Académique Documents
Professionnel Documents
Culture Documents
Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits
Collecte dinformations
Balayage
Intrusion
Compromission
Porte drobe
Recherche dinformations
Ingnierie sociale
Scanner le rseau
Balayage du rseau
dterminer quelles sont les adresses IP actives, les ports ouverts, et le systme d'exploitation utilis. Exemple : Nmap, reconnu comme un outil indispensable.
agit en envoyant des paquets TCP et/ou UDP un ensemble de machines sur un rseau, puis il analyse les rponses.
Selon l'allure des paquets TCP reus, il lui est possible de dterminer le systme d'exploitation distant pour chaque machine scanne.
Lecture de bannires
Lintrusion
L'intrusion
Pour pouvoir s'introduire dans le rseau, le pirate a besoin d'accder des comptes valides sur les machines qu'il a recenses. Pour ce faire, plusieurs mthodes sont utilises par les pirates :
L'ingnierie sociale. La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides Les attaques par force brute.
Mickal GRISEL ESAIP
Extension de privilges
Une fois loger sur un ou plusieurs comptes peu protgs, on va chercher augmenter ses privilges en obtenant l'accs root. Il lui est ainsi possible d'installer un sniffer. Grce cette technique, le pirate peut esprer rcuprer les couples identifiants/mots de passe lui permettant d'accder des comptes possdant des privilges tendus sur d'autres machines. Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit d'examiner le rseau la recherche d'informations supplmentaires.
Mickal GRISEL ESAIP
La compromission
Compromission
Grce aux tapes prcdentes, le pirate a pu dresser une cartographie complte du rseau, des machines s'y trouvant, de leurs failles et possde un accs root sur au moins l'une d'entre-elles. Il lui est alors possible d'tendre encore son action en exploitant les relations d'approbation existant entre les diffrentes machines.
La fin de lattaque
Porte drobe
installer une application afin de crer artificiellement une faille de scurit pour revenir plus facilement
10
Objectifs atteindre
11
Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits
12
13
Architecture
Postes clients
La plus simple :
Firewall Internet
14
Serveur(s)
Architecture
Postes clients
Avec DMZ
Firewall Internet
Firewall
Mickal GRISEL ESAIP
15
Serveur(s)
Architecture
Postes clients
Tri-rsidant
Firewall Internet
16
Serveur(s)
Le principe.
C'est la mthode la plus simple, elle opre au niveau de la couche rseau et transport du modle OSI. La plupart des routeurs permettent d'effectuer du filtrage simple de paquet :
L'adresse IP Source/Destination. Le numro de port Source/Destination. Et bien sur le protocole de niveau 3 ou 4.
Cela ncessite de configurer le Firewall ou le routeur par des rgles de filtrages, gnralement appeles des ACL (Access Control Lists).
Mickal GRISEL ESAIP
17
Les limites.
Le premier problme vient du fait que l'administrateur rseau est rapidement contraint autoriser un trop grand nombre d'accs, pour que le Firewall offre une relle protection.
Par exemple, pour autoriser les connexions Internet partir du rseau priv, l'administrateur devra accepter toutes les connexions TCP provenant de l'Internet avec un port suprieur 1024.
Dfinir des ACL sur des routeurs supportant un dbit important n'est pas sans rpercussion sur le dbit lui-mme.
Enfin, ce type de filtrage ne rsiste pas certaines attaques de type IP Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines attaques de type DoS
18
Le Principe.
amlioration par rapport au filtrage simple,
Conservation de la trace des sessions et des connexions dans des tables d'tats internes au Firewall.
Le Firewall prend alors ses dcisions en fonction des tats de connexions, et peut ragir dans le cas de situations protocolaires anormales. permet aussi de se protger face certains types d'attaques DoS.
19
20
21
22
Les limites.
il convient de s'assurer que les deux techniques sont bien implmentes par les Firewalls. Ensuite une fois que l'accs un service a t autoris, il n'y a aucun contrle effectu sur les requtes et rponses des clients et serveurs.
Un serveur HTTP pourra donc tre attaqu impunment.
