Espionnage dans les reseaux TCP / IP : sniffers et anti
Transcription
Espionnage dans les reseaux TCP / IP : sniffers et anti
AVANT-PROPOS Avec le développement de l’informatique, la vie des entreprises modernes est devenue largement tributaire des échanges et interactions entre leurs diverses composantes. La plupart d’entre elles intègrent désormais des réseaux locaux. Ces échanges d’information ne vont pas sans poser des problèmes de sécurité. Par ailleurs, ces réseaux ont connu une évolution considérable, et on est passé des réseaux locaux partagés où un hub diffuse les paquets vers toutes les machines du réseau, aux réseaux locaux commutés où un switch filtre les communications aux seules machines qui communiquent. Cependant, les pirates sont à l’affût de toute innovation et ils s’ingénient à la tourner en leur faveur. Nous assistons de jour en jour à la montée de redoutables menaces mettant en péril la sécurité des systèmes et des réseaux informatiques. Pour certaines entreprises, ces attaques peuvent causer la perte ou la détérioration irrémédiables de données précieuses et vitales. Il s’avère donc nécessaire de prendre les devants pour détecter les tentatives d’attaque. L’une des tâches d’un administrateur réseau est donc de maîtriser la sécurité de son réseau. Certes, la plupart des entreprises délaissent leurs anciens hubs pour les nouveaux switches. Et un ouvrage qui parle des hubs pourrait être taxé d’anachronisme. Loin s’en faut. Nous en parlons sciemment et nous en voulons pour seule preuve que, quand certains switches sont saturés par une attaque, ils cessent de filtrer les paquets pour se transformer en de simples hubs. La plupart des attaques exploitent les failles présentes dans les protocoles de communication entre les machines des réseaux, les systèmes d’exploitation, les applications et les services réseaux. Pour faire face à ces problèmes, des outils de défenses ont été mis en place, tels les firewalls, les scanners de vulnérabilités, les systèmes de détection d’intrusion (IDS), les antivirus et les sniffers. 12 L’espionnage dans les réseaux TCP/IP Les firewalls permettent de filtrer le trafic entrant et sortant d’un réseau, et donc de prévenir les attaques et d’en limiter l’impact. Ces outils sont exclusivement réservés à la défense du réseau interne contre le milieu externe mais ne sont d’aucun secours contre les attaques internes provenant des membres d’un même réseau local, à moins qu’un firewall ne soit installé dans chaque machine. Les scanners servent, à partir de bases de données de vulnérabilités, à identifier les faiblesses d’un réseau et proposent le plus souvent des solutions intéressantes. Quant aux antivirus, ils protègent les réseaux et les systèmes des virus. Les IDS, eux, sont des systèmes chargés de détecter toute activité suspecte et d’alerter immédiatement l’administrateur du réseau. Dans le présent ouvrage, notre objectif principal est de sensibiliser les administrateurs aux dangers que représentent les sniffers pour la sécurité de leurs systèmes et de leurs réseaux. Seront ainsi détaillées, plusieurs attaques par des sniffers. Il sera également montré comment, dans un réseau partagé ou commuté, un agresseur, même sans connaissances approfondies, parvient facilement à espionner les autres utilisateurs en utilisant les techniques du sniffing. Nous présentons enfin les différents outils (anti-sniffers) disponibles pour détecter les activités malveillantes d’écoute et d’espionnage administratif. Le sniffer est une arme à double tranchant. En effet, c’est un outil de gestion des réseaux. Il sert, en outre, à détecter des activités suspectes et à contrôler les accès, ce qui permet à un administrateur, en capturant et en analysant les paquets qui circulent dans un réseau, d’avoir une vision globale sur tout le trafic. Cependant, un utilisateur malveillant pourrait utiliser les sniffers pour des activités d’espionnage. Il peut écouter les communications qui transitent sur le réseau, intercepter les paquets dans le but de s’approprier des informations très sensibles telles que les logins, les mots de passe, les e-mails ou encore des documents confidentiels. Cet ouvrage fournira : – une présentation des réseaux locaux Ethernet, des protocoles TCP/IP et des services réseau. Ceci constituera, en quelque sorte, un prérequis pour pouvoir comprendre les chapitres suivants (chapitre 1) ; – une description détaillée de quelques scénarios de piratage et d’espionnage dans les réseaux et les systèmes (chapitre 2) ; – une présentation des sniffers dédiés aux réseaux partagés (chapitre 3) ; – des exemples réels montrant comment un utilisateur malveillant, muni d’un sniffer, peut espionner ses collègues sur un réseau et obtenir des informations confidentielles (chapitre 4) ; Avant-propos 13 – les différentes techniques et outils de détection des sniffers dans les réseaux partagés (chapitre 5) ; – une présentation des sniffers dédiés aux réseaux commutés (chapitre 6) ; – les différentes techniques et outils de détection des sniffers dans les réseaux commutés (chapitre 7). En annexe, un document donnera en Visual C++ les codes source nécessaires à la programmation d’un sniffer aussi bien pour un réseau partagé que pour un réseau commuté. A la fin de l’ouvrage, une bibliographie et des adresses de sites web fourniront les références à ceux qui voudraient en savoir plus. Le livre s’adresse principalement aux : – directeurs et responsables de la sécurité informatiques des entreprises ; – administrateurs et ingénieurs de sécurité réseaux ; – consultants en matière de sécurité des systèmes d’information et des réseaux ; – étudiants des écoles d’ingénieurs. Nous voudrions enfin remercier tous ceux qui nous ont aidé à réaliser ce travail, notamment Aymen Soualah et Bessem Ardhaoui, de l’Ecole nationale des sciences de l’informatique (ENSI), qui m’ont assisté dans l’implémentation et les tests de l’anti-sniffer Advanced AntiSniffer. Zouheir TRABELSI