SSI

IRT03 Mickal Grisel

Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

Schma classique dune attaque

Collecte dinformations

Balayage

Reprage des failles

Intrusion

Extension des privilges

Compromission

Porte drobe

Nettoyage des traces

Mickal GRISEL ESAIP

Recherche dinformations

La rcupration d'informations sur le systme

Pralable toute attaque.
rassembler le maximum d'informations sur le rseau cible : Adressage IP, Noms de domaine, Protocoles de rseau, Services activs, Architecture des serveurs, etc.

Consultation de bases publiques

En connaissant l'adresse IP publique d'une des machines du rseau ou bien tout simplement le nom de domaine, on est potentiellement capable de connatre l'adressage du rseau tout entier :
http://www.iana.net http://www.ripe.net pour l'Europe http://www.arin.net pour les Etats-Unis

Consultation de moteurs de recherche

informations sur la structure d'une entreprise, le nom de ses principaux produits, voire le nom de certains personnels.
Mickal GRISEL ESAIP

Ingnierie sociale

Scanner le rseau

Balayage du rseau
dterminer quelles sont les adresses IP actives, les ports ouverts, et le systme d'exploitation utilis. Exemple : Nmap, reconnu comme un outil indispensable.
agit en envoyant des paquets TCP et/ou UDP un ensemble de machines sur un rseau, puis il analyse les rponses.
Selon l'allure des paquets TCP reus, il lui est possible de dterminer le systme d'exploitation distant pour chaque machine scanne.

Les mappeurs passifs

n'envoient pas de paquets : ils sont donc indtectable par les IDS. Enfin, certains outils permettent de capturer les connexions X. Ce systme a pour caractristique de pouvoir utiliser l'affichage des stations prsentes sur le rseau, afin d'tudier ce qui est affich sur les crans et ventuellement d'intercepter les touches saisies par les utilisateurs des machines vulnrables.
Mickal GRISEL ESAIP

Lecture de bannires

Reprer les failles

Le reprage des failles

Les deux principaux scanneurs de failles : Nessus et SAINT certains organismes, en particulier les CERT (Computer Emergency Response Team), sont chargs de capitaliser les vulnrabilits et de fdrer les informations concernant les problmes de scurit.

Mickal GRISEL ESAIP

Lintrusion

L'intrusion
Pour pouvoir s'introduire dans le rseau, le pirate a besoin d'accder des comptes valides sur les machines qu'il a recenses. Pour ce faire, plusieurs mthodes sont utilises par les pirates :
L'ingnierie sociale. La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides Les attaques par force brute.
Mickal GRISEL ESAIP

Extension des privilges

Extension de privilges
Une fois loger sur un ou plusieurs comptes peu protgs, on va chercher augmenter ses privilges en obtenant l'accs root. Il lui est ainsi possible d'installer un sniffer. Grce cette technique, le pirate peut esprer rcuprer les couples identifiants/mots de passe lui permettant d'accder des comptes possdant des privilges tendus sur d'autres machines. Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit d'examiner le rseau la recherche d'informations supplmentaires.
Mickal GRISEL ESAIP

La compromission

Compromission
Grce aux tapes prcdentes, le pirate a pu dresser une cartographie complte du rseau, des machines s'y trouvant, de leurs failles et possde un accs root sur au moins l'une d'entre-elles. Il lui est alors possible d'tendre encore son action en exploitant les relations d'approbation existant entre les diffrentes machines.

Mickal GRISEL ESAIP

La fin de lattaque

Porte drobe
installer une application afin de crer artificiellement une faille de scurit pour revenir plus facilement

Nettoyage des traces

effacer les traces de son passage en supprimant les fichiers qu'il a crs et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit. il existe des rootkits permettant de remplacer les outils d'administration du systme par des versions modifies afin de masquer la prsence du pirate sur le systme.
En effet, si l'administrateur se connecte en mme temps que le pirate, il est susceptible de remarquer les services que le pirate a lanc ou tout simplement qu'une autre personne
Mickal GRISEL ESAIP

10

Objectifs atteindre

Objectifs de scuriser un rseau

Rendre impossible lintrusion Extension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

11

Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

12

Rendre lintrusion impossible

Ncessite une architecture scurise

le coeur d'une telle architecture est base sur un firewall.
but : scuriser au maximum le LAN, dtecter les tentatives d'intrusion et y parer au mieux possible. De plus, il peut permettre de restreindre l'accs vers Internet.

