Jason Drury
November 11, 2000
Source
: http://www.sans.org/infosecFAQ/switchednet/sniffers.htm
Translation by eberkut
- http://www.chez.com/keep
Introduction
Les sniffers sont presque aussi vieux qu'Internet lui-même. Ils sont un des premiers outils qui ont permis à des administrateurs système d'analyser leur réseau et d'indiquer exactement où un problème se produit. Malheureusement, les crackers exécutent également des sniffers pour espionner votre réseau et volent divers genres de données. Cet article expose ce qu'est un sniffer, certains des sniffers les plus populaires, et des méthodes de protéger votre réseau contre eux. Il parle également d'un outil populaire appelé Antisniff, qui vous permet de détecter automatiquement des sniffers en fonction sur votre réseau.
Qu'est-ce qu'un Sniffer ?
Sur un réseau no switché, Les trames Ethernet sont diffusées à toutes les machines du réseau, mais uniquement l'ordinateur auquel les paquets sont destinés répond. Toutes les autres machines sur ce réseau voient toujours le paquet, mais s'ils ne sont pas le destinataire, elles le négligeront. Quand un ordinateur exécute un logiciel sniffer et que son interface réseau est en promiscuous mode (il écoute TOUT le trafic), alors l'ordinateur a la capacité de visualiser tous les paquets traversant le réseau.
Si vous êtes un passionné d'histoire d'Internet et vous étiez demandés d'où le terme sniffer est venu. Sniffer était un produit qui a été initialement vendu par Network General. Il est devenu le leader du marché et les gens ont commencé à référer tous les analyseurs réseau comme "sniffers". Je devine que ce sont les mêmes personnes qui a donné le nom Q-Tip aux tampons de coton.
Qui utilise les Sniffers ?
Les administrateurs de LAN/WAN emploient des sniffers pour analyser le trafic du réseau et pour aider à déterminer où un problème se situe sur le réseau. Un administrateur sécurité pourrait utiliser des sniffers multiples, stratégiquement placés dans tout leur réseau, comme système de détection d'intrusion. Les sniffers sont géant pour des administrateurs système, mais ils sont également un des outils les plus communs utilisé par un intru. Les crackers installent des sniffers pour obtenir des non d'utilisateurs, des passwords, des numéros de carte de crédit, des informations personnelles, et toute autre information qui pourrait être préjudiciable à vous et à votre compagnie si elle tombait dans de mauvaises mains. Quand ils obtiennent cette information, les crackers emploieront les passwords pour attaquer d'autres sites Internet et ils peuvent même trouver un bénéfice à vendre des numéros de cartes de crédit.
Sniffers Populaires
Chez SecurityFocus.com, il y a 8 pages concernant les outils sniffers. Il y a tout de Websniff, qui renifle spécifiquement l'information du webserver login/auth à Altivore qui prétend être une mise en place alternative de l'infâme Carnivore (DCS1000) du FBI. Avec tant de types de sniffers, c'est une merveille que les administrateurs système dorment la nuit. Sniffer Pro de Network Associates est probablement le sniffer commercial le plus populaire pour Windows. Intéressant, Sniffer Pro de Network Computing évalué à la 7ième place sur la liste des "10 Most Important Products of the Decade". Je ne vais pas vous dire qui est tel numéro,, vous devrez aller chercher : http://www.networkcomputing.com/1119/1119f1products_intro.html.
À la différence de certains des sniffeurs freeware, Sniffer Pro éclatent chacune des 7 couches du modèle de référence OSI et vous fournit une analyse en détail de ce qui se produit avec chacune. Il fournit également quelques graphiques gentils pour impressionner votre patron. Sniffer est l'un des meilleur produit pour vous aider à visualiser ce qui se passe sur votre réseau, mais le coût pourrait vous avoir faire douter et vous pourriez vouloir essayer certains des bons outils freeware/shareware qui sont disponibles.
Dans la mesure où les sniffers Unix disparaissent, je devrais dire que snoop serait mon choix préféré. Snoop est en standard avec Solaris et quoique le Snoop ne soit pas aussi joli que Sniffer Pro, lui est très puissant et le sniffer fortement paramètrable, de plus lui est libre (avec Solaris). Qui peut battre cela ? Vous pouvez capturer des paquets en temps réel pour un snapshot rapide ou vous pouvez sauvegarder votre saisie dans un fichier pour une analyse plus détaillée. Si vous voulez apprendre comment utiliser Snoop, alors surveillez le gars qui en a fait la substance (Lance Spitzer) "The Secret of Snoop" http://www.enteract.com/~lspitz/snoop.html. Il fait un travail sympa en introduisant le lecteur au Snoop et vous donne tout pour vous savoir snooping en un rien de temps. Si vous voulez devenir un gourou de Snoop, alors vous pouvez lire ces passionnantes pages de manuel.
