L’outil Nmap-Stateful

Slides:



Advertisements
Présentations similaires
Mais vous comprenez qu’il s’agit d’une « tromperie ».
Advertisements

Les concepts de bases de la simulation
Livres disponibles à la bibliothèque (RDC)
Le Protocole TCP Chapitre 6.
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Alain AINA AFNOG VI MAPUTO, Avril 2005
Borhen LOUHICHI Merci, Monsieur le président,
Quest-ce que léducation du patient ? Chap. 1 – Q1.2 – Séq. 3 : Jeu de la matrice.
Pare-feu Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du.
15 - Subnetting.
14 - Adresse IP et interfaces. Plan détude 1)Adresse IP dune interface 1)Résolution de nom vers IP statique 1)Service DNS 1)Spécification des interfaces.
- Couche 4 - Couche transport. Sommaire 1) Caractéristiques de la couche transport 2) Les protocoles TCP & UDP 3) Méthode de connexion TCP.
MultiLink Point to Point Protocol
Les Firewall DESS Réseaux 2000/2001
Présentation CLUSIR 8 janvier 2002
Firewalling et NAT sous LINUX
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
La législation formation, les aides des pouvoirs publics
1 7 Langues niveaux débutant à avancé. 2 Allemand.
Identification des personnes par l’iris
Exercice Trame Ethernet
Scanning.
Pare-feu.
La sécurité - Les attaques
Chef de projet : COUDERC Antoine Equipe : DELMON - GENIEZ - LACROIX
SECURITE DU SYSTEME D’INFORMATION (SSI)
IDS : Intrusion Detection System
Présenté par : Albéric Martel Fabien Dezempte 1.
Port Scanning (NMAP) Les différentes techniques de scans 01/03/02
LES HONEYPOTS IUP GMI 3 Janvier 2004.
Le gestion des logs Syslog
Année universitaire Réalisé par: Dr. Aymen Ayari Cours Réseaux étendus LATRI 3 1.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Netfilter/Iptables Introduction.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
Première exploration des paquets capturés
Partage connexion Internet sous XP Familial pour un réseau WIFI.
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Snort Présentation : Franck OLLIVE.
Audit de réseau. Audit réseau Responsable : Jean-François RODRIGUEZ Objectif : tester les failles d’une machine ou d’un réseau Outil : nessus Audit réseau.
Références Computer Networks Andrew S. Tanenbaum Prentice Hall Internetworking Technologies Handbook c/cisintwk/ito_doc/index.htm.
Les Access-lists sur routeurs Cisco
SECURITE DES RESEAUX WIFI
SEISMO Octobre 2008 Fabien Duflot Ingénieur Avant-Vente Tel : +33 (0) Cell : +33 (0) Web :
Interconnexion de réseaux par des routeurs sous GNU/Linux
Couche Transport (4) Routeur Messages entre A et B
Déni de Service Distribué Distributed Denial of Service
Les listes de contrôle d’accès
Un outil d’estimation du temps d’exécution au pire-cas par analyse statique de programmes IRISA - Projet Solidor Antoine COLIN.
Institut Supérieur d’Informatique
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
Création de paquets IP.
Les Réseaux Informatiques
Mise en place de translation d’adresses NAT/PAT
SNMP Simple Network Management Protocol
Ingénierie des réseaux
Référant : Osman SALEM GAOUA Lilia 15/12/2011.
Sécurité des systèmes d’information: Web Security & Honeypots
Analyse d’une architecture réseau
Sécurité Réseau Alain AINA AFNOG 2003.
Département Informatique Les Réseaux Informatiques Couche Transport Protocoles UDP & TCP Laurent JEANPIERRE.
Automate TCP Erreurs vues depuis l’automate TCP lors d’une commande spécifique.
Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.
Communications via sockets
Wireshark Capture et analyse de trames IP
Communications via sockets
Transcription de la présentation:

L’outil Nmap-Stateful Olivier Courtay Thomson R&D / IRISA 4 juin 2004

Plan Introduction Nmap-Stateful: Principe et Fonctionnement Méthodes et Résultats Prospective Conclusion 4 juin 2004

Nmap Outil réseau classique Scanner de ports avancé Détection de machines Détection des services Détection des systèmes d’exploitation (OS) Caractéristique TCP/IP Base de signatures ( > 700) 4 juin 2004

Nmap – Détection d’OS Port ouvert ISN (séquence TCP) IP ID (ouvert) TCP SYN + options TCP ACK TCP S/F/P/U TCP NULL Port fermé IP ID (fermé) TCP SYN, TCP ACK UDP (réponse ICMP) TCP Xmas (F/P/U) TCP ACK TCP S/F/P/U TCP Xmas (F/P/U) TCP NULL Paquets non-standards 4 juin 2004

Limites de Nmap En environnement filtré UDP passe rarement Pas de port fermé Contrôle des flags par les firewalls stateful Peu de tests fonctionnent dans ces conditions Tests non configurables Seulement deux états TCP utilisés 4 juin 2004

Nmap-Stateful Principe et Fonctionnement 4 juin 2004

Principe Extension du code de Nmap Teste plusieurs états TCP (Stateful) 1) La machine testée est amenée dans l’état voulu 2) Le test est ensuite lancé 3) La réponse est analysée Tests configurables par l’utilisateur 4 juin 2004