Le firewall : vritable contrle sur le trafic rseau

Il analyse, scurise et gre le trafic,
Interdit une utilisation non souhaite du rseau (MSN) Empche une personne sans autorisation d'accder ce rseau de donnes.
Mickal GRISEL ESAIP

13

Architecture

Postes clients

La plus simple :
Firewall Internet

Mickal GRISEL ESAIP

14

Serveur(s)

Architecture

Postes clients

Avec DMZ
Firewall Internet

Firewall
Mickal GRISEL ESAIP

15

Serveur(s)

Architecture

Postes clients

Tri-rsidant
Firewall Internet

Mickal GRISEL ESAIP

16

Serveur(s)

Le filtrage simple de paquets (Stateless)

Le principe.
C'est la mthode la plus simple, elle opre au niveau de la couche rseau et transport du modle OSI. La plupart des routeurs permettent d'effectuer du filtrage simple de paquet :
L'adresse IP Source/Destination. Le numro de port Source/Destination. Et bien sur le protocole de niveau 3 ou 4.

Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appeles des ACL (Access Control Lists).
Mickal GRISEL ESAIP

17

Le filtrage simple de paquets (Stateless)

Les limites.
Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser un trop grand nombre d'accs, pour que le Firewall offre une relle protection.
Par exemple, pour autoriser les connexions Internet partir du rseau priv, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet avec un port suprieur 1024.

Dfinir des ACL sur des routeurs supportant un dbit important n'est pas sans rpercussion sur le dbit lui-mme.
Enfin, ce type de filtrage ne rsiste pas certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS

Mickal GRISEL ESAIP

18

Le filtrage de paquets avec tat (Stateful)

Le Principe.
amlioration par rapport au filtrage simple,
Conservation de la trace des sessions et des connexions dans des tables d'tats internes au Firewall.
Le Firewall prend alors ses dcisions en fonction des tats de connexions, et peut ragir dans le cas de situations protocolaires anormales. permet aussi de se protger face certains types d'attaques DoS.

Mickal GRISEL ESAIP

19

Le filtrage de paquets avec tat (Stateful)

Exemple sur les connexions Internet, on va autoriser l'tablissement des connexions la demande,
On a pas besoin de garder tous les ports > 1024 ouverts. Pour les protocoles UDP et ICMP, il n'y a pas de mode connect. La solution consiste autoriser pendant un certain dlai les rponses lgitimes aux paquets envoys.

Mickal GRISEL ESAIP

20

Le filtrage de paquets avec tat (Stateful)

Les paquets ICMP sont normalement bloqus par le Firewall, qui doit en garder les traces.
Cependant, il n'est pas ncessaire de bloquer les paquets ICMP de type 3 (destination inaccessible) et 4 (ralentissement de la source) qui ne sont pas utilisables par un attaquant. On peut donc choisir de les laisser passer, suite l'chec d'une connexion TCP ou aprs l'envoi d'un paquet UDP.

Mickal GRISEL ESAIP

21

Le filtrage de paquets avec tat (Stateful)

Pour le protocole FTP (et les protocoles fonctionnant de la mme faon), c'est plus dlicat puisqu'il va faut grer l'tat de deux connexions.
le protocole FTP, gre un canal de contrle tabli par le client, et un canal de donnes tabli par le serveur. Le Firewall devra donc laisser passer le flux de donnes tabli par le serveur. Ce qui implique que le Firewall connaisse le protocole FTP, et tous les protocoles fonctionnant sur le mme principe. Cette technique est connue sous le nom de filtrage dynamique (Stateful Inspection).

Mickal GRISEL ESAIP

22

Le filtrage de paquets avec tat (Stateful)

Les limites.
il convient de s'assurer que les deux techniques sont bien implmentes par les Firewalls. Ensuite une fois que l'accs un service a t autoris, il n'y a aucun contrle effectu sur les requtes et rponses des clients et serveurs.
Un serveur HTTP pourra donc tre attaqu impunment.

Les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du protocole.
Mickal GRISEL ESAIP

23

Le filtrage applicatif
galement nomm pare-feu de type proxy. Le principe

Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche Application.
Pour cela, il faut bien sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes sont traites par des processus ddis, par exemple une requte de type HTTP sera filtre par un processus proxy HTTP. Le pare-feu rejettera toutes les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.
Mickal GRISEL ESAIP

24

Le filtrage applicatif

Les limites
Le premier problme qui se pose est la finesse du filtrage ralis par le proxy.
Il est extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.
En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes d'adaptabilit de nouveaux protocoles ou des protocoles maisons.

Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat, mais cela se paie en performance.
Mickal GRISEL ESAIP

25

Que choisir ?

Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par rapport la technologie Stateful.
les proxys doivent tre paramtrs suffisamment finement pour limiter le champ d'action des attaquants, ce qui ncessite une bonne connaissance des protocoles autoriss traverser le firewall. Ensuite un proxy est plus susceptible de prsenter une faille de scurit permettant un pirate d'en prendre le contrle, et de lui donner un accs sans restriction tout le systme d'information

Mickal GRISEL ESAIP

26

Que choisir ?

il faut protger le proxy par un Firewall de type Stateful Inspection.

Il vaut mieux viter d'installer les deux types de filtrage sur le mme Firewall, car la compromission de l'un entrane la compromission de l'autre. Enfin cette technique permet galement de se protger contre l'ARP spoofing

Mickal GRISEL ESAIP

27

Les firewall bridge

Ces derniers sont relativement rpandus.

Ils agissent comme de vrais cbles rseau avec la fonction de filtrage en plus, d'o leur appellation de firewall.
Leurs interfaces ne possdent pas d'adresse Ip,
ne font que transfrer les paquets d'une interface a une autre en leur appliquant les rgles prdfinies. Cette absence est particulirement utile, le firewall est indtectable pour un hacker lambda. Il ne rpondra jamais une requte ARP. Ses adresses Mac ne circuleront jamais sur le rseau, et il sera totalement invisible sur le rseau. rend impossible toute attaque dirige directement contre le lui : aucun paquet ne sera trait comme tant sa propre destination. Donc, la seule faon de le contourner est de passer outre ses rgles de drop. Toute attaque devra donc faire avec ses rgles, et essayer de les contourner.
Mickal GRISEL ESAIP

28

Les firewall bridge

Ces firewalls se trouvent typiquement sur les switchs.

Avantages.
Impossible de l'viter Peu coteux

Inconvnients.
Possibilit de le contourner
il suffit de passer outre ses rgles

Configuration souvent contraignante Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le plus souvent en Stateless).
Mickal GRISEL ESAIP

29

Les firewall matriels

Se trouvent souvent sur des routeurs

ont une intgration parfaite avec le matriel. configuration est souvent ardue (les plus anciens), mais
leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de par leur prsence sur le mme quipement rseau. Souvent relativement peu flexibles en terme de configuration, peu vulnrables aux attaques, car prsent dans le routeur. De plus, tant souvent trs lis au matriel, l'accs leur code est assez difficile, et le constructeur a produit des systme de codes signs afin d'authentifier le logiciel (systme RSA ou assimils). Ce systme n'est implant que dans les firewalls haut de gamme, car cela vite un remplacement du logiciel par un autre non produit par le fabricant, ou toute modification de ce dernier, rendant ainsi le firewall trs sr.
Mickal GRISEL ESAIP

30

Les firewall matriels

Son administration est souvent plus aise que les firewall bridges, les grandes marques de routeurs utilisant cet argument comme argument de vente. Leur niveau de scurit est de plus trs bon, sauf dcouverte de faille ventuelle comme tout firewall. Nanmoins, il faut savoir que l'on est totalement dpendant du constructeur du matriel pour cette mise jour, ce qui peut tre, dans certains cas, assez contraignant. Enfin, seules les spcificits prvues par le constructeur du matriel sont implmentes. Cette dpendance induit que si une possibilit nous intresse sur un firewall d'une autre marque, son utilisation est impossible. Il faut donc bien dterminer l'avance ses besoin et choisir le constructeur du routeur avec soin.
Mickal GRISEL ESAIP

31

Les firewall matriels

Avantages.
Intgr au matriel rseau Administration relativement simple Bon niveau de scurit

Inconvnients.
Dpendant du constructeur pour les mises jour Souvent peu flexibles.

