Vous êtes sur la page 1sur 57

Rapport de stage

Pr´evention et d´etection d’intrusion avanc´ee Testes d’intrusions

R´ealis´e par :

Mr KALLIDA Anass

Encadr´e par :

Mr. Mohamed AL AROUSSI

Soci´et´e ALA 3G TELECOM 2009 - 2010

20 Janvier 2010

Table des mati`eres

1 Introduction

6

2 Objectifs

8

3 Installation et utilisation d’un sniffer (Wireshark)

 

9

3.1 Pr´esentation de Wireshark

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

9

3.2 Lancement de Wireshark

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

3.3 Conclusion

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

17

4 Utilisation du sniffer (Ettercap)

 

18

4.1 Pr´esentation de Ettercap

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

18

4.2 Concepts de base

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

20

4.3 SSL sniff .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

24

4.4 Contre mesure

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

31

4.5 Conclusion .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

33

5 Utilisation du scanner (Nmap)

 

34

5.1 Pr´esentation de Nmap

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

34

5.2 utilisation de Nmap

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

34

5.3 Conclusion

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

6 Metasploit

38

6.1 Description

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

38

6.2 Exemple d’exploitation

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

39

6.3 Conclusion .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

45

7 Crack de cl´e WPA avec la suite Aircrack-ng

 

46

7.1 Pr´esentation de la suite Aircrack-ng .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

46

7.2 Crack de cl´e WPA

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

47

7.3 Conclusion .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

53

8 Conclusion g´en´erale

 

54

9 Bibliographie / Neto-graphie

 

56

 

1

Remerciements

Je voudrais tout d’abord exprimer mes profondes reconnaissances `a Mr. Mohamed AL AROUSSI , enseignant `a la facult´e des Sciences de Rabat, et responsable de mon projet de stage sur la s´ecurit´e des syst`emes d’information `a la soci´et´e ALA 3G TELECOM, qui a dirig´e mon travail ; Ses conseils, ses commentaires pr´ecieux et ses id´ees constructives m’ont permis de surmonter les difficult´es et de progresser dans mes ´etudes .

Et enfin, je voudrais adresser nos remerciements `a tous ceux qui ont contribu´e de pr`es ou de loin `a l’´elaboration de ce travail.

2

Avant propos

Avec l’hypercroissance des technologies de communication et d’´echange d’informa- tion, rares restent les points non connect´es au r´eseau. ADSL, PABX, ISDN, RTC, Transfix, ATM, Wireless, GSM, Satellite, GPRS, 3G, Edge, Fibre Optique : les r´eseaux sont d´esormais partout. Cette croissance exponentielle a induit de nombreuses r´epercutions, notamment en terme de partage de l’information et de communication. Malheureusement cette ´evolution a ´egalement un prix : Les techniques permettant de p´en´etrer des r´eseaux et syst`emes d’information sont aujourd’hui accessibles a` tout un chacun.

Les r´esultats ne se sont pas faits attendre. Le taux de ”criminalit´e informatique” augmente de mani`ere exponentielle. Ces mˆemes r´eseaux qui vous relient a` vos clients et fournisseurs sont ´egalement un point de connexion pour vos concurrents, et autres

C’est ainsi que de nouvelles formes de menaces sont apparues : on les appelle

ennemis

virus, intrusions, pirates, guerres de l’information, espionnage ´electronique, vers, trojans, backdoors et bombes logiques. Ces nouvelles menaces ne n´ecessitent pas une intrusion physique dans votre syst`eme d’information : une simple connexion suffit d´esormais

Les tests de vuln´erabilit´es et tests d’intrusion vous permettent de savoir si vous ˆetes oui ou non potentiellement vuln´erables `a ces attaques et comment y rem´edier. Acc`es physiques, ing´eni´erie sociale (social engineering), pabx, connexion internet : quelques soient les points faibles de votre syst`eme d’information.

Tout ordinateur connect´e `a un r´eseau informatique est potentiellement vuln´erable `a une attaque.

Une attaque est l’exploitation d’une faille d’un syst`eme informatique (syst`eme d’exploitation, logiciel ou bien mˆeme de l’utilisateur) `a des fins non connues par l’exploitant du syst`emes et g´en´eralement pr´ejudiciables.

Sur internet des attaques ont lieu en permanence, a` raison de plusieurs attaques par minute sur chaque machine connect´ee. Ces attaques sont pour la plupart lanc´ees automatiquement a` partir de machines infect´ees (par des virus, chevaux de Troie, vers, etc.), a` l’insu de leur propri´etaire. Plus rarement il s’agit de l’action de pirates informatiques.

3

Afin de contrer ces attaques il est indispensable de connaˆıtre les principaux types d’attaques afin de mettre en oeuvre des dispositions pr´eventives.

Les motivations des attaques peuvent ˆetre de diff´erentes sortes :

– obtenir un acc`es au syst`eme ;

– voler des informations, tels que des secrets industriels ou des propri´et´es intellec- tuelles ;

– glˆaner des informations personnelles sur un utilisateur ;

– r´ecup´erer des donn´ees bancaires ;

– s’informer sur l’organisation (entreprise de l’utilisateur, etc.) ;

– troubler le bon fonctionnement d’un service ;

– utiliser le syst`eme de l’utilisateur comme rebond pour une attaque ;

– utiliser les ressources du syst`eme de l’utilisateur, notamment lorsque le r´eseau sur lequel il est situ´e poss`ede une bande passante ´elev´ee.

La s´ecurisation d’un syst`eme informatique est g´en´eralement dite asym´etrique , dans la mesure o`u le pirate n’a qu’`a trouver une seule vuln´erabilit´e pour compromette le syst`eme, tandis que l’administrateur se doit de corriger toutes les failles.

Pendant que l’administrateur pr´epare le plan de s´ecurit´e globale et la zone d´emilitaris´ee (DMZ), il est important d’identifier et d’´evaluer les risques et les menaces potentielles env`ers le r´eseau, les syst`emes et les donn´ees.Il faut ´evaluer les risques de mani`ere approfondie au cours du processus d’identification et d’assigner des valeurs au regard des risques pour d´eterminer les priorit´es pour la protection, et la probabilit´e de perte r´esultant de ces risques et menaces si elles se concr´etisent. Il doit ´etablire une ´evaluation des risques pour tout ce qui pourrait ´eventuellement perturber, ralentir, ou endommager les syst`emes, donn´ees

les tests de s´ecurit´e des r´eseaux proposent en g´en´erale les tests suivants :

– Un test d’intrusion qui est une simulation d’attaque pirate : Le but des testeurs est de p´en´etrer aussi profond´ement que possible dans le r´eseau et d’acc´eder a` des

donn´ees confidentielles.

– Evaluation de la s´ecurit´e des r´eseaux : Une ´evaluation de la s´ecurit´e des r´eseaux est con¸cue de mani`ere a` fournir un tableau d´etaill´e du niveau de s´ecurit´e du r´eseau. Le but en est de mettre en lumi`ere le plus grand nombre possible de faiblesses s´ecuritaires dans les syst`emes connect´es au r´eseau. Chaque vuln´erabilit´e identifi´ee est v´erifi´ee manuellement et son impact est ´evalu´e en fonction de la configuration. Des ´evaluations de la s´ecurit´e peuvent ˆetre mises en oeuvre a` partir d’Internet pour mesurer le degr´e de vuln´erabilit´e a` un attaquant externe ou a` partir du r´eseau interne pour mesurer le degr´e de vuln´erabilit´e a` un agent interne malveillant.

– Test de s´ecurit´e d’application web : Les applications web peuvent ˆetre test´ees du point de vue d’une personne ext´erieure ou d’un utilisateur autoris´e. Il faut aussi proc´eder a` des examens de codes sources, qui sont la mani`ere la plus efficace de mettre en ´evidence des beugues de s´ecurit´e dans les applications.

– Tests sp´ecialis´es comprenant les tests de WIFI, PBX et d’acc`es par ligne com- mut´ee, VoIP, RAS et RPV.

– Examens de configuration (test de vuln´erabilit´e) : Un examen de configuration fournit une analyse approfondie de la s´ecurit´e des syst`emes, et surtout celle nouvellement install´ees.

