16
Faculté de sciences Département informatique Option administration de systèmes informatique Audit de sécurité Encadré par: Mme Ghizlane Orhanou Mr Said ELhajji Réalisé par : Hajar Miss Mohamed Baidi Soumaya Bouchahma Année universitaire 2012-2013

tp1_Audit

Embed Size (px)

DESCRIPTION

TP audi securité

Citation preview

Page 1: tp1_Audit

Faculté de sciences

Département informatique

Option administration de systèmes informatique

Audit de sécurité

Encadré par: • Mme Ghizlane Orhanou • Mr Said ELhajji

Réalisé par : • Hajar Miss • Mohamed Baidi • Soumaya Bouchahma

Année universitaire 2012-2013

Page 2: tp1_Audit

2

Projet

Table des matières

Introduction

I.Utilisation de tcpdump .....................................................................................................................................................5

1. Vérification de la configuration des interfaces réseaux .............................................................................................5

2. L’utilitaire tcpdump ...................................................................................................................................................6

II. Utilisation du sniffer wireshark .....................................................................................................................................8

1. Protocole ICMP (Internet Control Message Protocol) ..............................................................................................8

2. Protocole FTP (file Transfer Protocol) ......................................................................................................................9

3. Protocole SSH (Secure Shell) ....................................................................................................................................9

III. Le scanner de port Nmap ...........................................................................................................................................10

1. Installation de Nmap ................................................................................................................................................10

2. Utilisation de Nmap .................................................................................................................................................11

3. Quelque test à l’aide de Nmap .................................................................................................................................12

Conclusion

Page 3: tp1_Audit

3

Projet

Introduction

Dans le cadre de la sécurité des systèmes d’information, il est indispensable de réaliser des travaux pratiques qui permettent la compréhension et l’application des notions apprises durant le cours. Ce rapport présente le compte rendu du premier TP réalisé « Audit de sécurité d’un réseau, sniffer et scanner de port ».

L’audit de sécurité est souvent désigné comme étant l’outil de contrôle pour vérifier que les moyens et les procédures mis en œuvre pour la protection de nos réseaux. Cette sécurité peut être faite grâce au sniffer, tcpdump et nmap qui sont des outils permettant d’auditer un réseau.

Notre rapport comprendra :

� Des réponses aux questions du Tp. � Une description des étapes suivies pour la réalisation du Tp (captures d’écran). � Une analyse et une justification des résultats obtenues.

Page 4: tp1_Audit

4

Projet

Description de l’environnement du travail

Durant ce TP, nous allons travailler avec :

3 machines virtuelles appartenant au réseau 192.168.1.0:

� Machine1 linux ip 192.168.1.2

� Machine2 linux ip 192.168.1.3

� Machine3 windows ip 192.168.1.1

Outils d’audit de sécurité utilisé :

� L’utilitaire tcpdump ;

� Le sniffer wireshark installé sous la machine 3 ;

� Le scanner de port nmap.

Présentation des 3 outils utilisés :

Tcpdump : est un sniffer, il permet d’avoir et de capturer les détails des paquets circulant sur le réseau.

Wireshark : est un analyseur de protocole de réseau pour Unix et Windows. Il examine les données à partir d'un réseau en direct.

Nmap : entant que scanner de vulnérabilités, il permet de collecter les informations (version d’OS, ports) sur différentes machines d’un réseau.

Page 5: tp1_Audit

5

Projet

I. Utilisation de tcpdump :

1. Vérification de la configuration des interfaces réseaux :

Comme première étape, on essaie de configurer les adresses ip de l’interface eth0 de nos 3 machines en utilisant la commande ifconfig pour les 2 machines linux et en changeant les paramètres de la carte ipv4 sur windows et cela comme suit :

Sur la machine 1 : #ifconfig eth0 192.168.1.2 255.255.255.0

Sur la machine 2 : #ifconfig eth0 192.168.1.3 255.255.255.0

Pour vérifier la configuration ainsi faite, on peu utilisé la commande ifconfig sans paramètre :

Figure1 : information paramètre réseau( ip, mac,…) de la machine 2.

Sur la machine 3 :

On attribue, l’adresse ip suivante : 192.168.1.1 à la machine windows

Figure2 : configuration adresse ip sur windows 7 Vérification :

Figure3 : ipconfig

Page 6: tp1_Audit

6

Projet

Une fois terminé, on test la connectivité entre nos 3 machines avec la commande ping, mais avant cela on n’oublie pas désactiver le pare-feu sur les trois machines (linux avec :#service iptables stop).

