mirroir readonly du Gitit wiki.evolix.org (attention, ne rien commiter/merger sur ce dépôt) https://wiki.evolix.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

4.5 KiB

categories title
scan, nmap Howto IVRE

Attention, peinture fraiche ! - Cette page est en cours de rédaction ;)

Introduction

IVRE (Instrument de veille sur les réseaux extérieurs) ou DRUNK (Dynamic Recon of UNKnown networks) est un cadriciel libre pour faire de la reconnaissance de réseau informatiques. Il s’appuie sur des outils libres tels que Nmap, Zmap, etc pour faire du scan, stoquer les résultats une base mongodb et donner le moyen d’analyser ces données via l’interface web, la ligne de commande ou même en python.

Installation

On va avoir besoin de python, virtualenv, mongodb et de quelques autres dépendances optionnelles (phantomjs, imagemagick, ffmpeg). Pour MongoDB, tout est expliqué dans le Howto MongoDB

# apt install build-essential autoconf python-dev python-pip  python-virtualenv python-pil imagemagick nmap
# apt install -t jessie-backports phantomjs ffmpeg

Ensuite, on créée un compte utilisateur pour y installer ivre dans un environement virtuel.

Exemple ici avec un compte ivre :

# su ivre
$ virtualenv ivre
$ source ivre/bin/activate
$ pip install ivre

Dans la suite, on suppose que toutes les commandes ivre, faites en super-utilisateur root ou avec le compte ivre sont faites avec l’environement virtuel chargé !

Note : Dans le virtualenv, il va y avoir quelques soucis avec le positionnement du dossier contenant les informations de GeoIP. Mais cela peut être réglé avec un petit fichier de configuration, et ainsi forcer l’utilisation d’un dossier comme /usr/share/GeoIP/

# cat /etc/ivre.conf
GEOIP_PATH = "/usr/share/GeoIP/"

On peut maintenant initialiser la base de données :

$ ivre scancli --init
This will remove any scan result in your database. Process ? [y/N] y
$ ivre ipinfo --init
This will remove any passive information in your database. Process ? [y/N] y
$ ivre ipdata --init
This will remove any country/AS information in your database. Process ? [y/N] y
# ivre runscansagentdb --init
This will remove any agent and/or scan in your database and files. Process ? [y/N] y
# ivre ipdata --download
Downloading http://geolite.maxmind.com/download/geoip/database/GeoLiteCity_CSV/GeoLiteCity-latest.zip to /usr/share/GeoIP/GeoIPCityCSV.zip: done.
Downloading http://thyme.apnic.net/current/data-raw-table to /usr/share/GeoIP/BGP.raw: done.
Downloading http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum2.zip to /usr/share/GeoIP/GeoIPASNumCSV.zip: done.
Downloading http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip to /usr/share/GeoIP/GeoIPCountryCSV.zip: done.
Downloading http://dev.maxmind.com/static/csv/codes/iso3166.csv to /usr/share/GeoIP/iso3166.csv: done.
Unpacking: done.
$ ivre ipdata --import-all --no-update-passive-db

Il ne manque plus qu’a installer l’interface web et les script nmap proposés. Attention : Le script vnc-screenshot.nse ne doit pas être copié si version inférieure à 7.25BETA2 (ie: nmap dans debian jessie est en 6.47-3) :

# cp /home/ivre/ivre/ivre/share/ivre/nmap_scripts/* /usr/local/share/nmap/scripts/
# nmap --script-updatedb

Pour l’interface web, on prend comme base de départ le Howto Apache, il ne reste plus qu’a faire un peu de configuration apache

ScriptAlias /ivre/cgi-bin/ /home/ivre/ivre/share/ivre/web/cgi-bin/
<Directory /home/ivre/ivre/share/ivre/web/cgi-bin/>
        AssignUserID ivre ivre
        Options +ExecCGI
        AddHandler cgi-script .py
        Require all granted
</Directory>

Alias /ivre /home/ivre/ivre/share/ivre/web/static
<Directory /home/ivre/ivre/share/ivre/web/static>
        AssignUserID ivre ivre
        Options SymLinksIfOwnerMatch
        AllowOverride AuthConfig Limit FileInfo Indexes
        Require all granted
</Directory>

Après un rechargement de la configuration, l’interface web sera accessible à http://example.net/ivre/

Utilisation

Scan de réseaux

On peut directement utiliser ivre en cli, il va alors piloter nmap pour effectuer le scan des machines demandées.

Exemple, pour scanner le réseau 192.0.2.0/24, on peut utiliser la commande suivante :

# ivre runscans --network 192.0.2.0/24 --output=XMLFork

Il faut ensuite procéder à l’import des résultats dans la base de données pour pouvoir les manipuler :

# ivre scan2db -c TESTS,TEST-0001 -s InterwebsScanner -r scans/NET-192.168.4.148_32/up/

Liens utiles