– L’audit de s´ecurit´e est une d´emarche collaborative visant l’exhaustivit´e. Elle est moins r´ealiste qu’un test d’intrusion mais permet en contrepartie de passer m´ethodiquement en revue tout le r´eseau et chacun de ses composants en d´etail. De surcroˆıt son aspect collaboratif permet aux personnes travaillant dans l’entreprise de s’impr´egner des connaissances en mati`ere de la s´ecurit´e des syst`emes.

1

Introduction

Les tests d’intrusion (en anglais penetration tests, abr´eg´es en pen tests) consiste `a ´eprouver les moyens de protection d’un syst`eme d’information en essayant de s’introduire dans le syst`eme en situation r´eelle.

On distingue g´en´eralement deux m´ethodes distinctes :

– La m´ethode dite boˆıte noire (en anglais black box ) consistant a` essayer d’infiltrer le r´eseau sans aucune connaissance du syst`eme, afin de r´ealiser un test en situation r´eelle ;

– La m´ethode dite boˆıte blanche (en anglais white box ) consistant `a tenter de s’introduire dans le syst`eme en ayant connaissance de l’ensemble du syst`eme, afin d’´eprouver au maximum la s´ecurit´e du r´eseau.

Une telle d´emarche doit n´ecessairement ˆetre r´ealis´e avec l’accord (par ´ecrit de pr´ef´erence) du plus haut niveau de la hi´erarchie de l’entreprise, dans la mesure o`u elle peut aboutir `a des d´egˆats ´eventuels et ´etant donn´e que les m´ethodes mises en oeuvre sont interdites par la loi en l’absence de l’autorisation du propri´etaire du syst`eme.

Un test d’intrusion, lorsqu’il met en ´evidence une faille, est un bon moyen de sensibiliser les acteurs d’un projet. A contrario, il ne permet pas de garantir la s´ecurit´e du syst`eme, dans la mesure o`u des vuln´erabilit´es peuvent avoir ´echapp´e aux testeurs. Les audits de s´ecurit´e permettent d’obtenir un bien meilleur niveau de confiance dans la s´ecurit´e d’un syst`eme ´etant donn´e qu’ils prennent en compte des aspects organisationnels et humains et que la s´ecurit´e est analys´ee de l’int´erieur.

Les tests de vuln´erabilit´es et les tests d’intrusion sont utiles dans de nombreux cas de figure :

– Pour se rassurer.

– Pour valider une architecture dite s´ecuris´ee.

6

– Pour tester son prestataire de s´ecurit´e actuel.

– Mettre en conditions r´eelles une ´equipe de r´eponse aux attaques.

– Pour s’assurer du d´eclenchement appropri´e des alarmes (IDS/IPS).

– Pour s’assurer du suivi des proc´edures de s´ecurit´e

Plusieurs

outils

existent

actuellement

particuli`erement les projets suivants :

afin

d’effectuer

ces

tests.

On

retiendra

Ettercap qui est un logiciel libre d’analyse du r´eseau informatique. Il est capable d’intercepter le trafic sur un segment r´eseau, de capturer les mots de passe, et de r´ealiser des attaques dites de l’homme du milieu (Man In The Middle) contre un certain nombre de protocoles de communication usuels tels que HTTP, FTP et certains protocoles chiffr´es

Nmap (Network Mapper) qui est un outil Open Source d’exploration r´eseau et d’audit de s´ecurit´e.

Le sniffer Ethereal ou Wireshark.

Metasploit qui est un projet open-source sur la s´ecurit´e informatique qui fournit des informations sur des vuln´erabilit´es, aide `a la p´en´etration de syst`emes infor- matis´es et au d´eveloppement de signatures pour les IDS.

Aircrack-ng qui est un groupe d’outils de surveillance pour r´eseau sans fil dont l’utilisation principale est le cassage de cl´es WEP et WPA-PSK des r´eseaux WIFI.

2

Objectifs

Notre objectif est de mettre en oeuvre des outils de s´ecurit´e et interpr´eter les

`

A travers des outils a` disposition dans le libre, nous effectuerons des tests sur nos

syst`emes afin de s’assurer que ceux-ci sont s´ecuris´es, tout au moins dans une certaine mesure.

r´esultats.

Nous allons nous intruduire certains aspectts d’audit de la s´ecurit´e informatique. Et nous allons nous int´eresser `a ce qui suit :

– Utilisation d’un sniffer Ethereal (Wireshark).

– Utilisation d’un scanner de vuln´erabilit´e nmap.

– Analyser la s´ecurit´e du protocole HTTPS (mot de pass) avec Ettercap.

– Exploitation du sys`eme windows d’une machine qui se trouve sur le r´eseau avec le framework Metasploit.

– Tester la qualit´e, la robustesse et la fiabilit´e de la cl´e WPA d’un r´eseau sans file.

Pour mettre en place ses testes d’intrusion dans notre r´eseau, on va utiliser le syst`eme BackTrack qui est une distribution GNU/linux reconnue par les professionnels comme compl`ete et efficace en mati`ere d’analyse r´eseau et de test d’intrusion.

Issue de Whax et ASC (Auditor Security Collection), son syst`eme de type Slackware, est compos´e d’une s´erie d’outils (plus de 300) permettant `a toute personne de s´ecuriser son r´eseau en testant ses vuln´erabilit´es. La version complette est la v3.0 finale (2008), incluant le noyau Linux 2.6.21.5. Aussi la version actulle est la v4.0 beta (2009) qui est disponible aussi sous forme VMware.

BackTrack est disponible dans le site web (www.remote-exploit.org) sous forme de live CD. Il est ´egalement possible de l’installer sur un disque dur, sur une cl´e USB, ou encore de mettre en place un d´emarrage PXE.

8

3 Installation et utilisation d’un sniffer (Wireshark)

3.1 Pr´esentation de Wireshark

G´en´eralement sur les r´eseaux Ethernet, le trafic des paquets naviguant d’une machine source vers une machine destination passe par l’interm´ediaire d’autres machines qui se contentent de transmettre le message sans l’interpr´eter, cette fonction qui appartient a` la couche physique est programm´ee sur la carte r´eseau au niveau du fabricant.

Toutefois certains programmes malicieux arrivent a` d´esactiver cette fonction et mettre la carte en Promiscuous Mode, ce qui rend visible toutes les informations qui passent par la carte r´eseau mˆeme ceux qui ne lui sont pas destin´ees. Un exemple populaire abord´e serait Ethereal ou Wireshark.

Wireshark est l’analyseur r´eseau le plus populaire du monde. Cet outil extrˆemement puissant fournit des informations sur des protocoles r´eseaux et applicatifs `a partir de donn´ees captur´ees sur un r´eseau. Comme un grand nombre de programmes, Wireshark utilise la librairie r´eseau pcap pour capturer les paquets.

La force de Wireshark vient de :

– sa facilit´e d’installation.

– sa simplicit´e d’utilisation de son interface graphique.

– son tr`es grand nombre de fonctionnalit´es.

Wireshark fut appel´e Ethereal jusqu’en 2006 o`u le d´eveloppeur principal d´ecida de changer son nom en raison de probl`emes de copyright avec le nom de Ethereal qui ´etait enregistr´e par la soci´et´e qu’il d´ecida de quitter en 2006.

9

Un tr`es important outil n´ecessaire a` Ethereal o`u Wireshark est la librairie r´eseau libpcap pour capturer les packets r´eseaux. Si cette librairie ou d’autres d´ependances ne sont pas pr´esentes sur votre syst`eme, elles seront automatiquement install´ees avec l’intallation de Wireshark.

Ce programme est disponible en version free sur le site officiel (www.ethreal.com / www.wireshark.com) pour les syst`emes windows aussi pour les distributions Linux. Il y aussi la version TShark qui est la version ligne de commande de Wireshark.

3.2 Lancement de Wireshark

Dans cette partie, nous allons fournir des expliquations sur la fa¸con de lancer Wire- shark avec les param´etres par d´efaut. Et l’explication des r´esultats obtenus.

