Nous sommes le 22 Mai 2017, 21:36

Heures au format UTC + 1 heure [ Heure d'été ]





Poster un nouveau sujet Répondre au sujet  [ 4 messages ] 
  Imprimer le sujet Sujet précédent | Sujet suivant 
Auteur Message
 Sujet du message: Forensique d'un réseau : où commencer
MessagePosté: 03 Jan 2014, 03:10 
Hors ligne
Avatar de l'utilisateur

Inscription: 08 Avr 2008, 14:05
Messages: 202
Localisation: DTC ?
Hello à tous et bonne année !

Aujourd'hui je vous fais une demande d'aide un peu particulière (et surtout pas dans la bonne section mais on peut plus y poster on dirait) : par où commencer dans l'analyse d'un réseau pour y déceler d'éventuelles traces d'intrusion, que ce soit au niveau judiciaire ou technique.

Plusieurs papiers couvrent le sujet, d'autres en abordent une partie (Zythom par exemple), mais j'aimerais avoir un peu vos avis sur la question, des vécus, des conseils (comment se monter un lab de test ?)...

_________________
A la recherche de sa signature...


Haut
 Profil  
 
 Sujet du message: Re: Forensique d'un réseau : où commencer
MessagePosté: 08 Jan 2014, 23:27 
Hors ligne

Inscription: 09 Mar 2012, 12:53
Messages: 1
Hello Venusos,

Tout le monde parait en vacances, donc voila les 2/3 premiers outils auxquels je penses, que j'aurais mis en place pour détecter des intrusions au niveau réseau.
Je pars dans le cas, où tu as un parc de machine, et que tu te mets en coupure ou active un miroring du trafic réseau.

- Dans un premier temps, détecter les traces de connexions à des IP suspectes depuis ton réseau (utilisation d'outils type netflows, ex: http://nfdump.sourceforge.net/). Par ce biais, tu détecteras aussi les transferts de données conséquents non désirés.

- Logger les requêtes DNS suspectes et vérifier la présence éventuelle des domaines/IPs dans des blacklists publiques, ainsi que dans un "passive DNS"; celui de virustotal par exemple (ex : https://www.virustotal.com/fr/domain/ns ... formation/)
L'outil BRO permet de faire analyses pas mal, à creuser :) => http://www.bro.org/sphinx/using/index.html

- Installation d'un snort pour détecter un comportement ou connexions suspectes.

J'ai jamais trop regardé les billets de Zythom (même si j'ai cru comprendre qu'il fait des trucs sympa), mais sachant qu'il est expert judiciaire, je suppose qu'il est plus à la recherche de trace de connexions réseau vers des sites pédo / frauduleux, et ne détecte pas les connexions vers des C&C de PC saisis.

Bonne chasse ;)
++


Haut
 Profil  
 
 Sujet du message: Re: Forensique d'un réseau : où commencer
MessagePosté: 09 Jan 2014, 04:05 
Hors ligne
Avatar de l'utilisateur

Inscription: 08 Avr 2008, 14:05
Messages: 202
Localisation: DTC ?
Ca correspond donc bien aux idées que j'avais au départ, sauf qu'au départ j'avais pas autant d'outils géniaux (juste wireshark, snort et à partir de là et de quelques déductions sur ce que je verrais sur les machines trouver les liaisons frauduleuses ou quoi), et c'est ptet aussi ce qui me manquait. Globalement Kali/Backtrack contiennent déjà tout ça et je pense que je vais y jeter un oeil.

Par contre un truc que j'ai eu beau chercher sur d'autres communautés, c'est comment faire un lab "péda". J'entends pas là une ou plusieurs machines qui, de la même manière que Metasploitable, seraient déjà volontairement infectées pour justement servir de TP. J'ai bien trouvé CFReDS qui a l'air d'être ce que je cherche mais y-a-t-il d'autres appliances disponibles à ta connaissance ?

_________________
A la recherche de sa signature...


Haut
 Profil  
 
 Sujet du message: Re: Forensique d'un réseau : où commencer
MessagePosté: 03 Aoû 2014, 13:51 
Hors ligne

Inscription: 19 Fév 2012, 21:25
Messages: 3
Si tu veux un labo de test, achète ce bouquin Hacking - Un labo virtuel pour auditer et mettre en place des contre-mesures


Haut
 Profil  
 
Afficher les messages précédents:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 4 messages ] 

Heures au format UTC + 1 heure [ Heure d'été ]


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
cron



HZV WILL NEVER DIE !!