Créer un connecteur de capture

Les connecteurs de capture sont utilisés pour les 2 modes d'intégration réseau (coupure et miroir de port).

Par défaut, le connecteur capture tous les flux IP qui passent par les interfaces configurées pour recevoir le trafic. Si vous ne souhaitez pas capturer la totalité du trafic, vous pouvez :

Créer un connecteur de capture

  1. Rendez-vous à la page Paramétrage > Architecture > Intégration.
  2. Dans la colonne Libellé, cliquez sur le lien Ajouter un mode d'intégration. L'écran Ajouter un mode d'intégration s'affiche.
    • Dans le champ Libellé, entrez un nom pour le connecteur de capture.
    • Dans le champ Mode d'intégration, sélectionnez Je capture le réseau.
  3. Cliquez sur le bouton Suivant. L'écran Paramètres du connecteur apparaît.
  4. Renseignez les paramètres :
    Interface de capture Interface ou bridge sur lequel sera réalisée la capture.
    • En coupure, ce doit être un bridge.
    • En miroir de port, ce peut être une interface d'un bridge ou une interface seule.
    Interface pour l'injection Interface réseau via laquelle les trames de blocage seront émises.
    • En coupure, utilisez l'interface située côté LAN du bridge.
    • En miroir de port, si votre switch le tolère, faites l'injection sur la même interface que celle réalisant la capture.

    La valeur par défaut, "---------", ne permet pas d'injecter de trames : sélectionnez cette option si vous souhaitez juste écouter le réseau sans bloquer les utilisateurs.

    Copier les en-têtes 802.1q dans les paquets injectés Cochez cette case si les paquets que vous capturez contiennent des tags 802.1q. Pour éviter des coûts de traitement inutiles, décochez l'option si vos paquets ne contiennent pas ces tags.
    Source MAC L'adresse MAC à indiquer comme étant l'émetteur de la trame lors de l'envoi des pages de blocage. Ce paramètre peut dépendre du Niveau d'injection (voir ci-dessous).
    • Utiliser celle du routeur (celui qui transmet les réponses des serveurs distants à l'Olfeo) : recommandé, surtout si vous faites l'injection au niveau ethernet. Attention à ce que ce comportement ne soit pas considéré comme du spoofing par le switch ou par vos équipements de sécurité.
    • Interface pour l'injection : recommandé si l'injection est faite au niveau IP.
    Adresses locales Ce champ permet de définir les machines en provenance desquelles capturer le trafic (sauf exceptions définies dans le champ Filtres BPF).

    Les adresses IP spécifiées dans ce champ seront considérées comme internes à l'infrastructure. Par conséquent, toute adresse IP non déclarée ici sera considérée comme externe à l'infrastructure.

    • Le connecteur ne capturera que les flux envoyés par des machines internes vers des machines externes.
    • Il ne capturera pas :
      • les flux échangés entre machines internes, ni les flux échangés entre machines externes.
      • les flux envoyés par des machines externes vers des machines internes.

    Vous pouvez également utiliser ce champ pour capturer des échanges internes à l'infrastructure : si vous excluez une adresse des adresses locales, celle-ci sera considérée par le connecteur comme externe même si elle est techniquement interne à votre infrastructure. Par exemple, exclure les adresses correspondant à une DMZ permettra de logguer et/ou filtrer les accès des utilisateurs vers cette DMZ.

    Par défaut, le champ contient les adresses privées telles que définies par l'IANA.

    Ne pas capturer le trafic URL Si la case est cochée, le connecteur de capture ne réalisera pas de filtrage d'URLs. Cochez cette case si le filtrage d'URLs est fait par un autre Olfeo, ou par un autre élément que le connecteur de capture (par exemple, pour les intégrations mixtes, le filtrage protocolaire peut être fait par une box en coupure et le filtrage d'URLs par un proxy en interception).
    Ignorer le trafic protocolaire Cochez cette case si le filtrage protocolaire est fait par un autre Olfeo (pour les intégrations mixtes).
    Niveau d'injection
    • Ethernet : choisir cette valeur si le réseau utilise des VLANs.
    • IP : choisir cette valeur dans les cas où la cible ne peut pas être jointe par son adresse MAC (présence d'un routeur intermédiaire).
    Berkeley Packet Filter Dans ce champ, saisissez des filtres pour définir les types de flux qui doivent être analysés ou non, en utilisant la syntaxe BPF. Par exemple, pour exclure le trafic émis par l'Olfeo, entrez not host {adresse IP de l'Olfeo au format CIDR}.

    Pour plus d'informations, voir http://biot.com/capstats/bpf.html (en anglais).

  5. Cliquez sur le bouton Terminer. Le nouveau connecteur apparaît dans la liste des connecteurs.