Vous êtes sur la page 1sur 20

Dfinitions :

Vulnrabilit

Partie II : Etude des attaques

faiblesse / faille : faute accidentelle ou intentionnelle introduite dans spcification, conception ou configuration du systme Attaque Action malveillante qui tente dexploiter une faiblesse dans le systme et de violer un ou plusieurs besoins de scurit

"

&

Intrusion faute oprationnelle, externe, intentionnellement nuisible, rsultant de lexploitation dune vulnrabilit dans le systme







!

06/12/07

Anas Abou El Kalam - Etude des attaques

'

06/12/07

Anas Abou El Kalam - Etude des attaques

Dfinitions :

Dfinitions :
DoS / DDoS : dni de service

Menace Violation potentielle dune proprit de scurit

attaque d'un serveur destine l'empcher de remplir sa fonction. mthode classique : faire crouler le serveur sous une masse de requtes gnralement mal formes dessein pour entraner une rponse anormale et paralysante. L'attaque utilise trs souvent une multitude de PC zombies travaillant de concert, infects par des backdoors/chevaux de Troie et mobilisables distance par un pirate. Il est aussi possible de bloquer distance des routeurs en tirant parti de failles de leur software.

Risque Couple (menace, vulnrabilit)

06/12/07

Anas Abou El Kalam - Etude des attaques

06/12/07

Anas Abou El Kalam - Etude des attaques

Plan chapitre 0

1. Carte puces
Le client insre sa carte bancaire dans la fente et tape son NIP. L'cran demande le montant du retrait. Le client tape le montant du retrait et confirme. Le guichet cre une transaction et l'envoie au serveur transactionnel. Le serveur vrifie l'authenticit de la transaction et la relaie aux services financiers. La transaction est confirme. Le guichet demande au client de retirer sa carte bancaire. Le guichet remet l'argent au client et imprime un relev de transaction.
6

1. Dfinitions et principes gnraux 2. Exemples de menaces de quelques SI


Serveur transactionnel

Services financiers

3. Critres gnraux de la scurit des SI


Qui connat l'autre et se connat, en cent combats ne sera point dfait; qui ne connat l'autre mais se connat, sera vainqueur une fois sur deux; qui ne connat pas plus l'autre qu'il ne se connat sera toujours dfait.

--L'art de la guerre - Sun Tzu

Client
06/12/07 Anas Abou El Kalam - Etude des attaques 5 06/12/07 Anas Abou El Kalam - Etude des attaques

1. Fraude au distributeur

1. Fraude au distributeur

La fraude aux cartes peut soprer au niveau technologique : fausse goulotte pour lire la piste magntique, camra pour enregistrer la composition du code

06/12/07

Anas Abou El Kalam - Etude des attaques

06/12/07

Anas Abou El Kalam - Etude des attaques

1. Fraude au distributeur

1. Yescard et payements frauduleux


-La yescard est une carte puce programmable qui permettait de faire des transactions dachats sur quelques types dautomates de paiement lectronique. La rflexion thorique a donn lieu une fraude organise avec un prjudice de plusieurs MF mais trs localise quelques dpartements. Chronologie -Printemps 2001, cration dun groupe de yescarder -Et reportages presse et tl, exploitations personnelles -Automne, mise en place de rseaux organiss notamment proximit dautomates de distribution de carburant. Source panorama clusif 2001
9 06/12/07 Anas Abou El Kalam - Etude des attaques 10

Quelques rfrences AFP 17/02/03 Nmes AFP 09/04/03 Nice AFP 19/12/03 Meaux Source panorama clusif 2003 El Kalam - Etude des attaques 06/12/07 Anas Abou

1. Yescard et payements frauduleux


Quelques dtails En dessous dun seuil de transaction dachat, lauthentification de la carte et de son porteur sont fait en local. Seuls les automates (carburant, titre de transport, location vido, etc.) sont concerns

1. Yescard et payements frauduleux


Contexte -Connaissance du principe dans le milieu professionnel -Affaire judiciaire Serge Humpich vs GIE-CB -Diffusion des clefs sur Usenet donne la dcomposition du module oprationnel. 21359870359209100823950227049996287970510953418264 17406442524165008583957746445088405009430865999 = 1113954325148827987925490175477024844070922844843* 1917481702524504439375786268230862180696934189293. -Migration EMV 5.1 et 5.2 depuis janvier 2002 avec durcissement du processus dauthentification et de non rpudiation (clef 768bits)
11 06/12/07 Anas Abou El Kalam - Etude des attaques 12

-Les DAB/GAB requirent une demande dautorisation en ligne. - Les TPE chez les commerants ncessiteraient la contre-faon visuelle de la carte ou une collusion.
06/12/07 Anas Abou El Kalam - Etude des attaques

2. Tlchargement illicites : les risques pour lentreprise


Jugement TGI Marseille du 11/06/03 : Un employ de Lucent Technologies conoit un site personnel dnonant les abus (selon lui) de sa socit Escota. Il met en ligne ce site depuis son poste de travail. Le tribunal de grande instance de Marseille condamne lauteur de ce site mais aussi sa socit en considrant que la faute a t commise dans lexercice de ses fonctions (article 1384 du code civil) Dcision du conseil dtat du 15/10/03 : le conseil dtat confirme lexclusion temporaire dun adjoint technique de recherche. Cet employ avait utilis ladresse lectronique de son directeur de laboratoire pour communiquer sur le site dune secte. Lentreprise a t avertie de ce problme par un autre salari et a a priori constat le fait sur le site sans prendre connaissance du contenu des mails. 06/12/07 Anas Abou El Kalam - Etude des attaques 13

2. Tlchargement illicites : les risques pour lentreprise


Cadre lgal La responsabilit pnale des employs est engage en cas dutilisation illicite de moyens informatiques de lentreprise : droit dauteur et des marques pour tlchargement de logiciels pirates, documents audio ou films (mp3, DIVX, mpeg4,..), loi Godfrain (code pnal : 323.1, 323.2 et 323.3), pour les tentatives dintrusion et altration dun systme La responsabilit civile des entreprises peut aussi tre tablie si les tribunaux considrent que lemploy en faute tait dans lexercice de ses fonctions en sappuyant sur larticle 1384 du code civil (ou responsabilit du commettant du fait du prpos) http://www.legalis.net/jnet/2003/actualite_07_2003.htm http://www.celog.fr/silex/tome1/chap_1-1.htm
06/12/07 Anas Abou El Kalam - Etude des attaques 14

