Académique Documents
Professionnel Documents
Culture Documents
Rgles de base
Partie III : Dfense & parades Techniques, Moyens & Outils de scurit
1.2. La veille en scurit ... 1.3. Les outils de scurit 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de scurit
!
"
06/12/07
'
&
06/12/07
Qlq chiffres
Qlq chiffres
06/12/07
06/12/07
Conseils
Verrouillez les stations Protger les accs, scurit physiques, cadenas, ... Dsactiver le boot sur le lecteur de disquette et sur le lecteur de CDROM. Linux : Evitez d'avoir option failsafe au dmarrage propos par Lilo (LInux Loader) Cette option peut permettre d'obtenir les accs root (sans mot de passe) pour la maintenance du systme. Windows : Le systme de fichier NTFS permet une scurisation accrue par rapport aux systmes de fichier FAT et FAT 32. Windows 95, 98 et Me : niveau de scurit trs bas Protger l'accs du BIOS par un mot de passe ! Limitation programmes s'excutant avec droits administrateur rprer les programmes s'excutant avec les droits administrateur. Ainsi, vous pouvez changer leurs droits pour qu'ils ne deviennent pas un point critique pour la vulnrabilit du systme. # find / -perm +6000 liste prog s'excutant avec droits administrateur
06/12/07 Anas Abou El Kalam - Outils scurit 5
Outis de scurit
Evaluation & diagnoistic rseau Tcpdump (sniffer) - http://www.tcpdump.org/ Ethereal (sniffer) - http://www.ethereal.com/ DSniff (sniffer) - http://www.monkey.org/~dugsong/dsniff/ Kismet (Wifi) - http://www.kismetwireless.net/ Airsnort (Wifi) - http://airsnort.shmoo.com/ Nessus (scanner) - http://www.nessus.org/ Nmap (scanner de ports) - http://www.insecure.org/nmap/ john (mots de passe) - http://www.openwall.com/john/ Surveillance & supervision Systmes & Rseaux Logcheck - http://logcheck.org/ IPTraf - http://iptraf.seul.org/ IPBand - http://ipband.sourceforge.net/ Nagios - http://www.nagios.org/ Netflow - www.netflowanalyzer.com Durcissement protocoles rseau TCP_wrapper - http://www.ja.net/CERT/Hinxman/ xinetd - http://www.xinetd.org/ Tiger - http://www.net.tamu.edu/network/tools/tiger.html Bastille - http://www.bastille-linux.org/
06/12/07 Anas Abou El Kalam - Outils scurit 8
Outis de scurit
Authentification & autorisation Kerberos - http://web.mit.edu/kerberos/www/ LDAP - http://www.openldap.org/ PAM - http://www.kernel.org/pub/linux/libs/pam/ Radius - http://www.freeradius.org/ ACL - http://www.suse.de/~agruen/acl/linux-acls/online/ Chiffrement GnuPG - http://www.gnupg.org/ SSH - http://www.openssh.com/fr/ OpenSSL Kame/Racoon OpenSwan (IPSec) Gestion des droits & Firewalls IPFilter (FreeBSD) - http://coombs.anu.edu.au/~avalon/ PF (OpenBSD) - http://www.openbsd.org/faq/pf/ Netfilter (Linux) - http://www.netfilter.org/ IPFW - http://www.freebsd.org/doc/en_US.ISO8859-1/ Firewall-1 de CheckPoint Mwall de Matranet Pix de CISCO Netwall d'Evidian 06/12/07 Anas Abou El Kalam - Outils scurit Netasq
Outis de scurit
Proxys & contrle de contenu Squid - http://www.squid-cache.org/ Squidguard - http://www.squidguard.org/ DansGuardian - http://dansguardian.org/ Delegate - http://www.delegate.org/delegate/ AntiVirus & AntiSpams ClamAV (moteur), Mailscanner -Amavisd (email), DansGuardian - SquidClam (navig), mod_clamav (serveur web), ClamWin (poste client), SpamAssassin - http://spamassassin.apache.org/ Razor - http://razor.sourceforge.net/ Sauvegardes & Redondance BackupExe - www.symantec.com/backupexec/index.jsp BackupPC - http://backuppc.sourceforge.net/ Bacula - http://www.bacula.org/ Amanda - http://www.amanda.org/ Rsync (synchronisation) - http://samba.anu.edu.au/rsync/ HA - http://www.linux-ha.org/ Abou El Kalam - Outils scurit 06/12/07 Anas RAID - http://www.freenix.fr/unix/linux/HOWTO/
