Optimisation de la sécurité de la performance et virtualisation d'un serveur linux.

1.4.3.2 Logiciels d'audit de sécurité

Pour pouvoir valider la sécurité du système, il faut essayer de trouver, découvrir et détecter des failles dans le système. Donc il faut se comporter et jouer le rôle d'un pirate en utilisant ces outils.

Les logiciels d'audit sont classés selon plusieurs catégories :

1.Les analyseurs du trame network protocol analyser ou sniffer est un dispositif permettant de récupérer et analyser les paquets réseaux, ces outils sont indétectables et servent à aider les responsables de sécurité à diagnostiquer les problèmes sur leur réseau et peuvent être utilisé par des malveillants pour collecter des informations.

Wireshark, tcpdump,ettercap,dsniff sont des sniffers ultra rapide et puissants qui supporte la plupart des protocoles.

Wireshark est un outil open source célèbre dans le monde du réseau informatique, précédemment connu sous le nom Ethereal, est l'un des meilleurs renifleurs de paquets jamais. Il est non seulement utilisé par les pirates et les testeurs de pénétration, mais aussi par les administrateurs réseaux pour régler les problèmes au sein d'un réseau. Depuis Wireshark est un outil vaste, il est impossible pour moi de couvrir tous les aspects de cet outil dans ce partie; cependant, je vais vous donnez un aperçu rapide. Nous allons utiliser cet outil pour capturer les mots de passe en texte envoyés à travers le fil. Commençons donc :

1.4. Audit de sécurité 15

1 -Pour lancer Wireshark on exécute la commande " Wireshark " du terminal. Une fois lancé, on clique sur le bouton "Capture " en haut, puis on clique sur le bouton "Analyser"

2 - Ensuite, on sélectionne l'interface qu'on souhaite le renifler,dans ce cas, c'est eth0 et on clique sur "Démarrer" .

FIGURE 1.9 - Interface wireshark

3 - l'outil de sniffing commence à capturer tous les paquets qui circulent à travers le réseau. Sur la machine cible. Je vais connecter à un site Web qui prend en charge l'authentification http et arrêtera la capture sur ma machine attaquant une fois que je suis connecté.

4 - Puisque nous avons beaucoup de paquets, nous devons les filtrer à l'aide de Wireshark pour prendre en compte uniquement les requêtes HTTP POST. Ainsi, à l'intérieur de la colonne du filtre, on va taper" http.request.method == POST. "

FIGURE 1.10 - Filtre wireshark

La première requête est une demande "POST" réalisée à la destination 75.98.17.25 de notre victime, qui a une source IP 192.168.75.142

5 - Puis, on fait un clic droit sur le paquet, en cliquant "Follow stream tcp ", il va nous montrer la demande généré à partir du navigateur de la victime de message original. La sortie devrait ressembler à ce qui suit :

FIGURE 1.11 - Résultat sniffing avec wireshark

16 Chapitre 1. Étude préliminaire

Pour conclure, la requête POST contient le nom d'utilisateur "admin" et le mot de passe "pass . " . Pour filtrer les différents types de trafic, il existe différents types de filtres à Wireshark à utiliser. Pour plus d'informations, je vous suggère le site officiel de wireshark wireshark.org .

Tcpdump au contraire que wireshark, tcpdump travaille en mode texte, il partage la même

bibliothèque "libpcap" avec wireshark et toute capture par tcpdump peut etre lisible par l'outil

graphique wireshrk a cause qu'ils ont la même syntaxe d'écriture des filtres.

L'expression générale du syntaxe de tcpdump est tcpdump [option] [expression]

On présente ici quelques options :

-- -a : convertir les adresses en nom

-- -i :specifier l'interface (eth0,eth1...)

-- -n :ne converti pas les adresses en nom

-- -x : affiche chaque paquet en hexadécimal

-- -w fichier :stocke les captures dans un fichier

-- -q :afficher le minimum d'information

les expression :

-- host,net,port : spécifie le type d'objet qu'on analyse .

-- src ,dst :indique la direction des paquets

-- ip,icmp ... :le protocol utilisé

FIGURE 1.12 - Syntaxe tcpdump

1.4. Audit de sécurité 17

FIGURE 1.13 - Exemple de capture des paquets avec tcpdump

Alors, quelle est l'idée derrière la recherche de paquets. Eh bien une bonne chose peut être à renifler des mots de passe. Voici un exemple rapide pour renifler les mots de passe en utilisant grep

tcpdump port http, or port FTP, or port SMTP, or port imap or port pop3 -l -A

egrep -i 'pass= pwd= log= login= user= username= pw= passw= passwd= password= pass: user: name : password : login : pass user'

2.Les balayeurs de ports des outils qui servent à scanner les ports pour détecter ceux ouverts et savoir les applications et services actives sur un système distant.

Telnet, nc, hping2, nmap sont les outils de balayage le plus connu.Nmap se considère comme l'outil phare dans ce domaine.

Nmap ( "Network Mapper" ) est une utilitaire open source pour la découverte du réseau et de l'audit de sécurité. Il a été nommé " Produit de sécurité de l'année » par Linux Journal, WorldInfo , LinuxQuestions.Org et codetalker Digest.[6]

Nmap utilise des paquets IP bruts afin de déterminer quels sont les hôtes disponibles sur le réseau, quels services (nom de l'application et la version ) ces hôtes offrent, quels systèmes d'exploitation (et les versions du système d'exploitation ), ils sont en cours d'exécution, quel type de filtres de paquets / pare-feu sont en cours d'utilisation, et des dizaines d' autres caractéristiques. Il a été conçu pour analyser rapidement les grands réseaux.

