The BSD mascot drawed by Tatsumi Hosokawa
  Chuck's corner (site title)

Home
  Welcome!
  Who's that Chuck? [FR]

Articles
  Computer forensics [FR]
  Virtual-to-Remote Physical [FR]
  Promethee, educ. intranet [FR]
  Frenzy, live mini CD [FR]
  Open/Closed source sec. [FR]
  Installing FreeBSD 5 [FR]
  Powered by Unknown! [FR]

  Work in progress:
  Fingerprints analyzers [FR]

Software
  Ports [FR]
  HeV project

Links
  BSD sites in french [FR]
  BSD systems list [FR]
  Projects of the month [FR]

Search
  with Google's logo

  on this site:
  
  on BSD contents:
  

Les analyseurs d'empreintes réseau

Avertissement : article en cours d'élaboration.

De quoi s'agit-il ?

On pourrait définir un analyseur d'empreintes réseau comme un outil capable d'identifier un logiciel serveur (par exemple, un système d'exploitation, un serveur SMTP, etc.), par détermination d'une "empreinte" caractéristique de celui-ci (grâce aux réponses retournées à un jeu de tests) et rapprochement avec une base d'empreintes des différents logiciels de ce type (au contraire donc des "collecteurs de bannières" ne se fiant qu'aux déclarations de leurs cibles).

Selon les outils et protocoles considérés, l'identification peut porter sur l'éditeur, le modèle, la version et parfois certaines options de configuration des logiciels testés !

Bien que rarement perçus comme une famille d'outils à part entière, il existe - comme on le verra dans cet article - de nombreux outils de ce type, sans parler des projets en préparation.

Toujours dans le domaine de la sécurité, on trouve d'autres familles d'outils reposant sur des bases d'empreintes (on parle également de signatures), tels que les anti-virus (bases de virus), les systèmes de détection d'intrusion (bases d'attaques logiques), etc.

Objectifs de cet article

Outre une tentative de recensement, notre ambition est d'essayer de qualifier ces différents logiciels en les analysant suivant quatre axes constituant souvent leurs points faibles :

Il manque à cela une analyse plus directe de l'efficacité de ces outils en termes de reconnaissance d'un échantillon représentatif des logiciels serveurs du domaine considéré, mais faute de temps libre je réalise que ce travail est pour moi hors de portée...

De nombreux champs restent également à remplir (ceux contenant un "?") donc si vous voulez contribuer (ou simplement signaler une erreur), n'hésitez pas à vous manifester !

Vitalité des projets

Malgré une offre relativement riche, beaucoup d'outils ne sont plus activement développés, voire n'ont jamais dépassé le stade de la preuve de concept.

OutilProtocoles
supportés
Versions
disponibles
Port
FreeBSD ?
LicenceVitalité
du projet
Dernière
version
BSF??-???
ftpmapFTP0.4-GPL? (pas de réponse à notre courrier électronique)7 juin 2002
hping2??2.0.0r2???
identfp?1.0-???
induce-arp?0.2.7-???
iQ??-???
LdistFP?0.1.4-???
Nmap?3.00 (release), 3.10a9 (dev)3.00???
p0f?1.8.2.2 (release), 18.test10 (dev)1.8.2???
queso?980922980922???
ring?0.0.1-???
siphon?0.6660.666???
smtpmapSMTP, FTP (> v0.8.195β)0.8 (release), 0.8.195β0.8GPLToujours développé par l'auteur sur son temps libre5 décembre 2002
smtpscanSMTP0.3.10.3.1GPLToujours développé par l'auteur sur son temps libre17 novembre 2002
sprint?0.3-???
sprint-lite?0.2-???
telnetfp?0.1.2-???
thc-amap?1.2.1-???
wh_fingerprinter?1.0-???
winfingerprint?0.5.5- (win32)???
xprobe1?0.0.20.0.1p1???
xprobe2?2.0.1rc1-???

Richesse de la base d'empreintes

Ce point est un facteur clé de succès pour les outils de ce type. Personne ne pouvant disposer de tous les serveurs possibles pour un protocole donné, l'existence d'une communauté soumettant de nouvelles empreintes est essentielle.

OutilModèles identifiésVersions identifiéesEmpreintesInfrastructure
communautaire
Commentaires
ftpmap 0.4123260page sur FreshmeatLa base d'empreintes est peu évolutive car imbriquée dans le code source de l'outil
smtpmap 0.8 (SMTP)195350+46+50page sur FreshmeatL'outil a recours à 3 bases d'empreintes distinctes
smtpmap 0.8.195β (FTP)???page sur Freshmeat?
smtpscan 0.3.1488494répertoire de téléchargement dédié sur site communautaire-

Légende :
Modèles identifiés : le nombre de modèles (exemple : Apache, IIS) de logiciels identifiés.
Versions identifiées : le nombre de versions de logiciels identifiées, tous modèles confondus.
Empreintes : le nombre d'empreintes référencées. Le fait qu'il y en ait parfois plus que de versions identifiées peut indiquer la présence de collisions.
Infrastructure communautaire : les outils en ligne permettant l'interaction avec la communauté des utilisateurs, au delà du mél. de l'auteur et de sa page Web personnelle.

