Introduction

Ce projet vise à nous familiariser avec les pratiques fondamentales de l'audit de

sécurité informatique en se concentrant sur deux outils clés : Wireshark, un sniffer
de paquets réseau, et Nmap, un scanner de vulnérabilités.
L'objectif principal est d'effectuer une découverte approfondie du trafic réseau et de
réaliser un scan des vulnérabilités au sein du parc informatique.

A. Concepts et Matériels

1. Outils utilisés

 Wireshark est un outil populaire de capture et d'analyse de

paquets réseau. Il permet de capturer et d'examiner le trafic réseau en temps
réel ou à partir de fichiers de capture préalablement enregistrés.

 Nmap est un scanner de ports réseau et un outil de découverte de

réseau très puissant et polyvalent. Il est utilisé pour explorer les réseaux,
analyser la sécurité, identifier les hôtes actifs, les services en cours
d'exécution et les vulnérabilités potentielles

2. Protocoles Réseaux

 Telnet
C’est un protocole de communication utilisé pour établir des connexions à distance
avec d'autres systèmes sur un réseau. Son port par défaut est 23.
 Ftp (File Transfer Protocol)
C’est un protocole standard utilisé pour transférer des fichiers entre un client et
un serveur via un réseau, en utilisant une connexion non cryptée. Son port par
défaut est 21.
 SSH (Secure Shell)
C’est un protocole de communication sécurisé qui permet d'établir une connexion
sécurisée entre un client et un serveur. Son port par défaut est 22.
 3. Architecture réseau du projet

- Une machine kali linux sur lequel est installé Wireshark avec une adresse Ip qui
est 10.0.2.15
- Ubuntu sur lequel est installé les serveur telnet, ftp et ssh. Son adresse ip est
10.0.2.7

Architecture réseau de notre projet 1

B. Test de la sécurité des protocoles telnet, ftp et ssh

1. Telnet

a. Connection au serveur Telnet

 Tentative de connexion au serveur Telnet à l’adresse IP 10.0.2.7
 Entré des credentials pour l’authentification
 b. Capture du Traffic Telnet

À l’aide de Wireshark, interceptons le Traffic d’authentification entre la machine

cliente (Kali) et le serveur Telnet (Ubuntu).

- Follow TCP Stream

Comme on le remarque le Stream ci-dessous, les crédentials envoyés par le client
pour l’authentification sont en texte claire. Ce qui constitue un risque de sécurité
important
 2. FTP (File Transfert Protocol)

a. Connexion au serveur FTP

 Tentative de connexion au serveur FTP à l’adresse IP 10.0.2.7
 Entré des credentials pour l’authentification

b. Capture du Traffic FTP

À l’aide de Wireshark, interceptons le Traffic relative à la communication entre la

machine cliente (Kali) et le serveur FTP (Ubuntu).

- Follow TCP Stream

Comme on le remarque le Stream ci-dessous, les données et commandes
échangés entre le client et le serveur FTP sont en texte claire. Ce qui constitue un
risque à ne pas négliger.
3. SSH

a. Connection au serveur SSH

 Tentative de connexion au serveur SSH à l’adresse IP 10.0.2.7

 Entré des credentials pour l’authentification
 Commande ls pour lister les répertoires présents dans le répertoire courant
 b. Capture du Traffic ssh

À l’aide de Wireshark, interceptons le Traffic réseau entre la machine cliente (Kali) et

le serveur SSH (Ubuntu).

- Follow TCP Stream

Comme on le remarque le Stream ci-dessous, les données et commandes
échangés entre le client et le serveur SSH sont en texte chiffré. Cela assure la
confidentialité de la communication entre ces deux entités.
 C. Audit de sécurité Réseau avec Nmap

Nmap est utilisé pour mener de multiple type de scans. Et voir certains scripts
ont été peuvent être combiné à Nmap afin d’effectuer de scans réseau puissants et
efficaces. Cependant, dans le cas de cette étude, on va se limiter à des scans
basiques mais très efficace pour faire un audit de sécurité réseau.
1. Découverte des hôtes disponibles sur un réseau
On détecte des hôtes actifs dans le réseau 10.0.2.0/24 en utilisant l'option -sn pour
effectuer un scan de découverte de périphériques sans scanner les ports.
Durant ce type de scanne, nmap envoie des paquets ICMP Echo Request (ping) à
un ensemble d'adresses IP spécifié ou à une plage d'adresses IP pour déterminer
quels hôtes répondent.
Ce scanne a détecté :
- 10.0.2.1: Interface du routeur (Premier hôte d’un réseau)
- 10.0.2.7 : machine serveur Ubuntu
- 10.0.2.15 : machine cliente Kali

- Capture wireshark
D’après le Traffic observé ci-dessous, on remarque :
 Une fois le routeur reçoit la requête ping adressé à une adresse IP
quelconque, il émet des paquets ARP pour demander quel hôte a l’adresse IP
requêtée.
 2. Scan basique de ports quelconque
On scanne les 1000 premiers ports sur l'hôte 10.0.2.7 pour identifier quels ports
sont ouverts. Et le résultat affiche 4 ports ouverts : 21/TCP, 22/TCP ,23/TCP,
443/TCP.

