[Réseau] Il nous espionne

[laure1975]

Bonjour,

Depuis quelque temps, il me semble que mon collègue a fait un truc sur le réseau pour voir les pages visitées de ses collègues, mais je ne sais pas comment il fait. Est-il possible d’envoyer les trames reçues par le switch vers un PC fixe ou serveur. Est-ce qu’il est possible depuis son PC en WIFI d’écouter le réseau avec par exemple Ethereal. Est-il possible de détecter s’il y a un proxy sur le réseau. Bref, je ne sais pas comment il fait .

Merci pour vos réponses.

J’ai mis ci-dessous en lien web l’image de mon réseau informatique.

http://s1.mesimages.yapluk.fr/f0f/captureN0t.jpg

Merci par avance de vos réponses

Laure

[phia]

Bonsoir Laure,

les switches ne font pas grand-chose, mais au niveau du routeur (Cisco), il y a beaucoup de choses possibles (heureusement qu'il y a l'image ).

Voir par exemple http://www.wallwatcher.com/ qui permet de lister et d'enregistrer tout le traffic entrant ou sortant, passant ou stoppé par le routeur.

[AHP_Nils]

Hello,

il est aussi possible "d'empoisonner" les switches, en envoyant en permanence des requêtes ARP "bidons" pour remplir le cache ARP des switches. Ils se comportent alors comme des hubs puisqu'ils n'ont plus les adresses MAC des machines et autres équipements réseau. Mais s'il a la main sur le routeur ou l'un des switches, activer un port mirroring est simplissime pour visualiser le trafic réseau, ou obliger le trafic web à passer via un serveur proxy (on parle alors de proxy transparent puisqu'il n'est généralement pas configuré sur les postes). Bon, ça c'était la partie technique, que j'expliquerai plus tard si on me le demande; ce qu'il faut en retenir, c'est que pour espionner un réseau local, ce ne sont pas les méthodes ni les outils qui manquent.

A partir de là, je vois deux éventualités :

- ton collègue a été nommé responsable informatique ou technicien informatique ou administrateur réseau, et dans ce cas il a plus ou moins le droit de le faire, peut-être que la hiérarchie lui en a donné l'ordre... si c'est le cas, il faut savoir que tu dois être au courant et ces méthodes doivent être utilisées pour le bien de la société; pour que tu soies au courant officiellement il te faut signer une charte informatique, est-ce que c'est le cas? Si ça ne l'est pas, je pense qu'il faut le réclamer.

- ton collègue n'a pas de fonction d'administration ou de technicien système/réseau, dans ce cas il n'a aucun droit de le faire et à mon sens, c'est assez grave pour que tu remontes à ta hiérarchie cette pratique.

Par contre, je pense que tu devrais retirer le plan réseau du topic, voire même du site internet où il est hébergé, si possible : on peut t'accuser de divulguer des informations confidentielles de l'entreprise.

[laure1975]

Bonjour et merci pour vos réponses,

En ce qui concerne le routeur, nous avons pas accès, car nous n'avons pas les login/mot de passe. Concernant mon collègue, il n'est pas administrateur (il est par contre balaise en développement et notamment en script), nous avons tous les codes d'accès pour entrer dans le switch, AP, Serveur sauf le routeur. Il existe d'ailleurs un moyen de pouvoir le récupérer.

http://www.cisco.com/en/US/products/hw/rou...0800942bc.shtml

http://www.authsecu.com/decrypter-dechiffr...ord-cisco-7.php

Comment voir s'il existe un port mirroring ou SPAN sur le switch (ou dois-je aller pour voir cela). ?

Peut-il renvoyer les pages visitées vers son PC (connecté en WIFI) ? Ce qui lui évite d'être détecter, pas d'installation de logiciel sur le PC serveur

Peut-il renvoyer les pages visitées vers son PC chez lui ou un serveur FTP ? Ce qui lui évite d'être détecter, pas d'installation de logiciel sur le PC serveur

Peut-il installer un logiciel comme Snort sur le PC serveur, existe-il un moyen de cacher son installation ?

