Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Transcription

1 Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad

2 Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions Questions

3 Introduction La croissance d'internet l'ouverture des systèmes de plus en plus d'attaques Nécessité d'identifier les menaces. Prévoir la façon de procéder de l' «ennemi» Limiter les risques Nécessité de connaître les menaces, les motivations des pirates et leurs façons de procéder

4 Scanneurs de port

5 Scanneur de port Permet d'indiquer pour une machine les services qui répondent. Correspondance entre service et port (standard) exemple: http->80 smtp->25 Fonction connect() du langage C Deux techniques les plus connues: Vanilla scan Half-open scan

6 Vanilla scan TCP connect() Si le port est ouvert alors la fonction connect() retourne un descripteur valide, autrement l appel échoue Le scanner accepte via l option -p une liste de ports à scanner. Par exemple Le scanner via l option -h vous permet de spécifier la liste des machines à scanner. Par exemple * Méthode de scan dites "normale", fiable, mais facilement détectable et donc repoussé par un système de sécurité.

7 Half-open scan Un scan de port en utilisant des paquets SYN Trouver les applications et versions associés. Le scan SYN est très rapide, c'est pour ces raisons qu'il est aussi rapidement détecté si un dispositif de sécurité tel qu'un pare-feu ou IDS est mis en place Le port est ouvert Le port est fermé

8 SDI: Les systèmes de détection d'intrusion

9 Définitions Intrusion lorsqu une tierce partie essaie d avoir de l information et/ou accéder à un système ou plusieurs systèmes connectés en réseau. Le rôle d un SDI est de détecter et avertir l administrateur système de l existence d une telle intrusion Système basé sur un renifleur et moteur qui analyse le trafic

10 Catégories de SDI HIDS :Host-based IDS Surveillance de l'activité d'une machine en examinant les différents fichiers système de journalisation Agent installé sur une machine NIDS :network-based IDS Basé sur une BDD des signatures Sniffant le trafic, examine chaque paquet.

11 Exemple: SNORT NIDS Open Source. Analyse en temps réel le trafic réseau Technique: Analyse des protocoles Recherche de signatures dans les paquets Utilisation: Détecter les scans de ports Attaques CGI Débordement de tampons

12 Architecture SNORT

13 Renifleur (sniffer)

14 Renifleur (définition) Sonde qu'on place sur le réseau pour l'écouter Consultation aisée des données non chiffrées Récupérer à la volée des informations sensibles Peut être un équipement matériel ou logiciel

15 Exemples pratique

16 Exemple Attaque: connaître la version d'un serveur Http : Connectez au serveur web sur le port 80 telnet 80 Demandez la page d'accueil: GET / HTTP/1.0 Réponse du serveur HTTP/ OK Date: Thu, 21 Mar :22:57 GMT Server: Apache/ (Unix) Debian/GNU

17 Example Dump Ran tcpdump on the machine localhost.reggie. miller.31 First few lines of the output: 01:46: IP localhost.reggie.miller.31.ssh > adsl dsl.pltn13. pacbell.net.2481: : (1380) ack win :46: IP localhost.reggie.miller.31.ssh > adsl dsl.pltn13. pacbell.net.2481: P 1380:2128(748) ack 1 win :46: IP localhost.reggie.miller.31.ssh > adsl dsl.pltn13. pacbell.net.2481:. 2128:3508(1380) ack 1 win :46: IP adsl dsl.pltn13.pacbell.net.2481 > localhost.reggie. miller.31.ssh: P 1:49(48) ack 1380 win 16560

18 What does a line convey? This is an IP packet Timestamp Source host name Source port number (22) 01:46: IP localhost.reggie.miller.31.ssh > adsl dsl.pltn13.pacbell.net.2481: : (1380) ack win Destination host name Destination port number DifferentTCP output formats for different packet types specific information

19 How a packet sniffer works - intercepting the information travelling over network - two types of network environments in which a sniffer works Shared Ethernet Switched Ethernet 1/29/2009

20 How a packet sniffer works Shared Ethernet When a message is to be sent to a machine, it is broadcasted over the network and machine for which the message is intended, reads the message Listen to all the traffic on the network. This type of sniffing is extremely difficult to detect 1/29/2009

21 How a packet sniffer works Shared Ethernet C1 C2 C4 1/29/2009 C3 Sniffer C5

22 How a packet sniffer works (contd...) Switched Ethernet - In this network formation, the machines are connected to a switch. The switch maintains a MAC table and keeps a track of each computer s MAC address and the physical port on the switch to which the MAC address maps - One can still sniff the traffic using techniques like ARP spoofing, which basically spoofs the MAC address of the gateway and makes the traffic route through the machine running the sniffer 1/29/2009

23 How a packet sniffer works Running sniffers on the gateway level Internet OR External Network LAN Gateway (running a sniffer) 1/29/2009

24 How a packet sniffer works Detect udp packets C1 AP C2 C3(running a sniffer) 1/29/2009

25 The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options Src and dst are the source and destination IP addresses and ports Flags are some combination of S (SYN), F (FIN), P (PUSH), R (RST), W (ECN CWR) or E (ECN-Echo), or a single. (no flags)

26 The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options Data-seqno describes the portion of sequence of the data in this packet Ack is sequence number of the next data expected the other direction on this connection

27 The general format of a tcp protocol line is: src > dst: flags data-seqno ack window urgent options Window is the number of bytes of receive buffer space available the other direction on this connection Urg indicates there is urgent data in the packet Options are tcp options

28 Conclusion Les outils présentés ici sont d'une simplicité étonnante et efficace. Scan n'est pas une attaque en soit, mais... cela représente une approche et donc un risque potentiel Dans un souci de sécurité, il faut mieux que vous soyez le premier à effectuer ces tests, avant que des pirates avec des objectifs différents le fassent pour vous. Nessus : Nmap :Utilitaire libre d audits de sécurité et d exploration des réseaux :

29 Bibliographie

30 Questions