Stabilité du jeu de tests

Beaucoup d'analyseurs d'empreintes réseau sont encore des outils jeunes. En cas d'instabilité du jeu de tests utilisé pour identifier les logiciels serveurs, les empreintes obtenues risquent d'être remises en question.

OutilTestsInvariants ?Collisions ?Dépendance
conditions
locales ?
Dépendance
conditions
distantes ?
Evolutivité ?Commentaires
ftpmap 0.4148 x2nonoui??nonJe suppose que le premier jeu de tests est pour les connexions anonymes et le second pour les connexions authentifiées ? Le jeu de tests est peu évolutif car imbriqué dans le code source de l'outil
smtpmap 0.8 (SMTP)73oui (les 5 tests sur RSET)ouiouiouinonLe jeu de tests est peu évolutif car imbriqué dans le code source de l'outil. L'outil tient notamment compte des messages retournés par les serveurs (en plus des codes) mais n'exclut malheureusement pas les parties dépendantes de conditions locales dans le calcul de condensat correspondant. Les actions intermédiaires sont comptées comme des tests à part entière
smtpmap 0.8.195β (FTP)???????
smtpscan 0.3.115nonoui??nonL'auteur indique qu'il n'exclut pas de faire évoluer son jeu de tests (certains tests sont d'ailleurs commentés).

Légende :
Tests : le nombre de tests...
Invariants : on a un invariant lorsque le résultat d'un test est commun à tous les produits identifiés. Ceci dénote généralement un test superflu.
Collisions : on a une collision lorsqu'il existe plusieurs empreintes pour la même version d'un produit. Ceci dénote généralement un nombre de tests insuffisant.
Dépendances par rapport à des conditions locales : on a une dépendance de ce type lorsque la machine utilisée pour réaliser le test influe sur le résultat de celui-ci (exemple : echo du nom ou de l'adresse de la machine pris en compte dans l'empreinte).
Dépendances par rapport à des conditions distantes : on a une dépendance de ce type lorsque le résultat d'un test dépend d'une configuration distante (exemple : echo du nom ou de l'adresse de la machine pris en compte dans l'empreinte, existence ou absence d'un compte particulier).
Evolutivité : un jeu de tests est dit évolutif si les empreintes de la base font référence à quelque chose identifiant celui-ci.

Sensibilité aux contre-mesures

Exploitant des caractéristiques atypiques des logiciels cibles, les analyseurs d'empreintes réseau sont eux-mêmes souvent très facilement détectables, ce qui, au-delà de la journalisation de leur utilisation, permet éventuellement de les contrer par blocage ou intoxication.

OutilActif ou passifSensibilité à
l'authentification ?
Signature
caractéristique ?
Commentaires
ftpmap 0.4actifoui??
smtpmap 0.8 (SMTP)actifnonouiVoir à ce sujet l'article Sendmail contre Smtpmap
smtpmap 0.8.195β (FTP)actifoui??
smtpscan 0.3.1actifnonouiVoir à ce sujet l'article Sendmail contre Smtpscan

Légende :
Actif ou passif : on parle de mode actif en cas de sollicitation de la machine cible et de mode passif en cas de simple écoute (capture) du réseau.
Sensibilité à l'authentification : l'outil est dit sensible s'il nécessite la connaissance d'un couple identifiant / authentifiant pour déterminer une empreinte (même si un mode "anonymous" est possible).
Signature caractéristique : la signature est caractéristique à partir du moment où le jeu de tests utilisé entraîne des erreurs ou des non conformités par rapport aux spécifications.

Quelques projets en préparation

Aucun des projets apparaissant ci-dessous ne propose pour le moment de code à télécharger.

ProjetProtocoles
supportés
Dernier signe de vie

--
Hubert Tournier, le 15 janvier 2003.
(Merci à Nicob, du groupe de discussion fr.comp.securite pour m'avoir fourni la motivation d'écrire cet article)


[ French flag Version française | Legal information [FR] | About us [FR] | Manifesto [FR] | Privacy & usage charter [FR] | Contact us | Comments on this page ]
[ FreeBSD ring | Sites list | Go to: previous 5 - previous one - random pick - next one - next 5 ]