IDS, IDP inline/offline mais où est donc passé le bon vieux HUB de naguère servant à réaliser des analyses réseau. Certes, il est vrai, de temps en temps avec quelques paquets perdus en chemin. Le Hub s'est transformé de nos jours en re-paramétrage de switchs permettant d'activer la réplication de paquets d'un port ou d'un réseau virtuel par l'entremise d'un port SPAN ou TRUNK selon la cible.

Néanmoins, la mise en place d'une sonde ou d'un dispositif d'analyse réseau, sans avoir les mots de passe des organes du système d’informations, sans impacter le paramétrage ou les performances du Switch est un exercice parfois un peu douloureux. Surtout lors de l’utilisation d’un Hub entre un Switch et le serveur à analyser, car le hub va causer immanquablement moult paquets en erreurs, parfois détectés en aval par le Switch qui va immédiatement couper le port ainsi détecté défaillant. Il peut, dés lors, résulter de cette opération une situation gênante voir cauchemardesque selon la criticité du flux « écouté ».

Dans ces deniers retranchements, seul un TAP peut permettre de réaliser des écoutes sur le terrain en toute quiétude sans impacter les matériels. Ces dispositifs d'écoute allant jusqu’au gigabit aussi bien en cuivre qu'en optique peuvent réaliser le prodige de la réplication sans effet pervers.

Les avantages du TAP sont les suivants :

• pas de coupure du flux en cas de panne électrique ou de défaillance du boîtier,
• fonctionnement à l'image d’une diode bloquant physiquement l'émission de paquets provenant de la sonde. Ainsi un attaquant qui arriverait à prendre le contrôle d'une sonde (ce qui représente déjà un beau prodige quand elle ne possède pas d'adresse et encore moins de pile IP) ne peut passer outre le mode de fonctionnement physique du TAP.

Le problème principal d’un TAP classique, est que ce dispositif ne permet pas de mêler RX et TX. Dés lors, l’utilisateur se trouve avec des flux RX et TX séparé ainsi quatre câbles sortent du boitier comme présenté ci-dessous :

Nota: le cable orange est remplacé par deux cables noirs

Le probléme de séparation entre RX/TX peut être résolu grâce au kernel de FreeBSD (linux reste non testé à ce jour mais doit également permettre une telle manipulation). La méthode utilisée repose sur l’agrégation les flux RX et TX sur une interface réseau virtuelle en utilisant Netgraph.

Enfin, suite à cette manœuvre les paquets arrivent dans un fichier en format PCAP pour les utilisateurs du sniffer Tcpdump, reste une autre difficulté : l’analyse de plusieurs Giga-octets de traces lorsque que l’on a utilisé un sniffer en situation normale (RDP, échange de fichier, voix). Dés lors, l’utilisation d’un logiciel de découpe de paquet PCAP comme Tcpslice permet de limiter l’impact mémoire et le travail de l’analyseur.

Au final, un TAP reste le meilleur compromis pour réaliser une analyse ou la mise en place d’une sonde de détection d’intrusion en limitant l’impact sur le réseau. Tout en prévenant au mieux les équipes réseaux et systèmes, qui a parlé de test d’intrusion interne en aveugle ? ;p

Ce billet a été posté le Vendredi 15 Septembre, 2006 à 13:13 dans la catégorie MATERIELS. Vous pouvez Laisser une réponse, ou "trackback" provenant de votre site.