10
Outis de scurit
IDS Snort (NIDS) - http://www.snort.org/ Prelude (NIDS) - http://www.prelude-ids.org/ AIDE - http://www.cs.tut.fi/~rammer/aide.html Tripwire - http://www.tripwire.org Filtrage niveau 7 / IDS proactifs l7-filter - http://l7-filter.sourceforge.net/index.php.fr Hogwash - http://hogwash.sourceforge.net/oldindex.html flexresp / guardian - cf. Snort Les correctifs anti-dbordement mmoire pour le noyau ++ outils complmentaires au noyau Linux permettent de limiter les possibilits d'excution d'exploits utilisant les bogues de dpassement de mmoire (pile, tas). OpenWall [http://www.openwall.com] grsecurity [http://www.grsecurity.org/]
Plan chapitre 3 Techniques de dfense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de scurit
06/12/07
11
06/12/07
12
La collecte d'information
Mode de fonctionnement du pirate : Avant de mener une attaque, il repre les serveurs offrant des services non protgs. Pour obtenir ces infos, le pirate va utiliser un scanner. Le but de ce section est de savoir utiliser un scanner (e.g., NMAP) pour anticiper les futures attaques prsenter des mthodes de protections contre le scan (en utilisant des rgles de firewalling sous iptables/ipchains par exemple)
Types de scanner certains se contentent juste de donner : la liste des ports ouverts, le type et la version de l'OS tournant sur le serveur (e.g., Nmap) D'autres scanners comme Nessus permettent de tester diffrentes failles connues sur ces services.
06/12/07
13
06/12/07
14
Plan chapitre 3 Techniques de dfense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4.
06/12/07 Anas Abou El Kalam - Outils scurit 15
==> Nmap donne un aperu assez complet des services s'excutant sur la machine dans un temps assez bref. ==> On peut observer dans l'exemple que des serveurs FTP, DNS, WEB, POP-3 ... sont en attente de connexion
06/12/07
16
map : dtermination OS
[root@nowhere.net /root]# nmap -O 192.168.0.1 Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) Interesting ports on (192.168.0.1): (The 1647 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 113/tcp open auth 139/tcp open netbios-ssn 445/tcp open microsoft-ds 515/tcp open printer 587/tcp open submission 901/tcp open samba-swat Device type: general purpose
Scan FIN envoi paquets TCP avec seulement le flag FIN arm.
Scan NULL envoi paquets TCP avec seulement le flag NULL arm.
[root@nowhere.net /root]# nmap -sN [adresse IP de la machine cible]
Xmas scan (traduisez le scan de Nol) envoi paquets TCP avec les flags FIN/URG/PUSHV arms.
/root]# Kalam - Outils scurit 06/12/07 [root@nowhere.netAnas Abou Elnmap -sX [adresse IP de la machine cible] 17 06/12/07 Anas Abou El Kalam - Outils scurit 18
Pour FIN, NULL, Xmas : systme rpond avec paquet RST si port ferm et ne rpond pas si port ouvert
La cible peut tre @ IP, classe d'IP : 192.168.102-125, rseau : nmap 192.168.1.*, masque ... Exemples Pour une utilisation classique : nmap 192.168.1.100 Pour vrifier si le port du ftp est ouvert (port 21) : nmap p 21 192.168.1.100 Pour connatre le systme dexploitation de la cible : nmap O 192.168.1.100 Difficile de retenir toutes ces options ==> utiliser interface graphique nmapfe
06/12/07 Anas Abou El Kalam - Outils scurit 19
06/12/07
20
map : fichiers
Gnralement dans /usr/share/nmap
nmap.dtd nmap.xsl nmap-protocols nmap-services nmap-services-probes DTD pour les fichiers logs XML de Nmap Feuille de stype XML Fichier texte avec mappage N protocole IP <--> nom Fichier texte avec mappage N ports <--> service Liste de detection des versions des services
06/12/07
21
06/12/07
22
Plan chapitre 3 Techniques de dfense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4.
