Dans un contexte recherchant toujours plus de sécurité, bon nombre d'entreprises se protègent contre les fuites d'informations pouvant compromettre leurs outils de sécurité. Néanmoins, il est parfois nécessaire de fournir certains éléments comme des traces réseau permettant aux constructeurs ou intégrateurs d'effectuer une analyse approfondie des incidents. Généralement, grâce à un partenariat fort et des normes de sécurité en place permettant de garantir la confidentialité et la sécurité de vos informations, la plupart des éléments y sont partagés. Cependant, dans un cadre hautement sécurisé, il est parfois impossible de fournir des informations confidentielles telles que des adresses IP, adresses MAC pouvant potentiellement compromettre la sécurité du réseau de l'entreprise. Cela étant potentiellement pour nous ou pour les constructeurs une barrière dans la poursuite de l'analyse, il y a néanmoins une possibilité d'effectuer un nettoyage de la capture réseau. Cet article a donc pour objectif de vous amener créer une nouvelle trace répondant aux exigences en matière de sécurité. Pré-requis: - Une capture réseau réalisée par un tcpdump ou l'application Wireshark sous l'extension .pcap Tips: les fichiers .cap ne semblent pas pris en charge, il faudra donc modifier sa terminaison. - Une plateforme Windows, Linux/BSD ou Mac OSX - Télécharger l'application Bittwist permettant la modification des captures réseaux https://sourceforge.net/projects/bittwist/files/
-I input file -O output file -T edit the specified header -s source IP address; specify the old and new IP addresses -d destination IP address; specify the old and new IP addresses
Il est possible également de modifier la table ARP:$ bittwiste -I http_m1.pcap -O http_m2.pcap -T arp -p 192.168.108.128,10.0.0.128 –q 192.168.108.128,10.0.0.128
Pour le nettoyage des adresses MAC:
$ bittwiste -I http_m2.pcap -O http_m3.pcap -T eth -s 00:0c:29:61:82:89,00:11:22:DD:EE:FF -d 00:0c:29:61:82:89,00:11:22:DD:EE:FF Enfin, il y a d'autres probabilités comme le changement de ports, d'adresses MAC dans la table ARP...