4. La menace stratgique : Echelon


Un systme espion : nom de code CHELON Accord secret UK / USA (1948) entre 5 organisations Espionnage militaire, de scurit, civil, conomique Les moyens Six bases d'coute des tlcommunications Rseau de satellites espions Puissance informatique : tri et filtrage

4. La menace stratgique : Echelon


Un exemple : la NSA - La plus grande agence d'espionnage du monde - Cre en 52, plus de 20 000 agents - Budget annuel ~ 3 G - Aide des armes et du National Reconnaissance Office - Concentration mathmaticiens, linguistes, analystes Clients Maison Blanche, Dpartement d'tat, CIA, FBI, Pentagone, DEA, Trsor, Dpartement du Commerce Missions couter, enregistrer, dcoder, traduire, analyser les informations Casser les codes de chiffrement laborer des codes de chiffrement

06/12/07

Anas Abou El Kalam - Etude des attaques

15

06/12/07

Anas Abou El Kalam - Etude des attaques

16

Contexte stratgique : Quels agresseurs et quelles cibles

CLASSIFICATIO DES ATTAQUES

Ecoute passive
Etats trangers Espionnage conomique Terrorisme politique et religieux crime organis Hackers Utilisateurs Politiques Militaire Economique (industrielle, financire, commerciale) Scientifique
06/12/07 Anas Abou El Kalam - Etude des attaques 17

- lattaquant se contente daccder sans modification aux informations gnres (e.g., sur un DD), transmises (sur canal de communication, e.g., MdP). => sniffing, scanning, eavesdropping, wire tapping

. Interception
- lattaquant modifie des informations transmises ou injecte des informations => rejeu, insertion, substitution, destruction, TCP hijacking

. Dguisement
- lattaquant tente de se faire passer pour quelquun dautre =>IP spoofing, web page defacing, Fishing

ryptanalyse
- obtenir des informations secrtes partir dinformations publiques => partir dun message chiffr, retrouver le message en clair, retrouver la cl

06/12/07

Anas Abou El Kalam - Etude des attaques

18

CLASSIFICATIO DES ATTAQUES

CLASSIFICATIO DES ATTAQUES

Dni de service
- lattaquant vise empcher sa victime de continuer dlivrer le service (attaque de la dispo..) => spamming, flooding, smurfing

Porte drobe (Backdoors)


Accs cachs, moyen de contourner les mcanismes de scurit ; faille du systme de scurit due une faute de conception accidentelle ou intentionnelle (cheval de Troie en particulier) Ces passages secrets sont mnags par les concepteurs de logiciels pour fournir des accs privilgis pour les tests ou la maintenance. Mais les pirates qui les dcouvrent peuvent djouer tous les mcanismes de scurit et rentrer dans le systme. Parfois installe par un attaquant qui a russi sintroduire dans le systme et qui veut se laisser un moyen de se rintroduire dans le systme - exemple : - aot 1986, Lawrence Berkeley Laboratory : un intrus utilise le compte dun utilisateur puis acquiert les privilges systmes : faille banale (mauvaise installation de Gnu-emacs) - plutt que de corriger la faille, il est dcid dobserver - en 10 mois, lintrus a tent de pntrer dans 430 ordis relis Internet, principalement militaires - il a t possible de localiser et didentifier lintrus : un allemand de Hanovre, Markus Hess, li au Chaos Computer Club et travaillant pour le KGB (condamn le 15 fvrier 1990 des peines de 2 ans de prison avec sursis et de 10 000 DM damende)
06/12/07 Anas Abou El Kalam - Etude des attaques 20

Bombe logique
sont aussi nfastes que les virus ou les vers et sont la cause de dgats similaires. La diffrence est que la bombe logique a besoin d'un dtonateur pour s'activer, C'est donc une fonction dvastatrice (partie de programme qui reste dormante) dclenche retardement ou par certaines conditions / date prcise (vendredi 13) prsence de certains utilisateurs, certains logiciels ou matriels aprs un certain nombre dactivations => destruction dinfos stockes : donnes, progs, infos de scurit (ex: par formatage DD) => diffusion de fausses informations de diagnostic => dgts matriels : usure anormale de priphriques, destruction dcrans, de disquettes, dimprimantes, etc.
06/12/07 Anas Abou El Kalam - Etude des attaques 19

CLASSIFICATIO DES ATTAQUES

Porte drobe (Backdoors)


Ex de backdoors sur certains logiciels (messagerie, utilitaires systmes) e.g., pour certaines commandes suivies d'arguments particuliers ou avec un mot de passe bien dfini, le logiciel peut avoir un comportement diffrent Permettre accs root l'utilisateur, renvoyer un shell systme l'utilisateur, etc. Ces "trappes" sont inclues directement dans le code du logiciel. Certains dveloppeurs sont soucieux de possder un accs sur tous les systmes utilisant leurs logiciels !! e.g., Ken Thompson, l'un des pres d'UNIX, avoue avoir modifi l'application /bin/login en permettant l'accs direct au systme par la saisie d'un mot de passe prcompil en dur. Thompson pouvait ainsi visiter tous les systmes utilisant son application modifie. Parfois, certains pirates diffusent des applications infestes de backdoors.

CLASSIFICATIO DES ATTAQUES cheval de Troie


programme effectuant une fonction illicite tout en donnant lapparence deffectuer une fonction lgitime ; la fonction illicite peut tre de divulguer ou daltrer des informations, ou peut tre une bombe logique Exemple AIDS - entre le 8 et le 12 dcembre 1989, environ 10.000 disquettes "publicitaires" ont t envoyes 7000 abonns de PC Business World (GB) et 3000 participants europens dune confrence de lOMS sur le SIDA en octobre 1988. - lenveloppe contenait : le texte dune licence et le mode demploi dinstallation - objet prtendu du programme : valuer le risque dtre atteint par le SIDA - en fait, aprs 90 dmarrages du PC, une bombe logique tait lance : - chiffrement des noms de fichiers sur le disque - dition dun bon de commande pour payer la licence lordre de PC-Cybor

Protection ?
MAC & Checksums & Signatures Veille : CERT, BugTraq, ... tlcharger ses applications sur le site du distributeur ou du programmeur. Utiliser des serveurs de tlchargement non lis l'auteur de l'application peut se 06/12/07 Anas Abou El Kalam - Etude des attaques 21 rlver dangereux.

Protection ?
Antivirus MAC & Signatures Veille : CERT, BugTraq, ... Ne pas faire confiance aux prog non srs, Macros, ... 06/12/07 Anas Abou El Kalam - Etude des attaques ...

22

CLASSIFICATIO DES ATTAQUES RootKits


programme permettant d'automatiser la dissimulation et l'effacement des traces d'un pirate sur une machine. Modifier commandes permettant d'administrer systme, cacher ports ouverts par pirate... Utilisent le principe des backdoors ++ types : ls, ps, netstat ==>Modif lib ==> Modif comportement noyau, par le biais de modules chargs en mmoire

Classification attaques :
Spyware contraction de spy et software. Logiciel espion qui collecte des donnes personnelles avant de les envoyer un tiers, e.g., Keylogger : transmettre les donnes saisies au clavier Spamming 'usage abusif d'un systme messagerie destin exposer dlibrment (et de manire rpte) les utilisateurs des contenus non pertinents et non sollicits
06/12/07 Anas Abou El Kalam - Etude des attaques 24

Protection ?
Les checksums. effectuer checksums la fin d'une installation sur les diffrents fichiers comme ls, ps, stat ifconfig, etc. et sur les diffrentes bibliothques partages. Cette BD devrait tre stocke sur CDROM ou autre support non rinscriptible. 2. Compiler les programmes vitaux en statique. disposerez d'une trousse de secours en cas d'infection par rootkits. pour cela, il faut disposer d'un OS permettant accder sources progs vitaux... 3. Chkrootki tpermet de dtecter la prsence d'un rootkit (sous FreeBsd, libre). 4. Compilez noyau en statique. Vous viterez ainsi chargement modules externes.
06/12/07 Anas Abou El Kalam - Etude des attaques 23

CLASSIFICATIO DES ATTAQUES virus


segment de programme qui, lorsquil sexcute, se reproduit en sadjoignant un autre programme (du systme ou dapplication), et qui devient ainsi un cheval de Troie ; Proprits : infection, multiplication, fct nocive => ventuellement porteur dune bombe logique => propagation par change de support (disquettes) ou par rseau - peut simplement sadjoindre un autre programme et tre donc excut uniquement lorsque ce programme est excut - peut sinstaller dans le secteur de boot dune machine, dune disquette ou dans la table des interruptions : on parle de virus rsident

CLASSIFICATIO DES ATTAQUES virus suite


- virus "vendredi13" (Isral, dcembre 1987) : + virus pour PC,avec une bombe logique + dtruit les programmes lorsquil sexcute un vendredi 13 - virus "nimda" (septembre 2001) : + virus pour PC, contenant un cheval de Troie; + ce virus se rpand par fichiers attachs dans la messagerie + pas de sujet, document attach "README.EXE" + le virus peut sexcuter automatiquement louverture du mail sous Outlook + il provoque le partage en criture du disque local + il tente de se propager par les dossiers partags + il tente de saturer les serveurs de messageries et scane massivement le port 80 de certains serveurs web pour dgrader leurs performances - virus "Iloveyou" (2000) : + virus de messagerie lectronique + le sujet est "I love you" + un document attach LOVE-LETTER-FOR-YOU.TXT.vbs contient un virus + dtruit beaucoup de fichiers locaux en les remplaant par sa propre copie, essaie galement de se propager par messagerie et par IRC.
06/12/07 Anas Abou El Kalam - Etude des attaques

- macros-virus
+ dans certains documents, des commandes peuvent tre enregistres comme des donnes (formules de calcul dans les tableurs ou macros dans des traitements de texte) + ces commandes peuvent tre excutes louverture du fichier => un virus peut sinsrer dans ces commandes => un logiciel comme Excel prvient de la prsence de telles macros et demande lautorisation pour les excuter

- virus de messagerie
06/12/07 Anas document attach un courier + un cheval de Troie est insr dans unAbou El Kalam - Etude des attaques lectronique + tout est fait pour que lutilisateur excute le document attach (titre trompeur, ...) 25

26

CLASSIFICATIO DES ATTAQUES virus suite


- virus "Mimail" (octobre 2003) : + virus de messagerie lectronique + le sujet est Re[2] : our private photos, dont lemetteur est james@<domaine_destinataire> + un document attach PHOTOS.ZIP contient un virus qui sil est excut, senvoie toutes les adresses emails trouves sur la machine et attaque le site Darkprofits.com

3. Les virus Internet, les vers : Code Red

- En vrac : "klez", "BugBear", "Sober"

17 Juillet 2001: le virus CodeRed commence une diffusion ultra rapide via Internet (250 000 systmes infects en moins de 9 heures). cible les serveurs IIS de windows utilise le protocole TCP/IP et le port 80. dfigure les pages web hberges en y apposant la signature "Hacked by Chinese " utilise un moteur de scan dadresses IP puis sauto-installe sur les systmes vulnrables identifis entre le 1er et le 19 de chaque mois, le virus se propage, puis partir du 20, il attaque (DoS) le site Web de la Maison Blanche
27 06/12/07 Anas Abou El Kalam - Etude des attaques 28

06/12/07

Anas Abou El Kalam - Etude des attaques

3. Exemple de mode de propagation des virus via email


24 Octobre 2002 : rception dune carte virtuelle Friend Greeting application envoye par un ami.

3. Exemple de mode de propagation des virus via email


Sans me mfier je clique sur le lien car jai envie de voir le message

06/12/07

Anas Abou El Kalam - Etude des attaques

29

06/12/07

Anas Abou El Kalam - Etude des attaques

30

3. Exemple de mode de propagation des virus via email


Sans prter trop attention ce qui se passe, je rpond oui quelques questions et me voil prt relayer des email

3. Exemple de mode de propagation des virus via email


Me voil rcompens !! Et rapidement inquiet en voyant le compteur de messages envoys de mon poste !!!

