Embed Size (px)
Citation preview
PROJET : ETUDE COMPARATIVE DES OUTILS DE SECURITE
INGENIEUR DE CONCEPTION
3ème ANNEE
ANNEE ACADEMIQUE 2012-2013
COMMUNICATIONS ET METHODES D’AUTHENTIFICATION
Présenté par:
SORO Donafologo JérémiSORO Tingnana IbrahimTCHAKOU-ADADJRO Kodjo
Professeur Encadreur :
M. BA
INTRODUCTION
La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des Réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet. La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci est devenue un point primordial dans la mise en place de réseaux informatiques. Afin de s’assurer de nos communications sur l’internet en particulier les connections aux sites web, il est important de savoir la personne qui désir bénéficier de ces ressources disponibles. Par conséquent les méthodes d’authentifications nous permettent de vérifier cela. L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur…), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…). En résumé L'authentification permet donc de valider l'authenticité de l'entité en question. Ce document a pour but de présenter globalement les outils qui permettent de tester l’état des informations que nous donnons pour accéder à des données.
Dans cette perspective nous donnerons trois outils dont nous parlerons de leurs historiques, leurs fonctionnement et utilisation, et enfin une étude comparative qui permettra de choisir l’outil adéquat pour les entreprises.
I. Wireshark
1. Historique :
À la fin des années 1990, Gerald Combs est diplômé de l'Université du Missouri-Kansas City et travaille au sein d'un petit fournisseur d'accès à Internet. L'analyseur de protocole utilisé en interne est un logiciel propriétaire commercialisé près de 1500$ et ne fonctionne pas sur la plateforme de production de la société (GNU/Linux et Solaris). Gerald Combs débute alors les développements d'Ethereal et réalise sa première version en 19983.
En mai 2006, Combs intègre la société CACE Technologies. Il clone alors le dépôt SVN du projet Ethereal sur son propre dépôt de code source Wireshark en toute légalité puisqu'il détient les droits d'auteur sur la majeure partie du code source d'Ethereal, le reste étant également distribué selon les termes de la licence publique générale GNU. Il n'est toutefois pas propriétaire de la marque Ethereal et change donc le nom de son projet en Wireshark.
Fonctionnement :
Wireshark est similaire à tcpdump mais à la différence dispose d’une interface graphique, et de certaines options intégrées de tri et de filtrage.
Wireshark permet à l'utilisateur de mettre des contrôleurs d'interface réseau qui prennent en charge le mode de proximité, de manière à voir l'ensemble du trafic visible sur cette interface, et pas seulement le trafic adressé à l'une des adresses configurées de l'interface et de diffusion / multidiffusion du trafic. Toutefois, lors de la capture d'un analyseur de paquets en mode espion sur un port d'un commutateur réseau, et non pas l'ensemble du trafic traversant l'interrupteur sera nécessairement être envoyé vers le port sur lequel la capture est effectuée, si la capture en mode espion ne nécessairement suffisant pour voir tout le trafic sur le réseau. En miroir des ports ou des robinets de réseau divers étendre la capture à tout moment sur la net, simple prise passive est extrêmement résistant aux malwares falsification.
2. Les avantages de Wireshark :
1- Disponible sur plusieurs plateformes (UNIX, Windows, MacOS …)
2-Capture en direct des données d’un paquet d'une interface du réseau.
3-Affichez des paquets avec l'information du protocole très détaillée.
4-Ouvre et enregistre les données du paquet capturé.
5-Importe et exporte les données d’un paquet depuis et vers d’autres
6-programmes de capture
7-Filtre des paquets en s’appuyant sur plusieurs critères.
8-Recherche des paquets sur beaucoup de critères.
9-Crée plusieurs statistiques.
3. Les inconvénients de Wireshark :
Wireshark n'est pas un système de détection d'intrusion. Il ne vous préviendra pas quand quelqu'un de malhonnête ait accès au réseau. Cependant, si quelque chose d’étrange se passe, Wireshark peut vous aider à résoudre le problème.
Wireshark n’a pas de fonction de manipulation mais juste il se limite à superviser le réseau et en extraire des statistiques.
