tutoriel securite informatique

8/14/2019 tutoriel securite informatique

1/60

Un petit guide pour la scurit

Alexandre Viardin

Mirabellugguidesecu(at)free.fr

Publi par

Philippe Latu


2/60

Un petit guide pour la scuritPubli par et Alexandre Viardinet Philippe Latu

Copyright et Licence

Copyright (c) 2003 Alexandre ViardinPermission is granted to copy, distribute and/or modify this documentunder the terms of the GNU Free Documentation License, Version 1.2or any later version published by the Free Software Foundation;with no Invariant Sections, no Front-Cover Texts, and no Back-CoverTexts. A copy of the license is included in the section entitled "GNUFree Documentation License".

Copyright (c) 2003 Alexandre ViardinPermission est accorde de copier, distribuer et/ou modifier cedocument selon les termes de la Licence de Documentation Libre GNU(GNU Free Documentation License), version 1.1 ou toute versionultrieure publie par la Free Software Foundation ; sansSections Invariables ; sans Texte de Premire de Couverture, etsans Texte de Quatrime de Couverture. Une copie dela prsente Licence est incluse dans la section intitule Licence de Documentation Libre GNU .

Historique des versions

Version .Revision: 1.7 . .Date: 2004/01/04 20:21:18 . Revu par : plPublication Linux FranceVersion $Revision: 1.10 $ $Date: 2004/02/17 21:25:38 $ Revu par : plComplments sur le Peer To Peer et les virus.


3/60

Table des matiresAvant-propos ..................................................................................................................................................i

1. Pourquoi ce guide ? ...........................................................................................................................i2. O trouver ce guide ?........................................................................................................................ i3. Quels sont les systmes dexploitation viss ? .............................................................................ii

1. Scurisation de base ................................................................................................................................11.1. Premier conseil : Verrouillez les stations ....................................................................................11.2. Pour Linux ......................................................................................................................................11.3. Pour Windows................................................................................................................................11.4. Le lecteur de disquettes ................................................................................................................ 11.5. Le lecteur de CDROM................................................................................................................... 11.6. Noubliez pas le mot de passe pour le BIOS..............................................................................1

2. La collecte dinformations ...................................................................................................................... 3

2.1. Le Scanner.......................................................................................................................................32.1.1. Quest ce quun scanner ? .................................................................................................32.1.2. Comment marche Nmap ? ..................................................................................................42.1.3. La dtermination du systme dexploitation avec Nmap ............................................5

2.1.4. Quel est lintret dutiliser Nmap ?....................................................................................62.1.5. Comment sen protger ?..................................................................................................62.1.6. Documents .......................................................................................................................... 6

2.2. Identifier les versions des logiciels en coute ............................................................................62.2.1. Netcat...................................................................................................................................7

3. Les failles applicatives ............................................................................................................................ 8

3.1. Les installations par dfaut ..........................................................................................................83.2. Les mauvaises configurations......................................................................................................83.3. Les bogues ......................................................................................................................................8

3.3.1. Des dnis de services applicatifs .....................................................................................83.3.2. Outrepassement de droits.................................................................................................83.3.3. Les scripts............................................................................................................................ 8

3.4. Les exploits .....................................................................................................................................93.5. Comment sen proteger ?.............................................................................................................. 9

4. Les outils indispensables pour la protection ....................................................................................11

4.1. Le pare-feu firewall....................................................................................................................... 114.1.1. La configuration ............................................................................................................... 114.1.2. Les attaques contre les firewalls ....................................................................................11

4.2. Les systmes de dtection dintrusion (HIDS/NIDS) ............................................................124.2.1. Prelude-NIDS ................................................................................................................... 134.2.2. Snort...................................................................................................................................13

4.3. Le tunneling..................................................................................................................................134.3.1. Le protocole AH............................................................................................................... 134.3.2. Le protocole ESP .............................................................................................................. 134.3.3. Le protocole IPcomp........................................................................................................144.3.4. Le protocole IKE............................................................................................................... 144.3.5. Les deux modes de fonctionnements de IPsec ............................................................144.3.6. Les limitations dIPsec.....................................................................................................144.3.7. Documents ........................................................................................................................ 14

4.4. Nessus ...........................................................................................................................................144.4.1. Pour obtenir tout sur Nessus .........................................................................................14

4.5. User Mode Linux - UML ............................................................................................................ 144.5.1. Documents ........................................................................................................................ 15

iii


4/60

5. Surveillance - Dissimulation - Maintien daccs .............................................................................16

5.1. Les chevaux de Troie ................................................................................................................... 165.1.1. Comment sen protger ?................................................................................................16

5.2. Les backdoors...............................................................................................................................165.2.1. Les backdoors prsentes dans les logiciels...................................................................165.2.2. Les backdoors ddies aux connexions distance .....................................................17

5.3. Les Rootkits ..................................................................................................................................175.3.1. Comment sen protger ?................................................................................................17

5.4. Linterception des mots de passe en rseau. ............................................................................185.4.1. Comment sen protger ?................................................................................................18

6. Dispositifs destructeurs ........................................................................................................................ 20

6.1. Le virus..........................................................................................................................................206.1.1. Comment sen protger ?................................................................................................20

6.2. Les vers..........................................................................................................................................206.2.1. Comment sen protger ?................................................................................................20

6.3. Les bombes logiques ................................................................................................................... 216.3.1. Comment sen protger ?................................................................................................21

6.4. Les attaques par dni de services ..............................................................................................21

6.4.1. Le SYN flood..................................................................................................................... 216.4.2. LUDP Flood ..................................................................................................................... 216.4.3. La fragmentation de paquets .........................................................................................226.4.4. Ping of death..................................................................................................................... 226.4.5. Attaque par rflexion : Smurfing ...................................................................................226.4.6. Dnis de services distribus ...........................................................................................226.4.7. Bombes e-mail .................................................................................................................. 22

7. Scurisation des mots de passe............................................................................................................ 24

7.1. Lattaque par dictionnaire ..........................................................................................................247.2. Le brute forcing............................................................................................................................ 247.3. Tester la fiabilit de vos mots de passe ! ...................................................................................247.4. Choisir le bon mot de passe .......................................................................................................25

7.5. Prvenir lutilisateur ................................................................................................................... 258. La base des attaques rseaux ................................................................................................................ 26

8.1. Dtournement de flux ................................................................................................................. 268.1.1. ARP-Poisoning ................................................................................................................. 268.1.2. Dsynchronisation TCP ..................................................................................................27

8.2. Man In the Middle - MITM........................................................................................................... 278.2.1. Document.......................................................................................................................... 28

8.3. Encapsulation dIP dans dautres protocoles. .........................................................................28

9. Description dattaques sur diffrents protocoles.............................................................................29

9.1. Dynamic Host Configuration Protocol - DHCP ......................................................................299.1.1. Attaque par puisement de ressources .........................................................................299.1.2. Faux serveurs DHCP .......................................................................................................29

9.1.3. Comment sen protger ?................................................................................................299.1.4. Documents ........................................................................................................................ 30

9.2. Domain Name Service - DNS ....................................................................................................309.2.1. Le DNS ID spoofing.........................................................................................................309.2.2. Le DNS cache poisoning .................................................................................................319.2.3. Comment sen protger ?................................................................................................329.2.4. Documents ........................................................................................................................ 32

9.3. FINGER .........................................................................................................................................329.3.1. Comment sen proteger ?................................................................................................33

9.4. FTP ................................................................................................................................................. 339.4.1. Le serveur FTP anonyme ................................................................................................339.4.2. Comment sen protger ?................................................................................................34

9.5. HTTP .............................................................................................................................................349.5.1. Les serveurs trop bavards...............................................................................................349.5.2. Vulnrabilits lies aux applications web ....................................................................349.5.3. Comment se protger ? ...................................................................................................35

iv


5/60

9.6. IDENT ...........................................................................................................................................359.6.1. Comment sen protger ?................................................................................................35

9.7. IP et lIP-Spoofing........................................................................................................................ 359.7.1. Un peu de thorie ... ........................................................................................................369.7.2. Prvenir lIP spoofing grce Nmap ............................................................................389.7.3. Comment sen protger ?................................................................................................389.7.4. Document.......................................................................................................................... 39

9.8. NETBIOS.......................................................................................................................................399.8.1. Comment sen protger ?................................................................................................399.8.2. Document.......................................................................................................................... 39

9.9. Network File System - NFS ........................................................................................................399.9.1. Les attaques ...................................................................................................................... 399.9.2. Comment sen protger ?................................................................................................39

9.10. Network Information Service - NIS ........................................................................................399.10.1. Les attaques .................................................................................................................... 409.10.2. Comment sen protger ?..............................................................................................40

9.11. PORTMAP ..................................................................................................................................409.11.1. Comment sen protger ?..............................................................................................40

9.12. Le protocole SMB....................................................................................................................... 40

9.12.1. Les scans de SMB shares ...............................................................................................419.12.2. Comment sen protger ?..............................................................................................419.12.3. Document........................................................................................................................ 41

9.13. Le service de messagerie - SMTP ............................................................................................419.13.1. Comment sen protger ?..............................................................................................42

9.14. SQL ..............................................................................................................................................429.14.1. Linjection SQL ou SQL-Injection ................................................................................429.14.2. Comment sen protger ?..............................................................................................429.14.3. Document........................................................................................................................ 42

