November 22, 2024

PDFS

C'est en forgeant qu'on devient forgeron

Techniques de reconnaissance de réseau pour les débutants

8 min read
3 years ago admin

La plupart des programmes de cybersécurité couvrent une myriade de sujets académiques, tels que les technologies émergentes et les architectures de niche. Mais lorsqu’il s’agit de connaissances infosec du monde réel, les programmes peuvent être insuffisants. C’est selon Sam Grubb, consultant chez Edafio Technology Partners et ancien instructeur de cybersécurité pour la Garde nationale et les lycéens. Pour équiper les futurs praticiens de la cybersécurité pour une Carrière SOC, a déclaré Grubb, ils doivent également connaître les sujets « ennuyeux ».

Dans son prochain livre, Comment fonctionne vraiment la cybersécurité : un guide pratique pour les débutants, publié par No Starch Press, Grubb présente les bases de sécurité offensive et défensive. Les deux premiers chapitres couvrent ce qu’est la cybersécurité – et n’est pas – et la méthodologie de l’attaquant, en commençant par les techniques de reconnaissance jusqu’à la phase de commandement et de contrôle. Chaque chapitre suivant détaille une tactique d’attaque courante, telle que les escroqueries par hameçonnage, les infections de logiciels malveillants et les écoutes de réseau, et se termine par un exercice pratique permettant aux débutants de tester ce qu’ils ont appris.

Comment fonctionne réellement la cybersécurité vise à aider les débutants à comprendre comment prévenir et atténuer les attaques en expliquant comment elles fonctionnent à travers l’état d’esprit de l’attaquant. Par exemple, les mêmes techniques de reconnaissance de réseau utilisées par les mauvais acteurs pour exploiter les vulnérabilités peuvent être utilisées par les praticiens de la sécurité pour trouver et atténuer de manière proactive les failles.

L’extrait suivant du chapitre 6, “Network Tapping”, explore comment les pirates utilisent les techniques de reconnaissance de réseau, y compris analyses de ports et reniflement de paquets, pour mener des attaques courantes.

Attaquer votre réseau

Les chapeaux noirs utilisent diverses techniques pour attaquer votre réseau, en fonction de leurs objectifs. Les attaques réseau se concentrent souvent sur l’accès au réseau pour voir le trafic ou voler des données. Cela signifie qu’ils doivent se connecter au réseau entre les paquets envoyés par votre système et la destination de ces paquets afin qu’ils puissent voir les données envoyées. Les adversaires attaquent aussi souvent directement le réseau. Ces attaques consistent généralement à essayer de trouver des moyens d’arrêter l’utilisation du réseau afin que la victime ne puisse pas utiliser son réseau comme elle le ferait normalement.

Quoi qu’il en soit, l’objectif principal du chapeau noir est de comprendre le réseau en premier lieu. Les adversaires utilisent de nombreuses techniques de reconnaissance pour se renseigner sur leurs victimes avant de commencer leurs attaques. Une méthode courante qu’ils utilisent est de faire un analyse des ports, qui consiste à envoyer des requêtes à tous les ports possibles sur une adresse IP, puis à observer comment le périphérique à cette adresse répond. Sur la base de ces réponses, l’attaquant peut déterminer de nombreuses informations sur le système. Par exemple, si une adresse IP répond lorsque le chapeau noir analyse les ports 80 et 443, l’attaquant sait que ces ports sont ouverts et que le serveur exécute probablement des services Web de quelque sorte. Un adversaire peut utiliser ces informations pour attaquer directement le serveur ou pour tromper d’autres systèmes en leur faisant croire qu’ils sont un système ami. Les analyses de ports fournissent aux attaquants des informations précieuses, ce qui leur permet de créer plus facilement différentes attaques de réseau.

Couverture du livre How Cybersecurity Really WorksCliquez ici pour en savoir plus

à propos de
Comment la cybersécurité

Fonctionne vraiment par Sam Grubb.

