Wireshark: detection intrusion reseauRésolu/Fermé

Question

Bonjour à tous,

je viens d'apprendre que dans mon entreprise il y avait des probleme de securité bancaire, je souhaiterais si il était possible de detecter une intrusion reseau avec wireshark et comment faire, quel(s) filtre(s) appliquer??
Merci d'avance à tout les répondants!! [=



Configuration: Windows Vista / Firefox 3.6.13

Malekal_morte- · Answer

Salut,

tu entends quoi par problème de sécurité bancaire ?

WireShark c'est un outil d'écoute réseau, donc ça permet de voir ce qui passe sur un réseau... mais ça fait pas tout.
Donc à lui tout seul, je dirai non.
En plus tout dépend ce qui est visé sur le réseau etc.

Bref y a pas vraiment de réponse à ta question...

elXir · Answer

merce de me répondre Malekal_morte,

par problème de securité bancaire j'entends problème de coordonnées, explication: deja 2 client ayant payé par carte bancaire on été victime de fraude, il on été debiteur de ~1000 $ us a une semaine d intervalle. donc soit le problème vient de notre banque soit nous somme victime d écoute frauduleuse.
c'est pour ca que jaurais voulu savoir si il y avait avec WS un moyen de repérer une connexion anormal

brupala · Answer

Salut,
wireshark est un analyseur de protocole,
il faut capturer le traffic sur une machine particulière, pas sur un réseau, ou alors en faisant des modifications.
Il n' est pas du tout pratique pour détecter des intrusions.
D'autre part, comme Malekal, je ne vois pas de rapport direct entre surveillance réseau privé et "problème de sécurité bancaire" .
La sécurité bancaire, ça se passe à la banque et je suppose que tu n'es pas chargé de la sécurité du réseau bancaire.
pour surveiller les intrusions sur un réseau, il vaut mieux utiliser une sonde rmon2

Malekal_morte- · Answer

@elXir: mais tu es un simple client ou tu travailles dans cette banque ?

elXir · Answer

je ne travaille pas dans une banque mais des fichier contenant des coordonnées bancaire sont stocker sur notre serveur voila pourquoi je souhaiterais realiser une analyse du reseau pour une eventuelle intrusion. si WS ne convient pas je suis ouvert a toute proposition... de logiciel biensur ;) mieux adapté a mon problème

Malekal_morte- · Answer

heuu donc t'es en train de nous dire que t'as un serveur avec des coordonnées bancaires qui permettent de faire des transactions et t'en en train de nous demander comment on fait pour voir si y a des intrusions sur ton serveur ?! 

Et sinon.... dans l'optique que ton serveur a été hacké, le pirate il se connecte pas à chaque fois qu'il veut piquer de la thune sur un compte, il est pas débile, il a volé tout le fichier de coordonnées bancaires et maintenant il est chez lui et voila.... 

Sinon pour répondre directement à ta question oui WS peut aider étant donné qu'il est capable de donner toutes les connexions avec les données qui transitent sur les interfaces réseaux d'une machine, donc tu y verras les connexions anormales. 

M'enfin dans le cas d'une machine hackée, y a d'autre moyen de savoir si y a eu des instrusions, à commencer par regarder ce qui tourne dessus pour voir si y a pas un malware. 

Mais bon si y a des données aussi sensibles, vous êtes normalement en mesure de faire face à des fuites....

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

elXir · Answer

Non je n'ai pas acces au srv je nsuis que le webmaster de la boite et nous sommes 6 et les collègues ne sont pas informaticiens a part un qui n'est pas là.

Je me doute bien que le pirate ne se connecte pas a chaque fois mais si le serveur c'est fait hacké (ensupposant que le prob vienne de chez nous et pas de la banque) alors il a du laisser des traces.

Je ne pense pas que le srv soit accessible de l'exterieur.

Malekal_morte- · Answer

Bhaaaa. 
A moins que brupala aie une meilleur idée. 

Perso vu la sensibilité des données, je pense que vous devriez faire un audit et faire appel à qq1, ne ce serait que pour savoir si le serveur est encore hacké et surtout pour ne pas que ça recommence. 

Là on a répondu à ta question mais on pourra pas t'aider davantage étant donné qu'on ne connaît pas l'architecture. 
C'est pas sur un forum qu'on règle ce genre de choses, à mon sens. 

A la limite, si ça peux te rassurer, on peux faire un check du serveur comme un "PC de monsieur tout le monde" en regardant ce qui tourne pour éventuellement déterminer si y a un malware.

Et sinon petit commentaire de la part d'un consommateur.... ça fait un peu peur votre histoire.... pour nos "données".

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

elXir · Answer

je suis d'accord avec toi, on ne regle pas ca sur un forum et je ne suis pas venu pour réglé le prob mais avoir des idéés et vous faites ca a merveille :D !!!

quand tu dis faire un check, le "on" c'st la communauté CCM ou info pro ou moi?

Malekal_morte- · Answer

La communauté CCM, comme il y a dans la partie Virus : https://forums.commentcamarche.net/forum/virus-securite-7

En gros on génère des rapports avec des programmes qui permettent de voir ce qui tourne sur le serveur et donc potentiellement si y a un malware.
Sachant que normalement, si y a un antivirus il est censé le voir.

elXir · Answer

hmmm, interessant, pourrais tu si ca ne te dérange pas me dir cmt procédé a une audit dans les règles de l'art?

et l'anti virus est CENSE detecter, c'est bien ca le malaise "CENSE"

Malekal_morte- · Answer

Pour que ce soit clair : Ca permet juste de déterminer éventuellemetn si y a un malware qui tourne au niveau de Windows (en gros un processus ou une DLL ou un driver). Si le serveur est sous Windows.
Genre si y a un site sur le serveur avec un Shell ou des vulnérabilités qui permettent d'accéder à une base de données derrière etc, on le verra pas. 