J'ai découvert que j'ai toujours la même adresse IP alors que je suis en DHCP ? Étrange

Le routeur est un Cisco 800. Un routeur c'est pas un PC traditionnel donc comment il peut installer un logiciel comme Wallwatcher si il a les codes d'accès du routeur. Comment cela fonctionne. On doit l'installer le logiciel sur un pc serveur et le routeur fait des copies de trames ?

Question à TheNastyBoy:

Peux-tu aller plus loin dans tes explications techniques ? M'expliquer comment il fait. Merci par avance pour le temps que tu passes sur tes réponses.

A bientôt,

Laure, newbies en routeur, switch mais j'essaye de comprendre

[Mephisto]

s'il avait du mettre en pratique la procédure de changement du mot de passe, il aurait du redémarrer le routeur

et même s'il est bon en script, je doute qu'il se soit embêté à aller chercher côté switch/routeurs, alors que tout transite avant-tout par le réseau...

un wireshark suffit (ou équivalent), quitte à greffer un script qui parcours le log pour ne garder que les GET HTTP/HTTPS

mais... pourquoi se faire des films au sujet de ton collègue, alors que l'admin-réseau, lui, regarde probablement régulièrement des logs similaires, et connaît toutes vos habitudes ^^

[phia]

On doit l'installer le logiciel sur un pc serveur et le routeur fait des copies de trames ?

Si le routeur est compatible IPTABLES (ou Nmap) (et Cisco est cité dans la liste des marques de routeurs compatibles), il suffit de lui préciser l'adresse IP du PC sur lequel Wallwatcher est installé; et çà peut être n'importe quel PC, fixe ou portable !

Wallwatcher ne voit pas en détail ce que vous faites (sur chaque page Web ou autres); il note toutes les connexions, tous les services (ports), etc..., comme sur la photo "SAMPLE SCREEN" de la page d'accueil http://www.wallwatcher.com/.

Pour le reste, je laisse TheNastyBoy ( , ou autres plus compétents que moi) vous répondre.

[laure1975]

Ce qui m'énerve c'est qu'il fait des allusions ce qui veut dire qu'il doit forcément sniffer les pages que je visite pour être aussi précis dans ces allégations. Comment peut-il faire avec wireshark pour analyser les réseaux des autres. Est-il possible de sniffer une adresse IP en dehors de la siennes. Pouvez-vous m'expliquer et comment il peut seulement analyser les requêtes GET HTTP/HTTPS.

Ou puis-je voir les IPTABLES / NMAP sur mon Cisco 3750. Dois-je me connecter en telnet ?

Merci par avance,

Laure

[AHP_Nils]

Comment voir s'il existe un port mirroring ou SPAN sur le switch (ou dois-je aller pour voir cela). ?

Il faut pour cela avoir accès à la configuration de l'équipement. Sans les login/mot de passe, ça risque d'être difficile...

Peut-il renvoyer les pages visitées vers son PC (connecté en WIFI) ? Ce qui lui évite d'être détecter, pas d'installation de logiciel sur le PC serveur

Peut-il renvoyer les pages visitées vers son PC chez lui ou un serveur FTP ? Ce qui lui évite d'être détecter, pas d'installation de logiciel sur le PC serveur

S'il renvoie les requêtes vers son PC il faudra une configuration ou un logiciel qui permet d'acheminer les requêtes vers le site demandé => sa machine devient un routeur, ou un proxy, et ça se voit au niveau réseau puisque son trafic web augmentera en conséquence...

Peut-il installer un logiciel comme Snort sur le PC serveur, existe-il un moyen de cacher son installation ?

Snort est un détecteur d'intrusion, qui sniffe le trafic entrant et le compare à une base de signatures d'attaques. Cela ne serait pas très utile dans notre cas.

J'ai découvert que j'ai toujours la même adresse IP alors que je suis en DHCP ? Étrange

C'est tout à fait normal, deux possibilités : le client DHCP de ton PC demande à nouveau la même adresse IP; puisqu'elle t'es déjà attribuée, le serveur DHCP ne va pas s'embêter à filer à ton PC une autre adresse (je caricature un peu mais c'est grosso modo le principe), ou alors l'adresse MAC de ta machine (l'identifiant "unique" de la carte réseau) a été entrée dans la configuration du serveur DHCP pour qu'il fournisse toujours la même adresse IP.

Le routeur est un Cisco 800. Un routeur c'est pas un PC traditionnel donc comment il peut installer un logiciel comme Wallwatcher si il a les codes d'accès du routeur. Comment cela fonctionne. On doit l'installer le logiciel sur un pc serveur et le routeur fait des copies de trames ?

Je ne connais pas Wallwatcher, mais phia semble mieux le connaître que moi.

Question à TheNastyBoy:

Peux-tu aller plus loin dans tes explications techniques ? M'expliquer comment il fait. Merci par avance pour le temps que tu passes sur tes réponses.

Avant de continuer la lecture, 500mg à 1000mg de paracétamol ou d'aspirine peuvent s'avérer utile pour ceux qui n'ont jamais fait de réseau...

Je ne peux pas expliquer comment il fait. Je ne peux que faire des hypothèses par rapport aux techniques que je connais.

D'abord, quelques bases :

- un concentrateur (hub) est assez simple dans sa technologie, ce qu'il reçoit sur un port en entrée, il le renvoie en sortie sur tous les autres ports. C'est simple, mais pas top, car ça envoie du trafic superflu à des machines qui n'en ont pas besoin, à priori. Du coup, un hub n'est pas très efficace au niveau débit et au niveau sécurité (il suffit d'utiliser un simple sniffeur comme Wireshark, Tcpdump ou autre pour voir le trafic de toutes les machines reliées à ce hub)

- un commutateur (switch) est un peu plus intelligent, car il possède une table d'adresses MAC (j'ai raconté plus haut ce que c'est). A l'allumage, il se comporte comme un hub mais apprend les adresses MAC reliées à ses ports, de sorte qu'ensuite il n'envoie à une carte réseau donnée que le trafic qui lui est destiné.

Une technique d'empoisonnement du switch (ARP poisonning, l'ARP est le protocole de mémorisation des adresses MAC) consiste donc à envoyer des requêtes avec des adresses MAC bidon de sorte à en remplir la table du switch. Comme le switch ne sait pas sur quels ports sont connectées les cartes réseau ayant les adresses MAC bidons, il envoie le trafic à tous les ports, en espérant pouvoir apprendre les ports sur lesquels sont ces adresses, malheureusement inventée par notre apprenti pirate pour faire tourner en bourrique ce pauvre switch... qui se comporte alors comme un hub. Sniffer le trafic devient alors un jeu d'enfant.

Des techniques plus élaborées permettent toujours en jouant avec les adresses MAC de se faire passer pour le routeur auprès d'un PC et de se faire passer pour ce PC auprès du routeur : c'est la technique du Man In The Middle (MiTM, en français l'homme au/du milieu); ainsi placée entre le routeur et le PC "victime", le pirate peut collecter des données, envoyer la victime sur de faux sites internet...

Tout ceci n'est valable que dans des réseaux filaires, je n'ai jamais essayé de sniffer dans des réseaux sans fil auxquels j'étais déjà connecté, mais ce doit être très instructif

On notera que je n'ai à aucun moment parlé d'adresse IP, ce système se situe entre les couches 2 et 3 du modèle OSI. Au passage, Wikipédia explique aussi très bien le protocole ARP et la technique d'empoisonnement ARP.

A noter qu'un certain nombre de logiciels dont je tairai le nom ici permettent de faire ces attaques de manière très simple, voire enfantine.

J'espère avoir été clair, ou que Wikipédia l'a été.

[AHP_Nils]

Ce qui m'énerve c'est qu'il fait des allusions ce qui veut dire qu'il doit forcément sniffer les pages que je visite pour être aussi précis dans ces allégations.

Ou alors cacher une webcam derrière toi? C'est fou le nombre de mini-caméras espions sur le marché

Comment peut-il faire avec wireshark pour analyser les réseaux des autres. Est-il possible de sniffer une adresse IP en dehors de la siennes.

