Vous êtes sur la page 1sur 26

INGENIEUR DE CONCEPTION 3me ANNEE

ANNEE ACADEMIQUE 2012-2013

PROJET : ETUDE COMPARATIVE DES OUTILS DE SECURITE

COMMUNICATIONS ET METHODES DAUTHENTIFICATION

Professeur Encadreur : M. BA

Prsent par: SORO Donafologo Jrmi SORO Tingnana Ibrahim TCHAKOU-ADADJRO Kodjo

INTRODUCTION La scurit informatique est de nos jours devenue un problme majeur dans la gestion des Rseaux dentreprise ainsi que pour les particuliers toujours plus nombreux se connecter Internet. La transmission dinformations sensibles et le dsir dassurer la confidentialit de celles-ci est devenue un point primordial dans la mise en place de rseaux informatiques. Afin de sassurer de nos communications sur linternet en particulier les connections aux sites web, il est important de savoir la personne qui dsir bnficier de ces ressources disponibles. Par consquent les mthodes dauthentifications nous permettent de vrifier cela. L'authentification est la procdure qui consiste, pour un systme informatique, vrifier l'identit d'une entit (personne, ordinateur), afin d'autoriser l'accs de cette entit des ressources (systmes, rseaux, applications). En rsum L'authentification permet donc de valider l'authenticit de l'entit en question. Ce document a pour but de prsenter globalement les outils qui permettent de tester ltat des informations que nous donnons pour accder des donnes. Dans cette perspective nous donnerons trois outils dont nous parlerons de leurs historiques, leurs fonctionnement et utilisation, et enfin une tude comparative qui permettra de choisir loutil adquat pour les entreprises.

I.

Wireshark

1. Historique : la fin des annes 1990, Gerald Combs est diplm de l'Universit du Missouri-Kansas City et travaille au sein d'un petit fournisseur d'accs Internet. L'analyseur de protocole utilis en interne est un logiciel propritaire commercialis prs de 1500$ et ne fonctionne pas sur la plateforme de production de la socit (GNU/Linux et Solaris). Gerald Combs dbute alors les dveloppements d'Ethereal et ralise sa premire version en 19983. En mai 2006, Combs intgre la socit CACE Technologies. Il clone alors le dpt SVN du projet Ethereal sur son propre dpt de code source Wireshark en toute lgalit puisqu'il dtient les droits d'auteur sur la majeure partie du code source d'Ethereal, le reste tant galement distribu selon les termes de la licence publique gnrale GNU. Il n'est toutefois pas propritaire de la marque Ethereal et change donc le nom de son projet en Wireshark. Fonctionnement :

Wireshark est similaire tcpdump mais la diffrence dispose dune interface graphique, et de certaines options intgres de tri et de filtrage. Wireshark permet l'utilisateur de mettre des contrleurs d'interface rseau qui prennent en charge le mode de proximit, de manire voir l'ensemble du trafic visible sur cette interface, et pas seulement le trafic adress l'une des adresses configures de l'interface et de diffusion / multidiffusion du trafic. Toutefois, lors de la capture d'un analyseur de paquets en mode espion sur un port d'un commutateur rseau, et non pas l'ensemble du trafic traversant l'interrupteur sera ncessairement tre envoy vers le port sur lequel la capture est effectue, si la capture en mode espion ne ncessairement suffisant pour voir tout le trafic sur le rseau. En miroir des ports ou des robinets de rseau divers tendre la capture tout moment sur la net, simple prise passive est extrmement rsistant aux malwares falsification. 2. Les avantages de Wireshark : 1- Disponible sur plusieurs plateformes (UNIX, Windows, MacOS ) 2-Capture en direct des donnes dun paquet d'une interface du rseau. 3-Affichez des paquets avec l'information du protocole trs dtaille. 4-Ouvre et enregistre les donnes du paquet captur. 5-Importe et exporte les donnes dun paquet depuis et vers dautres 6-programmes de capture 7-Filtre des paquets en sappuyant sur plusieurs critres. 8-Recherche des paquets sur beaucoup de critres. 9-Cre plusieurs statistiques.