Lancement de Wireshark

Pour lancer Wireshark on tape dans le console la commande :

#wireshark

Ce qui permet d’ouvrire la fenˆetre de la figure suivante :

Wireshark on tape dans le console la commande : #wireshark Ce qui permet d’ouvrire la fenˆetre

Premi`ere capture

Pour effectuer une capture, il faut aller dans le menu Capture / Interface (ou cliquer sur le bouton correspondant).

Une nouvelle fenˆetre comportant la liste des interfaces r´eseaux disponibles va apparaitre.

la liste des interfaces r´eseaux disponibles va apparaitre. Si on souhaite configurer certaines options de la

Si on souhaite configurer certaines options de la capture, il faut cliquer sur Options. On peut alors par exemple ajouter des filtres de captures permettant de ne capturer que des paquets correspondant `a votre besoin. Dans l’exemple suivant nous allons seulement capturer les paquets HTTP (c’est-`a-dire TCP/80) :

capturer les paquets HTTP (c’est-`a-dire TCP/80) : Pour d´emarrer la capture il suffit de presser le

Pour d´emarrer la capture il suffit de presser le bouton Start.

Wireshark va alors capturer les paquets correspondant `a votre filtre (s’il existe) jusqu’`a ce que

Wireshark va alors capturer les paquets correspondant `a votre filtre (s’il existe) jusqu’`a ce que le bouton Stop soit press´e.

Analyse des captures

Au cours de notre utilisation du sniffer Wireshark, on a essayer de faire plusieurs tests notamments :

– des connexions http,

– telnet sur une machine distante,

– ssh sur une machine distante,

Pour se faire on va utiliser deux machine unix qui tourne sous ubuntu et une autre machine qui tourne sous backtrack. Et toute cette archit´ecture est r´ealis´e avec l’outil VMware Workstation.

– La premi`ere machine ubuntu a l’adresse IP suivante : 192.168.246.133

– La deuxi`eme machine ubuntu a l’adresse IP suivante : 192.168.246.134

– La machine backtrack utilise l’adresse IP : 192.168.246.129 donc se trouve dans le mˆeme r´eseau local que les autres machines.

Sniff des connexions http On va r´ealiser dans notre premier teste un telnet entre la

Sniff des connexions http

On va r´ealiser dans notre premier teste un telnet entre la machine 1 et la machine 2, et dans un deuxi`eme temps on r´ealise une connexion ssh entre les deux machines.

entre la machine 1 et la machine 2, et dans un deuxi`eme temps on r´ealise une
Une fois la capture achev´ee, nous serons redirig´e vers la fenˆetre principale. Pour analyser le

Une fois la capture achev´ee, nous serons redirig´e vers la fenˆetre principale. Pour analyser le contenu d’un paquet, il faut d’abord le s´electionner dans la liste des paquets captur´es. C’est dans la fenˆetre des d´etails qu’on trouver des informations int´eressantes. Cette fenˆetre affiche une ligne (extensible) par couche r´eseau.

On retrouve donc pour notre paquet HTTP, les couches suivantes :

– couche 2 (Ethernet : MAC)

– couche 3 (Internet Protocol : IP)

– couche 4 (Transmission control protocol : TCP)

– couche 7 (HyperText Transfert Protocol : HTTP)

Pour aller plus en d´etail, par exemple sur le niveau IP (l`a o`u se trouve les adresses source et destination), il suffit de cliquer sur la ligne en question.

Souvent, on capture la totalit´e d’un flux, puis, par la suite, on souhaite se focaliser sur une sous partie plus pr´ecise. Wireshark fourni des outils puissants de filtrage.

Imaginons que dans notre capture (backtrack) vous souhaitiez afficher seulement les paquets r´eseaux correspondant au protocole ftp ou ssh ou http, Il faut pour cela saisir la commande qui prend en argument le nom du protocole. Pour plus d’information sur le filtrage de wireshark il faut lire la documentation de wireshark.

Par exemple on filtre les packets du protocole http :

Par exemple on filtre les packets du protocole http : On peut ainsi analyser notre capture

On peut ainsi analyser notre capture et on remarque qu’on trouve toute les informations des packets, en partant des adresses IP de la source et de la d´estination et en arrivant au contenu du packet.

Sniff des connexions telnet

On filtre maintenant les packets de la communication telnet :

Dans cette partie on a eff´ectu´e un telnet entre les deux machine dans le port 21 donc c’est une communication ftp qui ´etait ´etablie entre les deux machines.

ftp qui ´etait ´etablie entre les deux machines. On remarque que les mots de pass d’une

On remarque que les mots de pass d’une connexion ftp passe en claire dans le r´eseau.

Sniff des connexions SSH

SSH (Secure Shell) est un programme permettant de se connecter a` un autre ordinateur ´etranger dans Internet, d’ex´ecuter des commandes sur une machine p´eriph´erique et de transf´erer des fichiers d’une machine vers une autre. Il permet une authentification robuste et une communication s´ecuris´ee sur des canaux de communication non prot´eg´es. Il a ´et´e d´evelopp´e dans l’´eventuel but de remplacer les commandes UNIX rlogin, rsh et rcp.

En fait, SSH prot`ege l’utilisateur contre le packet sniffing , par lequel des mots de

En fait, SSH prot`ege l’utilisateur contre le packet sniffing , par lequel des mots de passe et des textes non-crypt´es peuvent ˆetre lus p.ex. a` l’aide d’outils comme Wireshark. Donc avec SSH les mots de passe et les login ainsi que toute autre information passe crypt´e dans le r´eseau.

3.3

Conclusion

Dans cette partie on a vue un exemple d’utilisation du sniffer Wireshark, on a r´eussit a` capturer les paquets qui transitent dans le r´eseau et apr`es on les a analys´es. Et on a constat´e que le trafique qui circule dans le r´eseau et soit en claire tel que le (http ou le telnet et ftp) ou bien crypt´e comme le (https ou le ssh).

Il est a not´e que le wireshark permet seulement de capturer les paquets qui circule dans le r´eseau et il n’est pas dot´e d’outils qui permettent d’extraire des informations utiles a partir des captures tel que les mots de passes crypt´e qui constituent l’´el´ement fondamentale de toute s´ecurit´e dans un r´eseau.

Dans le prochain paragraphe on va voir un autre sniffer plus puissant par rapport au wireshark qui est l’ettercap, et qui va nous permettre de r´ealiser une analyse tr`es approfondie des protocoles s´ecuris´es.

4 Utilisation du sniffer (Ettercap)

4.1 Pr´esentation de Ettercap

Ettercap est un utilitaire r´eseau aux multiples fonctionnalit´es. A sa naissance, l’uti- lisation la plus courante qu’on en faisait ´etait de sniffer (capturer les paquets) des r´eseaux LAN. Dor´enavant, il est ´egalement possible de r´ealiser des attaques de type Man In The Middle (MITM ou ”Homme au milieu” :(attaque comme l’hijacking TCP, le DNS Spoofing

Ettercap est dot´e de plugins facilitant la recherche de mots de passe. Pour cela, il

suffit simplement qu’une session d’un protocole non s´ecuris´e ait lieu, et Ettercap d´etecte toutes les informations sensibles. De nombreux protocoles sont support´es (FTP, HTTP,

Depuis l’int´egration de module g´erant le SSH et les sessions HTML s´ecuris´es

(SSL), il est ´egalement possible de r´ecup´erer les mots de passe grˆace `a la m´ethode MITM.

telnet,

).

Il est ´egalement compos´e de fonctions int´eressantes sur le r´eseau comme l’injection de requˆetes, soit `a envoyer au client (pour par exemple garder une connexion active), soit a` envoyer au serveur (pour en tirer parti). On peut ´egalement r´ealiser des analyses d’hosts int´eressantes et des identifications sur les machines (informations sur le syst`eme

C’est un projet libre, qui peut ˆetre utilis´e au travers d’un mode graphique, et d’un mode texte simple, ou interactif avec des menus.

Ettercap est un outil d´evelopp´e par Alberto Ornaghi (ALoR) et Marco Valleri (NaGA). La derni`ere version stable est la version 0.7.3.

