audit intrusion
TRANSCRIPT
Rapport de stage
Prevention et detection d’intrusion avanceeTestes d’intrusions
Realise par :
Mr KALLIDA Anass
Encadre par :Mr. Mohamed AL AROUSSI
Societe ALA 3G TELECOM
2009 - 2010
20 Janvier 2010
Table des matieres
1 Introduction 6
2 Objectifs 8
3 Installation et utilisation d’un sniffer (Wireshark) 93.1 Presentation de Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.2 Lancement de Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4 Utilisation du sniffer (Ettercap) 184.1 Presentation de Ettercap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184.2 Concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204.3 SSL sniff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244.4 Contre mesure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
5 Utilisation du scanner (Nmap) 345.1 Presentation de Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345.2 utilisation de Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
6 Metasploit 386.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386.2 Exemple d’exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7 Crack de cle WPA avec la suite Aircrack-ng 467.1 Presentation de la suite Aircrack-ng . . . . . . . . . . . . . . . . . . . . . . . 467.2 Crack de cle WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
8 Conclusion generale 54
9 Bibliographie / Neto-graphie 56
1
Remerciements
Je voudrais tout d’abord exprimer mes profondes reconnaissances a Mr. MohamedAL AROUSSI , enseignant a la faculte des Sciences de Rabat, et responsable de monprojet de stage sur la securite des systemes d’information a la societe ALA 3G TELECOM,qui a dirige mon travail ; Ses conseils, ses commentaires precieux et ses idees constructivesm’ont permis de surmonter les difficultes et de progresser dans mes etudes .
Et enfin, je voudrais adresser nos remerciements a tous ceux qui ont contribue depres ou de loin a l’elaboration de ce travail.
2
Avant propos
Avec l’hypercroissance des technologies de communication et d’echange d’informa-tion, rares restent les points non connectes au reseau. ADSL, PABX, ISDN, RTC, Transfix,ATM, Wireless, GSM, Satellite, GPRS, 3G, Edge, Fibre Optique : les reseaux sont desormaispartout. Cette croissance exponentielle a induit de nombreuses repercutions, notamment enterme de partage de l’information et de communication. Malheureusement cette evolutiona egalement un prix : Les techniques permettant de penetrer des reseaux et systemesd’information sont aujourd’hui accessibles a tout un chacun.
Les resultats ne se sont pas faits attendre. Le taux de ”criminalite informatique”augmente de maniere exponentielle. Ces memes reseaux qui vous relient a vos clientset fournisseurs sont egalement un point de connexion pour vos concurrents, et autresennemis... C’est ainsi que de nouvelles formes de menaces sont apparues : on les appellevirus, intrusions, pirates, guerres de l’information, espionnage electronique, vers, trojans,backdoors et bombes logiques. Ces nouvelles menaces ne necessitent pas une intrusionphysique dans votre systeme d’information : une simple connexion suffit desormais...
Les tests de vulnerabilites et tests d’intrusion vous permettent de savoir si vousetes oui ou non potentiellement vulnerables a ces attaques et comment y remedier. Accesphysiques, ingenierie sociale (social engineering), pabx, connexion internet : quelques soientles points faibles de votre systeme d’information.
Tout ordinateur connecte a un reseau informatique est potentiellement vulnerable aune attaque.
Une � attaque � est l’exploitation d’une faille d’un systeme informatique (systemed’exploitation, logiciel ou bien meme de l’utilisateur) a des fins non connues par l’exploitantdu systemes et generalement prejudiciables.
Sur internet des attaques ont lieu en permanence, a raison de plusieurs attaquespar minute sur chaque machine connectee. Ces attaques sont pour la plupart lanceesautomatiquement a partir de machines infectees (par des virus, chevaux de Troie, vers, etc.),a l’insu de leur proprietaire. Plus rarement il s’agit de l’action de pirates informatiques.
3
Afin de contrer ces attaques il est indispensable de connaıtre les principaux typesd’attaques afin de mettre en oeuvre des dispositions preventives.
Les motivations des attaques peuvent etre de differentes sortes :
– obtenir un acces au systeme ;
– voler des informations, tels que des secrets industriels ou des proprietes intellec-tuelles ;
– glaner des informations personnelles sur un utilisateur ;
– recuperer des donnees bancaires ;
– s’informer sur l’organisation (entreprise de l’utilisateur, etc.) ;
– troubler le bon fonctionnement d’un service ;
– utiliser le systeme de l’utilisateur comme � rebond � pour une attaque ;
– utiliser les ressources du systeme de l’utilisateur, notamment lorsque le reseau surlequel il est situe possede une bande passante elevee.
La securisation d’un systeme informatique est generalement dite � asymetrique �,dans la mesure ou le pirate n’a qu’a trouver une seule vulnerabilite pour compromette lesysteme, tandis que l’administrateur se doit de corriger toutes les failles.
Pendant que l’administrateur prepare le plan de securite globale et la zonedemilitarisee (DMZ), il est important d’identifier et d’evaluer les risques et les menacespotentielles envers le reseau, les systemes et les donnees.Il faut evaluer les risques de maniereapprofondie au cours du processus d’identification et d’assigner des valeurs au regard desrisques pour determiner les priorites pour la protection, et la probabilite de perte resultantde ces risques et menaces si elles se concretisent. Il doit etablire une evaluation des risquespour tout ce qui pourrait eventuellement perturber, ralentir, ou endommager les systemes,donnees....
les tests de securite des reseaux proposent en generale les tests suivants :
– Un test d’intrusion qui est une simulation d’attaque pirate : Le but des testeursest de penetrer aussi profondement que possible dans le reseau et d’acceder a des
donnees confidentielles.
– Evaluation de la securite des reseaux : Une evaluation de la securite des reseauxest concue de maniere a fournir un tableau detaille du niveau de securite dureseau. Le but en est de mettre en lumiere le plus grand nombre possible defaiblesses securitaires dans les systemes connectes au reseau. Chaque vulnerabiliteidentifiee est verifiee manuellement et son impact est evalue en fonction de laconfiguration. Des evaluations de la securite peuvent etre mises en oeuvre a partird’Internet − pour mesurer le degre de vulnerabilite a un attaquant externe − oua partir du reseau interne − pour mesurer le degre de vulnerabilite a un agentinterne malveillant.
– Test de securite d’application web : Les applications web peuvent etre testees dupoint de vue d’une personne exterieure ou d’un utilisateur autorise. Il faut aussiproceder a des examens de codes sources, qui sont la maniere la plus efficace demettre en evidence des beugues de securite dans les applications.
– Tests specialises comprenant les tests de WIFI, PBX et d’acces par ligne com-mutee, VoIP, RAS et RPV.