Installation de l’outil : Wireshark
L’installation sous Windows n’est pas chose complexe. Pour cela il faut se rendre sur le site de Wireshark voir ici http://www.wireshark.org/download.html
Pour choisir la version correspondante à votre système. Sous Windows les paquets d’installation viennent avec des mises à jour de WinPcap qui est recommandé les captures en direct.
Dès qu’on lance l’installation, après quelque temps celle-ci est stoppé momentanée et recommande l’installation de WinPcap avant de poursuivre et d’achever l’installation.
Sous Linux l’installation se fait via le terminal à l’aide d’une commande, mais avant ça il faut sudo apt-get install wireshark.
Après installation voici l’interface de wireshark :
4. Test de l’outil :
Les méthodes d’authentifications sont de plus en plus utiles et le plus souvent utilisés pour vérifier l’identité de la personne qui se connecte derrière ou qui souhaite bénéficiée des services qui y sont disponibles. En effet il existe 3 méthodes d’authentifications dont le plus répandu est la méthode d’authentification simple, qui ne repose que sur un seul élément ou « facteur » l’authentification via un mot de passe (exemple : l'utilisateur indique son mot de passe).
Ainsi l’outil wireshark nous permettra de voir le niveau, ou simplement la sécurité autour des mots de passe que nous fournissons lors de nos connections à un site ; (espace d’achat, d’informations, les emails, site de jeux …).
Testons l’authentification sur Yahoo.
Lorsque l’on sélectionne la ligne correspondant à une requête vers Yahoo mail, nous voyons seulement le numéro ou l’identifiant de la section sur laquelle nous somme connectés et n’avons pas d’informations concernant notre authentification via le mot de passe. Par conséquent nous pouvons déduire que les informations sont traitées dans une sorte de tunnel, du coup tout ce qui se passe avant et après la connexion reste transparent.
Test sur Hotmail :
A ce niveau nous voyons clairement que l’identifiant de l’utilisateur, ce qui est déjà une différence par rapport à Yahoo, et aussi la partie réservée aux mots passe qui sous une forme illisible voir incompréhensible. Nous pouvons dire que Hotmail utilise un Protocol de chiffrement pour les mots de passe ce qui assure une certaine sécurité notre mécanisme de connexion.
Test sur espace d’information sencourtier :
Ce site est dédié à la publication des informations en ligne, au stockage de données et aussi à la mise à disposition d’un compte aux utilisateurs. Sur cette lancée lors de la création d’un compte nous notons que tous les champs renseignés sont récupérés en claire c’est-à-dire lisible et compréhensible. Nous pouvons voir sur cette capture l’email, le mot de passe et le numéro de téléphone du potentiel utilisateur. Ce site n’utilise aucun protocole de sécurisation des informations.
Test sur urbanRivals
Test sur mafiaRox
Les sites de jeux comme mafiaRox, UrbanRivals ne sont pas sécurisés. L’authentification par le mot de passe n’a été renforcé par des protocoles de chiffrement, afin d’augmenter le niveau de sécurité des données de leurs abonnés.
Manuel de procédure :
Pour faire l’audit ou pour tester les méthodes d’authentifications auxquelles nous faisons face lors de nos connexion sur les sites, web mail, espace public ouvert aux informations publiques, des sites de jeux … nous avons besoin d’un outil pour aider à cette tâche.
Pour cela installer wireshark sur votre ordinateur
Pour cela vous devez vous rendre sur le site dédié à l’outil ou vous pouvez choisir la version correspondant à votre système d’exploitation (Windows, Linux..) et les spécificités qui vont avec.
Une petite maitrise quelques éléments
La zone de sélection des interfaces à écouter la zone de lancement des captures, le champ de filtre.
La zone sélection des interfaces vous donne la possibilité de choisir l’interface sur laquelle vous désirez recueillir des informations.
Le champ de filtre est juste au-dessus de la zone de sélection des interfaces. Il vous permet de trier suivant les protocoles, paramètres des méthodes … ainsi cela vous aide à avoir des lignes réduites suivant vos recherches.
Tout juste en haut se trouve les icones pour la capture.
Présentation et processus de captures.