06/12/07

Anas Abou El Kalam - Etude des attaques

31

06/12/07

Anas Abou El Kalam - Etude des attaques

32

CLASSIFICATIO DES ATTAQUES Vers


- programme autonome qui sexcute, se propage et se reproduit linsu des utilisateurs normaux => ventuellement porteur dune bombe logique => propagation par rseau - premier ver, Xerox, 1975 : programme "utile", compos de segments qui se copiaient sur les machines inactives du rseau (tests de machines, mesure de performances ...) - le ver dInternet (2 novembre 1988) : cr par Robert Morris Jr., tudiant, fils de Robert H. Morris ("Chief Scientist" du " ational Computer Security Center" de la ational Security Agency) - utilise 3 failles connues dUnix dont lattaque par dictionnaire des mots de passe - suite une faute de conception, le ver se propage beaucoup plus rapidement que prvu par son auteur (condamn 10 000 $ damende et 400 heures de travaux dintrt gnral) => immobilisation de 6000 60000 machines en une nuit => cration du Computer Emergency Response Team (CERT) le 13 dcembre

CLASSIFICATIO DES ATTAQUES Vers suite


- "Blaster" (connu galement sous le nom de "Lovsan") : + infecte les machines WindowsNT, Windows2000, Windows XP et Windows Server 2003 + exploite une faiblesse de DCOM (Distributed Component Object Model) qui utilise le port TCP/IP 135 => suffit denvoyer une requte particulirement formatte pour provoquer une dfaillance (buffer overflow) + un email contenant un cheval de Troie a ensuite circul en prtendant contenir un correctif pour le vers ! => les correctifs de scurit ne sont en gnral jamais envoys par courrier !! + modification de la base des registres + gnration dune adresse IP et tentative dinfection de la machine correspondante + cration dun processus qui coute sur le port 1444 et qui permet dexcuter distance des commandes sur la machine infecte + en fontion de certaines conditions (certains jours de certains mois), une attaque de type dni de service est lance contre le site windowsupdate.com (SYN flooding) + NB : le vers contient la chane de caractres : " I just want to say LOVE YOU SA ! billy gates why do you make this possible ? stop making money and fix your software !"
06/12/07 Anas Abou El Kalam - Etude des attaques 34

06/12/07

Anas Abou El Kalam - Etude des attaques

33

3. Les virus Internet, les vers : IMDA

3. Les virus Internet, les vers : IMDA


rcupre @ prsentes dans carnets d'adresses de Microsoft Outlook et Eudora, fichiers HTML prsents sur le DD de la machine infecte. envoie tous les destinataires un courrier dont corps est vide, sujet est alatoire/long pice jointe nomme Readme.exe ou Readme.eml se propager travers rpertoires partags des rseaux Microsoft Windows en infectant les fichiers exe s'y trouvant consultation de pages Web sur serveurs infects peut entraner une infection lorsqu'un utilisateur consulte ces pages (ie5)

Ver se propageant l'aide du courrier lectronique, exploite galement 4 autres modes de propagation : web rpertoires partags failles de serveur Microsoft IIS changes de fichiers Affecte particulirement les utilisateurs de Microsoft Outlook sous Windows 95, 98, Millenium, NT4 et 2000.

06/12/07

Anas Abou El Kalam - Etude des attaques

35

Exploite certaines failles de scurit de IIS

06/12/07

Anas Abou El Kalam - Etude des attaques

36

3. Les virus Internet, les vers : IMDA


Symptmes postes infects possdent sur leur disque fichiers : README.EXE README.EML fichiers comportant l'extension .NWS fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe Eradiquer dconnecter la machine infecte du rseau utiliser un antivirus rcent / kit de dsinfection de Symantec patch pour Microsoft Internet Explorer 5.01 et 5.5.

Dfinitions : Ver Virus

Autonome (n'utilisent pas ncessairement un fichier pour se propager), sur DD

parasites dissimul dans fichiers ou dans code excutable contenu dans secteur dmarrage disque infectent en particulier les fichiers exe, ...

Arrive souvent par pice jointe un mail comprenant un code malicieux excut automatiquement par le logiciel de courrier lectronique ou manuellement par l'utilisateur ne se multiplie pas localement

Souvent par port rseau

06/12/07

Anas Abou El Kalam - Etude des attaques

37

06/12/07

Anas Abou El Kalam - Etude des attaques

se multiplie localement, s'autoduplique, se propage en infectant tour tour les fichiers Effets : fichiers effacs, disque dur format, saturation des disques, modification du MBR
38

ATTAQUES RESEAU : Exemples

ATTAQUES RESEAU : Exemples SYN flooding (attaque de type dni de service)


- Saturer le serveur en envoyant une grande quantit de paquets TCP avec le flag "SYN" arm, sans rpondre aux "ACK" (connexion semi-ouverte sur la machine B) => consommation de ressources sur le serveur jusqu croulement

. . . .

IP nest pas un protocole o la scurit a t intgre la base IP est un protocole datagramme - on ne peut faire confiance au champ adresse source => rien ne garantit que le paquet a bien t mis par la machine dont ladresse IP est celle du champ source

Les paquets sont routs de proche en proche => un routeur quelconque R peut envoyer un paquet une machine B en se faisant passer pour une autre machine A Pas dauthentification des annonces de routage - des protocoles tels que RIP / OSPF permettent de mettre jour dynamiquement les tables de routage par diffusion des routes => pas dauthentification des annonces donc dviation du trafic ais !

Protection

e.g., avec iptables limitant demandes d'tablissment de connexion TCP acceptes 1/seconde # iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -J ACCEPT
06/12/07 Anas Abou El Kalam - Etude des attaques 39 06/12/07 Anas Abou El Kalam - Etude des attaques 40

ATTAQUES RESEAU : Exemples UDP flooding (attaque de type dni de service)


De la mme manire que pour le SYN flooding, l'attaquant envoie un grand nombre de requtes UDP sur une machine. Le trafic UDP tant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le rseau. e.g., Chargen Denial of Service Attack. Un pirate envoie une requte sur le port echo d'une machine A indiquant comme port source celui du port chargen d'une machine B. Le service chargen (initialement destin tester TCP/IP pour tre sr que paquets arrivent destination sans altration) de la machine B renvoie un caractre sur le port echo de la machine A. Ensuite le service echo de A renvoie ce caractre sur chargen. chargen le reoit, en ajoute un autre et les renvoie sur le port echo de A qui les renvoient son tour sur chargen ... .. et cela continue jusqu' la saturation de la bande passante.