– Examens de configuration (test de vulnerabilite) : Un examen de configurationfournit une analyse approfondie de la securite des systemes, et surtout cellenouvellement installees.
– L’audit de securite est une demarche collaborative visant l’exhaustivite. Elleest moins realiste qu’un test d’intrusion mais permet en contrepartie de passermethodiquement en revue tout le reseau et chacun de ses composants en detail. Desurcroıt son aspect collaboratif permet aux personnes travaillant dans l’entreprisede s’impregner des connaissances en matiere de la securite des systemes.
1 Introduction
Les tests d’intrusion (en anglais penetration tests, abreges en pen tests) consiste aeprouver les moyens de protection d’un systeme d’information en essayant de s’introduiredans le systeme en situation reelle.
On distingue generalement deux methodes distinctes :
– La methode dite � boıte noire � (en anglais � black box �) consistant a essayerd’infiltrer le reseau sans aucune connaissance du systeme, afin de realiser un testen situation reelle ;
– La methode dite � boıte blanche � (en anglais � white box �) consistant a tenterde s’introduire dans le systeme en ayant connaissance de l’ensemble du systeme,afin d’eprouver au maximum la securite du reseau.
Une telle demarche doit necessairement etre realise avec l’accord (par ecrit depreference) du plus haut niveau de la hierarchie de l’entreprise, dans la mesure ou ellepeut aboutir a des degats eventuels et etant donne que les methodes mises en oeuvre sontinterdites par la loi en l’absence de l’autorisation du proprietaire du systeme.
Un test d’intrusion, lorsqu’il met en evidence une faille, est un bon moyen desensibiliser les acteurs d’un projet. A contrario, il ne permet pas de garantir la securite dusysteme, dans la mesure ou des vulnerabilites peuvent avoir echappe aux testeurs. Les auditsde securite permettent d’obtenir un bien meilleur niveau de confiance dans la securite d’unsysteme etant donne qu’ils prennent en compte des aspects organisationnels et humains etque la securite est analysee de l’interieur.
Les tests de vulnerabilites et les tests d’intrusion sont utiles dans de nombreux casde figure :
– Pour se rassurer.– Pour valider une architecture dite securisee.
6
– Pour tester son prestataire de securite actuel.– Mettre en conditions reelles une equipe de reponse aux attaques.– Pour s’assurer du declenchement approprie des alarmes (IDS/IPS).– Pour s’assurer du suivi des procedures de securite....
Plusieurs outils existent actuellement afin d’effectuer ces tests. On retiendraparticulierement les projets suivants :
– Ettercap qui est un logiciel libre d’analyse du reseau informatique. Il est capabled’intercepter le trafic sur un segment reseau, de capturer les mots de passe, et derealiser des attaques dites de l’homme du milieu (Man In The Middle) contre uncertain nombre de protocoles de communication usuels tels que HTTP, FTP etcertains protocoles chiffres..
– Nmap (Network Mapper) qui est un outil Open Source d’exploration reseau etd’audit de securite.
– Le sniffer Ethereal ou Wireshark.
– Metasploit qui est un projet open-source sur la securite informatique qui fournitdes informations sur des vulnerabilites, aide a la penetration de systemes infor-matises et au developpement de signatures pour les IDS.
– Aircrack-ng qui est un groupe d’outils de surveillance pour reseau sans fil dontl’utilisation principale est le � cassage � de cles WEP et WPA-PSK des reseauxWIFI.
– ...
2 Objectifs
Notre objectif est de mettre en oeuvre des outils de securite et interpreter lesresultats. A travers des outils a disposition dans le libre, nous effectuerons des tests sur nossystemes afin de s’assurer que ceux-ci sont securises, tout au moins dans une certaine mesure.
Nous allons nous intruduire certains aspectts d’audit de la securite informatique. Etnous allons nous interesser a ce qui suit :
– Utilisation d’un sniffer Ethereal (Wireshark).– Utilisation d’un scanner de vulnerabilite nmap.– Analyser la securite du protocole HTTPS (mot de pass) avec Ettercap.– Exploitation du syseme windows d’une machine qui se trouve sur le reseau avec le
framework Metasploit.– Tester la qualite, la robustesse et la fiabilite de la cle WPA d’un reseau sans file.
Pour mettre en place ses testes d’intrusion dans notre reseau, on va utiliser lesysteme BackTrack qui est une distribution GNU/linux reconnue par les professionnelscomme complete et efficace en matiere d’analyse reseau et de test d’intrusion.
Issue de Whax et ASC (Auditor Security Collection), son systeme de type Slackware,est compose d’une serie d’outils (plus de 300) permettant a toute personne de securiser sonreseau en testant ses vulnerabilites. La version complette est la v3.0 finale (2008), incluantle noyau Linux 2.6.21.5. Aussi la version actulle est la v4.0 beta (2009) qui est disponibleaussi sous forme VMware.
BackTrack est disponible dans le site web (www.remote-exploit.org) sous forme delive CD. Il est egalement possible de l’installer sur un disque dur, sur une cle USB, ou encorede mettre en place un demarrage PXE.
8
3 Installation et utilisation d’un
sniffer (Wireshark)
3.1 Presentation de Wireshark
Generalement sur les reseaux Ethernet, le trafic des paquets naviguant d’unemachine source vers une machine destination passe par l’intermediaire d’autres machinesqui se contentent de transmettre le message sans l’interpreter, cette fonction qui appartienta la couche physique est programmee sur la carte reseau au niveau du fabricant.
Toutefois certains programmes malicieux arrivent a desactiver cette fonction etmettre la carte en Promiscuous Mode, ce qui rend visible toutes les informations qui passentpar la carte reseau meme ceux qui ne lui sont pas destinees. Un exemple populaire abordeserait Ethereal ou Wireshark.
Wireshark est l’analyseur reseau le plus populaire du monde. Cet outil extremementpuissant fournit des informations sur des protocoles reseaux et applicatifs a partir de donneescapturees sur un reseau. Comme un grand nombre de programmes, Wireshark utilise lalibrairie reseau pcap pour capturer les paquets.
La force de Wireshark vient de :
– sa facilite d’installation.– sa simplicite d’utilisation de son interface graphique.– son tres grand nombre de fonctionnalites.
Wireshark fut appele Ethereal jusqu’en 2006 ou le developpeur principal decida dechanger son nom en raison de problemes de copyright avec le nom de Ethereal qui etaitenregistre par la societe qu’il decida de quitter en 2006.
9
Un tres important outil necessaire a Ethereal ou Wireshark est la librairie reseaulibpcap pour capturer les packets reseaux. Si cette librairie ou d’autres dependances ne sontpas presentes sur votre systeme, elles seront automatiquement installees avec l’intallation deWireshark.
