La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }

Publié parÉloy Dupuis Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }"— Transcription de la présentation:

1 SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }

2 LA PREVENTION DES ATTAQUES
La sécurité exige de parler des failles de sécurité pour s'en prémunir Ce cours n'est pas une liste de recettes pour attaquer des sites mais la description des principales attaques afin de mieux aider à les comprendre. Classiquement, une attaque se fera selon un même schéma 1) Collecte d'information sur le site à attaquer Ingénierie sociale DNS WHOIS 2) Repérage des lieux (attaques de reconnaissance) 3) Détermination des vulnérabilités (attaques de reconnaissance) 4a) Attaques en déni ou 4b) Attaques d'accès collecte d'informations repérage des lieux détermination des vulnérabilités effacement des traces

3 ATTAQUE DE RECONNAISSANCE
Attaque ICMP Type d'attaque : attaque de reconnaissance Mécanismes : Balayage d'une classe d'adresse par un script shell un utilitaire (ex : hping) Requêtes plus poussées sur le masque de sous-réseau (type 17) fournit des informations sur la topologie Objectif : déterminer les hôtes actifs ou la topologie Caractéristiques : Valable pour des petits réseaux (classe C) Détermine les machines actives et la topologie Parades Utilitaires de détection (scripts ou utilitaires du marché) Sniffer Blocage du trafic ICMP au niveau du firewall (mieux)

4 ATTAQUE DE RECONNAISSANCE
Balayage de Port Type d'attaque : attaque de reconnaissance Succède à une reconnaissance ICMP ou concomitante à celle-ci Mécanismes : Balayage des ports TCP ou UDP des machines cibles Scripts Perl (socks !) Très nombreux utilitaires Strobe (balayage TCP) Udp_scan (balayage UDP) Netcat (nc) Network Mapper (nmap) Objectifs Détermination des ports en veille Reconnaissance des équipements ou applications Caractéristiques : Handshake TCP (SYN, SYN/ACK,ACK) connexion complète TCP SYN (SYN, RST/ACK) plus discret TCP FIN ou NUL (RST pour port fermé) Balayage UDP Parades Utilitaires de détection Désactivation des services inutiles sur les serveurs Blocage des ports au niveau du firewall (mieux)

5 ATTAQUE DE RECONNAISSANCE Reconnaissance des systèmes
Type d'attaque : attaque de reconnaissance Succède à un balayage de port Mécanismes : Tests de la pile IP et comparaison avec des signatures d'implémentation Utilitaires Network Mapper (nmap) Queso Objectifs Détermination des systèmes Préalable à une attaque d'accès Caractéristiques : Handshake TCP (SYN, SYN/ACK,ACK) connexion complète TCP SYN (SYN, RST/ACK) plus discret TCP FIN ou NUL (RST pour port fermé) Balayage UDP Parades Utilitaires de détection Désactivation des services inutiles sur les serveurs Patches à jour pour les serveurs ouverts à l'Internet (à minima) Blocage des ports au niveau du firewall (Mieux !!!)

6 ATTAQUE DE RECONNAISSANCE
Reconnaissance des systèmes (1/2) Type d'attaque : attaque de reconnaissance Succède à un balayage de port Mécanisme : il s’agit de ce bon vieux telnet ! Objectifs Détermination du système Préalable à une attaque d'accès Caractéristiques : Chaque système envoie une invite Exemple Parades Blocage du port au niveau du firewall (LE TELNET NE DOIT JAMAIS ETRE OUVERT D'INTERNET) Access list sur les routeurs de l'inter-réseau

7 ATTAQUE DE RECONNAISSANCE
Reconnaissance des systèmes (2/2) Type d'attaque : attaque de reconnaissance Succède à un balayage de port Mécanisme protocole SMTP protocole http Identification du système logiciel fourni en réponse ! Objectifs Détermination du système Préalable à une attaque d'accès Caractéristiques : Chaque système envoie une invite Exemple Parades : configuration des serveurs http ou de messagerie

