Attaques/Enumeration-Scanning
Jump to navigation
Jump to search
Phase 2 : Enumération et Scanning
Description
- Identification des hôtes, des services installés
- Identification des RPC (Remote Procedure Calls) à l'aide de Nmap afin de cibler la faille à exploiter (téléchargement de l'exploit approprié).
- Cartographie de l'architecture réseau
Etapes
- Découverte et cartographie de réseaux
- Scan des ports
- Prise d'empreinte, scans de version et d'OS
- Détection de vulnérabilités
Conclusions et remarques
- Si des outils comme Nmap permettent d'identifier les ports ouverts sur un hôte distant, ne tirez pas de conclusions hâtives quant aux éventuels services installés car ceux affichés en face des ports correspondent aux valeurs par défaut (fichier /etc/services). Ainsi, il est relativement courant d'utiliser le port 443/tcp pour un autre service que celui attendu par défaut (HTTPS). Inversement, ce n'est pas parce que le port 21/tcp est fermé sur l'hôte scanné que le service n'est pas installé. En effet, celui-ci peut être proposé sur le port 2121/tcp ou encore un autre port. Nmap propose un scan de version (paramètre -sV) permettant une identification du service (ainsi que sa version) installé sur les ports ouverts.
- Si vos logs font apparaître des traces de scan, n'en concluez pas hâtivement que les adresses IP sont celles à bannir. En effet, il est probable que l'attaquant ait utilisé un hôte zombie (Iddlescan, FTP Bounce, etc.) pour réaliser ses scans.
- Afin de renforcer la sécurité de votre réseau, fermez tous les ports inutilisés, désinstallez les services dont vous ne vous servez pas. Il existe de nombreux outils permettant de surveiller les services utilisant des sockets réseau, parmi lesquels :
- OpenPorts produit par DiamondCS
- Fport par Foundstone
- Active Ports (http://www.protect-me.com/freeware.html)
- TCPView (http://www.sysinternals.com)
- la commande Netstat permet de surveiller les ports en activité
- la commande lsof permet de lister les services utilisant des ports
- Mettez en place des firewalls à conservation d'état (stateful firewall) ou des reverse-proxies (qui agiront au niveau de la couche application)
- Testez la sécurité de votre réseau en vous mettant à la place d'un attaquant potentiel
Par analogie, nous pouvons comparer les activités d'un attaquant à celles d'un cambrioleur.
| Attaquant | Cambrioleur | |
|---|---|---|
| Etape 1 | Détection des hôtes, cartographie du réseau | Repérage des maisons d'un quartier |
| Etape 2 | Scan de ports | Détermination de l'emplacement des portes et des fenêtres |
| Etape 3 | Scan de version, | Récolte d'informations sur les marques de portes et des fenêtres afin d'en exploiter les failles |
| Etape 4 | Exploitation des failles de vulnérabilités, pénétration de la cible | Cambriolage |
| Contrainte | Protection par des Systèmes de Détection (IDS) ou de Prévention (IPS) des Intrusions | Conservation de la discrétion (furtivité) afin de ne pas déclencher les alarmes |