Ettercap est d´ecrit par ses auteurs comme un outil permettant de sniffer les r´eseaux switch´es (donc par extension les r´eseaux locaux organis´es autour d’un HUB). De nombreuses ´evolutions au cours du d´eveloppement ont dot´e Ettercap de fonctions avanc´ees permettant la mise en place d’attaques de type ”Man in the middle” ainsi que la prise d’empreinte d’Os passive et active.

18

Une fois qu’Ettercap s’est ins´er´e au milieu d’une connexion, il capture et examine toutes les communications entre les hˆotes victimes et par cons´equent peut tirer avantage de la situation pour accomplir les tˆaches suivantes :

– Injection de commandes : ins´erer des commandes dans la connexion en cours afin d’´emuler des requˆetes envoy´ees par le client ou des r´eponses du serveur,

– Filtrage de paquet : filtrer automatiquement le contenu de paquets TCP ou UDP en cherchant des chaˆınes de caract`eres ASCII ou hexad´ecimales et les remplacer par un contenu offensif.

– R´ecup´eration de mots de passe : un module (aussi appel´e dissecteur) est capable de reconnaˆıtre et d’extraire les informations utiles d’un grand nombre de proto- coles tels que TELNET, FTP, POP3, SSH v1, X11, VNC, LDAP, SNMP, NFS, IRC, MySQL,

– Support du protocole HTTPS : insertion dans une session HTTPS en faisant accepter `a la victime un faux certificat,

– Support du protocole PPTP : mise en place d’attaques Man In the Middle contre un tunnel PPTP.

Ettercap inclut ´egalement une s´erie d’outils, tr`es utile, de reconnaissance r´eseau :

– Os fingerprinting (prise d’empreintes de syst`eme d’exploitation afin de les identi- fier),

– Scan passif,

– Sniffer IP / MAC.

4.2

Concepts de base

Avant d’entrer dans les d´etails du fonctionnement et de l’utilisation d’Ettercap nous allons faire quelques rappels sur les concepts de base n´ecessaires a` la compr´ehension et a` une utilisation efficace d’Ettercap. Car nous allons utiliser Ettercap pour accomplir des attaques sur le protocole ARP pour se positionner en tant que ”man in the middle”.

Le protocole ARP

Le protocole ARP est utilis´e au sein d’un r´eseau local pour faire la correspondance entre les adresses physiques MAC et les adresses logiques IP. Le protocole ARP interroge les machines du r´eseau pour connaˆıtre leurs adresses physiques, puis cr´ee une table de correspondance entre les adresses logiques et les adresses physiques dans une m´emoire cache.

Sur un r´eseau connect´e autour d’un HUB, les trames Ethernet sont envoy´ees a` tous les ports (Broadcast) sans se soucier de l’adresse MAC de destination, ce qui rend l’´ecoute passive triviale. Il suffit juste d’une carte configur´ee en mode ”promiscious” pour intercepter le trafic.

Sur un r´eseau organis´e autour de Switchs, les trames ne sont plus automatiquement envoy´ees `a tous les ports, ce qui permet notamment de r´eduire les congestions sur le r´eseau. Un Switch ´etant capable d’apprendre quelles sont les adresses MAC connect´ees a` ses ports il peut stocker ces informations dans une table, que l’on appelle table de transmission. Pour cela, il va extraire les adresses MAC sources des trames Ethernet, noter le port sur lequel la trame est arriv´ee et ajouter l’association dans sa table.

Lorsqu’une trame de niveau deux arrive, un Switch examine l’adresse de destination et consulte sa table de transmission. S’il ne connait pas encore le port correspondant, a` cette adresse, il va envoyer la trame a` tous les ports. A contrario si la table de transmission contient d´ej`a un port correspondant a` une adresse MAC la trame sera envoy´ee uniquement a` ce port.

Ce m´ecanisme rend plus difficile l’´ecoute passive sur un r´eseau switch´e. Si l’on place un sniffer sur un port d’un Switch, il r´ecup´erera uniquement le trafic a` destination de ce port ou le trafic broadcast´e.

Lorsqu’un hˆote encapsule un paquet IP dans une trame Ethernet, il connait l’adresse

MAC source (normalement la sienne ;), mais il ne connait peut ˆetre pas l’adresse MAC de destination. Cependant il connait l’adresse IP de destination contenue dans l’en-tˆete IP du paquet.

Il lui faut donc un moyen de r´ecup´erer l’adresse MAC correspondant `a cette adresse IP. Pour cela, il utilise le protocole ARP :

– une requˆete ARP est envoy´ee sur l’adresse Ethernet de broadcast en posant la question ”Qui a` l’adresse MAC aa :bb :cc :dd :ee :ff correspondant `a l’adresse IP w.x.y.z ?”,

– une r´eponse ARP est envoy´ee en unicast a` une requˆete ARP, du genre ”J’ai cette adresse IP et mon adresse MAC est aa :bb :cc :dd :ee :ff”.

Chaque hˆote sur le r´eseau maintient sa propre table de correspondance adresse IP, adresse MAC que l’on appelle cache ARP. Si le syst`eme doit envoyer un paquet `a une adresse IP, il consulte son cache ARP pour voir s’il connait d´ej`a l’adresse MAC correspondant `a l’adresse IP de destination. Si c’est le cas, il utilise l’adresse MAC pour adresser la trame.

le cas, il utilise l’adresse MAC pour adresser la trame. Si l’adresse de destination n’est pas

Si l’adresse de destination n’est pas dans le cache, l’hˆote envoie une requˆete ARP a` toutes les machines du r´eseau. Comme nous l’avons vu, si une machine ayant re¸cue la requˆete ARP reconnait son adresse IP, elle renvoie une r´eponse ARP contenant son adresse IP et son adresse MAC. L’hˆote source utilisera alors cette r´eponse ARP pour mettre a` jour son cache ARP et l’utiliser comme future r´ef´erence.

Il est important de noter que le cache ARP expire apr`es un certain temps au cours duquel il est effac´e.

ARP cache poisoining

En manipulant le cache ARP de potentielles victimes, un attaquant peut modifier la direction du trafic entre deux hˆotes (ou plus), afin de rediriger le flux vers une machine contrˆol´ee par un attaquant.

Une attaque de ce type consiste a` envoyer une requˆete ARP ( arp whohas ) a` une machine A. Ce paquet sp´ecialement forg´e contiendra, en adresse IP source, l’adresse IP

de la machine B dont l’attaquant veut recevoir le trafic et en adresse MAC source l’adresse MAC de la carte r´eseau de la machine C de l’attaquant.

La machine A va ainsi cr´eer une entr´ee dans son cache ARP associant l’adresse MAC de C `a l’adresse IP de la machine de B. Lorsque A va communiquer avec B au niveau IP, c’est le poste de l’attaquant qui recevra les trames de A puisque son adresse MAC est associ´ee a` l’adresse IP de B.

Nous pouvons voir sur la figure suivante la corruption du cache de la machine 192.168.1.27. En effet l’adresse MAC de la machine 192.168.1.254 n’est pas la mˆeme entre les deux inspections de cache.

n’est pas la mˆeme entre les deux inspections de cache. A ce stade plusieurs choix d’attaques

A ce stade plusieurs choix d’attaques se pr´esentent dont notamment le D´eni de Service (DoS) et l’´ecoute de communication (Sniffing). Cette derni`ere est plutˆot int´eressante afin de r´ecup´erer des donn´ees confidentielles vu la position d’”homme du milieu” (Man in the Middle) de l’attaquant.

Man In the Middle

Les attaques Man In The Middle (MitM - Homme du milieu) sont une classe d’attaques dans laquelle l’attaquant se situe entre deux parties communicantes, ce qui est le cas apr`es une attaque de cache poisoning couronn´ee de succ`es.

Cette position avantageuse permet a` l’attaquant de capturer (attaque visant la confidentialit´e), ins´erer (attaque visant l’int´egrit´e) ou modifier (attaque visant la confiden- tialit´e et l’int´egrit´e) les communications chiffr´ees entre les deux entit´es et ceux quel que soit le niveau de chiffrement utilis´e.