Ping de la machine 2 vers la machine1 :

Figure4 : réponse de la machine 2

On refait la même chose pour tester le reste des connectivités : De la machine 1:#ping 192.168.1.1 De la machine 3:#ping 192.168.1.2 #ping 192.168.1.3 #ping 192.168.1.3

2. L’utilitaire tcpdump :

Au niveau de la machine 1, on essaie de lancer tcpdump en utilisant la commande:

#tcpdump

Au niveau de la machine 2, on tape #ping –nc 4 192.168.1.2 on retourne sur la machine 1 pour visualiser les paquets capturés avec tcpdump

Figure5 : capture de tcpdump �On arrête la capture (ctrl+c) et on essaie d’analyser.

Le ping se base sur quel protocole? On remarque que le ping se base sur le protocole icmp. Ce protocole appartient à quelle couche réseau? Le protocole icmp appartient à la couche réseau du modèle OSI. Les messages envoyés et reçus lors de l’éxécution ?

� Echo request : la requête envoyé. � Echo reply : la réponse reçue.

Toujours au niveau de la machine 1, on crée un compte utilisateur avec #adduser groupe2 et on redémarre tcpdump. A quelle couche Osi appartient le protocole ftp ? le protocole ftp appartient à la coucha application du modèle OSI. Quel port utilise ce dernier ? le protocole utilise 2 ports : 20 pour la communication et 21 pour les commandes.

Page 7: tp1_Audit

7

Projet

Sur la machine 2 on démarre le service ftp avec #service vsftpd start et on ouvre une session ftp avec l’utilisateur déjà crée avec : #ftp 192.168.1.2

Figure6 : connexion avec ftp

On retourne sur la machine1 pour voir le trafic capturé : on remarque que tous les entêtes des paquet échangé entre le client et le serveur ftp sont récupérés. Les deux premiers échanges sont des requêtes Sing �début de la communication suivi des Ack et des P (paquet). Cette fois, on refait la même chose mais on utilise l’option –x avec tcpdump pour pourvoir capturé tous les détails et non pas seulement les entêtes : Sur la machine 1 on tape : #tcpdump –x

Figure7 : paquets capturés

�On remarque, qu’on peut récupérer le login et le mot de passe ( user : groupe2 pass :soumaya).

De ce fait, on peut constater que le protocole ftp n’est pas un protocole sécurisé, ce qui peut causer la récupération des données confidentiels par des personnes « pirates ».

Page 8: tp1_Audit

8

Projet

II. Utilisation du sniffer wireshark

Précédemment cité, wireshark a le même rôle de tcpdump il permet de capturer les paquets transitant dans un réseau ainsi qu’il permet visualiser et décoder ces derniers en utilisant plusieurs protocoles. Wireshark se caractérise par son interface graphique contrairement à tcpdump qui est utilisé en mode console.

Wireshark est déjà installer sur la machine 3, il suffit de le lancer et voir son interface.

1. Protocole ICMP (Internet Control Message Protocol):

On ouvre wireshark, et on lance la capture cela comme suit :

Figure8 : spécification d’options de la capture qu’on va lancer

Ensuite, on fait un ping de la machine 3 vers la machine 2 : #ping –c 10 192.168.1.3 Au niveau du wireshark, on arrête la capture au moment ou en reçoit la dernière réponse.

Figure9 : capture de wireshark « ping »

Page 9: tp1_Audit

9

Projet

�on peut visualiser les différent paquets qui circulent entre 192.168.1.1 et 192.168.1.3 durant le ping , on constate que le protocole utilisé pour le ping (icmp) ainsi que les messages échangés( echo request, echo reply).

En sélectionnant chaque ligne on peut voir le contenu de chaque paquet (en hx) en bas de wireshark (partie encadrée en bleu sur la figure 9).

2. Protocole FTP (file Transfer Protocol):

De la même façon, on relance une capture avec wireshark sur notre réseau et on essaie de se connecter de la machine 2 vers le serveur ftp avec le user :

• Login : groupe2

• passwd

#ftp 192.168.1.1

Une fois connecté, on retourne vers la machine 3 pour arrêter la capture de wireshark.

�On peut bien voir toutes les trames échangés lors de la communication entre le client ftp (machine 2) et le serveur ftp (machine 1).

Analyse de la capture : Les messages échangés sont des « requests » et des « réponses » , on peut voir que le protocole ftp se base sur la communication en TCP car il travaille en mode connecté. Quant à sa sécurité, pareil à ce qu’on a constaté en utilisant l’uilitaire tcpdump, en utilisant wireshark on peut de même récuperer le login et le mot de passe donc on déduit que ftp est un protocole non sécurisé.