Contrer les sniffers
Un des méthodes les plus évidentes pour protéger votre réseau contre des sniffers est de ne pas les laisser s'installer. Si un cracker ne peut pas accéder à votre système, alors il n'y a aucune méthode pour qu'il installe un sniffer sur lui. Dans un monde parfait, nous pourrions nous arrêter ici. Mais puisqu'il y a un nombre sans précédent de trous de sécurité trouvés chaque mois et la plupart des compagnies n'ont pas assez de personnel pour fixer ces trous, alors les crackers vont exploiter des vulnérabilités et installer des sniffers. Puisque les crackers favorisent un emplacement central où la majorité du trafic réseau passe (i.e. des firewalls, des proxies), alors ceux-ci vont être leurs cibles principales et devraient être surveillées étroitement. Quelques autres "victimes" possibles où les crackers aiment installeraient des sniffers sont à côté des serveurs où les informations personnelles peuvent être interceptées (i.e. serveurs HTTP, SMTP).
Une bonne manière de protéger votre réseau contre des sniffers est de le segmenter autant que possible à l'aide de switchs Ethernet à la place des hubs régulier. Les switchs ont la capacité de segmenter votre trafic réseau et empêcher chaque système sur le réseau de pouvoir "voir" tous les paquets. L'inconvénient à cette solution est le coût. Les switchs sont 2 à 3 plus chers que les hubs, mais la compensation est certainement une valeur en elle.
Une autre option, que vous pouvez combiner avec un environnement switché, doit utiliser le chiffrement. Le sniffer voit toujours le trafic, mais il est affiché comme des données déformées. Quelques inconvénients à utiliser le chiffrement sont la vitesse et votre chance d'utiliser une norme faible d'encryption qui peut être facilement cassée. Presque toute l'encryption présentera du retard dans votre réseau. Typiquement, plus le chiffrement est fort, plus les machines l'utilisant pour communiquer sont lentes. Les administrateurs système et les utilisateurs compromettent leur environnement. Quoique la plupart des administrateurs système voudraient utiliser le meilleur chiffrement sur le marché, il n'est pas pratique simplement dans un monde où la sécurité est vue en tant que consommateur de bénéfices, et non pas comme un générateur de bénéfices. Si tout va bien la nouvelle norme de chiffrement qui devrait sortir sous peu, AES (Advanced Encryption Standard), fournira une assez forte encryption et de la transparence à l'utilisateur pour rendre tout le monde heureux. Une certaine forme d'encryption est meilleure qu'aucune. Si un cracker exécute un sniffer sur votre réseau et note que toutes les données qu'il (ou elle) rassemble sont déformées, alors très probablement il passera à un autre site qui n'utilise pas d'encryption. Mais un intrus payé ou déterminé va pouvoir casser une norme faible d'encryption, ainsi il vaut mieux la jouer futée et fournir le chiffrement le plus fort aussi longtemps que tout le monde vous envvera pas des regards différents quand vous descendez les halls au travail.
Antisniff
En 1999, nos amis de chez L0pht Heavy Industries ont sorti un produit appelé Antisniff. Ce produit essaye de scanner votre réseau et de déterminer si un ordinateur fonctionne en mode promiscuous. C'est un outil utile parce que si un sniffer est détecté sur votre réseau, alors 9 fois sur 10, le système a été compromis. Ceci est arrivé au service informatique à California State University - Stanislaus. Voici ce qu'ils ont signalé sur leur website local : "un programme sniffer a été trouvé en fonctionnement sur le réseau informatique. Des programmes sniffers sont employés pour capturer des passwords. Afin de se protéger veuillez changer de password. N'utilisez pas un mot sorti d'un dictionnaire, ne mettez pas un nombre à la fin d'un mot ou n'utilisez pas les noms propres. Soyez inventif, utilisez les caractères spéciaux et ayez 8 caractères dans votre mot de passe." Je suis sûr qu'il y a des centaines de posts semblables sur les websites internes dans le monde entier qui ne le rendent pas public comme eux.