3. Les inconvnients de Wireshark : Wireshark n'est pas un systme de dtection d'intrusion. Il ne vous prviendra pas quand quelqu'un de malhonnte ait accs au rseau. Cependant, si quelque chose dtrange se passe, Wireshark peut vous aider rsoudre le problme. Wireshark na pas de fonction de manipulation mais juste il se limite superviser le rseau et en extraire des statistiques.

Installation de loutil : Wireshark

Linstallation sous Windows nest pas chose complexe. Pour cela il faut se rendre sur le site de Wireshark voir ici http://www.wireshark.org/download.html Pour choisir la version correspondante votre systme. Sous Windows les paquets dinstallation viennent avec des mises jour de WinPcap qui est recommand les captures en direct. Ds quon lance linstallation, aprs quelque temps celle-ci est stopp momentane et recommande linstallation de WinPcap avant de poursuivre et dachever linstallation. Sous Linux linstallation se fait via le terminal laide dune commande, mais avant a il faut sudo apt -get install wireshark. Aprs installation voici linterface de wireshark :

4. Test de loutil : Les mthodes dauthentifications sont de plus en plus utiles et le plus souvent utiliss pour vrifier lidentit de la personne qui se connecte derrire ou qui souhaite bnficie des services qui y sont disponibles. En effet il existe 3 mthodes dauthentifications dont le plus rpandu est la mthode dauthentification simple, qui ne repose que sur un seu l lment ou facteur lauthentification via un mot de passe (exemple : l'utilisateur indique son mot de passe). Ainsi loutil wireshark nous permettra de voir le niveau, ou simplement la scurit autour des mots de passe que nous fournissons lors de nos connections un site ; (espace dachat, dinformations, les emails, site de jeux ).

Testons lauthentification sur Yahoo.

Lorsque lon slectionne la ligne correspondant une requte vers Yahoo mail, nous voyons seulement le numro ou lidentifiant de la section sur laquelle nous somme connects et navons pas dinformations concernant notre authentification via le mot de passe. Par consquent nous pouvons dduire que les informations sont traites dans une sorte de tunnel, du coup tout ce qui se passe avant et aprs la connexion reste transparent. Test sur Hotmail :

A ce niveau nous voyons clairement que lidentifiant de lutilisateur, ce qui est dj une diffrence par rapport Yahoo, et aussi la partie rserve aux mots passe qui sous une forme illisible voir incomprhensible. Nous pouvons dire que Hotmail utilise un Protocol de chiffrement pour les mots de passe ce qui assure une certaine scurit notre mcanisme de connexion. Test sur espace dinformation sencourtier :

Ce site est ddi la publication des informations en ligne, au stockage de donnes et aussi la mise disposition dun compte aux utilisateurs. Sur cette lance lors de la cration dun compte nous notons que tous les champs renseigns sont rcuprs en claire cest--dire lisible et comprhensible. Nous pouvons voir sur cette capture lemail, le mot de passe et le numro de tlphone du potentiel utilisateur. Ce site nutilise aucun protocole de scurisation des informations. Test sur urbanRivals

Test sur mafiaRox

Les sites de jeux comme mafiaRox, UrbanRivals ne sont pas scuriss. Lauthentification par le mot de passe na t renforc par des protocoles de chiffrement, afin daugmenter le niveau de scurit des donnes de leurs abonns. Manuel de procdure : Pour faire laudit ou pour tester les mthodes dauthentifications auxquelles nous faisons face lors de nos connexion sur les sites, web mail, espace public ouvert aux informations publiques, des sites de jeux nous avons besoin dun outil pour aider cette tche. Pour cela installer wireshark sur votre ordinateur Pour cela vous devez vous rendre sur le site ddi loutil ou vous pouvez choisir la version correspondant votre systme dexploitation (Windows, Linux..) et les spcificits qui vont avec. Une petite maitrise quelques lments La zone de slection des interfaces couter la zone de lancement des captures, le champ de filtre. La zone slection des interfaces vous donne la possibilit de choisir linterface sur laquelle vous dsirez recueillir des informations. Le champ de filtre est juste au-dessus de la zone de slection des interfaces. Il vous permet de trier suivant les protocoles, paramtres des mthodes ainsi cela vous aide avoir des lignes rduites suivant vos recherches. Tout juste en haut se trouve les icones pour la capture. Prsentation et processus de captures.