9.15. SSH...............................................................................................................................................429.16. TELNET ......................................................................................................................................43

9.16.1. Comment sen protger ?..............................................................................................43

9.17. XWINDOW ................................................................................................................................439.17.1. Les attaques .................................................................................................................... 439.17.2. Comment sen proteger ?..............................................................................................43

9.18. Peer To Peer (eDonkey, Kazaa, etc.) ........................................................................................439.18.1. Les outils Peer To Peer sont des vecteurs de virus....................................................449.18.2. Comment sen protger ?..............................................................................................44

10. Scurit avance ...................................................................................................................................45

10.1. Larchitecture scurise............................................................................................................. 4510.1.1. Le rseau de dpart .......................................................................................................4510.1.2. Le premier niveau de scurit......................................................................................4510.1.3. Le deuxime niveau de scurisation ...........................................................................4610.1.4. Les niveaux plus levs.................................................................................................46

10.2. Dveloppez vos propres utilitaires scurit ..........................................................................4710.2.1. Le programme ................................................................................................................ 4810.2.2. Comment obtenir et compiler le source entier du programme ? ............................5210.2.3. Documents ...................................................................................................................... 52

A. Annexes................................................................................................................................................... 53

A.1. Les sites et revues consulter rgulierement .........................................................................53A.2. Remerciements............................................................................................................................ 53

v


6/60

Avant-propos

Qui connat lautre et se connat, en centcombats ne sera point dfait; qui ne connatlautre mais se connat, sera vainqueur une

fois sur deux; qui ne connat pas plus lautrequil ne se connat sera toujours dfait.Lart de la guerre - Sun Tzu

1. Pourquoi ce guide ?

Ce guide a t ralis suite un audit de scurit que jai ralis pour mon cole et aux deuxconfrences sur la scurit rseau prsentes au groupe dutilisateurs Linux de NANCY (coucoule Mirabellug). Je ne suis pas spcialiste en scurit rseau ; jai juste crit ce guide dans le but dedonner des administrateurs ou des particuliers, un descriptif technique et un manueldautoformation la scurit rseau.

La plupart des administrateurs ne sont pas spcialistes en securit, et peuvent tre perdus devantun problme de ce type. Le masse dinformations disponible sur Internet est parfois confuse,dense ou trs technique. Ce guide sert de point de dpart et dintroduction la scurit. Il a tpens dans un but volutif. Si vous voulez participer en crivant ou en compltant des chapitres,nhsitez pas me contacter ladresse guidesecu(at)free.fr.

Le principe est simple : une description assez succinte sur une attaque et ensuite une descriptioncomplte des mthodes de protection. Vos expriences personnelles et vos remarques sont aussiles bienvenues. Evidemment, ce guide est sous license GFDL donc gratuit. La seule rcompenseque pourront recevoir les ventuels participants est la mention de leurs noms en tant quecollaborateurs.

Ce guide se compose dune dizaines de chapitres. Chaque chapitre comporte une introduction. Laplupart du temps, un chapitre contient au moins une section divise en diffrentes sous sections :une pour la description dun problme de scurit particulier, une deuxime pour dcrire lesdiffrents moyens de sen protger et une troisime pour donner diffrents liens vers desdocuments plus prcis sur le sujet.

Le premier chapitre montre comment scuriser une station pour viter toutes tentatives depiratage par un accs physique.

Le deuxime chapitre dcrit le fonctionnement des outils de rcupration dinformations distance, notamment les scanners. Il montre lutilit quils ont pour vous protger.

Le troisime chapitre introduit la notion de failles.

Le quatrime chapitre introduit diffrentes notions sur les firewalls et les principaux autressystmes de protection logiciels.

Le cinquime chapitre explique comment un pirate dissimule sa prsence sur un systme.

Le sixime chapitre sintresse aux dispositifs destructeurs (virus, bombes mails, ...).

Le septime chapitre dcrit les attaques sur les fichiers de mots de passe.

Les huitime et neuvime chapitres traitent de diffrents problmes poss par certains protocolesrseaux.

Le dixime chapitre est divis en deux parties : la premire explique comment architecturer sonrseau de faon scurise. La deuxime partie est un cours sur le developpement doutils ddisuniquement la scurit.

2. O trouver ce guide ?Cest trs simple, il y a plusieurs adresses :

i


7/60

Avant-propos Le site officiel : http://guidesecu.ifrance.com/guide/guidesecu.pdf

Sur le site du Mirabellug : http://www.mirabellug.org/docs/securite/guidesecu.pdf

Le site Linux France : http://www.linux-france.org/prj/inetdoc/securite/tutoriel/

3. Quels sont les systmes dexploitation viss ?La majorit des programmes dfensifs utiliss et dcrits dans ce guide sont disponibles sousLINUX. Je noublierai pas de parler de la scurit pour les produits Microsoft. Cependant, Linuxpossde une certaine avance sur Microsoft dans le domaine de la scurit (notamment par un plusgrand nombre de logiciels performants et gratuits).

Les autres systmes comme SunOS, VMS, MacOS, Plan9, Novell,... seront passs sous silence maissi vous voulez voir des chapitres prcis sur certains OS apparaitre, contactez moi par mail.

Bonne Lecture !

ii


8/60

Chapitre 1. Scurisation de base

Introduction

Le but de ce chapitre est de donner diffrentes mthodes pour scuriser physiquement unemachine. Il faut savoir quune grande partie des piratages sont lancs par des pirates ayant unaccs physique sur un rseau.

Dans ce chapitre, nous ne nous focaliserons pas sur un serveur ddi un service particulier, maisplutt sur les machines constituant les clients. Ces machines sont en accs libre dans une salle nonsurveille.

Lobjectif est dempcher une personne mal intentionne dobtenir les accs adiministrateur sur lamachine quelle utilise. La plupart des utilitaires de piratage ont besoin des accs administrateurpour fonctionner ; sans ces accs, la capacit de nuire est fortement diminue.

1.1. Premier conseil : Verrouillez les stationsNhsitez pas poser un cadenas sur les tours des machines, cela empchera tout dabord le volde matriel, mais cela vitera aussi davoir des disques durs monts en secret avec toute unepanoplie dutilitaires installs dessus. Le conseil suivre imprativement (et vous comprendrezpourquoi en lisant les deux chapitres suivants) : il faut dsactiver le boot sur le lecteur dedisquette et sur le lecteur de CDROM.

1.2. Pour Linux

Evitez davoir loption failsafe au dmarrage propos par Lilo. Cette option peut permettre

dobtenir les accs root (sans mot de passe) pour la maintenance du systme.

1.3. Pour Windows

Le systme de fichier NTFS permet une scurisation accrue par rapport aux systmes de fichierFAT et FAT 32. Si vos machines Windows fonctionnent avec un systme FAT, passez en NTFS. Jedconseille fortement dutiliser Windows 95, 98 et Me, le niveau de scurit offert par cessystmes en natif ntant pas assez lev.

1.4. Le lecteur de disquettes

Evitez le boot sur disquette (certaines versions Linux sinstallent en RAM grce un nombrelimit de disquettes) qui donne la possibilit de monter tous les systmes de fichiers prsents surle(s) disque(s) dur(s) de la machine et den modifier le(s) contenu(s). De plus, Trinux(http://www.trinux.org) est livr avec un panel assez impressionnant dutilitaires exclusivementddis la scurit. Le programme NTFS2DOS (sous DOS) permet de changer les partitions NTFSen partitions FAT et de pouvoir accder leurs contenus sans restrictions. NTFS2DOS est lancdepuis une disquette de boot DOS.

1.5. Le lecteur de CDROM

Des utilitaires comme Knoppix (http://www.knoppixfr.org) (systme Linux bootant sur un seulCD et contenant lui aussi un nombre impressionnant dutilitaires divers) peuvent tre utilisspour monter les diffrents systmes de fichiers prsents sur le(s) disque(s) dur(s).

1


9/60

Chapitre 1. Scurisation de base

1.6. Noubliez pas le mot de passe pour le BIOS

Noubliez de protger laccs du BIOS par un mot de passe ! Attention certains BIOS peuventcomporter des failles logicielles permettant doutrepasser ces protections. Encore une fois, il nefaut pas oublier de cadenasser les tours, afin dviter des utilisateurs (encore) mal intentionnsde retirer la pile du BIOS et doutrepasser la protection par mot de passe.

2


10/60

Chapitre 2. La collecte dinformations

Introduction

Dans ce chapitre, nous allons dcrire le fonctionnement des outils permettant de rcuprer desinformations distance. Ces utilitaires sont frquemment utiliss par les pirates pour prparer defutures attaques. Cest pour cette raison quil est indispensable de les dcrire ds le dbut. Vousapprendrez galement les utiliser pour votre propre protection.

2.1. Le Scanner

Lobjectif du pirate est de reprer les serveurs offrant des services particuliers et de les identifier.Pour obtenir ces informations, le pirate va utiliser un scanner. Le but de ce section est de prsenterdes mthodes de protections contre le scan (en utilisant des rgles de firewalling sousiptables/ipchains par exemple) et de savoir utiliser un scanner pour anticiper les futures attaques.Le scanner dcrit dans ce chapitre est Nmap (http://www.insecure.org), un des scanners les plusutiliss et un des plus performants. Nmap est disponible sous Windows et Linux en paquetagedans toutes les distributions majeures. La version dcrite dans ce chapitre tant celle disponiblesous Linux. Je dcrirai dans une premire partie ce quest un scanner. Ensuite, je me focaliserai surNmap et je le prsenterai dun point de vue un peu plus technique, permettant de comprendre lesdiffrentes mthodes de protection.

