Académique Documents
Professionnel Documents
Culture Documents
Le but de cet exercice est d’analyser les traces d’une attaque qui a ciblé le réseau central d’un aéroport.
2. Contexte
Un aéroport fait appel à un prestataire pour maintenir les applications de son réseau central. L'aéroport
utilise des connexions VPN pour l'accès à distance. Avec ces connexions VPN, les entreprises externes
ont accès au réseau central de l'aéroport. "IT System Administrators Europe" (ITSAEU) est une société
fictive qui effectue la maintenance sur l'un des serveurs de bases de données des aéroports et sur les
applications. Bob, un employé de l'ITSAEU, utilise une connexion VPN pour la maintenance. La
connexion VPN donne accès à l'ensemble du réseau central de l'aéroport.
3. Scénario
Un hacker veut s'introduire dans l'une des applications de l'aéroport. via une session VPN d’un agent de
maintenance.
Bob est chargé de la maintenance des applications de l'aéroport. Il utilise la connexion VPN de
l'aéroport. Bob termine son travail à 17h00, verrouille son ordinateur et quitte le bureau de l'ITSAEU.
Juste après 18h00, un pirate informatique compromet l'ordinateur de Bob, active le Bureau à distance
(RDP) et crée un nouveau compte (caché). Le pirate se connecte à l'ordinateur de Bob via le bureau à
distance avec le compte nouvellement créé. Il y a une icône OpenVPN sur le bureau avec un statut
inactif. Le pirate examine la configuration actuelle de la table de routage de l'ordinateur pour voir si
l'ordinateur dispose toujours d'une connexion VPN active initiée par un administrateur. L'ordinateur
dispose d'une connexion VPN active et a accès aux réseaux privés de l'aéroport.
Un outil d'analyse de port en ligne de commande appelé "Nmap" est téléchargé sur l'ordinateur. Le pirate
lance l'analyse (via la connexion VPN) pour rechercher des machines connectées. Afin de ne pas se faire
remarquer, il configure le scanner “nmap” de manière à ce que le pentesting s’effectue lentement. Quatre
adresses IP ont été trouvées sur le réseau de l'aéroport et font l'objet d'une enquête plus approfondie.
Trois adresses IP ont des ports ouverts qui indiquent des serveurs Web. L'un des serveurs Web contient un
site Web lié à un serveur de base de données. Il s'agit d'une application web de maintenance de bases de
données appelée "phpMyAdmin". Le pirate utilise des mots de passe fréquemment utilisés mais ne peut
pas se connecter. Les noms "Bob" et "ITSAEU" sont répertoriés sur la page principale du serveur Web du
serveur de base de données. Le pirate utilise la combinaison de ces noms pour se connecter avec succès.
Une fois connecté, une exportation de base de données est effectuée et dump téléchargé sur l'ordinateur de
Bob.
Le pirate regarde le deuxième serveur Web Horaire. Il utilise des mots de passe bien connus
fréquemment utilisés, mais ils ne fonctionnent pas. L'aéroport surveille les tentatives de
connexion infructueuses dans les fichiers journaux. Lorsque la valeur seuil est dépassée, une
notification est envoyée aux administrateurs système de l'aéroport.
1/17
Case-Study3-Forensicréseau
A 22h50, les administrateurs système de l'aéroport sont avertis que quelqu'un essaie de se
connecter au tableau de bord de l'application horaire avec le nom d'utilisateur "admin" mais
avec un mauvais mot de passe. Les administrateurs consultent les journaux du serveur Web du
serveur AirtPortSys1 et le journal du serveur VPN. Ils découvrent que les tentatives de
connexion incorrectes proviennent de la connexion VPN de Bob.
En raison de l'heure tardive et plutôt inhabituelle pour que les administrateurs de l'ITSAEU se
connectent, les administrateurs de l'aéroport ont été avertis que quelque chose d'étrange se
passait. Bob est digne de confiance, mais le trafic suspect passe par sa connexion VPN. Ils
pensent que sa connexion VPN pourrait être compromise. L'aéroport sécurise le journal du
réseau actuel, le journal VPN et le journal du serveur Web. Ils contactent également l'ITSAEU
et reçoivent les journaux réseau pertinents du routeur ITSAEU. L'ITSAEU ne trouve aucune
trace sur l'ordinateur de Bob.
● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap
● openvpn.log (serveur VPN de l'Aéroport)
● access_log (serveur Web aéroport AirPortSys1)
Le pirate utilise le framework Metasploit. Une fois l'ordinateur de Bob compromis, un nouveau compte est créé et
Windows Remote Desktop est activé.