Les protocoles maisons utilisant plusieurs flux de donnes ne passeront pas, puisque le systme de filtrage dynamique n'aura pas connaissance du protocole.
Mickal GRISEL ESAIP
23
Le filtrage applicatif
galement nomm pare-feu de type proxy. Le principe
Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche Application.
Pour cela, il faut bien sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes sont traites par des processus ddis, par exemple une requte de type HTTP sera filtre par un processus proxy HTTP. Le pare-feu rejettera toutes les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.
Mickal GRISEL ESAIP
24
Le filtrage applicatif
Les limites
Le premier problme qui se pose est la finesse du filtrage ralis par le proxy.
Il est extrmement difficile de pouvoir raliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7.
En outre le fait de devoir connatre les rgles protocolaires de chaque protocole filtr pose des problmes d'adaptabilit de nouveaux protocoles ou des protocoles maisons.
Mais il est indniable que le filtrage applicatif apporte plus de scurit que le filtrage de paquet avec tat, mais cela se paie en performance.
Mickal GRISEL ESAIP
25
Que choisir ?
Tout d'abord, il faut nuancer la supriorit du filtrage applicatif par rapport la technologie Stateful.
les proxys doivent tre paramtrs suffisamment finement pour limiter le champ d'action des attaquants, ce qui ncessite une bonne connaissance des protocoles autoriss traverser le firewall. Ensuite un proxy est plus susceptible de prsenter une faille de scurit permettant un pirate d'en prendre le contrle, et de lui donner un accs sans restriction tout le systme d'information
26
Que choisir ?
27
28
Avantages.
Impossible de l'viter Peu coteux
Inconvnients.
Possibilit de le contourner
il suffit de passer outre ses rgles
Configuration souvent contraignante Les fonctionnalits prsentes sont trs basiques (filtrage sur adresse IP, port, le plus souvent en Stateless).
Mickal GRISEL ESAIP
29
30
31
Avantages.
Intgr au matriel rseau Administration relativement simple Bon niveau de scurit
Inconvnients.
Dpendant du constructeur pour les mises jour Souvent peu flexibles.
32
33
Inconvnients.
Facilement contournable
Difficiles a dpartager.
35
36
37
A viter absolument.
38
39
La zone externe est par contre considre comme non sre , et donc toute requte envoye sur un service non explicitement dclar comme accessible de l'extrieur sera intercepte et ignore. La configuration de la DMZ est ici trs importante, et sa gestion aussi.
Mickal GRISEL ESAIP
40
Suivant la politique de l'entreprise, l'accs ou non certains services peut tre bloqu dans les deux sens.
Cela peut servir, par exemple, empcher le jeu en ligne, ou autres activits que l'entreprise ne dsire pas voir se drouler sur ses propres infrastructures.
41
42
La configuration efficace d'un firewall n'est pas chose vidente, et implique une grande rigueur, la moindre erreur ouvrant une brche exploitable par les hackers.
Mickal GRISEL ESAIP
43
Ipcop
Avantages :
Distribution spcifique : gain en scurit Lgre : en thorie prvue pour tre installe sur des machines recycles
En pratique minimum de 256 Mo de Ram si add-on et 600 MHz
Add-ons : nombreux, ils permettent de personnaliser la configuration facilement Administration par interface web
44
Ipcop
Inconvnients :
Configuration par dfaut ne permet pas de grer les flux sortants Configuration dlicate si plus dun serveur par service dans la DMZ Firewall Tri-rsidant
45
Ipcop
Prsentation :
Firewall utilis dans les rseaux de PME Par dfaut permet :
Filtrage rseau par IPTable ; serveur DHCP client NTP et serveur NTP sonde de dtection d'intrusions sur TOUS les rseaux Rseau Priv Virtuel (RPV ou VPN) serveur mandataire Web et DNS NAT/PAT Lissage de traffic Mise jour automatique administration de la machine par une interface web scurise avec :