Ce programme est disponible en version free sur le site officiel (www.ethreal.com/ www.wireshark.com) pour les systemes windows aussi pour les distributions Linux. Il yaussi la version TShark qui est la version ligne de commande de Wireshark.
3.2 Lancement de Wireshark
Dans cette partie, nous allons fournir des expliquations sur la facon de lancer Wire-shark avec les parametres par defaut. Et l’explication des resultats obtenus.
Lancement de Wireshark
Pour lancer Wireshark on tape dans le console la commande :
#wireshark
Ce qui permet d’ouvrire la fenetre de la figure suivante :
Premiere capture
Pour effectuer une capture, il faut aller dans le menu Capture / Interface (ou cliquersur le bouton correspondant).
Une nouvelle fenetre comportant la liste des interfaces reseaux disponibles vaapparaitre.
Si on souhaite configurer certaines options de la capture, il faut cliquer sur Options.On peut alors par exemple ajouter des filtres de captures permettant de ne capturer quedes paquets correspondant a votre besoin. Dans l’exemple suivant nous allons seulementcapturer les paquets HTTP (c’est-a-dire TCP/80) :
Pour demarrer la capture il suffit de presser le bouton Start.
Wireshark va alors capturer les paquets correspondant a votre filtre (s’il existe)jusqu’a ce que le bouton Stop soit presse.
Analyse des captures
Au cours de notre utilisation du sniffer Wireshark, on a essayer de faire plusieurstests notamments :
– des connexions http,– telnet sur une machine distante,– ssh sur une machine distante,
Pour se faire on va utiliser deux machine unix qui tourne sous ubuntu et uneautre machine qui tourne sous backtrack. Et toute cette architecture est realise avec l’outilVMware Workstation.
– La premiere machine ubuntu a l’adresse IP suivante : 192.168.246.133
– La deuxieme machine ubuntu a l’adresse IP suivante : 192.168.246.134
– La machine backtrack utilise l’adresse IP : 192.168.246.129 donc se trouve dansle meme reseau local que les autres machines.
Sniff des connexions http
On va realiser dans notre premier teste un telnet entre la machine 1 et la machine2, et dans un deuxieme temps on realise une connexion ssh entre les deux machines.
Une fois la capture achevee, nous serons redirige vers la fenetre principale.Pour analyser le contenu d’un paquet, il faut d’abord le selectionner dans la liste des paquetscaptures. C’est dans la fenetre des details qu’on trouver des informations interessantes.Cette fenetre affiche une ligne (extensible) par couche reseau.
On retrouve donc pour notre paquet HTTP, les couches suivantes :
– couche 2 (Ethernet : MAC)– couche 3 (Internet Protocol : IP)– couche 4 (Transmission control protocol : TCP)– couche 7 (HyperText Transfert Protocol : HTTP)
Pour aller plus en detail, par exemple sur le niveau IP (la ou se trouve les adressessource et destination), il suffit de cliquer sur la ligne en question.
Souvent, on capture la totalite d’un flux, puis, par la suite, on souhaite se focalisersur une sous partie plus precise. Wireshark fourni des outils puissants de filtrage.
Imaginons que dans notre capture (backtrack) vous souhaitiez afficher seulementles paquets reseaux correspondant au protocole ftp ou ssh ou http, Il faut pour cela saisirla commande qui prend en argument le nom du protocole. Pour plus d’information sur lefiltrage de wireshark il faut lire la documentation de wireshark.
Par exemple on filtre les packets du protocole http :
On peut ainsi analyser notre capture et on remarque qu’on trouve toute lesinformations des packets, en partant des adresses IP de la source et de la destination et enarrivant au contenu du packet.
Sniff des connexions telnet
On filtre maintenant les packets de la communication telnet :
Dans cette partie on a effectue un telnet entre les deux machine dans le port 21donc c’est une communication ftp qui etait etablie entre les deux machines.
On remarque que les mots de pass d’une connexion ftp passe en claire dans le reseau.
Sniff des connexions SSH
SSH (Secure Shell) est un programme permettant de se connecter a un autreordinateur etranger dans Internet, d’executer des commandes sur une machine peripheriqueet de transferer des fichiers d’une machine vers une autre. Il permet une authentificationrobuste et une communication securisee sur des canaux de communication non proteges. Ila ete developpe dans l’eventuel but de remplacer les commandes UNIX rlogin, rsh et rcp.
En fait, SSH protege l’utilisateur contre le �packet sniffing�, par lequel des motsde passe et des textes non-cryptes peuvent etre lus p.ex. a l’aide d’outils comme Wireshark.Donc avec SSH les mots de passe et les login ainsi que toute autre information passe cryptedans le reseau.
3.3 Conclusion
Dans cette partie on a vue un exemple d’utilisation du sniffer Wireshark, on areussit a capturer les paquets qui transitent dans le reseau et apres on les a analyses. Et ona constate que le trafique qui circule dans le reseau et soit en claire tel que le (http ou letelnet et ftp) ou bien crypte comme le (https ou le ssh).
Il est a note que le wireshark permet seulement de capturer les paquets qui circuledans le reseau et il n’est pas dote d’outils qui permettent d’extraire des informations utiles apartir des captures tel que les mots de passes crypte qui constituent l’element fondamentalede toute securite dans un reseau.
Dans le prochain paragraphe on va voir un autre sniffer plus puissant par rapport auwireshark qui est l’ettercap, et qui va nous permettre de realiser une analyse tres approfondiedes protocoles securises.
4 Utilisation du sniffer (Ettercap)
4.1 Presentation de Ettercap
Ettercap est un utilitaire reseau aux multiples fonctionnalites. A sa naissance, l’uti-lisation la plus courante qu’on en faisait etait de sniffer (capturer les paquets) des reseauxLAN. Dorenavant, il est egalement possible de realiser des attaques de type Man In TheMiddle (MITM ou ”Homme au milieu” :(attaque comme l’hijacking TCP, le DNS Spoofing...).
Ettercap est dote de plugins facilitant la recherche de mots de passe. Pour cela, ilsuffit simplement qu’une session d’un protocole non securise ait lieu, et Ettercap detectetoutes les informations sensibles. De nombreux protocoles sont supportes (FTP, HTTP,telnet,...). Depuis l’integration de module gerant le SSH et les sessions HTML securises(SSL), il est egalement possible de recuperer les mots de passe grace a la methode MITM.
Il est egalement compose de fonctions interessantes sur le reseau comme l’injectionde requetes, soit a envoyer au client (pour par exemple garder une connexion active),soit a envoyer au serveur (pour en tirer parti). On peut egalement realiser des analysesd’hosts interessantes et des identifications sur les machines (informations sur le systeme...etc).