D’un point de vue pratique, l’attaquant ´ecoute (sniffe) les paquets du r´eseau, les modifient et

D’un point de vue pratique, l’attaquant ´ecoute (sniffe) les paquets du r´eseau, les modifient et les r´einjectent au destinataire initiale.

4.3

SSL sniff

Ettercap permet d’utiliser trois interfaces distinctes. Une interface graphique en GTK, une interface en mode texte qui utilise ncurses et la derni`ere en mode texte, ligne de commande. Nous allons principalement nous int´eresser a` l’interface graphique.

Dans cette partie, nous allons placer notre machine Ettercap en ”man in the middle” apr`es une usurpation ARP.

Man In the Middle

On ouvre Ettercap en mode graphique :

#ettercap -G

Middle On ouvre Ettercap en mode graphique : #ettercap -G On s´electionne le mode de ”reniflement”

On s´electionne le mode de ”reniflement” : Sniff > Unified sniffing

On choisit l’interface sur la quelle on va r´ealiser notre teste : On scanne notre

On choisit l’interface sur la quelle on va r´ealiser notre teste :

l’interface sur la quelle on va r´ealiser notre teste : On scanne notre r´eseau pour d´ecouvrir

On scanne notre r´eseau pour d´ecouvrir des hˆotes : Hosts > Scan for hosts

pour d´ecouvrir des hˆotes : Hosts > Scan for hosts Le r´eseau scann´e sera d´etermin´e par

Le r´eseau scann´e sera d´etermin´e par les param`etres IP de l’interface que nous venons de choisir.

Pour voir les adresses IP et MAC des hˆotes a` l’int´erieur de notre r´eseau : Hosts > hosts lists

de notre r´eseau : Hosts > hosts lists Apr`es on s´electionnez les machines a` usurper :

Apr`es on s´electionnez les machines a` usurper :

lists Apr`es on s´electionnez les machines a` usurper : Nous avons choisi d’empoisonner seulement la machine

Nous avons choisi d’empoisonner seulement la machine windows XP 192.168.246.130 et la passerelle 192.168.246.2. Il faut s´electionne la ligne contenant 192.168.246.2 et cliquer sur le bouton ”target 1”. S´electionnez la ligne contenant 192.168.246.130 et cliquer sur le bouton ”target 2”. Si on ne choisissez aucune machine en cible (target), toutes les machines a` l’int´erieur du r´eseau seront usurp´ees.

On d´emarrez l’usurpation ARP : Mitm > Arp poisoning > sniff remote connetions

Mitm > Arp poisoning > sniff remote connetions Finallement, on d´emarre le sniffer pour collecter des
Mitm > Arp poisoning > sniff remote connetions Finallement, on d´emarre le sniffer pour collecter des

Finallement, on d´emarre le sniffer pour collecter des statistiques : Start -¿ Start

sniffing

sniff remote connetions Finallement, on d´emarre le sniffer pour collecter des statistiques : Start -¿ Start

La machine du teste

La machine sur la quelle on va r´ealiser le teste est la machine windows XP, normalement l’utilisateur se connecte au site du gmail avec son login et son mot de passe.

au site du gmail avec son login et son mot de passe. La navigateur demande a`

La navigateur demande a` l’utilisateur d’obtenir un certificat de la part du site de gmail, pour ´etablire une connexion s´ecuriser. C’est en g´enerale le comportement du navigateur qu’on il y a un homme au milieu qui capture la communication entre le client et le serveur.

On va ajouter une exception et obtenir un certificat normalemnt du serveur. Mais le probl`eme c’est que le certificat est un faut cetificat g´en´er´e pas l’Ettercap qui en milieu.

L’attaque repose sur l’acceptation par la victime d’un certificat invalide. L’attaquant se place en homme
L’attaque repose sur l’acceptation par la victime d’un certificat invalide. L’attaquant se place en homme

L’attaque repose sur l’acceptation par la victime d’un certificat invalide. L’attaquant se place en homme du milieu (par exemple en effectuant une attaque d’ARP cache poisoning entre la victime et la passerelle internet) puis va intercepter la requˆete HTTPS de la victime vers le serveur et lui pr´esenter un faux certificat (de pr´ef´erence ressemblant le plus possible au vrai).

Si le client accepte le certificat, Ettercap va ´etablir un tunnel SSL entre le client et l’attaquant. Il va ensuite ´etablir un second tunnel SSL vers le serveur l´egitime. Cette position permet donc a` l’attaquant de chiffrer/d´echiffrer les donn´ees des deux cot´es et ainsi de r´ecup´erer les donn´ees du client avant de les transmettre au serveur de destination.

client avant de les transmettre au serveur de destination. Ettercap va donc ´echanger le vrai certificat

Ettercap va donc ´echanger le vrai certificat avec le sien. Le faux certificat est cr´e´e a` la vol´ee et tous les champs sont remplis en fonction de ceux du certificat original, pr´esent´e par le serveur. Seul l’´emetteur du certificat est modifi´e et il est sign´e avec la cl´e priv´ee de Ettercap, que l’on peut trouver (suivant les distributions) dans le fichier suivant :

/usr/share/ettercap/etter.ssl.crt .

La machine Backtrack

Dans la fenˆetre d’Ettercap on voie apparaitre en claire le login et le mot de passe gmail de l’utilisateur de la machine windows xp.

4.4 Contre mesure Afin de lutter contre les attaques de type MItM il existe un

4.4 Contre mesure

Afin de lutter contre les attaques de type MItM il existe un certain nombre de m´ecanismes pouvant ˆetre mis en place.

Une premi`ere parade possible et efficace est d’utiliser des entr´ees statiques dans le cache ARP de chaque machine du r´eseau. De cette mani`ere il est possible d’ajouter de fa¸con permanente des serveurs sensibles sans craindre une corruption du cache ARP.

Cette approche est cependant limit´ee a` un petit nombre de machines, puisqu’il est n´ecessaire de renseigner manuellement l’ensemble des postes du r´eseau, ce qui peut s’av´erer difficile sur un parc important.

Une autre possibilit´e pour lutter contre ce type d’attaque est d’activer la fonction- nalit´e de verrouillage de ports (port security), pr´esente sur certains types de concentrateurs r´eseau. Cette fonction permet de limiter les adresses MAC sur chaque port (de mani`ere statique).

L’acc`es au port verrouill´e devient r´eserv´e aux utilisateurs disposant d’adresses MAC

sp´ecifiques. Lorsqu’un paquet est re¸cu sur un port verrouill´e et que son adresse MAC source n’est pas associ´ee a` ce port (parce qu’elle a ´et´e apprise sur un port diff´erent ou qu’elle est inconnue du syst`eme), le m´ecanisme de protection est activ´e. Il existe toutefois des techniques pour contourner ce type de protection.

Avec l’utilisation d’un cache ARP statique et du verrouillage de port, l’unique autre moyen de d´efense ne modifiant pas le comportement intrins`eque du protocole ARP est la d´etection.

Les IDS et Firewalls personnels d´etectent la plupart du temps les modifications des entr´ees dans le cache ARP, avertissant l’utilisateur d’une modification. Cependant comme souvent la d´ecision finale est laiss´ee a` l’appr´eciation de l’utilisateur avec les risques que cela peut engendrer.

Il existe ´egalement des Patchs KERNEL comme ”ANTICAP” ou ”ANTIDOTE”. ANTICAP ne va pas mettre a` jour le cache ARP si une r´eponse poss`ede une adresse MAC diff´erente, pour une adresse IP donn´ee, de celle d´ej`a enregistr´ee dans le cache.

Cette solution n’en est pas vraiment une puisqu’elle va a` l’encontre de la d´efinition mˆeme du protocole ARP (rejet de trames l´egitimes). ANTIDOTE va mˆeme un peu plus loin ; lorsqu’un nouveau couple MAC/IP est re¸cu, il essaye de d´ecouvrir si l’adresse MAC pr´ec´edente est toujours active.

Si cette adresse MAC pr´ec´edente r´epond a` la requˆete, la mise `a jour du cache est rejet´ee et la nouvelle adresse MAC est ajout´ee a` une liste noire d’adresses. Ces solutions souffrent du mˆeme probl`eme ; si une requˆete malicieuse est envoy´ee avant que la requˆete l´egitime ne soit mise en cache cette derni`ere sera rejet´ee `a la prochaine mise a` jour.