Figure1 L'utilitaire s'ouvre sur l'interface prsente en Figure 1, dcoup en quatre zones : (3) liste des interfaces et lancement rapide d'une capture (6) Aide sur la capture de paquets (4) Analyse d'une capture prcdente enregistre sur fichier (5) Aide online et manuel utilisateur La principale utilisation que nous ferons de Wireshark consistera en la capture de trames rseau en live. Les trois premiers boutons de la barre d'icnes (zone 1) permettent une telle capture, et sont des raccourcis aux lments prsents dans le menu capture Pour lancer une capture live, plusieurs mthodes s'offrent nous, parmi lesquelles : Cliquer directement sur l'interface dsire liste dans la zone (3) de Figure 1. On cliquera par exemple sur le bouton Start associ au lien Microsoft : \Device en bref vous choisissez linterface que sur laquelle vous dsirez lancer la capture.

Cliquer sur le premier icne de la barre des icnes intitul liste des interfaces de captures disponibles. Une fentre s'ouvre, il nous suffit alors de cliquer sur le bouton Start de l'interface de notre choix pour lancer la capture sur cette interface.

Cliquer sur le 3eme icne de la barre des icnes en partant de la gauche pour lancer directement une capture sur l'ensemble des interfaces (zone encadre en jaune figure1). Une fois lance, la capture peut tre interrompue en cliquant que le 4me bouton de la barre d'icnes (en partant de la gauche). Ce bouton n'est actif uniquement lors d'une capture. Lorsqu'une capture est active, le logiciel prsente l'interface de l'analyseur. Cette interface reste ensuite visible lorsque la capture est arrte.

Le champ de filtre (zone 2, Figure1) est juste au-dessus de la zone de slection des interfaces. Il vous permet de trier suivant les protocoles, paramtres des mthodes ainsi cela vous aide avoir des lignes rduites suivant vos recherches. Le bouton Expression vous permet daller en profondeur suivant les

paramtres de votre choix. Prenons le cas du protocole http, la capture affichera les lignes qui y correspondent, pour faire plus de trier alors nous pouvons cliquer sur Expression ensuite http puis ds quon droule ce niveau nous pouvons voir les mthodes request donc faire des requtes avoir que les liens contenant les mthodes GET ou POST. Cette description ne reprsente quune partie de Wireshark. Nous pouvons dire que cest un outil trs complexe, en plus des captures ou couter ou sniffer les interfaces permet de traduire les fichiers ANS1 en tlcom, dcrypter les messages se signalisations. Lancer wireshark Lancer votre navigateur Authentifiez-vous mais ne validez pas avant de lancer la capture. Sur linterface de wireshark, slectionner votre interface. Cliquer sur licne de lancement de la capture Slectionner votre filtre Retourner sur votre navigateur et valider votre authentification. Faites vos analyses suivants vos critres.

Conclusion : Wireshark est un outil capable de nous donner des informations sur ltat de nos donnes avant leur arriv sur le serveur pour tre traites. Mais cela est un peu limit en ce qui concerne laffichage des protocoles de chiffrement permettant la scurisation des flu x envoys pour lauthentification. Cela ne nous permet pas de tester la robustesse ces protocoles. En somme wireshark ne permet de recueillir les flux que sur les sites non scuriss.

II. Dsniff 1. Prsentation La capacit d'accder aux paquets bruts sur une interface rseau (sniffing), a longtemps t un outil important pour les administrateurs systme et rseau. Pour le dbogage, il est souvent utile d'examiner le trafic pour voir exactement ce qui est transmis. Dsniff, comme son nom l'indique, est un analyseur de rseau mais conu pour les essais d'un genre diffrent. Cest une collection d'outils pour l'audit du rseau et des tests de pntration, Conu par le hacker Dug Song, dsniff est un ensemble d'utilitaires qui inclut des code pour analyser de nombreux protocoles d'application et d'en extraire des informations intressantes, telles que les noms d'utilisateur et les mots de passe, les pages web visites, le contenu du courrier lectronique, et plus