Mickal GRISEL ESAIP

32

Les firewall logiciels

on peut les classer en plusieurs catgories : Les firewalls personnels. Souvent commerciaux, ont pour but de scuriser un ordinateur particulier, et non pas un groupe d'ordinateurs. ils peuvent tre contraignants et quelque fois trs peu scuriss. En effet, ils s'orientent plus vers la simplicit d'utilisation plutt que vers l'exhaustivit, afin de rester accessible l'utilisateur final.
Mickal GRISEL ESAIP

33

Les firewall logiciels

Avantages
Scurit en bout de chane (le poste client) Personnalisable assez facilement

Inconvnients.
Facilement contournable
Difficiles a dpartager.

Les diffrents firewalls

Exemple freeware :
ZoneAlarm de ZoneLabs Kerio de Kerio Outpost d'Agnitum Ltd Sygate Personal Firewall de Sygate Technologies Inc
34

Mickal GRISEL ESAIP

Les firewall logiciels

A noter qu'avec la mise jour de Win Xp Sp2. Le firewall inclus dans le systme demande tre mis en route par dfaut !
mais il ne contrle que les donnes entrantes pas les sortantes.

Les firewalls plus srieux

Tournant gnralement sous linux, car cet OS offre une scurit rseau plus leve et un contrle plus adquat, ils ont gnralement pour but d'avoir le mme comportement que les firewalls matriels des routeurs, ceci prt qu'ils sont configurables la main.
Le plus courant est iptables (anciennement ipchains), qui utilise directement le noyau linux. Toute fonctionnalit des firewalls de routeurs est potentiellement ralisable sur une telle plateforme

Mickal GRISEL ESAIP

35

Les firewall logiciels

Avantages. Personnalisables Niveau de scurit trs bon Inconvnients. Ncessite une administration systme supplmentaire

Mickal GRISEL ESAIP

36

Les firewall logiciels

Une grande faille :

ils n'utilisent pas la couche bas rseau.
Il suffit donc de passer outre le noyau en ce qui concerne la rcupration de ces paquets, en utilisant une librairie spciale, pour rcuprer les paquets qui auraient t normalement dropps par le firewall. Nanmoins, cette faille induit de s'introduire sur l'ordinateur en question pour y faire des modifications... chose qui induit dj une intrusion dans le rseau, ou une prise de contrle physique de l'ordinateur, ce qui est dj Synonyme d'inefficacit de la part du firewall.

Mickal GRISEL ESAIP

37

Configuration thorique des dfenses

Configuration d'un firewall : lment clef de lefficacit.

Un firewall mal configur peut tre tout aussi efficace... qu'aucun firewall du tout. Il existe deux politiques de configurations de base :
Tout autoriser sauf ce qui est dangereux :
cette mthode est beaucoup trop laxiste. En effet, cela laisse toute latitude l'imagination des intrus de s'exprimer. Et moins d'avoir tout prvu de faon exhaustive, on laissera forcment des portes ouvertes, des failles bantes dans notre systme.

A viter absolument.

Mickal GRISEL ESAIP

38

Configuration thorique des dfenses

Tout interdire sauf ce dont on a besoin et ce en quoi on a confiance :

cette politique est beaucoup plus scuritaire.
En effet, les services sont examins avant d'tre autoriss passer le firewall, et sont donc tous soumis un examen plus ou moins approfondi. Ainsi, pas de mauvaise surprise sur un service que l'on pensait ne pas avoir install, plus d'oubli : tout service autoris est explicitement dclar dans le firewall.

