Routage : Capture et analyse de trames avec Wireshark

Capture et analyse de trames avec Wireshark

1. Objectifs :

• s’initier à l’analyse de trames
• utilisation du logiciel de captures de trames Ethernet
• consultation d’une documentation fournie

1. Contexte

Wireshark est un logiciel libre d’analyse de protocole, ou encore « packet snifer » de trames circulant sur le réseau. Il est utilisé dans le dépannage et l’analyse de réseaux informatiques, le développement de protocoles, l’éducation et la rétro-ingénierie, mais aussi le piratage.

Il permet :

• d’examiner les données qui transitent sur le réseau ;
• d’enregistrer les captures dans un fichier sur le disque ;
• de créer des filtres et des règles de colorations ;
• de décrypter des protocoles ;
• d’examiner les données qui transitent sur le réseau ;
• d’enregistrer les captures dans un fichier sur le disque ;
• de créer des filtres et des règles de colorations ;
• de décrypter des protocoles ;
• de visualiser le mécanisme d’encapsulation de couches utilisé dans les flux réseau selon le modèle  TCP/IP utilisé sur Internet

1. Mise en situation

Vous travaillez en tant que technicien informatique au sein d’une petite agence Web dans laquelle votre responsable soupçonne que des collaborateurs malveillants exercent une activité d’usurpation d’identité.

Il aimerait que vous soyez en mesure d’analyser le trafic réseau pour que vous mettiez en évidence de telles traces d’activités illicites ou que vous proposiez des solutions de sécurisation du trafic réseau après analyse.

Pour cela, il vous charge :

• d’installer le logiciel Wireshark sur votre poste
• de consulter les documents annexes qu’il vous a fourni afin de prendre connaissance du logiciel
• d’analyser le trafic réseau en exécutant le plan d’actions qui suit.

1. Plan d’actions

1. Installer le logiciel

1. Windows

Pour installer le programme, récupérer l’exécutable d’installation Microsoft (accepter au moins l’installation du supplément WinPCap, USBpCAP optionnel) sur le serveur ftp sionas (dans le répertoire « /Ressources/applications » du serveur ftp sionas, l’exécutable est nommé « Wireshark-win64-3.4.9.exe » en version 64 bits ou la version 32bits selon l’infrastructure de votre OS). Attention ne pas télécharger le logiciel directement depuis Internet pour ne pas perdre de temps et surcharger la bande passante.

1. GNU / Linux

Pour installer le programme sur une distribution de type Debian, il faut installer le paquet « wireshark » par l’intermédaire de votre gestionnaire de paquets.

Vous pouvez faire cela soit par l’intermédiare de votre interface graphique, soit en utilisant la ligne de commande suivante :

$sudo apt install wireshark

1. Configuration IP

Afin de connaître les caractéristique de votre machine, vous devez relevez sa configuration IP

1. Windows

Lancer une console système Ms. Windows et visualiser la configuration réseau de base :

$ipconfig /all

1. GNU∕Linux

Lancer une console Terminal et visualiser la configuration réseau de base :

$ip --color address show

1. Configuration

remplir les champs suivants :

• Adresse IP de la carte active :  172.16.254.196
• Adresse MAC de la carte active : 3C-7C-3F-19-FF-47
• Passerelle par défaut : 172,16,255,254
• Serveurs DNS : 172,16,255,254

1. Enregistrement d’une capture de flux réseau

• Démarrez l’application Wireshark
• Faites défiler les menus et affichez la barre d’outils dans l’interface de démarrage Wireshark.
• Sélectionnez l’interface (carte réseau) à utiliser pour la capture de paquets : dans le menu Capture, cliquez sur Interfaces. Celle-ci doit correspondre à l’interface réseau Ethernet qui est branchée au réseau SIO.LAN par un câble RJ45.
• Démarrez une première capture (« New Live Capture ») et observez les informations collectées par Wireshark. Observez les colonnes source et destination.

1. Que constatez-vous ?

• Arrêtez la capture. Enregistrez-la sous le nom « 01captureReseau ».

1. Création d’un filtre pour limiter la capture au trafic de la carte réseau sélectionnée

Dans Wireshark, il est possible d’utiliser deux type de filtres :

• le filtre de capture : permet de filter le trafic réseau qui sera enregistré et de n’enregistrer que les informations relatives au filtre
• le filtre d’affichage : permet de filtrer le contenu d’une capture réseau et de n’en afficher que les informations relatives au filtre

Vous allez ici créé des filtres de capture afin de ne pas enregistrer l’ensemble du trafic réseau capturé par votre poste et ainsi produire des captures de poids raisonnable (moins lourd en termes de taille qu’avec des captures complètes) et plus faciles à analyser par la suite.

• Dans le menu, cliquez sur le bouton Capture Options
• Dans la liste déroulante du haut, choisissez l’interface à filtrer. Puis cliquez sur le bouton Capture Filter[pic 1]
• Dans la fenêtre qui apparaît, cliquez sur le bouton « New »
• Dans les champs « Properties », « Filter Name » choisissez un nom pour votre nouveau filtre, exemple : « IP address carte ethernet » ou « IP address carte1 hôte n ».
• Dans le champs « Filter String » indiquez la chaine de caractères suivante : host 172.16.x.x. en remplaçant l’adresse IP (comportant des x) par celle de votre interface réseau sur SIO.LAN
• Validez
• Ensuite, cliquez sur Start pour démarrer une nouvelle capture. Vous allez donc refaire le même type capture que pour l’étape 4.3 mais en utilisant ce nouveau filtre cette fois.
• Enregistrez la capture sous le nom « 02captureFiltre »

1. Protocoles d’audit du flux réseau de l’entreprise

Vous allez désormais effectuer des manipulations qui vont générer du trafic Internet afin de valider votre aptitude à auditer le trafic réseau au sein de l’entreprise. Ce trafic sera enregistré dans différentes captures en suivant les scénarios qui vous seront proposés. On vous demande de réaliser :

...