Projet de Réseau sur la sécurité des réseaux informatique : LES FIREWALLS

Transcription

1 Passebon Guillaume Rabouin Geoffroy GTR202 Projet de Réseau sur la sécurité des réseaux informatique : LES FIREWALLS I Présentation. 1/Pourquoi utiliser un firewall. 2/Objectif du firewall. 3/Fonctionnement du firewall. 4/Principale différence entre un FW et un routeur IP. II Les différents types de filtrage. III Mode d action des firewalls. IV Assainissement et protection du firewall. V- Trouver une victime. VI- Les risques, les attaques. 1- Le DoS, Denial of Service (déni de service) 2- Le Buffer Overflow 3- L'IP Spoofing 4- Le Social Engineering 5- Le cheval de troie VII- Guarddog. VIII- Sygate. IX- IPcop. X- Règles de base pour la sécurité du réseau. XI- Bibliographie. XII- Annexe, les ports du PC.

2 I Présentation. 1/Pourquoi utiliser un firewall. Beaucoup de surfeurs non avertis se baladent tranquillement sur le net sans firewall et sans appliquer les patchs de sécurité (qui fixent les failles), avec la douce impression - rassurante - que de toutes façons ils n'ont aucune raison d'être pris pour cible. Certains ont de plus ou moins bonne raison de croire à cette illusion : - je ne fréquente aucune communauté on-line (IRC, forums...) - les pirates/hackers ne s'en prennent qu'aux gros sites - ça ne m'est jamais arrivé depuis tout ce temps, alors pourquoi maintenant? C'est faux, et voilà pourquoi : 1. Fréquenter une communauté on-line (ça dépend desquelles), accentue seulement le risque d'être pris pour cible. Si vous êtes sur AOL et que vous ne faites absolument rien d'autre que lire vos s et lire les infos, le risque n'est pas de 0 bien au contraire. 2. On ne va pas faire une leçon de vocabulaire, mais les hackers/pirates sont TRES majoritairement composés d'une population d'adolescents pré pubères, d'une connerie remarquablement évoluée, qui passent leur temps à faire joujou avec de petits scripts/programmes plus ou moins efficaces, qui sont, pour la majeure partie de leur temps, à la recherche de machines vulnérables. Ce qu'on appelle plus ou moins les "vrais" hackers, sont souvent ceux qui sont passionnés par les réseaux et la découverte de nouvelles failles de sécurité (en anglais "exploits"), qui sont par conséquent relativement calés et doués dans ce domaine. Tous les "faux" hackers derrière n'ont pas un brin de talent, et ne font qu'exploiter les failles découvertes et redécouvertes, à l'aide de programmes à la portée de n'importe quel imbécile (interface graphique, manuel etc...) 3. Ne croyez pas qu'à chaque fois que vous êtes attaqué ou qu'un intrus accède partiellement ou totalement à votre machine, cela se traduise directement par des dégâts et hop, formatage et réinstallation de Windows, on n'en parle plus. En réalité, la plupart de ces pirates préfèrent jouer avec leur victime le plus longtemps possible. Certains sont très curieux et passeraient leur journée à observer ce que vous faites. D'autres peuvent vous jouer des petits tours qui provoqueront des erreurs par-ci par-là, ou modifier l'emplacement de certains dossiers, juste pour rigoler. D'autres se contenteront juste de vous faire ramer comme pas possible en floodant vos ports, ou de faire planter votre machine à distance. 2/Objectif du firewall. Les firewalls ont obtenu une grande renommée en matière de sécurité sur Internet. Ils ont deux objectifs : Protéger le réseau interne contre les tentatives d intrusion provenant de l extérieur. Limiter et vérifier les connexions provenant du réseau interne vers l extérieur. 3/Fonctionnement du firewall. Le principe du firewall est relativement simple. A l origine un firewall est un système comportant deux interfaces réseau. INTERNET Réseau interne que l on souhaite protéger Remarque : Il se peut que l isolement de la totalité du réseau ne soit pas nécessaire. A ce moment là le réseau à sécurisé est relié au sous réseau par un FW et le sous réseau est relié à Internet par un routeur. Dans ce cas la topologie ressemblerait plus à ça : INTERNET ROUTEUR Réseau où il y a les ordinateurs des secrétaires. Réseau interne que l on souhaite protéger contre les méchants! Pour la suite on prendra le premier cas, celui ou l on souhaite protéger tout le réseau local.