La syntaxe générale de nmap est de la forme nmap [type d'analyse] [option] hote réseau Les différentes types d'analyse :

-- -sT : balayer les ports en utilisant la connexion TCP.

-- -sP :determiner les hotes actifs dans un réseaux

-- -sS :balayer les ports en utilisant les paquets SYN.

Les options :

-- -O : essayer de déterminer le système d'exploitation du système cible

18 Chapitre 1. Étude préliminaire

-- -A :déterminer les applications et leurs versions.

-- -r :balayer les ports en séquence de 1 à 1024.

On peut également analyser le réseau varie avec nmap sur le réseau donné. Voici la commande pour balayer une gamme d'hôtes de nmap : -sP nmap 192.168.15.1/24 . Il va scanner tous les hôtes de la gamme 192.168.15.1 à 192.168.15.255 et retourner ceux qui sont en place.

Comme on peut le voir sur la capture d'écran, trois hôtes vivants ont été trouvés après avoir scanné le réseau.

Une fois la découverte d'hôte vivant a été effectué avec succès, nous essayons de trouver des ports ouverts et les services qui leur sont associés. Les ports ouverts révèlent les services qui sont en cours d'exécution sur l'hôte. L'analyse des ports est effectuée afin de rechercher des points d'entrée potentiels.

FIGURE 1.14 - Découverte des ports ouverts avec nmap

3.Les logiciels de craquage le craquage des services se fait en fonction des protocoles ciblés,Il existe plusieurs moyens qui pourraient être utiles ,le plus connus sont orienté pour les OS Linux comme Backtrack ,Kali Linux ... Jetons un coup d' oeil sur eux.

THC Hydra: est l'un des plus anciens de craquage de mot de passe des outils développés par " La Communauté Hackers. " De loin, Hydra a une couverture de protocole le plus que tout autre mot de passe outil de craquage, et il est disponible pour presque tous les systèmes d'exploitation modernes.[5]

Syntaxe de base pour Hydra:

1.4. Audit de sécurité 19

FIGURE 1.15 - Syntaxe de base pour Hydra

FIGURE 1.16 - Attaque par dictionnaire avec l'outil Hydra

Un simple dictionnaire de mots téléchargés depuis internet et une liste des noms d'utilisateurs est suffisante pour lancer une attaque avec hydra et deviner le nom d'utilisateur et le mot de passe et de prendre contrôle au serveur si la service attaquée est ssh à l'aide d'un seul commande" hydra -L user.list -P password.list <@ip cible > "

FIGURE 1.17 - Attaque force brute sur ssh avec hydra

20 Chapitre 1. Étude préliminaire

Medusa comme Hydra, Medusa est un logiciel de force brute rapide, stable et surtout fait tourné ses traitements en parallèle car il utilise " Pthread , " ce qui signifie qu'il ne sera pas nécessairement dupliqué l'information. Il est aussi modulaire, car chaque fonctionnalité est conçu comme un module et il couvre tout les modules ainsi que FTP HTTP IMAP MS-SQL MySQL POP3 PostgreSQL SNMP SMTP SSHv2 VNC. Syntaxe de base pour Medusa:

FIGURE 1.18 - Syntaxe de base pour Medusa

4. Les logiciels de dos attaque et dos distribué DDOS les cyber-attaques de type «déni de service» (DoS) et «Déni de service distribué» (DDoS) sont devenue populaires et les applications qui lancent ce type d'attaque sont devenu à la porter de tous les internautes, même les débutants peuvent lancer une attaque dos et mettre le serveur hors disponibilité.

HOIC et LOIC High Orbit Ion Cannon et low orbit Ion cannon deux logiciels de la même famille,outils de dos attaque performants, disposant d'une interface facile à utiliser, multiplate-forme. Ils offrent la possibilité de sélectionner le nombre de threads dans une attaque en cours et la Capacité à étrangler les attaques individuellement avec trois réglages : LOW, MEDIUM et HIGH. Il peut attaquer un grand nombre de cibles simultanément jusqu'à atteindre 256 cibles.

1.4. Audit de sécurité 21

FIGURE 1.19 - Interface graphique hoic et loic

Les attaques gérées par ces deux outils se basent sur le lancement de requêtes ping en arriéré plan vers la cible, cela dépend de la performance de la machine qui effectue cette attaque.

5.Les simulateurs d'intrusions Attack simulator ou Network vulnerability scanner, outil complet d'attaque ou d'audit de sécurité, il est, de même, composé d'un ensemble d'outils comme les balayeurs de ports. Nessus, openvas, sara, Saint et ISS sont des logiciels est le simulateur de simulateur d'intrusion. Nessus est le simulateur le plus connu, il fonctionne en client-serveur à travers une liaison SSL, le client pilote le serveur, il lui indique les applications et les postes défectueuses et les exploits à utiliser. À la fin du scan, Nessus génère un rapport sous différents formats. Ce rapport permet d'établir la liste des machines scannées, leurs services et leurs vulnérabilités.

FIGURE 1.20 - Rapport de scan de simulateurs d'intrusions Nessus

Il n'existe pas de « remède miracle » pour se protéger et se défendre contre les différentes failles et attaques. Plusieurs solutions techniques doivent être combinées pour réduire à la fois le risque de faille et pour atténuer l'impact en cas de d'attaque.

22 Chapitre 1. Étude préliminaire