Scanning

ScanningScanning

Responsable : Remy FABREGES

Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle

Outils : nmap, rooktits

ScanningNmap – Introduction

Outil de sécurité très utilisé par les administrateurs systèmes.

Outil d’exploration du réseau pour déterminer les hôtes connectés.

Scanner des services disponibles associés à chaque ports ouverts.

ScanningNmap – Fonctionnement

Supporte un grand nombre de techniques de scan.

Détecte l'OS distant.Fournit comme résultat:

le nom du service;le numéro du port;l'état (ouvert, filtré);le protocole.

ScanningNmap – Exemple 1

prise en main./nmap -O -v 134.214.90.20

Host (134.214.90.20) appears to be up ... good.Initiating SYN Stealth Scan against (134.214.90.20)The SYN Stealth Scan took 169 seconds to scan 1601 ports.All 1601 scanned ports on (134.214.90.20) are: filtered[…]Nmap run completed -- 1 IP address (1 host up) scanned in 191 seconds

ScanningNmap – Exemple 2

Test sur un routeur sans firewall./nmap -P0 -v 134.214.90.8

Initiating SYN Stealth Scan against b710pbj.univ-lyon1.fr (134.214.90.8) […]Port State Service9/tcp open discard 13/tcp open daytime 21/tcp open ftp 23/tcp open telnet 25/tcp open smtp […]

Remote operating system guess: Linux 2.1.19 - 2.2.20

ScanningNmap – Exemple 3

Noyer l'adresse d'envoi des requêtes ./nmap -F -D 134.214.0.1 -v

134.214.90.14No Time Source Destination Protocol1 0.0000 134.214.90.8 134.214.90.14 TCP 2 0.0061 134.214.0.1 134.214.90.14 TCP3 0.0123 134.214.90.8 134.214.90.14 TCP4 0.0203 134.214.0.1 134.214.90.14 TCP5 0.0275 134.214.90.8 134.214.90.14 TCP6 0.0344 134.214.0.1 134.214.90.14 TCP

ScanningNmap – Exemple 4

Scanner un réseau../nmap -v 134.214.90.[0-255]

[…]Host(134.214.90.10) appears to be down, skipping it.Host(134.214.90.11) appears to be down, skipping it.Host(134.214.90.12) appears to be down, skipping it.Host(134.214.90.13) appears to be down, skipping it.Host(134.214.90.14) appears to be up ... good.[…]Nmap run completed -- 256 IP addresses (8 hosts

up) scanned in 455 seconds.

ScanningRootkit – Définition

Rootkit: ensemble d’exploits réuni pour pénétrer un réseau/ordinateur sans être détecté.

Exploit: technique de piratage exploitant un faille de sécurité connu.

Trojans: petit programme servant à infecter un système pour un e action bien spécifique.

Backdoor: porte dérobée permettant de s’introduire dans un système de manière illicite.

ScanningRootkit – Etapes

1. Recherche d'une proie : scan de machines.

2. Pratique de l'exploit : prise de contrôle de la machine en root.

3. Se cacher : nettoyage des traces.4. Préparer ses prochaines visites :

installation de backdoor.5. Actions possibles:

1. Attaque (sur la machine même ou sur ces correspondants).

2. Recherche d’autre informations : sniffer.

ScanningRootkit – Fonctionnement

Pratique de l’exploit:Failles des navigateurs, des serveurs

http, des protocoles…Dépend des systèmes que l’on attaque.

Comment se cacher? Modification des binaires communs:

Actifs : /bin/ps, /bin/netstat, /usr/bin/top Passifs : /bin/ls

ScanningRootkit – Fonctionnement

Nettoyage des fichiers de log.Prévoir les futurs visites:

Daemon qui écoute sur un port spécifique.

Accepte un login et un mot de passe défini par le hacker

ScanningRootkit – Défense

Appliquer les mises à jours des logiciels.

Utiliser régulièrement des outils de contrôlesScan des ports ouverts;Scan des commandes systèmes.

Tester sa sécurité (Nmap, Nessus)