8 ATTAQUE DE RECONNAISSANCE
Attaque DNS (1) Type d'attaque : Attaque de reconnaissance Mécanisme : Corruption de la zone cache ou data du serveur DNS attaqué Objectifs Paralysie du réseau ou des systèmes (trafic acheminé vers les réseaux inexistants) Usurpation d'identité (ré acheminement du trafic) Caractéristiques : Exploitation de failles sur les implémentations Parades Restriction des requêtes pour certaines zones (allowquery) Contrôle du transfert de zone (allow-transfert) Usage de bind 8.2

9 ATTAQUE DE DENI DE SERVICE Saturation des ressources
Remarque : il est plus facile de paralyser l'accès à un réseau ou un système que d'obtenir cet accès. Type d'attaque : Déni de service Mécanisme : Saturation de la bande passante Saturation des ressources (ex : mail massif) Objectif : paralysie du réseau ou des systèmes Caractéristiques : L'attaquant dispose de plus de bande passante L'attaquant mobilise de la bande passante au travers de nombreux autres sites Inondation d'un service par des requêtes valides et autorisées Parades Peu de bonnes parades en réalité Surveillance du trafic Surveillance de la consommation de ressource systèmes

10 ATTAQUE DE DENI DE SERVICE
Attaque DNS (2) Type d'attaque : Déni de service ou usurpation Mécanisme : Corruption de la zone cache ou data du serveur DNS attaqué Objectifs Paralysie du réseau ou des systèmes (trafic acheminé vers les réseaux inexistants) Usurpation d'identité (ré acheminement du trafic) Caractéristiques : Exploitation de failles sur les implémentations Exploitation de la récursivité Parades Patches à jour Usage de bind 8.2 Interdiction de la récursivité (recursion no)

11 ATTAQUE DE RECONNAISSANCE Synthèse sur la recherche d'information
A la base des attaques d'accès ou de déni de service Recherche d'informations publiques DNS avec dig ou nslookup, RIPE avec whois Découverte du réseau traceroute, ping, hping, firewalk, filterrules, netcat Découverte des systèmes d'exploitation nmap, queso Découverte de services ouverts strobe, nmap, udp-scan Découverte des versions logicielles telnet, netcat, smtp, http

12 ATTAQUE DE DENI DE SERVICE
Attaque TCP-SYN Type d'attaque : Déni de service Mécanisme : Etablissement de connexions pendantes ou semi-ouvertes (jamais acquittés) Objectifs Paralysie du système Caractéristiques : Exploitation du protocole TCP Inondation de paquets TCP SYN Mystification de l'adresse source Parades Pas de parade réellement satisfaisante Limitation de la durée d'une connexion semi-ouverte (pas satisfaisant) limitation du nombre de connexions et de connexions à demi ouverte (Cisco Pix) Outil de détection

13 ATTAQUE DE DENI DE SERVICE
Attaque SMURF Type d'attaque : Déni de service Mécanisme : Envoi d'un ping sur une adresse de diffusion Objectifs Paralysie du système Caractéristiques : Exploitation du protocole IP Envoi d'un ping sur l'adresse du réseau ou du broadcast Mystification de l'adresse source Parades Blocage au niveau des systèmes Par défaut pour certains (ex : AIX 4.3) A activer sur d'autres Blocage au niveau du firewall (mieux)

14 ATTAQUE DE DENI DE SERVICE Attaque fragmentation IP
Type d'attaque : Déni de service Mécanisme : Exploitation de vulnérabilité sur le ré assemblage de certaines implémentations TCP/IP Objectifs : paralysie du système Caractéristiques : Exploitation de vulnérabilité Programme teardrop (Le principe de l'attaque Teardrop consiste à insérer dans des paquets fragmentés des informations de décalage erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements (overlapping), pouvant provoquer une instabilité du système) Programmes dérivés (newtear, syndrop) Chevauchement des paquets Parades Patches systèmes Dernière version système (Linux)

