Serveur VPN Cisco et Client Pfsense
-
Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.
Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même
Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.
[EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.
-
Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.
Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même
Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.
[EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.
Que voulez-vous faire? Un tunnel VPN site à site? SI c'est un VPN site à site, vous ne pourrez pas au travers "utiliser le VPN pour authentifier les utilisateurs"!
Vous pouvez par contre utiliser des règles de filtrage au niveau du pfSense. Je ne sais pas s'il est possible d'utiliser une authentification user dans les règles de filtrage…
My 2 cents.
-
L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).
Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.
Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.
Ce n'est peut-être pas la solution, je m'y prend peut-être mal.
Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.
Salutations.
-
L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).
Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.
Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.
Ce n'est peut-être pas la solution, je m'y prend peut-être mal.
Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.
Salutations.
Heuuuuu… Suis-je le seul à trouver que le VPN ne correspondra absolument pas à votre demande...
-
Je ne peu pas changer le routage dynamiquement en fonction de l'ordre que je recoi pour faire passer la machine par la station d'interception.
Alors je monte un VPN pour faire passer la machine à intercepter par la station d'interception.
Mais je ne sais pas comment authoriser qu'un utilisateur du portail captif à passer par le VPN et lorsque je traceroute ma sortie depuis pfSense avec le VPN actif, il ne passe pas par le chemin d'interception.
Je dois manquer quelque chose.
-
L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).
Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau. -
Je suis en suisse, je ne doit mettre sur écoute que l'utilisateur sélectionné, m'assurer qu'il n'y a que lui qui transite pour l'écoute du flux réseau.
On est pas en plein "Guignol" pour preuve le lien de la "Lawful Interception" en Suisse …
https://www.li.admin.ch/fr/documentation/downloads/trts_oar.htmlLa méconnaissance technologique, c'est possible.
On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.
Au lieu de me dire qu'on a pas besoin de tout cela, on a besoin de quoi alors ?
La topologie réseau est intrinsèque à l'entreprise. La partie à gauche de l'ALIX (compris) correspond au réseau des clients. A droite, l'entreprise. Je doit limiter l'usage de la bande passante pour l'interception des données, cela doit être le plus transparent possible. Voilà pourquoi je voulais intercepter uniquement ce qui passait par le VPN.
PS: Merci pour cette réponse condescendante au possible.
Salutations
-
L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).
Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.Contacte E. Snowden - il aura certainement la réponse à ton problème !
Sinon tu peux regarder SecurityOnion ou faire l'acquisition du dernier livre de Richard Bejtlich : "The practice of Network Security Monitoring".
Tu peux aussi essayer de déployer pfflowd (mais tu n'auras que les trames et pas le contenu).En tout cas, je ne sais pas qui te donne des "ordres d'interception" mais c'est illégal dans la plupart des pays Européens de capter le trafic Internet d'un utilisateur à son insu (cf. post de CCNet).
C'est intéressant de voir qu'en Suisse cela peut être légal ! -
Pour les trames il me faut effectivement le contenu.
Au fait c'est un projet pour une entreprise qui a des Hotspot : Pour faire simple, elle est propriétaire de ces adresses IP, si un utilisateur va sur du contenu illicite (ex: pédophilie), le propriétaire des adresses est l'entreprise. Elle doit donc mettre à disposition des autorités une solution d'interception.
Cette entreprise a un "pseudo" statut de provider, ce qui l'oblige à mettre en place une solution de ce type.
Mon but est d'en démontrer la faisabilité dans le cadre de mon travail de Bachelor.
[Edit] Les ordres d'interception sont envoyés en format XML par l'Etat.
-
Ok.
Alors, la solution VPN n'est pas la bonne solution. Par contre, ces utilisateurs, ils ont en wifi ou en câblés?
Si en câblé, il est possible de faire du SPAN de port (copie du traffic réseau d'un port vers un autre port local ou non).
Pour du WiFi, ça va être plus compliqué…
Restera "accessoirement" le cassage du HTTPS...
-
Pas de WiFi, uniquement filaire.
Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.
Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.
L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?
Salutations et merci pour les réponses.
-
Pas de WiFi, uniquement filaire.
Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.
Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic... Idem si plusieurs machines sont connectées, un applicatif peut faire le tri...
Par contre, vous allez multiplier le trafic par le nombre de port "spannés"!
Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.
L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?
Tout se trouve dans les 2 derniers mots…
-
Pour commencer, si vous aviez précisé votre contexte (Suisse et un travail d'étudiant) il se peut que les choses eut été reçues différemment. A titre d'exemple, je ne reçois pas de la même façon une demande d'un client qui s'inquiète de tentative d'intrusion et celle de celui qui veut la liste des sites visités par ses collaborateurs. De même un officier de police judiciaire, muni d'un commission délivrée par un juge, ne reçoit pas le même accueil. Voilà pour le premier point.
Deuxième point dans le lien que vous donnez il y a une liste de 1 liens directs. Si vous êtes en mesure de préciser le document qui stipule ces dispositions, j'en prendrai connaissance avec intérêt. Je demande donc à voir la disposition qui vous autoriserait ce type d'action. C'est quand même un point assez critique.
Venons en aux aspects techniques.
Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.
Je ne comprend pas. Dit de cette façon cela n'a pas de sens. J'image qu'il y en a un pour vous mais je ne le comprend pas.
Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.
