Faite le curieux avec ngrep; le grep du reseau
Par Yoann le mercredi, 26 août 2009, 10:00 - L1nuX and c0 - Lien permanent
Ngrep est un outil de surveillance de paquets réseau.
D'une facilité d'utilisation deconsertante, le résultat en impressionant.
ATTENTION : On vous surveille !!!
Installation
aptitude install ngrep
Exemple d'utilisation
Mettre en clair les mots de passe et utilisateurs qui passe par eth1/tcp/port 21 (une authentification ftp en sorte ..)
ngrep -d eth1 -T "USER|PASS" tcp port 21
Le résultat lors d'une connexion FTP :
interface: eth1 (193.17.192.xx/255.255.255.224) filter: (ip or ip6) and ( port 21 ) match: USER|PASS ###### T +4.434428 77.xx.xx.xx:39207 -> 193.17.192.xx:21 [AP] USER yoann.. ### T +0.014241 77.xx.xx.xx:39207 -> 193.17.192.xx:21 [AP] PASS xxxxxxxxxx.. #############
La meme chose pour l'IMAP :
ngrep -T "login" port 143
Et rien de bien plus compliqué pour le POP :
ngrep -T "USER|PASS" port 110
Ma conclusion
Il n'y a rien de plus simple que de recupérer des logins/mots de passes sur des services non sécurisés.
Sécuriser vos services critiques avec SSL/TLS !
Commentaires
ngrep est-il populaire ? j'entends par là est-il disponible sur une majorité de distribution au niveau des repository ?
Pour les authentification web en HTTP il est parfois possible d'utiliser des mécanismes des mots de passes uniques, ou bien de cryptage basé sur des systèmes de clés publiques avec passphrase (je l'utilise sur mon WordPress)
Ngrep est au moins disponible sur debian lenny (je n'ai pas regardé sur les autres ...)
Pour ce qui est de la securité des authentifications, le plus simple et securisé reste encore l'utilisation de SSL.
Mr Xhark : Pour ton word press, l'idéal serait que l'interface d'admin, soit accessible depuis une connexion https. Ainsi aucun mot de passe ne transite en claire sur le n'internet.
Je ne suis pas sur un serveur dédié, voilà pourquoi je ne dispose pas de HTTP :)
Voir mon billet : http://blogmotion.fr/internet/secur...