3 On a en fait une interface interne reliée au réseau local et une interface externe reliée à Internet. L'ordinateur firewall peut atteindre à la fois le réseau protégé et Internet. Le réseau protégé ne peut atteindre Internet et Internet ne peut toucher le réseau protégé. 4/Principale différence entre un FW et un routeur IP. Le routeur prend en charge les paquets jusqu'à la couche IP. Le routeur transmet chaque paquet en fonction de l adresse de destination du paquet et de la route vers la destination précisée dans la table de routage. Par contre le firewall ne transmet pas les paquets. Le pare feu accepte les paquets et les prend en charge jusqu'à la couche application. II Les différents types de filtrage. Dans le filtrage par adresses, le firewall ne vérifie que les adresses IP des requêtes extérieures en les comparant avec une base de données de permission. Ce filtrage à l'avantage d'être très rapide mais il reste vulnérable à certaines attaques comme le spoofing. Il suffit ainsi qu'un pirate fasse passer l'adresse IP de sa machine pour une adresse reconnue par le firewall pour qu'il puisse accéder à votre ordinateur. Par un filtrage par applications, le firewall vérifie que la présence de chaque paquet est légitime en surveillant l'activité de toutes les applications. Les attaques extérieures ne peuvent alors plus accéder à l'architecture du réseau local. L'inconvénient de cette méthode est qu'elle nécessite beaucoup de ressources systèmes. Dans le filtrage par paquets, le firewall soumet chaque paquet de données reçu à des critères bien précis. En fonction du paquet et des critères, le firewall peut jeter le paquet, le faire suivre ou le renvoyer à son expéditeur avec un message. Les critères peuvent inclure l'adresse IP source et de destination, le numéro de port source et de destination et le protocole utilisé. L'avantage de ce filtrage par paquet est qu'il n'a pratiquement aucun impact sur les performances du réseau. C'est ce filtrage que l'on retrouve dans la majorité des firewalls commerciaux. III Mode d action des firewalls. Le but de la manoeuvre est de fermer tous les ports puis de contrôler l'ouverture de certains d'entre eux ainsi que de contrôler les tâches et protocoles qui s'en servent. Pour se protéger, une seule solution : le firewall qui, entre autres choses, va fermer toutes les portes (port). Attention - n'installer qu'un seul firewall et ne l'installer qu'après avoir supprimé les trojans (surtout ceux de type backdoor). Pour les entreprises nécessitant un très haut degré de sécurité, ces firewalls logiciels pour particuliers ou petites entreprises ne sont pas adaptés et il faut passer par des solutions matériels quelquefois extrêmement onéreuses. On sait que les différentes applications utilisent pour «sortir» vers l extérieur des ports, ils sont , les principaux (ceux utilisés le plus souvent) ont un numéro inférieur à 1024, (pour avoir la liste des ports et de leurs fonctions, voir l annexe). Généralement, les ports inférieurs à 1024 sont utilisés pour les fonctions serveurs et les autres pour les fonctions clients. Tous ces autres ports devraient être fermés. Windows les laisse tous ouverts. Si un programme, couramment appelé un cheval de Troie (troyen), s'installe et se met à l'écoute sur un de ces ports, son commanditaire, le pirate, peut prendre le contrôle de l'ordinateur et y effectuer ce qu'il veut. IV Assainissement et protection du firewall. Vous l avez compris, quand on veut attaquer un système qui possède un FW il y a pas 36 façons il faut attaquer le firewall. Alors reste plus qu à trouver les points faibles et donc il faut vérifier la protection de cette machine. On va maintenant voir comment on assassine un firewall sous Linux. Premièrement, regardez le fichier /etc/inet.conf. Ce fichier est ce qu'on appelle un "super serveur". Il lance un tas de démons serveurs sur demande. Il contient la liste des services offerts. Il faut enlever tous les services qui ne sont pas parfaitement obligatoire comme NIS, NFS, rsh, rcp, netstat, systat, tftp, bootp et finger... Note qui peut faire gagner du temps : Il n'est pas nécessaire de tout désactiver. Pour désactiver un service, placez simplement un # devant. Ensuite envoyez un signal SIG-HUP au processus inetd, selon la syntaxe suivante : kill -HUP <pid>, ou pid est le numéro du processus inetd. (Pour avoir le PID faites ps -uax grep inetd). Cela force inetd à relire son fichier de configuration (inetd.conf) et à se relancer. Petite astuce bien connue des hackers : Si TFTP est ouvert, tentez le coup, ce protocole permet de transférer des fichiers comme ftp mais s appui sur le protocole UDP. Il est donc moins sur et ne peut servir que pour les fichiers de petite taille. Mais surtout il ne demande pas de MOT DE PASSE et DE COMPTE UTILISATEUR! Donc tout utilisateur qui a accès au port 69 à également accès à tous les fichiers lisibles par le démon correspondant.

4 Il y a peut être de bonnes infos à prendre. Tentez ça : evil % tftp tftp> connect victim.com tftp> get /etc/passwd /tmp/passwd.victim tftp> quit Pour la sécurité Il faut bien évidemment supprimer tous les comptes utilisateurs inutiles. Il faut aussi supprimer tous les package installés qui n ont rien à faire sur un firewall comme X window, les services NFS et Samba, les jeux V- Trouver une victime. Les pirates ont tous un arsenal assez varié de scanners qui permettent de trouver des PC vulnérables, sans même connaître votre IP. Un scanner est un software qui permet de scanner un grand nombre d'ips relativement vite, à la recherche de ports qui répondent. Votre PC communique grâce à différents protocoles de communication (TCP, UDP, ICMP...) qui utilisent des ports. Tout cela fonctionne à merveille SEULEMENT dans la théorie, car les protocoles utilisés ne sont pas adaptés aux grands réseaux comme internet (ils n'ont pas été conçu dans cette optique). Cela explique que très vite, de nombreuses et importantes failles de sécurité ont été trouvées et exploitées. Certains ports qui ont des tâches bien spécifiques ne sont pas réellement vulnérables, mais d'autres le sont beaucoup plus. Comment cela se passe t'il réellement? En fait, le pirate de base passe son temps à scanner un grand nombre d'ips (par exemple, de l'ip xxx.xxx à l'ip xxx.xxx. Pour la plupart de ces IPs, le scanner ne trouvera aucun PC car elles ne sont pas utilisées, mais : admettons que votre IP soit Et bien, vous passerez forcément au scanner comme tous les autres. Voilà comment cela se passe alors : le scanner interroge les ports de votre machine. On peut imaginer que les ports se comportent comme des portes qui ne s ouvrent qu avec les bonnes clés. Il faut imaginer que l'intrus potentiel ne peut pas savoir directement (puisqu'il scanne un grand nombre d'ips), s'il y a un PC connecté derrière ou pas. Il frappe donc à toutes les portes, et voilà ce qu'il se passe : a - Il n'y a aucun PC connecté avec cette IP : *toc toc* aucune réponse. Le scanner passe son chemin. b - Il y a un PC connecté avec cette IP, la porte est fermée : *toc toc* "je suis là mais la porte est fermée désolé". c - Il y a un PC connecté avec cette IP, la porte est ouverte : *toc toc* "entrez donc je vous en prie, un petit café?". Si vous n'avez pas de firewall, dans tous les cas, la meilleure réponse que puisse donner votre PC au scanner, c'est "je suis présent sur le réseau, mais la porte est fermée". Avec cette information, le pirate peut alors effectuer un scan beaucoup plus complet et précis sur votre IP, pour vérifier si vous avez des failles, des portes ouvertes etc... Si vous avez n'importe quel Windows, et que vous n'avez rien configuré pour vous connecter à Internet, votre PC est un gruyère. Windows a beaucoup de services activés par défaut (parfois inutiles, mais surtout dangereux), qui passent leur temps à "écouter". Si on leur envoie le bon signal, ils répondent, et la connexion est créée, par exemple la faille UPnP sur Windows XP qui permet à peu près autant de possibilités que la faille du NetBios archi exploitée (qui permet à n'importe qui de se connecter à votre PC avec le même pouvoir que s'il était dessus réellement. Un firewall bien configuré est intéressant car si un scanner vient frapper à votre porte : d - PC connecté, muni d'un firewall bien configuré : *toc toc* aucune réponse. Ainsi, la QUASI totalité des pirates du dimanche se casseront les dents sur votre IP, car le scanner aura déduit qu'aucune machine n'est connectée sur votre IP. C'est comme si vous étiez invisible. Cela élimine déjà TOUS les pirates du dimanche anonymes qui passent leur temps à scanner internet. Cela veut dire que si quelqu'un veut réellement s'en prendre à vous, il faudra : 1 - qu'il connaisse votre IP d'une manière ou d'une autre (IRC etc...) 2 - qu'il soit un véritable hacker / expert pour passer par votre firewall bien configuré, et les chances sont ici très faibles (il y en a, mais ils ne sont en général par réellement intéressés par votre PC). S'il s'agit d'un pirate du dimanche, il n'arrivera à RIEN de toutes façons. 