Figure1
L'utilitaire s'ouvre sur l'interface présentée en Figure 1, découpé en quatre zones :
(3) liste des interfaces et lancement rapide d'une capture
(6) Aide sur la capture de paquets
(4) Analyse d'une capture précédente enregistrée sur fichier
(5) Aide online et manuel utilisateur
La principale utilisation que nous ferons de Wireshark consistera en la capture de trames réseau en live. Les trois premiers boutons de la barre d'icônes (zone 1) permettent une telle capture, et sont des raccourcis aux éléments présentés dans le menu « capture » Pour lancer une capture live, plusieurs méthodes s'offrent à nous, parmi lesquelles :
➔ Cliquer directement sur l'interface désirée listée dans la zone (3) de Figure 1. On cliquera par exemple sur le bouton « Start » associé au lien Microsoft : \Device … en bref vous choisissez l’interface que sur laquelle vous désirez lancer la capture.
➔ Cliquer sur le premier icône de la barre des icônes intitulé liste des interfaces de captures disponibles. Une fenêtre s'ouvre, il nous suffit alors de cliquer sur le bouton « Start » de l'interface de notre choix pour lancer la capture sur cette interface.
Cliquer sur le 3eme icône de la barre des icônes en partant de la gauche pour lancer directement une capture sur l'ensemble des interfaces (zone encadrée en jaune figure1).
Une fois lancée, la capture peut être interrompue en cliquant que le 4ème bouton de la barre d'icônes (en partant de la gauche). Ce bouton n'est actif uniquement lors d'une capture.
Lorsqu'une capture est active, le logiciel présente l'interface de l'analyseur. Cette interface reste ensuite visible lorsque la capture est arrêtée.
Le champ de filtre (zone 2, Figure1) est juste au-dessus de la zone de sélection des interfaces. Il vous permet de trier suivant les protocoles, paramètres des méthodes … ainsi cela vous aide à avoir des lignes réduites suivant vos recherches. Le bouton Expression vous permet d’aller en profondeur suivant les
paramètres de votre choix. Prenons le cas du protocole http, la capture affichera les lignes qui y correspondent, pour faire plus de trier alors nous pouvons cliquer sur Expression ensuite http puis dès qu’on déroule à ce niveau nous pouvons voir les méthodes request … donc faire des requêtes avoir que les liens contenant les méthodes GET ou POST.
Cette description ne représente qu’une partie de Wireshark. Nous pouvons dire que c’est un outil très complexe, en plus des captures ou écouter ou sniffer les interfaces permet de traduire les fichiers ANS1 en télécom, décrypter les messages se signalisations.
Lancer wiresharkLancer votre navigateurAuthentifiez-vous mais ne validez pas avant de lancer la capture.Sur l’interface de wireshark, sélectionner votre interface.Cliquer sur l’icône de lancement de la captureSélectionner votre filtreRetourner sur votre navigateur et valider votre authentification.Faites vos analyses suivants vos critères.
Conclusion :
Wireshark est un outil capable de nous donner des informations sur l’état de nos données avant leur arrivé sur le serveur pour être traitées. Mais cela est un peu limité en ce qui concerne l’affichage des protocoles de chiffrement permettant la sécurisation des flux envoyés pour l’authentification. Cela ne nous permet pas de tester la robustesse ces protocoles. En somme wireshark ne permet de recueillir les flux que sur les sites non sécurisés.
II. Dsniff
1. Présentation
La capacité d'accéder aux paquets bruts sur une interface réseau (sniffing), a longtemps été un outil important pour les administrateurs système et réseau. Pour le débogage, il est souvent utile d'examiner le trafic pour voir exactement ce qui est transmis. Dsniff, comme son nom l'indique, est un analyseur de réseau mais conçu pour les essais d'un genre différent. C’est une collection d'outils pour l'audit du réseau et des tests de pénétration,
Conçu par le hacker Dug Song, dsniff est un ensemble d'utilitaires qui inclut des code pour analyser de nombreux protocoles d'application et d'en extraire des informations intéressantes, telles que les noms d'utilisateur et les mots de passe, les pages web visitées, le contenu du courrier électronique, et plus
encore. En outre, il peut être utilisé pour vaincre la complexité des réseaux commutés et provoquer un trafic réseau à partir d'autres hôtes sur le même segment de réseau pour être visible, et pas seulement le trafic circulant de l’hôte ou dsniff est exécuté.
