Configurer PfSense comme Générateur d'erreurs sur le réseau ?



  • Bonjour à tous,

    Nouvellement inscrit sur le forum, j'arrive avec un problème à résoudre qui ne semble pas avoir été évoqué sur le forum.

    Une petite introduction me semble nécessaire avant de présenter ce problème.

    Je travaille actuellement sur la mise en place d'une "plateforme" de tests de systèmes automatisés tout en réseaux ethernet.
    Tous les composants de contrôle/commande sont connectés à l'aide d'un type unique de réseaux : Ethernet.

    Dans mes travaux, je m'intéresse aux défaillances qui peuvent survenir sur un réseau : perte de trames, "déformation" de trames, retard, …
    et qui peuvent mettre à mal le système automatisé.
    Mon but est donc de générer ces erreurs pour étudier le comportement du système automatisé.

    J'ai configuré pfsense en mode pont filtrant. Il permet ainsi de "ralentir" les trames selon les règles définies (IP, protocoles, ...)

    Mon problème est le suivant :
    Je voudrais pouvoir générer d'autres types d'erreurs comme, par exemple :
      - la perte de paquets,
      - la duplication de paquets,
      - la génération de trames,
      - la "déformation" de trames (modification de plusieurs octets)

    et piloter ces actions à l'aide de lois prédéfinies (aléatoire ou pas).

    Si quelqu'un a déjà eu l'occasion de réfléchir à un problème similaire ...

    Merci d'avoir pris le temps de lire mon message.

    Merci à ceux qui pourront contribuer pour apporter une réponse à mon problème.

    Manuel



    • la perte de paquets,
        - la duplication de paquets,
        - la génération de trames,
        - la "déformation" de trames (modification de plusieurs octets)

    Raisonnablement c'est tout ce que l'on ne souhaite pas avec un équipement comme un firewall. Je crois qu'il vous faut chercher ailleurs. A moins que vous envisagiez de réécrire pfsense pour en faire une machine à bugs. En ce cas merci de vous tenir loin de nous ! Plus sérieusement je suis certain qu'il existe de tels progiciels mais ce n'est pas notre monde, celui de la sécurité qu'il faut chercher.



  • Pareil que ccnet : un firewall est justement là pour filtrer les flux réseaux, pas pour les entraver ou les bricoler.

    Je me tournerai vers l'émulation de réseau : netem et sa commande tc …
    Cf http://www.linuxfoundation.org/collaborate/workgroups/networking/netem



  • Bonjour,

    Merci pour ces réponses.

    ccnet, L'idée n'est pas de créer un virus qui se répandra sur tous les firewalls pfsense .
    Je veux créer une plateforme qui permettrais "d'augmenter" le nombre de défaillances qui apparaissent forcément sur un réseau pour anticiper sur ces pannes.
    Ecrire du code pour cela semble inévitable. La solution de type addon sur pfsense me semble être une solution plus abordable que de réécrire un système complètement.
    Concernant les progiciels, je n'ai rien trouvé pour le moment.
    dans certains travaux que j'ai pu feuilleter dans le domaine, ils utilisent une cible de type rack VME avec 2 cartes réseaux. Cela nécessite donc
    l'écriture de la totalité du code pour filtrer les paquets traversant ce pont.
    Les cibles de type Alix qui peuvent héberger pfsense sont aussi une raison de mes essais avec pfsense. Compactes et très bon marché, cela me permettrait de
    dupliquer les "ponts défaillants" sur ma plateforme réseau.

    jdh, je vais approfondir l'étude de netem. En effet, les fonctionnalités annoncées correspondent à mes besoins.
    Cependant, si cela reste de l'émulation, ça ne colle pas avec mon besoin.
    Je veux pouvoir capturer un flux traversant un "pont réseau" et le filtrer ou le polluer de façon totalement transparente.

    Encore merci pour vos réponses.

    Manuel



  • AMHA (et sans connaitre le fond du sujet),
    Il serait plutôt judicieux d'utiliser des boitiers Alix avec une distribution Linux (Debian ?) incluant le mode bridge et netem.
    pfSense n'est absolument pas fait pour cela : il ne faut jamais utiliser un outil pour ce qu'il n'est pas : je n'utilise pas de marteau pour planter une vis, ni un tournevis pour une pointe.

    Netem est, par contre, fait pour cela : il y a eu un article dans GNU/Linux Magazine, il y a quelques années sur ce sujet …



  • Bonjour à tous,

    Il existe également  IMUNES  Simulator/Emulator University of Zagreb

    Cordialement.



  • Merci encore jdh,

    J'ai trouvé ce tuto qui devrait m'épargner de longues heures de codage …
    https://lafibre.info/tutoriels-linux/generer-des-pertes-de-paquets/

    Une fois testé, je tâcherai de porter le tout sur un boitier Alix

    Mirfa, je vais aussi jeter un oeil du coté de IMUNES qui semble proposer une vision et un pilotage de l'ensemble d'une infrastructure réseau...
    Est ce seulement en simulation ?

    Merci encore pour vos contributions.

    Je me contenterai de bricoler sur pfsense avec mes étudiants. C'est une solution firewall à moindre coût "qui a tout d'une grande".
    Idéal pour déployer dans des PME/PMI.



  • Ce "vivien" n'est pas mauvais !
    Néanmoins Debian est largement plus light et sera efficace (Ubuntu est basé sur Debian !).
    Attention toutefois à certaines recettes sur iptables : inefficaces voire dangereuses …


Log in to reply