3 - en général c'est très dissuasif et ils essayeront de trouver un autre PC vulnérable, ailleurs, beaucoup plus facile à infiltrer/exploiter. VI- Les risques, les attaques. 1- Le DoS, Denial of Service (déni de service), dans ce type d attaque le premier but est d empêcher la machine cible d exécuter ce pour quoi elle est prévue, si c est est un serveur web, il ne pourra plus fournir les pages web demandées. Il y a au moins deux types d attaques par DoS, le déni de service par consommation de bande passante (Denial of service attacks via Bandwidth Consumption) et le déni de service par la consommation d une autre ressource.

5 Déni de service par consommation de Bande-Passsante : Le flooding (envoi beaucoup de données) d un réseau peut agir sur des équipement de réseau tel que des switchs et des hubs de façon à affecter la vitesse ou le succès du routage du trafic. En résumé, toute la bande passante est consommée pour la réception de l attaque, et non plus pour le trafic normal. Généralement un réseau est inondé par des paquets d'icmp ECHO pour essayer de consommer toute la largeur de bande disponible. Dans la pratique ce peut être n'importe quel type de paquet. De nos jours un attaquant ne peut pas simplement utiliser un ordinateur pour assurer une attaque de la mode ci-dessus. La raison de cela est qu une simple machine ne peut pas créer assez de demandes pour saturer l'équipement de réseau, par conséquent il est nécessaire qu un attaquant coordonne plusieurs ordinateurs pour inonder une victime. Comment les ordinateurs sont-ils victimes? Simple, par virus/worms qui répandent le virus aux millions d'ordinateurs. Une fois que le virus "est installée" sur un ordinateur il peut être dirigé par l'attaquant pour attaquer des victimes serveur. Déni de service par la consommation d une autre ressource : On peut saturer un serveur par une trop grosse demande de requête sur celui-ci (courrier ou impression), ainsi, on rejettera les demandes légitimes. Les sites Web peuvent tomber parce qu'un attaquant crée une grande quantité de demandes au serveur mail HTTP (SMTP/POP etc..). Cela veut dire envoyer des centaines et des milliers d' faux dans une quantité de temps très courte. Dans un bureau vos capacités d'impression peuvent être détruites par un ouvrier malveillant qui cause une attaque en envoyant plusieurs grands tirages ou des tirages corrompus qui peuvent planter l'imprimante. Les attaquants peuvent tirer profit des bogues dans le logiciel qui peut faire augmenter considérablement l'utilisation de CPU/mémoire pour refuser l accès non seulement au service visé mais à tous les services offerts par cette machine. Un firewall peut arrêter un nombre limité d'attaques de DoS, il peut également filtrer des attaques visant le logiciel d'exploitation ou des applications. Les firewalls de votre ordinateur familial ne peuvent généralement pas se protéger contre le flooding. Votre ligne sera pour un temps inondée. Cependant un firewall peut réduire le flux en bloquant vos réponses à l attaquant. 