2. Enseignement
  3. M2 Sécurité Internet Réseaux
  4. 06_nmap-bblanche
  5. NMAP — Boîte blanche

NMAP — Boîte blanche

Updated Modifié

Le but de ce TP est d’utiliser et appréhender nmap, l’explorateur de réseaux, en boîte blanche. Vous devez rendre un compte-rendu pour ce TP sur AMETICE.

Equipe Rouge

Cible

La cible de votre exploration sera votre maquette SI. Faire éventuellement des duplications ou des sauvegardes, avant de commencer ce TP.

Précautions

Préparer un sous-réseau connecté à votre routeur-pare-feu, et bloquer tout trafic depuis ce sous-réseau vers l’extérieur.

Votre environnement offensif

Télécharger ou installer une VM sous kali ou Parrot OS ou votre système préféré. A quel point pouvez-vous garantir qu’il s’agit bien d’une version officielle ?

Ajouter les exceptions nécessaires au pare-feu pour accéder aux dépôts et page web de votre distribution.

Exploration

Documentation

(datée mais toujours valable pour les principes généraux et les premiers scans)

Reconnaissance

En vous plaçant à l’extérieur de votre maquette (cela peut nécessiter la création d’un nouveau sous-réseau exterieur permettant de communiquer, notamment, avec le DNS),

  1. Utiliser les outils dnsenum et autres de kali pour établir le périmètre exact du réseau cible.
  2. Commencer par cartographier le réseau avec des scans ICMP (Ping)
  3. Utiliser au moins une fois pour chaque méthode de scan l’option --packet-trace
  4. Déterminer l’ensemble exact des ports ouverts ou filtrés sur votre maquette.
  5. Recommencer avec zenmap

Découverte

Recommencer les étapes précédentes en plaçant votre VM Kali à l’intérieur du réseau de votre maquette.

Tester également les scans ARP.

Equipe Bleue

Observation

Pour chacune des opérations en mode “équipe rouge”, observer le trafic émis avec wireshark.

Contre-mesures

Ralentissement

En consultant ce document, reconfigurer votre pare-feu pour ralentir l’équipe rouge. Cela dégrade-t-il la qualité de votre système ?

Pouvez-vous utiliser votre parefeu pour bannir les IPs effectuant les scans les plus grossiers ?

IPS

Installer et configurer un IPS (comme suricata) permettant de détecter et de filtrer les scans que vous avez utilisés.

A quel niveau de détection pouvez-vous parvenir sans augmenter le nombre de faux positifs de manière significative ?