TProxy: un proxy pour l’interception transparente de trafic TCP

Lorsqu’il effectue des tests de pénétration, l’auditeur moderne est parfois confronté à des services et des protocoles plus exotiques que les désormais traditionnelles applications web accessibles par HTTP ou HTTPS. Les proxies d’interception HTTP ne lui sont d’aucune aide lorsque le succès de son audit dépend de sa capacité à intercepter et modifier du trafic protégé par SSL (IMAPS, SIP over SSL), de manipuler des flux de bases de données (MySQL, Oracle), ou encore de s’immiscer dans des systèmes industriels (systèmes SCADA, protocoles IEC 60870-5-10x). Dans de telles situations, le recours à un proxy transparent capable de digérer n’importe quel protocole peut s’avérer bien utile.

Le besoin d’un proxy transparent et générique s’est fait sentir dans quelques-uns des audits récents auxquels Objectif Sécurité a participé. Bien que dans chaque cas le protocole à traiter était différent, la même approche pouvait la plupart du temps être appliquée. Pour pallier à l’absence apparente d’un outil proposant des fonctionnalités appropriées, Objectif Sécurité a décidé de développer TProxy, son propre proxy transparent générique.

Jusqu’ici réservé à un usage interne au sein d’Objectif Sécurité, TProxy a maintenant atteint un degré de maturité suffisant pour lui permettre d’être utilisé par tout un chacun. TProxy possède une interface graphique qui permet de visualiser, intercepter et injecter des données dans du trafic TCP. Il est capable de détecter automatiquement et de déchiffrer les connexions sécurisées par SSL/TLS, même lorsque le chiffrement est activé en cours de route —avec STARTTLS par exemple. TProxy propose en outre une fonctionnalité qui à notre connaissance est unique, celle d’utiliser les dissecteurs Wireshark afin de pouvoir interpréter la plus grande partie des protocoles TCP. Cette fonctionnalité le rend particulièrement pratique lorsque le succès d’une attaque peut dépendre de la possibilité de modifier un seul bit dans un flot soutenu de données.

L’objectif de cette présentation est de donner une vue générale du fonctionnement de TProxy et de démontrer son usage dans des situations concrètes.

TProxy devrait bientôt être rendu public en tant que projet open source sous licence GPL.

SPEAKER: Bertrand Mesot

Advertisements
This entry was posted in ASFWS 2014, Student Slots. Bookmark the permalink.

One Response to TProxy: un proxy pour l’interception transparente de trafic TCP

  1. Pingback: - BUSINESS COMMANDO

Comments are closed.