Antisniff peut également vous aider à trouver ces administrateurs système qui exécutent un sniffer pour découvrir ce qui ne fonctionne pas dans leur réseau local, mais oublient de demander l'autorisation avant. Si vous devez exécuter un sniffer, alors vous devriez obtenir une permission écrite. Si votre administrateur sécurité exécute Antisniff, il y a alors de fortes chances qu'il le trouve et vous devrez expliquer pourquoi vous exécutiez un sniffer sans autorisation. Si tout va bien votre politique de sécurité a une section sur les sniffers et fournira quelques conseils si vous devez exécuter un sniffer.
Au moment de cette écriture, la version 1.021 d'Antisniff est la version courante. Il y a un GUI intéressant disponible pour machines Windows 95/98/NT. Une version ligne de commande est également disponible pour Solaris, OpenBSD, et Linux. Cette version d'Antisniff fonctionne seulement dans un "environnement non-switché" plat. Si votre réseau est conçu avec des routeurs et des switchs, alors Antisniff n'a pas la même fonctionnalité que dans un environnement non-switché. Vous pouvez seulement l'utiliser sur les réseaux locaux qui ne croisent pas un routeur ou un switch. Selon le site web de L0pht, la prochaine version principale d'Antisniff aura la capacité de figurer dehors si un ordinateur fonctionne en mode promiscuous au-dessus des routeurs et des switchs. La prochaine version d'Antisniff devrait certainement être plus salutaire aux administrateurs système parce que le prix des switchs descendent et la plupart des compagnies passent aux switchs pour obtenir des vitesses de 100/Full Mbps. Bien que vous ayez un environnement totalement switché, vous n'êtes toujours pas à l'abri. Il y reste les firewalls, proxies, serveurs web, serveurs ftp, etc. où les crackers ont toujours la capacité d'installer un sniffer et de capturer des données localement. La seule différence est que vous avez emporté leur capacité de capturer des données au-dessus du réseau.
Antisniff peut également être employé par des blackhats pour trouver des IDS. S'ils savent où vos systèmes de détection d'intrusion sont, alors ils peuvent devenir des attaquants furtifs, vous causant beaucoup de douleur parce que vous dépensez jusqu'à $150.000 sur un nouveau système de détection d'intrusion et ils ont trouvé une manière de le bypasser.
Sommaire
Dans cet article, j'ai décrit exactement ce qu'est un sniffer, certains des sniffers les plus populaires, comment protéger votre réseau contre des sniffers, et employer Antisniff pour vous aider à découvrir si un sniffer fonctionne sur votre réseau. Les sniffers ne sont plus la menace qu'ils étaient il y a 5 ou 10 ans quand les réseaux n'étaient pas switchés, mais ils représentent toujours un problème assez sérieux que des administrateurs système devraient surveiller. Qui peut dire qu'il n'y aura pas un nouvel outil qui sortira et qui pourra sniffer le trafic même dans les environnements switchés. Les sniffers peuvent être un outil géant pour des administrateurs, mais ils peuvent également être très préjudiciables une fois utilisés par les mauvaises personnes. Si tout va bien, la seconde génération des scanners Internet/outils Antisniff le rendra aussi facile à détecter que les sniffers actuels.
Références Internet
Sniffer Technologies. http://www.sniffer.com/
(2 November 2000)
SecurityFocus http://www.securityfocus.com/
(31 October 2000)
L0pht Heavy Industries, Inc. "AntisSniff Technical Details." http://www.l0pht.com/antisniff/tech-paper.html
(31 October 2000)
Morrissey, Pete. "The 10 Most Important Products of the Decade."
October 2, 2000
http://www.networkcomputing.com/1119/1119f1products_7.html
(8 November 2000)
Machrone, Bill. "How Do I Hack Thee" http://www.zdnet.com/zdnn/stories/comment/0,5859,2385238,00.html
(1 November 2000)
Edwards, Mark Joseph. "Antisniff Beta 2" http://www.win2000mag.com/Articles/Index.cfm?ArticleID=7258&SearchString=antisniff
(1 November 2000)
Sprenger, Polly. "L0pht Releases AntiSniff" 23 July 1999 http://www.wired.com/news/technology/0,1282,20913,00.html
(1 November 2000)
California State University – Stanislaus February 5, 1995 http://yahi.csustan.edu/studnote.html
(3 November 2000)
Spitzner, Lance. "The Secrets of Snoop." http://www.enteract.com/~lspitz/snoop.html
(9 November 2000)
Références Livres
Anonymous, "Maximum Security", SAMS, 1998
Skoudis, Edward "Current Hacker Tools and New Hacker Capabilities", SANS December 19, 1999