C’est un projet libre, qui peut etre utilise au travers d’un mode graphique, et d’unmode texte simple, ou interactif avec des menus.
Ettercap est un outil developpe par Alberto Ornaghi (ALoR) et Marco Valleri(NaGA). La derniere version stable est la version 0.7.3.
Ettercap est decrit par ses auteurs comme un outil permettant de sniffer les reseauxswitches (donc par extension les reseaux locaux organises autour d’un HUB). De nombreusesevolutions au cours du developpement ont dote Ettercap de fonctions avancees permettantla mise en place d’attaques de type ”Man in the middle” ainsi que la prise d’empreinte d’Ospassive et active.
18
Une fois qu’Ettercap s’est insere au milieu d’une connexion, il capture et examinetoutes les communications entre les hotes victimes et par consequent peut tirer avantage dela situation pour accomplir les taches suivantes :
– Injection de commandes : inserer des commandes dans la connexion en cours afind’emuler des requetes envoyees par le client ou des reponses du serveur,
– Filtrage de paquet : filtrer automatiquement le contenu de paquets TCP ou UDPen cherchant des chaınes de caracteres ASCII ou hexadecimales et les remplacerpar un contenu offensif.
– Recuperation de mots de passe : un module (aussi appele dissecteur) est capablede reconnaıtre et d’extraire les informations utiles d’un grand nombre de proto-coles tels que TELNET, FTP, POP3, SSH v1, X11, VNC, LDAP, SNMP, NFS,IRC, MySQL,
– Support du protocole HTTPS : insertion dans une session HTTPS en faisantaccepter a la victime un faux certificat,
– Support du protocole PPTP : mise en place d’attaques Man In the Middle contreun tunnel PPTP.
Ettercap inclut egalement une serie d’outils, tres utile, de reconnaissance reseau :
– Os fingerprinting (prise d’empreintes de systeme d’exploitation afin de les identi-fier),
– Scan passif,– Sniffer IP / MAC.
4.2 Concepts de base
Avant d’entrer dans les details du fonctionnement et de l’utilisation d’Ettercap nousallons faire quelques rappels sur les concepts de base necessaires a la comprehension et a uneutilisation efficace d’Ettercap. Car nous allons utiliser Ettercap pour accomplir des attaquessur le protocole ARP pour se positionner en tant que ”man in the middle”.
Le protocole ARP
Le protocole ARP est utilise au sein d’un reseau local pour faire la correspondanceentre les adresses physiques MAC et les adresses logiques IP. Le protocole ARP interrogeles machines du reseau pour connaıtre leurs adresses physiques, puis cree une table decorrespondance entre les adresses logiques et les adresses physiques dans une memoire cache.
Sur un reseau connecte autour d’un HUB, les trames Ethernet sont envoyees a tousles ports (Broadcast) sans se soucier de l’adresse MAC de destination, ce qui rend l’ecoutepassive triviale. Il suffit juste d’une carte configuree en mode ”promiscious” pour intercepterle trafic.
Sur un reseau organise autour de Switchs, les trames ne sont plus automatiquementenvoyees a tous les ports, ce qui permet notamment de reduire les congestions sur le reseau.Un Switch etant capable d’apprendre quelles sont les adresses MAC connectees a ses portsil peut stocker ces informations dans une table, que l’on appelle table de transmission. Pourcela, il va extraire les adresses MAC sources des trames Ethernet, noter le port sur lequel latrame est arrivee et ajouter l’association dans sa table.
Lorsqu’une trame de niveau deux arrive, un Switch examine l’adresse de destinationet consulte sa table de transmission. S’il ne connait pas encore le port correspondant, acette adresse, il va envoyer la trame a tous les ports. A contrario si la table de transmissioncontient deja un port correspondant a une adresse MAC la trame sera envoyee uniquementa ce port.
Ce mecanisme rend plus difficile l’ecoute passive sur un reseau switche. Si l’on placeun sniffer sur un port d’un Switch, il recuperera uniquement le trafic a destination de ceport ou le trafic broadcaste.
Lorsqu’un hote encapsule un paquet IP dans une trame Ethernet, il connait l’adresse
MAC source (normalement la sienne ;), mais il ne connait peut etre pas l’adresse MAC dedestination. Cependant il connait l’adresse IP de destination contenue dans l’en-tete IP dupaquet.
Il lui faut donc un moyen de recuperer l’adresse MAC correspondant a cette adresseIP. Pour cela, il utilise le protocole ARP :
– une requete ARP est envoyee sur l’adresse Ethernet de broadcast en posant laquestion ”Qui a l’adresse MAC aa :bb :cc :dd :ee :ff correspondant a l’adresse IPw.x.y.z ?”,
– une reponse ARP est envoyee en unicast a une requete ARP, du genre ”J’ai cetteadresse IP et mon adresse MAC est aa :bb :cc :dd :ee :ff”.
Chaque hote sur le reseau maintient sa propre table de correspondance adresse IP,adresse MAC que l’on appelle cache ARP. Si le systeme doit envoyer un paquet a une adresseIP, il consulte son cache ARP pour voir s’il connait deja l’adresse MAC correspondant al’adresse IP de destination. Si c’est le cas, il utilise l’adresse MAC pour adresser la trame.
Si l’adresse de destination n’est pas dans le cache, l’hote envoie une requete ARPa toutes les machines du reseau. Comme nous l’avons vu, si une machine ayant recue larequete ARP reconnait son adresse IP, elle renvoie une reponse ARP contenant son adresseIP et son adresse MAC. L’hote source utilisera alors cette reponse ARP pour mettre a jourson cache ARP et l’utiliser comme future reference.
Il est important de noter que le cache ARP expire apres un certain temps au coursduquel il est efface.
ARP cache poisoining
En manipulant le cache ARP de potentielles victimes, un attaquant peut modifierla direction du trafic entre deux hotes (ou plus), afin de rediriger le flux vers une machinecontrolee par un attaquant.
Une attaque de ce type consiste a envoyer une requete ARP (� arp whohas �) aune machine A. Ce paquet specialement forge contiendra, en adresse IP source, l’adresse IP
de la machine B dont l’attaquant veut recevoir le trafic et en adresse MAC source l’adresseMAC de la carte reseau de la machine C de l’attaquant.
La machine A va ainsi creer une entree dans son cache ARP associant l’adresseMAC de C a l’adresse IP de la machine de B. Lorsque A va communiquer avec B au niveauIP, c’est le poste de l’attaquant qui recevra les trames de A puisque son adresse MAC estassociee a l’adresse IP de B.