Donc à faire : 

* Télécharge [url=http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/]OTL[/url] sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 

* Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 
* Clique sur le bouton Quick Scan. 
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt. 

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

elXir · Answer

je fais ca de suite, mais comment ca realise une audit du srv alors qui je suis sur mon bureau

Malekal_morte- · Answer

hum..... 

Computer Name: PC-STAGIAIRE | User Name: Stagiaire | Logged in as Administrator. 

t'as lancé OTL sur ton PC ?


Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

elXir · Answer

c'este que je t'ai dmandé, je savais bien que ca me semblait louche xD!! je n'ai pas acces au srv et trop de taff pour prendre le tps de me mettre dessu. par contr je veux bien que tu maiguille sur 2 3 choses qui apparaissent dans les fichiers quand il y  anomalie sil te plais

Malekal_morte- · Answer

humpfff... trop de taff alors que tu viens ici  ?   
Y a des barres d'outils à gogo, y a du torrent, y a unreal tournement, y a trillian.... Un AV gratos.... PC-de-Stagiaire.... qui ressemble un peu aussi à un PC d'ados.   
Déjà que je trouve ton histoire un peu bancale... comme par hasard, tu peux pas accéder au serveur et tu sais mm pas s'il est accessible de l'extérieur.   

Y a un truc qui me dérange....   

De toute façon, si t'es stagiaire, c'est pas de ton ressors.
Si en plus le stagiaire a accès au serveur avec des données bancaires, c'est à se tirer une balle.  

Bref on va arreter là.  

Remember when you were young, you shone like the sun.   
Shine on you crazy diamond.   
Now there's a look in your eyes, like black holes in the sky.   
Shine on you crazy diamond.

elXir · Answer

oualala c'est ce que tu entends par COMUNAUTE laisse moi rire et ouvre un dico
comunaute = entraide et partage!!!

je suis arrivé au moi de septembre (encore dans les études) j'ai repris un pc derrière qq1 qui la repris derrière qq1 voila pourquoi le nom stagiaire!! je suis donc apprentit, je gère 5 site commerciaux pour ma boite
Mon patron et son associé aime se faire des lan certains soir après le boulo voila pourquoi Unreal! ensuite AV gratos, ca tu demandras a mon patron et pour finir je suis le seul a avoir un minimum de connaissance info dans la boite appart l'assoss du patron qui n'est pas la mais si (et ce n'est pa la première fois que je le remarque) on est incriminé de poser des question dès qu on ne sort pas de suppinfo alors ce forum ne sert vraiment a rien!

BRAVO belle mentalité! ce n'est pas la première fois que je vois une question resté sans réponse parceque certains n'ont pas voulu repondre parceque ca semble louche xD on dirait quil y en a qui n'ont jamais débuté!!

Mais bon on relativise ce n'est pas grave, il y a des con partout et jirais poser mes question ailleurs, là où on sait écouté et où on ne se prend pas pour dieux par ce qu'on sait administrer un srv!

sur ce bonne journée a tous et merci quand même de vos réponses!

elXir · Answer

au passage, on ne juge pas quand on ne connait pas!

Malekal_morte- · Answer

C'est hallucinant comment vous prenez la mouche pour un rien.  
J'ai dit que y avait un truc qui me dérangeait dans ton histoire, c'est comme ça que je perçois la chose, j'ai le droit non ?  

Par contre, quand je vois tout ce qui tourne sur ton PC, notamment du torrent, là par contre, y a un réel soucis au niveau sécurité et compagnie.  
Je suis désolé, mais ça n'a rien à faire sur le réseau d'une entreprise, c'est tout simplement anormal surtout si derrière y a des données sensibles qui sont hébegés chez vous.  
Là ouais je juge qq part, car si y a ça qui tourne sur mon réseau, le gars je l'engueule direct, ça n'a rien n'à faire là et ça ammène que des prb.  

En général, on se fait hacker par néglieance informatique ou parce que vraiment on a été visé et que la personne voulait vraiment entrer.  
Si je t'ai dit de faire un audit de sécurité, pour au moins faire un état des lieux et pas que ça recommence....  parce que si vous avez aucune idée comment c'est venu, c'est certains que ça va recommencer...  
La personne qui va faire un audit, c'est sûr qu'elle va vous épingler sur le torrent et compagnie... comme je l'ai fait.  

Maintenant, je t'ai pas demandé de justifier, c'est votre entreprise, votre réseau, au final, j'en ai rien à faire si vous jouez au autre mais je trouve que ça fait peur si vous abritez des données sensibles et là mon côté client qui parle.  
Mets toi aussi un peu à la place des clients aussi et à ma palce, tu viens en parlant de hack et de données bancaires et à côté de ça, t'as du torrent et compagnie qui tournent, c'est un peu choquant....

Bref, fallait pas le prendre comme de la morale pour morale.  
Plus comme une mise en garde.  

maiintenant tu en fais ce que tu veux, on se connait pas :) 

Remember when you were young, you shone like the sun.  
Shine on you crazy diamond.  
Now there's a look in your eyes, like black holes in the sky.  
Shine on you crazy diamond.

Wireshark: detection intrusion reseau

19 réponses

Discussions similaires

Newsletters