En empoisonnant le switch d'abord, comme je l'ai expliqué. En tous cas, c'est une possibilité.

Pouvez-vous m'expliquer et comment il peut seulement analyser les requêtes GET HTTP/HTTPS.

Pourquoi se contenter des requêtes HTTP quand on a sniffé tout le trafic, et donc, le contenu des pages web?

Ou puis-je voir les IPTABLES / NMAP sur mon Cisco 3750. Dois-je me connecter en telnet ?

Iptables est un outil de firewall pour GNU/Linux, Nmap est un scanneur de port, ni l'un ni l'autre ne sont disponible sur les matériels réseau Cisco. Pour visualiser la configuration de ton 3750, tu peux utiliser telnet, ou l'interface web du switch, si celle-ci est activée.

[phia]

Ou puis-je voir les IPTABLES / NMAP sur mon Cisco 3750.

Je parlais de IPTABLES et Nmap parce que le site Wallwatcher en parle concernant les routeurs compatibles:

Chapitre WALLWATCHER SUPPORTS THESE ROUTERS pour "SysLog (generic)"... ou bien My router isn't on the ROUTER list. What should I do?.

Mais le Cisco 3750 est un switch !

Je ne connais pas Wallwatcher, mais phia semble mieux le connaître que moi.

... mais uniquement parce que je l'ai installé et que j'ai galéré un peu pour comprendre comment çà marchait; sinon j'ai bien peu de connaissances réseau.

Et je te remercie beaucoup pour tes explications ... (je viens d'ailleurs d'apprendre une différence essentielle entre un hub et un switch ! )

Va falloir que je relise tout çà à tête reposée.

[phia]

Laure, au niveau routeur, le systême de log semble à peu près standard: "WallWatcher supports most routers that send log records in real-time to a local computer port, usually 514 (SysLog) or 162 (SNMPTrap). If your router can do that kind of logging, it's probably using a supported log format..." (comme indiqué ici)

Si quelqu'un observe le traffic au niveau du routeur, il a rentré son adresse IP dans le routeur afin que celui-ci lui envoie les logs; là, rien à faire ! (en plus, vous n'avez pas l'accès).

Par contre, vous pouvez peut-être récupérer son adresse IP, et l'attribuer à votre machine (ou une autre) un jour où il n'est pas là (son PC éteint, ou hors réseau en débranchant son câble) afin de recevoir les logs routeur !

[AHP_Nils]

Sauf que les logs du routeur n'indiquent pas qui surfe et sur quel site...

Le Cisco 3750 est un switch assez évolué capable aussi de faire du routage

(Un jour, j'aurai un 3750 pour mon lan perso )

[phia]

Sauf que les logs du routeur n'indiquent pas qui surfe et sur quel site...

Tout à fait; c'est là que Wallwatcher bosse un peu aussi, et

- essaie de traduire les adresses IP distantes en URL (mais çà ne marche pas à tous les coups; pas une fois il a résolu 194.246.101.244 en www.pcinpact.com)

- remplace/complète les IP locales par les noms de machines

- attribue des noms de services aux N° de port (à partir d'une table, donc pas toujours très juste).

Mais ce n'est pas de la pub, hein ! (j'en parle juste parce que je l'ai sous la main)

(Un jour, j'aurai un 3750 pour mon lan perso )

A la vitesse où progresse l'informatique, on les trouvera bientôt à la casse, ou pour pas cher, c'est sûr.

[laure1975]

Me revoila,

Merci à tous pour ces infos, c'est très intéressant mais je n'ai pas toujours le preuve de cette écoute. J'ai effectivement le login/mot de passe du switch mais je ne vois pas d'info de mirroring (à mon humble niveau). Concernant wireshark, il me propose plusieurs carte réseau dont ma carte wifi qui connecté au réseau (nous sommes tous en wifi) mais quand je la sélectionne, il met automatiquement mon adresse IP, je ne vois pas comment il fait pour analyse par exemple une adresse IP précise comme par exemple l'adresse IP de la passerelle 192.168.1.1

C'est bien l'adresse de la passerelle qui permet de sniffer le réseau comme il fait.

Dois-je me mettre en bowser ou en console sur mon switch pour voir si il y a du mirroring et ou puis-je voir cela ? Avez-vous la manip CLI pour voir cela en cas de console.

Merci par avance,

Laure

[laure1975]

Pas de réponse les gags

Laure

[AHP_Nils]

je n'ai pas toujours le preuve de cette écoute.

Sans vouloir t'offenser, je me demande si c'est à toi d'apporter cette preuve. As-tu remonté ce problème à ta hiérarchie?

Dois-je me mettre en bowser ou en console sur mon switch pour voir si il y a du mirroring et ou puis-je voir cela ? Avez-vous la manip CLI pour voir cela en cas de console.

Je vais essayer de t'indiquer la manière de faire. Tout d'abord, assurons-nous que tu aies les droits. Il te faut taper la commande "show run" qui t'affiche la configuration en fonctionnement sur le switch. Cette configuration peut être très longue, donc si tu te connectes en telnet via Putty, n'oublie pas, dans la configuration de celui-ci, d'augmenter la valeur "Lines of scrollback" (dans menu Window), 1000 devrait suffire. Si la commande "show run" refuse de s'exécuter, c'est que tu n'as pas les droits suffisants. Il te faut alors utiliser au préalable la commande "enable", en espérant que tu aies le mot de passe pour le mode enable. Une fois en mode enable, tu peux taper "show run".

Supposons que tu aies réussi à obtenir le résultat de "show run", recherche dans la configuration tout ce qui contient "monitor session", tu devrais avoir des trucs dans ce style :

monitor session 1 source interface fastethernet 0/2 
monitor session 1 destination interface fastethernet 0/3

(les chiffres peuvent changer, mais le principe c'est d'avoir un "monitor session" en source, et l'autre en destination)

Si tu as ceci, alors il y a un port mirroring en place.

Encore une fois, je pense que ceci ne devrait pas être exécuté par toi, à plus forte raison si tu n'es pas administrateur système/réseau. J'estime que tu devrais te plaindre auprès de ta hiérarchie, et réclamer une enquête suivie d'une sanction disciplinaire si la culpabilité de ton collègue est avérée.

Bon courage

[AHP_Nils]

Pas de nouvelles, bonne nouvelle?

[Krapace]

IOS de CISCO est basé sur un noyau GNU/Linux donc IPTABLES

[AHP_Nils]

IOS de CISCO est basé sur un noyau GNU/Linux donc IPTABLES

T'as les source de l'IOS? Parce que j'aimerais bien savoir où tu as eu cette information.

Aux dernières nouvelles IOS est tout ce qu'il y a de plus propriétaire et les ACL ne s'écrivent pas comme des commandes iptables. Ou alors on m'a menti durant mes cours Cisco

[Krapace]

Ben on m'a toujours dit que IOS etait basé sur GNU/Linux.Ca veut pas dire que les sources sont ouvertes.

OSX est basé sur Unix...

Bref je regarderai mes cours ca doit bien etre marqué quelque part...Ou alors notre formateur a usurpé sa certif

[laure1975]

Re bonjour,

Je viens de me connecter sur le Switch et apparemment pas de mirroring en place. Concernant ma hiérarchie, je suis sur qu'il est dans le coup. Je pense par contre qu'il à du:

Soit installer wireshark, mais d'après les informations, il doit l'installer sur le pc Serveur pour récupérer les infos car cela ne fonctionne pas sur un PC WIFI. En clair je suis connectée en WIFI avec une adresse en 172.19.2.100, je ne peux pas récupérer les Get_Addresses entre mon routeur 172.19.2.1 et l'adresse IP de ma cible 172.19.2.150 par exemple.

Soit il a installé SubSeven car j'ai découvert un fichier avec un mot de passe Subseven. ;-)

Bises

Laure

[fgundomiel]

Vu ton archi réseau, si la connexion à internet est pas très rapide, il est techniquement possible de poser un hub entre le modem internet et le 3750 et d'y connecter une station d'écoute.

C'est tout à fait illégal, mais on voit faire de ces trucs aujourd'hui