06/12/07 Anas Abou El Kalam - Outils scurit 23
essus, installation
Commencez par dcompresser les sources des logiciels
tar -xzvf /o_est/nessus-libraries-1.2.7.tar.gz tar -xzvf /o_est/libnasl-1.2.7.tar.gz tar -xzvf /o_est/nessus-core-1.2.7.tar.gz tar -xzvf /o_est/nessus-plugins-1.2.7.tar.gz
essus : configuration
Avant de lancer le daemon nessusd, il faut rajouter, au moins, un utilisateur et son pwd vant
# nessus-adduser
lancer le daemon
/usr/sbin/nessusd -D
Vrifiez06/12/07
ps aux | grep nessusd
26
06/12/07
27
06/12/07
28
essus : un scan
dans la fentre de nessus, cliquez sur "start the scan" pour lancer le scan.
essus : un scan
Laissez le test se drouler:
Quand le scan est finit, il vous affiche une fentre rcapitulative. En cliquant sur un hte vous obtenez les rsultats de son scan. Clic sur "save report" ==> sauvegarder le rapport dans le format de votre choix. Si vous choisissez html avec graphe, il vous suffit d'indiquer un rpertoire et il crera lui-mme les fichiers html et les images qui vont avec.
06/12/07
29
06/12/07
30
essus : un scan
vous pouvez consulter rsultats par machine, sous-rseau, port, svrit...
essus : un scan
Exemple de rapport d'attaques
06/12/07
31
06/12/07
32
essus : Post-installation
Lancer nessusd dmarrage de l'ordinateur
rajouter Dans votre /etc/rc.d/rc.local /usr/sbin/nessusd -D
Supprimer un utilisateur
/usr/sbin/nessus-rmuser
Netcat comporte d'autres fonctionnalits (comme l'envoi de scripts ...). Le pirate n'a plus qu' trouver faille applicative sur logiciel correspondant Comment s'en protger ? Retirer les bannires donnant les versions de logiciel et les messages d'aide ou de bienvenue d'un service rseau en coute qui peuvent donner des informations sur votre systme.
Fichiers logs
/usr/var/nessus/logs/nessusd.messages
Conseil
Utilisez netcat contre vos serveurs pour reprer les services trop bavards.
06/12/07
33
06/12/07
34
Plan chapitre 3 Techniques de dfense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de scurit
06/12/07 Anas Abou El Kalam - Outils scurit 36
On voit qui est connect sur le systme (toto et root) et depuis quand. finger n'est pas dangereux mais le laisser en coute, sans en avoir rellement besoin, est une grossire erreur. Comment s'en protger ? Sous Linux Il est conseill de dsactiver le service finger dans /etc/inetd.conf
Inetd est un "super-serveur" Internet. Le super-serveur est un programme qui coute les connexions rseau et les redirige vers le programme appropri
Ajouter # devant la ligne relative au service finger. # finger stream tcp nowait root /usr/sbin/tcpd in.fingerd Sous Windows dsactivez le programme associ au service finger. Si vous ne souhaitez pas dsactiver le service finger, configurez votre firewall pour 06/12/07 Anas 35 limiter les accs vers ce service. Abou El Kalam - Outils scurit
06/12/07
37
06/12/07
38
FORWARD : pour filtrer trafic transitant entre deux interfaces rseau. Ex: si paquet est reu par carte connexion Internet et quil doit aller vers serveur de mail par la carte DMZ , alors ce paquet transit dans la chane FORWARD. iptables I FORWARD i eth0 o eth1 j ACCEPT iptables I FORWARD s 14.15.16.21 d 192.168.0.2 j ACCEPT
06/12/07
39
06/12/07
40
Rgle implicite : Tout ce qui nest pas autoris doit tre interdit par dfaut
06/12/07
41
06/12/07
42
Routeur(config)# access-list 1 permit 172.16.0.0 0.0.255.255 Routeur(config)# interface ethernet 0 la rgle 1 est applique aux Routeur(config-if)# ip access-group 1 out paquets sortants de linterface 0
PAQUET TCP
@SOURCE
@DEST
PORT DEST
#
06/12/07 Anas Abou El Kalam - Outils scurit 43
... -d e.f.g.0/24
Paquet dont @ dest fait partie du rseau ....
-p
tcp
--destination-port 23 -j DROP
Paquet rejet
syntaxe servant prciser les rgles * -s ip source // -d ip cible * -sport port source // -dport port destination * -p type de protocol (tcp/udp/ ) * -m type de match (par exemple state) * --state (NEW, ESTABLISHED, RELATED) 06/12/07 Anas Abou El Kalam - Outils scurit 45
06/12/07
46
Dgage tous les paquets provenant de 12.13.14.15 destination du firewall iptables I OUTPUT p tcp --dport 80 d 12.13.14.15 j ACCEPT Autorise le firewall se connecter en port 80 sur 12.13.14.15 uniquement. iptables F INPUT Vide les rgles du filtre INPUT iptables P INPUT DROP Rgle la politique par dfaut drop sur le filtre INPUT Dans tous les cas, il faut rgler la politique par dfaut DROP sur tous les filtres et ensuite accepter seulement les flux licites : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP De cette faon, si vous avez oubli une rgle, dans le pire cas le paquet sera drop, mais il natteindra pas sa destination. En gros tout ce qui nest pas explicitement autoris est interdit.