10

encore. En outre, il peut tre utilis pour vaincre la complexit des rseaux commuts et provoquer un trafic rseau partir d'autres htes sur le mme segment de rseau pour tre visible, et pas seulement le trafic circulant de lhte ou dsniff est excut. Ces capacits suffisent pour susciter son intrt. Il comprend de nouveaux programmes pour lancer manin-the-middle attaques sur le SSH et HTTPS, ce qui permettre de voir le trafic non chiffr, et mme la possibilit de prendre en charge des sessions SSH interactives. Ces nouvelles techniques ont caus un certain toll dans la communaut de la scurit. En d'autres termes il permet d'tre mieux en mesure de voir les faiblesses son propre rseau. a. Fonctionnement Avant pour utiliser Dsniff sur un rseau local, vous devez d'abord naturellement tre le root ou avoir un accs en tant qu'administrateur un ordinateur connect au rseau local. La bote outils dsniff est connue pour fonctionner sur Linux, OpenBSD, FreeBSD et Solaris. Il est sans doute possible de le porter vers d'autres plates-formes UNIX ainsi. Il y a mme une version de dsniff pour Windows NT. Une fois que dsniff est compil et prt attaquer l'hte dans le rseau local, il existe trois possibilits diffrentes pour accder au trafic du rseau: Le rseau local utilise un concentrateur: Dans ce cas, vous n'avez rien de supplmentaire faire, tout le trafic rseau destination de n'importe quel hte sur le LAN est visible tous les autres htes sur le LAN.

Le rseau local utilise un interrupteur: Dans l'architecture de commutation, tous les htes sont connects au commutateur sur leur propre port isol. le commutateur qui assure le suivi de l'hte envoie uniquement le trafic destin cet hte pour son port. Toutefois, cela est principalement destin amliorer les performances (puisque chaque hte reoit une connexion ddie au lieu d'tre partag comme avec un hub). Par consquent, il est facile surpasser ce phnomne en faisant en sorte que le commutateur ne soit pas sr de la machine qui est sur le port. Ce qui signifie qu'il commencera agir comme un hub et envoyer tout le trafic sur tous les ports. Cela pourrait galement provoquer des contre-performances du rseau et pourrait tre remarqu par d'autres utilisateurs sur le rseau.

Le rseau local utilise un commutateur et que vous souhaitez cibler un hte spcifique: Si vous ne dsirez pas renifler tout le trafic sur le rseau local, mais uniquement cibler un hte spcifique ce sujet, vous pouvez laisser l'interrupteur seul et juste confondre cet hte spcifique en pensant que vous tes la passerelle / routeur. Par consquent, tout le trafic que l'hte veut envoyer l'extrieur du LAN ira votre premier hte. Il s'agit de la forme la plus clandestine de renifler, car elle ne

11

concerne que l'hte cible, et seulement dans la faon dont vous procdez, il n'est donc pas susceptible d'tre remarqu par les autres. Puisque nous visons un hte particulier et non l'ensemble du rseau local, il suffit de provoquer l'hte cible pour dtourner ses paquets rseau vers notre machine de type MITM (sur le LAN). Pour se faire, nous utilisons arpspoof pour envoyer de faux paquets ARP vers l'hte cible, lui disant que l'hte attaquant MITM est la porte d'entre. De cette faon, tout le trafic qu'il essaie d'envoyer l'extrieur du rseau local sera effectivement transmis l'hte attaque MITM. Avant de faire cela, nous devons dire l'hte attaquant de transmettre les paquets la passerelle relle sinon il sera vite remarqu que l'hte cible ne peut plus communiquer en dehors du rseau local. Quelques types dattaques : Premire attaque : Renifleur de mots de passes. Une fois que le trafic sur le rseau de l'hte cible, ou l'ensemble du rseau local, a t mis la disposition de l'hte renifler en utilisant les techniques ci-dessus, il est trs simple de dmarrer le programme dsniff, qui sera alors automatiquement dtecter et de capturer des informations intressantes de la circulation. Deuxime attaque : Capture de fichier et messages L'Utilisation de msgsnarf et filesnarf permet la capture des e-mails et les fichiers transfrs via NFS. Ces deux programmes font le travail d'interprtation du trafic rseau pour obtenir des rsultats pertinents. msgsnarf enregistre le courriel captur dans un fichier mbox format UNIX standards. Filesnarf enregistre les fichiers capturs dans le rpertoire partir duquel il est excut. Troisime attaque : capture URL Urlsnarf est semblable aux autres outils mentionns jusqu' prsent, mais spcialement crit pour saisir les demandes HTTP et identifier l'URL rfrence. webspy va dans le mme sens, mais au lieu de l'enregistrement de l'URL, il commande effectivement votre navigateur Web suivre les URL comme elles sont surveilles, ce qui vous permet de surfer en mme temps que la cible en temps rel.