Note : Attention : pour une capacit optimale de fonctionnement, Nmap doit tre utilis avec les droitsdu super-utilisateur root !.

2.1.1. Quest ce quun scanner ?Cest trs simple : lorsquun serveur offre un service particulier (Web, messagerie, mail), il excuteun programme assurant ce service. Ce programme est en attente de connexions. Les clientsdevant accder ce service doivent connatre ladresse IP du serveur et le numro de port associau service. Ce numro de port a t attribu suivant le document standard RFC1010(http://www.faqs.org/rfcs/rfc1010.html) au programme excutant ce service. Sur les systmesLinux et *BSD la liste de ces numros est disponible dans le fichier /etc/services. La plupartdes services ont un numro de port bien dfini. Par exemple, un serveur de messagerie utilise leport 25, un serveur Web le port 80... Lorsquun service est en coute sur un port, on dit que lenumro de port associ ce service est ouvert. Lintrt du scanner est trs simple : il permet detrouver dans un dlai trs court, tous les ports ouverts sur une machine distante. Il existediffrents types de scanner, certains se contentent juste de donner : la liste des ports ouverts, le

type et la version de lOS tournant sur le serveur (ces fonctionnalits seront dcrites dans cechapitre avecNmap). Dautres scanners comme Nessus (http://www.nessus.org) permettent detester diffrentes failles connues sur ces services. Voir Section 4.4.

2.1.1.1. Exemple avec Nmap

Utilisons Nmap pour connatre les services en coute sur la machine dadresse IP 192.168.1.1 :

[[email protected] /root]# nmap 192.168.1.1

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )Interesting ports on (192.168.1.1) :(The 1544 ports scanned but not shown below are in state : closed)Port State Service

21/tcp open ftp53/tcp open domain80/tcp open http110/tcp open pop-3111/tcp open sunrpc

3


11/60

Chapitre 2. La collecte dinformations113/tcp open auth631/tcp open cups845/tcp open unknown901/tcp open samba-swat10000/tcp open snet-sensor-mgmt

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds.

Nmapdonne un aperu assez complet des diffrents services sexcutant sur la machine dans untemps assez bref.

On peut observer ici que des serveurs FTP, DNS, WEB, POP-3 ... sont en attente de connexions.

2.1.2. Comment marche Nmap ?

Je prsenterai de manire trs succinte Nmap et me focaliserai principalement sur les fonctions lesplus utilises.

Pour connatre les ports ouverts sur une machine, Nmap procde lenvoi de paquets sur tous lesports de cette machine et analyse les rponses. Bien sr, il y a diffrents types de scans, donc

diffrents types denvois et donc, diffrents types de rponses.Nous nous intresserons aux scans utilisant le protocole TCP (les scans UDP et ICMP tantpossibles eux aussi).

2.1.2.1. Le scan vanilla TCP connect

Nmap procde lappel de la fonction connect() sur tous les ports de la machine. Ce type de scanest facilement reprable.

Le scan en vanilla TCP connect est le scan par dfaut avec Nmap, la commande est :

[[email protected] /root]# nmap [ip de la machine cible]

ou

[[email protected] /root]# nmap -sT [ip de la machine cible]

2.1.2.2. Les scans furtifs

Nous rentrons maintenant dans une classe de scans plus difficiles dtecter :

Le scan en connexion demi-ouverte ou "Syn-scan"

Nmap envoie sur chaque port un paquet TCP avec le flag SYN arm ; si un port est ouvert, ilrenverra un paquet avec les flags SYN et ACK arms. Illustration :

La commande se fait par lappel de nmap avec loption -sS :

4


12/60

Chapitre 2. La collecte dinformations[[email protected] /root]# nmap -sS [adresse IP de la machine cible]

Les scans Xmas, FIN et NULL

Le scan FIN consiste en lenvoi de paquets TCP avec seulement le flag FIN arm. Lacommande se fait par lappel de nmap avec loption -sF :

[[email protected] /root]# nmap -sF [adresse IP de la machine cible]

Le scan NULL consiste en lenvoi de paquets TCP avec seulement le flag NULL arm. Lacommande se fait par lappel de nmap avec loption -sN :

[[email protected] /root]# nmap -sN [adresse IP de la machine cible]

Le Xmas scan (traduisez le scan de Nol) consiste en lenvoi de paquets TCP avec les flagsFIN/URG/PUSH arms. La commande se fait par lappel de nmap avec loption -sX :

[[email protected] /root]# nmap -sX [adresse IP de la machine cible]

Pour ces trois types de scans, les systmes rpondent avec un paquet RST si le port est fermet ne rpondent pas si le port est ouvert. Le NULL scan ne fonctionne pas contre desplateformes Microsoft. Illustration :

2.1.3. La dtermination du systme dexploitation avec Nmap

Si on lance Nmap avec loption -O :

[[email protected] /root]# nmap -O 192.168.0.1

Starting nmap 3.48 ( http://www.insecure.org/nmap/ )Interesting ports on (192.168.0.1):

(The 1647 ports scanned but not shown below are in state: closed)PORT STATE SERVICE22/tcp open ssh25/tcp open smtp53/tcp open domain80/tcp open http113/tcp open auth139/tcp open netbios-ssn445/tcp open microsoft-ds515/tcp open printer587/tcp open submission901/tcp open samba-swatDevice type: general purposeRunning: Linux 2.4.X (1)OS details: Linux 2.4.20 - 2.4.21 w/grsecurity.org patchUptime 76.872 days (since Tue Sep 2 15:20:23 2003)

Nmap run completed -- 1 IP address (1 host up) scanned in 7.030 seconds

5


13/60

Chapitre 2. La collecte dinformations(1) Notez bien cette ligne : Linux 2.4.X.

Nmap parvient dterminer le systme dexploitation tournant sur la machine cible. La machinecible utilise un noyau Linux 2.4.21-grsec. Nmap ne sest pas tromp.

Il faut savoir que chaque systme dexploitation construit ses paquets dune manire bienparticulire. Certains champs au niveau de la couche IP ou TCP sont propres chaque systmedexploitation. Nmap contient une base de donnes dun grand nombre de systmes. Nmap envoie

donc des paquets tests la machine cible et compare les paquets reus en rponse ceux de sabase de donnes et en dduit le type de systme.

Cette base de donnes est mise jour en fonction des diffrentes version de Nmap.

2.1.4. Quel est lintret dutiliser Nmap ?

Nmap permet de pouvoir prvoir les futures attaques, et aussi de pouvoir connatre quels servicestournent sur une machine. Une installation faite un peu trop vite peut laisser des services encoute (donc des ports ouverts sans que cela ne soit ncessaire) et donc vulnrables une attaque.Nhsitez pas utiliser Nmap contre vos serveurs pour savoir quels ports sont en coute.

Nmap est un logiciel trs complet et trs volutif, et il est une rfrence dans le domaine duscanning.

2.1.5. Comment sen protger ?

Configurer votre pare-feu pour empcher les scans :

[root@nowhere /root]# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/

Cette commande permet de dtecter lenvoi un grand nombre de paquets TCP avec les flags FINet/ou SYN et/ou ACK et/ou RST arm(s). Vrifiez que votre pare-feu (si ce nest pas iptables)supporte la dtection de scans.

2.1.6. Documents

Je vous conseille de lire Utiliser iptables :Spcifications de filtrage(http://www.linux-france.org/prj/inetdoc/guides/packet-filtering-HOWTO/packet-filtering-HOWTO-7.html#ss7.3).

Divers articles cris par le dveloppeur de Nmap sur le scanning (en anglais) : The Art of PortScanning (http://www.phrack.org/show.php?p=51&a=11), Remote OS detection via TCP/IP StackFingerPrinting (http://www.phrack.org/show.php?p=54&a=9) et ICMP based remote OS TCP/IPstack fingerprinting techniques (http://www.phrack.org/show.php?p=57&a=7).

2.2. Identifier les versions des logiciels en coute

Maintenant que notre pirate connat les diffrents services en coute, son objectif va tre dedcouvrir les noms et les versions des logiciels utiliss pour assurer ces services.

Lobjectif de ce chapitre est de prsenter une parade pour viter de donner trop dinformationssur votre systme.

Le pirate peut dj essayer de se connecter sur diffrents ports grce aux programmes clientsassocis pour glaner des informations. Rien que telnet donne beaucoup dinformations :

[[email protected] /root]# telnet 192.168.1.1

Trying 192.168.1.1...Connected to 192.168.1.1.

6


14/60

Chapitre 2. La collecte dinformationsEscape character is "CTRL-C".Welcome to muetdhiverLinux Mandrake release 7.2 (Odyssey) for i586Kernel 2.2.17-21mdk on an i586login :

Avec la rponse :

1,0,0Linux Mandrake release 7.2 (Odyssey) for i586Kernel 2.2.17-21mdk on an i586

Trop de renseignements apparaissent.

