Le but de ce TP est d’utiliser et appréhender nmap, l’explorateur de réseaux, en boîte bleuche, ie en connaissant le système et en observant également du point de vue de l’équipe bleue. Vous devez rendre un compte-rendu pour ce TP sur AMETICE.

Ce compte-rendu sera organisé en deux parties:

synthèse : exposant les résultats pertinents sous forme synthétique
annexe : reprenant possiblement l’ensemble des opérations effectuées; en particulier, l’annexe devra contenir les scans exhaustifs justifiant les résultats de la partie synthèse, ainsi que vos expérimentations éventuelles avec suricata

Equipe Rouge
Equipe Bleue
- Observation
- Contre-mesures
  - Ralentissement
  - IPS

Equipe Rouge

Cible

La cible de votre exploration sera votre maquette SI. Faire éventuellement des duplications ou des sauvegardes, avant de commencer ce TP.

Précautions

Préparer un sous-réseau connecté à votre routeur-pare-feu, et bloquer tout trafic depuis ce sous-réseau vers l’extérieur.

Votre environnement offensif

Télécharger ou installer une VM sous kali ou Parrot OS ou votre système préféré. A quel point pouvez-vous garantir qu’il s’agit bien d’une version officielle ?

Ajouter les exceptions nécessaires au pare-feu pour accéder aux dépôts et page web de votre distribution.

Exploration

Documentation

(datée mais toujours valable pour les principes généraux et les premiers scans)

options pour la découverte
options pour le scan de base
résumé des options
documentation officielle

Reconnaissance

En vous plaçant à l’extérieur de votre maquette (cela peut nécessiter la création d’un nouveau sous-réseau exterieur permettant de communiquer, notamment, avec le DNS),

Utiliser les outils dnsenum et autres de kali pour établir le périmètre exact du réseau cible.
Commencer par cartographier le réseau avec des scans ICMP (Ping)
Utiliser au moins une fois pour chaque méthode de scan l’option --packet-trace
Déterminer l’ensemble exact des ports ouverts ou filtrés sur votre maquette.
Recommencer avec zenmap

Découverte

Recommencer les étapes précédentes en plaçant votre VM Kali à l’intérieur du réseau de votre maquette.

Tester également les scans ARP.

Equipe Bleue

Observation

Pour chacune des opérations en mode “équipe rouge”, observer le trafic émis avec wireshark.

Contre-mesures

Ralentissement

En consultant ce document, reconfigurer votre pare-feu pour ralentir l’équipe rouge. Cela dégrade-t-il la qualité de votre système ?

Pouvez-vous utiliser votre parefeu pour bannir les IPs effectuant les scans les plus grossiers ?

IPS

Installer et configurer un IPS (comme suricata) permettant de détecter et de filtrer les scans que vous avez utilisés.

A quel niveau de détection pouvez-vous parvenir sans augmenter le nombre de faux positifs de manière significative ?