Attaque 4 : The man-in-the-middle (MiM) - L'attaque de l'homme du milieu Cette attaque fait intervenir le client (la cible), le serveur (l'hte distant) et l'attaquant (notre machine de test). Le but est de se faire passer pour le client auprs du serveur et se faire passer pour le serveur auprs du client. On devient ainsi l'homme du milieu (Man In The Middle). On pourra ainsi surveiller tout le trafic rseau entre le client et le serveur ou le modifier.

12

Quand un MiM est excut, un utilisateur malveillant positionne son ordinateur sur le chemin de communications entre deux ordinateurs cibles. Le sniffing peut alors tre excut. L'ordinateur malveillant expdie les trames changes par les deux ordinateurs cibles, ainsi les communications ne sont pas interrompues. L'attaque est effectue comme suit (A et C sont les ordinateurs cibles, B l'agresseur)

B active son routage IP ; B corrompt les caches ARP de A et de C ; A associe l'adresse IP de C l'adresse MAC de B ; C confond l'adresse IP de A avec l'adresse MAC de B ; tout le trafic IP de A C ira alors B d'abord, au lieu d'aller directement de A C

b. Avantages - Logiciellibre - Capable dcouter tout le trafictransitant sur le rseau - Facile dutilisation - permet d'couter mme sur un rseau commut - Prends en charges une grande liste de protocoles mme ceux qui sont scuriss.

c. Inconvnients - Protection contre dsniff difficile - utilisation pour hacking

13

2. installation # apt-get install dsniff

3. Test de l'outil Pour auditer notre rseau nous pouvons procdons au test de certains composants de Dsniff savoir : Dsniff

Pour capturer tous les logins/pass circulant travers sa carte rseau (notre interface rseau est eth0) :

On voit clairement que nous nous sommes connectes sur diffrents sites et ces sites on chacun leur protocole utilis. Msgsnarf

Ce programme est capable d'enregistrer tous les messages privs envoys travers Instant Messenger d'AOL, ICQ, mais galement des messages IRC, MSN Messenger, et Yahoo Messenger. Pour se faire, il suffit de rentrer la commande msgsnarf

14

Il existe plusieurs manires dutiliser Dsniff.

Pour vous donner une ide de ce que peut faire dsniff, voici une liste des outils inclus dans le paquet dsniff, et une brve description de leur fonction. arpspoof redirige les paquets sur un rseau local l'encontre du comportement de lhte. Production des rponses pour les requtes DNS. Sniffing de mots de passe dans FTP, Telnet, SMTP, HTTP, POP, poppas, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, XI1, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL authentification info. Sauvegarde des fichiers sniffs partir du trafic NFS. Transformation des commutateurs vers le mode rptiteur (hub). sauvegarde des e-mails partir des trafics SMTP et POP. Sauvegarde des sessions messages et chat sniffs partir de Most instant messenger protocols et IRC. Dsactivation des connexions TCP spcifiques.

dnsspoof dsniff

filesnarf macof mailsnarf msgsnarf

tcpkill

15

tcpnice urlsnarf webspy

ralentit les connexions TCP spcifies. Affichage des URL du trafic HTTP. Renfle les URL dparts de votre navigateur local, vous permettant de naviguer en temps rel avec la cible. Sniffing du trafic SSH redirig par dnsspoof, capture des mots de passe et des logins. Sniffing du trafic HTTP/HTTPS redirig par dnsspoof capture des logins crypts par SSL.

sshmitm

webmitm

4. Conclusion Dsniff est un renifleur de mots de passe qui supporte plusieurs protocoles (FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP,IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, Post, greSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL). IL dtecte automatiquement et analyse de faon minimale chaque protocole applicatif, ne sauvegardant seulement que les bits intressants, et utilisant Berkeley DB comme format de fichier de sortie, ne journalisant que de faon unique les tentatives d'authentification. Facile dutilisation, Dsniff est un outil complet dutilisation rendant mme possible et effectives les attaques Man in the middle .Cependant, se protger contre une attaque dsniff ncessite une vigilance accrue de la part de ladministrateur.