Mme si le port telnet est ferm, le pirate peut glaner dautres informations sur les autres services.Pour cela, il peut procder une connexion telnet sur le port associ un autre service en coute.Exemple de connexion telnet sur le port FTP (port 21) :

[[email protected] /root]# telnet 192.168.1.1 21

Trying 192.168.1.1...Connected to 192.168.1.1.Escape character is CTRL-C.220 ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer]

La ligne qui nous intresse le plus est celle-ci :

220 ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer]

La version du logiciel nous est donne. Le pirate va alors rechercher des informations sur lesfaiblesses de scurit de celui-ci.

Cependant, sur certains services, le client telnet sera inefficace. Le pirate peut alors utiliser unprogramme conu pour crire et lire de donnes sur machine cible et sur le port voulu. Cesprogrammes permettent denvoyer des scripts directement sur le logiciel souhait sans se soucierdes limites protocolaires.

Le plus rput de ces programmes est sans doute Netcat.

2.2.1. Netcat

Netcat permet dtablir une connexion (TCP ou UDP) sur un port souhait et dy envoyer ou dyrecevoir des donnes. Voici un exemple :

[[email protected] /root]# nc 192.168.1.1 21

220 ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer]

On obtient directement la version du logiciel utilis.

Netcat (http://packetstormsecurity.nl/UNIX/netcat/) comporte plein dautres fonctionnalits(comme lenvoi de scripts ...). Le pirate na plus qu trouver une faille applicative (voir chapitre

suivant) sur le logiciel correspondant.

2.2.1.1. Comment sen protger ?

Retirer les bannires donnant les versions de logiciel et les messages daide ou de bienvenue dunservice rseau en coute qui peuvent donner des informations sur votre systme. Utilisez netcatcontre vos serveurs pour reprer les services trop bavards.

7


15/60

Chapitre 3. Les failles applicatives

Introduction

Nous allons aborder dans ce chapitre les failles lies aux applications utilises. Nous nousfocaliserons principalement sur les failles logicielles : les failles applicatives.

Ces failles peuvent tre de natures diverses : problmes de configuration, problmes au niveau ducode du logiciel, problmes lis de mauvaises interprtations de commandes ou de mauvaisesexcutions de scripts.

3.1. Les installations par dfaut

Lors dune installation, beaucoup de services peuvent tre installs par dfaut (un serveur Web,FTP ...). Ces services peuvent contenir les diffrents types de failles introduites auparavant.Limportant est de bien contrler lors de linstallation, les services qui seront installs sur le

systme. Pour tre bien sr de soi, il est aussi recommand de scanner la machine pour voir ce quiy tourne. Voir Section 2.1.

Mme si certains logiciels ne comportent pas de failles connues, ils peuvent quand mme donnerdes informations aux pirates (voir section [FIXIT] ).

3.2. Les mauvaises configurations

Lorsquune application est mal paramtre, elle peut laisser laccs libre certaines bases dedonnes sensibles (fichiers de mots de passe, dutilisateurs) ou de permettre dexcuter descommandes ou des scripts malveillants.

Il est important de bien lire le manuel avant dactiver un service (RTFM !) et de bien dfinir quifait quoi.

Ce principe est simple : il suffit de bien dfinir les utilisateurs et les groupes et de limiter leursdroits sur certains types de fichiers et certaines oprations dexcution de commandes systme.

Le plus important est de restreindre au maximun les accs certains fichiers sensibles et auxcommandes systmes.

3.3. Les bogues

Les bogues sont dus des erreurs de programmation. Les bogues font apparatre diffrents types

de problmes de securit :

3.3.1. Des dnis de services applicatifs

Ce type de faille empche le logiciel de fonctionner et ainsi de rpondre aux requtes demandes(do lappellation dni de service). La technique est simple, il suffit dutiliser un bogue connu quiva faire planter le logiciel assurant un service.

3.3.2. Outrepassement de droits

Les bogues de type dpassement de buffer ou dexploitation de bogues de format posent de gros

problmes de scurit. Ils visent majoritairement des applications fonctionnant avec les accsadministrateur (setuid root) pour permettre un attaquant dobtenir un interprteur de commandeau niveau administrateur (uid root) sans aucune authentification.

8


16/60

Chapitre 3. Les failles applicatives3.3.3. Les scripts

Malheureusement, une mauvaise programmation de scripts ou lutilisation de fonctions boguespeut tre source de failles de scurit. Il convient dtre trs attentif au niveau du dveloppementdun script.

3.4. Les exploits

Pour exploiter ces bogues, le pirate fait appel des exploits. Ces exploits sont en fait de petitsprogrammes permettant dexploiter une faille dans un but prcis (obtenir un interprteur decommandes, accder certains fichiers, augmenter ses droits...).

Les exploits peuvent aussi fonctionner distance, pour lobtention dun shell (parfois avec lesdroits administrateur) sans mot de passe, ni nom dutilisateur.

3.5. Comment sen proteger ?

Face aux multiples failles de scurit des systmes dinformation, seule la veille permet derpondre aux objectifs de continuit de service. Pour assurer cette veille, les responsables systmeet rseau disposent de diffrentes sources dinformations :

Les sites dinformations ddies sur Internet

Le rseau des Computer Emergency Response Teams publie des rapports sur toute nouvellefaille de scurit. Ces quipes peuvent aussi fournir une assistance ne cas de piratage.

A la tte de lInternet, on trouve le CERT(http://www.cert.org) de luniversit de CarnegieMellon. Au niveau national, on dispose de deux CERTs : le CERT RENATER(http://www.renater.fr/Securite/CERT_Renater.htm) dont les archives des avis de scurit(http://www.cert.uhp-nancy.fr/) sont publiques et le Centre dExpertise gouvernemental deRponse et de Traitement des Attaques informatiques (http://http://www.certa.ssi.gouv.fr/).

Sur un plan moins officiel, les Archives Bugtraq(http://citadelle.intrinsec.com/mailing/current/HTML/ml_bugtraq/) (en anglais) fontpartie des meilleures sources sur les nouvelles vulnrabilits. Ces archives donnent desdescriptions trs prcises sur des nouvelles failles de scurit. Bugtraq France(http://www.bugtraq-france.com) se veut lquivalent franais.

Certains sites comme .:[packet storm security]:. (http://packetstormsecurity.nl/) ouSecurityFocus (http://www.securityfocus.com/) contiennent aussi de nombreusesinformations. Le site SecurityFocus (http://www.securityfocus.com/) fournit un moteur derecherches thmatique pratique pour lister les vulnrabilits lies un logiciel.

La dtection dintrusion rseau

Les systmes de dtection dintrusion rseau (Network Intrusion Detection Systems ou NIDS)peuvent permettre de reprer les attaques exploitant des failles connues sur certains types delogiciels.

Les correctifs anti-dbordement mmoire pour le noyau

Il existe plusieurs outils complmentaires au noyau Linux qui permettent de limiter lespossibilits dexcution dexploits utilisant les bogues de dpassement de mmoire (pileet/ou tas). OpenWall (http://www.openwall.com/) et grsecurity(http://www.grsecurity.org/) sont deux exemples caractristiques.

La limitation du nombre de programmes sexcutant avec les droits administrateurIl est toujours bon de rprer les programmes sexcutant avec les droits administrateur.Ainsi, vous pouvez changer leurs droits pour quils ne deviennent pas un point critique pour

9


17/60

Chapitre 3. Les failles applicativesla vulnrabilit du systme. Sous linux, la simple commande : # find / -perm +6000vous permettra de lister tous les programmes sexcutant avec les droits administrateur.

10


18/60

Chapitre 4. Les outils indispensables pour laprotection

Introduction

Les pare-feux (firewalls), les tunnels et les systmes de dtection dintrusion aux niveaux hteet/ou rseau (IDS : Intrusion Detection System/NDIS : Network Intrusion Detection System) sont desoutils indispensables pour dtecter, parer ou viter de nombreuses attaques. Nous les dcrironsdans ce chapitre, ainsi que la manire de les utiliser de faon optimale.

4.1. Le pare-feu firewallLa configuration dun pare-feu peut savrer tre un sujet trs difficile traiter. Cetteconfiguration est surtout tablie en fonction de vos besoins personnels.

Lobjectif de ce chapitre est de donner des conseils suivre pour bien utiliser un pare-feu. Ensuite,nous nous intresserons aux diffrentes mthodes dattaques contre les pare-feux.

4.1.1. La configuration

Pour bien configurer son pare-feu, il suffit de bien respecter les conseils suivants :

Essayez de limiter laccs votre rseau des utilisateurs connus utilisant une adresse IPstatique. Vous pourrez ainsi rejeter toutes les autres requtes venant dutilisateurs utilisant uneadresse IP non autorise. Vous effectuez de la sorte un filtrage au niveau IP.

Fermez tous les ports en coute sur les diffrents serveurs et ouvrez seulement ceux dont vousavez besoin.

Filtrez ces ports, cest dire rejetez toutes les autres requtes sur les autres ports que ceux encoute.

Empchez toutes les connexions sortantes sur des services non autoriss. Pour cela, il suffit dedfinir un nombre limit de services auxquels les serveurs et les clients peuvent accder (mail,ftp, web...). Ensuite, il faut configurer le firewall pour rejeter les connexions depuis lintrieurvers lextrieur sur des services diffrant de ceux dfinis.