Comment les Black Hats voient votre trafic

Les paquets fournissent aux attaquants toutes sortes de détails, y compris les appareils qu’ils traversent, l’emplacement d’un appareil et les protocoles qu’un appareil utilise, sans parler des données contenues dans le paquet. Lorsqu’un adversaire (ou n’importe qui d’ailleurs) intercepte le trafic lorsqu’il se déplace sur le réseau, cela s’appelle reniflement. Comme un chien de chasse sur un sentier, les adversaires ramassent des morceaux du trafic qui circule sur le réseau et en reconstituent ce dont ils ont besoin.

Sur les réseaux câblés, le reniflage peut être difficile à réaliser pour les attaquants, car les réseaux sont conçus pour envoyer le trafic au destinataire prévu uniquement. Cela signifie que l’attaquant doit trouver un moyen de contourner cette conception pour que le trafic lui parvienne. Vous verrez comment ils le font sur les réseaux sans fil au chapitre 8. Sur les réseaux câblés, les chapeaux noirs peuvent le faire de différentes manières.

Une méthode consiste à ajouter leur matériel au réseau. Si vous pouvez connecter votre propre appareil physique, l’appareil peut analyser et copier ce trafic lorsqu’il traverse le réseau. Alors, comment un attaquant peut-il se faufiler dans un routeur ou basculer sur un réseau sans que personne ne s’en aperçoive ? Bien que cela soit difficile à faire, les adversaires utilisent souvent un appareil beaucoup plus petit appelé une prise réseau, qui est spécialement conçu à cet effet. La Figure 6-2 montre un exemple de prise réseau. Le tap se connecte à l’infrastructure déjà en place sur un réseau et copie le trafic qui le traverse.

Photo d'un robinet réseau
Figure 6-2 : Un robinet réseau (image modifiée par rapport à l’original créé par Andrew Fresh sous l’attribution générique 2.0 [CC BY 2.0] licence, https://creativecommons.org/licenses/by/2.0/)

Un adversaire peut également utiliser une technique appelée Usurpation d’adresse IP dans lequel ils copient l’adresse IP d’un appareil légitime sur le réseau et imitent cet appareil. Tout trafic qui était censé aller à l’appareil avec l’adresse IP copiée ira également au chapeau noir. L’usurpation d’adresse IP peut vous inciter à vous connecter à un périphérique, comme une imprimante, qui est en fait un attaquant.

Une troisième méthode consiste à changer l’endroit où le trafic est envoyé en modifiant les paramètres réseau. Par exemple, en modifiant la passerelle par défaut sur un appareil, un chapeau noir peut décider où va le trafic quittant le réseau. Cela leur permet de diriger le trafic vers un appareil qu’ils contrôlent afin de pouvoir le capturer.

Ou un adversaire pourrait s’allumer mise en miroir de port à un interrupteur. Les commutateurs ont des ports physiques numérotés ou des prises sur lesquelles vous branchez des câbles. En règle générale, un commutateur a entre 24 et 48 ports. La mise en miroir des ports indique au commutateur de copier tout le trafic entrant ou sortant d’un port vers un autre port. Par exemple, si un adversaire peut activer la mise en miroir des ports sur un commutateur, il peut demander au commutateur de copier tout le trafic entrant sur le port 1 vers, disons, le port 22, où il a branché un périphérique pour le capturer. La modification des paramètres de trafic nécessite généralement un niveau d’accès élevé, en particulier sans que les administrateurs réseau ne s’en aperçoivent.

Une autre méthode qu’un attaquant peut utiliser consiste à exploiter physiquement le fil par lequel le trafic passe. La façon dont cela est fait dépend du type de fil utilisé. Par exemple, les premiers réseaux utilisaient souvent un câble appelé amadouer. Il se composait de deux lignes de cuivre enveloppées d’une épaisse isolation. Un type spécial de prise réseau appelé robinet de vampire pourrait percer l’isolant pour relier physiquement deux broches métalliques (le dents de l’appareil) avec les deux fils de cuivre, permettant au robinet d’enregistrer tout trafic traversé. La figure 6-3 montre un exemple de robinet vampire.

