ISA ne voit rien, Ethereal voit tout, pourquoi ? - Logiciels d'entreprise - Systèmes & Réseaux Pro
Marsh Posté le 28-04-2007 à 14:30:22
je ne suis pas au travail en ce moment, je ne me souviens pas du terme exact mais dans le wizard c'est l'image ou l'on voit ISA avec une seule carte réseaux, il n'est pas front-end ni back-end ni 3-legs (DMZ).
Donc il n'a qu'une carte reseau mais au lieu de le mettre comme gateway pour qu'il voit les packets passer, j'ai mis les ports du switch en mirroir sur le port du ISA.
De cette façon, le PC peut être ajouter ou enlevé du reseau de façon transparente, et sniffer sans nécessiter de configuration complexe.
J'ai d'abord installé Ethereal pour vérifier que le mirroring fonctionne bien, puis ISA pour plus de convivialité, cependant, on m'avertit que ISA ignore simplement les packets mirroré si il n'est pas explicitement configuré comme passerelle (parce que finalement les packets ne lui sont pas destiné alors il les ignore) tandis que Ethereal vois tout sans distinction.
J'ai installé Websense avant de quitter le travail et cela semble fonctionner, je redonne des nouvelles lundi là dessus, ça me semble important en T.I. d'avoir une solution simple et accessible pour sniffer efficacement son propre réseau
Marsh Posté le 29-04-2007 à 19:10:50
Ethereal fonctionne en mode promiscious et pas ISA surement qui lui ne récup que les paquets correspondant à sa MAC.
Marsh Posté le 29-04-2007 à 19:11:28
mais qu'es ce que je peux faire ??
Websense va t'il fonctionner ?
Marsh Posté le 30-04-2007 à 12:08:36
ISA n'est juste pas un produit conçu pour faire ce que tu veux, et websense par vraiment non plus.
Et vu le prix des licences des 2, les utiliser pour faire ça c'est un peu du gachis
Un truc genre ntop est plus fait pour ça.
Marsh Posté le 30-04-2007 à 12:54:01
ntop c'est noté merci.....
toutefois même si la liscence coutait 2000$ la boite paierait pour savoir ce que les usagé font avec la bandwith.........
Marsh Posté le 30-04-2007 à 16:42:23
Mais t'as quoi actuellement pour donner l'acces au net de tes utilisateurs ?
Marsh Posté le 30-04-2007 à 17:32:29
un router Cisco 2600 fournit par le FAI, on touche pas...
un switch HP ProCurve 1800-8G qui fait office de 'DMZ', c'est là que je souhaite 'sniffer'
un Pix-506E
puis notre réseaux d'entreprise
j'essaie des dizaine de démo sans succès, rien de convivial et facile d'installation, je commence à etre perdu dans tout ça.
des PIX-log-analyser
des outils de monitoring, danalyse, de reporting, de management
tout ce que je souhaite c'est un outils qui fait des rapport avec ce que donne Ethereal par exemple. Sur une station qui regarderait un port en mode mirroir sur le switch principale de lentreprise, j'aurais donc les IP privé, la destination, le protocole et l'heure etc....
es-ce que mon réflexe est bizarre ? je veux dire il me semble que c'est le genre de données que l'on veut savoir sur son réseau d'entreprise !!
merci de m'aider dans mon épopée sans fin !!!!!!!!
Marsh Posté le 30-04-2007 à 17:41:43
Le truc c'est que quand on veut avoir un tel niveau de controle de sa connexion au net, généralement un met un proxy pour la gérer.
Et apres ça commence a devenir de la gestion réseau un petit peu avancé, au bout d'un moment faut depasser le stade des softs cliquodromes sous windows qui s'installent et se configurent en suivant-suivant si on veut monter en niveau.
Marsh Posté le 30-04-2007 à 17:56:04
eh bien dans le passé on as installé un serveur ISA en proxy, entre le firewall et le reseau privé.
le projet a été abandonné
manque de transparence de ISA, je m'explique..
- finit le routage à la main, maintenant avec ISA on 'publie'
- besoin d'un client sur chaque poste, impossible sur notre reseau
- service externe de l'entreprise altéré a chaque changement du ISA
il sera dorénavent difficile ici de remettre à l'ordre du jour l'idée d'une machine proxy ne servant qu'à sniffer.
d'ou mon idée du port mirroring
nous ne voulons pas de contrôle, seulement savoir ce qui se passe 'globalement', et SI il se passe des choses pas nette, un budget sera débloqué pour un outils performant de 'contrôle'
donc étape #1 dans mon cahier de charge, savoir de facon transparente et a peu de frais, ce qui se passe, de facon plus 'parlante' que Ethereal,
ensuite oui j'en conviens, les petites démo c'est pas sérieux en entreprise, mais on débloque pas un budget pour checkpoint ou autre avec des 'prémonitions'......
donc je répète, je ne veux pas 'contrôler', juste sniffer de facon transparente, pour débloquer le budget pour une vrai solution.
je suis dans la même situation que beaucoup d'entre vous j'en suis sur. La personne qui débloque le budget a aucune idée de ce dont on parle en T.I.
des conseils ?
inventer des rapports ?
une piste pour un Ethereal Reporting Tool Like ?
Marsh Posté le 30-04-2007 à 17:57:35
perso ntop me parfait correspondre à ce que tu souhaites faire
Marsh Posté le 30-04-2007 à 19:36:17
Vectteur a écrit : - finit le routage à la main, maintenant avec ISA on 'publie' |
Bah si on prend un solution comme ISA c'est pour eviter de faire trop de trucs a la main
Citation : - besoin d'un client sur chaque poste, impossible sur notre reseau |
Le client n'est pas indispensable, il le faut si tu veux faire des regles basés sur les utilisateurs.
Citation : - service externe de l'entreprise altéré a chaque changement du ISA |
Pas compris.
Mais bon, je vais pas chercher a te vendre ISA, a part pour les capacités de publication avancées vers les softs serveurs MS je suis vraiment pas fan
Marsh Posté le 30-04-2007 à 20:06:46
mais la a part jouer au plus fin tu as l'air de me prendre pour un idiot
pourquoi je viens encore sur HFR moi.........
Marsh Posté le 27-04-2007 à 15:08:57
J'ai un switch HP qui tient ma DMZ
tous les ports (#1 à #7) sont en mode mirroir et redirigé sur le port #8
sur ce port j'ai un PC muni de ISA et Ethereal
avec Ethereal je vois tout passer mais j'aimerais faire un rapport mensuel contenant :
les heures d'achalandages
les protocoles qui prenne la bande passante
la quantité d'information (en meg) mensuelle
donc rien de bien compliqué
j'installe ISA en mode ''1 carte reseaux'', je monitor avec ethereal pour vérifier quil y a bien des requetes qui passe [200 PC derriere la DMZ] et Ethereal vois tout MAIS ISA ne voit strictement rien sauf lui-meme.
je n'ai aucune piste, sinon qu'une blackbox en LINUX réglerait mes problèmes si je savais comment faire.
d'autre avis ?
Message édité par Krapaud le 28-04-2007 à 12:33:18
---------------
ceci est un bloc de texte