4.1.2. Les attaques contre les firewalls

La premire tape lors dune attaque est de dterminer les rgles actives sur le pare-feu. Le but estsimple : savoir quels ports ne sont pas filtrs.

4.1.2.1. Avec le scanner

Nmap peut dterminer quels ports sont ou ne sont pas filtrs. Voici un exemple :

[[email protected] /root]# nmap 192.168.1.2

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )Interesting ports on (192.168.1.2) :(The 1549 ports scanned but not shown below are in state : closed)Port State Service21/tcp filtered ftp22/tcp filtered ssh111/tcp open sunrpc515/tcp open printer

1024/tcp open kdm

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

11


19/60

Chapitre 4. Les outils indispensables pour la protectionLes ports 21 (ftp) et 22 (ssh) sont filtrs.


Protgez-vous contre le scanning (voir section FIXIT scan). Si le scan ne marche pas, dautresmthodes peuvent tre utilises comme le firewalking.

4.1.2.3. Le firewalking

Cette technique de dvoilement des rgles de firewalling repose sur un unique champ de len-tteIP, le TTL (Time To Live), ce champ reprsentant la dure de vie dun paquet. Il est fix ds sonenvoi par la pile de protocole du systme et est diminu dune unit chaque fois quil traverseun quipement assurant le routage ; quand ce champ est gal 0, le paquet est jet la poubelle.

Chaque passage dun routeur un autre est appel un saut.

Cest ce champ qui est utilis par le logiciel traceroute. Pour tracer une route, le logiciel envoieun premier paquet UDP avec un TTL de 1 ; au premier routeur, le TTL est dcrment 0. Lerouteur renvoie un message ICMP de type 11 ICMP TTL Exceeded, ce qui permet de rcuprer

ladresse du premier routeur. Ensuite traceroute va envoyer un deuxime paquet avec un TTLde 2, il sera dcrment au passage du premier routeur (TTL=1). Le deuxime routeur va lerecevoir et le dcrmenter : le champ TTL sera de nouveau gal 0. Le deuxime routeur renverradonc un message derreur : on rcupre ainsi ladresse du deuxime routeur.

Si il y a N sauts jusquau rseau final, on ritre lopration N fois.

On peut utiliser cette technique avec diffrents protocoles : UDP, TCP, ICMP.

Le firewalking repose sur cette technique pour dterminer les rgles actives sur un pare-feu.firewalk (http://www.packetfactory.net/firewalk/), le programme implmentant le firewalking,dtermine le nombre de routeurs entre la machine source et la machine cible (situe derrire lefirewall). Ensuite, il envoie des paquets tests avec un TTL gal ce nombre de routeurs + 1. Si lepaquet est accept, il traverse le firewall et on obtient une rponse ; sinon il ny a aucune rponse.

firewalk (http://www.packetfactory.net/firewalk/) envoie diffrents types de paquets (TCP, UDP)pour dterminer les rgles de firewalling. Nanmoins, de nombreux paramtres comme lacongestion du rseau, le nombre de routeurs sparant la cible et lmetteur peuvent fausserlanalyse.

4.2. Les systmes de dtection dintrusion (HIDS/NIDS)

Systme de dtection dintrusion

Intrusion Detection SystemIDS

Les outils les plus pratiques ! Ces utilitaires permettent de dtecter une attaque et de vous eninformer. Un IDS analyse tout ce qui se passe sur une station. Il dtecte les outrepassementsde droits (obtention du compte root dune manire suspecte) et dautres types dattaques, ilcontient une base de donnes sur diffrentes vulnrabilts.

Systme de dtection dintrusion rseauNetwork Intrusion Detection SystemNIDS

Un NIDS travaille de la mme manire, mais sur les donnes transitant sur le rseau. Il peutdtecter en temps rel une attaque seffectuant sur lune des vos machines. Il contient une

base de donnes avec tous les codes malicieux et peut dtecter leurs envois sur une desmachines. Le NIDS travaille comme un sniffer (voir section FIXIT sniffer), sauf quil analyseautomatiquement les flux de donnes pour dtecter une attaque.

12


20/60

Chapitre 4. Les outils indispensables pour la protectionCette section prsentera deux systmes de dtection dintrusion : un NIDS appel Snort et IDShybride Prelude. Il est noter que ces outils sont distribus comme logiciel libre. Je ne rappelleraipas que le logiciel libre a une avance considrable dans le domaine de la scurit par rapport sesconcurrents propritaires.

4.2.1. Prelude-NIDS

Prelude Hybrid IDS (http://www.prelude-ids.org/) est un des dtecteurs dintrusions les plusconnus. Prelude est disponible et libre sur les plateformes Linux, FreeBSD et Windows.

Prelude possde une achitecture modulaire et distribue. Modulaire, car ses composants sontindpendants, et peuvent tre facilement mis jour. Distribue, car ces composants indpendantsinteragissent les uns avec les autres. Cela permet davoir divers composants installs surdiffrentes machines et de rduire ainsi la surchage dapplications.

Ces diffrents composants sont les sondes et les managers. Les sondes peuvent tre de deuxtypes : rseau ou local. Une sonde rseau analyse tout le traffic, pour y dtecter dventuellessignatures dattaques. La sonde locale assure la surveillance dune seule machine, il analyse lecomportement du systme pour y dtecter des tentatives dexploitation de vulnrabilits internes.Les sondes signalent les tentatives dattaques par des alertes. Ces alertes sont reu par le managerqui les interprte et les stocke.

Pour une description complte de Prelude (installation, configuration et utilisation) consultez cedocument : http://lehmann.free.fr/PreludeInstall/InstallPrelude.html

4.2.2. Snort

Snorttlchargeable librement sur www.snort.org est un NIDS lui aussi. Il nest pas structurcomme Prelude. Snort est un programme "monolithique", il ne comporte pas de module commePrelude, ce qui peut rendre son implmentation dans un rseau un peu moins souple quePrelude. Snort fonctionne en trois modes (Sniffer, PacketLogger et NIDS). Les deux premiers

modes ne sont pas intressants pour la dtection dintrusion. Le troisime mode permet luidanalyser le trafic rseau pour y dtecter dventuelles attaques.

Pour une description complte de Snort (installation, configuration et utilisation) consultez cesite : http://www.snort.org/docs/ (en anglais).

4.3. Le tunneling

Nous allons dcrire dans cette section diffrentes mthodes pour scuriser vos transactions,cest--dire crer un VPN (Virtual Private Network). Un rseau priv virtuel (VPN) est utilispour tablir des communications scurises en sappuyant sur un rseau existant non scuris. Le

principal outil utilis pour la cration de VPN est IPsec.IPsec est facultatif sur IPv4 mais est obligatoire sur IPv6. IPsec a dautres avantages que lascurisation du trafic, il permet par exemple dconomiser la bande passante grce lacompression des en-ttes des paquets.

IPsec fonctionne sous deux modes diffrents : le mode transport et le mode tunnel. Ces deuxmodes seront dcris dans ce qui suit.

IPsec est compos de plusieurs protocoles diffrents : AH, ESP, IPcomp et IKE.

4.3.1. Le protocole AH

Le protocole AH (Authentification Header) permet de garantir lauthenticit des paquetschangs en leur inscrivant une somme de contrle (de len-tte IP jusqu la fin du paquet)chiffre.

13


21/60

Chapitre 4. Les outils indispensables pour la protection4.3.2. Le protocole ESP

Le protocole ESP (Encapsulating Security Payload) encrypte toutes les donnes du paquetgarantissant leur confidentialit.

4.3.3. Le protocole IPcomp

Le protocole IPcomp (IP payload compression) permet de compresser un paquet avant de lechiffrer avec ESP.

4.3.4. Le protocole IKE

Le protocole IKE (Internet Key Exchange) est utilis pour lchange des cls utiliss pourlencryptage.

4.3.5. Les deux modes de fonctionnements de IPsec

AH, ESP et IPcomp fonctionnent dans le mode transport ou le mode tunnel. Le mode "transport"encrypte directement les changes entre deux machines. Le mode "tunnel" encapsule les paquetsencrypts dans de nouveaux en-tte IPv4/IPv6. Il est conu pour les passerelles VPN.

4.3.6. Les limitations dIPsec

IPsec pose quelques problmes dus son implmentation. Certains problmes apparassent auniveau des messages de broadcast et multicast. IPsec est difficile filtrer sur les firewalls existants.Il est aussi impossible grer pour les translations dadresse (NAT).

4.3.7. Documents

Description gnrale des tunnels et implmentation sous Linux :http://www.miscmag.com/articles/index.php3?page=315http://www.securiteinfo.com/crypto/IPSec.shtml Description gnrale des tunnels etimplmentation sous Windows : http://www.laboratoire-microsoft.org/articles/network/ipsec/

4.4. Nessus

Nessus est un outil de scurit permettant de scanner une ou plusieurs machines. Il permet aussi

de tester diffrentes attaques pour savoir si une ou plusieurs machines sont vulnrables.Il est trs utile lors de tests de pntration (pen test) et fait gagner un temps incroyable.

Nessus se compose dune partie serveur (qui contient une base de donnes regroupant diffrentstypes de vulnrabilits) et une partie client. Lutilisateur se connecte sur le serveur grce au clientet aprs authentification, il ordonne au serveur de procder aux tests dune ou plusieursmachines. Le client reoit ensuite les rsultats du test.