15 ATTAQUE DE DENI DE SERVICE Autres attaques (non exhaustif)
Attaque Land Envoi d'un paquet et port source, destinataire identiques => paralysie de certains systèmes Parade : blocage au niveau du Firewall Attaque SMTP Envoi de mail en nombre Spamming Parade : relais de messagerie, règles anti-spam Ping de la mort Fragmentation d'un paquet ICMP tel que pour le dernier fragment : offset + taille > 65535 Parade : blocage au niveau firewall Attaques par débordement Exploite des vulnérabilités connues des systèmes Parade : mise à jour des patches systèmes Utilité d'un CERT est ici grande !

16 ATTAQUE D'ACCES Attaque TCP Type d'attaque : Attaque d'accès
Mécanisme : 1. L'attaquant initie une attaque de déni de service vers l'hôte de confiance Celui-ci est saturé est dans l'incapacité de répondre 2. L'attaquant initie une connexion vers le serveur (SYN) 3. Le serveur envoie un ACK SYN à l'hôte de confiance 4. L'attaquant attend un certain temps et s'assure que le serveur a bien envoyé le paquet ACK/SYN L'attaquant, ayant prédit le numéro de séquence, est capable d'envoyer un paquet ACK qui établie une connexion fictive ! Caractéristiques prédiction de numéro de séquence spoofing IP Parade : blocage au niveau du firewall

17 Attaque par débordement (système Unix)
ATTAQUE D'ACCES Attaque par débordement (système Unix) Type d'attaque : Attaque d'accès Mécanisme : Consiste à obtenir un débordement de tampon afin d'exécuter du code en mode privilégié Caractéristiques Repose sur la connaissance de la programmation UNIX Consiste à envoyer au programme plus de données que l'espace mémoire alloué pour les recevoir. Envoi dans les données de débordement d'un code adéquat Sans doute les plus dangereuses Parade : Mise à jour des patches de sécurité Cloisonnement des systèmes et des réseaux

18 Attaque par force brute
ATTAQUE D'ACCES Attaque par force brute Type d'attaque : Attaque d'accès Mécanisme : Consiste à essayer des mots de passe Caractéristiques Repose sur la facilité de mot de passe ou de mots de passe "usine" Services attaquables telnet ftp https (SSL) LDAP rlogin, rsh, etc….. Parade : Sensibilisation des utilisateurs Gestion des comptes Cloisonnement des systèmes

19 Attaque par dictionnaire
ATTAQUE D'ACCES Attaque par dictionnaire Type d'attaque : Attaque d'accès Mécanisme : consiste craquer des mots de passe Caractéristiques Repose sur la facilité du mot de passe Repose sur l'obtention du fichier /etc/passwd ou des mots de passe cachés Utilitaires (crack par exemple) Parade : Sensibilisation des utilisateurs Gestion des comptes Cloisonnement des systèmes

20 Type d'attaque : Attaque d'accès Mécanisme :
ATTAQUE D'ACCES Ingénierie sociale Type d'attaque : Attaque d'accès Mécanisme : Consiste à demander à un utilisateur son mot de passe pour s'introduire sur un système Caractéristiques Facile à mettre en oeuvre Repose sur la "crédulité" de l'utilisateur ou la force de conviction de l'attaquant Très efficace Parade : Sensibilisation des utilisateurs Gestion des comptes Cloisonnement des systèmes

21 SECURISATION – PARADES GLOBALES
Un constat : pas de parades absolues ! Mais deux types de points sensibles : les accès les systèmes ou les applications Idée : sécurisation globale Trois axes : Sécurisation des accès Accès distant Accès internet (surtout !) Sécurisation des systèmes et applications Configuration stricte des OS Mises à jours de patches Adhésion à un CERT (Computer Emergency Response Team) Outils de détection d'intrusion Logs, audit Outils pro-actifs Attention : Illusion de la sécurité (le plus néfaste) Relâchement ou laxisme par rapport à la politique de sécurité