ATTAQUES RESEAU : Exemples Packet Fragment (attaque de type dni de service)


- envoyer par exemple des paquets ICMP de taille norme - paquets de taille suprieure 65536 octets peuvent provoquer un dbordement du buffer de rception du datagramme : crash de la machine (Ping of Death) Ping of Death : envoyer paquet ICMP avec quantit donnes sup. taille maximale d'un paquet IP . La pile peut s'avrer incapable de grer cette exception et le reste du trafic. - sur un rseau de type Ethernet, le paquet est fragment et lors de la reconstruction du paquet, pas de vrif que la taille du dernier fragment nest pas suprieure la place dispo

Protection

Smurffing (attaque de type dni de service) base sur protocole ICMP. Lorsqu'on envoie ping rseau en broadcast (ex 255.255.255.0), le paquet est envoy chacune des machines du rseau. Un pirate envoie un ping en broadcast sur un rseau (A) avec une @IP source correspondant celle de la machine cible (B). Le flux entre le port ping de la cible (B) et du rseau (A) sera mulitpli par le nombre de machines sur le rseau (A). Conduit saturation bande passante du rseau (A) et du systme de traitement de paquets de (B). # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -J ACCEPT DDoS (attaque de type dni de service)
- sintroduire sur plusieurs machines partir desquelles l'attaquant va lancer une attaque sur une cible particulire 06/12/07 42 - attaque en gnral orchestre parAnas matre qui donne ledes attaques un Abou El Kalam - Etude signal

dsactiver les services chargen et echo configurez firewall pour viter le Chargen Denial of Service Attack en limitant traffic UDP
06/12/07 Anas Abou El 41 # iptables -A FORWARD -p udp --syn Kalam - Etude des attaques 1/second -J ACCEPT -m limit --limit

ATTAQUES RESEAU : Exemples IP Spoofing (attaque de type dguisement)


- la machine Attack envoie un datagramme IP en changeant ladresse source et en la remplaant par ladresse source dune autre machine - les messages de retour sont envoys par la machine B la machine C, donc Attack ne les reoit pas => possibilit dutiliser le champ source routing dun datagramme IP qui permet de spcifier le chemin que va prendre un datagramme (cf. transparent suivant)

ATTAQUES RESEAU : Exemples

IP Spoofing

par Source Routing

- la machine Attack envoie un datagramme IP en changeant ladresse source et en la remplaant par ladresse source dune autre machine - messages retour sont envoys par machine B la machine C, donc Attack ne les reoit pas => utiliser champ source routing dun datagramme IP pour spcifier chemin ... + source routing impose la route exacte suivre pour aller destination (la liste des diffrents routeurs traverser est insre dans le datagramme) + loose source routing impose la traverse de certains routeurs pour aller destination (dautres routeurs peuvent galement tre traverss)

06/12/07

Anas Abou El Kalam - Etude des attaques

43

06/12/07

Anas Abou El Kalam - Etude des attaques

44

ATTAQUES RESEAU : Exemples IP Spoofing

ATTAQUES RESEAU : Exemples IP Spoofing par prdiction du N squence TCP


- Attack empche A de terminer la connexion grce une attaque de type "SYN Flooding" - Si Attack est capable de prdire le numro de squence Y, il se fait donc passer pour A 1. Aprs avoir dtermin une machine de confiance( ici la machine A), Attack met hors service via un SYN Flooding par exemple (ncessaire pour quelle ne puisse rpondre aux paquets envoys par B); ensuite, lattaquant doit tre capable de prdire numros de squence utiliss par la machine B 2. Attack initie une connexion TCP (rsh par exemple), en envoyant un paquet avec le flag SYN B et en se faisant passer pour A 3. B rpond avec un paquet dont les flags SYN et ACK sont activs et dont le numro de squence vaut y 4. Attack renvoie B un paquet contenant le flag TCP ACK avec le bon numro acquitement, ceci en se faisant toujours passer pour A

par Source Routing (suite)

- attaque : la machine Attack veut se faire passer pour la machine A auprs de B 1. Attack choisit une machine A laquelle B fait confiance 2. Attack cre un paquet IP en mettant comme adresse source celle de A 3. loption loose source routing est positionne Attack fait partie des routeurs traverser 4. le paquet retour utilise la mme route que celle du paquet aller et passe donc par Attack le paquet envoy par attaquant est accept par B puisquil semble venir de A, machine de confiance

06/12/07

Anas Abou El Kalam - Etude des attaques

45

06/12/07

Anas Abou El Kalam - Etude des attaques

46

ATTAQUES RESEAU : Exemples IP Spoofing par prdiction du N squence TCP


- lattribution des numros de squence TCP tait faible dans limplmentation originale => numro de squence est incrment dune constante chaque seconde et de la moiti de cette constante chaque nouvelle connexion - si un intrus initie une connexion et visualise le numro de squence associ, il a de fortes chances de deviner le numro de squence de la prochaine connexion - cette attaque sutilise contre des services de type rlogin ou rsh, lorsquils sont configurs pour effectuer une authentification uniquement sur ladresse IP source de la machine cliente

ATTAQUES RESEAU : Exemples IP Spoofing par prdiction du N sqce : Protection ?


Nmap invoqu avec l'option -O et -v vous fournit une indication sur la difficult qu'aura le pirate procder une attaque par IP spoofing contre votre serveur. # nmap -O -v 192.168.1.4 Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Host (192.168.1.4) appears to be up ... good. Initiating Connect() Scan against (192.168.1.4) Adding open port 111/tcp ... Adding open port 139/tcp ... Remote operating system guess : Linux 2.1.19 - 2.2.19 TCP Sequence Prediction : Class=random positive increments Difficulty=4687481 (Good luck !) IPID Sequence Generation : Incremental Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds Si, par malchance, lors d'un scan, vous obtenez un nombre trs bas avec un message du type "Trivial Joke", cela signifie que votre systme est trs vulnrable une attaque par IP-Spoofing. Autres moyens de protection Supprimer tous les services se basant sur l'authentification IP (rlogin, rsh). Certains modules comme rp_filter sous Linux permettent une dfense contre ces attaques. Utilisation de tunnels

06/12/07

Anas Abou El Kalam - Etude des attaques

47

06/12/07

Anas Abou El Kalam - Etude des attaques

48

ATTAQUES RESEAU : Exemples Sniffing (attaque de type coute passive)


- Exemple sur un LAN de type Ethernet - Possibilit dobserver tout le trafic entre la machine A et B sur la machine Attack - La notion de switch Ethernet et de commutation semble rsoudre ce problme => pas vraiment, cf. transparent sur le sniffing par utilisation de spoofing ARP

ATTAQUES RESEAU : Exemples Outils Snnifers


Le sniffer place la carte rseau dans le mode transparent (promiscious), carte intercepte tous paquets sur le segment rseau, mme ceux qui ne lui sont pas destins Tcpdump (tcpdump.org) affichent les donnes interceptes brutes ==> fichiers de log trs volumineux dsniff (www.packetstormsecurity.org) Rcupre pwd & affiche directement l'cran pwd, login, @ client, @ serveur Ethereal / Wireshark(ethereal.com) affiche transactions ayant cours sur le rseau (notion de filtre)

