59143627 ftp postfix tcpdump

MISE EN PLACE DUN SNIFFER RESEAU TCPDUMP(Dmonstration : FTP et Un Serveur de Messagerie Non Scuris)PLAN

I. Premire partie : Principe Thorique1. Introduction 2. Cest quoi tcpdump ? 3. Fonctionnement de tcpdump 4. Les filtres 5. Les options tcpdump 6. Les conditions 7. Sorties tcpdump

II. Deuxime partie : Phase Pratique1. Installation de tcpdump a) Sur Windows b) Sur linux (Fedora core3) 2. Le serveur FTP (vsftp) a) Installation du serveur FTP b) Configuration du serveur FTP c) Utilisation de tcpdump avec FTP 3. Le serveur de messagerie (postfix) a) Installation de Postfix b) configuration de Postfix c) Installation et configuration de Dovecot d) Utilisation de tcpdump avec Postfix

III. Conclusion

Youssef@ucad.sn

I.

Premire partie : Principe Thorique

Youssef@ucad.sn

1. INTRODUCTIONLe programme tcpdump a t crit par Van Jacobson, Craig Leres, et Steven McCanne, tous le Laboratoire Lawrence Berkeley de l'Universit de Californie Berkeley. Il a t initialement dvelopp pour analyser le protocole TCP / IP des problmes de performance. Un certain nombre de fonctionnalits ont t ajoutes au fil du temps mme si certaines options peuvent ne pas tre disponibles chaque mise en uvre. Le programme a t port sur une grande varit de systmes et est Install sur de nombreux systmes. Pour comprendre les menaces spcifiques que peut rencontrer une entit, il faut dj avoir une bonne comprhension des protocoles Internet et de ceux en relation avec la dtection des intrusions. Nous allons donc tudier les mcanismes de tous ceux-ci grce l'outil d'analyse connu sous le nom de tcpdump.

2. Cest quoi Tcpdump ?Tcpdump est un sniffer rseau trs puissant en ligne de commande, multiplateforme qui permet de capturer et danalyser les paquets qui transitent sur le rseau. Il permet d'obtenir le dtail du trafic visible depuis une interface rseau. Il permet galement de collecter les donnes circulant sur un rseau, de dchiffrer les bits et d'afficher la sortie dans un format brut.

3. Fonctionnement de tcpdumpUne fois tcpdump install, l'utilisateur disposant de privilges doit excuter lutilitaire en lanant la commande tcpdump. Par dfaut cette commande provoque la collecte dinformation sur tout le trafic partir de l'interface rseau par dfaut et envoie toutes les sorties vers la console. Il ne s'agit pas toujours du comportement dsir par l'utilisateur, car les enregistrements se succdent d'une manire incontrlable sans pouvoir lire quoi que ce soit dans le cadre d'un rseau charg. C'est pourquoi on dispose de plusieurs options en ligne de commande pour modifier le comportement par dfaut.

Youssef@ucad.sn

4. Les filtresPour utiliser efficacement tcpdump, il est ncessaire de matriser l'utilisation de filtres. Les filtres vous permettent de spcifier le trafic que vous voulez capturer, vous permettant de se concentrer uniquement sur ce qui est de votre intrt. Cela peut tre indispensable si vous avez besoin d'extraire une petite quantit de trafic d'une trace massive de fichiers. En outre, des outils tels que Ethereal utiliser la syntaxe de filtre tcpdump pour capturer le trafic. Exemple de filtre : Ne collecter que le trafic TCP

Ne collecter que le trafic UDP

Youssef@ucad.sn

Collecter le trafic en provenance de 192.168.0.1, sur le port 53

5. Les options tcpdumpPar dfaut, tcpdump coute en promiscuous mode , cest dire quil capture et analyse toutes les trames circulant sur le rseau mme celles qui ne concernent pas la machine sur laquelle il tourne. Connatre les interfaces sur lesquelles on peut couter :

Youssef@ucad.sn

Il existe plusieurs options pour tcpdump :

