Contrôlez Vos Réseaux!

Comment Exploiter Votre Réseau Et Voir Tout Ce Qui S’y Passe?

Première Étape: Faire Un Plan De Votre Réseau

Avant même de vous connecter à votre ordinateur, notez ce que vous pensez savoir. Commencez avec une feuille de papier et notez tous vos appareils connectés. Cela inclut des téléviseurs intelligents, des décodeurs, des ordinateurs portables et des ordinateurs, des tablettes et des téléphones, ou tout autre appareil pouvant être connecté à votre réseau. Si cela vous aide, dessinez une carte de votre maison, complète avec des chambres. Ensuite, écrivez chaque appareil et où il réside. Vous pourriez être surpris par le nombre exact d’appareils connectés à Internet en même temps.

Les administrateurs réseau et les ingénieurs reconnaîtront cette étape: c’est la première étape pour explorer un réseau avec lequel vous n’êtes pas familier. Faites un inventaire des appareils, identifiez-les, puis voyez si la réalité correspond à ce que vous attendez. Si ce n’est pas le cas, vous serez en mesure d’éliminer rapidement ce que vous savez de ce que vous ne savez pas. Vous pourriez être tenté de simplement vous connecter à votre routeur et regarder sa page d’état pour voir ce qui est connecté, mais ne le faites pas encore. À moins que vous ne puissiez tout identifier sur votre réseau par son adresse IP et son adresse MAC, vous obtiendrez une grande liste d’objets —cette grande liste inclut tous les intrus ou les chargements gratuits. Faites d’abord un inventaire physique, puis passez au numérique.

Deuxième Étape: Explorez Votre Réseau Pour Voir Qui y Est

Une fois que vous avez une carte physique de votre réseau et une liste de tous vos appareils de confiance, il est temps d’aller creuser. Connectez-vous à votre routeur et vérifiez sa liste d’appareils connectés. Cela vous donnera une liste de base des noms, des adresses IP et des adresses MAC. Rappelez-vous cependant, votre liste de périphériques de routeurs peut ou ne peut pas vous montrer tout. Il devrait, mais certains routeurs ne montrent que les périphériques qui utilisent le routeur pour son adresse IP. Quoi qu’il en soit, gardez cette liste à côté, c’est bon, mais nous voulons plus d’informations, et ne vous inquiétez pas  nous les aurons…

Ensuite, nous allons nous tourner vers notre vieil ami nmap. Pour ceux qui ne sont pas familiers, nmap est un outil d’analyse de réseau Open Source multi-plateforme qui peut trouver des périphériques sur votre réseau, ainsi qu’une tonne de détails sur ces périphériques. Vous pouvez voir les ports ouverts, le système d’exploitation utilisé, les adresses IP et MAC, même les ports ouverts et les services. Téléchargez nmap ici, consultez ces guides d’installation pour le configurer, et suivez ces instructions pour découvrir les hôtes sur votre réseau domestique.

Dans mon cas, je l’ai installé et lancé à partir de la ligne de commande (si vous voulez une interface graphique, Zenmap vient généralement avec le programme d’installation), puis j’ai demandé à nmap de scanner la plage IP que j’utilise pour mon réseau domestique. Il a trouvé la plupart des périphériques actifs sur mon réseau domestique, à l’exception de quelques-uns sur lesquels j’ai amélioré la sécurité (bien que ceux-ci soient également détectables avec certaines commandes de nmap, que vous pouvez trouver dans le lien ci-dessus).

Comparez la liste de nmap avec la liste de votre routeur. Vous devriez voir les mêmes choses (à moins que quelque chose que vous avez écrit plus tôt soit éteint maintenant.) Si vous voyez quelque chose sur votre routeur que nmap ne s’affiche pas, essayez d’utiliser nmap directement avec cette adresse IP. Ensuite, en fonction de ce que vous savez, regardez les informations nmap trouvées sur l’appareil. S’il prétend être un Apple TV, il ne devrait probablement pas avoir des services comme http running, par exemple. Si cela semble étrange, sonder plus précisément pour plus d’informations, comme je l’ai fait dans la capture d’écran ci-dessus. J’ai remarqué que l’une de mes machines rejetait les requêtes ping, ce qui a fait que nmap l’ignorait. J’ai dit à nmap de le sonder de toute façon, et bien sûr, il a répondu.

