudrais :
- en temps reel mettre tout ce que ma passerelle analyse dans un fichier,
- lire le fichier,
- recuperer les adresses source des requetes arp dans le fichier lue
- puis supprimer chaque ligne lues au fur et a mesure.

le but etant de comparer les adresses ip lues au adresses ip acceptées dans les reseaux privés, si cela ne correspond pas, couper la connexion internet

shema reseau:
(internet)-(modem/routeur)\-etho(passerelle/firewall)-(reseauxprivé{2})
xxxxxxxxxxxxxxxxxxxxxxxxxxx\
xxxxxxxxxxxxxxxxxxxx(reseaux privés{1})

j'ai un modem/routeur speedtouch 510 THOMSON;
passerelle/firewall linux (fedora core 4, shorewall);
sniffer tcpdump;
reseaux privés sous linux et windows.

mes problemes

:

1) je ne sais pas comment lire et supprimer au fur et a mesure dans un fichier, j'ai chercher et trouver une solution : le buffer circulaire, mais je ne sais pas comment le mettre en oeuvre.
pour le moment je fais :
tcpdump -i eth0 -p arp > trace.txt (lancer par un script)
puis j'arrete le sniffer sans quoi je ne peux pas lire ce qu'il a analysé dans mon fichier trace.txt.
mais j'ai besoin de realiser cela en temps réel, pouvez vous m'aidez s'il vous plait ?

2)j'aimerais par un script automatisé la deconnexion à internet je ne sais pas comment faire

. comment lancer une session telnet securisée par ssh via un script shell ou un traitement php. ou peut etre autre si vous avez des idées ?

voila si vous pouviez m'aider à realiser mon projet, je vous en serais reconnaissante.

merci

ofostier · 26/04/2006, 22h47

Hello,

en se qui concerne la connexion ssh, jette un oeil sur ssh2
si le serveur est sous linux tu doit pouvoir rajouter l'extension ssh2.so dans Php.ini
ensuite tout est basé sur l'utilisation des socket comme "fsockopen" et toute la clique.

Pour pouvoir lire ton fichier en même tep qu'il est écrit, ca me parrait plus compliqué.
Tu peux essayé de faire une redirection ou bien peut être une rotation de fichier
ex:
- le script 1 ecrit dans le fichier 1
- le fichier 1 atteint 1000 lignes alors
- le script 1 copie ce fichier 1 et le renomme en fichier 2
- le script 1 regenère un nouveau fichier 1
- le script 2 detecte et traite le fichier 2
- le fichier 1 supprime le fichier 2 après traitement
- le script 1 detecte que le fichier 2 n'existe plus
- le script 1 copie ce fichier 1 et le renomme en fichier 2
- etc etc

Voila je ne sais pas ce que ca peux donner niveau performance
Si jamais ca peut t'aider !?

Bye

O.FOSTIER
Ni dieu Ni maitre

bessonnet · 27/04/2006, 08h29

merci pour ton aide je vai essayer comme ça ! je vai dupliquer mes logs.
j'aurais donc un script qui gere la duplication et qui lance un script (programme en C) permettant les gestion des @ip, mais sais tu comment je pourrais faire pour recuperer une valeur de mon programme C sur mon script shell ?

et pour ssh, j'ai laisser tomber je suis apsser à telnet, je dois me connecter sur mon modem routeur, ce n'est pas un serveur ssh.

merci

bessonnet · 27/04/2006, 08h55

je suis encore a faire mes programmes, mais pour la redirection cela marchera t'il si je fais dans mon script shell :
tcpdump -i eth0 -p arp >> trace.txt
je pourrais lire dans ce fichier et supprimer les lignes que j'aurais lu ?
le programme ecrira dedans couremment. il vaut mieux que je face des script comme vous me le proposez ?

merci aux bonnes ames qui tenterons de me repondre.

ofostier · 27/04/2006, 10h56

Le pb c'est la lecture et l'écriture dans le même fichier !!
A la vitesse ou défile les trames réseau a mon avis ca va être un peu lourd pour ton systeme.

L'alternative rotation de fichier ou insertion dans une base Mysql par exemple
me semble jouable et plus performant.

Bye
O.FOSTIER

bessonnet · 27/04/2006, 11h22

ok merci et bien je pense que je vai faire ça avec differents script shell,
auriez vous un modele, excusez moi je n'y connais pas grand chose au script shell, je suis novice dans la programmation.
merci

bessonnet · 27/04/2006, 16h07

encore une petite chose, je suis à faire les scripts comme vous m'avez dit, je voulais savoir comment à partir d'un de ces script puis je lancer mon programme C ???

et comment puis-je recuperer une valeur de mon programme C dans mon script shell ?

merci encore pour votre aide.

bessonnet · 28/04/2006, 08h53

etant vraiment novice dans ce domaine j'aurais vraiment besoin de votre aide:
j'ai donc créé ces deux script shell, mais il y a des methodes que je ne sais pas comment realiser.
pouvez vous m'aider ? me donner une piste vers ou chercher ?

traitement.sh :