Option -i

Dtails Affiche les packets pour une interface spcifique. Utiliser 'any' pour tracer toutes les interfaces

-s0 -x -X -v -vv -vvv -w -r

Affiche les packets sans les tronquer Mode "Verbose Hexa" : contenu des packets en Hexadecimal Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII Mode "Verbose light" Mode "Verbose medium" Mode "Verbose Full" Enregistre la sortie de TCPDUMP dans le fichier pass en paramtre Affiche le contenu d'un fichier cr avec tcpdump -w

6. Les conditions TcpdumpOption host Dtails Affiche les trames pour le host dfini en paramtre (peut en gnral tre omis) src Affiche les trames ayant pour origine le host dfini en paramtre dst Affiche les trames ayant pour destination le host dfini en paramtre

Youssef@ucad.sn

port icmp, ip, arp, rarp, udp, tcp less

Affiche les packets du port prcis Affiche les packets du protocole prcis

Affiche les packets d'une taille infrieure celle prcise en paramtre

great

Affiche les packets d'une taille suprieure celle prcise en paramtre

7. La Sortie TcpdumpUne des tches les plus difficiles pour les analystes dbutants est le dcryptage des sorites de tcpdump. Celle-ci est assez standard pour les diffrents protocoles (TCP, UDP, ICMP), mais elle comporte quelques variations. La premire tape est l'identification du protocole examin. La sortie ICMP servira ici pour prsenter le format gnral du format des sorties de tcpdump. Voici un enregistrement ICMP affich par tcpdump :

Youssef@ucad.sn

Tcpdump coute linterface eth0

01 :19 :11.863353 : Heure, Minute, Seconde, fractionnelle dune secondeIP : Protocole Internet IP pcserver.master.sn : cest le nom dhte source > : Indique un flux directionnel de la source vers la destination. 192.168.0.23 : cest le nom dhte de destination. 64 : la taille du tampon icmp de rception en (octet) de pcserver.master.sn

Youssef@ucad.sn

II.

Deuxime partie : Phase Pratique

Youssef@ucad.sn

1. Installation de tcpdumpa) Sur WindowsUne fois tlcharger tcpdump.exe qui est la version compatible avec Windows, il suffit de le copier dans le rpertoire C:\Windows\System32\. Pour excuter lutilitaire tcpdump, vous devez lancer la fentre DOS :

Puis taper la commande tcpdump :

Youssef@ucad.sn

Do la fentre de capture de tcpdump

b) Sur Linux (Fedora Core 3)Tcpdump repose sur la bibliothque libpcap c'est--dire avant dinstaller tcpdump, vous devez obligatoirement installer la bibliothque libpcap pour le bon fonctionnement du sniffer (tcpdump). Vrifier si libpcap est install par la commande :

Youssef@ucad.sn

Sil nest pas install, vous pouvez linstaller partir des CD par la commande :

Une fois install le libpcap, vous pouvez maintenant installer le tcpdump par le commande :

2. Le serveur vsftpdLe vsftpd qui signifie Very Secure FTP Daemon est un serveur FTP libre simple et scuris. Il a t dvelopp dans l'optique de la meilleure scurit possible afin de combler les failles des serveurs FTP classiques.

Youssef@ucad.sn

a) Installation du serveur vsftpPour installer le vsftpd, il suffit de taper la commande suivante :

b)Configuration du serveur vsftp Le fichier de configuration de vsftpd se trouve dans /etc/vsftpd/vsftpd.conf. Interdire les accs anonymes pour mieux scuriser votre serveur.

