Catégories
Sécurité

p0f prise d’empreinte passive des systèmes d’exploitation

p0f est un logiciel passif de détection d’empreinte « fingerprint » des différents systèmes d’exploitation qu’il peut croiser sur un réseau. Son mode passif permet une intégration comme sonde de détection dans un environnement de production.

Lorsqu’il s’agit d’identifier des machines sur un réseau grâce à ses empreintes, on pense par habitude à Nmap. Nmap est un scanner réseau capable notamment d’identifier le système d’exploitation d’une machine en fonction des empreintes laissées dans les paquets TCP/IP.

Mais Nmap est actif, c’est à dire qu’il va interroger la machine distante en forgeant des paquets spécifiques pour obtenir des réponses aptes à trahir tel ou tel systèmes d’exploitation.

Ecouter et détecter en passif sur le réseau

A l’inverse p0f est passif, il va écouter le trafic réseau qui passe et faire ses analyses en conséquences. Cela peut s’avérer un peu plus long qu’avec Nmap même si dans la pratique une machine bureautique se fait très rapidement reconnaitre avec quelques flux HTTP. Le gros avantage du mode passif réside dans le fait que p0f peut tourner dans un coin de votre réseau un peu comme un scanner de vulnérabilité. Il suffira juste de lui mettre un port réseau en mirroring pour lui adresser une copie des flux de certains autres ports réseaux (patte DMZ, réseau wifi guest, …).

.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (syn) ]-
|
| client   = 1.2.3.4
| os       = Windows XP
| dist     = 8
| params   = none
| raw_sig  = 4:120+8:0:1452:65535,0:mss,nop,nop,sok:df,id+:0
|
`----
.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (mtu) ]-
|
| client   = 1.2.3.4
| link     = DSL
| raw_mtu  = 1492
|
`----
.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (uptime) ]-
|
| client   = 1.2.3.4
| uptime   = 0 days 11 hrs 16 min (modulo 198 days)
| raw_freq = 250.00 Hz
|
|
`----
.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (http request) ]-
|
| client   = 1.2.3.4/1524
| app      = Firefox 5.x or newer
| lang     = English
| params   = none
| raw_sig  = 1:Host,User-Agent,Accept=[text/html,application/xhtml+xml...
|
`----

Autre avantage indéniable dans un environnement de production, c’est la recherche d’informations sur des intrusions ou des attaques, les administrateurs systèmes capturent souvent le trafic lors de ces évènements pour mieux les analyser. p0f est capable de lire les fichiers PCAP généré par un outil comme TCPDUMP ou WIRESHARK.

La version 3 de p0f vient de sortir, cette version est majeure et apporte une réécriture complète ainsi que l’analyse des flux applicatifs.