Nous pouvons voir sur la figure suivante la corruption du cache de la machine192.168.1.27. En effet l’adresse MAC de la machine 192.168.1.254 n’est pas la meme entreles deux inspections de cache.
A ce stade plusieurs choix d’attaques se presentent dont notamment le Deni deService (DoS) et l’ecoute de communication (Sniffing). Cette derniere est plutot interessanteafin de recuperer des donnees confidentielles vu la position d’”homme du milieu” (Man inthe Middle) de l’attaquant.
Man In the Middle
Les attaques Man In The Middle (MitM - Homme du milieu) sont une classed’attaques dans laquelle l’attaquant se situe entre deux parties communicantes, ce qui est lecas apres une attaque de cache poisoning couronnee de succes.
Cette position avantageuse permet a l’attaquant de capturer (attaque visant laconfidentialite), inserer (attaque visant l’integrite) ou modifier (attaque visant la confiden-tialite et l’integrite) les communications chiffrees entre les deux entites et ceux quel que soitle niveau de chiffrement utilise.
D’un point de vue pratique, l’attaquant � ecoute � (sniffe) les paquets du reseau,les modifient et les reinjectent au destinataire initiale.
4.3 SSL sniff
Ettercap permet d’utiliser trois interfaces distinctes. Une interface graphique enGTK, une interface en mode texte qui utilise ncurses et la derniere en mode texte, ligne decommande. Nous allons principalement nous interesser a l’interface graphique.
Dans cette partie, nous allons placer notre machine Ettercap en ”man in the middle”apres une usurpation ARP.
Man In the Middle
On ouvre Ettercap en mode graphique :
#ettercap -G
On selectionne le mode de ”reniflement” : Sniff > Unified sniffing
On choisit l’interface sur la quelle on va realiser notre teste :
On scanne notre reseau pour decouvrir des hotes : Hosts > Scan for hosts
Le reseau scanne sera determine par les parametres IP de l’interface que nousvenons de choisir.
Pour voir les adresses IP et MAC des hotes a l’interieur de notre reseau : Hosts > hosts lists
Apres on selectionnez les machines a usurper :
Nous avons choisi d’empoisonner seulement la machine windows XP 192.168.246.130et la passerelle 192.168.246.2.Il faut selectionne la ligne contenant 192.168.246.2 et cliquer sur le bouton ”target 1”.Selectionnez la ligne contenant 192.168.246.130 et cliquer sur le bouton ”target 2”.Si on ne choisissez aucune machine en cible (target), toutes les machines a l’interieur dureseau seront usurpees.
On demarrez l’usurpation ARP : Mitm > Arp poisoning > sniff remote connetions
Finallement, on demarre le sniffer pour collecter des statistiques : Start -¿ Startsniffing
La machine du teste
La machine sur la quelle on va realiser le teste est la machine windows XP,normalement l’utilisateur se connecte au site du gmail avec son login et son mot de passe.
La navigateur demande a l’utilisateur d’obtenir un certificat de la part du sitede gmail, pour etablire une connexion securiser. C’est en generale le comportement dunavigateur qu’on il y a un homme au milieu qui capture la communication entre le client etle serveur.
On va ajouter une exception et obtenir un certificat normalemnt du serveur. Mais leprobleme c’est que le certificat est un faut cetificat genere pas l’Ettercap qui en milieu.
L’attaque repose sur l’acceptation par la victime d’un certificat invalide. L’attaquantse place en homme du milieu (par exemple en effectuant une attaque d’ARP cache poisoningentre la victime et la passerelle internet) puis va intercepter la requete HTTPS de la victimevers le serveur et lui presenter un faux certificat (de preference ressemblant le plus possibleau vrai).
Si le client accepte le certificat, Ettercap va etablir un tunnel SSL entre le clientet l’attaquant. Il va ensuite etablir un second tunnel SSL vers le serveur legitime. Cetteposition permet donc a l’attaquant de chiffrer/dechiffrer les donnees des deux cotes et ainside recuperer les donnees du client avant de les transmettre au serveur de destination.
Ettercap va donc echanger le vrai certificat avec le sien. Le faux certificat estcree a la volee et tous les champs sont remplis en fonction de ceux du certificat original,presente par le serveur. Seul l’emetteur du certificat est modifie et il est signe avec la cleprivee de Ettercap, que l’on peut trouver (suivant les distributions) dans le fichier suivant :/usr/share/ettercap/etter.ssl.crt .
La machine Backtrack
Dans la fenetre d’Ettercap on voie apparaitre en claire le login et le mot de passegmail de l’utilisateur de la machine windows xp.
4.4 Contre mesure
Afin de lutter contre les attaques de type MItM il existe un certain nombre demecanismes pouvant etre mis en place.
Une premiere parade possible et efficace est d’utiliser des entrees statiques dans lecache ARP de chaque machine du reseau. De cette maniere il est possible d’ajouter de faconpermanente des serveurs sensibles sans craindre une corruption du cache ARP.
Cette approche est cependant limitee a un petit nombre de machines, puisqu’il estnecessaire de renseigner manuellement l’ensemble des postes du reseau, ce qui peut s’avererdifficile sur un parc important.
Une autre possibilite pour lutter contre ce type d’attaque est d’activer la fonction-nalite de verrouillage de ports (port security), presente sur certains types de concentrateursreseau. Cette fonction permet de limiter les adresses MAC sur chaque port (de manierestatique).
L’acces au port verrouille devient reserve aux utilisateurs disposant d’adresses MAC
specifiques. Lorsqu’un paquet est recu sur un port verrouille et que son adresse MAC sourcen’est pas associee a ce port (parce qu’elle a ete apprise sur un port different ou qu’elleest inconnue du systeme), le mecanisme de protection est active. Il existe toutefois destechniques pour contourner ce type de protection.
Avec l’utilisation d’un cache ARP statique et du verrouillage de port, l’unique autremoyen de defense ne modifiant pas le comportement intrinseque du protocole ARP est ladetection.
Les IDS et Firewalls personnels detectent la plupart du temps les modifications desentrees dans le cache ARP, avertissant l’utilisateur d’une modification. Cependant commesouvent la decision finale est laissee a l’appreciation de l’utilisateur avec les risques que celapeut engendrer.
Il existe egalement des Patchs KERNEL comme ”ANTICAP” ou ”ANTIDOTE”.ANTICAP ne va pas mettre a jour le cache ARP si une reponse possede une adresse MACdifferente, pour une adresse IP donnee, de celle deja enregistree dans le cache.