Photo d'un robinet de vampire
Figure 6-3 : Exemple d’un robinet vampire (image modifiée à partir de la couverture d’origine par le générique Attribution-ShareAlike 2.5 [CC BY-SA 2.5] licence, https://creativecommons.org/licenses/by-sa/2.5/)

L’utilisation de câbles à fibres optiques, qui utilisent des impulsions lumineuses à travers des tubes de verre enveloppés d’isolant pour envoyer le trafic, nécessite de plier le câble et de placer une tension de fibre non éclairée le long de la courbure. Lorsque la lumière traverse le virage, le brin non éclairé peut capter une partie de la lumière, capturant ainsi le trafic.

Le problème avec ces méthodes physiques de capture du trafic est que presque toutes provoquent une perte de signal le long du câble. Par exemple, plier le câble à fibre optique augmente la latence au point que toute personne surveillant le réseau se rendrait immédiatement compte que quelque chose n’allait pas.

Attaques de l’homme du milieu

Bien que l’utilisation de pressions physiques et la modification des paramètres réseau permettent à un chapeau noir de voir le trafic sur le réseau, le fonctionnement de ces techniques nécessite beaucoup de configuration. Ils sont également difficiles à cacher, en particulier lorsqu’ils ciblent les grandes entreprises avec du personnel informatique dédié qui recherche ce type d’attaques. Au lieu de cela, les adversaires peuvent utiliser un l’homme au milieu attaque, qui offre la même capacité de lire le trafic sans nécessiter d’accès physique au réseau.

Dans les attaques de l’homme du milieu, les attaquants se placent dans le flux de trafic entre leur victime et la destination qu’ils essaient d’atteindre. Au lieu que votre trafic aille directement là où vous aviez l’intention de l’envoyer – un serveur Web, par exemple – il va d’abord à l’attaquant. L’adversaire peut alors le lire, le modifier et le transmettre à la destination. Cela permet aux attaquants de capturer vos données et de les manipuler à leurs propres fins. Le pire de ces attaques est qu’elles peuvent être extrêmement difficiles à détecter pour la victime. Pour la victime, tout semble fonctionner correctement, bien que probablement plus lent que la normale. La figure 6-4 fournit un exemple d’attaque de base de l’homme du milieu.

Schéma d'une attaque man-in-the-middle
Figure 6-4 : Un exemple d’attaque man-in-the-middle

Dans ce scénario, le chapeau noir vous envoie un e-mail de phishing avec ce qui semble être un lien légitime de votre banque (1). Lorsque vous cliquez sur le lien dans l’e-mail, vous êtes redirigé vers le faux serveur Web de l’adversaire, où il a créé une page qui ressemble au site Web de votre banque. Vous entrez ensuite vos informations d’identification sur ce site Web (2). L’adversaire reçoit le trafic que vous envoyez au site Web et le modifie pour qu’il semble provenir de l’ordinateur de l’attaquant plutôt que du vôtre. L’attaquant l’envoie ensuite au site bancaire légitime (3) et accède à votre compte (4). L’attaquant vous envoie alors une erreur 404 Not Found, vous ne réaliserez donc pas ce qui s’est passé (5).

More Stories

5 min read

ICO en vue de mettre fin aux pop-ups de cookies

3 years ago admin
10 min read

Comment les services SOAR et SIEM s’en sortent-ils dans un paysage de cybermenaces en évolution rapide ?

3 years ago admin
6 min read

La Chine accusée de cyberattaques contre les systèmes informatiques norvégiens

3 years ago admin

Leave a Reply

Your email address will not be published. Required fields are marked *

You may have missed

3 min read

Éclairage Blackpool pour un haut débit entièrement en fibre

3 years ago admin
4 min read

La réapparition de REvil pourrait annoncer de nouvelles campagnes de rançon

3 years ago admin
4 min read

CityFibre étend son réseau dans le Sussex, en Écosse et annonce Medway ISP

3 years ago admin
4 min read

Covid positif pour le marché de la sécurité, mais toujours source de stress

3 years ago admin
Copyright © All rights reserved. | Newsphere by AF themes.