INF 1433 : Initiation la scurit informatique

Travail Pratique II.

Wireshark, Nmap et Snort

Il est compltement interdit de pratiquer les techniques vues dans ce cours sur un
UpVHDXRXXQHPDFKLQHTXLQHYRXVDSSDUWLHQWSDV\FRPSULVOHUpVHDXGHOXQiversit et
les machines qui ne sont pas dans le laboratoire prvu pour cette n. Vous risquez la
prison et ni votre professeur, ni votre universit ne peuvent vous protger.
Objectif du TP
/REMHFWLI GH FH ODERUDWRLUH HVW GH SHUPHWWUH j OpWXGLDQW GH manipuler les outils
Wireshark, Nmap et Snort utiliss dans le domaine de la scurit des systmes
informatiques.

Description des outils.

Wireshark
Wireshark est l'analyseur rseau le plus populaire au monde. Cet outil extrmement
puissant fournit des informations sur des protocoles rseaux et applicatifs partir de
donnes captures sur un rseau. Comme un grand nombre de programmes, Wireshark
utilise la librairie rseau PCAP pour capturer les paquets. La force de Wireshark vient
principalement de :
1. sa facilit d'installation.
2. sa simplicit d'utilisation de son interface graphique.
3. un trs grand nombre de fonctionnalits offertes.
Wireshark fut appel Ethereal jusqu'en 2006. Le dveloppeur principal GHORXWLOdcida
de lui changer le nom en raison de problmes de copyright avec le nom Ethereal qui
tait enregistr par la socit qu'il a quitt en 2006.
(source: http://openmaniak.com/fr/wireshark.php)
Nmap
1PDS1HWZRUN0DSSHUHVWXQRXWLORSHQVRXUFHG
H[SORUDWLRQUpVHDXHWG
DXGLWGH
scurit. Il a t conu pour scanner de grands rseaux de manire trs efficace,
mais il fonctionne aussi trs bien sur une cible unique. Nmap innove en utilisant des
paquets IP bruts (raw packets) pour dterminer quels sont les htes actifs sur le rseau,
quels services (y compris le nom de l'application et la version) ces htes offrent, quels
systmes d'exploitation (et leurs versions) ils utilisent, quels types de dispositifs de
filtrage/pare-feux sont utiliss, ainsi que des dizaines d'autres caractristiques. Nmap

est gnralement utilis pour des audits de scurit mais de nombreux gestionnaires
des systmes et de rseaux l'apprcient pour des tches de routine comme les
inventaires de rseau, la gestion des mises jour planifies ou la surveillance des htes
et des services actifs.
Le rapport de sortie de Nmap est une liste des cibles scannes ainsi que des
informations complmentaires en fonction des options utilises. L'information centrale de
la sortie est une table de ports intressants . Cette table liste les numros de port, les
protocoles, les noms des services et leurs tats. L'tat est soit ouvert (open), filtr
(filtered), ferm (closed) ou non-filtr (unfiltered). /pWDW ouvert indique que
l'application de la machine cible est en coute de paquets/connexions sur ce port. /pWDW
filtr indique qu'un pare-feu, un dispositif de filtrage ou un autre obstacle rseau
bloque ce port, empchant ainsi Nmap de dterminer s'il s'agit d'un port ouvert ou ferm.
Les ports ferms n'ont pas d'application en coute, bien qu'ils puissent quand mme
s'ouvrir n'importe quand. Les ports sont considrs comme non-filtrs lorsqu'ils
rpondent aux paquets de tests (probes) de Nmap, mais Nmap ne peut dterminer s'ils
sont ouverts ou ferms. Nmap renvoie galement les combinaisons d'tats ouverts|filtr
et ferms|filtr lorsqu'il n'arrive pas dterminer dans lequel des deux tats possibles se
trouve le port. La table des ports peut aussi comprendre des dtails sur les versions des
logiciels si la dtection des services est demande. Quand un scan du protocole IP est
demand (-sO), Nmap fournit des informations sur les protocoles IP supports au lieu de
la liste des ports en coute.
En plus de OD WDEOH GHV SRUWV 1PDS SHXW DXVVL IRXUQLU GDXWUHV informations sur les
cibles comme les noms DNS (reverse DNS), les systmes d'exploitation utiliss, obtenir
le type de matriel ou les adresses MAC.
(source: http://nmap.org/man/fr/)
Snort
Snort est un outil IDS (Intrusion Detection System) open source crit par Martin Roesch.
La socit SourceFire dont a fait partie Roesch, a continu le dveloppement de Snort.
La socit ft, par la suite, rachete par le gant isralien CheckPoint en 2005. Comme
Wireshark, Snort utilise la librairie libpcap pour capturer des paquets. Snort peut tre
lanc en quatre modes :
x

mode sniffer : Snort va lire le trafic rseau et le montrer l'cran;

mode packet logger : Snort va enregistrer le trafic rseau sur un fichier;

mode IDS : le trafic rseau correspondant aux rgles de scurit est enregistr;

mode IPS (Intrusion Prevention System) : aussi connu sous le nom de snortinline (http://openmaniak.com/fr/inline.php).

