Omnipeek la solution est dans les paquets !

Utiliser TCPDump sur Mac avec OmniPeek

diagnostic réseau

Utiliser TCPDump sur Mac avec OmniPeek

NetWalker Team
1 décembre 2014
1 Comment
TCPDump sur Mac peut être piloté par OmniPeek et vous permettre de réaliser directement des captures de paquets, de sniffer donc, depuis n’importe quel Mac distant.
Les administrateurs réseau qui utilisent Omnipeek peuvent utiliser des Macs distants pour réaliser des captures de données et résoudre rapidement un problème réseau.
L’utilisation de TCPDump Adapteur est aussi possible
avec l’ensemble des systèmes distants qui tournent sous Unix
que ce soient des serveurs, des points d’accès sans fil …
TCPDump est un analyseur de paquet en mode ligne de commandes qui permet de récupérer l’ensemble du trafic qui circule sur une interface réseau.
OmniPeek peut utiliser différentes sources pour capturer les données :
  • les cartes réseaux disponibles sur la machine où est installé Omnipeek (Sauf version OmniPeek Connect),
  • les bornes WiFi Cisco et Aruba configurées en mode sniffer,
  • les Omnipliances,
  • Capture Assistant pour Omnipeek pour les PC distants,
  • Capture Engine pour Omnipeek sonde logicielle qui inclut le module de capture d’OmniPeek et qui se pilote depuis un OmniPeek distant,
  • n’importe quel ordinateur Unix ou Linux et donc les Mac aussi via TCPDump.
Voici comment configurer Omnipeek pour capturer du trafic depuis le port réseau d’un Mac en utilisant TCPDump. Je vous rassure tout de suite, vous n’aurez pas à saisir de commande en ligne.
Sur le Mac il faut autoriser les sessions SSH.
Activer Session à distance sur le Mac (SSH)

L’activation du SSH sur un Mac se fait depuis la fenêtre Partage des préférences système.

  • Rendez-vous dans les Préférences système depuis le menu pomme,
  • Puis Cliquer sur l’icone Partage,
  • Puis Session à distance.
Note : vous devez connaitre un identifiant et un mot de passe administrateur de la machine.
Sur le poste OmniPeek
01 — Installer le plugin TCPDump Adapter
Le plugin TCPDump Adapter se télécharger gratuitement depuis votre compte MyPeek sur le site de l’éditeur d’OmniPeek.
Note : vous devez avoir quitté OmniPeek avant d’installer le plugin TCPDump Adapter
Installer TCPDump Adapter

Le plugin TCPDump Adapter permet à OmniPeek de capturer des données sur les postes Unix distants

TCPDump Adapter

Utiliser l’installation standard du plugin TCPDump Adapter

02 — Lancer OmniPeek et contrôler l’installation
Une fois le plugin installé, lancer OmniPeek puis cliquer sur Option pour vérifier que le plugin est actif. (Case de la première colonne cochée).
Activer TCPDump Adapter

Contrôler dans Option que TCPDump Adapter est bien actif.

03 — Configurer une nouvelle capture
Créer une nouvelle capture, ici nommée Capture depuis MacOS, et modifier le cas échéant les paramètres.
Créer une nouvelle capture

Pour utiliser la capture depuis le Mac, créer une nouvelle capture

04 — Sélectionner TCPDump Adapter et configurer le lien avec le Mac
Dans cette étape, on configure l’accès au poste distant via SSH et le choix de l’interface.
  • Dans les options de capture, sélectionner Adapter.
  • Dans les interfaces de capture (Adapter), sélectionner Module : Remote TCPDump Adapter puis New Adapter
Module : Remote TCPDump Adapter

Sélectionner New Adapter pour configurer une connexion TCPDump.

  • Onglet Host : Nommer l’ordinateur distant et fournir son adresse IP

 

Identifier le Mac pour TCPDump

Indiquer un nom pour le poste distant et son adresse IP

  • Onglet Authentication : Indiquer le nom et l’identifiant du Mac (username et password)

 

Identification sur le Mac

Renseigner l’identifiant et le mot de passe du Mac

  • Revenir à l’onglet Host et cliquer sur le bouton Synchronize. Si l’adresse IP et les identifiants de connexion sont corrects, la liste des interfaces réseau disponibles sur le Mac (ou tout autre poste Unix) s’affichent.

 

Synchroniser les interfaces

Le bouton Synchronise affiche l’ensemble des interfaces réseau du Mac distant

  • Sélectionner l’interface idoine et cliquer sur Properties
Cocher promiscuous mode

Activer le mode promiscuous sur le poste distant

  • Activer le mode promiscuous. Case à cocher : Capture packets in promiscuous mode (Do NOT use with VMWare interfaces). Appliquer
  • Sélectionner la bonne interface, ici en0
Sélectionner la bonne interface

Sélectionner la bonne interface. (Vous auriez pu en configurer plusieurs)

L’interface de l’adaptateur TCPDump est configurée, OmniPeek est prêt pour lancer un capture distante.
05 — Lancer la capture réseau qui s’opérera via le poste Mac distant (ou tout autre matériel Unix ou linux).
Lancer la capture

Depuis OmniPeek, lancer la capture sur l’interface du Mac distant

Les paquets capturés par TCPDump sur le Mac distant sont disponibles dans OmniPeek, à vous de jouer pour réaliser le diagnostique réseau.
La procédure est identique, sauf l’activation du SSH, pour n’importe quel poste, firewall, appliance Unix. Cela vous permet par exemple de capturer des trames au niveau d’un serveur ou sur plusieurs ports réseau d’un firewall ou d’un routeur pour analyser son fonctionnement ou les temps de latence.

Plus d’informations sur Omnipeek

 

One thought on “Utiliser TCPDump sur Mac avec OmniPeek

  1. Pingback: Diagnostic Réseau à distance une nécessité pour toute entreprise ! | Omnipeek Sniffer Blog - Diagnostic Réseau

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *