La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP.

Présentations similaires


Présentation au sujet: "Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP."— Transcription de la présentation:

1 Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure

2 Agenda Introduction Quelque chiffres pour poser le décor Différentes vues dun paquet TCP/IP ISA Server en quelques mots Les « appliances » ISA Server 2004 : un produit extensible Méthodologie dattaque Démonstration 0 : collecte dinformations, transfert de zone DNS Attaques de serveurs Web Démonstration 1 : exploitation dune vulnérabilité Web Attaques de serveurs FTP Démonstration 2 : exploitation dune vulnérabilité FTP Attaques de serveurs SMTP Démonstration 3 : exploitation dune vulnérabilité SMTP Synthèse, ressources utiles & Questions / Réponses

3 Quelques chiffres Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group) Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05) Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web +59% entre le dernier semestre 2004 et le premier semestre % entre le premier semestre 2004 et le premier semestre 2005 Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005) Etudes CSI/FBI 2004 & 2005) 2004 : 89% des interviewés déclarent 1 à 5 incidents 2005 : 95% des interviewés déclarent plus de 10 incidents 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de janvier 2000 à janvier 2004) WebCohort Application Defense Center's penetration testing effectuée de janvier 2000 à janvier 2004)

4 Application Layer Content ???????????????????? Différentes vues dun paquet TCP/IP Seul lentête du paquet est analysé. Le contenu au niveau de la couche application est comme une boite noire La décision de laisser passer est basée sur les numéros de ports IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content MSNBC - MSNBC Front Page

5 ISA Server en quelques mots Proxy cache Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site Pare-feu multicouches (3,4 et 7) Filtrage extensible

6 Network Engines NS Appliances sol/nsapplianceseries.aspx sol/nsapplianceseries.aspx Autres OEMs : Disponible en « appliance »

7 ISA Server 2004 : un produit extensible Filtrage applicatif AntivirusAuthentification Contrôle dURLs AccélérateursSSL Reporting Haute disponibilité Plus de partenaires :

8 Méthodologie dune attaque

9 Découverte des serveurs cibles Requête Whois Utilisation de moteurs de recherche Transfert de zone DNS … Passons à la démonstration 0 Passons à la démonstration 0

10 Démonstration 0 On dispose dun nom de domaine : Target.com On va chercher ce qui se cache derrière On vient dobtenir : mail.target.com ftp.target.com …

11 Attaque de serveurs Web Exemple dattaques possibles sur un serveur Web : Entrée de paramètres non valides Virus (Nimda, Code Red...) Buffer Overflow Injection de commandes Cross Site Scripting Directory traversal Vol dauthentification ou de session … Au-delà des vulnérabilités liées au serveur Web, il existe désormais une couche supplémentaire à maintenir à jour et à protéger : les applications Web. Combinez une application web vulnérable avec lutilisation de HTTPS et vous obtenez un cocktail explosif pour outrepasser les défenses assurées par votre pare-feu traditionnel.

12 Démonstration 1

13 Le filtre HTTP Les options suivantes sont disponibles: Limiter la taille maximale des entêtes (header) dans les requêtes HTTP Limiter la taille de la charge utile (payload) dans les requêtes Limiter les URLs qui peuvent être spécifiées dans une requête Bloquer les réponses qui contiennent des exécutables Windows Bloquer des méthodes HTTP spécifiques Bloquer des extensions HTTP spécifiques Bloquer des entêtes HTTP spécifiques Spécifier comment les entêtes HTTP sont retournés Spécifier comment les entêtes HTTP Via sont transmis ou retournés Bloquer des signatures HTTP spécifiques Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP (flux sortant ou entrants) En complément de ce filtre, il est possible de créer des filtres Web complémentaires via le SDK : us/isasdk/isa/internet_security_and_acceleration_server_start_page.asp us/isasdk/isa/internet_security_and_acceleration_server_start_page.asphttp://msdn.microsoft.com/library/en- us/isasdk/isa/internet_security_and_acceleration_server_start_page.asp

14 Utilisation du filtre HTTP

15 Attaques de serveurs FTP Exemple dattaques possibles sur un serveur FTP : Entrée de paramètres non valides Buffer Overflow Directory Traversal … Conséquences dune attaque sur un serveur FTP Déni de service Compromission des fichiers proposés en téléchargement Elévation de privilèges Enumération des comptes utilisateurs Utilisation frauduleuse du service à des fins illégales (Warez…) … En complément dune bonne configuration du service et du maintien à jour du logiciel serveur, lutilisation dun pare-feu applicatif est une bonne solution dans le cadre dune défense en profondeur.

16 Démonstration 2

17 Le filtre FTP C'est un filtre applicatif qui permet de limiter certaines actions dans l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'Option Lecture seule. Quand le mode lecture seule est activé, le filtre FTP bloque toutes les commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. Ainsi, il ne devrait pas être possible dexécuter des commandes modifiant des informations sur le serveur FTP (via une commande PUT ou MKDIR par exemple). La liste par défaut des commandes autorisées peut être remplacée par une liste personnalisée qui contiendrait par exemple des commandes/Paramètre spécifiques (FPCVendorParametersSets) à une implémentation spécifique du service FTP. Note : pour que les modifications soient prises en comptes, il faut redémarrer le service Pare-feu Informations complémentaires et exemple de script pour personnaliser le filtre FTP : us/isasdk/isa/configuring_add_ins.asp us/isasdk/isa/configuring_add_ins.asphttp://msdn.microsoft.com/library/default.asp?url=/library/en- us/isasdk/isa/configuring_add_ins.asp

18 Attaques SMTP

19 Exemple dattaques possibles sur un serveur SMTP : Entrée de paramètres non valides Buffer Overflow Directory Traversal Virus… Conséquences dune attaque sur un serveur SMTP Déni de service Utilisation frauduleuse du service à des fins illégales (SPAM, DDoS…) Elévation de privilèges Compromission du système dinformation et divulgation dinformations confidentielles… En complément dune bonne configuration du service SMTP, du maintien à jour du logiciel serveur, du choix dune solution de filtrage de contenu (Anti spam, Anti-virus) lutilisation dun pare-feu applicatif est une bonne solution dans le cadre dune défense en profondeur.

20 Démonstration 3

21 Protection des serveurs SMTP avec ISA Client messagerie Exchange, serveur ou passerelle SMTP Périmètre de lentreprise (DMZ) ISA Server 2004 Analyse SMTP (Commandes, contenu…) Attaque SMTP Commandes SMTP : longueur… Choix des commandes autorisées Extension refusée :.exe,.vbs…

22 En résumé : Transfert de zone DNS Bloqué par le filtre dintrusion DNS Attaque sur application Web et/ou SSL Filtrage des flux indésirables avec le filtre HTTP Pontage des connexions SSL et analyse HTTP Attaque via SMTP Filtre SMTP : Filtrage des commandes Filtreur de messages : source, extension, taille… Cette présentation sest limitée à démontrer lutilité de quelques filtres dISA Server Celui-ci dispose encore dautres filtres (MS RPC POP3, MMS, RTSP…) permettant de se prémunir contre les attaques sur les protocoles couramment utilisés.

23 Ressources utiles Site Web Microsoft revent/default.mspx Webcasts, e-démos et séminaires TechNet (Gratuits) Sites externes Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement BlogsBlogs.technet.com/stanislas Kits dévaluation ISA Server Version dévaluation (120 jours) CD (livres blancs et guide déploiement)

24 Questions / Réponses

25 Merci pour votre attention


Télécharger ppt "Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP."

Présentations similaires


Annonces Google