Le diagramme d’état TCP CLOSED CLOSED NMAP LISTEN LISTEN SYN_RCVD SYN_RCVD SYN_SENT SYN_SENT ESTABLISHED ESTABLISHED CLOSE_WAIT FIN_WAIT1 FIN_WAIT1 CLOSING CLOSING LAST_ACK LAST_ACK FIN_WAIT2 FIN_WAIT2 TIME_WAIT TIME_WAIT 4 juin 2004

Trace d’exécution #nmap-stateful --otf test-estab-SYN -p 22 192.168.1.1 SYN sent for test ESTAB_SYN from port 8557 to port 22 ... SYN_SENT seq:34 sp:8557 -> dp:22 ack:00 SYN_RECV flags:S ESTABLISH ack:35 dp:8557 <- sp:22 seq:78 SYN_RECV flags:SA ESTABLISH seq:35 sp:8557 -> dp:22 ack:79 ESTABLISH flags:A Launch test: ESTAB_SYN UNKONWN seq:35 sp:8557 -> dp:22 ack:79 UNKONWN flags:S UNKONWN ack:42 dp:8557 <- sp:22 seq:00 UNKONWN flags:RA Fingerprint: ESTAB_SYN(Resp=Y%DF=Y%W=0%ACK=O%Flags=AR%Ops=) 4 juin 2004

Implémentation Licence GPL Mini pile TCP/IP Firewall Linux supporté Inhibe la réaction de la machine testeur Linux supporté Utilisation de Iptables Aide à la création de tests 4 juin 2004

Méthodes et Résultats Détection d’OS 4 juin 2004

Génération des tests fptool #fingerprinttool -g template -o test NAME=template ESTABLISHED TH_SYN TH_ACK TH_FIN TH_PUSH DATA=foobar DATALEN=7 SEQ=1 END fptool #fingerprinttool -g template -o test 4 juin 2004

Sélection des tests stables r1 Nmap Stateful fptool t2 r2 t3 r3 #nmap-stateful -p 22 --otf test --orf r1 t1 #nmap-stateful -p 22 --otf test --orf r2 t2 #nmap-stateful -p 22 --otf test --orf r3 t3 #fingerprinttool -s -t test -o stable r1 r2 r3 4 juin 2004

Sélection des tests pertinents Nmap Stateful fptool r2 t2 r3 t3 #nmap-stateful -p 22 --otf stable --orf r1 t1 #nmap-stateful -p 22 --otf stable --orf r2 t2 #nmap-stateful -p 22 --otf stable --orf r3 t3 #fingerprinttool -s -t stable -o good r1 r2 r3 4 juin 2004

Validation de l’outil Test sur un Linux 2.4 #nmap-stateful --otf good --off signatures -p 80 x.x.x.x Interesting ports on x.x.x.x: PORT STATE SERVICE 80/tcp open http OS details: Linux 2.4 Test sur un Linux 2.4 #nmap-stateful --otf good --off signatures -p 80 y.y.y.y Interesting ports on y.y.y.y: PORT STATE SERVICE 80/tcp open http Aggressive OS guesses: Linux 2.6 (97%), Linux 2.4 (96%) Autre test sur un Linux 2.4 4 juin 2004

Prospective 4 juin 2004

Actions des Firewalls (1/3) Ils bloquent certains paquets Test sur un Solaris 9 protégé #nmap-stateful --otf good --off signatures -p 80 x.x.x.x Interesting ports on x.x.x.x: PORT STATE SERVICE 80/tcp open http No OS match  Échec ! 4 juin 2004

Actions des Firewalls (2/3) Méthode pour en tirer avantage Construire des tests non-sensibles aux Firewalls Découvrir l’OS de la machine protégée Construire des tests sensibles aux Firewalls Caractériser le Firewall qui protége la machine 4 juin 2004

Actions des Firewalls (3/3) ESTABLI_AP_SEQ-2(Resp=Y%DF=Y%W=832C%ACK=0%Flags=A%Ops=) ESTABLI_AP_SEQ-1(Resp=Y%DF=Y%W=832C%ACK=0%Flags=A%Ops=) ESTABLI_AP_SEQ0(Resp=Y%DF=Y%W=832C%ACK=0%Flags=A%Ops=) ESTABLI_AP_SEQ1(Resp=Y%DF=Y%W=832C%ACK=0%Flags=A%Ops=) ESTABLI_AP_SEQ2(Resp=Y%DF=Y%W=832C%ACK=0%Flags=A%Ops=) Test sur un Solaris 9 protégé par un Firewall ESTABLI_AP_SEQ-2(Resp=N) ESTABLI_AP_SEQ-1(Resp=N) ESTABLI_AP_SEQ0(Resp=Y%DF=Y%W=8325%ACK=0%Flags=A%Ops=) ESTABLI_AP_SEQ1(Resp=N) ESTABLI_AP_SEQ2(Resp=N) Test sur un Solaris 9 protégé par un autre type de Firewall 4 juin 2004

Améliorations (1/2) Mini-pile TCP/IP Portabilité Unix  Libdnet (Dug Song) Windows  PktFilter (HSC) Expressivité des tests 4 juin 2004

Améliorations (2/2) Approche combinatoire  Fournir un jeu de tests Plus systématique Sur un panel complet de configurations (OS / FW)  Fournir un jeu de tests Robuste Complet 4 juin 2004

Conclusion Les premiers résultats sont encourageants Problème de traitement de données L’aide de la communauté est utile Proposer / Tester de nouveaux jeux de tests Proposer des améliorations de l’outil 4 juin 2004

Des Questions ? http://home.gna.org/nmapstateful 4 juin 2004