La sécurisation d'un réseau informatique est un élément qui devient de plus en plus important à l'heure actuelle, surtout pour les entreprises.
Mon projet tuteuré de deuxième année de DUT Réseaux et Télécommunications à l'IUT d'Annecy, c'est axé sur cette problèmatique.
Comment faire un système d'espionnage et de filtrage réseau de manière totalement transparente ?

Notre tuteur de projet, nous a fait partir sur l'idée que la solution allait être intégré sur une carte informatique portable, nommé Alix.
Cette carte Alix n'est rien de plus qu'un mini-ordinateur avec un processeur AMD Geode, un slot CompactFlash, 3 interfaces ethernet 10/100 Mbps, une interface série, et 2 ports usb. Rien de plus, rien de moins.Et ca ressemble à ceci :

carte_alix

Le premier problème a été de trouvé une solution ultra-légére type Unix pouvant fonctionner sur ce type de carte.
La réponse était VoyageLinux, une distribution basée sur Debian spécialement étudiée pour pouvoir parfaitement fonctionner sur des cartes PCengies Alix / Wrap ou Soekris.

 Afin de facilité l'installation de cette distribution ainsi que toutes les installations nécessaires au projet, il a été décidé d'utiliser des machines virtuelles. Et une fois la solution suffisamment fonctionnel, de copier le contenu du disque virtuel vers la carte CompactFlash. En utilisant la commande dd sous Linux, ou en utilisant le logiciel WinImage sous Windows. Ca permet d'eviter d'utiliser des cycles d'écritures inutiles sur la CompactFlash.

Une fois tout ce petit système démarré, il manquait plus que le logiciel de capture et la configuration réseau qui va bien. La solution : Snort

snort_logo

Par contre, il existe un léger problème dans le logiciel Snort, tous les transferts entre Snort et la base de donée MySQL se font en clair. Pas top top, quand on veut faire un pont espion réseau invisible et dont on veut protéger les données échangées par celui-ci. Et là encore une seule solution, rentrer dans le code. Glurp.
Une fois cette petite modification faite, on crée nos certificats et les pages web pour le traitement des données SQL.

On branche ça à une sortie internet (dans notre cas, c'était sur le switch de la salle de projet avec une vingtaine de poste linux/windows). On lance, moment de vérité.
Et plouf, des graphiques qui se remplisse à une vitesse folle, on test 2-3 attaques pour le firewall qui nous coupe la patte aussitôt. Ca marche du tonnerre de dieux.

Dans un prochain article, je décrirais une installation de SpyBox (quand j'aurais reçu ma carte Alix ^^)