Contactez-nous

How To: Le nettoyage d'une capture réseau

2 min. lecture

Share

Dans un contexte recherchant toujours plus de sécurité, bon nombre d'entreprises se protègent contre les fuites d'informations pouvant compromettre leurs outils de sécurité. Néanmoins, il est parfois nécessaire de fournir certains éléments comme des traces réseau permettant aux constructeurs ou intégrateurs d'effectuer une analyse approfondie des incidents. Généralement, grâce à un partenariat fort et des normes de sécurité en place permettant de garantir la confidentialité et la sécurité de vos informations, la plupart des éléments y sont partagés. Cependant, dans un cadre hautement sécurisé, il est parfois impossible de fournir des informations confidentielles telles que des adresses IP, adresses MAC pouvant potentiellement compromettre la sécurité du réseau de l'entreprise. Cela étant potentiellement pour nous ou pour les constructeurs une barrière dans la poursuite de l'analyse, il y a néanmoins une possibilité d'effectuer un nettoyage de la capture réseau. Cet article a donc pour objectif de vous amener créer une nouvelle trace répondant aux exigences en matière de sécurité. Pré-requis: - Une capture réseau réalisée par un tcpdump ou l'application Wireshark sous l'extension .pcap Tips: les fichiers .cap ne semblent pas pris en charge, il faudra donc modifier sa terminaison. - Une plateforme Windows, Linux/BSD ou Mac OSX - Télécharger l'application Bittwist permettant la modification des captures réseaux https://sourceforge.net/projects/bittwist/files/

Installation sous Windows:
- Il faut passer par le programme Cygwin pour utiliser l'outil
- Lancer Cygwin puis suivre les étapes d'installation sous Linux
Installation sous Linux ou OSX:
- tar -xzf bittwist-macosx-2.0.tar.gz
- cd bittwist-macosx-2.0
- make
- sudo make install
Utilisation de Bittwist:
Voici quelques exemples de commandes permettant le nettoyage de vos captures réseau.
Les options qui s'offrent à vous:
-I input file -O output file -T edit the specified header -s source IP address; specify the old and new IP addresses -d destination IP address; specify the old and new IP addresses
Remplacement des IP sources et destination par des adresses factices:
bittwiste -I pcap_original.pcap -O pcap_clean.pcap -T ip -s 192.168.108.128,10.0.0.128 -d 192.168.108.128,10.0.0.128
Votre IP 192.168.0.1 que vous ne souhaitez pas fournir sera ainsi remplacé par une IP factice que vous avez définie tel que l'adresse 10.0.0.1 sur tous les paquets dont l'adresse IP se trouve en source et en destination.

Il est possible également de modifier la table ARP:$ bittwiste -I http_m1.pcap -O http_m2.pcap -T arp -p 192.168.108.128,10.0.0.128 –q 192.168.108.128,10.0.0.128

Pour le nettoyage des adresses MAC:

$ bittwiste -I http_m2.pcap -O http_m3.pcap -T eth -s 00:0c:29:61:82:89,00:11:22:DD:EE:FF -d 00:0c:29:61:82:89,00:11:22:DD:EE:FF Enfin, il y a d'autres probabilités comme le changement de ports, d'adresses MAC dans la table ARP...

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés

Placeholder for Les tendances en matière de cybersécurité à surveiller en 2022Les tendances en matière de cybersécurité à surveiller en 2022

Cybersécurité Cyberattaques

Gestion de la surface d'attaque : stratégies et outils essentiels

L'ASM, intégré au CTEM, réduit les risques et renforce la sécurité en protégeant les actifs contre les cybermenaces internes et externes.

2 min. lecture
Placeholder for Cyber security engineers smilingCyber security engineers smiling

SOC NOC

NOC et SOC : Différences, forces et unification

Le NOC et le SOC sont essentiels pour les entreprises, combinant la gestion des opérations réseau et la cybersécurité. Leur unification NOC SOC garantit une surveillance 24/7, une gestion efficace des incidents et une résilience numérique optimale.

5 min. lecture
Placeholder for Aerial view new york streetsAerial view new york streets
EfficientIP

DDI DNS security DORA

Renforcer la conformité à la réglementation DORA grâce au DDI et à la sécurité DNS

Avec DORA, le secteur financier fait face à une pression pour renforcer sa résilience et répondre aux nouvelles exigences en matière de gestion des risques cyber. Renforcez votre conformité DORA avec DDI et la sécurité DNS.

6 min. lecture
Tous les articles