Bonjour.



Sous Linux, j'avais l'habitude d'utiliser wireshark. Passee depuis quelques semqines , passee a OpenBSD, je cherche un remplacant a Wireshark

- 1 : avec tcpdump , j'etais un peu decue de ne pas pouvoir capturer l'ensemble du contenu des paquets, a moins que je fasse une mauvaise manip..

- 2 : J'ai tout d'abord decouvert Netdude, qui refuse de m'afficher les paquets captures avec tcpdump.

-3 Ettercap.

J'ai vu qu en plus d'etre un sniffer , il permettait de simuler des attaques, pour tester la protection de son reseau.

je le lance en root avec ettercap -G, il me sort ce message

Listening on nfe0...

nfe0 -> 8C:33:00:00:00:00 192.168.178.20 255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 32767 GID 32767...

28 plugins
38 protocol dissectors
52 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
UTF-8 support not compiled in.
Je ne sais pas ce que je dois faire suite aux deux messages.. Sont-ils bloquant ?

Pour l'instant ( je decouvre pas a pas OpenBSD ) , je n'ai encore rien fait pour SSL, ni encore installe Apache.

Je comprend que mon ettercap ne sait pas gerer l'UTF 8, mais je n'ai pas tres envie de me lancer dans sa recompil..

Dois je changer qq chose dans ma conf , pour utiliser un autre encodage.. ? ( l' encodage est un vrai calvaire



Avant de lancer la capture, je choisis dans le menu Loggin :

Log all packets and info.

Il veut bien me creer un fichier de capture /tmp/testcap.ecp

Dans la fenetre principale je vois bien les captures defiler..

Mais lorsque je clique sous View Details je n'obtiens guer plus :

Source MAC address : 00:15:F2:91:CD:51
Destination MAC address : 00:1F:3F:4E2:29

Source IP address : 192.168.178.20
Destination IP address : 129.128.5.191

Protocol: TCP
Source port: 44716
Destination port: 80 http

Transferred bytes: 26281
Pourtant dans /tmp/testcap.ecp , j'ai bien le contenu des paquets : exemple..

html HTTP/1.1
Referer: http://www.openbsd.org/faq/fr/faq4.html
Accept: text/html, image/jpeg, image/png, text/*, image/*, */*
Accept-Encoding: x-gzip, x-deflate, gzip, deflate
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5
Accept-Language: en
Host: www.openbsd.org
Connection: Keep-Alive
Je dois probablement faire un erreur de manip, mais j'ai beau chercher dans la doc.. je ne trouve pas comment avoir un affichage du contenu complet des paquets avec ettercap.

Il existe de nombreux tutos, mais ils sont helas plus interresses par ses plugins de crak

Pourtant , il me semble utile d'avoir ce detail, pour analyser par exemple des tentatives d'intrusions..

Mais comment font-ils ?

C'est peut etre les mauvaises habitudes de travail, avec Wireshark, que je maitrisais assez bien, mais je fais confiance aux OpenBSDistes, pour avoir les bons outils.

Si la doc d'install est vraiment tres bien faite, ensuite pour le reste on est un peu larguee.. ca s'adresse un peu aux specialistes qui jonglent avec tout ca, aussi une petite aide serait la bienvenue.

Je ne comprend pas trop ce qu' ils nous expliquent dans etter.conf et l'interaction avec pfctl. Je n'ai qu un simple PC et je n'utilise pas de redirection. Je n'ai pas encore installe sslsniffer.

Pour l'instant je veux juste voir les paquets qui arrivent sur mon navigteur, comme je le faisais avec wireshark.

Aussi je n'ai rien touche pour l'instant.

#---------------
# Open BSD
#---------------

# unfortunately the pfctl command does not accepts direct rules adding
# you have to use a script wich executed the following command:

# ----- cut here -------
# #!/bin/sh
# rdr pass on $1 inet proto tcp from any to any port $2 -> localhost port $3 | pfctl -a sslsniff -f -
# ----- cut here -------

# it's important to remember that you need "rdr-anchor sslsniff" in your
# pf.conf in the TRANSLATION section.

#redir_command_on = "the_script_described_above %iface %port %rport"
#redir_command_off = "pfctl -a sslsniff -Fn"

# also, if you create a group called "pfusers" and have EC_GID be that group,
# you can do something like:
# chgrp pfusers /dev/pf
# chmod g+rw /dev/pf
# such that all users in "pfusers" can run pfctl commands; thus allowing non-root
# execution of redir commands.
J'ai configure mon PF ( c'est bien plus facile a comprendre qu iptables.. Je n'ai jamais bien compris leur schema et ne parlons pas de la table MANGLE.. )

Mais je voulais le tester avec un sniffer et avec un generateur de paquets.. ( ce n'est pas de la parano, mais pour apprendre : c'est bien la bonne methode, pour tester sa coniguration de pf ? )

Pour ca , j'ai trouve tout d'abord libnet , puis packit qui me semble plus interressant.

Est ce bien les bons outils, ou suis je passee a cote de qqchose.. ?

Je regarderais egalement nessus & snort , mais chaque chose en son temps.

Ensuite , parce que c'est le but : tester la securite d' un site web sur mon serveur local qui sera ouvert sur Internet ( c'est la raison pour laquelle j'ai choisi OpenBSD, la securisation complete de Linux etant fastidieuse et tres complexe et le remede pouvant etre pire que le mal si on se plante.. Gentoo hardened, pax grsecurity conntrack.. .. j'ai abandonne...).

J'ai egalement trouve Nikto et SARA ( qui ne sont pas a proprement parler des outils BSD ), pour faire des tests plus complets..

A partir de ces recommandations

http://www.webappsec.org/projects/threat/

( parfois j'ai des doutes sur la securisation de certains CMS , le notre resiste malgre ses lacunes, mais il est chez un hebergeur OpenBSD , ce qui a fini par me convaincre.. En tant que webmaster , je dors tranquille, avec un hebergeur OpenBSD . Puis la municipalite de ma ville a choisi OpenBSD pour securiser tout son systeme informatique, ils avaient indique ce lien : .http://www.benzedrine.cx/dhartmei.html ).

Pour me presenter un peu , c'est mon premier post, je suis une vieille dame retraitee de l'informatique : les systemes embarques temps reel : un domaine passionnant, surtout la validation des logiciels, a mes debuts c'etaient des systemes prototypes, avec une vraie culture "risques" et une rigueur qui ont un peu disparu avec la generalisation de l'informatique, mais qu'on retrouve chez OpenBSD.. ( je comprend tout a fait ce qu' est un audit de code )

Toujours passionnee d'info , et j'ai besoin de cet exercice intellectuel, j'ai du me rabattre sur un PC, avec Linux pour commencer.. et la securite informatique est un domaine qui me passionne.

On m'a parfois dit que j'etais parano, mais je crois que les gens n'ont pas compris que le piratage etait tombe aux mains des mafias, et que meme un petit site doit etre protege ; ce n'est pas anodin d'ouvrir un serveur local sur internet. Ils ne semblent pas avoir compris non plus, que ces criminels disposent de tous ces outils de tests pour infiltrer des sites ou des serveurs mal proteges. L'enjeu n'est plus aujourdhui le contenu du site, mais la constitution de reseaux de piratage.

Sans vouloir troller, je pense que Linus avait tort de critiquer l'obsession de securite d' Open BSD, bien au contraire elle est plus que jamais d'actualite..

Mais pour l'instant, je suis dans la phase de decouverte et d'apprentissage d' OpenBSD et j'aurais surement d'autres questions.

Avec mes remerciements pour nous avoir mis ce forum a disposition.

Jacqueline