l'affichage des performances (graphiques) ; la visualisation des journaux d'vnement
Mickal GRISEL ESAIP
46
Ipcop
47
Ipcop
48
Ipcop
Add-ons
Permettent de raliser facilement diffrentes tches en sintgrant dans linterface graphique : Principaux :
Gestion du proxy, filtrage dURL, Gestion des flux sortants, filtrage du flux entrant (avec antivirus), Qualit de service, Protection du firewall contre les attaques, Cration de nouveaux graphiques
49
Ipcop
SquidGuard
Schma fonctionnel
50
Ipcop
SquidGuard
Configuration
51
Ipcop
SquidGuard
Configuration
52
Ipcop
53
Ipcop
54
Ipcop
Guardian
Protection du firewall en assurant une meilleure gestion des rgles SNORT. Bloque le scan des ports Blocage dadresses IP automatiquement ou manuellement
55
Ipcop
BlockOutTraffic (BOT)
Bloque tout le trafic laisser ouvert par Ipcop Interface Graphique pour crer les rgles de contrle du trafic Principales caractristiques
Intgration transparente au GUI dIPCop Contrle du trafic envoy et traversant le pare-feu Restriction du trafic au niveau MAC, IP et des cartes d'interface Regroupement d'adresses Cration de services personnaliss Regroupement de services Rgles bases sur les heures d'utilisation Contrle du niveau de complexit des journaux du pare-feu
56
Ipcop
57
Ipcop
Copfilter
paserelle antivirus et antispam filtre les flux HTTP, FTP, SMTP, POP3
antivirus
Clams par dfaut mais peut utiliser F-prot ou AVG
anti-spam
Spamassassin Filtre Bayesien, SURBL, DNSBL, Razor, DCC, and SARE Spam Rulesets
58
Ipcop
59
Ipcop
60
Ipcop
61
Ipcop
62
Ipcop
63
Ipcop
64
Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits
65
66
Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits
67
68
IDS-IPS
Il permet ainsi d'avoir une action de prvention sur les risques d'intrusion.
69
IDS-IPS
70
IDS-IPS
Systmes neuronaux :
Approche comportementale
Analyser si un utilisateur a eu un comportement anormal par rapport son habitude.
Par exemple, la secrtaire qui se connecte la nuit certaines heures, en plus de la journe. Il se base pour cela sur un modle statistique : des variables seront dfinies (ici la plage horaire des connections de la secrtaire par jour), et reprsenteront le profil type (comportement normal) d'un utilisateur.
71
IDS-IPS
72
IDS-IPS
Cibles analyses :
Les N-IDS (Network Based Intrusion Detection System), qui surveillent l'tat de la scurit au niveau du rseau.
approche par scnario
73
IDS-IPS
Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'tat de la scurit au niveau des htes.
Approche comportementale
74
IDS-IPS
Un autre type d'H-IDS cherche les intrusions dans le noyau (kernel) du systme, et les modifications qui y sont apportes. Certains appellent cette technique analyse protocolaire . Trs rapide, elle ne ncessite pas de recherche dans une base de signature. Exemples de contrles pour Windows ...
75
IDS-IPS
Stack-Based IDS
Dernire gnration dIDS Bas sur la pile TCP/IP
Analyse le paquet dans toute les couches du modle OSI Analyse le trafic entrant et sortant Permet de dtecter lattaque avant lapplication
76
IDS-IPS
77
IDS-IPS
78
IDS-IPS
79
IDS-IPS
80
IDS-IPS
Snort : N-IDS
Snort est un systme de dtection d'intrusion open source sous licence GPL.
l'origine crit par Martin Roesch, il appartient actuellement Sourcefire Le plus utilis au monde Possibilit de souscrire gratuitement pour maintenir les listes jour 5 jours aprs leur parution
81
IDS-IPS
H-IDS :
AIDE DarkSpy FCheck IceSword Integrit Nabou OSSEC Osiris Samhain Tripwire
82
IDS-IPS
IPS :
Ensemble de technologies de scurit But : Anticiper et stopper les attaques Principe de fonctionnement : Symtrie avec IDS
Host IPS & Network IPS, Analyse des contextes de connexion, Automatisation d'analyse des logs, Coupure des connexions suspectes,
83
Plan
Droulement dune attaque Rendre impossible lintrusion Le problme dextension des privilges Lutter contre la compromission Surveiller les systmes contre les portes drobes et les rootkits
84
85