Mickal GRISEL ESAIP

39

Configuration thorique des dfenses

Cette politique s'accompagne de la cration de deux zones :
une zone interne et l'extrieur.
On peut considrer que tout ce qui est dans notre rseau local est autoris, sans prendre de trop gros risques : le firewall est l pour nous protger des attaques extrieures, pas des attaques internes pour lesquelles il ne peut rien.
Cette facette peut changer suivant la politique de l'entreprise (interdire l'accs certains, jeux, etc.).

La zone externe est par contre considre comme non sre , et donc toute requte envoye sur un service non explicitement dclar comme accessible de l'extrieur sera intercepte et ignore. La configuration de la DMZ est ici trs importante, et sa gestion aussi.
Mickal GRISEL ESAIP

40

Configuration thorique des dfenses

Cette politique s'accompagne de plusieurs points noter :
Plus de services sont ouverts, plus vulnrable est le systme.
C'est logique, car plus le nombre de logiciels accessibles de l'extrieur est grand, plus le risque qu'un intrus exploite ces dits logiciels pour s'introduire dans le systme est important. C'est ainsi que, par exemple, si on utilise un serveur Web qui interface dj le serveur de base de donne, il est inutile d'autoriser le trafic entrant vers le serveur de base de donnes... vu que le serveur Web joue le rle d'interface.

Suivant la politique de l'entreprise, l'accs ou non certains services peut tre bloqu dans les deux sens.
Cela peut servir, par exemple, empcher le jeu en ligne, ou autres activits que l'entreprise ne dsire pas voir se drouler sur ses propres infrastructures.

Mickal GRISEL ESAIP

41

Configuration thorique des dfenses

Certains protocoles sont assez difficiles autoriser, notamment le FTP. Le comportement du protocole FTP est assez atypique et mrite que l'on s'y attarde.
Le fonctionnement du FTP prvoit que ce soit le serveur qui initie la connexion sur le client pour lui transmettre le fichier.
Par exemple : Le client demande le fichier index.txt Le serveur envoie un message au client accepte la connexion sur le port 2563 Le client attend une connexion sur ce port et renvoie un ACK au serveur Le serveur initie la connexion et lance le transfert de donnes.

Mickal GRISEL ESAIP

42

Configuration thorique des dfenses

Ce comportement implique que le serveur, dans la zone externe , initie une connexion sur un port choisi par lui-mme sur le client. Or, nous lavons interdit. Il y a donc deux solutions :
Interdire le FTP. Forcer le client utiliser la commande PASV, qui indique que le serveur doit adopter un comportement passif, et accepter la connexion du client sur un port spcifi par ce dernier. C'est donc le client qui initiera la connexion, et donc, la connexion sera autorise par le firewall. Avec la commande PASV, l'change se passe donc ainsi : Le client envoie la commande PASV Le serveur rpond avec l'adresse et le port sur lequel le client peut se connecter Le client demande le fichier index.txt (RETR index.txt) Le serveur envoie un reu et attend la connexion du client Le client se connecte et reoit le fichier

La configuration efficace d'un firewall n'est pas chose vidente, et implique une grande rigueur, la moindre erreur ouvrant une brche exploitable par les hackers.
Mickal GRISEL ESAIP

43

Ipcop

Firewall Open Source

Initialement bas sur SmoothWall

Avantages :
Distribution spcifique : gain en scurit Lgre : en thorie prvue pour tre installe sur des machines recycles
En pratique minimum de 256 Mo de Ram si add-on et 600 MHz

Add-ons : nombreux, ils permettent de personnaliser la configuration facilement Administration par interface web

Mickal GRISEL ESAIP

44

Ipcop

Inconvnients :
Configuration par dfaut ne permet pas de grer les flux sortants Configuration dlicate si plus dun serveur par service dans la DMZ Firewall Tri-rsidant

Mickal GRISEL ESAIP

45

Ipcop

Prsentation :
Firewall utilis dans les rseaux de PME Par dfaut permet :
Filtrage rseau par IPTable ; serveur DHCP client NTP et serveur NTP sonde de dtection d'intrusions sur TOUS les rseaux Rseau Priv Virtuel (RPV ou VPN) serveur mandataire Web et DNS NAT/PAT Lissage de traffic Mise jour automatique administration de la machine par une interface web scurise avec :
l'affichage des performances (graphiques) ; la visualisation des journaux d'vnement
Mickal GRISEL ESAIP