L’utilisation de l’authentification forte reste la solution la plus s´ecuris´ee mais ´egalement la plus lourde et complexe `a mettre en place. S-ARP propose une solution mettant en place des m´ecanismes d’authentifications fortes.

Chaque hˆote sur le r´eseau poss`ede un couple de cl´es publiques/priv´ees fourni par un hˆote de confiance sur le r´eseau et agissant comme une autorit´e de certification. Les messages sont sign´es par l’´emetteur empˆechant de cette mani`ere l’injection et la modification des informations.

4.5

Conclusion

Ettercap est un outil puissant permettant de compromettre fortement la s´ecurit´e d’un r´eseau par des attaques de type MITM contre diff´erents protocoles s´ecuriser (SSL, SSH ).

Comme nous l’avons vu il n’existe pas de solutions miracles ; il s’agit d’avantage de pr´evenir les risques de compromissions par de la pr´evention aupr`es des utilisateurs (v´erification des certificats) que de les empˆecher totalement par des moyens purement techniques.

La meilleure m´ethode restant la segmentation en sous-r´eseau afin d’isoler les machines sensibles et d’utiliser l’authentification forte (cl´es publiques et certificats) autant que possible.

Nous avons vue un simple exemple d’utilisation de cet outil qui est le sniff du proto- cole https, ettercap est dot´e d’autres plugins qui lui permettent de r´ealiser plusieurs testes, comme le montre la figure suivante :

est dot´e d’autres plugins qui lui permettent de r´ealiser plusieurs testes, comme le montre la figure

5 Utilisation du scanner (Nmap)

5.1 Pr´esentation de Nmap

Nmap (Network Mapper) est un outil Open Source d’exploration r´eseau et d’audit de s´ecurit´e. Il a ´et´e con¸cu pour rapidement scanner de grands r´eseaux, mais il fonctionne aussi tr`es bien sur une cible unique. Nmap innove en utilisant des paquets IP bruts (raw packets) pour d´eterminer quels sont les hˆotes actifs sur le r´eseau, quels services (y compris le nom de l’application et la version) ces hˆotes offrent, quels syst`emes d’exploitation (et leurs versions) ils utilisent, quels types de dispositifs de filtrage/pare-feux sont utilis´es, ainsi que des douzaines d’autres caract´eristiques. Nmap est souvent utilis´e pour tester la visibilit´e des services et la s´ecurit´e du r´eseau.

Nmap s’utilise en ligne de commande mais il existe des frontend graphiques comme nmapfe ou knmap .

5.2 utilisation de Nmap

Commen¸cons par une exploitation simple en testant une adresse IP du r´eseau pour voir les ports tcp ouverts :

Nmap Commen¸cons par une exploitation simple en testant une adresse IP du r´eseau pour voir les

34

Voir tous les ports UDP ouverts sur une machine :

Voir tous les ports UDP ouverts sur une machine : scanner un port (80) : scanner

scanner un port (80) :

Voir tous les ports UDP ouverts sur une machine : scanner un port (80) : scanner

scanner une plage de ports :

Voir tous les ports UDP ouverts sur une machine : scanner un port (80) : scanner

Usurper l’adresse ip source. Ici on scanne 192.168.0.129, par l’interface r´eseau eth0, en se faisant passer pour 10.0.0.3 depuis le port 80 :

eth0, en se faisant passer pour 10.0.0.3 depuis le port 80 : On peut voir le

On peut voir le comportement de l’autivirus (Kaspersky) qui nous informe que nous avons ´et´e victime d’une attaque r´eseau de la machine 10.0.0.1 tandit que l’adresse IP de notre machine backtrack se trouve dans le mˆeme r´eseau que la machine cible.

usurper l’adresse MAC et l’adresse IP :

machine backtrack se trouve dans le mˆeme r´eseau que la machine cible. usurper l’adresse MAC et

le r´esultat de l’usurpation s’affiche sur l’´ecran de l’usurpeur :

l’usurpation s’affiche sur l’´ecran de l’usurpeur : 5.3 Conclusion Cette partie n’est qu’une premiere

5.3

Conclusion

Cette partie n’est qu’une premiere intorduction qui montre comment utiliser les fonctions de bases de Nmap. On g´en´erale un hacker utilise Nmap pour scanner le r´eseau avant de mettre en place son attaque. c’est l’expemple du prochain chapitre dans le quelle on va voir le metasploit framwork.

6

6.1

Metasploit

Description

Metasploit est un projet open-source sur la s´ecurit´e informatique qui fournit des informations sur des vuln´erabilit´es, aide `a la p´en´etration de syst`emes informatis´es et au d´eveloppement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le d´eveloppement et l’ex´ecution d’exploits contre une machine distante. Les autres sous-projets importants sont la base de donn´ees d’Opcode, l’archive de shellcode, et la recherche dans la s´ecurit´e.

Cr´e´e `a l’origine en langage de programmation Perl, Metasploit Framework a ´et´e compl`etement r´e-´ecrit en langage Ruby. Le plus notable est la publication de certains des exploits les plus techniquement sophistiqu´es aupr`es du public. De plus, il est un puissant outil pour les chercheurs en s´ecurit´e ´etudiant des vuln´erabilit´es potentielles.

Comparable aux produits commerciaux tels que Immunity’s CANVAS ou Core Impact, Metasploit peut ˆetre utilis´e par les administrateurs pour tester la vuln´erabilit´e des syst`emes informatiques afin de les prot´eger, ou par les pirates et les Script kiddies a des fins de piratage. Comme la plupart des outils de s´ecurit´e informatique, Metasploit peut ˆetre utilis´e a` la fois de mani`ere l´egitime et `a la fois pour des activit´es ill´egitimes.

Le fait que Metasploit a ´emerg´e en tant que plate forme de d´eveloppement dans la s´ecurit´e, a conduit, ces derniers temps, la publication de vuln´erabilit´e logicielle souvent accompagn´ee d’un module d’exploitation pour Metasploit pour cette derni`ere, afin de mettre en ´evidence l’exploitabilit´e, le risque et les mesures de pr´evention contre ces bogues particu- liers. Metasploit 3.0 (en langage Ruby) a ´egalement commenc´e a` inclure des outils de fuzzing, pour d´ecouvrir des vuln´erabilit´es de logiciels en premier lieu, plutˆot que de simplement ˆetre fait pour l’exploitation de celles-ci. Cette nouveaut´e a ´et´e vue avec l’int´egration de la biblioth`eque lorcon pour les r´eseaux sans-fils (802.11) dans Metasploit 3.0 en novembre 2006

38

Les ´etapes basiques pour l’exploitation d’un syst`eme sont :

– Choisir et configurer un exploit (code permettant de p´en´etrer un syst`eme cible en profitant de l’un de ses bogues ; environs 200 exploits sont disponibles pour les syst`emes Windows, Unix/Linux et Mac OS X) ;

– V´erifier si le syst`eme cible vis´ee est sensible `a l’exploit choisi ;

– Choisir et configurer un payload (code qui s’ex´ecutera apr`es s’ˆetre introduit dans la machine cible, par exemple pour avoir acc`es `a un shell distant ou un serveur VNC) ;

– Choisir la technique d’encodage pour encoder le payload de sorte que les syst`emes de pr´eventions IDS ne le d´etectent pas ;

– Ex´ecuter l’exploit.

Cette modularit´e qui permet de combiner n’importe quel exploit avec n’importe quel payload est l’avantage majeure du Framework : il facilite la tˆache de l’attaquant, des d´eveloppeurs d’exploits, et des d´eveloppeurs de payloads.

La version stable courante de Metasploit Framework est la 3.1 et est ´ecrite en Ruby. La version pr´ec´edente 2.7, a ´et´e impl´ement´e en Perl. Elle fonctionne sur toutes les versions d’Unix (y compris Linux et Mac OS X), et aussi sur Windows en utilisant Cygwin. Elle inclut une interface en ligne de commande ainsi qu’une autre orient´ee web. Cette derni`ere est destin´ee a` fonctionner depuis l’ordinateur de l’attaquant ; une version de d´emonstration peut ˆetre essay´ee. Metasploit Framework peut ˆetre ´etendu en utilisant des modules externes en plusieurs langages.