Cette solution n’en est pas vraiment une puisqu’elle va a l’encontre de la definitionmeme du protocole ARP (rejet de trames legitimes). ANTIDOTE va meme un peu plusloin ; lorsqu’un nouveau couple MAC/IP est recu, il essaye de decouvrir si l’adresse MACprecedente est toujours active.
Si cette adresse MAC precedente repond a la requete, la mise a jour du cacheest rejetee et la nouvelle adresse MAC est ajoutee a une liste noire d’adresses. Cessolutions souffrent du meme probleme ; si une requete malicieuse est envoyee avant quela requete legitime ne soit mise en cache cette derniere sera rejetee a la prochaine mise a jour.
L’utilisation de l’authentification forte reste la solution la plus securisee maisegalement la plus lourde et complexe a mettre en place. S-ARP propose une solutionmettant en place des mecanismes d’authentifications fortes.
Chaque hote sur le reseau possede un couple de cles publiques/privees fourni par unhote de confiance sur le reseau et agissant comme une autorite de certification. Les messagessont signes par l’emetteur empechant de cette maniere l’injection et la modification desinformations.
4.5 Conclusion
Ettercap est un outil puissant permettant de compromettre fortement la securited’un reseau par des attaques de type MITM contre differents protocoles securiser (SSL, SSH...).
Comme nous l’avons vu il n’existe pas de solutions miracles ; il s’agit d’avantagede prevenir les risques de compromissions par de la prevention aupres des utilisateurs(verification des certificats) que de les empecher totalement par des moyens purementtechniques.
La meilleure methode restant la segmentation en sous-reseau afin d’isoler lesmachines sensibles et d’utiliser l’authentification forte (cles publiques et certificats) autantque possible.
Nous avons vue un simple exemple d’utilisation de cet outil qui est le sniff du proto-cole https, ettercap est dote d’autres plugins qui lui permettent de realiser plusieurs testes,comme le montre la figure suivante :
5 Utilisation du scanner (Nmap)
5.1 Presentation de Nmap
Nmap (Network Mapper) est un outil Open Source d’exploration reseau et d’auditde securite. Il a ete concu pour rapidement scanner de grands reseaux, mais il fonctionneaussi tres bien sur une cible unique. Nmap innove en utilisant des paquets IP bruts (rawpackets) pour determiner quels sont les hotes actifs sur le reseau, quels services (y compris lenom de l’application et la version) ces hotes offrent, quels systemes d’exploitation (et leursversions) ils utilisent, quels types de dispositifs de filtrage/pare-feux sont utilises, ainsi quedes douzaines d’autres caracteristiques. Nmap est souvent utilise pour tester la visibilite desservices et la securite du reseau.
Nmap s’utilise en ligne de commande mais il existe des frontend graphiques commenmapfe ou knmap .
5.2 utilisation de Nmap
Commencons par une exploitation simple en testant une adresse IP du reseau pourvoir les ports tcp ouverts :
34
Voir tous les ports UDP ouverts sur une machine :
scanner un port (80) :
scanner une plage de ports :
Usurper l’adresse ip source. Ici on scanne 192.168.0.129, par l’interface reseau eth0,en se faisant passer pour 10.0.0.3 depuis le port 80 :
On peut voir le comportement de l’autivirus (Kaspersky) qui nous informe que nousavons ete victime d’une attaque reseau de la machine 10.0.0.1 tandit que l’adresse IP denotre machine backtrack se trouve dans le meme reseau que la machine cible.
usurper l’adresse MAC et l’adresse IP :
le resultat de l’usurpation s’affiche sur l’ecran de l’usurpeur :
5.3 Conclusion
Cette partie n’est qu’une premiere intorduction qui montre comment utiliser lesfonctions de bases de Nmap. On generale un hacker utilise Nmap pour scanner le reseauavant de mettre en place son attaque. c’est l’expemple du prochain chapitre dans le quelleon va voir le metasploit framwork.
6 Metasploit
6.1 Description
Metasploit est un projet open-source sur la securite informatique qui fournit desinformations sur des vulnerabilites, aide a la penetration de systemes informatises et audeveloppement de signatures pour les IDS. Le plus connu des sous-projets est le MetasploitFramework, un outil pour le developpement et l’execution d’exploits contre une machinedistante. Les autres sous-projets importants sont la base de donnees d’Opcode, l’archive deshellcode, et la recherche dans la securite.
Cree a l’origine en langage de programmation Perl, Metasploit Framework a etecompletement re-ecrit en langage Ruby. Le plus notable est la publication de certains desexploits les plus techniquement sophistiques aupres du public. De plus, il est un puissantoutil pour les chercheurs en securite etudiant des vulnerabilites potentielles.
Comparable aux produits commerciaux tels que Immunity’s CANVAS ou CoreImpact, Metasploit peut etre utilise par les administrateurs pour tester la vulnerabilite dessystemes informatiques afin de les proteger, ou par les pirates et les Script kiddies a desfins de piratage. Comme la plupart des outils de securite informatique, Metasploit peut etreutilise a la fois de maniere legitime et a la fois pour des activites illegitimes.
Le fait que Metasploit a emerge en tant que plate forme de developpement dansla securite, a conduit, ces derniers temps, la publication de vulnerabilite logicielle souventaccompagnee d’un module d’exploitation pour Metasploit pour cette derniere, afin de mettreen evidence l’exploitabilite, le risque et les mesures de prevention contre ces bogues particu-liers. Metasploit 3.0 (en langage Ruby) a egalement commence a inclure des outils de fuzzing,pour decouvrir des vulnerabilites de logiciels en premier lieu, plutot que de simplementetre fait pour l’exploitation de celles-ci. Cette nouveaute a ete vue avec l’integration de labibliotheque lorcon pour les reseaux sans-fils (802.11) dans Metasploit 3.0 en novembre 2006...
38
Les etapes basiques pour l’exploitation d’un systeme sont :
– Choisir et configurer un exploit (code permettant de penetrer un systeme cible enprofitant de l’un de ses bogues ; environs 200 exploits sont disponibles pour lessystemes Windows, Unix/Linux et Mac OS X) ;
– Verifier si le systeme cible visee est sensible a l’exploit choisi ;
– Choisir et configurer un payload (code qui s’executera apres s’etre introduit dans lamachine cible, par exemple pour avoir acces a un shell distant ou un serveur VNC) ;
– Choisir la technique d’encodage pour encoder le payload de sorte que les systemesde preventions IDS ne le detectent pas ;
– Executer l’exploit.
Cette modularite qui permet de combiner n’importe quel exploit avec n’importequel payload est l’avantage majeure du Framework : il facilite la tache de l’attaquant, desdeveloppeurs d’exploits, et des developpeurs de payloads.