Ces capacités suffisent pour susciter son intérêt. Il comprend de nouveaux programmes pour lancer man-in-the-middle attaques sur le SSH et HTTPS, ce qui permettre de voir le trafic non chiffré, et même la possibilité de prendre en charge des sessions SSH interactives. Ces nouvelles techniques ont causé un certain tollé dans la communauté de la sécurité.
En d'autres termes il permet d'être mieux en mesure de voir les faiblesses son propre réseau.
a. Fonctionnement
Avant pour utiliser Dsniff sur un réseau local, vous devez d'abord naturellement être le root ou avoir un accès en tant qu'administrateur à un ordinateur connecté au réseau local. La boîte à outils dsniff est connue pour fonctionner sur Linux, OpenBSD, FreeBSD et Solaris. Il est sans doute possible de le porter vers d'autres plates-formes UNIX ainsi. Il y a même une version de dsniff pour Windows NT.
Une fois que dsniff est compilé et prêt à attaquer l'hôte dans le réseau local, il existe trois possibilités différentes pour accéder au trafic du réseau:
Le réseau local utilise un concentrateur: Dans ce cas, vous n'avez rien de supplémentaire à faire, tout le trafic réseau à destination de n'importe quel hôte sur le LAN est visible à tous les autres hôtes sur le LAN.
Le réseau local utilise un interrupteur: Dans l'architecture de commutation, tous les hôtes sont connectés au commutateur sur leur propre port isolé. le commutateur qui assure le suivi de l'hôte envoie uniquement le trafic destiné à cet hôte pour son port. Toutefois, cela est principalement destiné à améliorer les performances (puisque chaque hôte reçoit une connexion dédiée au lieu d'être partagé comme avec un hub). Par conséquent, il est facile surpasser ce phénomène en faisant en sorte que le commutateur ne soit pas sûr de la machine qui est sur le port. Ce qui signifie qu'il commencera à agir comme un hub et envoyer tout le trafic sur tous les ports. Cela pourrait également provoquer des contre-performances du réseau et pourrait être remarqué par d'autres utilisateurs sur le réseau.
Le réseau local utilise un commutateur et que vous souhaitez cibler un hôte spécifique: Si vous ne désirez pas renifler tout le trafic sur le réseau local, mais uniquement cibler un hôte spécifique à ce sujet, vous pouvez laisser l'interrupteur seul et juste confondre cet hôte spécifique en pensant que vous êtes la passerelle / routeur. Par conséquent, tout le trafic que l'hôte veut envoyer à l'extérieur du LAN ira à votre premier hôte. Il s'agit de la forme la plus clandestine de renifler, car elle ne
concerne que l'hôte cible, et seulement dans la façon dont vous procédez, il n'est donc pas susceptible d'être remarqué par les autres.
Puisque nous visons un hôte particulier et non l'ensemble du réseau local, il suffit de provoquer l'hôte cible pour détourner ses paquets réseau vers notre machine de type MITM (sur le LAN). Pour se faire, nous utilisons arpspoof pour envoyer de faux paquets ARP vers l'hôte cible, lui disant que l'hôte attaquant MITM est la porte d'entrée. De cette façon, tout le trafic qu'il essaie d'envoyer à l'extérieur du réseau local sera effectivement transmis à l'hôte attaque MITM. Avant de faire cela, nous devons dire à l'hôte attaquant de transmettre les paquets à la passerelle réelle sinon il sera vite remarqué que l'hôte cible ne peut plus communiquer en dehors du réseau local.
Quelques types d’attaques :
Première attaque : Renifleur de mots de passes.
Une fois que le trafic sur le réseau de l'hôte cible, ou l'ensemble du réseau local, a été mis à la disposition de l'hôte renifler en utilisant les techniques ci-dessus, il est très simple de démarrer le programme dsniff, qui sera alors automatiquement détecter et de capturer des informations intéressantes de la circulation.
Deuxième attaque : Capture de fichier et messages
L'Utilisation de msgsnarf et filesnarf permet la capture des e-mails et les fichiers transférés via NFS. Ces deux programmes font le travail d'interprétation du trafic réseau pour obtenir des résultats pertinents. msgsnarf enregistre le courriel capturé dans un fichier mbox format UNIX standards. Filesnarf enregistre les fichiers capturés dans le répertoire à partir duquel il est exécuté.