Pour choisir l’exploit et le payload, quelques informations sur le syst`eme cible sont n´ecessaires, tel que la version du syst`eme d’exploitation, et les services r´eseaux install´es. Ces informations peuvent ˆetre r´ecup´er´ees grˆace a` des outils de scan de port et d’OS fingerprinting comme nmap. Nessus peut en plus d´etecter les vuln´erabilit´es du syst`eme cible.

6.2 Exemple d’exploitation

Dans cette partie on va voir un exemple d’utilisation du module smb/version qui permet d’´evaluer le syst`eme install´e sur un hˆote.Pour pouvoir l’utiliser il faut ce placer dans le fichier ”/pentest/exploits/framework3/ ” et apres taper ”./msfconsole”.

Dans un premier temp il faut d´ecouvrie l’hote pour le faire on tape dans un terminale :

– msf auxiliary(version) > set RHOSTS 192.168.246.130 RHOSTS => 192.168.246.130 msf auxiliary(version) > run 192.168.246.130 is running Windows XP Service Pack 2 Auxiliary module execution completed

Apres on r´ealise un scan de port avec nmap

is running Windows XP Service Pack 2 Auxiliary module execution completed Apres on r´ealise un scan

Ouvrons une console Metasploit :

Ouvrons une console Metasploit : Pour voir les exploits disponibles on tape ”show exploits” :

Pour voir les exploits disponibles on tape ”show exploits” :

Ouvrons une console Metasploit : Pour voir les exploits disponibles on tape ”show exploits” :

Nous exploitons ici la vuln´erabilit´e ”windows/smb/ms08 067 netapi” :

ici la vuln´erabilit´e ”windows/smb/ms08 067 netapi” : Apr`es on peut voir les types de syst`emes windows

Apr`es on peut voir les types de syst`emes windows disponiblent pour l’exploit :

”windows/smb/ms08 067 netapi” : Apr`es on peut voir les types de syst`emes windows disponiblent pour l’exploit

Sp´ecifions maintenant l’hˆote cible de notre attaque et le port 445 ouvert (r´esultat du scan nmap) :

notre attaque et le port 445 ouvert (r´esultat du scan nmap) : Et on cherche notre

Et on cherche notre payload ”generic/shell bind tcp”

notre attaque et le port 445 ouvert (r´esultat du scan nmap) : Et on cherche notre

Sp´ecifions maintenant le payload a` utiliser et on exploit :

maintenant le payload a` utiliser et on exploit : On peut ramrquer que nous somme dans

On peut ramrquer que nous somme dans le ”repertoire system32 de la machine windows”.

a` utiliser et on exploit : On peut ramrquer que nous somme dans le ”repertoire system32

Alors on peut maintenant faire tout ce qu’on a envie de faire :

on peut maintenant faire tout ce qu’on a envie de faire : 6.3 Conclusion Dans cette

6.3

Conclusion

Dans cette partie on a pu r´ealiser un exploit du syst`eme windows XP en utilisant le payload ”generic/shell bind tcp contenu dans l’exploit windows/smb/ms08 067 netapi du

module smb. Il est `a noter que le metasploit framework est dot´e de plusieurs modules qui

permettent d’´exploiter plusieur protocole (icmp, http, ftp

simple et basique teste de vuln´erabilit´e dans cette partie et il faut continuer pour voir les

cas d’utilisation des autres modules.

Donc on a r´easlier juste un

).

Il est possibile de programmer son propore code et de l’ajouter dans un module. On peut aussi tester la s´ecuriter des bases de donn´ees avec un module sp´ecialement con¸cu pour cela, et aussi les applications Web.

Le m´etapsloit framework est un tres grand outil de teste de s´ecurit´e et faille des syst`emes. Il est aussi tres puissant `a ce niveau, un bon administrateur de r´eseau, base de donn´ee ou de syst`eme doit imp´erativement maitriser cet outil.

7 Crack de cl´e WPA avec la suite Aircrack-ng

7.1 Pr´esentation de la suite Aircrack-ng

Pour tester la s´ecurit´e d’un r´eseau wifi, nous avons besoin de la suite aircrack-ng anciennement aircrack. Par abus de language, on utilisera parfois la d´enomination aircrack mˆeme pour aircrack-ng et ses composants.

Cette suite fonctionne sous windows et linux mais certaines fonctionnalit´es quasi indispensables sont impossibles sous Windows (l’injection de paquets par exemple), c’est pourquoi nous utiliserons une suite linux live (pas d’installation et aucunes connaissances requises) qui est Backtrack, une distribution sp´ecialis´ee dans les tests d’intrusion.

Il existe biensur d’autre distributions comme whax ou encore troppix (toutes ces distrib sont particuli`erement adapt´ees au cracking wep/wpa mais une ubuntu ou autre fera tr`es bien l’affaire).

Dans ces distributions, tout est d´ej`a pr´einstall´e : les drivers des cartes wifi et tous

les logiciels n´ecessaires (aireplay, airodump, aircrack, wireshark, kismet

).

La suite aircrack-ng comprend plusieurs programmes dont les 3 principaux sont :

– airodump-ng, le logiciel de capture de paquets, c’est lui qui scan les r´eseaux et conserve les paquets qui serviront a` d´ecrypter la clef.

– aireplay-ng, un logiciel dont la principale fonction est l’envois de paquets dans le but de stimuler le reseau et capturer plus de paquets.

– aircrack-ng, le logiciel de crack de clef, c’est un logiciel qui a` partir des informations

46

captur´ees `a l’aide d’airodump va nous donner la clef (si biensur on en a un nombre suffisant de capture).

7.2 Crack de cl´e WPA

Airodump-ng, d´ecouverte des r´eseaux wifi

Commencons par passer notre carte wifi en mode monitor afin de pouvoir ´ecouter les r´eseaux wifi environnants. La commande ”airmon-ng” nous renseigne sur les interfaces wifi. Dans notre exemple, nous utilisons une carte ZyDAS1211. La commande permettant de basculer la carte en mode monitor est : airmon-ng start wlan0

utilisons une carte ZyDAS1211. La commande permettant de basculer la carte en mode monitor est :

Nous allons lancer airodump-ng, le programme qui permet de surveiller les r´eseaux wifi actifs.

qui permet de surveiller les r´eseaux wifi actifs. Airodump-ng est assez simple d’utilisation. Usage :

Airodump-ng est assez simple d’utilisation. Usage : airodump-ng options interface. Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaite surveiller. Options airodump-ng :

– -w permet de cr´eer un fichier de capture dans lequel seront enregistr´es tous les paquets. Exemple : airodump-ng -w wpa mon0 (un fichier de capture nomm´e wpa sera cr´e´e, le premier fichier s’appellera wpa-01.cap, le 2`eme wpa-02.cap etc

– –encrypt permet de filtrer les r´eseaux en fonction du type d’encryption utilis´e. Exemple : airodump-ng –encrypt wpa wlan0 (seuls les r´eseaux en WPA seront affich´es).

– -c permet de cibler l’´ecoute sur un canal wifi particulier. Exemple : airodump-ng -c 1 mon0 (airodump-ng n’´ecoutera que le canal 1).

wifi particulier. Exemple : airodump-ng -c 1 mon0 (airodump-ng n’´ecoutera que le canal 1). Et voici

Et voici le r´esultat :

On voit qu’airodump-ng surveille excusivement notre r´eseau cible. En bas, les ordinateurs connect´es aux r´eseaux

On voit qu’airodump-ng surveille excusivement notre r´eseau cible. En bas, les ordinateurs connect´es aux r´eseaux wifi. La colonne ”rxq” indique la qualit´e du signal radio (entre 0 et 100), ici avec un rxq `a 38 le signal est moyen et le crack devait se d´erouler mˆeme dans des bonnes conditions. En naviguant dans le dossier depuis lequel nous avons

lanc´e airodump-ng (root), nous pouvons voir les 2 fichiers cr´e´es : wpa-01.cap (le fichier de capture contenant les paquets) et wpa-01.txt (un fichier log contenant toutes les informations

contenus dans le fichier

concernant les essids, adresses mac des points d’acc`es, stations etc de capture).

