TÉLÉCHARGER ETTERCAP NG-0.7.3 GRATUIT

Randomizing hosts for scanning Scanning the whole netmask for hosts Hit 'h' for inline help HTTP: En envoyant des paquets "ICMP redirect" un attaquant peut demander à un équipement réseau à ce que tous les paquets émis lui soient transmis il se fait passer pour le routeur par défaut. La syntaxe est sensiblement identique à l'attaque précédente. Si un attaquant était amené à intercepter les données il ne pourrait pas les déchiffrer.

Nom:ettercap ng-0.7.3
Format:Fichier D’archive
Système d’exploitation:Windows, Mac, Android, iOS
Licence:Usage Personnel Seulement
Taille:30.96 MBytes



Puis, quelques attaques vont être menées afin de déterminer les capacités de détection de l IDS. Ceci conduira à une première évaluation du produit pour ce type d utilisation. Ensuite, quelques bases de corrélation seront introduites, avec un exemple sur l analyse comportementale. Finalement, une description de l architecture 3-tiers d ExaProtect terminera se rapport. Le fait que l on soit sur un réseau informatique apporte les grands avantages de celui-ci, comme le faible coût de l infrastructure généralement déjà existante et donc des communications ainsi que la possibilité d échanger voix, vidéo et données sur un unique type de réseau physique.

Cependant, on reçoit par la même occasion les inconvénients de ce réseau, et non des moindres : on parle ici de qualité de service, jusqu alors très bonne avec les réseaux téléphoniques conventionnels, mais aussi de sécurité au sens général allant de l écoute des communications aux surcharges et coupures parfois intentionnelles de celles-ci.

Puis nous introduirons un système de détection situé un niveau au-dessus prenant compte des informations que peuvent fournir d autres composants du réseau, lesquelles pourront être rassemblées pour obtenir des résultats efficaces et fiables. Le produit concerné sera ExaProtect, solution propriétaire connue dans le domaine de la sécurité de réseaux. Le pré-projet de diplôme visera d abord à étudier le fonctionnement de ce type de système ainsi que les méthodes de sécurisation de réseaux avec un IDS, puis d effectuer quelques tests pratiques avec l IDS Sourcefire afin d en évaluer les possibilités de détection relatives à la VoIP.

Après la mise en place d ExaProtect, le travail de diplôme consistera à étudier les différentes fonctionnalités de ce produit, ce qui aboutira à un premier rapport. La grande partie du travail consistera alors, sur la base du pré-projet, d établir une liste des attaques ou de situations potentiellement dangereuses et d implémenter leur détection à partir des informations reçues des différents composants du réseau, cela de manière claire et fiable.

Quelques démonstrations pourront être mises en place par la suite. Enfin, une évaluation du produit dans le cadre de la VoIP sera établie. Romain Wenger 7 4 Réseau de test L environnement VoIP sur lequel seront effectuées les différentes manipulations suit une architecture standard dont voici le schéma.

Figure 1 : Schéma du réseau de test Autour d un switch Cisco Catalyst, le réseau est séparé en deux VLANs : un pour le contrôle ports 1 à 16 du switch et l autre pour la voix ports 17 à Chaque machine dispose de deux adresses, une par type de réseau.

Deux téléphones IP Cisco firmware version 8. Romain Wenger 8 Enfin, l IDS Sourcefire est connecté au port de monitoring du switch, lui permettant de voir passer tout le trafic pour effectuer les différentes détections.

Il est aussi connecté au VLAN de contrôle pour son administration. Le tableau suivant détail l adressage utilisé. Le projet a démarré avec une équipe de trois développeurs de SIP Express Router SER qui voulaient améliorer ce dernier en apportant une plus grande ouverture aux contributions publiques. Ainsi, dès la première année, ce sont plus de 60 contributeurs qui ont participé à l ajout de nouvelles fonctionnalités comme le support de TLS 2 et NAPTR 3. De plus, selon le site officiel, OpenSER dispose de très bonnes performances à haute charge, lui permettant de fonctionner sur des systèmes aux ressources limitées.

Cela, tout en ayant d autre part la capacité de traiter plus de appels par secondes grâce au load balancing. Ces différentes caractéristiques font que le produit est bien adapté pour les ITSP 8 et les opérateurs téléphoniques en général tout comme dans des environnements d entreprises. OpenSER est prévu pour générer des logs 9 de debug et d erreurs par le protocole syslog Les messages sont produits uniquement si le niveau d importance log level allant de 4 à -3 en 2 TLS : Transport Layer Security est un protocole cryptographique permettant l échange d informations de manière sécurisée, il est le successeur de SSL Secure Sockets Layer.