Nessus est disponible sous Linux et Windows, et il est entirement gratuit.

4.4.1. Pour obtenir tout sur Nessus

Pour tlcharger les sources, binaires, ou diffrents documents concernant Nessus, consultez lesite : http ://www.nessus.org

14


22/60

Chapitre 4. Les outils indispensables pour la protection

4.5. User Mode Linux - UML

User Mode Linux est un dispositif permettant de laner un ou plusieurs noyau(x) linux danslespace utilisateur (comme un simple programme). En clair, il permet davoir plusieurs machinesvirtuelles sur une seule machine physique hte excutant Linux. Les avantages sont nombreux :

Si une machine virtuelle plante, le systme hte nest pas affect. Un utilisateur sera root sur une machine virtuelle, mais pas sur le systme hte. Il permet aussi de tester diffrents paramtres noyaux sans se soucier des consquences.

User Mode Linux permet notamment de saffranchir de chroot (pour, par exemple, la ralisationde serveurs FTP) et de toutes ses failles de scurit.

4.5.1. Documents

La page web de User Mode Linux : http://user-mode-linux.sourceforge.net Un autre lienintressant pour User Mode Linux et la scurit :http://www.rstack.org/oudot/20022003/7/7_rapport.pdf

15


23/60

Chapitre 5. Surveillance - Dissimulation - Maintiendaccs

Introduction

Nous prsenterons dans ce chapitre les programmes utiliss par les pirates pour dissimuler,surveiller et maintenir leur accs sur un systme dinformation. Nous prsenterons les moyens desen protger.

5.1. Les chevaux de Troie

Le principe du Cheval de Troie est facile comprendre. Un programme ou un code malveillantest intgr une application par ajout ou par modification de son code. Ainsi lors de lexcutionde ce programme inoffensif, le bout de code malveillant pourra excuter des commandesspcifiques (rcupration de fichiers de mot de passe, altration du systme, etc.) linsu de

lutilisateur.


La plupart des antivirus peuvent dtecter les chevaux de Troie. Nanmoins, comparer la signaturenumrique accompagnant les fichiers (cela se fait par un calcul reposant sur un algorithme dechiffrement appliqu lensemble du fichier) avec la sienne permet de savoir directement si lonest infect.

Il est aussi conseill de consulter les sites suivants pour vrifier que vos programmes necontiennent pas de chevaux de Troie :

Le CERT(http://www.cert.org) (Computer Emergency Response Team) est un organismesoccupant des problmes de scurit sur Internet. Il recense les diffrents problmes de scuritet publie des articles (advisories) pour les dcrire.

Bugtraq : http://citadelle.intrinsec.com/mailing/current/HTML/ml_bugtraq/

5.2. Les backdoors

Les backdoors sont des accs cachs sur un systme ou sur une application. Le principe dunebackdoor est similaire celui du cheval de Troie. Lobjectif est de modifier ou dutiliser unprogramme pour accder discretement un ordinateur distant, modifier le comportement dun

programme, devenir administrateur.

5.2.1. Les backdoors prsentes dans les logiciels.

Parfois, certains logiciels (messagerie, utilitaires systmes) peuvent contenir des backdoors,cest--dire que, pour certaines commandes suivies darguments particuliers ou avec un mot depasse bien dfini, le logiciel peut avoir un comportement diffrent (permettre lutilisateur dedevenir root, renvoyer un shell systme lutilisateur, etc.).

Ces "trappes" sont inclues directement dans le code du logiciel. Certains dveloppeurs sontsoucieux de possder un accs sur tous les systmes utilisant leurs logiciels. Par exemple, KenThompson, lun des pres dUNIX, avoue avoir modifi lapplication /bin/login en permettant

laccs direct au systme par la saisie dun mot de passe prcompil en dur. Thompson pouvaitainsi visiter tous les systmes utilisant son application modifie. Parfois, certains pirates diffusentdes applications infestes de backdoors.

16


24/60

Chapitre 5. Surveillance - Dissimulation - Maintien daccs5.2.1.1. Comment sen protger ?

Il convient de tlcharger ses applications sur le site du distributeur ou du programmeur. Utiliserdes serveurs de tlchargement non lis lauteur de lapplication peut se rlver dangereux.

Il est aussi recommand de vrifier les checksums sil sont donns par le dveloppeur.

Il est aussi bon de consulter des listes de diffusion comme bugtraq pour savoir si la version de

logiciel que vous utilisez ne comporte pas de backdoors.

5.2.2. Les backdoors ddies aux connexions distance

Ces backdoors peuvent trs bien faire partie de la premire catgorie. Comme il la t montr,certains logiciels peuvent autoriser un accs pour un mot de passe particulier. Toutefois, ceparagraphe va se focaliser sur des applications en coute sur un port bien dfini utilises par lespirates pour obtenir un shell. Un logiciel pralablement install par le pirate est en attente deconnexion sur un port discret. La plupart de ces programmes sont en coute sur des numros deports ayant une valeur assez leve (suprieur 5000). Le pirate na plus qu se connecter sur ceprogramme pour rcuprer son accs sur la machine.

5.2.2.1. Comment sen proteger ?

Nmap peut se rlver tre une aide prcieuse pour les dbusquer. Si, en procdant au scan dunemachine, vous constatez quun port non autoris est en coute, il serait bon de vrifier celui-ci.

Les sites consulter :

Le CERT(http://www.cert.org) en anglais. Bugtraq : http://citadelle.intrinsec.com/mailing/current/HTML/ml_bugtraq/ (en anglais) et

http://www.bugtraq-france.com.

5.3. Les Rootkits

Le rootkit est un programme permettant dautomatiser la dissimulation et leffacement des tracesdun pirate sur une machine. Lobjectif dun rootkit est de modifier les commandes permettantdadministrer le systme, de cacher les ports ouverts par le pirate.

Les premiers rootkits taient assez basiques, ils modifiaient juste les commandes ls, ps, netstat.

Ladministrateur pouvait dtecter ces modifications sur les logiciels concerns. Alors une secondegnration de rootkits apparut. Il faut savoir que des commandes comme ps, ls ... font appels des bibliotheques partages pour fonctionner. Les nouveaux rootkits modifiaient donc le code de

ces bibliothques pour modifier le comportement de ces commandes lavantage du pirate.Encore une fois, ceci tait dtectable. Donc une troisime gneration de rootkits est ne afin demodifier directement le comportement du noyau, par le biais de modules chargs en mmoire(LKM). Cest lheure actuelle la derniere gnration.

Diffrents rootkits sont disponibles sur Linux.

Je ne donnerai (volontairement) pas dans cette partie une description complte de lutilisation desrootkits. Cela na aucun intert pour ce guide.

La plupart des rootkits utilisent le principe des backdoors (Section 5.2) pour permettre au piratede se connecter selon son envie sur un systme.

17


25/60

Chapitre 5. Surveillance - Dissimulation - Maintien daccs


1. Les checksums. Une base de donnes de checksums sur les diffrents fichiers systme peutdj constituer une bonne parade. Je vous conseille deffectuer des checksums la fin duneinstallation sur les diffrents fichiers comme ls, ps, stat ifconfig, etc. et sur les diffrentes

bibliothques partages.

Cette base de donne devrait tre stocke sur un CDROM ou tout autre support nonrinscriptible.

2. Compiler les programmes vitaux en statique. Comme je lai dit prcdemment, certainescommandes font appels des librairies partages et des utilitaires comme "md5sum" (quisert faire des checksums) sous Linux font appels des librairies partages. Do soncomportement pourrait tre modifi indirectement par un rootkit attaquant les librairiespartages. Pour viter ce genre de dsagrement, compilez une partie des programmesvitaux en statique, ainsi vous disposerez dune trousse de secours en cas dinfection parrootkits.

Bien sr, pour compiler les programmes vitaux en statique, faut-il encore disposer dun OS

qui permette daccder aux sources de ces programmes vitaux...

3. Chkrootkit. Chkrootkit (pour CHecK ROOTKIT) vous permet de dtecter la prsence dunrootkit, il fonctionne sous Linux (FreeBsd...) et est tlchargeable librement surwww.chkrootkit.org.

4. Compilez votre noyau en statique. Vous viterez ainsi le chargement de modules externes.

5.4. Linterception des mots de passe en rseau.

Une autre technique utilise pour collecter des informations (mots de passe par exemple) estlutilisation dun sniffer. Le sniffer place la carte rseau dans le mode transparent (promiscious),ce qui veut dire que la carte intercepte tous les paquets sur le segment rseau, mme ceux qui nelui sont pas destins.

Plusieurs types de sniffers existent ; certains affichent les donnes interceptes brutes commeTcpdumpdisponible sur www.tcpdump.org, ce qui donne lieu des fichiers de log trsvolumineux. Dautres sniffers permettent de rcuprer les mots de passe en les affichantdirectement lcran associ avec le login, ladresse du client et celle du serveur (commedsniffdisponible sur www.packetstormsecurity.org).

Etherealdisponible sur www.packetstormsecurity.org permet par exemple dafficher toutes lestransactions ayant cours sur le rseau.

