Discussion :

[bessonnet]

bonjour,
je vous explique mon projet :
j'aimerais realiser (en gros) un systeme de detection d'intrusion :
ma passerelle analyse le traffic sur interface etho (toutes requete arp), je voudrais :
- en temps reel mettre tout ce que ma passerelle analyse dans un fichier,
- lire le fichier,
- recuperer les adresses source des requetes arp dans le fichier lue
- puis supprimer chaque ligne lues au fur et a mesure.

le but etant de comparer les adresses ip lues au adresses ip acceptées dans les reseaux privés, si cela ne correspond pas, couper la connexion internet

shema reseau:
(internet)-(modem/routeur)\-etho(passerelle/firewall)-(reseauxprivé{2})
xxxxxxxxxxxxxxxxxxxxxxxxxxx\
xxxxxxxxxxxxxxxxxxxx(reseaux privés{1})

j'ai un modem/routeur speedtouch 510 THOMSON;
passerelle/firewall linux (fedora core 4, shorewall);
sniffer tcpdump;
reseaux privés sous linux et windows.

mes problemes :

1) je ne sais pas comment lire et supprimer au fur et a mesure dans un fichier, j'ai chercher et trouver une solution : le buffer circulaire, mais je ne sais pas comment le mettre en oeuvre.
pour le moment je fais :
tcpdump -i eth0 -p arp > trace.txt (lancer par un script)
puis j'arrete le sniffer sans quoi je ne peux pas lire ce qu'il a analysé dans mon fichier trace.txt.
mais j'ai besoin de realiser cela en temps réel, pouvez vous m'aidez s'il vous plait ?

2)j'aimerais par un script automatisé la deconnexion à internet je ne sais pas comment faire . comment lancer une session telnet securisée par ssh via un script shell ou un traitement php. ou peut etre autre si vous avez des idées ?

voila si vous pouviez m'aider à realiser mon projet, je vous en serais reconnaissante.

merci

[ofostier]

Hello,

en se qui concerne la connexion ssh, jette un oeil sur ssh2
si le serveur est sous linux tu doit pouvoir rajouter l'extension ssh2.so dans Php.ini
ensuite tout est basé sur l'utilisation des socket comme "fsockopen" et toute la clique.

Pour pouvoir lire ton fichier en même tep qu'il est écrit, ca me parrait plus compliqué.
Tu peux essayé de faire une redirection ou bien peut être une rotation de fichier
ex:
- le script 1 ecrit dans le fichier 1
- le fichier 1 atteint 1000 lignes alors
- le script 1 copie ce fichier 1 et le renomme en fichier 2
- le script 1 regenère un nouveau fichier 1
- le script 2 detecte et traite le fichier 2
- le fichier 1 supprime le fichier 2 après traitement
- le script 1 detecte que le fichier 2 n'existe plus
- le script 1 copie ce fichier 1 et le renomme en fichier 2
- etc etc

Voila je ne sais pas ce que ca peux donner niveau performance
Si jamais ca peut t'aider !?

Bye

O.FOSTIER
Ni dieu Ni maitre

[bessonnet]

merci pour ton aide je vai essayer comme ça ! je vai dupliquer mes logs.
j'aurais donc un script qui gere la duplication et qui lance un script (programme en C) permettant les gestion des @ip, mais sais tu comment je pourrais faire pour recuperer une valeur de mon programme C sur mon script shell ?

et pour ssh, j'ai laisser tomber je suis apsser à telnet, je dois me connecter sur mon modem routeur, ce n'est pas un serveur ssh.

merci

[bessonnet]

je suis encore a faire mes programmes, mais pour la redirection cela marchera t'il si je fais dans mon script shell :
tcpdump -i eth0 -p arp >> trace.txt
je pourrais lire dans ce fichier et supprimer les lignes que j'aurais lu ?
le programme ecrira dedans couremment. il vaut mieux que je face des script comme vous me le proposez ?

merci aux bonnes ames qui tenterons de me repondre.

[ofostier]

Le pb c'est la lecture et l'écriture dans le même fichier !!
A la vitesse ou défile les trames réseau a mon avis ca va être un peu lourd pour ton systeme.

L'alternative rotation de fichier ou insertion dans une base Mysql par exemple
me semble jouable et plus performant.

Bye
O.FOSTIER

[bessonnet]

ok merci et bien je pense que je vai faire ça avec differents script shell,
auriez vous un modele, excusez moi je n'y connais pas grand chose au script shell, je suis novice dans la programmation.
merci