Protection contre les attaques applicatives avec ISA Server 3/26/2017 3:56 PM Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Agenda Introduction Méthodologie d’attaque Attaques de serveurs Web Quelque chiffres pour poser le décor Différentes vues d’un paquet TCP/IP ISA Server en quelques mots Les « appliances » ISA Server 2004 : un produit extensible Méthodologie d’attaque Démonstration 0 : collecte d’informations, transfert de zone DNS Attaques de serveurs Web Démonstration 1 : exploitation d’une vulnérabilité Web Attaques de serveurs FTP Démonstration 2 : exploitation d’une vulnérabilité FTP Attaques de serveurs SMTP Démonstration 3 : exploitation d’une vulnérabilité SMTP Synthèse, ressources utiles & Questions / Réponses
3/26/2017 3:56 PM Quelques chiffres Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group) Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05) Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web +59% entre le dernier semestre 2004 et le premier semestre 2005 +109% entre le premier semestre 2004 et le premier semestre 2005 Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005) 2004 : 89% des interviewés déclarent 1 à 5 incidents 2005 : 95% des interviewés déclarent plus de 10 incidents 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de janvier 2000 à janvier 2004) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Différentes vues d’un paquet TCP/IP 3/26/2017 3:56 PM Différentes vues d’un paquet TCP/IP Pare feu “traditionnel” Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire” La décision de laisser passer est basée sur les numéros de ports IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content ???????????????????????????????????????? Pare feu multicouches (3,4,7) Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP) Les décisions de laisser passer sont basées sur le contenu Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
ISA Server en quelques mots http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx Pare-feu multicouches (3,4 et 7) Filtrage extensible Proxy cache Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site www.vpnc.org
Disponible en « appliance » Network Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.aspx Autres OEMs :
ISA Server 2004 : un produit extensible Haute disponibilité Reporting Appliances Antivirus Authentification Filtrage applicatif Accélérateurs SSL Contrôle d’URLs Plus de partenaires : http://www.microsoft.com/isaserver/partners/default.asp
Méthodologie d’une attaque 3/26/2017 3:56 PM Méthodologie d’une attaque © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Découverte des serveurs cibles Requête Whois Utilisation de moteurs de recherche Transfert de zone DNS … Passons à la démonstration 0
Démonstration 0 On dispose d’un nom de domaine : Target.com On va chercher ce qui se cache derrière On vient d’obtenir : mail.target.com 192.168.1.1 ftp.target.com 192.168.1.1 www.target.com 192.168.1.2 …
Attaque de serveurs Web Exemple d’attaques possibles sur un serveur Web : Entrée de paramètres non valides Virus (Nimda, Code Red...) Buffer Overflow Injection de commandes Cross Site Scripting Directory traversal Vol d’authentification ou de session … Au-delà des vulnérabilités liées au serveur Web, il existe désormais une couche supplémentaire à maintenir à jour et à protéger : les applications Web. Combinez une application web vulnérable avec l’utilisation de HTTPS et vous obtenez un cocktail explosif pour outrepasser les défenses assurées par votre pare-feu traditionnel.
Démonstration 1
Le filtre HTTP Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP (flux sortant ou entrants) Les options suivantes sont disponibles: Limiter la taille maximale des entêtes (header) dans les requêtes HTTP Limiter la taille de la charge utile (payload) dans les requêtes Limiter les URLs qui peuvent être spécifiées dans une requête Bloquer les réponses qui contiennent des exécutables Windows Bloquer des méthodes HTTP spécifiques Bloquer des extensions HTTP spécifiques Bloquer des entêtes HTTP spécifiques Spécifier comment les entêtes HTTP sont retournés Spécifier comment les entêtes HTTP Via sont transmis ou retournés Bloquer des signatures HTTP spécifiques En complément de ce filtre, il est possible de créer des filtres Web complémentaires via le SDK : http://msdn.microsoft.com/library/en-us/isasdk/isa/internet_security_and_acceleration_server_start_page.asp
Utilisation du filtre HTTP
Attaques de serveurs FTP Exemple d’attaques possibles sur un serveur FTP : Entrée de paramètres non valides Buffer Overflow Directory Traversal … Conséquences d’une attaque sur un serveur FTP Déni de service Compromission des fichiers proposés en téléchargement Elévation de privilèges Enumération des comptes utilisateurs Utilisation frauduleuse du service à des fins illégales (Warez…) En complément d’une bonne configuration du service et du maintien à jour du logiciel serveur, l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.
Démonstration 2
Le filtre FTP C'est un filtre applicatif qui permet de limiter certaines actions dans l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'Option Lecture seule. Quand le mode lecture seule est activé, le filtre FTP bloque toutes les commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. Ainsi, il ne devrait pas être possible d’exécuter des commandes modifiant des informations sur le serveur FTP (via une commande PUT ou MKDIR par exemple). La liste par défaut des commandes autorisées peut être remplacée par une liste personnalisée qui contiendrait par exemple des commandes/Paramètre spécifiques (FPCVendorParametersSets) à une implémentation spécifique du service FTP. Note : pour que les modifications soient prises en comptes, il faut redémarrer le service Pare-feu Informations complémentaires et exemple de script pour personnaliser le filtre FTP : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdk/isa/configuring_add_ins.asp
Attaques SMTP
Attaques SMTP Exemple d’attaques possibles sur un serveur SMTP : Entrée de paramètres non valides Buffer Overflow Directory Traversal Virus… Conséquences d’une attaque sur un serveur SMTP Déni de service Utilisation frauduleuse du service à des fins illégales (SPAM, DDoS…) Elévation de privilèges Compromission du système d’information et divulgation d’informations confidentielles… En complément d’une bonne configuration du service SMTP, du maintien à jour du logiciel serveur, du choix d’une solution de filtrage de contenu (Anti spam, Anti-virus) l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.
Démonstration 3
Protection des serveurs SMTP avec ISA Périmètre de l’entreprise (DMZ) Commandes SMTP : longueur… Choix des commandes autorisées Extension refusée : .exe, .vbs… Analyse SMTP (Commandes, contenu…) Attaque SMTP Exchange, serveur ou passerelle SMTP ISA Server 2004 Client messagerie
En résumé : Transfert de zone DNS Bloqué par le filtre d’intrusion DNS Attaque sur application Web et/ou SSL Filtrage des flux indésirables avec le filtre HTTP Pontage des connexions SSL et analyse HTTP Attaque via SMTP Filtre SMTP : Filtrage des commandes Filtreur de messages : source, extension, taille… Cette présentation s’est limitée à démontrer l’utilité de quelques filtres d’ISA Server 2004. Celui-ci dispose encore d’autres filtres (MS RPC POP3, MMS, RTSP…) permettant de se prémunir contre les attaques sur les protocoles couramment utilisés.
Ressources utiles Site Web Microsoft 3/26/2017 3:56 PM Site Web Microsoft www.microsoft.com/isaserver www.microsoft.com/france/isa http://www.microsoft.com/isaserver/support/prevent/default.mspx Webcasts, e-démos et séminaires TechNet (Gratuits) Sites externes www.isaserver.org www.isaserverfr.org www.isatools.org Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement Blogs Blogs.technet.com/stanislas Kits d’évaluation ISA Server Version d’évaluation (120 jours) CD (livres blancs et guide déploiement) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Questions / Réponses
Merci pour votre attention 3/26/2017 3:56 PM Merci pour votre attention © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.