Académique Documents
Professionnel Documents
Culture Documents
est gnralement utilis pour des audits de scurit mais de nombreux gestionnaires
des systmes et de rseaux l'apprcient pour des tches de routine comme les
inventaires de rseau, la gestion des mises jour planifies ou la surveillance des htes
et des services actifs.
Le rapport de sortie de Nmap est une liste des cibles scannes ainsi que des
informations complmentaires en fonction des options utilises. L'information centrale de
la sortie est une table de ports intressants . Cette table liste les numros de port, les
protocoles, les noms des services et leurs tats. L'tat est soit ouvert (open), filtr
(filtered), ferm (closed) ou non-filtr (unfiltered). /pWDW ouvert indique que
l'application de la machine cible est en coute de paquets/connexions sur ce port. /pWDW
filtr indique qu'un pare-feu, un dispositif de filtrage ou un autre obstacle rseau
bloque ce port, empchant ainsi Nmap de dterminer s'il s'agit d'un port ouvert ou ferm.
Les ports ferms n'ont pas d'application en coute, bien qu'ils puissent quand mme
s'ouvrir n'importe quand. Les ports sont considrs comme non-filtrs lorsqu'ils
rpondent aux paquets de tests (probes) de Nmap, mais Nmap ne peut dterminer s'ils
sont ouverts ou ferms. Nmap renvoie galement les combinaisons d'tats ouverts|filtr
et ferms|filtr lorsqu'il n'arrive pas dterminer dans lequel des deux tats possibles se
trouve le port. La table des ports peut aussi comprendre des dtails sur les versions des
logiciels si la dtection des services est demande. Quand un scan du protocole IP est
demand (-sO), Nmap fournit des informations sur les protocoles IP supports au lieu de
la liste des ports en coute.
En plus de OD WDEOH GHV SRUWV 1PDS SHXW DXVVL IRXUQLU GDXWUHV informations sur les
cibles comme les noms DNS (reverse DNS), les systmes d'exploitation utiliss, obtenir
le type de matriel ou les adresses MAC.
(source: http://nmap.org/man/fr/)
Snort
Snort est un outil IDS (Intrusion Detection System) open source crit par Martin Roesch.
La socit SourceFire dont a fait partie Roesch, a continu le dveloppement de Snort.
La socit ft, par la suite, rachete par le gant isralien CheckPoint en 2005. Comme
Wireshark, Snort utilise la librairie libpcap pour capturer des paquets. Snort peut tre
lanc en quatre modes :
x
mode IDS : le trafic rseau correspondant aux rgles de scurit est enregistr;
mode IPS (Intrusion Prevention System) : aussi connu sous le nom de snortinline (http://openmaniak.com/fr/inline.php).
Snort est un trs puissant outil et est connu comme un des meilleurs IDS sur le march,
mme quand il est compar des IDS commerciaux. De nombreuses personnes dans
la trs active communaut Snort partagent leurs rgles de scurit, ce qui est trs utile
si l'on n'est pas un expert de la scurit et si l'on veut des rgles jour. La compagnie
SourceFire dlivre trs rgulirement de nouvelles rgles de scurit. Le
tlchargement des rgles est payant durant les premires journes de leurs sorties
aprs quoi le tlchargement devient gratuit. Par chance, la communaut bleedingsnort
cre des rgles de scurit gratuites leurs sorties.
Un autre outil appel BASE (Basic Analysis and Security Engine) est ncessaire pour
visualiser les logs gnrs par l'IDS Snort et envoys vers la base de donnes. Cet outil
est en fait un script PHP qui affiche des alertes dans une interface web.
(source: http://openmaniak.com/fr/snort.php)
La documentation sur snort peut tre consulte sur les liens :
x
http://www.snort.org/docs
http://www.snort.org/snort/faq/
Rfrences pour crire des rgles de dtection des intrusions avec Snort :
x
http://www.vorant.com/files/EZ_Snort_Rules.pdf
http://www.trustonme.net/didactels/187.html
http://www.groar.org/trad/snort/snort-faq/writing_snort_rules.html
Travail demand
Le travail consiste faire certaineV RSpUDWLRQV HW GH SUHQGUH GHV FRSLHV GpFUDQV
montrant vos rsultats. Il y a aussi quelques petites questions auxquelles il faut
rpondre. Les tapes et les dtails sont dcrits dans ce qui suit.
1. Lancez Wireshark sur BT5 (disponible sous BackTrack o Privilege Escalation o
Sniffers o Network Sniffers) :
2. Assurez-vous que l`interface eth0 est en mode host-only et vrifiez son adresse
IP (192.168.X.num_group).
X = numro de segment de VMnet1 partag avec la machine hte
num_group est le numro assign votre groupe
3. En utilisant Wireshark sur BT5, activez ODFDSWXUHVXUOLQWHUIDFHeth0.
4. Vrifiez TXHODPDFKLQH%7HVWDFFHVVLEOHjSDUWLUGHOK{WHHWYLDODFRPPDQGH
ping :
ping 192.168.X.num_group
SI ncessaire, reconfigurez ODGUHVVH GH eth0 pour que la communication soit
possible.
5. Arrter la capture des paquets et filtrer le trafique captur en ne gardant que les
protocoles arp et icmp. Pour plus de dtails sur les filtres voir le help de
Wireshark ou sur Internet (e.g. http://openmaniak.com/fr/wireshark_filters.php).