Romain Wenger 10 fonction de la gravité dépasse le seuil défini. Le choix du seuil est paramétrable dans les fichiers de configuration. Les logs se présentent par défaut ainsi : log [level,] message Si le level n est pas indiqué, le message est d importance minimale.

La mise en place effective de ceci sera effectuée suite à l installation d ExaProtect. Sourcefire propose ainsi plusieurs produits commerciaux basés sur Snort, intégrant du matériel et des services de supports. Le produit utilisé pour ce projet se nomme Sourcefire 3D Sensor Il se présente sous la forme d une appliance 12 remplissant les fonctions d IDS ou IPS, le tout administrable aisément via une interface Web.

Le nom Sourcefire régulièrement utilisé dans ce document se réfère bien entendu à l appliance. Romain Wenger 11 6. Figure 3 : Affichage de la liste des policies La policy contient les différents composants de sécurité tels que les règles de détection, les préprocesseurs, la détection de portscans 14, les modes d alerte, les variables et quelques composants spécifiques à des protocoles d application HTTP, FTP, SMTP comme le montre la figure suivante. Figure 4 : Edition d'une policy 13 Detection engine : analyseur du réseau intégré à SourceFire et incluant l interface réseau.

Romain Wenger 12 6. La configuration par défaut comporte un grand nombre de règles préinstallées et activées. Celles-ci sont classées par types d attaques ou par protocoles. Il n y a cependant que peu de règles directement en rapport avec la VoIP. Les téléphones utilisés étant en version 8. La seconde protège le téléphone contre un script ayant pour effet de révéler le contenu de sa mémoire. Il n y a pas plus d informations concernant les systèmes vulnérables, cette règle pourra donc être activée mais reste relativement peu pertinentes pour ce projet.

Aucune règle directement liée à la détection d attaques ou le suivi des messages SIP n existe. Romain Wenger 13 Figure 5 : Affichage de l état d'activation des règles pour une policy A noter que la création de nouvelles règles est relativement aisée et entièrement graphique comme présenté dans l annexe B.

Les préprocesseurs permettent à l IDS de conserver de bonnes performances pour le traitement des paquets. Romain Wenger 14 La figure suivante montre le principe de fonctionnement de Sourcefire et l emplacement des préprocesseurs dans les étapes de détection. Figure 6 : Schéma de fonctionnement de Sourcefire L un des principaux préprocesseurs pour Snort se nomme Stream4, il permet une analyse stateful des connexions TCP.

Il est aussi disponible dans Sourcefire, où il est possible de configurer certaines options comme le montre la figure suivante. Cependant, les options disponibles dans l interface ne permettent pas d activer une inspection stateful sur des flux UDP.

Romain Wenger 15 6. C est une fonctionnalité intéressante sachant que beaucoup d attaques commencent par ce type d opération. A noter que le choix de la sensibilité modifie la méthode de détection : En mode Low, la surveillance se base uniquement sur les réponses négatives des hosts, En mode Medium, les alertes seront basées sur le nombre de connexions à un host, En mode High, c est une plus grande fenêtre temporelle qui est utilisées permettant de détecter tout type de scan.

Figure 8 : Détection des portscans Romain Wenger 16 6. Il est possible d affecter un sous-réseau complet, une liste d adresses IP ou des ports spécifiques. Ainsi, dans les différentes pages de configuration ce sont ces variables qui seront utilisées plutôt que des éléments statiques. Sauf cas précis, il est généralement préférable de définir les variables au niveau de la policy afin de conserver la flexibilité nécessaire lorsque plusieurs policies sont actives.

Figure 9 : Liste des variables d'une policy Romain Wenger 17 6. Figure 10 : Configuration des alertes pour une policy Il y a tout d abord la possibilité d informer un serveur syslog, simplement en indiquant son adresse IP.

La seconde méthode consiste à passer par SNMP. Les versions 2 et 3 du protocole sont proposées, sachant que SNMPv3 offre en plus une authentification sécurisée par mot de passe.

Enfin, il est également possible d envoyer les alertes par. Romain Wenger 18 6. L annexe B présente plusieurs affichages d évènements. Le but étant d avoir une première idée des capacités de Sourcefire pour la détection d attaques de ce type. Il existe un certain nombre d attaques répertoriées 16, plus ou moins aisées à réaliser. C est une attaque de type DoS 17 relativement facile à réaliser mais qui peut causer de sérieux soucis si elle est appliquée en situation réelle.