Nmap est un outil extrêmement puissant, mais ce n’est pas le plus simple à utiliser. Si vous êtes un peu timide, vous avez d’autres options. Angry IP Scanner est un autre utilitaire multiplateforme qui a une interface attrayante et facile à utiliser qui vous donnera beaucoup de la même information. Auparavant mentionné “Who Is On My Wi-Fi” est un utilitaire Windows qui offre des fonctionnalités similaires et peut être configuré pour numériser en arrière-plan au cas où quelqu’un vient en ligne lorsque vous ne regardez pas. Wireless Network Watcher, encore une fois pour Windows, est un autre utilitaire que nous avons mentionné avec une interface sympa qui, malgré son nom, n’est pas limitée aux réseaux sans fil.

Troisième Étape: Renifler et Découvrez à Qui Tout Le Monde Parle

À ce stade, vous devriez avoir une liste d’appareils que vous connaissez et en qui vous avez confiance, ainsi qu’une liste des appareils que vous avez trouvés connectés à votre réseau. Avec de la chance, vous avez terminé ici, et tout s’accorde ou s’explique d’elle-même (comme un téléviseur actuellement éteint, par exemple). Cependant, si vous voyez des acteurs que vous ne reconnaissez pas, des services qui ne correspondent pas à l’appareil (Pourquoi mon Roku fonctionne-t-il postgresal?), Ou quelque chose d’autre, il est temps de faire un peu de reniflement. Le reniflement des paquets, voilà.

Mais attends!! Qu’est ce que le reniflement des paquets?

Lorsque deux ordinateurs communiquent, soit sur votre réseau, soit sur Internet, ils envoient des bits d’information appelés «paquets» les uns aux autres. Mis ensemble, ces paquets créent des flux de données complexes qui composent les vidéos que nous regardons ou les documents que nous téléchargeons. Le reniflage de paquets est le processus de capture et d’examen de ces bits d’information pour voir où ils vont et ce qu’ils contiennent. Pour ce faire, nous aurons besoin de Wireshark. C’est un outil de surveillance de réseau multi plateforme que nous avons utilisé pour faire un petit reniflage de paquets dans notre guide pour renifler les mots de passe et les cookies. Dans ce cas, nous l’utiliserons de la même manière, mais notre objectif n’est pas de capturer quoi que ce soit de spécifique, juste pour surveiller quels types de trafic circulant sur le réseau. Pour ce faire, vous devrez exécuter Wireshark sur Wi-Fi, en mode promiscuous. Cela signifie qu’il ne s’agit pas uniquement de rechercher des paquets en provenance ou à destination de votre ordinateur, mais de collecter tous les paquets qu’il peut voir sur votre réseau.

Une fois installé, ouvrez WireShark et sélectionnez votre adaptateur Wi-Fi. Cliquez sur “options” à côté de celui-ci, et comme vous le voyez dans la vidéo ci-dessus vous pouvez sélectionner “mode promiscuous” pour cet adaptateur. Une fois que vous avez, vous pouvez commencer à capturer des paquets. Lorsque vous démarrez la capture, vous allez obtenir beaucoup d’informations. Heureusement, Wireshark anticipe cela, et le rend facile à filtrer.

Puisque nous cherchons simplement à voir ce que font les acteurs suspects sur votre réseau, assurez-vous que le système en question est en ligne. Allez-y et capturez quelques minutes de trafic pour les débutants. Vous pouvez ensuite filtrer ce trafic en fonction de l’adresse IP de ce périphérique à l’aide des filtres intégrés de Wireshark. Cela vous permet de voir rapidement à qui s’adresse cette adresse IP et quelles informations sont envoyées en retour. Vous pouvez cliquer avec le bouton droit de la souris sur l’un de ces paquets pour l’inspecter, suivre la conversation entre les deux extrémités et filtrer toute la capture par IP ou par conversation. Pour en savoir plus, How-To Geek a un guide détaillé sur le filtrage Wireshark. Vous ne savez peut-être pas ce que vous regardez, mais c’est là qu’une petite enquête intervient.

Si vous voyez cet ordinateur suspect parler à une adresse IP étrange, utilisez la commande nslookup (dans l’invite de commande dans Windows ou dans un terminal sous OS X ou Linux) pour obtenir son nom d’hôte. Cela peut vous en dire beaucoup sur l’emplacement ou le type de réseau auquel votre ordinateur se connecte. Wireshark vous indique également les ports utilisés, donc juste Google le numéro de port pour voir quelles applications l’utilisent. Si, par exemple, vous avez un ordinateur se connectant à un nom d’hôte étrange sur les ports souvent utilisés pour IRC ou le transfert de fichiers, vous pouvez avoir un intrus. Bien sûr, si vous trouvez que l’appareil se connecte à des services réputés sur des ports courants pour des choses comme le courrier électronique ou HTTP / HTTPS, vous avez peut-être trébuché sur une tablette que votre colocataire ne vous a jamais parlé d’elle. ou quelqu’un d’autre qui vole votre Wi-Fi. De toute façon, vous aurez les données nécessaires pour le comprendre par vous-même.

