Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

hexoseth · Le 24/01/2013, à 12:00

Bonjour,

Je souhaite tester la fiabilité et la sécurité de mon réseau fasse à une attaque. Mon réseau est composé d'un ordinateur de bureau sous Win... et un sous Ubuntu ainsi que d'un serveur ubuntu.
J'ai mon portable équipé d'une backtrack afin d' effectuer ces tests.
Objectifs :
- trouvé les failles du réseau (attaque DoS, vers, et autres)
- avoir les solutions pour se protégé de ces failles (site, docs, MP,...)
- mettre en place soit un nouveau serveur ou utilisé celui existant pour alerté en cas d'attaque répété (Log, alerte mail, attaque MITM,..)

J'ai testé une attaque de type MITM sur mon réseau et je suis sidéré de la simplicité de la chose avec les logiciels adéquat mais surtout surpris que l'on ne soit pas informé lorsque cela arrive.

Merci d'avance pour vos infos.

Dernière modification par hexoseth (Le 24/01/2013, à 12:36)

Brunod · Le 24/01/2013, à 12:04

Oui, mais quelle est la question / demande ?

hexoseth · Le 24/01/2013, à 12:22

oups

Oui dans backtrack il y a tellement d'applications que je m'y perd. Comment exploité par exemple nmap qui me retour sous mon pc win.... un port udp 1900 ouvert afin de vérifier si une attaque de type DoS pour le fait tombé en rade.

Ou comment faire un audit de sécurité fiable et complet?

Brunod · Le 24/01/2013, à 12:45

Et bien si ton pc win utilise UPnP, c'est apparemment normal que le port en question soit ouvert.
Si tu n'utilise pas UPnP, tu fermes le port.
Un audit complet, pour les ports par exemple, avec nmap. Mais il y a pleins de canaux qui peuvent poser problèmes; c'est d'ailleurs aussi pour ça (en partie) qu'il y a des mises à jour des soft. Donc je pense que c'est un travail qui n'est jamais abouti; il faut juste se protéger des points évidents. En attendant que des hackers en découvrent d'autres.

mangue · Le 24/01/2013, à 14:54

Tu viens de comprendre pourquoi les audits de sécurité doivent être fait pas des sociétés et des personnes expertes en sécurité.

A mon avis, dans un premier temps et avant même d'essayer d'utiliser des outils de sécurité, tu devrais déjà faire un état des applications présentes sur ton réseau, leur versions, les flux générés.

En fonction de ce topo, tu pourrais te pencher sur les bulletins de sécurité publiés, afin d'évaluer les risques potentiels. Prenons l'exemple de java, on sait qu'une faille est exploitable, mais est-ce que si j'installe java sur une machine sans donner lui donner accès à internet, quel risque représente alors cette application.

Ensuite, faire un état du pare-feu de ton entreprise, quelle sont les règles appliquées ? Quelles applications sont autorisés ? Des fournisseurs exterieurs sont-ils autorisés à se connecter sur mon LAN ? Par quel moyen ? Quelle est la politique d'authentification ?
Au niveau du Lan, y a-t-il des VLAN ? Comment fonctionne le sharing des documents ? Qui a accès à quoi ?
Une fois que la cartographie précise de ton réseau sera finalisé, tu en déduiras les risques potentiels, et en fonction des risques, quels outils tu pourras utiliser pour tester la sécurité.

De plus, je me permets d'ajouter que le maillon le plus faible d'un réseau et toujour l'être humain, tu pourras tester et vérrouiller ton réseau, si un mec décide d'ouvrir un mail contenant un calendrier de gonzesses à poil qui contient un payload, ton réseau sera compromis.

Le scan de port (que tu as donc effectué avec nmap) est utile pour tes règles firewall par exemple, mais la version du protocole qui utilise ce port est tout aussi important, c'est grâce à cela que tu trouveras les eventuels exploits, que tu pourras associer a metasploit par exemple pour tester une compromission. Utiliser les outils de sécurité demande du temps, beaucoup de temps d'apprentissage.

Il n'y aura jamais de solutions qui empêcheront définitivement une personne de compromettre ton réseau (la seule c'est de se déconnecter du net).Du coté des logs mettre un syslog en place est déjà un début. Ensuite tout dépend de l'entreprise, DMZ, VPN par exemple sont des pistes.

D'autres personnes plus compétentes que moi confirmeront ou non mes propos, mais personnellement c'est comme ça que je verrais les choses.

hexoseth · Le 24/01/2013, à 19:41

Merci pour tes indications.
Oui mon réseau est également équipé d'un vlan. Je pense que même si les clés wep et wpa sont crackable vu la clé que j'utilise le pirate qui voudrai cracké cette clé mettra un certain temps et du coup abandonnera. Mais je testerai personnellement afin de confirmer mes dire.

Enfin de compte l'erreur humaine est la principale cause qui permettrai de compromettre un réseau vu les différents dispositif de sécurité(firewall, noping...) .
Sur un réseau lan avec un iptables refusant toutes connexions entrantes et en considérant que l'utilisateur est sûre, un pirates ne pourra rien faire pour infiltré un réseau.

Brunod · Le 24/01/2013, à 19:49

Si tu veux augmenter ta sécurité, pas de wep, et mieux encore, pas de wifi

Pseudo supprimé · Le 25/01/2013, à 23:20

Je souhaite tester la fiabilité et la sécurité de mon réseau fasse à une attaque ...ainsi que d'un serveur ubuntu.

nikto, w3af, dsniff, aircrack, ... et j'en oublie.

