# Journale de bord ###### tags: `School` `Security` `Operation CyberSec` | Machines | IP | | -------- | -------- | | Metasploitable | 209.165.200.235 | | Kali Linux | 209.165.201.17 | ## UA1 ### Module 2 (analize d'exploit) #### Effectuer un SCAN NMAP de Kali vers Metasploitable >nmap -p0- -Pn --version-intensity 0 209.165.200.235  Un scan nmap plus aggressif. >namp -A 209.165.200.235 reaction de Sguill Face au Nmap -A  #### Exploit Exploit du serveur samba  Ajoute d'un usager pour se connecter via ssh ou autre  L'exploit dans Wireshark  #### Shadow Transfer du fichier shadow  #### Shutdown Shutdown du server a l'aide de la session root obtenu  #### Snort/Suricat On peut voir qu'il ya eu du traffice suspect sur ces port a l'aide de snort.  Ici, on a d'autre choses entrange.  #### Bro Quand on ouvre une action de Sguil dans Bro  #### Wireshark Quand on ouvre une action de sguill dans wireshark  #### Talos Trouver un spam avec talos  ### Module 3 (Iptables) Apres avoir fais les commandes pour effacer les regles SecurityOnions et avoir appliquer les bonnes pratique, j'ai pu bloquer le traffic malicieux. #### Effacer les configurations deja existantes Les commandes pour efface le iptables deja existant: > iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -F iptables -t mangle -F iptables -F iptables -X #### Bonne Pratique avec iptables Ceux-ci sont les bonnes pratique a faire avec iptables: 1. Permettre le traffic etabli >sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2. Permettre le traffic DHCP >sudo iptables -A INPUT -p udp --dport 67 -j ACCEPT >sudo iptables -A INPUT -p udp --dport 68 -j ACCEPT 3. Permettre le traffic SSH >sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT 4. Permettre le DNS >sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT 5. Permettre ICMP (ping) >sudo iptables -A INPUT -p icmp -j ACCEPT 6. Permettre le traffic NTP >sudo iptables -A INPUT -p udp --dport 123 -j ACCEPT >sudo iptables -A INPUT -p udp --dport 1023 -j ACCEPT 6. Permettre le traffic web >sudo iptables -A INPUT -p udp --dport 80 -j ACCEPT >sudo iptables -A INPUT -p udp --dport 443 -j ACCEPT >sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT >sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT 7. Tout autre traffique n'est pas permis > sudo iptables -A INPUT -j DROP Si on avait eu un serveur de couriel et des equipements avec des interface loopback, il aurait fallu permettre leurs traffiques. #### Bloquer le hacker Les commandes que j'ai entrer pour bloquer le hacker: >sudo iptables -I INPUT -s 209.165.201.17 -j DROP #### Resultat final Le iptables final apres avoir proteger contre le hacker:  ### Module 4 (pfSense) #### Vous allez configurer et tester des règles de pare-feu PFSENSE effectuant: ##### Bloc tout paquet de l’internet vers le réseaux interne  ##### Permet HTTP/FTP/DNS/ICMP de l’interne vers l’Internet  ##### Permet les réponses de l’internet vers l’interne (established) #### Vous allez ensuite installer les packages suivants: ##### SNORT (installer et activer sur les interfaces de PFSENSE)    ## UA3 ### Détectez l'attaque que je vais effectuer avec ALERT( essayez d'être précis) On dirait que 10.250.0.82 a reussi a trouver un faille ou trouver les credentials au serveur FTP sur 10.2.13.102 et a transferer des fichiers. ### Donnez la date et l'heure et la durée de l'attaque, et la date de votre rapport l'attaque a ete fait le 9 avril autour de 12h.  [Cliquez ici pour voir le rapport.](https://livelacitecon-my.sharepoint.com/:b:/g/personal/2690729_collegelacite_ca/EW8Ga8-DlX5IhbJLNnFkbCIBgS60TmjntydcpaojFyksnw?e=cCwphv) ### Filtrez l'attaque sur HUNT (utilisez une ou deux requête de filtre OQL) #### Avec d'autre paramettre   #### Quelques jours apres:  #### Le PCAP du traffic FTP Ici on voit le os du serveur  Ici on voit les fichers que la machine a acceder  ### Créez un CASE, écrire des précision dessus comme des informations pertinentes  ### Si vous avez du contenu crypté essayez de le déchiffrer sur CYBER CHIEF N/A