06/12/07 Anas Abou El Kalam - Outils scurit 47
iptable i INPUT p tcp --dport 25 j ACCEPT iptable i INPUT p udp --dport 53 j ACCEPT iptable i INPUT p TCP --dport 80 j ACCEPT iptable i INPUT p TCP --dport 21 m state --state NEW j ACCEPT iptable i INPUT p TCP --dport 20 m state --state RELATED j ACCEPT
iptables t nat I PREROUTING d [ip FW] p tcp --dport 25 j DNAT to [ip priv serv mail] iptables t nat I POSTROUTING s [ip priv serv mail] p tcp --sport 25 j SNAT to [ip FW]
06/12/07
48
==> Impossible avec filtrage simple de paquets de prvoir les ports laisser passer ou interdire Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur
06/12/07 Anas Abou El Kalam - Outils scurit 49
le cadre de cette connexion seront implicitement accepts par le pare-feu. - le firewall maintient donc une table des connexions ouvertes et lorsquun nouveau paquet arrive, regarde sil fait partie dune connexion avant de lui appliquer les rgles - le firewall est galement capable danalyser les paquets jusquau niveau applicatif
06/12/07
50
- sans stateful inspection, il faut laisser passer tous paquets destination de port > 1024 sur le serveur (on ne sait pas priori quel port va choisir le serveur) - avec stateful inspection, le port choisi par le serveur pour lchange des donnes est mmoris par le firewall et seul ce port est ouvert
06/12/07 Anas Abou El Kalam - Outils scurit 51
=> la mme rgle est applique aux autres paquets de la connexion : inutile donc de spcifier des rgles pour les paquets retour !!
06/12/07
52
Paquet accept
06/12/07
55
06/12/07
56
06/12/07
57
06/12/07
58
Intrt
Masquer ce qui se passe derrire le firewall le rseau interne est totalement invisible pour le domaine externe
Inconvnients
- overhead introduit peut tre important (pas vrai dans le cas dun proxy http qui, au contraire, en se comportant en cache, peut amliorer les performances) - pas toujours possible deffectuer des contrles car le contenu de la transaction nest
06/12/07 Anas Abou El Kalam - avec SSL) pas toujours visible (par exemple, sil est chiffr Outils scurit 59 06/12/07 Anas Abou El Kalam - Outils scurit 60
Un firewall doit tre imprenable car sinon votre rseau entier est compromis. Rgle de base : tout refuser et ensuite de naccepter que les flux ncessaires. Un FW efficace doit possder ++ interfaces rseau pour pouvoir faire filtrage fine entre plusieurs zones. Lidal cest qu chaque zone du SI corresponde une interface. Ex, une pour la connexion internet, une pour la DMZ (serveurs visible depuis Internet, possdant IP Publique), et
Toutefois, tant plus souple, ils sont souvent utiliss comme protection pour les communications sortant du rseau local pour aller vers l'extrieur. Les connexions entrantes sont alors protges par une passerelle d'application trs restrictive.
06/12/07 Anas Abou El Kalam - Outils scurit 61
une pour le LAN. Plus la granularit est fine, meilleure la scurit sera.
06/12/07
62
06/12/07
64
Syntaxe
Parade
Bloquer les paquets ICMP TTL EXPIRED au niveau de l'interface externe, mais le problme est que ses performances risque d'en prendre un srieux coup car des clients se connectant lgitimement ne seront jamais ce qui est arriv leur connexion
spcifie le port destination initial utiliser lors de la phase de ramping help. Specifie interface utiliser pas de rsolution IP <-> hostnames faire une pause, afin d'viter de flooder le rseau Type de scan excuter conformance stricte la RFC 793 ports scanner
65
06/12/07
66
Plan chapitre 3 Techniques de dfense 1. Conseils 2. Les scanners 2.1. map 2.2. essus 3. Les pare feux / Firewalls 4. Architectures de scurit
06/12/07
67
06/12/07
68
Mme machine pour servs web, messagerie et partage de connexion Internet. machine connecte directement Internet. ==>aucune forme de scurit : connexion non-scurise !!
06/12/07
69
06/12/07
70
06/12/07
72
06/12/07
73
06/12/07
74
06/12/07
75
Donnes chiffres,
06/12/07
76
06/12/07
77
06/12/07
78