points noirs en question
- 3 lignes d'erreur à chaque exécution de ipkg, impossible de modifier /etc/ipkg.conf et pas d'option -f
à partir d'un LinksysWrt54gl, en DdWrt, ci dessous désigné comme "la bête"
voir aussi la maquette: PontEthernetAvecSondeKnoppix et autres configurations à venir: PontEthernetAvecSondeWrt54GL
lu et réfléchi: http://fr.tldp.org/HOWTO/lecture/Ethernet-Bridge-netfilter-HOWTO.html#TESTINGTESTINGGROUNDS
et: http://fr.tldp.org/HOWTO/lecture/Ethernet-Bridge-netfilter-HOWTO.html#SETUPLINUXBRCTL
le schéma interne est page 12: http://books.google.fr/books?id=GBtJdvMeAJQC&pg=PA22&lpg=PA22&dq=layout+wrt54gl&source=bl&ots=FnHDHDGE2M&sig=Degv5wdaEbCVxiE9JYuu6wUI344&hl=fr&ei=LCQCTKKyH8n_4Ab6vNXLDg&sa=X&oi=book_result&ct=result&resnum=5&ved=0CDYQ6AEwBA#v=onepage&q=layout%20wrt54gl&f=false
wiki signalé dans la page précédente
http://www.linuxfoundation.org/collaborate/workgroups/networking/bridge
en quelques mots
- la commande brctl permet de faire un pont entre vlan0 et vlan1 qui transporte les paquests sans les modifier)
- l'appareil se place ENTRE le mur et la victime.
- il est alors possible de les voir à l'aide du programme tcpdump, )à partir d'une tierce machine communiquant en Wifi.
prescription
configuration qui permet de travailler sans connexion à Internet
but (ou soucis):
limiter les injections de paquets parasites sur le lien observé
limiter les paquets parasites sur l'enregistrement
préparation de la machine d'audit, dépanneuse
- (facultatif) activer le serveur de temps (ntp) selon: http://www.pctools.com/guides/registry/detail/1117/ ; ça ne peut pas faire de mal.
- un serveur ftp (FilezillaServeurFtp)
- autoriser connexion anonymous sans mot de passe
- affecter un dossier local comme home pour ce compte
- placer trois fichiers dans le dossier 'home' de l'utilisateur anonymous:GAFFE: a et b doivt avoir des fins de ligne unix (LF), si vous les échangez avec windows par FTP, n'oubliez pas de les transférer en Ascii
- fichier "b" qui chargera et installera tcpdump echo installation tcpdump pour DD-WRT à partir de $IP
NP=tcpdump_3.9.4-1_mipsel.ipk
rm $NP
wget ftp://$IP/$NP
ls -al $NP
ipkg -d $PWD install $NP
ls -al $PWD/usr/sbin
rm $NP
NP=libpcap_0.9.4-1_mipsel.ipk
wget ftp://$IP/$NP
ls -al $NP
ipkg -d $PWD install $NP
ls -al $PWD/usr/lib
rm $NP
brctl addif br0 vlan1
brctl show br0
echo > d 'usr/sbin/tcpdump -n -i vlan1 $* '
chmod 0700 d
ifconfig vlan1 0.0.0.0 up
(ce fichier pourra être téléchargé à partir de http://antiguide.free.fr/divers/ipkg/b )
- les packages libpcap et tcpdump
éducation de la bête à faire UNE FOIS, est conservé jusqu'à RAZ 30/30/30
- raz 30/30/30. allumer la bête
. bouton reset pendant 30'
. sans lâcher le bouton reset, ôter le cordon d'alimentation
. attendre 30'
. rebrancher le cordon alimentztion
. attendre 30'
- connexion de la dépanneuse, Ip automatique, en wifi (SSID: dd-wrt non protégé!, travaillez dans votre four à micro-ondes)
- vérifiez obtention adresse IP en 192.168.1.2 (ou autre, mutatis, mutandis pour la suite)
- si le dhcp n'a pas joué, mettre Ip fixe 192.168.1.2
- vérifier ping 192.168.1.1 répond bien
- ouverture de la page d'administration: http://192.168.1.1
- choisir un nom de session et un mot de passe pour l'administration GUI, par exemple root/admin (les mêmes que pour l'administration en telnet)
- enregistrer le nouveau compte (le login/password va être immédiatement redemandé)
- URGENT: configurer un wifi sûr.
- Onglet "Wireless/basic"
- choisir un SSID original, par exemple: sonde-ethernet".
- protection wifi, a priori WPA,
- Wpa algorithm: TKip,
- Onglet Wireless/Security
- Wpa personnal
- choisir et enregistrer une clé
- Security/firewall : tout bloquer
- sauver/reboot (coupe la communication)
- se connecter au nouveau SSID
- modifier les paramètres:
- page setup:
- Wan Connection type; Static: disabled ou n'importe quelle IP
- Network address setting Dhcp Server: DISABLED, IP sous réseau différtent de wan
- time setting: 192.168.1.2 (vous aviez deviné ?)
- Onglet Management:
- autoriser "SD/MMC Card Support"
- SAUVER
- reboot.
à chaque utilisation
- connecter le poste d'audit en wifi au réseau nommé plus haut (sonde-ethernet)
- quand demande entrer la clé
- se termine par "connecté à .. mais pas accès à Iternet".
- vérifier IP (ou configurer wifi poste audit en IpFixe 192.168.1.2)
- telnet 192.168.1.1root
admin
export IP=192.168.1.2
wget ftp://$IP/b
chmod 0700 b
export LD_LIBRARY_PATH=$PWD/usr/lib:$LD_LIBRARY_PATH
./b
- plus de reboot ici ne semble pas nécessaire
- mur sur vlan0 (une des prises LAN)
- victime sur vlan1 (prise WAN) (ou symétrique à discuter)
capture
simplement: ./d [options]
compliqué: usr/sbin/tcpdump -n vlan1
compliqué: usr/sbin/tcpdump -n vlan1
(-n indispensable sinon cherche a résoudere ad en nom et delai)
- pour image parfaite option -AX