Cependant, le sniffer reste un outil puissant pour la dtection dintrusion car, premirement, ilgarde une trace de tous les changes ayant cours sur le rseau. Deuximent, il se rvle trs utilepour dmasquer un scan (un grand nombre de paquets envoys dun seul coup), de tracerladresse dun pirate, de voir si des commandes particulires sont demandes sur le reseau.

La plupart des rootkits contiennent un programme pour sniffer.

Les NDIS utilisent un sniffer pour analyser les transactions rseau.


L, cest trs difficile. Un sniffer est passif, il nenvoie aucun paquet, il ne fait quintercepter. Maisla carte rseau tant en mode transparent, son comportement sen trouve chang, son temps et sa

faon de rpondre certains paquets sont modifis. On peut dtecter la prsence dun sniffergrce ce changement de comportement. Le programme AntiSniffdisponible sur windows NT etLinux ladresse http ://packetstormsecurity.nl/sniffers/antisniff/ de Lopht Heavy Industries

18


26/60

Chapitre 5. Surveillance - Dissimulation - Maintien daccspeut envoyer des paquets "tests" et en dduire si la carte est en mode transparent donc susceptiblede sniffer.

Une deuxime parade pour djouer le sniffing est de "tunneler" toutes les transactions. Cela veutdire encrypter toutes les transactions rseaux. Utiliser IpvSec ou des VPN, ssh sur votre rseausavre tre une dfense efficace contre le sniffing.

Lutilisation de tunnels est traite dans la section #x1-460004.3.

19


27/60

Chapitre 6. Dispositifs destructeurs

Introduction

Les dispositifs destructeurs sont utiliss pour paralyser, saturer ou dtruire un systmedinformation. Ils constituent lespce la plus nuisible dans le domaine de la scurit car ilspeuvent tre la source de perte de donnes. Le but de ce chapitre est dexpliquer leursfonctionnements et la faon de les combattre.

6.1. Le virus

Le virus est un programme dont le seul but est de consommer ou de paralyser des ressourcessystme. Le virus sautoduplique pour mieux infecter le systme, il se propage en infectant tour tour les fichiers. Les effets dune contamination varient : fichiers effacs, disque dur format,saturation des disques, modification du MBR, etc.

La grande majorit dentre eux existent sur les plates-formes Microsoft, ils infectent en particulierles fichiers COM ou EXE. De plus, de nouvelles formes sont apparues comme les macro-virus quiattaquent les fichiers de donnes (word ou excel).

Les systmes UNIX ne sont pas pargns ! Les administrateurs UNIX doivent faire face desvirus comme Winux. Nanmoins, la gestion des droits sous UNIX se rvle tre un facteurlimitant pour la propagation de virus.

Les virus sont de plus en plus volus, ils peuvent sautomodifier pour chapper une ventuelledtection (virus polymorphes). Dautres types peuvent tenter de leurrer le systme en sinstallantdans des secteurs dfecteux ou non utiliss (virus furtifs) ...


Les anti-virus commerciaux comme Norton Antivirus ou McAfee VirusScan sont de bons outilspour traquer les virus. Toutefois, il convient de les mettre rgulirement jour pour profiterpleinement de leurs capacits.

Il est aussi important de suivre lvolution et lapparition de nouveaux virus ; pour cela, consulterles sites (ainsi que pour tous les autres dispositifs destructeurs dcrits dans ce chapitre) :

Le CERT(http://www.cert.org) en anglais. Les sites du CNRS : http://www.services.cnrs.fr/wws/info/sos-virus et

http://www.cnrs.fr/Infosecu/Virus.html.

6.2. Les vers

Les vers sont du mme acabit que les virus, sauf quils nutilisent pas ncessairement un fichierpour se propager. Ils sont aussi capables de se dupliquer et de se dplacer au travers dun rseauinformatique. Les vers utilisent diffrents supports pour se propager.

Les vers simples utiliseront des failles propres certains logiciels (exemple du ver de Morris en1988 qui paralysa une grande partie de lInternet).

Les macro-vers utiliseront les pices jointes contenant des documents bureautiques infects(exemple du ver Nimda).

Les vers demail sont contenus dans une pice jointe comprenant un code malicieux excutautomatiquement par le logiciel de courrier lectronique ou manuellement par lutilisateur.

20


28/60

Chapitre 6. Dispositifs destructeurs


Comme pour les virus, lantivirus se rvle tre une parade efficace. Consultez les listes citesdans la section #x1-730006.1.

6.3. Les bombes logiquesLes bombes logiques sont aussi nfastes que les virus ou les vers et sont la cause de dgatssimilaires. La diffrence est que la bombe logique a besoin dun dtonateur pour sactiver,cest--dire quelle attend une date ou une action bien prcise de lutilisateur pour exploser.


Utilisez un anti-virus performant (Mc Afee, Norton ...) rgulirement mis jour.

Consultez les sites dcrits dans la section #x1-730006.1.

6.4. Les attaques par dni de services

Ce type dattaque est la plus nervante qui soit. Elles ont pour but de saturer le rseau ou lesystme.

6.4.1. Le SYN flood

Cette technique consiste saturer un serveur en envoyant une multitude de paquets TCP avec leflag SYN arm, cela aura pour but de crer une multitude de connexions demandant un grandnombre de ressources systme.

La plupart des attaques par SYN-flood sont bien dtectes par diffrents firewalls.


Exemple avec iptables limitant les demandes dtablissment de connexion TCP acceptes unepar seconde:

[root@nowhere /root]# iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -J ACCEPT

Pour plus de details sur cette commande, je vous conseille de lire Utiliser iptables :Spcifications defiltrage (http://www.linux-france.org/prj/inetdoc/guides/packet-filtering-HOWTO/packet-filtering-HOWTO-7.html#ss7.3).

6.4.2. LUDP Flood

De la mme manire que pour le SYN flooding, lattaquant envoie un grand nombre de requtesUDP sur une machine. Le trafic UDP tant prioritaire sur le trafic TCP, ce type dattaque peut vitetroubler et saturer le trafic transitant sur le rseau.

La plus clbre attaque utilisant lUDP-flooding est le Chargen Denial of Service Attack. Un pirateenvoie une requte sur le port echo dune machine A indiquant comme port source celui du portchargen dune machine B. Le service chargen de la machine B renvoie un caractre sur le portecho de la machine A.

Ensuite le service echo de A renvoie ce caractre sur chargen. chargen le reoit, en ajoute un autreet les renvoie sur le port echo de A qui les renvoient son tour sur chargen ... et cela continuejusqu la saturation de la bande passante.

21


29/60

Chapitre 6. Dispositifs destructeurs6.4.2.1. Comment sen protger ?

Il est conseill de dsactiver les services chargen et echo.

Si vous ne voulez pas dsactiver chargen et echo, configurez votre firewall pour viter le ChargenDenial of Service Attack en limitant le traffic UDP. Exemple avec iptables :

[root@nowhere /root]# iptables -A FORWARD -p udp -m limit --limit 1/second -J ACCEPT

6.4.3. La fragmentation de paquets

Plus connu sous le nom de Teardrop Attack, Bonk ou encore Boink, cette attaque utilise une faillepropre certaines piles TCP/IP. Cette vulnrabilit concerne la gestion de la fragmentation IP.

Ce problme apparat lorsque la pile reoit le deuxime fragment dun paquet TCP contenantcomme donne le premier fragment. La pile TCP/IP peut savrer incapable de grer cetteexception et le reste du trafic.

Cette faille est trs connue sur les piles de Windows 95 et 98.

6.4.4. Ping of death

Le principe est denvoyer un paquet ICMP avec une quantit de donnes suprieure la taillemaximale dun paquet IP . Encore une fois, la pile peut savrer incapable de grer cette exceptionet le reste du trafic.

6.4.5. Attaque par rflexion : Smurfing

Cette attaque est base sur le protocole ICMP. Lorsquon envoie un ping un rseau en broadcast(par exemple 255.255.255.0), le paquet est envoy chacune des machines du rseau.

Un pirate envoie un ping en broadcast sur un rseau (A) avec une adresse IP sourcecorrespondant celle de la machine cible (B). Le flux entre le port ping de la cible (B) et du rseau(A) sera mulitpli par le nombre de machines sur le rseau (A).

Cela conduit une saturation de la bande passante du rseau (A) et du systme de traitement depaquets de (B).


Configurez votre firewall pour limiter le traffic ICMP. Exemple avec iptables :

[root@nowhere /root]# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second

Pour plus de dtails sur cette commande, je vous conseille de lire Utiliser iptables :Spcifications defiltrage (http://www.linux-france.org/prj/inetdoc/guides/packet-filtering-HOWTO/packet-filtering-HOWTO-7.html#ss7.3).

6.4.6. Dnis de services distribus

Plusieurs types dattaques sont lances en parallle partir de plusieurs sources.

6.4.7. Bombes e-mail

Le mail bombing consiste envoyer de gros ou de nombreux fichiers un utilisateur pour saturersa bote de rception de courrier lectronique.

22


30/60

Chapitre 6. Dispositifs destructeurs6.4.7.1. Comment sen protger ?

La plupart des logiciels de contrle de contenu assure un filtrage du courrier pour dtecter cetype dattaque

23


31/60

Chapitre 7. Scurisation des mots de passe

Introduction

Le but de ce chapitre est de donner au lecteur toutes les informations ncessaires sur lestechniques utilises pour tester la rsistance des protections par mot de passe.