#!/bin/bash
# lancement du sniffer et recuperation des donnees

while 1
do
# lancement de l'analyse reseau
tcpdump -i eth0 -d arp > trace.txt

#quand trace.txt atteint 1000 lignes, on le renomme et on recommence
if ((awk 'END {FNR}' trace.txt) -eq 1000)
then mv trace.txt logARP.txt
fi

# lancement du deuxième script qui permet le traitement des 1000 lignes
bash script2.sh
done
#Fin

traitement2.sh :

#!/bin/bash
# appel du programme C et arret de la connexion internet

# lancement du programme C
/* je ne sais pas comment faire */

# alerte : arret de la connexion internet
$MACHINE="192.168.1.254"
$LOGIN="Administrator"
$PWD=$LOGIN
$COMMANDE="ppp ifdetach"

telnet $MACHINE
$LOGIN
$PWD
$COMMANDE
#Fin

bessonnet · 28/04/2006, 14h18

bonjour,
j'aurais encore un peu besoin d'aide, si vous le pouvez :
comment puis je lancer un script shell d'un programme C ?

merci

bessonnet · 12/05/2006, 10h35

j'ai realiser deux script, un qui lance tcpdump et qui renvoie une 100 de trames sniffer dans un fichier, quand les 100 trames y sont on arrete de sniffer et on traite les trames (c'est la que le deuxième script prend effet)

le deuxième script s'occupe de lire une a une les ligne du fichier contenant les trames, d'en extraire l'adresse ip source et de recuperer les trois première partie de l'ip pour les comparer à celle des ip autorisé.
si elle ne sont pas autorisée alors un message d'alerte s'affiche sur l'ecran, un mail est envoyer à l'administrateur des reseaux et la connexion à internet est couper.

j'ai encore quelque pb sur le mail a envoyer et sur la coupure de la connexion internet.

si quelqu'un peut m'aider, ce serai avec joie que je l'ecouterais ou lirais ses commentaires.

merci

bessonnet · 23/06/2006, 10h45

pour la deconnexion, j'ai fais un script shell ouvrant une session telnet sur le modem/routeur.
pour les mails j'ai utiliser la fonction mail
mail -s "sujet" destinataire@fai.fr

voir postfix

21/04/2006, 15h27	#1
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	Pb action automatisée en cas d'alerte bonjour, je vous explique mon projet : j'aimerais realiser (en gros) un systeme de detection d'intrusion : ma passerelle analyse le traffic sur interface etho (toutes requete arp), je voudrais : - en temps reel mettre tout ce que ma passerelle analyse dans un fichier, - lire le fichier, - recuperer les adresses source des requetes arp dans le fichier lue - puis supprimer chaque ligne lues au fur et a mesure. le but etant de comparer les adresses ip lues au adresses ip acceptées dans les reseaux privés, si cela ne correspond pas, couper la connexion internet shema reseau: (internet)-(modem/routeur)\-etho(passerelle/firewall)-(reseauxprivé{2}) xxxxxxxxxxxxxxxxxxxxxxxxxxx\ xxxxxxxxxxxxxxxxxxxx(reseaux privés{1}) j'ai un modem/routeur speedtouch 510 THOMSON; passerelle/firewall linux (fedora core 4, shorewall); sniffer tcpdump; reseaux privés sous linux et windows. mes problemes : 1) je ne sais pas comment lire et supprimer au fur et a mesure dans un fichier, j'ai chercher et trouver une solution : le buffer circulaire, mais je ne sais pas comment le mettre en oeuvre. pour le moment je fais : tcpdump -i eth0 -p arp > trace.txt (lancer par un script) puis j'arrete le sniffer sans quoi je ne peux pas lire ce qu'il a analysé dans mon fichier trace.txt. mais j'ai besoin de realiser cela en temps réel, pouvez vous m'aidez s'il vous plait ? 2)j'aimerais par un script automatisé la deconnexion à internet je ne sais pas comment faire . comment lancer une session telnet securisée par ssh via un script shell ou un traitement php. ou peut etre autre si vous avez des idées ? voila si vous pouviez m'aider à realiser mon projet, je vous en serais reconnaissante. merci
	00

26/04/2006, 22h47	#2
ofostier Membre du Club Inscription : avril 2005 Messages : 59 Détails du profil Informations personnelles : Âge : 40 Informations forums : Inscription : avril 2005 Messages : 59 Points : 63 Points : 63	Info Hello, en se qui concerne la connexion ssh, jette un oeil sur ssh2 si le serveur est sous linux tu doit pouvoir rajouter l'extension ssh2.so dans Php.ini ensuite tout est basé sur l'utilisation des socket comme "fsockopen" et toute la clique. Pour pouvoir lire ton fichier en même tep qu'il est écrit, ca me parrait plus compliqué. Tu peux essayé de faire une redirection ou bien peut être une rotation de fichier ex: - le script 1 ecrit dans le fichier 1 - le fichier 1 atteint 1000 lignes alors - le script 1 copie ce fichier 1 et le renomme en fichier 2 - le script 1 regenère un nouveau fichier 1 - le script 2 detecte et traite le fichier 2 - le fichier 1 supprime le fichier 2 après traitement - le script 1 detecte que le fichier 2 n'existe plus - le script 1 copie ce fichier 1 et le renomme en fichier 2 - etc etc Voila je ne sais pas ce que ca peux donner niveau performance Si jamais ca peut t'aider !? Bye O.FOSTIER Ni dieu Ni maitre
	00