Protection ?
Un sniffer est passif, il n'envoie aucun paquet, il ne fait qu'intercepter. Mais la carte rseau tant en mode transparent, son comportement s'en trouve chang, son temps et sa faon de rpondre certains paquets sont modifis. On peut dtecter la prsence d'un sniffer grce ce changement de comportement. AntiSniff (sur win & linux) envoie paquets "tests" et en dduit si la carte est en mode transparent donc susceptible de sniffer. chiffrer transactions rseaux : "tunnels" (IPSec,VPN ...), SSL, ...
06/12/07 Anas Abou El Kalam - Etude des attaques 49 06/12/07 Anas Abou El Kalam - Etude des attaques 50

ATTAQUES RESEAU : Exemples ARP spoofing (attaque de type dquisement)


-- tout datagramme IP est encapsul dans une trame Ethernet (avec @ source et @ destination) - le protocole ARP (Address Resolution Protocol) implmente le mcanisme de rsolution dune adresse IP en une adresse MAC Ethernet - si la machine source ne connat pas ladresse MAC de la machine destination, elle envoie une requete ARP en broadcast, attend la rponse et la mmorise

ATTAQUES RESEAU : Exemples Protection contre ARP spoofing


La solution la plus immdiate consiste saisir manuellement sur chaque poste la table de toutes les adresses physiques prsentes sur le rseau local. Si elle est immdiate, cette solution est quasiment inapplicable compte tenu du nombre d'htes connects au rseau local. Une solution correcte consiste mettre en place un serveur DHCP avec une liste ferme de correspondance entre adresses physiques (MAC) et IP. La liste exhaustive des adresses physiques est centralise sur le serveur DHCP. On peut ensuite configurer la journalisation du service pour que toute requte DHCP relative une @ MAC inconnue gnre un courrier vers l'aministrateur. Enfin, On peut utiliser sous UNIX, un logiciel spcialis : arpwatch Permet de surveiller tout le trafic ARP.

=> Attack rpond en indiquant sa propre adresse MAC, ainsi elle intercepte les paquets destination de B
06/12/07 Anas Abou El Kalam - Etude des attaques 51

Les NIDS peuvent aussi dtecter ce type d'attaques (Prelude-IDS, Snort, ...).
06/12/07 Anas Abou El Kalam - Etude des attaques 52

ATTAQUES RESEAU : Exemples Sniffing par utilisation de ARP spoofing


- - la machine 10.0.0.227 (machine pirate) veut recevoir le trafic destin la machine 10.0.0.1, passerelle par dfault de la machine 10.0.0.171 (machine victime) arpspoof -t victime passerelle Attaquant : dire la victime que mnt, nous (notre @MAC) appartient l'IP de passerelle echo 1 > /proc/sys/net/ipv4/ip_forward Permettre l'IP forwarding de manire ce que le traffic passe par le host de l'attaquant

ATTAQUES RESEAU : Exemples Sniffing par utilisation de ARP spoofing


- - Attack corrompt le cache ARP des machines Victime1 et Victime2 en envoyant des faux ARP reply ==> il envoie sa propre adresse MAC lorsque Victime1( resp. Victime2) essaie de connatre ladresse MAC de Victime2 (resp. Victime1) => il intercepte ainsi la communication entre Victime1 et Victime2

06/12/07

Anas Abou El Kalam - Etude des attaques

53

06/12/07

Anas Abou El Kalam - Etude des attaques

54

ATTAQUES RESEAU : Exemples Sniffing par utilisation de ARP flooding


- le switch gre une correspondance interne entre numro de port et une adresse Ethernet : il nenvoie donc les paquets destins une adresse Ethernet particulire que sur le port correspondant - lattaque consiste envoyer de multitudes de faux couples (@MAC/@IP) pour saturer les tables du switch => le switch passe alors en mode "hub" et envoie toutes les trames sur tous les ports

ATTAQUES RESEAU : Exemples TCP session hijacking (attaque de type interception)


-Rappel : change de donnes en connexion TCP

- lattaque consiste, pour une machine Attack, attendre la phase de connexion et usurper lidentit de A pendant lchange de donnes => ceci suppose que Attack est capable de sniffer les connexions entre A et B
06/12/07 Anas Abou El Kalam - Etude des attaques 55 06/12/07 Anas Abou El Kalam - Etude des attaques 56

ATTAQUES RESEAU : Exemples TCP session hijacking (attaque de type interception)

ATTAQUES RESEAU : Exemples TCP session hijacking

06/12/07

Anas Abou El Kalam - Etude des attaques

57

cette attaque permet Attack de voler une session telnet tablie entre A et B : 1. dans un 1er temps, Attack sniffe trafic entre A et B et attend fin de lauthentification 2. ensuite Attack forge un paquet avec comme adresse IP source celle de A et le numro dacquittement attendu par B, B accepte donc ce paquet ; pour cela il faut que Attack ait cout le trafic pour pouvoir correctement envoyer le numro dacquitement et de squence => la connexion entre A et B devient dsynchronise paquet inject par Attack fait que paquet lgitime envoy par A nest plus accept par B cause du numro de squence, de mme pour les paquets envoys par B A => apparat le problme du Ack StormEl Kalam - envoientattaques 06/12/07 Anas Abou (A et B Etude des des ACK en permanence) 58

ATTAQUES RESEAU : Exemples DNS spoofing (dguisement)


Le protocole DNS (Domain Name System) a pour rle de convertir un nom complet de machine (par ex. java.enseeiht.fr) en son adresse IP (193.50.169.118) et rciproquement; protocole bas sur le mcanisme client/serveur (un serveur DNS rpond aux requtes des clients)

ATTAQUES RESEAU : Exemples DNS spoofing (dguisement)

- Lattaque consiste envoyer une fausse rponse une requte DNS avant le serveur DNS => len-tte du protocole comporte un champ didentification qui permet de faire correspondre les rponses aux demandes; la faiblesse provient de certains serveurs DNS qui gnrent des ID prvisibles => lattaque ncessite que lattaquant contrle un serveur DNS (par ex ns.attack.com) ayant autorit sur le domaine attack.com
06/12/07 Anas Abou El Kalam - Etude des attaques 59 06/12/07 Anas Abou El Kalam - Etude des attaques 60

ATTAQUES RESEAU : Exemples DNS spoofing (dguisement)


cette attaque ncessite que attack contrle le serveur DNS ns.attack.com et quil sait prdire les numros de squence DNS de dns.cible.com 1. attack envoie une requte DNS pour le nom www.attack.com au serveur DNS du domaine cible.com 2. le serveur DNS relaie la demande au DNS du domaine attack.com; ==> ainsi attack peut sniffer la requte pour rcuprer lID 3. attack falsifie @ IP associe un nom de machine, www.spoofed.com,et met ensuite une requte de rsolution pour www.spoofed.com vers ns.cible.com; ==> ns.cible.com relaie la requte en lenvoyant ns.spoofed.com 4. attack envoie rponses DNS falsifies sa propre requte en se faisant passer pour ns.spoofed.com (plusieurs rponses pour avoir plus de chances de tomber sur le bon ID) => le cache DNS de cible.com est donc corrompu

ATTAQUES RESEAU : Exemples Attaque RIP


diffusion dynamique de messages permettant de mettre jour les tables de routage - aucune authentification lorigine => possibilit pour un intrus de forger un paquet de faon modifier les tables de routages dun routeur => possibilit pour un intrus de recevoir certains paquets qui ne lui taient pas destins : il suffit quil envoie un message RIP forg indiquant que lui-mme est routeur pour certaines adresses de rseaux par exemple

Protection
Configurez votre serveur DNS pour qu'il ne rsolve directement que les noms de machine du rseau sur lequel il a autorit. Autorisez seulement machines internes demander la rsolution de noms de domaines distants. Mettez jour ou changez les logiciels assurant le service DNS pour qu'ils vous protgent des attaques dcrites prcedemment. Voir http://www.linux-france.org/article/memo/dns/node16.html
06/12/07 Anas Abou El Kalam - Etude des attaques 61 06/12/07 Anas Abou El Kalam - Etude des attaques 62

ATTAQUES RESEAU : Exemples

ATTAQUES RESEAU : Exemples

Tiny Fragments attacks


- un datagramme IP peut tre fragment; dans ce cas, les filtres IP appliquent la mme rgle de filtrage tous les fragments dun paquet, la rgle est dtermine au premier fragment - lattaque consiste fragmenter sur 2 paquets IP une demande de connexion TCP; le premier paquet IP de 68 octets (un paquet de 68 octets nest jamais fragment nouveau) ne contient comme donnes que les premiers octets de len-tte TCP ports source et destination ainsi que numro de squence; les donnes du 2nd paquet IP renferment la demande de connexion TCP (flag SYN 1) => si le fitrage est effectu sur les flags TCP (SYN, ACK), il choue car le premier paquet nen possde pas; le paquet peut alors tre accept => les paquets suivants passent galement et la destination, le paquet est reconstitu : la connexion est tablie alors quelle aurait d tre refuse

Overlapping Fragments attacks


-- lorsquun paquet IP est fragment, le paquet complet est reconstitu lorsquil arrive destination - lalgorithme de rassemblage du paquet est dcrit dans la RFC 791 : il stipule que si 2 fragments ont eu une intersection non vide, cest les donnes du dernier paquet reu qui seront utilises pour la reconstruction du paquet - lattaque consiste donc envoyer un premier fragment "inoffensif" (qui sera accept par es filtres) et ensuite de construire un deuxime fragment dont certaines donnes recouvrent celles du premier paquet (et qui contiennent donc une attaque)

06/12/07

Anas Abou El Kalam - Etude des attaques

63

06/12/07

Anas Abou El Kalam - Etude des attaques

64

ATTAQUES RESEAU : Exemples

ATTAQUES RESEAU : Exemples

Buffer overflow
-- attaque qui nutilise pas une faiblesse du rseau mais trs utilise pour attaquer les rseaux => consiste exploiter des faiblesses des programmes serveurs qui soccupent de services rseaux (server ftp, serveur http, ...) - le principe : exploiter des programmes C pas assez rigoureux !

Buffer overflow
- si net_msg est trs long , il peut craser msg puis sfp puis ladresse de retour de la fonction copy_msg (ce qui nest pas normal !) - lorsque la fonction copy_msg se termine, on peut alors faire excuter du code une adresse choisie => justement celle de msg - le code excuter est insr dans net_msg qui est donc copi dans msg

06/12/07

Anas Abou El Kalam - Etude des attaques

65

=> ici le code excuter est : SSSSSSS........ S => ladresse de retour a t change en 0xD8, lendroit o a t plac le code excuter => lart consiste donc fabriquer net_msg = SSSS......SS0xD8
06/12/07 Anas Abou El Kalam - Etude des attaques 66

ATTAQUES RESEAU : Exemples


Buffer overflow : example Buffer overflow de wu-ftpd par MAIL_ADMI
Lorsque la fonctionnalit MAIL_ADMIN de wu-ftpd est active, un attaquant distant pourrait provoquer un dbordement de mmoire. Le serveur wu-ftpd peut tre compil avec la fonctionnalit MAIL_ADMIN. Dans ce cas, un email est envoy vers administrateur chaque fois qu'un fichier est upload sur le serveur. From: wu-ftpd Subject: New file uploaded: nom_fichier Cependant, si la taille du nom de fichier avoisine les 32768 caractres, un buffer overflow se produit. Un attaquant pourrait donc employer cette vulnrabilit dans le but de faire excuter du code.

ATTAQUES RESEAU : Exemples

Buffer overflow :
(Inter Process Communication).

example Buffer overflow de ipcs

Le programme /usr/bin/ipcs fournit des informations sur l'usage des ressources IPC

ipcs affiche le nombre de queues de message et de smaphores crs ainsi que les segments de mmoire. L'option "-C indique la source d'informations employer. En gnral, il s'agit d'un -C" fichier core. Par exemple : ipcs -C /tmp/core Cependant, ipcs ne vrifie pas la taille du nom de fichier !! Un attaquant local peut alors spcifier un nom de fichier core trop long dans le but de provoquer un buffer overflow.