46

Ipcop

Identification des rseaux

Rouge : Internet Orange : DMZ Vert : LAN Bleu : wifi (ou second LAN)

Mickal GRISEL ESAIP

47

Ipcop

Traffic par dfaut :

Rouge => IPCOP : ferm Rouge => Vert : ferm Rouge => Orange : ferm Orange => IPCOP : ferm Orange => Vert : ferm Orange => Rouge : ouvert Vert => IPCOP : ouvert Vert => Orange : ouvert Vert => Rouge : ouvert
Mickal GRISEL ESAIP

48

Ipcop

Add-ons
Permettent de raliser facilement diffrentes tches en sintgrant dans linterface graphique : Principaux :
Gestion du proxy, filtrage dURL, Gestion des flux sortants, filtrage du flux entrant (avec antivirus), Qualit de service, Protection du firewall contre les attaques, Cration de nouveaux graphiques

Mickal GRISEL ESAIP

49

Ipcop

SquidGuard
Schma fonctionnel

Mickal GRISEL ESAIP

50

Ipcop

SquidGuard
Configuration

Mickal GRISEL ESAIP

51

Ipcop

SquidGuard
Configuration

Mickal GRISEL ESAIP

52

Ipcop

Mickal GRISEL ESAIP

53

Ipcop

Mickal GRISEL ESAIP

54

Ipcop

Guardian
Protection du firewall en assurant une meilleure gestion des rgles SNORT. Bloque le scan des ports Blocage dadresses IP automatiquement ou manuellement

Mickal GRISEL ESAIP

55

Ipcop

BlockOutTraffic (BOT)
Bloque tout le trafic laisser ouvert par Ipcop Interface Graphique pour crer les rgles de contrle du trafic Principales caractristiques
Intgration transparente au GUI dIPCop Contrle du trafic envoy et traversant le pare-feu Restriction du trafic au niveau MAC, IP et des cartes d'interface Regroupement d'adresses Cration de services personnaliss Regroupement de services Rgles bases sur les heures d'utilisation Contrle du niveau de complexit des journaux du pare-feu
56

Mickal GRISEL ESAIP

Ipcop

Mickal GRISEL ESAIP

57

Ipcop

Copfilter
paserelle antivirus et antispam filtre les flux HTTP, FTP, SMTP, POP3
antivirus
Clams par dfaut mais peut utiliser F-prot ou AVG

anti-spam
Spamassassin Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and SARE Spam Rulesets

limine les pubs et pop-up en html

Mickal GRISEL ESAIP

58

Ipcop

Mickal GRISEL ESAIP

59

Ipcop

Mickal GRISEL ESAIP

60

Ipcop

Mickal GRISEL ESAIP

61

Ipcop

Mickal GRISEL ESAIP

62

Ipcop

Mickal GRISEL ESAIP

63

Ipcop

Mickal GRISEL ESAIP

64

Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

65

Extension des privilges

Politique de gestion des comptes et des mots de passe :

Nombre de caractres Dure de validit dun mot de passe Gestion des employs temporaires

Mickal GRISEL ESAIP

66

Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

67

Lutter contre la compromission

Rendre impossible linterception de nouveau compte

Utilisation de protocoles scuriss sur le LAN
Exemple : SSL pour le mail

Dtecter une intrusion et agir

IDS et IPS

Mickal GRISEL ESAIP

68

IDS-IPS

Quest ce quun IDS ?

IDS : Intrusion Detection System mcanisme destin reprer des activits anormales ou suspectes sur la cible analyse
un rseau ou un hte.

Il permet ainsi d'avoir une action de prvention sur les risques d'intrusion.

Mickal GRISEL ESAIP

69

IDS-IPS

Deux principes de dtection d'intrusion :

Systmes neuronaux :
se basent sur la dtection d'anomalies, aprs une priode d'apprentissage d'un flux normal

Systmes base de signatures :

s'appuient sur des empruntes d'attaques afin de dtecter l'intrusion (pattern matching, approche par scnarii).