Troisième attaque : capture URL
Urlsnarf est semblable aux autres outils mentionnés jusqu'à présent, mais spécialement écrit pour saisir les demandes HTTP et identifier l'URL référencée. webspy va dans le même sens, mais au lieu de l'enregistrement de l'URL, il commande effectivement votre navigateur Web à suivre les URL comme elles sont surveillées, ce qui vous permet de surfer en même temps que la cible en temps réel.
Attaque 4 : The man-in-the-middle (MiM) - L'attaque de l'homme du milieu
Cette attaque fait intervenir le client (la cible), le serveur (l'hôte distant) et l'attaquant (notre machine de test). Le but est de se faire passer pour le client auprès du serveur et se faire passer pour le serveur auprès du client. On devient ainsi l'homme du milieu (Man In The Middle). On pourra ainsi surveiller tout le trafic réseau entre le client et le serveur ou le modifier.
Quand un MiM est exécuté, un utilisateur malveillant positionne son ordinateur sur le chemin de communications entre deux ordinateurs cibles. Le sniffing peut alors être exécuté. L'ordinateur malveillant expédie les trames échangées par les deux ordinateurs cibles, ainsi les communications ne sont pas interrompues. L'attaque est effectuée comme suit (A et C sont les ordinateurs cibles, B l'agresseur)
B active son routage IP ;
B corrompt les caches ARP de A et de C ;
A associe l'adresse IP de C à l'adresse MAC de B ;
C confond l'adresse IP de A avec l'adresse MAC de B ;
tout le trafic IP de A à C ira alors à B d'abord, au lieu d'aller directement de A à C
b. Avantages- Logiciellibre- Capable d’écouter tout le trafictransitant sur le réseau- Facile d’utilisation- permet d'écouter même sur un réseau commuté- Prends en charges une grande liste de protocoles même ceux qui sont sécurisés.
c. Inconvénients- Protection contre dsniff difficile- utilisation pour hacking
2. installation
# apt-get install dsniff
3. Test de l'outil
Pour auditer notre réseau nous pouvons procédons au test de certains composants de Dsniff à savoir :
Dsniff
Pour capturer tous les logins/pass circulant à travers sa carte réseau (notre interface réseau est eth0) :
On voit clairement que nous nous sommes connectes sur différents sites et ces sites on chacun leur protocole utilisé.
Msgsnarf
Ce programme est capable d'enregistrer tous les messages privés envoyés à travers Instant Messenger d'AOL, ICQ, mais également des messages IRC, MSN Messenger, et Yahoo Messenger. Pour se faire, il suffit de rentrer la commande msgsnarf
Il existe plusieurs manières d’utiliser Dsniff.
Pour vous donner une idée de ce que peut faire dsniff, voici une liste des outils inclus dans le paquet dsniff, et une brève description de leur fonction.
arpspoof redirige les paquets sur un réseau local à l'encontre du comportement de l’hôte.
dnsspoof Production des réponses pour les requêtes DNS.
dsniff Sniffing de mots de passe dans FTP, Telnet, SMTP, HTTP, POP, poppas, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, XI1, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL authentification info.
filesnarf Sauvegarde des fichiers sniffés à partir du trafic NFS.
macof Transformation des commutateurs vers le mode répétiteur (hub).
mailsnarf sauvegarde des e-mails à partir des trafics SMTP et POP.
msgsnarf Sauvegarde des sessions messages et chat sniffés à partir de Most instant messenger protocols et IRC.
tcpkill Désactivation des connexions TCP spécifiques.
tcpnice ralentit les connexions TCP spécifiées.
urlsnarf Affichage des URL du trafic HTTP.
webspy Renfle les URL départs de votre navigateur local, vous permettant de naviguer en temps réel avec la cible.
sshmitm Sniffing du trafic SSH redirigé par dnsspoof, capture des mots de passe et des logins.
webmitm Sniffing du trafic HTTP/HTTPS redirigé par dnsspoof capture des logins cryptés par SSL.
4. Conclusion
Dsniff est un renifleur de mots de passe qui supporte plusieurs protocoles (FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP,IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, Post, greSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL).