27/04/2006, 08h55	#4
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	pour la redirection je suis encore a faire mes programmes, mais pour la redirection cela marchera t'il si je fais dans mon script shell : tcpdump -i eth0 -p arp >> trace.txt je pourrais lire dans ce fichier et supprimer les lignes que j'aurais lu ? le programme ecrira dedans couremment. il vaut mieux que je face des script comme vous me le proposez ? merci aux bonnes ames qui tenterons de me repondre.
	00

27/04/2006, 10h56	#5
ofostier Membre du Club Inscription : avril 2005 Messages : 59 Détails du profil Informations personnelles : Âge : 40 Informations forums : Inscription : avril 2005 Messages : 59 Points : 63 Points : 63	Lecture et Criture Le pb c'est la lecture et l'écriture dans le même fichier !! A la vitesse ou défile les trames réseau a mon avis ca va être un peu lourd pour ton systeme. L'alternative rotation de fichier ou insertion dans une base Mysql par exemple me semble jouable et plus performant. Bye O.FOSTIER
	00

27/04/2006, 11h22	#6
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	sans ecriture ok merci et bien je pense que je vai faire ça avec differents script shell, auriez vous un modele, excusez moi je n'y connais pas grand chose au script shell, je suis novice dans la programmation. merci
	00

27/04/2006, 08h29	#3
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	merci pour ton aide je vai essayer comme ça ! je vai dupliquer mes logs. j'aurais donc un script qui gere la duplication et qui lance un script (programme en C) permettant les gestion des @ip, mais sais tu comment je pourrais faire pour recuperer une valeur de mon programme C sur mon script shell ? et pour ssh, j'ai laisser tomber je suis apsser à telnet, je dois me connecter sur mon modem routeur, ce n'est pas un serveur ssh. merci
	00

27/04/2006, 16h07	#7
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	script shell script C encore une petite chose, je suis à faire les scripts comme vous m'avez dit, je voulais savoir comment à partir d'un de ces script puis je lancer mon programme C ??? et comment puis-je recuperer une valeur de mon programme C dans mon script shell ? merci encore pour votre aide.
	00

28/04/2006, 08h53	#8
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	script shell etant vraiment novice dans ce domaine j'aurais vraiment besoin de votre aide: j'ai donc créé ces deux script shell, mais il y a des methodes que je ne sais pas comment realiser. pouvez vous m'aider ? me donner une piste vers ou chercher ? traitement.sh : #!/bin/bash # lancement du sniffer et recuperation des donnees while 1 do # lancement de l'analyse reseau tcpdump -i eth0 -d arp > trace.txt #quand trace.txt atteint 1000 lignes, on le renomme et on recommence if ((awk 'END {FNR}' trace.txt) -eq 1000) then mv trace.txt logARP.txt fi # lancement du deuxième script qui permet le traitement des 1000 lignes bash script2.sh done #Fin traitement2.sh : #!/bin/bash # appel du programme C et arret de la connexion internet # lancement du programme C /* je ne sais pas comment faire */ # alerte : arret de la connexion internet $MACHINE="192.168.1.254" $LOGIN="Administrator" $PWD=$LOGIN $COMMANDE="ppp ifdetach" telnet $MACHINE $LOGIN $PWD $COMMANDE #Fin
	00

28/04/2006, 14h18	#9
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	appeler un script shell d'un programme C bonjour, j'aurais encore un peu besoin d'aide, si vous le pouvez : comment puis je lancer un script shell d'un programme C ? merci
	00

12/05/2006, 10h35	#10
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	j'ai realiser deux script, un qui lance tcpdump et qui renvoie une 100 de trames sniffer dans un fichier, quand les 100 trames y sont on arrete de sniffer et on traite les trames (c'est la que le deuxième script prend effet) le deuxième script s'occupe de lire une a une les ligne du fichier contenant les trames, d'en extraire l'adresse ip source et de recuperer les trois première partie de l'ip pour les comparer à celle des ip autorisé. si elle ne sont pas autorisée alors un message d'alerte s'affiche sur l'ecran, un mail est envoyer à l'administrateur des reseaux et la connexion à internet est couper. j'ai encore quelque pb sur le mail a envoyer et sur la coupure de la connexion internet. si quelqu'un peut m'aider, ce serai avec joie que je l'ecouterais ou lirais ses commentaires. merci
	00

23/06/2006, 10h45	#11
bessonnet Candidat au titre de Membre du Club Inscription : mars 2005 Messages : 71 Détails du profil Informations forums : Inscription : mars 2005 Messages : 71 Points : 13 Points : 13	solution pour la deconnexion, j'ai fais un script shell ouvrant une session telnet sur le modem/routeur. pour les mails j'ai utiliser la fonction mail mail -s "sujet" destinataire@fai.fr voir postfix
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email