La version stable courante de Metasploit Framework est la 3.1 et est ecrite en Ruby.La version precedente 2.7, a ete implemente en Perl. Elle fonctionne sur toutes les versionsd’Unix (y compris Linux et Mac OS X), et aussi sur Windows en utilisant Cygwin. Elleinclut une interface en ligne de commande ainsi qu’une autre orientee web. Cette derniereest destinee a fonctionner depuis l’ordinateur de l’attaquant ; une version de demonstrationpeut etre essayee. Metasploit Framework peut etre etendu en utilisant des modules externesen plusieurs langages.
Pour choisir l’exploit et le payload, quelques informations sur le systeme cible sontnecessaires, tel que la version du systeme d’exploitation, et les services reseaux installes. Cesinformations peuvent etre recuperees grace a des outils de scan de port et d’OS fingerprintingcomme nmap. Nessus peut en plus detecter les vulnerabilites du systeme cible.
6.2 Exemple d’exploitation
Dans cette partie on va voir un exemple d’utilisation du module smb/version quipermet d’evaluer le systeme installe sur un hote.Pour pouvoir l’utiliser il faut ce placer dansle fichier ”/pentest/exploits/framework3/ ” et apres taper ”./msfconsole”.
Dans un premier temp il faut decouvrie l’hote pour le faire on tape dans un terminale :
– msf auxiliary(version) > set RHOSTS 192.168.246.130RHOSTS => 192.168.246.130msf auxiliary(version) > run192.168.246.130 is running Windows XP Service Pack 2Auxiliary module execution completed
Apres on realise un scan de port avec nmap
Ouvrons une console Metasploit :
Pour voir les exploits disponibles on tape ”show exploits” :
Nous exploitons ici la vulnerabilite ”windows/smb/ms08 067 netapi” :
Apres on peut voir les types de systemes windows disponiblent pour l’exploit :
Specifions maintenant l’hote cible de notre attaque et le port 445 ouvert (resultatdu scan nmap) :
Et on cherche notre payload ”generic/shell bind tcp”
Specifions maintenant le payload a utiliser et on exploit :
On peut ramrquer que nous somme dans le ”repertoire system32 de la machinewindows”.
Alors on peut maintenant faire tout ce qu’on a envie de faire :
6.3 Conclusion
Dans cette partie on a pu realiser un exploit du systeme windows XP en utilisantle payload ”generic/shell bind tcp contenu dans l’exploit windows/smb/ms08 067 netapi dumodule smb. Il est a noter que le metasploit framework est dote de plusieurs modules quipermettent d’exploiter plusieur protocole (icmp, http, ftp ...). Donc on a reaslier juste unsimple et basique teste de vulnerabilite dans cette partie et il faut continuer pour voir lescas d’utilisation des autres modules.
Il est possibile de programmer son propore code et de l’ajouter dans un module. Onpeut aussi tester la securiter des bases de donnees avec un module specialement concu pourcela, et aussi les applications Web.
Le metapsloit framework est un tres grand outil de teste de securite et faille dessystemes. Il est aussi tres puissant a ce niveau, un bon administrateur de reseau, base dedonnee ou de systeme doit imperativement maitriser cet outil.
7 Crack de cle WPA avec la suite
Aircrack-ng
7.1 Presentation de la suite Aircrack-ng
Pour tester la securite d’un reseau wifi, nous avons besoin de la suite aircrack-nganciennement aircrack. Par abus de language, on utilisera parfois la denomination aircrackmeme pour aircrack-ng et ses composants.
Cette suite fonctionne sous windows et linux mais certaines fonctionnalites quasiindispensables sont impossibles sous Windows (l’injection de paquets par exemple), c’estpourquoi nous utiliserons une suite linux live (pas d’installation et aucunes connaissancesrequises) qui est Backtrack, une distribution specialisee dans les tests d’intrusion.
Il existe biensur d’autre distributions comme whax ou encore troppix (toutes cesdistrib sont particulierement adaptees au cracking wep/wpa mais une ubuntu ou autre feratres bien l’affaire).
Dans ces distributions, tout est deja preinstalle : les drivers des cartes wifi et tousles logiciels necessaires (aireplay, airodump, aircrack, wireshark, kismet ..).
La suite aircrack-ng comprend plusieurs programmes dont les 3 principaux sont :
– airodump-ng, le logiciel de capture de paquets, c’est lui qui scan les reseaux etconserve les paquets qui serviront a decrypter la clef.
– aireplay-ng, un logiciel dont la principale fonction est l’envois de paquets dans lebut de stimuler le reseau et capturer plus de paquets.
– aircrack-ng, le logiciel de crack de clef, c’est un logiciel qui a partir des informations
46
capturees a l’aide d’airodump va nous donner la clef (si biensur on en a un nombresuffisant de capture).
7.2 Crack de cle WPA
Airodump-ng, decouverte des reseaux wifi
Commencons par passer notre carte wifi en mode monitor afin de pouvoir ecouterles reseaux wifi environnants. La commande ”airmon-ng” nous renseigne sur les interfaceswifi. Dans notre exemple, nous utilisons une carte ZyDAS1211. La commande permettantde basculer la carte en mode monitor est : airmon-ng start wlan0
Nous allons lancer airodump-ng, le programme qui permet de surveiller les reseauxwifi actifs.
Airodump-ng est assez simple d’utilisation. Usage : airodump-ng options interface.Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaitesurveiller. Options airodump-ng :
– -w permet de creer un fichier de capture dans lequel seront enregistres tous lespaquets. Exemple : airodump-ng -w wpa mon0 (un fichier de capture nommewpa sera cree, le premier fichier s’appellera wpa-01.cap, le 2eme wpa-02.cap etc...).
– –encrypt permet de filtrer les reseaux en fonction du type d’encryption utilise.Exemple : airodump-ng –encrypt wpa wlan0 (seuls les reseaux en WPA serontaffiches).
– -c permet de cibler l’ecoute sur un canal wifi particulier. Exemple : airodump-ng-c 1 mon0 (airodump-ng n’ecoutera que le canal 1).
Et voici le resultat :
On voit qu’airodump-ng surveille excusivement notre reseau cible. En bas, lesordinateurs connectes aux reseaux wifi. La colonne ”rxq” indique la qualite du signal radio(entre 0 et 100), ici avec un rxq a 38 le signal est moyen et le crack devait se deroulermeme dans des bonnes conditions. En naviguant dans le dossier depuis lequel nous avonslance airodump-ng (root), nous pouvons voir les 2 fichiers crees : wpa-01.cap (le fichier decapture contenant les paquets) et wpa-01.txt (un fichier log contenant toutes les informationsconcernant les essids, adresses mac des points d’acces, stations etc... contenus dans le fichierde capture).