Youssef@ucad.sn

Redmarrer le serveur vsftp

c) Utilisation de Tcpdump avec vsftpLancer le client vsftp

Youssef@ucad.sn

Lancer tcpdump du cot serveur

Ici, vous avez le mot de pass en claire passer

Youssef@ucad.sn

3. Le serveur de messagerie (postfix)Postfix est un serveur de messagerie lectronique et un logiciel libre dvelopp par Wietse Venema et plusieurs contributeurs. Il se charge de la livraison de courriers lectroniques (courriels) et a t conu comme une alternative plus rapide, plus facile administrer et plus scurise que l'historique Sendmail. Fonctionnement du courrier lectronique :

a) Installation de postfixPour installer postfix, on tape la commande suivante :

Youssef@ucad.sn

b) Configuration de postfixLe fichier de configuration de base de postfix est main.cf et se trouve dans /etc/postfix/. NB : Avant de commencer la configuration de postfix, vous devez au pralable configurer le serveur DNS car cest dans ce service o nous dclarons le serveur de messagerie (enregistrement MX) : la configuration se fait pour le fedora core 3 dans /var/named/chroot/var/named/domaineparent.tld par commande :

Editer le fichier de main.cf par la commande :

Youssef@ucad.sn

Une fois diter, suivez les modifications suivantes :

Redmarrer postfix

Youssef@ucad.sn

Vrifier si le port 25 (smtp) est ouvert

Tester le fonctionnement du serveur

Youssef@ucad.sn

c) Installation et Configuration de dovecotDovecot est un serveur IMAP et POP3 pour les systmes d'exploitation Unix et drivs, conu avec comme premier but la scurit. Celui qui facilite la livraison des messages.

-

Installation

On installe dovecot par la commande :

-

Configuration

Le fichier de configuration de dovecot est dovecot.conf et se trouve dans /etc/. Effectuer les modifications suivantes dans le fichier de configuration.

Youssef@ucad.sn

Youssef@ucad.sn

Tester le serveur dovecot :

-

Tester le port pop (port 110)

-

Tester limap (143)

Youssef@ucad.sn

a) Utilisation de tcpdump avec PostfixLobjectif consiste couter toutes les transactions effectues entre le serveur et les clients de messagerie : Afficher le nom de compte et son mot de passer de messagerie car le protocole pop3 envoie les mots de passe non-crypts. Pouvoir lire en claire les conversations effectues entre les utilisateurs. Lancer tcpdump du cot serveur (en coutant le port pop3)

Youssef@ucad.sn

Lancer votre client de messagerie pour envoyer un message Configuration dun client de Messagerie (Microsoft Office Outlook 2007) : Cliquer sur le bouton dmarrer ensuite Microsoft Office Outlook,

cocher configurer manuellement (recommand

lorsque vous utilisez un serveur de messagerie non scuris) et cliquer sur suivant.

Cocher messagerie Internet (POP, IMAP, HTTP), puis cliquer sur suivant

Youssef@ucad.sn

Donner les informations du compte utilisateur (utilisateur systme cre sur le serveur), puis cliquer sur suivant

Youssef@ucad.sn

vous testez les paramtres du comptes en cliquant sur Tester

Nous remarquons lauthentification a bien russie. En fin cliquer sur terminer

Youssef@ucad.sn

Communication entre les Comptes de Messagerie :

Cette capture nous indique que lutilisateur sefdine essaie denvoyer un message kamardine.

Une fois envoy, la capture suivante donne en claire son mot de passe quil utilise pour rcuprer le massage dans le serveur de messagerie (pop3 non scuris)

Youssef@ucad.sn

Ici, nous voyons en claire le mot de passe de lutilisateur kamardine maman . Apres lauthentification, la capture suivante nous donne malheureusement le contenue de son message : je suis la

Youssef@ucad.sn

Youssef@ucad.sn

ConclusionTcpdump est un sniffer rseau en ligne de commande trs puissant bas sur la bibliotheque libpcap. On dispose actuellement d'un vaste choix sans cesse croissant en matire d'outils de scurit. De nombreux utilitaires permettent de surveiller le rseau. Il est vrai que les sorties de Tcpdump ne sont pas trs esthtiques, mais elles offrent assez de dtails pour pouvoir tablir des diagnostics fiables sur l'activit du trafic rseau. En utilisant un outil plus agrable manier, mais moins riche en contenu des informations risquent de vous chapper.

Youssef@ucad.sn