Aireplay-ng, l’association au point d’acc`es (l’attaque active)

Nous allons utiliser aireplay-ng pour v´erifier si nous pouvons nous associer au point d’acc`es. Ici, les conditions sont optimales pour le crack : le signal est excellent et un client est connect´e au point d’acc`es. Si le signal ´etait moins bon, nous pourrions avoir des difficult´es `a nous associer au point d’acc`es. Il est judicieux de tenter une association avant de se lancer dans l’injection de paquet. Cela permet de voir si la connectivit´e est bonne, et cela peut aussi permettre de savoir si un point d’acc`es utilise le filtrage par adresse mac.

Une m´ethode de crack (m´ethode passive) consiste `a cibler un point d’acc`es, et `a ´ecouter

Une m´ethode de crack (m´ethode passive) consiste `a cibler un point d’acc`es, et `a ´ecouter le r´eseau pendant des heures en attendant qu’un client se connecte. En effet, le 4 way handshake est un ensemble de paquets ´emis par le point d’acc`es et la station lorsque celle ci se connecte. Lors de la connexion, si la r´eception est bonne (la qualit´e radio du signal est visible dans la colonne ”rxq”, si elle est sup´erieure a` 50 elle est de bonne qualit´e), le handshake sera captur´e.

Une autre m´ethode consiste `a utiliser aireplay-ng et son attaque -0 (d´eauthentication) pour forcer la d´econnexion du client et capturer le handshake lorsqu’il se reconnecte (le gestionnaire de r´eseau wifi de windows est regl´e par d´efaut pour se reconnecter automati- quement a` un point d’acc`es en cas de d´econnexion, l’attaque -0 exploite cette faille).

Le param`etre -0 signifie une attaque d´eauth, le 0 qui suit signifie que l’envoi des paquets de d´eauth sera infini, il faudra donc arretter l’attaque apr`es quelques instants avec ctrl + c. On peut sp´ecifier un d´elai, par exemple aireplay-ng -0 5 , et l’attaque s’arrettera apr`es l’envoi de 5 paquets de d´eauth.

Si l’attaque a r´eussi, nous devrions avoir une bonne surprise en revenant dans notre shell airodump-ng. L’apparition du WPA handshake en haut a` droite de la fenetre indique la r´eussite de l’attaque. Selon la qualit´e de la r´eception, la capture du handshake peut etre imm´ediate, ou tr`es fastidieuse. Il se peut qu’il faut renouveler les attaques a` de nombreuses reprises avant d’obtenir le tant attendu handshake.

Aircrack-ng : le bruteforce du handshake

Le handshake est maintenant dans le fichier de capture, on peut stopper airodump. On doit maintenant nous armer d’un bon fichier dictionnaire, on trouve un dans backtrack comme on peut utiliser le notre que nous avons cr´eer. Le fichier wpa-01.cap est le fichier de capture contenant le handshake, et le fichier wpa-01.txt est un fichier cr´e´e par airodump-ng contenant des informations sur le fichier de capture.

contenant des informations sur le fichier de capture. Le crack se lance, aircrack-ng va tester tous

Le crack se lance, aircrack-ng va tester tous les mots de passe contenus dans le fichier dictionnaire. La vitesse du crack, indiqu´ee en haut en keys/second d´epend de la puissance de calcul du processeur.

Le crack peut etre long, il faut patienter et tester plusieurs fichiers dictionnaires jusqu’`a ce

Le crack peut etre long, il faut patienter et tester plusieurs fichiers dictionnaires jusqu’`a ce que la cl´e soit trouv´ee.

peut etre long, il faut patienter et tester plusieurs fichiers dictionnaires jusqu’`a ce que la cl´e

7.3

Conclusion

La suite aircrack-ng est en constante ´evolution et des nouvelles versions sortent souvent, apportant leurs lot d’am´eliorations.

Or depuis peu, un nouvel algorithme de crack a vu le jour et il est REDOU- TABLE, on peut cracker des clef wep avec 40 000 Ivs (au lieu de 1 000 000 Ivs), il s’agit d’aircrack-ptw dont les fonctionnalit´es sont implent´ees dans les derni`ere version d’aircrack-ng.

8 Conclusion g´en´erale

En Retrouve dans ce rapport quelques d´etails relatifs aux ´etapes n´ecessaires a` la r´ealisation d’un audit de s´ecurit´e, cet audit qui a ´et´e effectu´e sur un r´eseau simul´e a` l’aide de machines virtuelles de type Vmware.

A travers ces ´etapes on pu d´ecouvrire les aspects li´e aux attaques et intrusions que peut subire un r´eseau, et ainsi on a vue des testes d’intrusion li´es aux r´eseaux cabl´es suicth´es, aus r´eseaux Wifi prot´eg´es par cl´e WPA et un teste de vuln´erabilit´e du syst`eme d’´exploitation windows XP.

Les outils qu’on a utiliser forme une plateforme de choix mais reste cependant compl´ementaire `a d’autres outils. Leurs utilisation certes complexes pour un non-technicien, mais ils sont tr`es appr´eci´ees par les personnes travaillant dans le domaine de la s´ecurit´e.

BackTrack est `a l’heure actuelle la distribution la plus aboutie en mati`ere de s´ecurit´e informatique. BackTrack se qualifie tant par le nombre impressionnant d’outils que leur par qualit´e reconnu par les professionnels. Ces nombreux d´eveloppeurs et sa large communaut´e permettent d’avoir une distribution de plus en plus stable avec une compatibilit´e accrue avec les diff´erents constructeurs de mat´eriels. BackTracka gagn´e une grande notori´et´e et c’est pourquoi BackTrack a ´et´e ´elu comme ´etant la premi`ere distribution de s´ecurit´e dans le monde.

Les audits intrusifs sont aujourd’hui une part int´egrante dans le domaine de la s´ecurit´e des syst`emes d’information, les chances de recencer des vuln´erabilit´es, lors de ces audits, sont d’autant plus importantes si l’on se positionne `a la mani`ere d’un attaquant potentiel.

Les audits intrusifs se sont d´emocrat´es peu `a peu dans le milieu de la s´ecurit´e des syst`emes d’information. Jusqu’alors tr`es mal per¸cus en raison de leur caract`ere offensif, ils se r´ev`elent finalement tr`es adapt´es a` la s´ecurisation des infrastructures. Il est en effet utopique de croire qu’un r´eseau peut ˆetre s´ecuris´e par des personnes n’ayant pas la culture des failles de s´ecurit´e qu’il peut contenir.

54

En se pla¸cant dans la mˆeme situation qu’un individu malicieux (les audits intrusifs peuvent ˆetre r´ealis´es a` l’aveugle en conditions r´eelles, de l’int´erieur et/ou de l’ext´erieur, sans information pr´ealable), les chances de recenser les vuln´erabilit´es sont plus ´elev´ees et la sensibilisation d’autant plus forte que les r´epercutions de l’attaque sont d´emontr´ees et directement visibles par les clients.

Les tests d’intrusion actifs sont un ´el´ement important de cette politique de sensibi- lisation et ont un impact global tr`es fort, tant sur les d´ecideurs que sur les utilisateurs.

En conclusion il est claire qu’il revient a` tout responsable de r´eseau ou syst`eme, d’en assurer sa s´ecurit´e, et par cons´equent d’en tester les failles. C’est la raison pour laquelle, un administrateur r´eseau se doit d’ˆetre au courant des vuln´erabilit´es des logiciels qu’il utilise et de se mettre dans la peau d’un pirate afin d’essayer de s’introduire dans son propre syst`eme et afin d’ˆetre continuellement dans un contexte de securit´e.

9 Bibliographie / Neto-graphie

http ://wiki.backtrack-fr.net/

www.offensive-security.com

www.crack-wpa.fr

http ://forums.remote-exploit.org

www.secuobs.com www.securite-reseaux.com http ://openmaniak.com/

http ://www.metasploit.com/

www.tuto-fr.com

www.commentcamarche.net

56