06/12/07

Anas Abou El Kalam - Etude des attaques

67

e.g., 06/12/07

permettre un attaquant local d'accrotre ses privilges. Anas Abou El Kalam - Etude des attaques

68

ATTAQUES RESEAU : Exemples Attaque par format et buffer overflow de ntpd


Deux erreurs de programmation figurent dans le serveur ntpd (Network Time Protocol Daemon) et pourraient permettre un attaquant distant d'accrotre ses privilges. ntpd: daemon qui met et maintient l'heure du systme en synchronisation avec des serveurs de temps standards sur Internet ntpd s'excute avec les privilges du root But de l'attaque: obtenir accs root Attaque : construire des rponses pour une requte avec des arguments readvar longs Il est facile de spoofer l'adresse source d'un serveur ntp

Attaques sur diffrents protocoles

06/12/07

Anas Abou El Kalam - Etude des attaques

69

06/12/07

Anas Abou El Kalam - Etude des attaques

70

Attaques contre Dynamic Host Configuration Protocol - DHCP


Attaque par puisement de ressources Un serveur DHCP possde un stock d'@ IP qu'il distribue aux diffrents clients Ce stock est bien sr limit. Il y aura seulement un nombre dfini de clients pouvant disposer des diffrentes adresses IP Scnario possible si DHCP est mal administr ; e.g., si les correspondances entre adresses MAC et IP se font dynamiquement partir d'une plage d'@ IP vacantes Si un pirate gnre un grand nombre de requtes DHCP semblant venir d'un grand nombre de clients diffrents, le serveur puisera vite son stock d'adresses. Les vrais clients ne pourront donc plus obtenir d'adresse IP Le trafic rseau sera paralys. Faux serveurs DHCP Cette attaque vient en complment de la premire. Si un pirate a russi saturer un serveur DHCP par puisement de ressources, il peut trs bien en activer un autre la place. Il pourra ainsi contrler tout le trafic rseau.

DHCP : Protection
Limiter le service DHCP une liste ferme de correspondances d'@ MAC et IP. Ainsi toute requte trangre cette liste est systmatiquement rejete. Sous Windows, remplissez champs de l'option Rservations dans le prog de config du serveur DHCP Sous Linux, ditez le fichier /etc/dhcpd.conf sur le serveur DHCP. Par ex, pour client toto avec l'@ MAC 00:C0:34:45:56:67 laquelle correspond l'@ 192.168.1.2, le routeur 192.168.1.1 et le serveur de noms 192.168.1.3. host toto { hardware ethernet 00:C0:34:45:56:67; fixed-address 192.168.1.2; option routers 192.168.1.1; option domain-name-server 192.168.1.3; } S'il est impossible d'tablir une liste ferme, segmentez votre rseau en sousrseaux et attribuez-leur chacun un serveur DHCP. Ces serveurs seront indpendants les uns des autres. Les nouvelles versions du protocole DHCP permettent l'utilisation de mcanismes d'authentification plus stricts. Assurez vous que vos serveurs utilisent ces (dernires) versions de protocoles (RFC3118).
06/12/07 Anas Abou El Kalam - Etude des attaques 72

06/12/07

Anas Abou El Kalam - Etude des attaques

71

Attaques contre FTP


FTP Transition des pwd en claire. FTP anonyme mauvaise gestion des droits d'accs peut s'avrer tre une erreur fatale. Laisser trop de rpertoires en droit d'criture et/ou d'excution est plus que dangereux. Le pirate pourrait y installer ou y excuter des codes malveillants lui permettant d'accrotre son pouvoir sur la machine.

Attaques contre FTP


FTP Transition des pwd en claire. FTP anonyme mauvaise gestion des droits d'accs peut s'avrer tre une erreur fatale. Laisser trop de rpertoires en droit d'criture et/ou d'excution est plus que dangereux. Le pirate pourrait y installer ou y excuter des codes malveillants lui permettant d'accrotre son pouvoir sur la machine.

Boucing attack - Attaque par rebonds


Vise FTP anonymes Utiliser serv FTP anonyme comme relais pour se connecter d'autres serveurs FTP Scnario Imaginons qu'un pirate se voit refuser l'accs par un serveur FTP dont l'accs est allou seulement un certain groupe d'adresses IP. Imaginons que le pirate ne fait pas partie de ce groupe, mais qu'un serveur FTP anonyme y appartienne. Le pirate peut se connecter sur le serveur FTP anonyme, utiliser les commandes assurant la connexion sur le serveur FTP protg et y rcuprer des fichiers PROTECTION
SFTP 06/12/07 Anas Abou El Kalam - Etude des attaques FTP anonyme seulement en cas de ncessit Gestion des droits (e.g., firewalls), Tuneling, ...
73

Boucing attack - Attaque par rebonds


Vise FTP anonymes utiliser serv FTP anonyme comme relais pour se connecter d'autres serveurs FTP Scnario Imaginons qu'un pirate se voit refuser l'accs par un serveur FTP dont l'accs est allou seulement un certain groupe d'adresses IP. Imaginons que le pirate ne fait pas partie de ce groupe, mais qu'un serveur FTP anonyme y appartienne. Le pirate peut se connecter sur le serveur FTP anonyme, utiliser les commandes assurant la connexion sur le serveur FTP protg et y rcuprer des fichiers PROTECTION
SFTP FTP anonyme seulement en cas de ncessitKalam - Etude des attaques 06/12/07 Anas Abou El Gestion des droits (e.g., firewalls), Tuneling, ...
74

SMTP : relayage
Un serveur SMTP (port 25) sert envoyer les mails sur le rseau local ou sur Internet. Problme courant : le serveur SMTP peut servir de relais de mailing anonyme. Un pirate peut trs bien s'en servir pour envoyer des mails scabreux travers Internet. Un autre problme : commandes EXPN (@ d'un alias + liste rcepteurs) et VRFY. Ces commandes sont sources de nombreuses informations pour le pirate. Il convient de les dsactiver si le logiciel de messagerie le permet.

DEMOS VIDEOS ATTAQUES ...

Comment s'en protger ?


Appliquez des rgles de firewalling assez strictes concernant le serveur SMTP Usage rserv exclusivement aux machines du rseau interne; tout ce qui sort de l'intrieur doit provenir d'une adresse interne; .... Certains serveurs SMTP empchent le relayage, vrifiez si votre serveur de messagerie supporte cette option.
06/12/07 Anas Abou El Kalam - Etude des attaques 75 06/12/07

Anas Abou El Kalam - Etude des attaques

76

SECURITE : LES MOYE


Identification, authentification

S?

Politiques dautorisations et privilges Gestion des droits et des privilges Contrles daccs logiques et physiques

Maintenant qu'on connait notre ennemi comment se protger ? ...

Profils de protection, classes de fonctionnalits valuation, certification, accrditation, agrment, Journalisation ("audit") des vnements lis la scurit

06/12/07

Anas Abou El Kalam - Etude des attaques

77

06/12/07

Anas Abou El Kalam - Etude des attaques

78