Omnipeek la solution est dans les paquets !

Politique de sécurité : analyse de la session FTP

Sécurité Réseau

Politique de sécurité : analyse de la session FTP

NetWalker Team
22 mars 2017
1 Comment

L’analyse de la session FTP

 

La politique de sécurité de votre entreprise bannit l’utilisation de protocoles « en clair » entre les postes internes … et Omnipeek a détecté une transaction FTP sur le réseau !

  • Quelle est l’origine de la transaction ?
  • Quels identifiants et mots de passe ont été exposés ?

Omnipeek va vous permettre de mener l’enquête et vous fournir les indices nécessaires pour répondre à vos interrogations.


 

Pour déterminer la source et le contenu de la transaction FTP, le plus simple est de sélectionner les protocoles FTP Ctl, FTP Data, HTTP et HTTP proxy depuis la section Protocols des Statistics et d’utiliser la commande Select Related Packets puis de copier les paquets incriminés dans un nouvel onglet pour une analyse détaillée.


l'analyse de la session FTP non autorisée fait partie du contrôle de la sécurité
La sélection de plusieurs protocoles est réalisée avec ctrl-clic
 

Un coup d’oeil sur la PeerMap permet un aperçu des échanges entre les postes.


La PeerMap permet de visualiser les échanges lors d'un audit de sécurité
 

La section Nodes des Statistics permet de sélectionner rapidement les adresses IP du réseau local.


L'identification de la source du flux FTP passe par la sélection des IP locales
Sélection des adresses IP du réseau local
 

L’analyse de la session FTP depuis les flux dans la section Flows des Experts permet de voir que plusieurs paquets ont été échangés entre l’adresse IP 192.168.1.66 et 192.168.1.194. C’est le signe d’une transaction FTP effective et qu’il ne s’agit pas d’une simple tentative de connexion.

C’est donc l’adresse IP 192.168.1.66 qui est la source du flux FTP non autorisé. Omnipeek vient de vous fournir la réponse à votre première question : quelle est la source du flux FTP non autorisé ?


Le nombre de paquets échangés indique une connexion FTP réussie
L’analyse de la session FTP indique un échange de données
 

En utilisant la commande Flow Visualizer puis l’onglet Payload vous obtenez la réponse à vos interrogations concernant les identifiants et mots de passe utilisés lors de la connexion FTP.


Omnipeek montre les identifiants et mots de passe utilisé lors du piratage du serveur et fourni le nom du fichier téléchargé
FTP : identifiants et mots de passe en clair c’est une faille de sécurité

  • Première tentative de connexion avec le login root.
  • Seconde tentative de connexion avec l’utilisateur ves et le mot de passe vaspa55w0rd.

 

Cette seconde tentative fonctionne et donne accès à l’ordinateur cible.

On peut y suivre les dossiers consultés et l’analyse de la session FTP via l’onglet Payload vous permet de recueillir encore plus d’informations, puisque c’est le fichier de backup nommé creditscards.bak qui est téléchargé !

Les preuves obtenues vont vous permettre de mener des investigations approfondies sur le poste concerné.

 

 

et comme toujours …
La réponse est dans les paquets !

Omnipeek est un puissant outil de diagnostic réseau

Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.

Une question ? Contactez-nous depuis le formulaire de contact disponible ici.
Les marques citées sont déposées par leurs propriétaires respectifs.

One thought on “Politique de sécurité : analyse de la session FTP

  1. Pingback: Comment chercher dans les flux efficacement et trouver des réponses ? | Diagnostic et sécurité réseau informatique Blog | NetWalker

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *