21 mars 2016

Wireshark Dans un contexte recherchant toujours plus de sécurité, bon nombre d’entreprises se protègent contre les fuites d’informations pouvant compromettre leurs outils de sécurité.

Néanmoins, il est parfois nécessaire de fournir certains éléments comme des traces réseau permettant aux constructeurs ou intégrateurs d’effectuer une analyse approfondie des incidents.

Généralement, grâce à un partenariat fort et des normes de sécurité en place permettant de garantir la confidentialité et la sécurité de vos informations, la plupart des éléments y sont partagés.

Cependant, dans un cadre hautement sécurisé, il est parfois impossible de fournir des informations confidentielles telles que des adresses IP, adresses MAC pouvant potentiellement compromettre la sécurité du réseau de l’entreprise. Cela étant potentiellement pour nous ou pour les constructeurs une barrière dans la poursuite de l’analyse, il y a néanmoins une possibilité d’effectuer un nettoyage de la capture réseau.
Cet article a donc pour objectif de vous amener créer une nouvelle trace répondant aux exigences en matière de sécurité.

Pré-requis:

– Une capture réseau réalisée par un tcpdump ou l’application Wireshark sous l’extension .pcap

Tips: les fichiers .cap ne semblent pas pris en charge, il faudra donc modifier sa terminaison.

– Une plateforme Windows, Linux/BSD ou Mac OSX

– Télécharger l’application Bittwist permettant la modification des captures réseaux

https://sourceforge.net/projects/bittwist/files/

 

Installation sous Windows:
– Il faut passer par le programme Cygwin pour utiliser l’outil
– Lancer Cygwin puis suivre les étapes d’installation sous Linux

Installation sous Linux ou OSX:
– tar -xzf bittwist-macosx-2.0.tar.gz
– cd bittwist-macosx-2.0
– make
– sudo make install
Utilisation de Bittwist:
Voici quelques exemples de commandes permettant le nettoyage de vos captures réseau.
Les options qui s’offrent à vous:
-I	input file
-O	output file
-T	edit the specified header
-s	source IP address; specify the old and new IP addresses
-d	destination IP address; specify the old and new IP addresses
Remplacement des IP sources et destination par des adresses factices:
bittwiste -I pcap_original.pcap -O pcap_clean.pcap -T ip -s 192.168.108.128,10.0.0.128 -d 192.168.108.128,10.0.0.128
Votre IP 192.168.0.1 que vous ne souhaitez pas fournir sera ainsi remplacé par une IP factice que vous avez définie tel que l’adresse 10.0.0.1 sur tous les paquets dont l’adresse IP se trouve en source et en destination.

 

Clean_IP

 

Il est possible également de modifier la table ARP:
$ bittwiste -I http_m1.pcap -O http_m2.pcap -T arp -p 192.168.108.128,10.0.0.128 –q 192.168.108.128,10.0.0.128

 

Clean_ARP

 

Pour le nettoyage des adresses MAC:

$ bittwiste -I http_m2.pcap -O http_m3.pcap -T eth -s 00:0c:29:61:82:89,00:11:22:DD:EE:FF -d 00:0c:29:61:82:89,00:11:22:DD:EE:FF

 

Enfin, il y a d’autres probabilités comme le changement de ports, d’adresses MAC dans la table ARP…

 

Partager :

Auteurs