How To: Le nettoyage d'une capture réseau

2 min. lecture

Share

Dans un contexte recherchant toujours plus de sécurité, bon nombre d'entreprises se protègent contre les fuites d'informations pouvant compromettre leurs outils de sécurité. Néanmoins, il est parfois nécessaire de fournir certains éléments comme des traces réseau permettant aux constructeurs ou intégrateurs d'effectuer une analyse approfondie des incidents. Généralement, grâce à un partenariat fort et des normes de sécurité en place permettant de garantir la confidentialité et la sécurité de vos informations, la plupart des éléments y sont partagés. Cependant, dans un cadre hautement sécurisé, il est parfois impossible de fournir des informations confidentielles telles que des adresses IP, adresses MAC pouvant potentiellement compromettre la sécurité du réseau de l'entreprise. Cela étant potentiellement pour nous ou pour les constructeurs une barrière dans la poursuite de l'analyse, il y a néanmoins une possibilité d'effectuer un nettoyage de la capture réseau. Cet article a donc pour objectif de vous amener créer une nouvelle trace répondant aux exigences en matière de sécurité. Pré-requis: - Une capture réseau réalisée par un tcpdump ou l'application Wireshark sous l'extension .pcap Tips: les fichiers .cap ne semblent pas pris en charge, il faudra donc modifier sa terminaison. - Une plateforme Windows, Linux/BSD ou Mac OSX - Télécharger l'application Bittwist permettant la modification des captures réseaux https://sourceforge.net/projects/bittwist/files/

Installation sous Windows:
- Il faut passer par le programme Cygwin pour utiliser l'outil
- Lancer Cygwin puis suivre les étapes d'installation sous Linux
Installation sous Linux ou OSX:
- tar -xzf bittwist-macosx-2.0.tar.gz
- cd bittwist-macosx-2.0
- make
- sudo make install
Utilisation de Bittwist:
Voici quelques exemples de commandes permettant le nettoyage de vos captures réseau.
Les options qui s'offrent à vous:
-I input file -O output file -T edit the specified header -s source IP address; specify the old and new IP addresses -d destination IP address; specify the old and new IP addresses
Remplacement des IP sources et destination par des adresses factices:
bittwiste -I pcap_original.pcap -O pcap_clean.pcap -T ip -s 192.168.108.128,10.0.0.128 -d 192.168.108.128,10.0.0.128
Votre IP 192.168.0.1 que vous ne souhaitez pas fournir sera ainsi remplacé par une IP factice que vous avez définie tel que l'adresse 10.0.0.1 sur tous les paquets dont l'adresse IP se trouve en source et en destination.

Il est possible également de modifier la table ARP:$ bittwiste -I http_m1.pcap -O http_m2.pcap -T arp -p 192.168.108.128,10.0.0.128 –q 192.168.108.128,10.0.0.128

Pour le nettoyage des adresses MAC:

$ bittwiste -I http_m2.pcap -O http_m3.pcap -T eth -s 00:0c:29:61:82:89,00:11:22:DD:EE:FF -d 00:0c:29:61:82:89,00:11:22:DD:EE:FF Enfin, il y a d'autres probabilités comme le changement de ports, d'adresses MAC dans la table ARP...

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés