Sniffer (analyseur de trames - renifleur)
Sniffer (analyseur de trames - renifleur)
|
||||
| |
Sniffer (analyseur de trames - renifleur)
Outils utilisés en maintenance et sécurité permettant d'écouter le traffic sur un réseau (de lire le contenu des paquets d'informations circulant - entendez, par là, de capturer l'information contenu dans les paquets). Leur propension à révéler ces contenus est exploitée par les maffieux du Net pour, par exemple, lire des mots de passe et login d'une machine cherchant à se connecter à un réseau et donc récupérer des données d'identification et d'authentification (exploitables facilement si elles sont faiblement cryptées ou pas cryptées du tout).
Comment est-ce possible ?
Les informations envoyées par une machine sur un réseau (hors les réseaux commutés) sont transmises sous forme de paquets précédés de l'identification de la machine destinataire (pour simplifier, par exemple sa MAC address). Les paquets sont vus par toutes les machines connectées mais sont, normalement, interceptés uniquement par la machine destinataire et ignorés par les autres.
Si une machine est dotée d'un sniffer (utilisation d'un mode réseau appelé "promiscuous"), elle peut prendre une copie de tous les paquets (toutes les trames) circulants par son adaptateur réseau (carte Ethernet, carte réseau sans fil (par exemple carte réseau 802.11b...).
Or, il se trouve que la plupart des protocoles de transmission (pop ou imap pour votre client de messagerie tel OutLook..., http pour votre client Internet tel Internet Explorer...) transmettent les information en clair (non cryptées). Le protocole https, lui, est sécurisé et transmet en crypté.
Cas d'usage :
Le mode "promiscuous" est utilisé par les administrateurs réseau pour analyser un problème sur leur réseau ou détecter des trames inhabituelles (recherches d'attaques par utilisation d'IDS - Intrusion Detection Systems).
Une crapule du Net peut implanter un sniffer sur une machine et relever les journaux (logs) de ce sniffer, peut importe que cette crapule ait un accès physique au réseau (employé, société de maintenance, visiteur...) ou non (utilisation d'un cheval de troie ou d'un virus...). Cette menace grandie avec les réseaux sans fil dont il est difficile de confiner la transmission par onde radio à une pièce ou un bâtiment ou un périmètre contrôlé. Ceci est du pain béni pour les crapules du Net et leurs premières cibles sont les mots de passe.
Contre-mesures :
Outils utilisés en maintenance et sécurité permettant d'écouter le traffic sur un réseau (de lire le contenu des paquets d'informations circulant - entendez, par là, de capturer l'information contenu dans les paquets). Leur propension à révéler ces contenus est exploitée par les maffieux du Net pour, par exemple, lire des mots de passe et login d'une machine cherchant à se connecter à un réseau et donc récupérer des données d'identification et d'authentification (exploitables facilement si elles sont faiblement cryptées ou pas cryptées du tout).
Comment est-ce possible ?
Les informations envoyées par une machine sur un réseau (hors les réseaux commutés) sont transmises sous forme de paquets précédés de l'identification de la machine destinataire (pour simplifier, par exemple sa MAC address). Les paquets sont vus par toutes les machines connectées mais sont, normalement, interceptés uniquement par la machine destinataire et ignorés par les autres.
Si une machine est dotée d'un sniffer (utilisation d'un mode réseau appelé "promiscuous"), elle peut prendre une copie de tous les paquets (toutes les trames) circulants par son adaptateur réseau (carte Ethernet, carte réseau sans fil (par exemple carte réseau 802.11b...).
Or, il se trouve que la plupart des protocoles de transmission (pop ou imap pour votre client de messagerie tel OutLook..., http pour votre client Internet tel Internet Explorer...) transmettent les information en clair (non cryptées). Le protocole https, lui, est sécurisé et transmet en crypté.
Cas d'usage :
Le mode "promiscuous" est utilisé par les administrateurs réseau pour analyser un problème sur leur réseau ou détecter des trames inhabituelles (recherches d'attaques par utilisation d'IDS - Intrusion Detection Systems).
Une crapule du Net peut implanter un sniffer sur une machine et relever les journaux (logs) de ce sniffer, peut importe que cette crapule ait un accès physique au réseau (employé, société de maintenance, visiteur...) ou non (utilisation d'un cheval de troie ou d'un virus...). Cette menace grandie avec les réseaux sans fil dont il est difficile de confiner la transmission par onde radio à une pièce ou un bâtiment ou un périmètre contrôlé. Ceci est du pain béni pour les crapules du Net et leurs premières cibles sont les mots de passe.
Contre-mesures :
- Certains outils anti-trojans réseaux (PestPatrol) permettent de détecter, soit par base de signatures, soit par recherche de processus ou de matériel utilisant le mode promiscuous, les sniffers. Les problèmes multiples habituels sont à considérer :
- Eradication du parasite
- Recherche, en amont, de la faille qui a permi son implantation (y compris enquête sur les personnes ayant un accès physique à la machine contaminée)
- Changement de tous les mots de passe
- Recherche des compromissions de données probables
- Eradication du parasite
- Utiliser un protocole sécurisé (https) - celui-ci a l'avantage de ne pas trop impacter sur le réseau et les machines en terme de calcul.
- Crypter les données sensibles avec des outils comme PGP avant de les faire circuler.
- Concevoir une architecture réseau à base de commutateus (switchs) au lieu de concentrateurs (hubs) afin que la diffusion d'informations soit restreinte et se fasse vers des grappes de machines ou des machines cibles et non ouverte à toutes les machines du réseau.
- Réduire la portée des matériels sans fils afin de réduire la zone de couverture géographique à un périmètre utile et limiter (sans complètement l'empêcher) le War Driving.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music