Académique Documents
Professionnel Documents
Culture Documents
FTP Postfix TCPDump
FTP Postfix TCPDump
III. Conclusion
Youssef@ucad.sn
I.
Youssef@ucad.sn
1. INTRODUCTION
Le programme tcpdump a t crit par Van Jacobson, Craig Leres, et Steven McCanne, tous le Laboratoire Lawrence Berkeley de l'Universit de Californie Berkeley. Il a t initialement dvelopp pour analyser le protocole TCP / IP des problmes de performance. Un certain nombre de fonctionnalits ont t ajoutes au fil du temps mme si certaines options peuvent ne pas tre disponibles chaque mise en uvre. Le programme a t port sur une grande varit de systmes et est Install sur de nombreux systmes. Pour comprendre les menaces spcifiques que peut rencontrer une entit, il faut dj avoir une bonne comprhension des protocoles Internet et de ceux en relation avec la dtection des intrusions. Nous allons donc tudier les mcanismes de tous ceux-ci grce l'outil d'analyse connu sous le nom de tcpdump.
3. Fonctionnement de tcpdump
Une fois tcpdump install, l'utilisateur disposant de privilges doit excuter lutilitaire en lanant la commande tcpdump. Par dfaut cette commande provoque la collecte dinformation sur tout le trafic partir de l'interface rseau par dfaut et envoie toutes les sorties vers la console. Il ne s'agit pas toujours du comportement dsir par l'utilisateur, car les enregistrements se succdent d'une manire incontrlable sans pouvoir lire quoi que ce soit dans le cadre d'un rseau charg. C'est pourquoi on dispose de plusieurs options en ligne de commande pour modifier le comportement par dfaut.
Youssef@ucad.sn
4. Les filtres
Pour utiliser efficacement tcpdump, il est ncessaire de matriser l'utilisation de filtres. Les filtres vous permettent de spcifier le trafic que vous voulez capturer, vous permettant de se concentrer uniquement sur ce qui est de votre intrt. Cela peut tre indispensable si vous avez besoin d'extraire une petite quantit de trafic d'une trace massive de fichiers. En outre, des outils tels que Ethereal utiliser la syntaxe de filtre tcpdump pour capturer le trafic. Exemple de filtre : Ne collecter que le trafic TCP
Youssef@ucad.sn
Youssef@ucad.sn
Option -i
Dtails Affiche les packets pour une interface spcifique. Utiliser 'any' pour tracer toutes les interfaces
Affiche les packets sans les tronquer Mode "Verbose Hexa" : contenu des packets en Hexadecimal Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII Mode "Verbose light" Mode "Verbose medium" Mode "Verbose Full" Enregistre la sortie de TCPDUMP dans le fichier pass en paramtre Affiche le contenu d'un fichier cr avec tcpdump -w
Youssef@ucad.sn
Affiche les packets du port prcis Affiche les packets du protocole prcis
great
7. La Sortie Tcpdump
Une des tches les plus difficiles pour les analystes dbutants est le dcryptage des sorites de tcpdump. Celle-ci est assez standard pour les diffrents protocoles (TCP, UDP, ICMP), mais elle comporte quelques variations. La premire tape est l'identification du protocole examin. La sortie ICMP servira ici pour prsenter le format gnral du format des sorties de tcpdump. Voici un enregistrement ICMP affich par tcpdump :
Youssef@ucad.sn
Youssef@ucad.sn
II.
Youssef@ucad.sn
1. Installation de tcpdump
a) Sur Windows
Une fois tlcharger tcpdump.exe qui est la version compatible avec Windows, il suffit de le copier dans le rpertoire C:\Windows\System32\. Pour excuter lutilitaire tcpdump, vous devez lancer la fentre DOS :
Youssef@ucad.sn
Youssef@ucad.sn
Sil nest pas install, vous pouvez linstaller partir des CD par la commande :
Une fois install le libpcap, vous pouvez maintenant installer le tcpdump par le commande :
2. Le serveur vsftpd
Le vsftpd qui signifie Very Secure FTP Daemon est un serveur FTP libre simple et scuris. Il a t dvelopp dans l'optique de la meilleure scurit possible afin de combler les failles des serveurs FTP classiques.
Youssef@ucad.sn
Youssef@ucad.sn
Youssef@ucad.sn
Youssef@ucad.sn
a) Installation de postfix
Pour installer postfix, on tape la commande suivante :
Youssef@ucad.sn
b) Configuration de postfix
Le fichier de configuration de base de postfix est main.cf et se trouve dans /etc/postfix/. NB : Avant de commencer la configuration de postfix, vous devez au pralable configurer le serveur DNS car cest dans ce service o nous dclarons le serveur de messagerie (enregistrement MX) : la configuration se fait pour le fedora core 3 dans /var/named/chroot/var/named/domaineparent.tld par commande :
Youssef@ucad.sn
Redmarrer postfix
Youssef@ucad.sn
Youssef@ucad.sn
Installation
Configuration
Le fichier de configuration de dovecot est dovecot.conf et se trouve dans /etc/. Effectuer les modifications suivantes dans le fichier de configuration.
Youssef@ucad.sn
Youssef@ucad.sn
Youssef@ucad.sn
Youssef@ucad.sn
Lancer votre client de messagerie pour envoyer un message Configuration dun client de Messagerie (Microsoft Office Outlook 2007) : Cliquer sur le bouton dmarrer ensuite Microsoft Office Outlook,
lorsque vous utilisez un serveur de messagerie non scuris) et cliquer sur suivant.
Cocher messagerie Internet (POP, IMAP, HTTP), puis cliquer sur suivant
Youssef@ucad.sn
Donner les informations du compte utilisateur (utilisateur systme cre sur le serveur), puis cliquer sur suivant
Youssef@ucad.sn
Youssef@ucad.sn
Cette capture nous indique que lutilisateur sefdine essaie denvoyer un message kamardine.
Une fois envoy, la capture suivante donne en claire son mot de passe quil utilise pour rcuprer le massage dans le serveur de messagerie (pop3 non scuris)
Youssef@ucad.sn
Ici, nous voyons en claire le mot de passe de lutilisateur kamardine maman . Apres lauthentification, la capture suivante nous donne malheureusement le contenue de son message : je suis la
Youssef@ucad.sn
Youssef@ucad.sn
Conclusion
Tcpdump est un sniffer rseau en ligne de commande trs puissant bas sur la bibliotheque libpcap. On dispose actuellement d'un vaste choix sans cesse croissant en matire d'outils de scurit. De nombreux utilitaires permettent de surveiller le rseau. Il est vrai que les sorties de Tcpdump ne sont pas trs esthtiques, mais elles offrent assez de dtails pour pouvoir tablir des diagnostics fiables sur l'activit du trafic rseau. En utilisant un outil plus agrable manier, mais moins riche en contenu des informations risquent de vous chapper.
Youssef@ucad.sn