Archive pour novembre 2007

Découverte du réseau avec Nmap

Jeudi 29 novembre 2007

Question : “Comment peut-on obtenir la liste des adresses IP & adresses MAC des machines connectées sur un réseau ?”.

Réponse : Il vous suffit de télécharger l’utilitaire gratuit Nmap, qui est un super couteau suisse pour les ingénieurs réseau. Il vous suffit de télécharger le paquet qui vous correspond (Windows, Linux, …) puis de lancer l’installation. L’utilisation en ligne de commande est très simple :

# prompt> nmap @_réseau_CIDR

C:\> nmap 192.168.0.0/24

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-29 11:49 Paris, Madrid

Interesting ports on 192.168.0.4:
Not shown: 1689 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
280/tcp open http-mgmt
443/tcp open https
515/tcp open printer
631/tcp open ipp
9100/tcp open jetdirect
MAC Address: XX:XX:XX:XX:XX:XX (Hewlett Packard)

Interesting ports on 192.168.0.8:
Not shown: 1695 filtered ports
PORT STATE SERVICE
80/tcp open http
554/tcp open rtsp
MAC Address: XX:XX:XX:XX:XX:XX (Freebox SA)

Skipping SYN Stealth Scan against 192.168.0.112 because Windows does not support scanning your own machine (localhost) this way.
All 0 scanned ports on 192.168.0.112 are

Nmap finished: 256 IP addresses (3 hosts up) scanned in 59.453 seconds

Nous trouvons donc bien nos 3 machines présentent sur le réseau : Mon PC, la Freebox, l’imprimante HP… Bien d’autres options sont disponibles, à vous de vous amuser. Attention à n’utiliser ce logiciel uniquement sur des réseau dont vous êtes propriétaire, sinon cela est illégal.

Manager ses ports réseaux

Jeudi 22 novembre 2007

Aujourd’hui, j’ai eu beaucoup de mal à mettre en place mon espace de développement JEE sous eclipse. En effet, mon serveur Tomcat ne voulait apparemment pas démarrer à cause d’un service occupant le même port réseau.

Il m’a fallut voir de quel service il s’agissait, et pour cela j’ai utilisé les commandes Windows suivantes :

netstat -an : liste les services réseaux en route

“-b” pour les exécutables impliqués

“-o” pour l’identifiant du processus

services.msc : permet la gestion des services réseaux

sc config “nom_du_service” start= disabled : permet de désactiver un service réseau

Je pense que ces commandes peuvent servir à tous, alors merci à J-B Marchand pour son article dont je me suis inspiré.

Honeynet : scan of the month

Samedi 17 novembre 2007

Aujourd’hui, je mets à votre disposition mon rapport de TP multimédia réalisé au sein de l’ECE.

Le but était d’acquérir de nouvelles connaissances en Sécurité, en analysant les études réalisées par les membres du projet Honeynet.Le sujet que j’ai choisi de développer est le fonctionnement de scans de ports et des informations que l’on peut obtenir des échanges réalisés.

Voici le sujet :

Les membres de l’équipe du sud de la Floride ont générés manuellement 5 différents types de scans de ports depuis Internet vers un unique « Honeypot » (i.e. : pot de miel). Durant chacun des scans, un « IDS » (i.e. : Intrusion Detection System) capture et enregistre les évènements réseau dans un fichier de log. « Snort » est le logiciel utilisé pour la capture des scans au format « Tcpdump », via la librairie : « Libpcap ». La mission est de répondre aux questions suivantes :

  1. Qu’est-ce qu’un fichier binaire de log et comment en créer ?
  2. Qu’est-ce que le MD5 et quelle valeur produit-il ?
  3. Quelle est l’adresse IP de l’attaquant ?
  4. Quelle est l’adresse attaquée ?
  5. Identifier les 5 techniques de scans utilisées et les décrire.
  6. Quel outil de scan a été employé pour l’exercice ? Comment le déterminer ?
  7. Dans quel but scanne-t-on des ports ?
  8. Quels sont les ports trouvés ouverts ?
  9. Quel est le système d’exploitation de l’attaquant ?

