INTRUSION SUR INTERNET

Filière Télécommunication

Laboratoire de Transmission de Données

Diplômant : Marfil Miguel

Professeur : Gérald Litzistorf

En collaboration : Banque Pictet, Lanrent Dutheil

e-Xpert Solutions, Sylvain Maret
Chapitres abordés

Ethernet switching (attaques)

Authentification Radius
VLAN
Nessus

Audit avec Qualys

Honeynet

1
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Méthodologie :

Théorie des attaques d’un réseau switché

Réalisation des attaques
Analyse des attaques
Analyse des systèmes attaqués
Sécurisation du systèmes

2
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Bref rappel :

A B

A>B A>B
?B?

4 8
2

A>B

MAC Port

A 4

Cisco : CAM (Content-Adressable Memory)

3
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Bref rappel :

A B

A<B B=8 A<B

4 8
2

MAC Port

A 4
B 8

Cisco : CAM (Content-Adressable Memory)

3
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Bref rappel :

A B

A>B A>B

4 8
2

MAC Port

A 4
B 8

Cisco : CAM (Content-Adressable Memory)

3
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Attaques :
Switch

MAC Flooding
- Sniffing
MAC Spoofing

PC

ARP Spoofing - Sniffing

ARP Poisonning - Man in the middle

4
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

MAC Flooding (Démo 1):

Client Serveur

FTP req [V4]

4 8
2
V18 V4
IP : 10.1.2.18 IP : 10.1.2.54
MAC: 00:01:02:0E:D8:F5 MAC: 00:50:04:00:49:89

MAC Flood

MAC Port
ow

X 2
rfl

Y 2 V1
ve

IP : 10.1.2.51
O

Z 2 MAC: 00:50:04:00:33:E2

Pirate

Utilisation
Utilisation de
de Macof
Macof fournit
fournit par
par Dsniff
Dsniff 2.2.4:
2.2.4:
V1
V1 ## macof
macof

5
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

ARP Poisonning (Démo 2):

Client Serveur

FTP req [V4]

4 8
ARP resp [V1,IP V4 ] 2
ARP resp [V1, IP V18]
V18 V4
IP : 10.1.2.18 IP : 10.1.2.54
MAC: 00:01:02:0E:D8:F5 MAC: 00:50:04:00:49:89

C:\>ARP
C:\>ARP –– aa C:\>ARP
C:\>ARP –– aa
10.1.2.54 V18
MAC 00:50:04:00:33:E2
10.1.2.54 00:50:04:00:33:E2
Port 10.1.2.18
10.1.2.18 00:50:04:00:33:E2
00:50:04:00:33:E2
V1 2

V4 8
V1
IP : 10.1.2.51
MAC: 00:50:04:00:33:E2

Pirate

Utilisation
Utilisation de
de Macof
Macof fournit
fournit par
par Dsniff
Dsniff 2.2.4:
2.2.4:
V1
V1 ## arpspoof
arpspoof –i
–i eth0
eth0 –t
–t 10.1.2.18
10.1.2.18 10.1.2.54
10.1.2.54
V1
V1 ## arpspoof
arpspoof –i
–i eth0
eth0 –t
–t 10.1.2.54
10.1.2.54 10.1.2.18
10.1.2.18
6
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Sécurisation :

Postes Client Switch

MAC address static

Rafraîchissement
IP machines du
réseau mémorisé en Switchport
statique
Vlan

Authentification 802.1X

7
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Le VLAN (Virtual Local Area Network) est une

extension du LAN permettant de définir des LANs
de manière software sur un switch.

Utilité : Sécuriser les LANs

Interdire la communication inter-LAN

Meilleure gestion du réseau

Séparation des domaines de diffusion

8
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Configuration :
Déclaration des VLANs dans le switch
Déclaration des accès aux VLANs
Réseau 100 BaseT
Mode Duplex
Serveur Serveur
VLAN2 VLAN3
Switch
Cisco Catalyst 2950

2 5

V1 3 4
IP : 10.1.2.51 V4
MAC: 00:50:04:00:33:E2 IP : 10.1.2.54
MAC: 00:50:04:00:49:89

Client Client

V2 V18
IP : 10.1.2.52 IP : 10.1.2.18
MAC: 00:50:04:00:4A:43 MAC: 00:01:02:0E:D8:F5

VLAN 2 VLAN 3

VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950

9
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Modes d’accès :
Catalyst 2950

Par Ports
Regroupement d’un ou plusieurs
ports pour former un VLAN.

Par MAC address

Association d’une ou plusieurs
adresses MAC pour former un VLAN.

Par la couche 3
On détermine l’appartenance à un
VLAN en fonction de l’adresse IP
ou en fonction du type de protocole
utilisé.