2/17
Case-Study3-Forensicréseau
Un scanner de port en ligne de commande “Nmap” est téléchargé sur l'ordinateur de Bob. Pour
trouver les hôtes actifs, le pirate lance une analyse des ports. Le pirate analyse d'abord la plage
3/17
Case-Study3-Forensicréseau
réseau 10.20.30.0/24. Pour éviter les systèmes de détection d'intrusion (IDS), le scanner est
effectué très lentement. De cette façon, il a fallu plus de 4 heures pour trouver lequel des 256
hôtes est actif. Plus l'analyse dure, plus les chances que le pirate soit détecté par Bob
augmentent. Cependant, le Hacker prend le risque car il suppose qu'il est moins susceptible
d'être découvert en dehors des heures de bureau.
4/17
Case-Study3-Forensicréseau
Le pirate explore les services sur les IP actives en effectuant un nouveau scan. Il continue un
scan de port pour chaque IP trouvée pour les ports tcp:22 (ssh), tcp:80 (http) et tcp:443
(https).
5/17
Case-Study3-Forensicréseau
6/17
Case-Study3-Forensicréseau
Le pirate insère une requête SQL pour afficher le contenu de la base de données. Le
résultat est montré dans l'image ci-dessus. La base de données est dumpée sur l'ordinateur
de Bob.
7/17
Case-Study3-Forensicréseau
8/17
Case-Study3-Forensicréseau
Les tentatives de connexion infructueuses peuvent être trouvées dans le fichier journal du serveur Web.
Le fichier journal du serveur Web peut être utilisé pour déterminer à partir de quelle adresse IP les tentatives de
9/17
Case-Study3-Forensicréseau
connexion infructueuses ont été effectuées. Dans ce cas à partir de l'adresse IP 10.20.31.2.
10/17
Case-Study3-Forensicréseau
4. Environnement d’investigation
Infrastructure réseaux:
11/17
Case-Study3-Forensicréseau
routerairport_20180726_enp0s8.pcap 4b80c6ebc3b229eabe6617cbf5662da83a7fbcfe0dc35a2c415cf467a
b291706
routeritsaeu_20180726_enp0s8.pcap 3c8b8d5c68dbb9fe7ba196fccc11ee82e693646620183cfb4639bd11
447ef836
5. Travail demandé
Les administrateurs de l'aéroport ont été informés des tentatives de connexion invalides de
l'application exécutée sur le serveur Web AirPortSys1. Lorsque les administrateurs consultent
le journal du serveur Web, les tentatives de connexion infructueuses sont confirmées.
12/17
Case-Study3-Forensicréseau
Examinez les fichiers openvpn.log et access_log par rapport au dessin de réseau ci-dessous.
○ Utilisez les outils de ligne de commande, basés sur le access_log, combien de fois
avez-vous noté une connexion avec le nom d'utilisateur "admin" ?
○ Que peut-on dire de l'intégrité des fichiers journaux ? Justifiez votre réponse
○ D'après openvpn.log, quelle est l'adresse IP de l'ordinateur de Bob ? Justifiez votre réponse
13/17
Case-Study3-Forensicréseau
● Que pouvez-vous dire des adresses IP suivantes utilisées dans cet exemple ? Sont-elles
publiques ? Sont-elles routables ? Justifiez votre réponse
10.20.30.71
172.25.100.2
198.51.100.20
203.0.113.210
14/17
Case-Study3-Forensicréseau
● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap
○ Que dire de la lisibilité de l'activité réseau lors de la connexion VPN ? Justifiez votre réponse
○ Convertir le routeritsaeu_20180726_enp0s8.pcap en ASCII
Exemple de résultats:
16:36:18 198.51.100.20.1048 > 203.0.113.210.openvpn
16:36:18 203.0.113.210.openvpn > 198.51.100.20.1048
Le port VPN utilisé 1194. Dans, le fichier routeritsaeu_20180726_enp0s8.txt, le port a été remplacé par openvpn
○ Utilisez les commandes grep pour montrer les lignes qui contiennent openvpn
○ Utilisez les commandes awk pour extraire et afficher les colonnes 1, 3, 4 et 5
● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap
● D'après les informations contenues dans les fichiers journaux, quelle attaque est probablement
utilisée ? Justifiez votre réponse
● Quelle technique est utilisée par le pirate pour contourner les restrictions du pare-feu sur les
15/17
Case-Study3-Forensicréseau
===========================
FIN DU TP
16/17