Il faut savoir que les mots de passe utiliss sur un systme dinformation sont encrypts pourgarantir leur confidentialit. Ces mots de passe encrypts sont stocks dans des listes de mots depasse sur des fichiers systmes prdfinis.

Un pirate peut fort bien rcuprer ces listes et tester la fiabilit des mots de passe. Il utilise pourcela loutil adquat : un perceur de mot de passe.

La plupart des algorithmes dencryptage repose sur lutilisation de fonctions sens unique. Ceciveut simplement dire quil est impossible de dcrypter le mot de passe partir sa formeencrypte. Lattaque consiste alors encrypter diffrentes combinaisons de caractres et decomparer cette forme encrypte celle du mot de passe voulu. Si les deux chanes correspondent,alors la suite de caractres est celle du mot de passe.

Il y a deux types dattaques pour le craquage de mots de passe qui seront dfinies dans cechapitre.

7.1. Lattaque par dictionnaire

Le programme utilise une liste de mots prdfinis dans un fichier externe. Cette liste est appeleun dictionnaire ; ces mots sont la plupart du temps ceux provenant dun dictionnaire contenantles mots du langage courant. Le programme les encrypte avec lalgorithme dencryptage adquatun par un et les compare au mot de passe encrypt.

Ce type dattaque est trs rapide. Un mot de passe mal choisi est vite dcouvert.

7.2. Le brute forcing

Si lattaque par dictionnaire ne marche pas, le programme peut gnrer des mots de passe avecune suite alatoire de caractres, les encrypter et les comparer au mot de passe dcouvrir. Avecun mot de passe suffisament long (suprieur 8 caractres), cette mthode a peu de chancedaboutir. Si, de plus, des caractres spciaux sont ajouts comme des signes de ponctuation, lamthode peut se rveler inefficace.

Il existe diffrents logiciels de perage de mots de passe en fonction du type dencryptage ( DES,MD5, special Microsoft ...).

7.3. Tester la fiabilit de vos mots de passe !

Sous UNIX

Sous UNIX, la liste des mots de passe des utilisateurs systme est divise en deux fichiers/etc/shadow et /etc/passwd ou runis seulement dans le fichier /etc/passwd. Le typedencryptage peut tre du MD5, DESLalgorithme DES a t adopt par la NSA commestandard la fin des annes 70. Le DES est distribu publiquement mais il a t dveloppdans le secret. Certains suspectent le gouvernement amricain de stre reserv une "gchesecrte" pour une dcryptage plus rapide, je vous conseille dutiliser dautres algorithmes laplace., RSA ...

Pour tester la rsistance de vos mots de passe, le logiciel John The RipperJohn The Ripper estdisponible sur http ://www.openwall.com/john/ peut savrer tre une bonne aide. Il

24


32/60

Chapitre 7. Scurisation des mots de passesupporte un grand nombre dalgorithmes dencryptage, prsente un important paramtragedes attaques. John the Ripper est un programme distribu librement.

Sous Windows

Pour tester la fiabilit des mots sous Windows, ladministrateur pourra utiliser le logiciel

John the RipperIdem. sur Windows ou sur Unix ou le logiciel LophtCrack de Lopht HeavyIndustries Lophtcrack qui, lui, nest pas distribu gratuitement (enfin pas pour les versionsrcentes).

Sous Windows 9x, les mots de passe sont disperss dans le rpertoire racine de windowsdans diffrents fichiers dexention ".PWL" portant comme nom celui de lutilisateur.

Le chiffrement utilis pour gnrer les mots de passe PWL est trs faible. Le programme Cainpermet de tester leur fiabilit.

7.4. Choisir le bon mot de passeNutilisez pas des mots de votre language courant ou des suites de chiffres !

Choisissez des mots de passe longs, avec une suite de caractres totalement alatoires et avec descaractres spciaux, alternez les majuscules et les miniscules.

Choisissez une phrase et alternez les majuscules et minuscules avec les premires lettres dechaque mot en tenant compte de la ponctuation. Par exemple :

A demain, Je tAime mon Amour.

donne : Ad,JtAmA, qui est un mot de passe assez costaud.

7.5. Prvenir lutilisateur

Nhsitez pas organiser des runions, faire circuler diffrents documents pour informer vosutilisateurs des problmes de fiabilit des mots de passe.

25


33/60

Chapitre 8. La base des attaques rseaux

Introduction

Dans ce chapitre, nous dcrirons les principes sur lesquels reposent de nombreuses attaquesrseaux (notamment celles dcrites dans le chapitre 9), ainsi que les rgles respecter pour lesviter ou les parer.

8.1. Dtournement de flux

Les techniques de dtournement de flux servent rediriger le flux rseau vers un client, vers unserveur, ou vers une autre machine.

8.1.1. ARP-Poisoning

Toute carte rseau possde une adresse physique. Cest cette adresse qui lui permet de recevoir lespaquets qui lui sont destins sur le rseau local. Cette adresse physique est associe ladresse IPgrce au protocole ARP. La table de correspondance entre les adresses IP et les adresses physiquesest contenue dans le cache ARP. Lorsquun change doit stablir entre 2 machines du rseaulocal, ces deux machines envoient des requtes ARP avec ladresse IP du rcepteur, associe unchamp vide pour son adresse physique. Ce rcepteur va renvoyer son adresse physique dans unerponse ARP.

Si un attaquant envoie un message de rponse ARP avec son adresse physique correspondant ladresse IP du rcepteur, tout le flux IP dirig vers le rcepteur sera ridirig vers lattaquant. Ondit quil a empoisonn le cache ARP du recepteur.

Illustration :

26


34/60

Chapitre 8. La base des attaques rseaux8.1.1.1. Comment sen protger ?

La solution la plus immdiate consiste saisir manuellement sur chaque poste la table de toutesles adresses physiques prsentes sur le rseau local. Si elle est immdiate, cette solution estquasiment inapplicable compte tenu du nombre dhtes connects au rseau local.

Une solution correcte consiste mettre en place un serveur DHCP avec une liste ferme decorrespondance entre adresses physiques (MAC) et IP. Relativement la solution prcdente, la

liste exhaustive des adresses physiques est centralise sur le serveur DHCP. On peut ensuiteconfigurer la journalisation du service pour que toute requte DHCP relative une adresse MACinconnue gnre un courrier vers laministrateur systme.

Enfin, On peut utiliser sous UNIX, un logiciel spcialis : arpwatch (ftp ://ftp.ee.lbl.gov/) quipermet de surveiller tout le trafic ARP.

Les NIDS peuvent aussi dtecter ce type dattaques (notamment Prelude-IDS).

8.1.1.2. Documents

Larticle Le arp-poisoning (http://www.securite.teamlog.com/publication/6/10/102/) est unebonne introduction la problmatique.

La section Addresss Resolution Protocol (ARP) (http://linux-ip.net/html/ether-arp.html) du Guideto IP Layer Network Administration with Linux (http://linux-ip.net/html/index.html) montretoutes les possibilits dinteraction sur le protocole ARP avec le noyau Linux.

8.1.2. Dsynchronisation TCP

LARP-Poisining permet de rediriger tout le trafic IP mais, si lattaquant na besoin que du traficTCP, il peut interfrer entre une connexion client-serveur pour rediriger le flux du client vers lui.La synchronisation TCP est assure par les numros de squences TCP. Si, pendant un change,lattaquant envoie des paquets malforms au client avec une adresse IP correspondant celle du

serveur en y placant des mauvais numros de squences, le client va croire quil a perdu laconnexion et stoppera ses changes avec le serveur. Mais si lattaquant envoie les bons numrosde squences au serveur, il rcuprera la connexion pour lui.

Illustration :

27


35/60


36/60

Chapitre 9. Description dattaques sur diffrentsprotocoles

Introduction

Ce chapitre dcrit les failles intrinsques de diffrents protocoles. Intrinsques par le fait quellesne sont pas lies une faille applicative du client ou du serveur grant ce protocole, mais plutt sa conception. Nous prsenterons aussi la manire de sen protger.

9.1. Dynamic Host Configuration Protocol - DHCP

Le protocole DHCP est utilis pour dlivrer dynamiquement une adresse IP unique pour chaquemachine le demandant sur le rseau interne. En clair, si un client interne veut obtenir une adresseIP pour bnficier des services rseau, il envoie un message DHCP tout le rseau (broadcast)pour trouver le serveur DHCP. Le serveur DHCP rpondra en lui envoyant tous les paramtres de

configuration rseau.

Ce service permet dallger la gestion du rseau en vitant davoir des configurations statiques maintenir sur chaque machine. Malheureusement, le protocole DHCP comporte diverses faillesque nous allons vous prsenter.

9.1.1. Attaque par puisement de ressources

Comme il la t dcrit, un serveur DHCP possde un stock dadresses IP quil distribue auxdiffrents clients. Ce stock est bien sr limit. Il y aura seulement un nombre dfini de clientspouvant disposer des diffrentes adresses IP en mme temps. Si le serveur est bien administravec une liste ferme de correspondances entre adresses MAC et IP aucune attaque par

puisement nest possible.Si le service est mal administr ; cest dire que les correspondances entre adresses MAC et IP sefont dynamiquement partir d