Aireplay-ng, l’association au point d’acces (l’attaque active)
Nous allons utiliser aireplay-ng pour verifier si nous pouvons nous associer au pointd’acces. Ici, les conditions sont optimales pour le crack : le signal est excellent et un client estconnecte au point d’acces. Si le signal etait moins bon, nous pourrions avoir des difficultes anous associer au point d’acces. Il est judicieux de tenter une association avant de se lancerdans l’injection de paquet. Cela permet de voir si la connectivite est bonne, et cela peutaussi permettre de savoir si un point d’acces utilise le filtrage par adresse mac.
Une methode de crack (methode passive) consiste a cibler un point d’acces, et aecouter le reseau pendant des heures en attendant qu’un client se connecte. En effet, le 4way handshake est un ensemble de paquets emis par le point d’acces et la station lorsquecelle ci se connecte. Lors de la connexion, si la reception est bonne (la qualite radio du signalest visible dans la colonne ”rxq”, si elle est superieure a 50 elle est de bonne qualite), lehandshake sera capture.
Une autre methode consiste a utiliser aireplay-ng et son attaque -0 (deauthentication)pour forcer la deconnexion du client et capturer le handshake lorsqu’il se reconnecte (legestionnaire de reseau wifi de windows est regle par defaut pour se reconnecter automati-quement a un point d’acces en cas de deconnexion, l’attaque -0 exploite cette faille).
Le parametre -0 signifie une attaque deauth, le 0 qui suit signifie que l’envoi despaquets de deauth sera infini, il faudra donc arretter l’attaque apres quelques instants avecctrl + c. On peut specifier un delai, par exemple aireplay-ng -0 5 , et l’attaque s’arretteraapres l’envoi de 5 paquets de deauth.
Si l’attaque a reussi, nous devrions avoir une bonne surprise en revenant dans notreshell airodump-ng. L’apparition du WPA handshake en haut a droite de la fenetre indiquela reussite de l’attaque. Selon la qualite de la reception, la capture du handshake peut etreimmediate, ou tres fastidieuse. Il se peut qu’il faut renouveler les attaques a de nombreusesreprises avant d’obtenir le tant attendu handshake.
Aircrack-ng : le bruteforce du handshake
Le handshake est maintenant dans le fichier de capture, on peut stopper airodump.On doit maintenant nous armer d’un bon fichier dictionnaire, on trouve un dans backtrackcomme on peut utiliser le notre que nous avons creer. Le fichier wpa-01.cap est le fichier decapture contenant le handshake, et le fichier wpa-01.txt est un fichier cree par airodump-ngcontenant des informations sur le fichier de capture.
Le crack se lance, aircrack-ng va tester tous les mots de passe contenus dans lefichier dictionnaire. La vitesse du crack, indiquee en haut en keys/second depend de lapuissance de calcul du processeur.
Le crack peut etre long, il faut patienter et tester plusieurs fichiers dictionnairesjusqu’a ce que la cle soit trouvee.
7.3 Conclusion
La suite aircrack-ng est en constante evolution et des nouvelles versions sortentsouvent, apportant leurs lot d’ameliorations.
Or depuis peu, un nouvel algorithme de crack a vu le jour et il est REDOU-TABLE, on peut cracker des clef wep avec 40 000 Ivs (au lieu de 1 000 000 Ivs), il s’agitd’aircrack-ptw dont les fonctionnalites sont implentees dans les derniere version d’aircrack-ng.
8 Conclusion generale
En Retrouve dans ce rapport quelques details relatifs aux etapes necessaires a larealisation d’un audit de securite, cet audit qui a ete effectue sur un reseau simule a l’aidede machines virtuelles de type Vmware.
A travers ces etapes on pu decouvrire les aspects lie aux attaques et intrusionsque peut subire un reseau, et ainsi on a vue des testes d’intrusion lies aux reseaux cablessuicthes, aus reseaux Wifi proteges par cle WPA et un teste de vulnerabilite du systemed’exploitation windows XP.
Les outils qu’on a utiliser forme une plateforme de choix mais reste cependantcomplementaire a d’autres outils. Leurs utilisation certes complexes pour un non-technicien,mais ils sont tres appreciees par les personnes travaillant dans le domaine de la securite.
BackTrack est a l’heure actuelle la distribution la plus aboutie en matiere de securiteinformatique. BackTrack se qualifie tant par le nombre impressionnant d’outils que leur parqualite reconnu par les professionnels. Ces nombreux developpeurs et sa large communautepermettent d’avoir une distribution de plus en plus stable avec une compatibilite accrue avecles differents constructeurs de materiels. BackTracka gagne une grande notoriete et c’estpourquoi BackTrack a ete elu comme etant la premiere distribution de securite dans le monde.
Les audits intrusifs sont aujourd’hui une part integrante dans le domaine de lasecurite des systemes d’information, les chances de recencer des vulnerabilites, lors de cesaudits, sont d’autant plus importantes si l’on se positionne a la maniere d’un attaquantpotentiel.
Les audits intrusifs se sont democrates peu a peu dans le milieu de la securite dessystemes d’information. Jusqu’alors tres mal percus en raison de leur caractere offensif, ils serevelent finalement tres adaptes a la securisation des infrastructures. Il est en effet utopiquede croire qu’un reseau peut etre securise par des personnes n’ayant pas la culture des faillesde securite qu’il peut contenir.
54
En se placant dans la meme situation qu’un individu malicieux (les audits intrusifspeuvent etre realises � a l’aveugle � en conditions reelles, de l’interieur et/ou de l’exterieur,sans information prealable), les chances de recenser les vulnerabilites sont plus elevees etla sensibilisation d’autant plus forte que les repercutions de l’attaque sont demontrees etdirectement visibles par les clients.
Les tests d’intrusion actifs sont un element important de cette politique de sensibi-lisation et ont un impact global tres fort, tant sur les decideurs que sur les utilisateurs.
En conclusion il est claire qu’il revient a tout responsable de reseau ou systeme, d’enassurer sa securite, et par consequent d’en tester les failles. C’est la raison pour laquelle, unadministrateur reseau se doit d’etre au courant des vulnerabilites des logiciels qu’il utiliseet de se � mettre dans la peau d’un pirate � afin d’essayer de s’introduire dans son propresysteme et afin d’etre continuellement dans un contexte de securite.
9 Bibliographie / Neto-graphie
http ://wiki.backtrack-fr.net/www.offensive-security.comwww.crack-wpa.frhttp ://forums.remote-exploit.orgwww.secuobs.comwww.securite-reseaux.comhttp ://openmaniak.com/http ://www.metasploit.com/www.tuto-fr.comwww.commentcamarche.net
56