22 DE LA SECURISATION DES ACCES
MISE EN ŒUVRE PRATIQUE DE LA SECURISATION DES ACCES Les attaques peuvent venir : De l'accès distant De l'Internet (concerne la plupart des entreprises) Un constat : La plupart des attaques peuvent être bloquées par Le firewall Une bonne architecture conçue autour de celui- ci La neutralisation des autres reposera Sur la bonne configuration des systèmes Sur la bonne configuration du DNS La mise à jour de patches La gestion efficace des comptes Une très bonne organisation Une priorité : mettre en œuvre une architecture Firewall adaptée Les solutions Netwall (BULL) Checkpoint Pix (CISCO) Ipchains (Linux) interface graphique k-firewall, FCT

23 DE LA SECURISATION DES ACCES
MISE EN ŒUVRE PRATIQUE DE LA SECURISATION DES ACCES La mise en œuvre du Firewall doit être précédée De la conception de l'architecture Architecture simple Architecture fortement cloisonnée avec DMZ De la définition de la politique de sécurité Règles générales sur les flux entre les différents réseaux Règles particulières adaptées à certains flux Règles générales pour la mise en oeuvre La première chose à réaliser est de sécuriser le firewall lui-même ! Assurer sa propre sécurité Assurer une tolérance de panne Désactiver les services inutiles Surtout s'il s'agit d'une passerelle Inutile de l'exposer à des brèches potentielles Limiter strictement les accès telnet Assurer l'authentification par un serveur dédié (si possible) Règles concernant l'exploitation Audit et analyse de logs obligatoires Surveillance du fonctionnement

24 DE LA SECURISATION DES ACCES
MISE EN ŒUVRE PRATIQUE DE LA SECURISATION DES ACCES Quelques services présentent des trous de sécurité connus sont donc dangereux Cf le document de l'AUCERT "UNIX Computer Security Checklist“ Liste de services: echo (7 TCP/UDP), systat (11 TCP), chargen (19 TCP/UDP), DNS (53 TCP), tftpd (69 UDP), finger (79 TCP), link (87 TCP), pop-3 (110 TCP), sunrpc (111 TCP/UDP), snmp (161 UDP), imap (143 et 220 TCP), rexec (512 TCP), rlogin (513 TCP), rsh (514 TCP), printer (515 TCP), uucp (540 TCP) L'accès à ces ports doit Etre interdit Strictement réglementé Ports spécifiques. Exemple NFS (2049 TCP/UDP), X Windows( TCP). bloquez l'accès externe à ces ports.

25 DE LA SECURISATION DES ACCES
MISE EN ŒUVRE PRATIQUE DE LA SECURISATION DES ACCES Exemple – architecture fortement cloisonnée Synoptique Description L'infrastructure est composé de trois réseaux cloisonnés par un Firewall Le réseau interne : à sécuriser fortement Le réseau DMZ où SAS : Le niveau 3 : interconnexion du firewall et du routeur frontal internet

26 FIN DE LA PREMIERE PARTIE

Télécharger ppt "SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }"

Présentations similaires

Sécurité informatique

Sécurité informatique
Qualité de Service sur Linux

Qualité de Service sur Linux
TD (issu de l’Exonet 23 – Site du CERTA)

TD (issu de l’Exonet 23 – Site du CERTA)
La sécurité des systèmes informatiques

La sécurité des systèmes informatiques
Hygiène de la messagerie chez Microsoft

Hygiène de la messagerie chez Microsoft
Botnet, défense en profondeur

Botnet, défense en profondeur
Modélisation des menaces

Modélisation des menaces
Alain AINA AFNOG VI MAPUTO, Avril 2005

Alain AINA AFNOG VI MAPUTO, Avril 2005
Sécurité informatique

Sécurité informatique
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Sécurité des Réseaux Informatiques

Sécurité des Réseaux Informatiques
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Présentation CLUSIR 8 janvier 2002

Présentation CLUSIR 8 janvier 2002
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité

Présentations similaires

Annonces Google