Quatrième Étape: Jouez Le Jeu Long, Restez Connectez!

Bien sûr, tous les mauvais acteurs de votre réseau ne seront pas en ligne et fuiront pendant que vous les cherchez. Jusqu’à présent, nous vous avons appris à vérifier les appareils connectés, à les scanner pour identifier qui ils sont réellement, puis à analyser un peu leur trafic pour s’assurer que tout est dans l’ordre. Cependant, que faites-vous si l’ordinateur suspect fait son sale boulot la nuit pendant que vous dormez, ou que quelqu’un vole votre Wifi quand vous êtes au travail toute la journée et que vous n’êtes pas dans le coin pour vérifier?

Il y a plusieurs façons de résoudre ce problème. Pour commencer, l’application qui est sur mon réseau Wi-Fi mentionnée plus haut peut fonctionner en arrière-plan sur votre ordinateur Windows et garder l’œil sur qui se connecte et quand il le fait. Il peut vous envoyer un ping lorsque vous ne le regardez pas, et vous faire savoir quand quelqu’un est connecté à votre réseau, ce qui est une bonne idée. Vous pouvez le laisser fonctionner sur l’ordinateur à la maison, puis quand vous vous réveillerez ou rentrerez du travail, allez voir ce qui s’est passé pendant que vous étiez absent.

Votre prochaine option est de vérifier les capacités d’enregistrement de votre routeur. L’onglet dédié à la journalisation est généralement enfoui profondément dans les options de dépannage ou de sécurité de votre routeur. Combien vous pouvez enregistrer et quel type d’informations varie selon le routeur, mais vous pouvez voir dans la capture d’écran ci-dessus que je peux enregistrer L’IP entrant, le numéro de port de destination, l’adresse IP sortante ou l’URL filtrée par le périphérique sur mon réseau, l’adresse IP interne et le MAC adresse, et quels périphériques de mon réseau se sont connectés au routeur via DHCP pour leur adresse IP (et, par proxy, qui ne l’ont pas été). C’est assez robuste, et plus vous laissez les journaux en cours d’exécution, plus vous pouvez capturer d’informations.

Les firmwares personnalisés comme DD-WRT et Tomato (que nous vous avons déjà montré comment les installer) vous permettent de surveiller et d’enregistrer la bande passante et les périphériques connectés aussi longtemps que vous le souhaitez, et même de transférer ces informations dans un fichier texte que vous pouvez passer au crible plus tard. Selon la configuration de votre routeur, il peut même vous envoyer ce fichier par courrier électronique régulièrement ou le déposer sur un disque dur externe ou un  serveur de stockage en réseau (NAS). Dans tous les cas, l’utilisation des fonctions de journalisation souvent ignorées de votre routeur permet de voir si, par exemple, après minuit et quand tout le monde est au lit, votre PC de jeu commence soudainement à croquer et à transmettre beaucoup de données sortantes, ou vous avez une sangsue régulière qui aime sauter sur votre Wi-Fi et commencer à télécharger les torrents à des heures étranges.

Votre dernière option, et c’est le type d’option nucléaire, consiste à laisser Wireshark capturer pendant des heures ou des jours. Ce n’est pas rare, d’ailleur de nombreux administrateurs réseau le font quand ils analysent vraiment le comportement étrange du réseau. C’est un excellent moyen d’identifier les mauvais acteurs ou les appareils bavards. Cependant, cela nécessite de laisser un ordinateur allumé pendant des années, de renifler constamment les paquets sur votre réseau, de capturer tout ce qui le traverse, et ces journaux peuvent prendre beaucoup de place. Vous pouvez réduire les choses en filtrant les captures par IP ou par type de trafic, mais si vous n’êtes pas sûr de ce que vous cherchez, vous aurez beaucoup de données à passer au crible quand vous regardez une capture par-dessus même quelques heures. Pourtant, ça va certainement vous dire tout ce que vous devez savoir.

Dans tous ces cas, une fois que vous avez enregistré suffisamment de données, vous serez en mesure de savoir qui utilise votre réseau, quand, et si leur périphérique correspond à la carte réseau que vous avez créée précédemment.

Cinquième Étape: Verrouillez Votre Réseau

Si vous avez suivi jusqu’à ici, c’est que vous avez pu identifier les périphériques qui devraient pouvoir se connecter à votre réseau domestique, ceux qui se connectent réellement, identifier les différences, et je l’espère bien, vous avez pu savoir s’il y a de mauvais acteurs, des dispositifs inattendus, ou sangsues qui rôdent autour. Maintenant, tout ce que vous avez à faire est de traiter avec eux, et étonnamment, c’est la partie la plus facile.

