Man In The Middle (MITM) avec Kali Linux, ARP Spoof et Ettercap
Vous apprendrez comment un attaquant peut intercepter, manipuler et rediriger le trafic réseau entre deux machines à l'aide d'attaques de type Man In The Middle (MITM). Vous utiliserez Kali Linux pour exploiter une vulnérabilité dans les communications réseau, grâce à l'outil Ettercap et l'attaque ARP Spoofing.
Sous licence CC-BY-NC

by Antoine Driget

Last edited 7 months ago

ARP Spoofing - Méthode pour MITM
L'ARP Spoofing est une méthode couramment utilisée pour réaliser des attaques de type Man In The Middle (MITM). En utilisant cette technique, un attaquant peut envoyer de fausses informations ARP (Address Resolution Protocol) pour tromper les machines du réseau et les amener à envoyer leur trafic à travers lui. Cela lui permet de capturer et de manipuler le trafic réseau sans que les victimes ne s'en rendent compte.
Infrastructure réseau
un serveur ESXI
Initiation des connexions NFS et accès en HTTPS
un serveur TrueNAS
Partage un volume en NFSv3
un firewall pfSense (optionnel)
Disposant d'une interface pour créer des règles de trafic
Outils utilisés
Nmap
pour le scan du réseau avant de réaliser l'attaque.
Ettercap
pour réalisation l'attaque MITM avec l'ARP Spoofing.
Wireshark
pour capturer et analyser le trafic réseau.
Exemples d'utilisation de Ettercap
Une fois que Ettercap est lancé (ici en mode graphique), sélectionnez l'interface réseau appropriée pour la connexion au réseau cible. Ensuite, cliquez sur la coche, naviguez dans le menu "Sniff" pour sélectionner "Unified Sniffing". Enfin, dirigez-vous vers le menu "Mitm" pour sélectionner "ARP Poisoning" et spécifier les adresses IP des cibles.
Sélection des adresses targets
Cliquez sur les adresses IP des cibles que vous souhaitez empoisonner. Assurez-vous de sélectionner à la fois l'adresse IP de la victime et celle du routeur ou du serveur ciblé. Une fois que vous avez sélectionné les adresses de cibles, cliquez sur "Add to Target 1" , puis "Add to Targer 2" pour les ajouter à la liste.
Utilisation de Ettercap en commande
Pour utiliser ettercap en commande, ouvrez un terminal et entrez la commande suivante : "ettercap -T -Q -i <nom_interface> -M arp //<IP_cible_1>/ //<IP_cible_2>/". Assurez-vous de remplacer "" par le nom de votre interface réseau. Ensuite, appuyez sur Entrée pour exécuter la commande et commencer la manipulation ARP.
Liste des arguments utilisables avec ettercap :
  • -T - Démarre ettercap en mode texte.
  • -Q - Désactive l'affichage de la bannière d'informations.
  • -i - Utilise l'interface réseau spécifiée.
  • -M arp - Utilise la méthode ARP spoofing pour la manipulation des données.

Kali Linux

Ettercap sur Kali Linux - Kali Linux

Guide Complet sur la Commande Ettercap dans Kali Linux Guide […]

Phases de l'expérimentation
Les expérimentations se déroulent en deux phases pour que vous puissiez observer les interactions entre un client accédant avec son navigateur en HTTP à un serveur web dans la phase 1 et un client (qui est aussi un serveur) se connectant à un serveur de stockage NAS par NFS pour échanger des fichiers.
Phase 1 : MITM sur un serveur Web et un client
1.Préparation de Kali Linux :
  • Utilisez Kali Linux pour cette attaque, avec Ettercap comme outil principal.
  • Activez le mode IP Forwarding : echo 1 > /proc/sys/net/ipv4/ip_forward.
2.ARP Spoofing :
  • L'ARP Spoofing vous permet de tromper les deux machines sur le réseau (pfSense et la machine cliente) en leur envoyant des informations erronées sur les adresses MAC.
  • Commande ARP Spoofing sur Ettercap :
ettercap -T -M arp:remote //IP_pfSense/ //IP_Client/
  • Kali Linux se positionne ainsi au milieu et redirige les communications.
3.Capture et analyse du trafic :
  • Utilisez Wireshark ou tcpdump sur Kali pour capturer les paquets échangés entre pfSense et la machine cliente.
  • Vous pouvez observer des informations sensibles comme les sessions HTTP non chiffrées ou d'autres données.
Phase 2 : MITM entre TrueNAS et un client via NFS
Prérequis : Installation du TrueNAS

Awoui

Guide TrueNAS - Installation et configuration | Awoui

1.Configuration NFS v3 :
  • Dans un premier temps, vous devrez configurer le partage de stockage entre TrueNAS et un client compatible avec NFS v3. Assurez-vous que le client a bien monté sur le stockage partagé du TrueNAS.
  • Vérifiez la connectivité entre le client et TrueNAS via NFS (commandes showmount et mount sur TrueNAS).
2. ARP Spoofing entre TrueNAS et ESXi :
  • Relancez l'attaque ARP Spoofing, mais cette fois-ci entre TrueNAS et l'ESXi de l'élève.
ettercap -T -M arp:remote /IP_TrueNAS/ /IP_ESXi/
  • Vous interceptez ainsi le trafic NFS échangé entre les deux machines.
3.Manipulation du trafic :
  • Capturez le trafic NFS avec Wireshark. Vous pourrez y voir les données échangés.
  • Une possibilité avancée est de manipuler des fichiers en transit ou de capturer des informations de configuration potentiellement sensibles.
4.Améliorer le niveau de sécurité de NFS sur le TrueNAS :
  • Une façon d'améliorer le niveau de sécurité de NFS sur le TrueNAS est de restreindre les autorisations d'accès aux partages NFS en configurant des listes d'accès (ACLs) pour spécifier quels clients sont autorisés à accéder aux partages.
  • Une autre mesure de sécurité consiste à activer le chiffrement du trafic NFS en utilisant le protocole NFSv4 ou en configurant un tunnel VPN pour sécuriser la communication entre le client et TrueNAS.
  • Nous recommandons aussi de mettre à jour régulièrement le système d'exploitation TrueNAS ainsi que le logiciel NFS pour bénéficier des derniers correctifs de sécurité.
Good Luck & Have Fun !
Points de vigilance :
  • Après chaque test, vérifiez que les communications sont restaurées correctement en arrêtant l'ARP Spoofing et s'assurer que les tables ARP sur les machines soient rétablies.