- Capture wireshark
D’après le Traffic observé ci-dessous, on remarque :
 Pour les ports ouverts un three-way handshake est fait ( cas du port 22 en
vert )
 Et non pour les ports fermés

3. Tcp syn scan

Le scan SYN de Nmap, activé avec l'option -sS, est une technique de scan de
ports très utilisée. Il exploite des paquets TCP SYN pour détecter les ports ouverts
sur un hôte cible. Voici comment fonctionne le scan SYN
 Envoi de paquets SYN : Nmap envoie des paquets TCP SYN à des ports
spécifiques de l'hôte cible.
 Réponses SYN/ACK : Si le port est ouvert, l'hôte répond avec un paquet
SYN/ACK, indiquant que le port est ouvert et prêt à établir une connexion.
  Réponses RST : Si le port est fermé, l'hôte répond avec un paquet RST,
signifiant que le port est fermé et qu'aucun service n'écoute sur ce port.
 Pas de réponse : Si le port est filtré, il peut ne pas répondre du tout, ce qui
peut indiquer un port filtré par un pare-feu.
 Analyse des réponses : Nmap analyse les réponses (SYN/ACK, RST ou
absence de réponse) pour déterminer l'état des ports (ouverts, fermés ou
filtrés) sur l'hôte cible.
Dans notre cas, ce type de scan est fais au hôte 10.0.2.7. Et le résultat affiche 4
ports ouverts : 21/TCP, 22/TCP ,23/TCP, 443/TCP.

- Capture wireshark
D’après le Traffic observé ci-dessous, on remarque que :
 Comme on l’a déjà spécifié, pour les ports fermés, l'hôte a répondu avec des
paquets RST.

Le scan SYN est rapide car il n'établit pas de connexion complète, ce qui rend
la détection des ports ouverts plus discrète que d'autres méthodes de scan.
Cependant, certaines protections de pare-feu ou de sécurité peuvent détecter ce
type de scan, en particulier lorsqu'ils détectent un grand nombre de paquets SYN
sans établissement de connexion ultérieur (SYN/ACK).
 4. Tcp Fin Scan
Le scan FIN de Nmap (-sF) fonctionne en envoyant des paquets TCP FIN à des
ports spécifiques sur un hôte cible. Il interprète les réponses reçues pour déterminer
l'état des ports :
 Envoi de paquets FIN : Nmap envoie des paquets TCP FIN aux ports cibles.
 Interprétation des réponses :
o Port fermé : Si le port est fermé, l'hôte répond avec un paquet RST,
indiquant qu'aucun service n'écoute sur ce port.
o Port ouvert ou filtré : L'hôte peut ne pas répondre du tout, ce qui peut
être interprété comme un port ouvert ou filtré.
 Analyse des réponses : Nmap analyse les réponses (RST ou absence de
réponse) pour déterminer l'état des ports (ouverts, fermés ou filtrés) sur l'hôte
cible.
Dans notre cas, ce type de scan est fait à l’hôte 10.0.2.7. Et le résultat affiche 4
ports ouverts/Filtrés : 21/TCP, 22/TCP ,23/TCP, 443/TCP.

- Capture Wireshark
D’après le Traffic observé ci-dessous, on remarque que :
 Comme on l’a déjà spécifié, pour l’exemple du port 21 ouvert ( en vert),
l'hôte n’a répondu du tout.
 Comme on l’a déjà spécifié, pour l’exemple du port 8080 fermé ( en rouge),
l'hôte a répondu avec des paquets RST.
 Bien que le scan FIN puisse être utile pour certaines situations, son efficacité
peut être limitée car de nombreux systèmes modernes ignorent les paquets TCP FIN
ou les traitent de manière incohérente, ce qui peut conduire à une interprétation
imprécise des résultats.