III. Capsa Packet Sniffer 1- Vue d'ensemble Cree en 2003 par la socit Colasoft sous la version 3.0, Capsa est un analyseur de rseau portable la fois pour LAN et WLAN qui effectue en temps rel des captures de paquets, la surveillance du rseau 24/7, l'analyse de protocole avanc, paquet en profondeur de dcodage et de diagnostic automatique expert. Il fournit une visibilit complte et de haut niveau pour l'ensemble du rseau, aide les administrateurs rseau ou les ingnieurs rseau rapidement reprer et a rsoudre les problmes

16

d'application diffrents, et donc d'amliorer le rseau et de garantir un environnement de rseau productif. Capsa est un outil formidable de rseau pour aider rduire les cots informatiques, d'amliorer la scurit du rseau, amliorer le service la clientle, et d'tre plus agile.

a-Caractristiques principales:

En temps rel capturer et enregistrer des donnes transmises sur des rseaux locaux, y compris le rseau filaire et rseau sans fil 802.11a/b/g/n comme; Identifier et analyser plus de 300 protocoles rseau, ainsi que des applications rseau bases sur les protocoles; Surveiller la bande passante rseau et d'utilisation de la capture des paquets de donnes transmis sur le rseau et en fournissant des donnes sommaires et de dcodage de ces paquets; Voir les statistiques de rseau un seul coup d'il, ce qui permet la capture facile et l'interprtation des donnes sur l'utilisation du rseau; Moniteur Internet, e-mail et de messagerie instantane, contribue maintenir la productivit des employs au maximum; Diagnostiquer et identifier les problmes rseau en quelques secondes par la dtection et la localisation des htes suspects; Reprer les dtails, y compris le trafic, l'adresse IP et MAC, de chaque hte sur le rseau, ce qui permet d'identifier facilement chaque hte et le trafic qui passe par chacun d'eux; Visualisez l'ensemble du rseau dans une ellipse qui montre les connexions et le trafic entre chaque hte.

B Avantages Compatible avec prs de 300 protocoles diffrents Interface avec courbes graphiques Trs rapide et simple dutilisation

c-Inconvnients Compatible sous Windows uniquement

17

Payant

2-Installation de Capsa Packet Sniffer


Tlcharger le logiciel sur http://www.colasoft.com/capsa/ Le logiciel est compatible avec Windows XP, (Service Pack 1 ou version ultrieure) et dition 64 bits Les exigences minimales sont:

CPU: 2.8GHz P4 RAM: 2 Go

Apres installation on obtient cette interface que voici :

18

3-Test avec Capsa Packet Sniffer Contrle du trafic rseau


Comme un analyseur de rseau, Capsa rend la surveillance du rseau et l'analyse facile pour nous avec son interface intuitive et des vues onglet riches en informations. Avec la capacit de surveillance grand rseau de Capsa Analyseur de rseau, nous pouvons identifier rapidement les goulets d'tranglement du rseau et de dtecter les anormalits de rseau. Ce travail est de vous montrer comment surveiller le trafic rseau avec un analyseur de rseau Capsa.

Surveillance du trafic rseau dans l'onglet Tableau de bord


Si nous voulons avoir une vue graphique des statistiques ou d'obtenir un tableau de bord du trafic rseau, alors nous pouvons utiliser les graphiques dans l'onglet Tableau de bord. Il offre un grand nombre de graphiques statistiques du rseau un nud bien spcifique. Vous tes en mesure de crer ainsi presque n'importe quel type de graphique bas sur une adresse MAC, l'adresse IP et le protocole utilise, etc Avec ces graphiques, on peut facilement trouver des anomalies du rseau et obtenir des statistiques utiles.