Cependant, un point surprenant est l impossibilité de détecter des attaques de la couche 18 2 comme un ARP Spoofing. En outre, les préprocesseurs installés n ont pas d option permettant d effectuer ce type de détection. Aucune analyse orientée connexion n est faite, ce qui est souvent nécessaire. En effet, de la même manière que pour un firewall, l IDS ne lèvera pas d alerte pour tout paquet qui peut être légitime lorsqu il est à l intérieur d une connexion TCP mais qui doit être détecté lorsqu il est unique, car dans ce cas il aura de grandes chances d être potentiellement dangereux.

Comme vu plus haut, une analyse stateful des connexions TCP peut être activée par l intermédiaire du préprocesseur Stream4. De plus, ce dernier n étant pas orienté connexion, il serait d autant plus nécessaire de pouvoir suivre un appel SIP. Le manuel de Sourcefire ne spécifiant rien concernant l ajout d une telle option Autres protocoles VoIP Bien que le projet se focalise principalement sur le protocole SIP, il faut savoir que d autres protocoles 20 sont souvent utilisés, principalement en entreprise.

Les téléphones de la série de Cisco implémentent ce protocole qui a la particularité d être bien plus léger et moins gourmand en bande passante que H.

Skinny est basé sur TCP port pour la communication avec le CallManager, lorsque l appel est établi avec le destinataire, la transmission audio utilise UDP. C est un dérivé du protocole H. Il permet dès lors un grand nombre de fonctionnalités et de configurations possibles. Pour la signalisation des appels, c est le protocole H. RAS Signaling Function, utilisé pour l enregistrement, l admission, le statut Registration, Admission and Status et les modifications de bande passante entre les clients.

Le fonctionnement n étant pas simple, il est difficile de prévoir si Sourcefire serait capable d analyser une session de ce protocole. Il est généralement basé sur UDP port dont chaque paquet est une commande ou une réponse. Il est souvent utilisé par le providers fournissant un service triple-play dont la VoIP. Le nombre de règles initialement installées est impressionnant plus de!

Néanmoins, nous avons pu voir que la VoIP n est pas un point fort et que peu de solutions existent autant au niveau des règles que des préprocesseurs. De plus, on peut s étonner du fait que les développeurs se soient d abord penchés sur les risques liés à l utilisation des téléphones VoIP de Cisco en créant des règles détectant des Romain Wenger 21 attaques sur des vulnérabilités des ces derniers plutôt que de prendre en compte des aspects plus généraux tels que la sécurité de SIP.

Nous avons pu contacter la société par 21 à ce sujet, qui a répondu clairement à notre demande : Our IDSs are layer-3 and above, so adding ARP detection would be way down the road map if it were to be implemented.

Il n est donc visiblement pas dans leurs projets d ajouter cette fonctionnalité au produit. Mis appart le problème d ARP, Sourcefire est à même de pouvoir détecter les attaques de couche 3 basées sur l envoi de mauvais paquets SIP ou autres protocoles comme RTP provenant d adresses différentes que celles définies de manière statique dans la configuration grâce aux variables.

Toutefois le problème peut devenir compliquer dans le cas où l attaquant prend directement la place d un téléphone existant.

On peut également affirmer que toutes les attaques venant d un autre réseau VLAN pourront être détectées grâce à l analyse de l IP source. Romain Wenger 22 7 Bases de corrélation 7. Les études 22 réalisées sur ce sujet ont mené vers de nouvelles architectures de détection avec des composants dédiés spécialement à la corrélation d évènement concentrateur d alerte dans le schéma ci-dessous. Celle-ci consiste à établir des liens entre des données venant de plusieurs sources sondes représentant des IDS ou autres générateurs d évènements pour en ressortir les informations essentielles.

Cette méthode permet de réduire le nombre d alertes et d améliorer la qualité et la fiabilité des alertes. Figure 12 : Architecture adaptée à la corrélation d'alertes 23 C est ce type d architecture que nous retrouverons avec ExaProtect par exemple. A noter que les sondes peuvent aussi, dans une moindre mesure, faire de la corrélation.

Mais la principale différence par rapport aux concentrateurs concerne le nombre de sources d informations.

TÉLÉCHARGER GRATUITEMENT TBC SONIA TLEV GRATUIT

Veille Technologique Sécurité

.

TÉLÉCHARGER PRESTO PAGEMANAGER 7.15 GRATUIT

Historique des recherches commencant par E - Toucharger.com

.

TÉLÉCHARGER DRIVER MODEM SAGEM XG-762N GRATUIT GRATUIT

Virus police nationale

.

TÉLÉCHARGER FILM DOUIBA GRATUIT

Détection d intrusions VoIP avec Sourcefire. et introduction à ExaProtect

.

Similaire