IL détecte automatiquement et analyse de façon minimale chaque protocole applicatif, ne sauvegardant seulement que les bits intéressants, et utilisant Berkeley DB comme format de fichier de sortie, ne journalisant que de façon unique les tentatives d'authentification.Facile d’utilisation, Dsniff est un outil complet d’utilisation rendant même possible et effectives les attaques « Man in the middle ».Cependant, se protéger contre une attaque dsniff nécessite une vigilance accrue de la part de l’administrateur.
III. Capsa Packet Sniffer
1- Vue d'ensemble
Cree en 2003 par la société Colasoft sous la version 3.0, Capsa est un analyseur de réseau portable à la fois pour LAN et WLAN qui effectue en temps réel des captures de paquets, la surveillance du réseau 24/7, l'analyse de protocole avancé, paquet en profondeur de décodage et de diagnostic automatique
expert. Il fournit une visibilité complète et de haut niveau pour l'ensemble du réseau, aide les
administrateurs réseau ou les ingénieurs réseau rapidement à repérer et a résoudre les problèmes
d'application différents, et donc d'améliorer le réseau et de garantir un environnement de réseau productif.
Capsa est un outil formidable de réseau pour aider à réduire les coûts informatiques, d'améliorer la sécurité du réseau, améliorer le service à la clientèle, et d'être plus agile.
a-Caractéristiques principales:
En temps réel capturer et enregistrer des données transmises sur des réseaux locaux, y compris le réseau filaire et réseau sans fil 802.11a/b/g/n comme;
Identifier et analyser plus de 300 protocoles réseau, ainsi que des applications réseau basées sur les protocoles;
Surveiller la bande passante réseau et d'utilisation de la capture des paquets de données transmis sur le réseau et en fournissant des données sommaires et de décodage de ces paquets;
Voir les statistiques de réseau à un seul coup d'œil, ce qui permet la capture facile et l'interprétation des données sur l'utilisation du réseau;
Moniteur Internet, e-mail et de messagerie instantanée, contribue à maintenir la productivité des employés au maximum;
Diagnostiquer et identifier les problèmes réseau en quelques secondes par la détection et la localisation des hôtes suspects;
Repérer les détails, y compris le trafic, l'adresse IP et MAC, de chaque hôte sur le réseau, ce qui permet d'identifier facilement chaque hôte et le trafic qui passe par chacun d'eux;
Visualisez l'ensemble du réseau dans une ellipse qui montre les connexions et le trafic entre chaque hôte.
B Avantages
Compatible avec près de 300 protocoles différents Interface avec courbes graphiques Très rapide et simple d’utilisation
c-Inconvénients
Compatible sous Windows uniquement
Payant
2-Installation de Capsa Packet Sniffer
Télécharger le logiciel sur http://www.colasoft.com/capsa/
Le logiciel est compatible avec Windows XP, (Service Pack 1 ou version ultérieure) et Édition 64 bits
Les exigences minimales sont:
CPU: 2.8GHz P4 RAM: 2 Go
Apres installation on obtient cette interface que voici :
3-Test avec Capsa Packet Sniffer
Contrôle du trafic réseau
Comme un analyseur de réseau, Capsa rend la surveillance du réseau et l'analyse facile pour nous avec son interface intuitive et des vues onglet riches en informations. Avec la capacité de surveillance grand réseau de Capsa Analyseur de réseau, nous pouvons identifier rapidement les goulets d'étranglement du réseau et de détecter les anormalités de réseau. Ce travail est de vous montrer comment surveiller le trafic réseau avec un analyseur de réseau Capsa.
Surveillance du trafic réseau dans l'onglet Tableau de bord
Si nous voulons avoir une vue graphique des statistiques ou d'obtenir un tableau de bord du trafic réseau, alors nous pouvons utiliser les graphiques dans l'onglet Tableau de bord. Il offre un grand nombre de graphiques statistiques du réseau à un nœud bien spécifique. Vous êtes en mesure de créer ainsi presque n'importe quel type de graphique basé sur une adresse MAC, l'adresse IP et le protocole utilise, etc Avec ces graphiques, on peut facilement trouver des anomalies du réseau et obtenir des statistiques utiles.