Mon tutoriel est disponible ici.

Firewall & Access Lists

Jeudi 15 novembre 2007

Suite à un nouvel entretien de stage, une nouvelle information m’a été apportée.

A la question : “Quelle subtile différence exite-t’il entre une règle de firewall et une ACL (Access List de CISCO)?”, j’ai eu du mal à répondre.

Voici la réponse qui m’a été donnée : “Les règles sont quasimment identiques, mais pour un firewall elles sont plus évoluées. En effet, un protocole interdit par une ACL implique le blocage total de ses paquets par les outils CISCO. Mais un firewall étudie les échanges et si la connexion initiale implique un retour via un protocole interdit, le firewall autorisera exceptionnellement la réponse retour à traverser le réseau.”

Cette différence peut toujours servir, si l’on en a connaissance !

Le château des illusions

Dimanche 11 novembre 2007

Mardi dernier, je suis allé passer un entretien technique dans une société de conseil en Sécurité des Systèmes de l’Information. Le responsable m’a alors fait parler de mes connaissances et de mes expériences quand lui est venu à l’idée de me tester :

Qu’est-ce qu’un “Honey Pot” ? (entendez “Pot de miel” en français)

Comme j’en avais déjà eu la description en cours et en stage, je me suis lancé dans une explication claire et succinte.

Il s’agit d’un leurre mis en place sur le réseau en général au sein d’une DMZ (accessible depuis le LAN interne & depuis l’Internet). Il est destiné à l’étude des activités anormales voire hostiles survenant sur le réseau. L’observation et la surveillance de ce système permet d’apprendre les tactiques, les motivations, ou encore les outils utilisés par les hackers sur le Net. Comme il ne s’agit pas d’un serveur de production, tous ses flux réseaux sont suspects. Ceci facilite l’analyse des données collectées. Enfin le leurre doit être suffisamment réaliste si l’on souhaite récupérer des données intéressantes. Pour conclure, il existe différents niveaux d’interaction selon que l’on souhaite analyser l’activité du réseau, ou encore observer le déroulement au niveau applicatif : fichiers téléchargés, cheminement de l’attaquant…

Pour plus d’informations à ce sujet, vous pouvez consulter le site Web du projet “Honeynet”. D’ailleurs je finalise un article sur le projet “Scan of the month” qui sera disponible à l’adresse suivante. Les thèmes abordés sont les scans et le forensic.

La réponse était valide, mais lui vînt alors l’envie de me coincer :

Connaissez-vous “le château des illusions” ?

Je fut alors honnête et lui avoua que non. Vu le contexte, je me doutais qu’il y avait une analogie au “Pot de miel”, mais je n’en étais pas certain. Le but de ce billet est donc de lever ce doute et de partager cette définition avec vous :

Il s’agit donc d’un ordinateur virtuel (inclus dans un autre bien réel) dans lequel on enferme un pirate tout en lui faisant croire qu’il n’a pas été découvert.

Sur ces écrits, je pense pouvoir aller me coucher en étant plus malin qu’hier !

Mag Securs sur France Culture

Lundi 5 novembre 2007

Les moments forts de ce dossier :

  • La 3ième guerre mondiale commencera-t-elle par des cyber-attaques ?
  • Qui sont les cybercriminels ? (différence et complémentarité cyberterroristes et cybercriminels) ;
  • Témoignage d’un ancien hacker ;
  • La hack’ attitude : un besoin de liberté et une demande d’accès libre aux biens culturels… loin des cybercriminels et terroristes ;
  • Les script kiddies, ou “sales gamins” recopiant des codes pris à la volée sur Internet, qui se font prendre.

Le lien vers le site Mag Securs : ici.

Le lien vers le site Radio France : ici.