5. Tcp Null Scan

Le scan Null de Nmap, activé avec l'option -sN, implique l'envoi de paquets TCP
sans aucun drapeau (flag) défini (ni SYN, ni FIN, ni RST, ni ACK, ni PSH, ni URG).
Voici comment ce scan fonctionne :
 Envoi de paquets TCP Null : Nmap envoie des paquets TCP sans aucun
flag TCP spécifique.
 Interprétation des réponses :
o Port fermé : Si le port est fermé, l'hôte répondra avec un paquet RST
(reset), indiquant qu'aucun service n'écoute sur ce port.
o Port ouvert ou filtré : Si le port est ouvert ou filtré, l'hôte peut ne pas
répondre du tout, ce qui peut être interprété par Nmap comme un port
ouvert ou filtré.
 Analyse des réponses : Nmap analyse les réponses (RST ou absence de
réponse) pour déterminer l'état des ports (ouverts, fermés ou filtrés) sur l'hôte
cible.

Dans notre cas, ce type de scan est fait à hôte 10.0.2.7. Et le résultat affiche 4
ports ouverts/Filtrés : 21/TCP, 22/TCP ,23/TCP, 443/TCP.

- Capture wireshark
D’après le Traffic observé ci-dessous, on remarque que :
 Comme on l’a déjà spécifié, pour l’exemple des ports 21 et 22 qui sont
ouvert ( en vert), l'hôte n’a répondu du tout.
  Comme on l’a déjà spécifié, pour l’exemple du port 25 fermé ( en rouge),
l'hôte a répondu avec des paquets RST.

Le scan Null est utilisé pour sonder la réaction des hôtes à des paquets TCP
inhabituels, mais son efficacité peut être limitée car de nombreux systèmes
modernes ignorent ou filtrent ces paquets, ce qui peut rendre l'interprétation des
résultats du scan imprécise.

6. TCP ACK Scan

Le scan ACK de Nmap, activé avec l'option -sA, est une technique utilisée pour
analyser les règles de pare-feu en envoyant des paquets TCP ACK . Voici comment
fonctionne ce scan :
 Envoi de paquets ACK : Nmap envoie des paquets TCP ACK aux ports
spécifiés.
 Interprétation des réponses :
o Pas de réponse : Aucune réponse peut indiquer un pare-feu filtrant ou
bloquant les paquets ACK.
o Réponses spécifiques : Certains systèmes peuvent répondre de
manière spécifique, mais l'interprétation peut être complexe.
 Analyse des réponses : Nmap analyse les réponses (ou leur absence) pour
déterminer les comportements des pares-feux ou les règles de filtrage sur les
ports cibles.

Dans notre cas, ce type de scan est fais au hôte 10.0.2.7. Et le résultat affiche
que :
 Bref ces 1000 premiers ports sont “non filtré” ou "ignored".
 Cela constitue un résultat non concluant. Cela est peut-être dû au fait
qu’aucun par-feu n’a été défini sur la machine ubuntu.
 - Capture wireshark
D’après le Traffic observé ci-dessous, on remarque que la réponse pour tous les
ports est un paquet RST. Ce qui ne nous aide pas beaucoup.

Ce scan est principalement utilisé pour tester les réponses des pares-feux aux
paquets ACK, afin de détecter d'éventuelles règles restrictives de filtrage de trafic.
L’inconvénient est qu’il ne peut pas distinguer les ports ouverts des ports fermés.

7. Scan d’information sur les services sur un port quelconque

On utilise l'option -sV pour détecter les versions des services qui tournent sur les
ports ouverts de l'hôte 10.0.2.7.
Dans notre cas on spécifier le port 21. Et le service qui tourne sur ce port est la
version vsftpd 3.0.5.
 - Capture wireshark
Comme on peut le remarquer sur le Traffic ci-dessous, le serveur ftp répond en
envoyant sa version en cours d’exécution sur le port 21 (en vert).

Conclusion

Ce projet d'audit de sécurité réseau, focalisé sur l'utilisation de Wireshark et

nmap, a été une immersion essentielle dans le domaine de la surveillance réseau et
de l'évaluation des vulnérabilités. À travers l'exploration pratique du trafic réseau
avec Wireshark, on a pu analyser en profondeur les échanges de données, évaluant
la sécurité des protocoles telnet, ftp et ssh.
L'introduction à nmap a permis une exploration approfondie des machines et
serveurs du parc informatique, mettant l'accent sur la détection des ports ouverts,
des services actifs et des potentielles vulnérabilités. Cette approche pratique a
renforcé la compréhension des risques potentiels et des pratiques de sécurité pour
protéger efficacement les systèmes.
Grâce à ce projet, on a acquis des compétences tangibles dans l'analyse du
trafic réseau, la détection des failles de sécurité et l'élaboration de stratégies de
protection. Cette expérience pratique a favorisé une meilleure compréhension des
défis liés à la sécurité informatique et de l'importance de la surveillance continue
pour maintenir l'intégrité des réseaux