Mickal GRISEL ESAIP

70

IDS-IPS

Systmes neuronaux :
Approche comportementale
Analyser si un utilisateur a eu un comportement anormal par rapport son habitude.
Par exemple, la secrtaire qui se connecte la nuit certaines heures, en plus de la journe. Il se base pour cela sur un modle statistique : des variables seront dfinies (ici la plage horaire des connections de la secrtaire par jour), et reprsenteront le profil type (comportement normal) d'un utilisateur.

Mickal GRISEL ESAIP

71

IDS-IPS

Avantages et ses inconvnients :

L'approche comportementale
permet de dtecter des attaques inconnues. Elle ne ncessite pas non plus de construction de base d'attaques, et donc d'un suivi de cette base, mais peut-etre victime de faux positifs :
l'IDS dtecte des attaques qui n'en sont pas.

Pour l'approche par scnarios, c'est l'inverse.

L'IDS se base sur des attaques connues pour effectuer son analyse, mais il est difficile de maintenir cette base de signatures.

Mickal GRISEL ESAIP

72

IDS-IPS

Cibles analyses :
Les N-IDS (Network Based Intrusion Detection System), qui surveillent l'tat de la scurit au niveau du rseau.
approche par scnario

Mickal GRISEL ESAIP

73

IDS-IPS
Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'tat de la scurit au niveau des htes.
Approche comportementale

Mickal GRISEL ESAIP

74

IDS-IPS
Un autre type d'H-IDS cherche les intrusions dans le noyau (kernel) du systme, et les modifications qui y sont apportes. Certains appellent cette technique analyse protocolaire . Trs rapide, elle ne ncessite pas de recherche dans une base de signature. Exemples de contrles pour Windows ...

Mickal GRISEL ESAIP

75

IDS-IPS

Stack-Based IDS
Dernire gnration dIDS Bas sur la pile TCP/IP
Analyse le paquet dans toute les couches du modle OSI Analyse le trafic entrant et sortant Permet de dtecter lattaque avant lapplication

Mickal GRISEL ESAIP

76

IDS-IPS

Points fort dun N-IDS

Cot dutilisation Analyse de paquets : temps rel Permet lidentification de lattaquant Complte le firewall Indpendant de lOS

Mickal GRISEL ESAIP

77

IDS-IPS

Points fort dun H-IDS

Permet de savoir si lattaque russi ou pas Surveiller les activits dun OS (log, fichiers consults, modifications de droits admin ) Surveiller des points particuliers (dll, base de registres) Proche du temps rel (temps rel si Stack- based IDS) Pas de matriel supplmentaire
Mickal GRISEL ESAIP

78

IDS-IPS

H-IDS et N-IDS se complmentent

Mickal GRISEL ESAIP

79

IDS-IPS

Mickal GRISEL ESAIP

80

IDS-IPS

Snort : N-IDS
Snort est un systme de dtection d'intrusion open source sous licence GPL.
l'origine crit par Martin Roesch, il appartient actuellement Sourcefire Le plus utilis au monde Possibilit de souscrire gratuitement pour maintenir les listes jour 5 jours aprs leur parution

Mickal GRISEL ESAIP

81

IDS-IPS

H-IDS :
AIDE DarkSpy FCheck IceSword Integrit Nabou OSSEC Osiris Samhain Tripwire
82

Mickal GRISEL ESAIP

IDS-IPS

IPS :
Ensemble de technologies de scurit But : Anticiper et stopper les attaques Principe de fonctionnement : Symtrie avec IDS
Host IPS & Network IPS, Analyse des contextes de connexion, Automatisation d'analyse des logs, Coupure des connexions suspectes,

Mickal GRISEL ESAIP

83

Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits

Mickal GRISEL ESAIP

84

Lutter contre les rootkits

Lutter contre les rootkits :

Exemple : F-Secure a publi un petit logiciel gratuit : BlackLight

Mickal GRISEL ESAIP

85