Comment peut on penser qu'un vpn peut permettre l'écoute du trafic ? C'est quand même le contraire, par nature même du vpn. Charles, va comprendre … En quoi rediriger un trafic (ce qui est basiquement un problème de routage) vers un vpn permet l'écoute du trafic en question dans le vpn. Diffie, Hellman et d'autres se sont quand bien cassé la tête pour que ce ne soit pas possible cette attaque de l'homme du milieu. Je me dis que vous avez une conception toute particulière du vpn. A partir du moment où le client monte un tunnel, le trafic vous échappe et selon le type de vpn vous ne connaitrez que les passerelles aux extrémités et même pas les ip sources et destinations. Ne parlons même pas des adresses mac dès lors qu'elles traversent les dites passerelles.
Bien évidement la mise en place d'un span port sur les équipements de commutation est la solution et l'on active la copie en fonction des demandes. cette copie est dirigée vers un réseau spécifique qui évite en premier lieu la pollution du réseau en terme de charge (est vraiment sensible ?) et surtout rend la détection de l'écoute impossible depuis le réseau normal : pas de trafic supplémentaire généré. Comme proposé par Psylo un applicatif peut faire le tri.
Après il y des solutions plus immédiates, moins élégantes ... scapy en quelques lignes de commande est capable d'écouter un réseau commuté.
Rien de tout cela ne concerne directement Pfsense. L'approche manque de pragmatisme et de discernement. Snowden est peut être un peu "tendu" en ce moment mais il aurait surement un bon outils à proposer, pas forcément disponible en téléchargement.
-
Le VPN ne me permet pas en soit l'écoute du trafic. Je l'utilise pour faire passer le trafic par un autre endroit d'où j'intercepte les communication. Je route différemment en fonction de l'adresse source. Si elle fait partie du réseau VPN, je route vers l'interception, sinon directement vers la sortie.
Pour le lien de la "Guideline" si cela vous intéresse, le voici : https://www.li.admin.ch/download/TR_TS_v3_1_20121109.pdf.
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.
Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.
L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?
Tout se trouve dans les 2 derniers mots…
Donc impossible de faire transiter uniquement une mac-adresse ou un utilisateur PFS dans le VPN. Merci pour l'info. Peut-être que l'on peut scripter l'ajout d'un utilisateur PFS ou d'une mac-adresse à un groupe VPN ?
C'est vrai que le contexte n'était pas forcément clair, j'ai indiqué qu'il s'agissait d'un travail d'étude mais un peu tard dans le fil de discussion.
Merci pour vos réponses.
Salutations
-
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.
Je ne suis pas d'accord car dans la configuration du span port (Cisco, Hp, …) on choisi le port dont le trafic est copié vers le span port. C'est un seul utilisateur qui sera concerné. On peut aussi imaginer que l'applicatif de collecte est paramétrable pour ne capturer que ce qui est autorisé.
je n'ai pas regardé sous cet angle ce qu'il serait possible de faire avec un switch niveau 3 ...Je vais par ailleurs consulter le document indiqué. Effectivement cela m’intéresse.
-
[…]
Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.[…]
Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic… Idem si plusieurs machines sont connectées, un applicatif peut faire le tri…
[…]
De toutes façons, pour analyser le trafic capturé, vous devrez passer par un applicatif… Donc...
-
Cela fait vraiment partie des directives, je ne peu pas intercepter les communications d'une machine qui n'est pas incriminée.
C'est bien ce qui se passera avec un port de copie puisque que l'on doit désigner le ou les ports dont le trafic est copié vers le "span port".
Après il faut ré assembler tout cela pour que ce soit exploitable, ce qui n'est pas trivial. Il faut donc un applicatif qui va être capable de "comprendre" les différents protocoles. -
Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).
La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.
-
Autre directive, l'infrastructure à gauche de l'Alix (compris) ne doit pas être modifié, il s'agit de la partie client de l'infra. Pour des raisons de budget, l'ajout d'équipement doit se faire uniquement à droite de l'Alix (réseau de l'entreprise hotspot).
La vitesse de l'UPLINK sur un raccordement ADSL ne me permet pas cette solution chez le client. Le "span port" sera effectué mais sur le switch entre RT-VPN et RT-PAT.
Heuuuu… Oui mais non... Enfin, je comprends plus rien...
Quelle est l'infra générale? S'il y a des sites distants avec de simples lignes ADSL (sous-entendu dont le trafic ne repasse pas par un site central), comment voulez-vous capturer les trafics avec un span sur un switch du site central?!?!?!
Ou alors, les trafics des hotspot repassent par un site central... Et là, ok, c'est possible. Et dépendant des info à conserver, il faut étudier une solution "qui va bienTM"
-
D’où l'idée du VPN !
Normalement, les sites distants avec de simples lignes ADSL ne passe pas par le site central ….
Sauf, celui à intercepter, qui au travers du VPN repasse par le site central pour interception avant de repartir sur la lignes ADSL.
D'ailleurs, j'avance dans mon proto de laboratoire, j'ai créer un Alias dans lequel j'ajoute les adresses IP des machines à intercepter, et j'autorise cet alias sur le réseau VPN et uniquement lui. L'idée me semble pas trop mauvaise mais je dois manquer quelque chose dans la config puisque lorsque je traceroute le trafic ne passe pas par ma zone d'interception. Surement une erreur dans ma règle.
A méditer.
Salutations.