Henry de Monfreid · Le 31/01/2013, à 12:50

Salut.

http://forum.ubuntu-fr.org/viewtopic.ph … 1#p6785321

Dernière modification par S.O.D. (Le 31/01/2013, à 13:51)

Brunod · Le 31/01/2013, à 13:28

S.O.D. a écrit :

Salut.
http://forum.ubuntu-fr.org/viewtopic.php?id=6785321

Info
Erreur. Le lien que vous avez suivi est incorrect ou périmé.

Retour

Henry de Monfreid · Le 31/01/2013, à 13:54

Fixé.

J'ai confondu les balises post et topic.

tooguy66 · Le 08/02/2013, à 00:54

Le défaut de sécurisation de son accès internet ne va t-il pas obliger les simples internautes à effectuer des audits de sécurités, comme des professionnels de la sécurité informatique?

Brunod · Le 08/02/2013, à 18:32

Suffit de couper le wifi...

tooguy66 · Le 08/02/2013, à 23:36

J'suis pas expert en la matière, mais il me semble que les intrusions ne sont pas limité qu'au wifi....

Brunod · Le 09/02/2013, à 11:15

Je faisais référence à l'article que tu cites plus haut, j'ai lu rapidement, mais il me semblait qu'il ne faisait référence qu'au wifi. Comment responsabiliser un utilisateur des fuites que son système peut occasionner sinon ?
Tu imagines un instant le poids qui pèserait sur un utilisateur windows lambda si c'est appliqué !

pires57 · Le 09/02/2013, à 12:55

Tu peut déjà modifier ton masque de sous réseau. tu n'as pas besoin d'une adresse ip en 192.168.X.X/24 qui vas te permettre d'avoir 254 adresse dispo sur ton réseau.

tooguy66 · Le 09/02/2013, à 14:50

Non, l'article n'aborde pas le wifi. En fait je suis pas un expert en la matière mais il me semble que déjà certains routeurs posent problème, des backdoors ou les accès "autorisés" qu'utilisent les FAI pour leurs opérations de maintenance. Quand à commencer à modifier des masques de sous réseau (ne serait-ce que pour moi) demande justement des compétences.
Finalement, j'en reviens a ce que j'ai écrit plus haut le défaut de sécurisation ne va t-il pas obligé les internautes a devenir des pros de la sécurité informatique, compte tenu que tout le monde n'a pas les moyens de balancer 150 euros par les fenêtres

Brunod · Le 09/02/2013, à 15:26

Bon j'ai relu. En bref, si mon pc est éteint dans une armoire, je dois m'assurer que ma femme ne s'en sert pas pour télécharger qq chose d'illégal. Mais tu mentionne des failles au niveau router/modem/fai.
Donc je peux libérer ma femme de l'armoire (pas celle où se trouve le pc) et m'occuper du router. Celui-ci donne accès à internet en entrée et sortie. En sortie, on s'en fout. En entrée, il faut soit que le port soit ouvert ET que cela donne sur un service quelconque en amont dont j'ai l'utilité et qui est détourné de son but premier (virus, cheval de troie... hors de question avec linux) , soit que la connexion ait été reroutée par un intru. Je pense qu'au niveau du router cela peut se faire en local, mais pas être redirigé vers le net. Donc mon intru ne peut-être que chez moi et je refous ma femme au placard. Comme le placement de cables rj45 par un intru dans mon salon se verrait, j'en reviens au wifi. Donc je protège mon accès wifi, je libère ma femme du placard, et je lui confisque finalement son smartphone pour ne pas qu'elle puisse télécharger qq chose d'illégal sans que je le sache ou à l'insu de son plein gré...
En récapitulant, je me méfie des virus et autres sur windows (ou je supprime windows); je ferme les ports inutiles sur mon router qui pourraient trouver un service correspondant (sur windows et sur linux, mais sur ce dernier, les ports sont ouverts quand les services sont requis) ET dont le service serait défaillant parce que détourné de sa fonction première (windows + virus etc.), je m'assure que je n'ai pas d'inconnu qui branche des cables sur mon router et surtout je protège mon wifi.
Enfin j'éduque ma femme et mon fils pour ne pas qu'ils téléchargent quoi que ce soit d'illégal sans utiliser de cryptage et de proxy. Mais si il ne le font pas, l'essentiel c'est de protéger mon wifi pour ne pas que mon voisin fasse des trucs illégaux avec ma connexion.
Voila ce que j'en ai compris.

tooguy66 · Le 09/02/2013, à 16:09

Perso ce que j'en ai compris, c'est que ce défaut de sécurisation est la même que nul n'est censé ignorer la loi. Je trouve que c'est particulièrement vicieux, voire antidémocratique. Encore que là on est juste dans
des histoires de téléchargements, mais pour des faits plus graves, ce "défaut de sécurisation" sera t-il le leitmotiv de la machine judiciaire?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/01/2013, à 12:00

Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#2 Le 24/01/2013, à 12:04

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#3 Le 24/01/2013, à 12:22

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#4 Le 24/01/2013, à 12:45

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#5 Le 24/01/2013, à 14:54

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#6 Le 24/01/2013, à 19:41

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#7 Le 24/01/2013, à 19:49

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#8 Le 25/01/2013, à 23:20

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#9 Le 31/01/2013, à 12:50

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#10 Le 31/01/2013, à 13:28

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#11 Le 31/01/2013, à 13:54

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#12 Le 08/02/2013, à 00:54

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#13 Le 08/02/2013, à 18:32

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#14 Le 08/02/2013, à 23:36

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#15 Le 09/02/2013, à 11:15

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#16 Le 09/02/2013, à 12:55

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#17 Le 09/02/2013, à 14:50

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#18 Le 09/02/2013, à 15:26

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

#19 Le 09/02/2013, à 16:09

Re : Audit sécurité, méthode d'alerte attaque DoS et attaque réseau(MITM..)

Pied de page des forums