Les sangsues Wi-Fi obtiendront le démarrage dès que vous verrouillez votre routeur. Avant de faire quoi que ce soit d’autre, changez le mot de passe de votre routeur et désactivez WPS s’il est allumé. Si quelqu’un a réussi à se connecter directement à votre routeur, vous ne voulez pas changer d’autres choses seulement pour les laisser se connecter et retrouver l’accès. Assurez-vous que vous utilisez un bon mot de passe fort, difficile à forcer. Ensuite, vérifiez les mises à jour du micrologiciel. Si votre sangsue a fait usage d’un exploit ou d’une vulnérabilité dans le firmware de votre routeur, cela les empêchera de sortir, en supposant que l’exploit ait été corrigé, bien sûr. Enfin, assurez-vous que votre mode de sécurité sans fil est réglé sur WPA2 (car WPA et WEP sont très faciles à casser) et changez votre mot de passe Wifi en un autre bon mot de passe long qui ne peut pas être forcé. Ensuite, les seuls périphériques qui devraient pouvoir se reconnecter seront ceux auxquels vous avez donné l’accès (le nouveau mot de passe)

Cela devrait prendre soin de toutes les personne qui exploitent votre Wi-Fi et font leurs téléchargements sur votre réseau au lieu du leur. Cela aidera aussi avec la sécurité filaire. Si vous le pouvez, vous devez également prendre quelques mesures supplémentaires de sécurité sans fil, comme désactiver l’administration à distance, désactiver UPnP et, bien sûr, voir si votre routeur prend en charge Tomato ou DD-WRT.

Pour les mauvais acteurs sur vos ordinateurs filaires, vous avez un peu de chasse à faire. S’il s’agit d’un périphérique physique, il devrait avoir une connexion directe avec votre routeur. Commencez à suivre les câbles et à parler à vos colocataires ou à votre famille pour voir ce qui se passe. Dans le pire des cas, vous pouvez toujours vous reconnecter à votre routeur et bloquer complètement cette adresse IP suspecte. Le propriétaire de ce boîtier décodeur ou de l’ordinateur branché discrètement viendra assez rapidement lorsqu’il cessera de fonctionner.

Le plus grand souci ici, cependant, sont les ordinateurs compromis. Un ordinateur de bureau qui a été détourné et joint à un botnet pour l’exploitation minière Bitcoin pendant la nuit, par exemple, ou une machine infectée par un logiciel malveillant qui envoie vos informations personnelles à qui sait où vous êtes, peut être mauvais. Une fois que vous affinez votre recherche à des ordinateurs spécifiques, il est temps de déraciner le problème sur chaque machine. Si vous êtes vraiment inquiet, adoptez l’approche du technicien de sécurité: une fois que vos machines sont possédées, elles ne sont plus fiables. Soufflez-les, réinstallez et restaurez à partir de vos sauvegardes. (Vous avez des sauvegardes de vos données, n’est-ce pas?) Assurez-vous de garder un œil sur le PC par la suite —vous ne voulez pas restaurer à partir d’une sauvegarde infectée et redémarrer le processus.

Si vous êtes prêt à retrousser vos manches, vous pouvez vous procurer un utilitaire antivirus solide et un analyseur à la demande antimalware (oui, vous aurez besoin des deux), et essayer de nettoyer l’ordinateur en question. Si vous avez détecté du trafic pour un type d’application spécifique, vérifiez si ce n’est pas un logiciel malveillant ou si ce n’est pas quelque chose que quelqu’un a mal installé. Continuez à scanner jusqu’à ce que tout soit propre, et continuez à vérifier le trafic de cet ordinateur pour vous assurer que tout va bien.

Nous n’avons vraiment fait qu’effleurer la surface en ce qui concerne la surveillance et la sécurité du réseau. Il existe des tonnes d’outils et de méthodes spécifiques que les experts utilisent pour sécuriser leurs réseaux, mais ces étapes fonctionnent pour vous si vous êtes l’administrateur réseau pour votre maison et votre famille.

L’éradication de périphériques suspects ou de sangsues sur votre réseau peut être un processus long, nécessitant un travail d’investigation et de vigilance. Pourtant, nous n’essayons pas de provoquer la paranoïa. Les chances sont que vous ne trouverez rien hors de l’ordinaire, et ces téléchargements lents ou les vitesses de Wi-Fi merdiques sont sont tout à fait autre chose.. Même ainsi, il est bon de savoir comment sonder un réseau et quoi faire si vous trouvez quelque chose qui ne vous est pas familier. N’oubliez pas d’utiliser vos pouvoirs pour de bon.