Discussion :

[Mythras]

Salut à tous !

Je cherche à développer une appli sous Windows qui me permettrait de rediriger des paquets en provenance ou à destination d'un site distant vers une autre destination (disons vers un proxy).

J'étudie la question depuis un petit moment et j'ai cru comprendre que j'avais plusieurs moyens de parvenir à mes fins, moyens plus ou moins compliqués et plus ou moins efficaces.

Ce que j'aimerais utiliser, ce sont les sockets RAW. J'ai téléchargé des sources de sniffers, j'ai bien compris le fonctionnement. J'ai lu de la doc, j'ai aussi compris comment fabriquer mes propres paquets.

Je sais donc intercepter des paquets et en envoyer. Mais je ne sais pas combiner les deux, c'est-à-dire faire fonctionner le modèle suivant :

1/ j'intercepte un paquet (une socket par protocole, TCP, UDP, ICMP..) venant de A et destiné à B.

2/ je redirige le paquet vers C.

3/ C fait sa tambouille et redirige vers B une fois le contenu scanné (en gros).

L'étape 1, j'ai ce qu'il faut, l'étape 3 aussi. Pour l'étape 2, mon idée d'origine était de router le paquet, mais je sais pas comment faire ; j'ai pensé l'encapsuler dans un nouveau paquet IP mais je ne sais pas comment gérer ça. Je me suis donc dit qu'il devait être possible de droper le paquet et d'en recréer un en ne modifiant que l'adresse de destination.

Est-ce possible et si oui comment ? Question subsidiaire, si c'est possible, n'est-ce pas trop bourrin ?

N'hésitez pas à donner vos conseils, idées, suggestions, critiques sur ma méthode, je patauge un peu.

Merci à vous !

[Mac LAK]

Le souci, c'est l'isolation au niveau réseau. J'explique : si A et B sont sur le même réseau, tu l'as dans l'os ! En effet, tu pourras certes intercepter le paquet, mais il te sera impossible d'empêcher B de recevoir son paquet également.

La seule solution, c'est de te mettre physiquement entre A et B (= les couper l'un de l'autre), et d'utiliser le PC faisant tourner ton application comme une passerelle... Ce qui présuppose, bien sûr, d'avoir deux connexions Ethernet : une vers A, une vers B, et ton entité C qui est soit un processus de la machine, soit sur un troisième brin réseau (= 3ème prise) OU sur le même sous-réseau que B.

[Mythras]

Merci pour ta réponse !
J'ai poursuivi mes recherches de mon côté et il semblerait que je ne puisse de toute façon pas utiliser les sockets RAW sous XP SP2 en particulier, car je ne pourrais pas générer de paquets UDP ou TCP mais seulement ICMP ou IGMP.

Ce qui abonde dans le sens de ta réponse. N'y aurait-il alors pas un autre moyen, en utilisant des API Windows par exemple, de parvenir à mes fins ? Je pense que c'est possible de le faire, des outils de sécurité comme ceux de Checkpoint arrivent bien à rediriger des flux vers leur interface ?

[Mac LAK]

J'ai poursuivi mes recherches de mon côté et il semblerait que je ne puisse de toute façon pas utiliser les sockets RAW sous XP SP2 en particulier, car je ne pourrais pas générer de paquets UDP ou TCP mais seulement ICMP ou IGMP.

Tu peux, pourtant, ne serait-ce que via WinPCAP... Que je ne saurais trop te conseiller d'utiliser afin d'éviter les mains dans le cambouis qui tache : l'ouverture de raw sockets demande d'être administrateur, alors que WinPCAP peut tourner (et effectuer le service) y compris pour les utilisateurs "normaux".

Ce qui abonde dans le sens de ta réponse. N'y aurait-il alors pas un autre moyen, en utilisant des API Windows par exemple, de parvenir à mes fins ? Je pense que c'est possible de le faire, des outils de sécurité comme ceux de Checkpoint arrivent bien à rediriger des flux vers leur interface ?

Non, ils ne peuvent pas. Ils capturent le flux entrant et peuvent permettre de stopper un flux plus ou moins longtemps, mais ils ne peuvent pas effectuer une interception avec réécriture des trames... Du moins en TCP/IP, car en général tu aboutis à une désynchronisation à très brève échéance.
Dans tous les cas, cela reste à la limite anecdotique tant que tu n'as pas réglé le problème (réel) de l'isolation réseau.

Je te rappelle également, à titre informatif, que le spoofing en dehors de TES machines est illégal dans l'immense majorité des cas.

[Mythras]

Et pourtant j'aurai besoin de les mettre, les mains dans le cambouis. Je dois intégrer ce "module" à un programme déjà existant mais qui tourne en tant que service ; aucun problème donc en ce qui concerne les droits.

Je ne peux pas croire qu'il ne soit pas possible de faire ce que je veux ; avec iptables par exemple je pourrais le faire, ce n'est pas possible que rien ne le permette sous Windows...

Et je précise que la redirection que je voulais faire intervient uniquement localement, il ne s'agit en aucun cas de spoofing

[Mac LAK]

Si c'est juste l'examen et l'autorisation (ou non !) du passage d'une trame, oui, c'est possible. Tu peux configurer le firewall à la volée, faire un hook sur la pile TCP/IP (avec des surprises à l'arrivée de Vista), etc.

Mais intercepter complètement une communication destinée à une autre application, la modifier et la rediriger ensuite vers l'application d'origine qui répondra d'elle-même à l'appelant initial, le tout sur la même machine (avec ton service qui va gentiment avoir un port en écoute déjà ouvert), et sur le même réseau, c'est vraiment pas gagné d'avance quand même. Y compris avec iptables...

Sinon, tu peux toujours passer par une machine virtuelle pour effectuer l'isolation réseau, tout dépend de la charge de la machine...