Snort est un trs puissant outil et est connu comme un des meilleurs IDS sur le march,
mme quand il est compar des IDS commerciaux. De nombreuses personnes dans
la trs active communaut Snort partagent leurs rgles de scurit, ce qui est trs utile
si l'on n'est pas un expert de la scurit et si l'on veut des rgles jour. La compagnie
SourceFire dlivre trs rgulirement de nouvelles rgles de scurit. Le
tlchargement des rgles est payant durant les premires journes de leurs sorties
aprs quoi le tlchargement devient gratuit. Par chance, la communaut bleedingsnort
cre des rgles de scurit gratuites leurs sorties.
Un autre outil appel BASE (Basic Analysis and Security Engine) est ncessaire pour
visualiser les logs gnrs par l'IDS Snort et envoys vers la base de donnes. Cet outil
est en fait un script PHP qui affiche des alertes dans une interface web.
(source: http://openmaniak.com/fr/snort.php)
La documentation sur snort peut tre consulte sur les liens :
x

http://www.snort.org/docs

http://www.snort.org/snort/faq/

Rfrences pour crire des rgles de dtection des intrusions avec Snort :
x

http://www.vorant.com/files/EZ_Snort_Rules.pdf

http://www.trustonme.net/didactels/187.html

/DUWLFOHoriginDOpFULWSDU5RHVFKODXWHXUGH Snort, traduit en franais :

x

http://www.groar.org/trad/snort/snort-faq/writing_snort_rules.html

Travail demand
Le travail consiste faire certaineV RSpUDWLRQV HW GH SUHQGUH GHV FRSLHV GpFUDQV
montrant vos rsultats. Il y a aussi quelques petites questions auxquelles il faut
rpondre. Les tapes et les dtails sont dcrits dans ce qui suit.
1. Lancez Wireshark sur BT5 (disponible sous BackTrack o Privilege Escalation o
Sniffers o Network Sniffers) :
2. Assurez-vous que l`interface eth0 est en mode host-only et vrifiez son adresse
IP (192.168.X.num_group).
X = numro de segment de VMnet1 partag avec la machine hte
num_group est le numro assign votre groupe
3. En utilisant Wireshark sur BT5, activez ODFDSWXUHVXUOLQWHUIDFHeth0.

4. Vrifiez TXHODPDFKLQH%7HVWDFFHVVLEOHjSDUWLUGHOK{WHHWYLDODFRPPDQGH
ping :
ping 192.168.X.num_group
SI ncessaire, reconfigurez ODGUHVVH GH eth0 pour que la communication soit
possible.
5. Arrter la capture des paquets et filtrer le trafique captur en ne gardant que les
protocoles arp et icmp. Pour plus de dtails sur les filtres voir le help de
Wireshark ou sur Internet (e.g. http://openmaniak.com/fr/wireshark_filters.php).

6. Dans VMware, dmarrer la machine se trouvant dans le rpertoire Target/DeICE/1.110. &RQILJXUHUODFDUWHUpVHDXGHODFLEOHSRXUTXHOOHVRLWHQPRGHhostonly.

7. Assigner ODGUHVVH ,3 192.168.1.num_group a eth0 dans BT5. Est-ce que la
commande ping excute partir de BT5 permet de conclure que la machine
cible (192.168.1.110) est visible ? (Oui ou Non)
8. SDUWLUGXQHFRQVROHGHODPDFKLQH%7XWLOLVH]ODFRPPDQGHman pour avoir
GH ODLGH VXU OH SURJUDPPH nmap. Dduisez les paramtres ncessaires la
commande nmap pour recueillir des informations sur la machine cible
(192.168.1.110) (YHUVLRQ GX V\VWqPH GH[SORLWDWLRQ, services offerts, etc.).
'RQQHUXQHFRSLHGpFUDQPRntrant la fois la commande utilise et le rsultat
obtenu.

9. Utilisez un diteur de texte (gedit, etc.) pour modifier le fichier

/etc/snort/snort.conf pour mettre en commentaire (#) les lignes suivantes :
include $RULE_PATH/dos.rules
include $RULE_PATH/community-dos.rules
include $RULE_PATH /community-smtp.rules
include $RULE_PATH /community-virus.rules

10. Reconfigurer eth0 de BT5 en mode NAT.

11. Dmarrer le service Snort (disponible sous BackTrack o Services o SNORT o
snort start).
12. diter le fichier local.rules dans /etc/snort/rules/ pour ajouter la rgle snort
permettant ODGpWHFWLRQGHODFFqVDXVLWHJRRJOHFRP :
alert tcp $HOME_NET any -> any any (content: "google.com"; msg: "What is hotmail?";
sid: 87654123; rev: 1)

13. Lancer snort dans un terminal (console), et spcifier OXVDJHUVQRUWHWOD

redirection des messages vers la console :
snort u snort c /etc/snort/snort.conf -A console

14. Lancer Firefox et naviguer vers : www.google.com. Cliquez sur le button

Google Search .
15. Vrifier dans la console que snort a dtect Oaccs DXVLWHHWPRQWUHODOHUWH
configure dans le fichier local.rules.