Audit et Test - Abdallah Nourdine

Audit et Test
I.
1
Premier partie Nmap
Nous allons faire un scan sur le Site de Acf’2i. C’est une société où j’ai effectué un stage
pendant six mois.
1- Topologie:
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
2
2- Sortie nmap
Dans cette image nous voyons bien que les ports 21 et 80 qui correspondent successivement au
trafic FTP et TCP sont ouverts.
Par contre le numéro 25 (encadré en bleu) est filtré pour tout trafic Smtp comme le montre la
figure ci-dessous.
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
3
Néanmoins nous trouvons un bon nombre des ports fermés :
Que signifie les termes « open » et « filtred » en audit ?
Open : Ici, une application accepte des connexions TCP ou des paquets UDP sur ce port et
c’est le but principal du scan de ports.
Filtred : Cela veut dire que nmap n’a pas pu déterminer si le port du service smtp est ouvert.
Cela peur être expliqué si des dispositifs de filtrage de paquets sont mis en œuvre pour empêcher
les paquets de tests d’atteindre leur port cible.
Est-ce-que le fait que des ports sont ouverts on se trouve dans une situation de
vulnérabilité ?
Pour répondre à cette question, nous allons faire venir une application appelée « nessus » pour
nous donner plus d’informations en faisant un scan plus profond.
Nessus
C’est le résultat affiché par Nessus. On a 22 éléments vulnérables mais nous allons faire le
choix de ce qui est important.
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
4
A présent nous allons exploiter ce résultat :
1-« haut » pour le serveur FTP
Ce qui risque ici ce que le serveur est vulnérable à une attaque de rebond. Il est possible de
forcer le serveur à des tiers en utilisant la commande « PORT ». Ce problème va permettre
aux intrus d’utiliser les ressources réseaux pour d’autres hôtes en leur faisant croire qu’ils
existaient dans le réseau de l’entreprise.
 les risques
Ce résultat va nous intéresser surtout pour le score CVSS.
La vulnérabilité avec un score de 7.5 est classée comme étant critique et la valeur du métrique
montre que la complexité d’accès est faible ce qui présente un danger pour la société. En
regardant le score CVSS temporelle (6.2), on constate que des nombreuses applications
clientes et les services publics ont des vulnérabilités locales qui peuvent être exploitées à
distance, soit par des utilisateurs complices ou par l’intermédiaire d’un traitement automatisé.
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
5
 Gravité de la situation
Ci-dessous on trouve un extrait de NESSUS qui montre la gravité de la vulnérabilité.
Gravité: haute
La commande suivante, en demandant au serveur de se connecter à 169.254.133.207 sur
le port 10794:
PORT 169,254,133,207,42,42
produit la sortie suivante:
200 PORT command successfuls
3- Moyen
Ici le serveur web s’exécute sur l’hôte distant disposant d’une vulnérabilité de divulgation
d’information. Le risque est que il peut avoir des attaques de type croos-site scripting.
Exploitation local : NON
Remote : OUI
Disponibilité : oui
Accès : privée
La complexité d’accès est moyenne. La société doit volontairement interagir avec des
mécanismes d’attaques.
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
6
Sur cette image l’information importante est que le port TCT 80 est ouvert mais on voit bien
que la connexion est fermée.
4- Risque Bas
Abdallah NOURDINE
Ingesup 2012-2013
Audit et Test
7
Sur serveur FTP distant, l’utilisateur peut demander peut demander ses identifiant et ces
derniers peuvent être interceptés par un analyseur du réseau ou une attaque de type man-inthe-middle. On voit bien que c’est au niveau du port 21 alors que ce dernier est ouvert.
 Ce qu’il faut retenir ce que ce n’est pas parce que le port est ouvert qu’on a le droit
facilement d’y accéder. Mais avec ces éléments un expert peut bien les exploiter.
Ceci va être confirmé par l’image ci-dessous :
Conclusion
En fin il faut se méfier de l’attaque rebond FTP.
Quoi faire ?
Il suffit de faire en sorte que le serveur FTP peut rendre les données de connexion vers le
même hôte que la connexion de contrôle provient. Ceci va empêcher le site d’été un
bouncepoint potentiel.
Autre chose est d’interdire les connexions de commande FTP qui viennent des ports réservés
ou au moins le port 20. Utiliser les moyens de spoofery pour empêcher les hacks de ces
genres.
Abdallah NOURDINE
Ingesup 2012-2013