Figure10 : Capture de wireshark « ftp», récuperation login et mot de passe.

Figure11 : Capture de wireshark « ftp», contenu trame en héxadécimal

3. Protocole SSH (Secure Shell) :

Sur la machine 1 unix, on lance le service sshd avec : #sevice sshd start Ensuite, sur la machine3 on lance une nouvelle capture avec wireshark, Une fois lancé, on lance une console sur la machine 2 et on se connecte avec ssh au serveur en tapant : #sshd 192.168.1.2

Page 10: tp1_Audit

10

Projet

Figure12 : Connexion au serveur ssh.

On retourne sur wireshark pour visualiser le trafic réseau capturé :

Figure13 : Capture wireshark, « ssh ».

Analyse de la capture : On remarque que la communication ssh se fait en mode connecté TCP. Quant à sa sécurité, en le comparant au protocole ftp, le protocole ssh est un protocole sécurisé tous les données échangés sont encrypté.

III. Le scanner de port Nmap :

Un scanner permet de trouver dans un délai très court, tous les ports ouverts sur une machine distante. Il existe différents types de scanner, certains se contentent juste de donner : la liste des ports ouverts, le type et la version de l’OS tournant sur le serveur. Le scanner que nous allons utiliser dans notre tp s’agit de Nmap. Le synopsis de Nmap est le suivant : Nmap [<types de scans>] [<Option>] {<spécifications des cibles>}

1. Installation de Nmap : On dispose du setup de nmap sur la machine 3 windows7, donc pour l’installer il suffit de lancer son setup.

Une fois installé, on peut bien visualiser son interface :

Page 11: tp1_Audit

11

Projet

Figure14 : Zenmap

2. Utilisation de Nmap : On commence tout d’abord par scanner vers la machine locale 127.0.0.1 avant de tester le scan vers les deux autres machines.

Figure15 : port ouvert sur la machine local. On constate le scan des ports fait sur localhost de la machine, les différents services existant et leurs numéros de ports.

Page 12: tp1_Audit

12

Projet

Avant de commencer nos test sur nos machines, on essaie de voir les différents options existantes de nmap et cela grâce à #nmap –help :

3. Quelque tests à l’aide de Nmap :

� On lance un scan vers la machine 192.168.1.2 :

#nmap 192.168.1.2

Figure16 : port ouvert sur la machine ayant l’ip 192 .168.1.2

On peut voir tous les ports ouverts : 22 ssh, 111 rpcbind et 327/69 filenet-rpc .Grâce au nmap on peut visualise le nombre de ports fermé sur la machine ainsi que l’état de chaque port.

� On utilise cette fois nmap avec l’option –O qui donne en plus des informations sur le système d’exploitation :

Page 13: tp1_Audit

13

Projet

Figure17 : nmap -O

� Spécification des ports à scanner :

Pour réaliser cela, on utilise l’option –p <numero de port > , on spécifie dans cet exemple le port 80 à scanner.

#nmap –p 80 192 .168.1.2

Figure18 : nmap –p 80

On constate, l’état du port 80 sur la machine 192 .168.1.2 , il s’agit du port du service http.

� Vérification de l’existence de la machine sur le réseau :

Page 14: tp1_Audit

14

Projet

On utilise l’option –sP ou –sn :

Figure19 : nmap –sn On remarque que d’après le scan de nmap que la machine 192.168.1.2 se trouve sur notre réseau et la machine est up.

� Vérification de l’état des ports UDP et TCP :

On utilise l’option –sU pour les ports UDP et l’option – sS pour les ports TCP comme illustrer ici dessous :

Figure20 : scan sur les ports UDP

Figure21 : scan vers les ports TCP

Page 15: tp1_Audit

15

Projet

On remarque que nmap a pu récupérer les ports ouverts des services qui utilisent le protocole TCP comme le protocole ssh et ftp qui étaient lancé sur la machine 192.168.1.2.

� Scanner 10 ports existant sur la machine1 et la machine2 de notre sous réseau :

Figure22 : #nmap –top –ports 10 192.168.1.2 192.168.1.3

Page 16: tp1_Audit

16

Projet

Conclusion

En définitif, on conclut que parmi les notions de sécurité des réseaux c’est le fait de l’audit de sécurité ce qui permet de voir tous ce qui circule sur notre réseau local, grâce à des outils(sniffer et scanner de ports) qui permettent de visualiser et d’analyser les différents échanges fait entre les serveurs et les clients sur notre réseau ainsi que l’état des ports(ouvert, fermés…) des services(http, ftp,ssh,…) sur les différents machines su réseau.