19

Figure 1: moniteur de trafic rseau dans l'onglet Tableau de bord

Surveillance du trafic rseau dans l'onglet Rsum


L'onglet Rsum fournit des informations gnrales sur l'ensemble du rseau ou du nud slectionn dans la fentre Explorateur de nud. Dans l'onglet Rsum, on peut obtenir un aperu rapide de l'ensemble du trafic, trafic en temps rel, le trafic de diffusion, le trafic multicast et ainsi de suite.

20

Figure 2: Trafic de moniteur de rseau dans l'onglet Rsum

Surveillance du trafic rseau dans l'onglet Protocole


L'onglet Protocole rpertorie tous les protocoles appliqus dans votre rseau de transport. Dans l'onglet Protocole, nous pouvons surveiller le trafic rseau par chaque protocole. En analysant les protocoles dans le trafic sur le rseau, nous pouvons facilement comprendre quelles sont les applications consommant de la bande passante rseau, par exemple, le protocole HTTP est synonyme de navigation sur le site, et le POP3 est synonyme de courriel, etc

21

Figure 4: trafic sur le rseau de surveillance dans l'onglet Protocole

Surveillance du trafic rseau dans les onglets de conversation


Les conversations sont prsentes dans quatre onglets: Conversation physique, Conversation IP, Conversation TCP et Conversation UDP. Nous pouvons surveiller le trafic rseau par chaque type de conversation et le chiffre sur lequel la conversation a gnr le trafic le plus important du rseau.

22

Figure 5: le trafic rseau de surveillance par des conversations

Surveillance du trafic rseau dans l'onglet Matrice


L'onglet Matrice permet de visualiser toutes les connexions rseau et les dtails de la circulation dans un seul graphique. Le poids des lignes entre les nuds indique le volume de trafic et la couleur indique le statut. Quand on dplace le curseur sur un nud spcifique, des informations sur le trafic rseau du nud sont fournis.

23

4-conclusion Capsa Packet Sniffer est un outil trs simple dutilisation avec une interface trs agrable qui permet dintercepter les communications et paquets dun rseau et permet ainsi ladministrateur davoir une vue globale sur tous les paquets transitant et de dterminer ainsi ceux malveillants.

24

IV. Etude compare des Outils Voici un tableau rcapitulatif des avantages et inconvnients des 3 outils tudis prcdemment : Wireshark Dsniff -Disponible sur diverses -Logiciel libre et facile plateformes dutilisation Les Plus -cre plusieurs statistiques -prend en charge mme les protocoles scuriss Capsa Packet sniffer -compatibles avec plus de 300 protocoles diffrents - courbe et statistique disponibles avec localisation des noeuds -Payant mais existe en version dvaluation - compatible Windows

Les Moins

-Ne fonctionne pas comme systme de dtection -ne fait que superviser le rseau

-Protection difficile -utilisation pour le hacking

Entreprises Vises Petite et Moyenne

Petite, Moyenne, Grande (utilisation des Commutateurs avec ports scuriss)

Petite

CONCLUSION A cause des nombreuses attaques et le tau lev de cybercriminalit, La scurit aujourdhui reprsente un enjeu de taille pour les petites et moyennes entreprises. Cest donc un impratif pour ces dernires de se munir des meilleurs outils qui soient. Cest dans ce sens que nous retenons Dsniff cause de sa facilit dutilisation et parce quil permet de laudit et lauthentification du rseau de plusieurs manires (Messagerie instantane, url, cookies, mails, fichiers). Aussi de par son adaptation aux adaptation pour les petites moyennes et granges entreprises.

25

BIBLIOGRAPHIE Ethical Hackng , : Collection EPSILON Tableau de bord de la scurit reseau ; ditons EYROLLES Par C d r i c L l o r e n s, L a u r e n t L e v i e r ,D e n i s V a l o i s http://fr.wikipedia.org/wiki/Authentification http://fr.wikipedia.org/wiki/Wireshark http://wiki.backtrack-fr.net/index.php/Dsniff http://www.authsecu.com/sniffers-reseaux-commutes/sniffers-reseaux-commutes.php http://www.memoefix.com/?tag=arpspoof http://www.colasoft.com/nchronos/installation.php

26