10
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Interconnexion de VLAN :
V1

V1 Serveur1
(VLAN3) Switch 1 Switch 2 (VLAN3)

Switch
TCP SYN TCP SYN + TAG
TCP SYN

Etage2
TCP SYN ACK + TAG TCP SYN ACK
TCP SYN ACK
TRUNK
802.1Q
TCP ACK TCP ACK + TAG
TCP ACK Switch

Etage1 Serveur1
Information FTP

Engineering Marketing Accounting

VLAN1 VLAN2 VLAN3
VLAN VLAN VLAN

DA SA Type 802.1Q

…00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40….

MAC IP

11
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Interconnexion de VLAN Indépendants :

Par Bridge
Par Routeur

Client Serveur
Switch
Cisco Catalyst 2950

4 2

11 12
V18 (VLAN 2) V4 (VLAN 3)
IP : 10.1.2.18 IP : 10.1.2.54
VLAN 2 VLAN 3
MAC: 00:01:02:0E:D8:F5 MAC: 00:50:04:00:49:89

IP : 10.1.2.208 IP : 10.1.3.207
SM :255.255.255.0 SM : 255.255.255.0

Réseau 100 BaseT Routeur Lightning

Mode Duplex Ethernet II

12
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Nessus est un scanner de failles,

disponible en OpenSource.
Descriptif : Teste divers appareils et systèmes (Windows, Unix,
Linux, Routers, TCP/IP,etc…)

Répertorie énormément de failles par défaut extensibles

grâce aux Updates et par programmation de fichier NASL
Possibilité de consulter les rapports des tests
effectués ( Nessus , XML , HTML , TXT , ... )
Possibilité de lancer un test d ’intrusion à distance grâce à
une connexion securisée. Nessus est basé sur une
architecture Client-Serveur
Interface intuitive et très complète (Windows,
Linux)

13
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

SERVEUR
CLIENT
OneConnexion
Time Password
+
(one time password) 1 NessusD
GUI Nessus A
Echange certificat 2 5 Victime
Canal Secure Programmes
Envoi des informations 3 (Nmap)
D 6
Choix des tests 4
Options TESTS

C
Commandes
DB Nessus 7
Rapports B

5 8
CERTIFICAT 1
2
3
4

RAPPORTS
CERTIFICAT Script NASL
Informations cryptées

14
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Topologie des tests (Demo 3):

ePC IP:10.1.4.7
Windows 2000 pro
Switch
Cisco Catalyst 2950

1 8 Intranet

Client Nessus
V18 IP : 10.1.2.18
Windows 2000 pro
(config. standard)
Client Nessus
2 4
DC1 IP : 10.1.1.10
Windows 2000 server

Serveur W2K pro S1 IP : 10.1.1.1

V4 IP : 10.1.2.54
Windows 2000 server
Réseau 100 BaseT
Serveur Nessus
Windows 2000 server
Réseau 100 BaseT
ModeDuplex
Mode Full Duplex V1 IP : 10.1.2.51 (config. standard)

15
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Rapports :

Statistiques

Affichage des ports ouverts (contrôle

avec Active port)
Affichage des failles

Affichage des solutions de protection

16
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Projet pour l’étude des tactiques d’attaques sur

divers réseaux et sur les failles matérielles

Information : Réalisation du premier projet en 1999

Evolution du projet pour obtenir une

Base de données

Utilité : Mieux comprendre les attaques des pirates

Vérification du matériel

17
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Honeynet Honeynet
Topologie des tests:

Internet

V1
IP : 10.1.2.18
Serveur SysLOG
IP
IP :: 129.194.184.201
129.194.184.82

V9
Firewall Checkpoint
HUB IP : 10.1.2.1
Administrative Network
IP : 10.1.3.1

V4 6
IP : 10.1.2.54 2
Switch
Serveur Web / FTP IP : 10.1.4.51 IP : 10.1.3.51
Cisco
Cisco Catalyst 2950

V2 4
SNORT

Réseau 10 BaseT (Honeynet)

Mode Half Duplex Portable
3
IP : 10.1.3.18
Réseau 100 BaseT (administrative network)
Serveur SysLOG
Mode Full Duplex 22
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Règles CheckPoint:

19
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Difficultées de mise en oeuvre:

Recherche de programmes performants

Synchronisation des postes (NTP)
Stabilisation et furtivité de Snort Win32
Compatibilité des nouvelles règles Snort

20
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

Demo 4 :

Réalisation d’une faille Remote Directory

Transversal

Visualisations des informations Syslog

21
Eth. switching Auth. Radius VLAN Nessus Qualys Honeynet

QUESTION ???

22
 MAC Flooding
ARP Poisonning
Nessus (FTP Anonym)
Nessus (Active Port)

Honeynet
DEMONSTRATIONS

23