Figure 1: moniteur de trafic réseau dans l'onglet Tableau de bord
Surveillance du trafic réseau dans l'onglet Résumé
L'onglet Résumé fournit des informations générales sur l'ensemble du réseau ou du nœud sélectionné dans la fenêtre Explorateur de nœud. Dans l'onglet Résumé, on peut obtenir un aperçu rapide de l'ensemble du trafic, trafic en temps réel, le trafic de diffusion, le trafic multicast et ainsi de suite.
Figure 2: Trafic de moniteur de réseau dans l'onglet Résumé
Surveillance du trafic réseau dans l'onglet Protocole
L'onglet Protocole répertorie tous les protocoles appliqués dans votre réseau de transport. Dans l'onglet Protocole, nous pouvons surveiller le trafic réseau par chaque protocole. En analysant les protocoles dans le trafic sur le réseau, nous pouvons facilement comprendre quelles sont les applications consommant de la bande passante réseau, par exemple, le protocole HTTP est synonyme de navigation sur le site, et le POP3 est synonyme de courriel, etc
Figure 4: trafic sur le réseau de surveillance dans l'onglet Protocole
Surveillance du trafic réseau dans les onglets de conversation
Les conversations sont présentées dans quatre onglets: Conversation physique, Conversation IP, Conversation TCP et Conversation UDP. Nous pouvons surveiller le trafic réseau par chaque type de conversation et le chiffre sur lequel la conversation a généré le trafic le plus important du réseau.
Figure 5: le trafic réseau de surveillance par des conversations
Surveillance du trafic réseau dans l'onglet Matrice
L'onglet Matrice permet de visualiser toutes les connexions réseau et les détails de la circulation dans un seul graphique. Le poids des lignes entre les nœuds indique le volume de trafic et la couleur indique le statut. Quand on déplace le curseur sur un nœud spécifique, des informations sur le trafic réseau du nœud sont fournis.
4-conclusion
Capsa Packet Sniffer est un outil très simple d’utilisation avec une interface très agréable qui permet d’intercepter les communications et paquets d’un réseau et permet ainsi à l’administrateur d’avoir une vue globale sur tous les paquets transitant et de déterminer ainsi ceux malveillants.
IV. Etude comparée des Outils
Voici un tableau récapitulatif des avantages et inconvénients des 3 outils étudiés précédemment :
Wireshark Dsniff Capsa Packet sniffer
Les Plus
-Disponible sur diverses plateformes
-crée plusieurs statistiques
-Logiciel libre et facile d’utilisation
-prend en charge même les protocoles sécurisés
-compatibles avec plus de 300 protocoles différents
- courbe et statistique disponibles avec localisation des noeuds
Les Moins
-Ne fonctionne pas comme système de détection
-ne fait que superviser le réseau
-Protection difficile
-utilisation pour le hacking
-Payant mais existe en version d’évaluation
- compatible Windows
Entreprises Visées
Petite et Moyenne
Petite, Moyenne, Grande (utilisation des Commutateurs avec ports sécurisés)
Petite
CONCLUSION
A cause des nombreuses attaques et le tau élevé de cybercriminalité, La sécurité aujourd’hui représente un enjeu de taille pour les petites et moyennes entreprises. C’est donc un impératif pour ces dernières de se munir des meilleurs outils qui soient. C’est dans ce sens que nous retenons Dsniff à cause de sa facilité d’utilisation et parce qu’il permet de l’audit et l’authentification du réseau de plusieurs manières (Messagerie instantanée, url, cookies, mails, fichiers…). Aussi de par son adaptation aux adaptation pour les petites moyennes et granges entreprises.
BIBLIOGRAPHIE
Eth ical Hackng , : Collection EPSILON
Tableau de bord de la sécurité reseau ; Éditons EYROLLESPar C é d r i c L l o r e n s, L a u r e n t L e v i e r ,D e n i s V a l o i s
http://fr.wikipedia.org/wiki/Authentification
http://fr.wikipedia.org/wiki/Wireshark
http://wiki.backtrack-fr.net/index.php/Dsniff
http://www.authsecu.com/sniffers-reseaux-commutes/sniffers-reseaux-commutes.php
http://www.memoefix.com/?tag=arpspoof
http://www.colasoft.com/nchronos/installation.php