2- Le Buffer Overflow arrive à chaque fois qu un programme écrit plus d information dans le buffer que ne lui autorise la mémoire. Ceci permet à un attaquant d écraser les données qui commandent l'exécution du programme afin d exécuter le code de l'attaquant à la place du code normal du processus. Ce qui cause le buffer overflow n'est rien qu un problème de vulnérabilité provoqué par les programmeurs négligents, les programmes écrits en langage C, où il est plus important d être efficace que sécurisé, sont les plus susceptibles à recevoir ce type d'attaque, celle-ci exploite un bug du logiciel. 3- L'IP Spoofing est une technique largement utilisée dans de nombreux types d'attaques. Du fait de la possibilité de créer des paquets bruts à l'aide de la programmation RAW SOCKET, il est possible d'envoyer des paquets avec une fausse adresse IP de source. 1. ICMP Spoofing. L'ICMP Spoofing est très certainement le plus répandu car c'est le plus facile à mettre en oeuvre. Il est très utilisé dans les attaques de type DoS. En effet, les DoS consistent à déconnecter (ou molester) donc il est préférable de les lancer avec une fausse IP de source de manière à ne pas se faire repérer. Mais il y a d autres utilisations plus intelligentes de l'icmp Spoofing. Un exemple d'une telle attaque est l'envoie massif de paquets ICMP type 3 (Destination Unreachable) vers un host donné. Si par exemple on sait que ce host est connecté à un serveur et qu'on a l'ip du serveur et bien il suffit d'envoyer une multitude de paquets ICMP type 3 avec une adresse de source correspondant à l'ip du serveur auquel est connecté l'host en question. Celui-ci va penser que les paquets proviennent effectivement du serveur et qu'il ne peut pas l'atteindre et donc il va déconnecté spontanément. Une autre utilisation possible est très bien représentée par le très célèbre Smurf. Il suffit d'envoyer un paquet ICMP type 8 (Echo request) vers un serveur Broadcast pour que celui-ci transfert le paquet à toutes les machines de son sous réseau. A la réception de ce paquet les machines vont répondre par un ICMP type 0 (Echo Reply) à la machine qui avait envoyé le request. De ce fait si l'on envoie un paquet ICMP type 8 avec une fausse IP de source à un broadcast, tous les Reply vont être envoyer vers cette fausse IP. Donc si l'on envoie beaucoup de paquets a beaucoup de broadcast et bien la machine dont on a mis l'ip en adresse source risque fort d'être déconnectée. Enfin le dernier type d'attaque et certainement le meilleur est l'utilisation du ICMP type 5 (Redirect). Ce message est généralement envoyé par un routeur à un host pour lui préciser qu'il devrait l'utiliser, car la route est plus rapide. Il suffit donc en théorie d'envoyer un paquet ICMP type 5 à un host avec une IP de source correspond à notre IP et ainsi l'host va dévier sa route pour passer par notre PC en pensant que c'est un routeur.

6 A ce moment là tout le jeu consiste à émuler le fonctionnement d'un routeur, c'est à dire router les paquets vers leur destination et bien sur au passage on les écoute. On peut donc soit recueillir des informations importantes, soit récupérer des numéros de séquences afin de lancer une attaque de type TCP Hijack, procédé qui s'apparente au TCP spoofing et qui consiste en fait à prendre la place de l'host sur la connexion qu'il a avec un serveur. 2. UDP Spoofing. Si l'on envoie un paquet à un serveur qui fonctionne avec le protocole UDP, celui-ci traite le paquet directement. Il n'y a aucunement besoin de satisfaire le processus de connection en 3 étapes nécessaire sous TCP. De ce fait, il est très simple d'envoyer des paquets UDP spoofés. Un service qui fonctionne sous UDP est le service Talk qui permet à un utilisateur de discuter avec un autre utilisateur. Si l'on Spoof son IP en prenant celle d'un autre utilisateur on pourra se faire passer pour celui-ci sur le service Talk. Et c'est ainsi qu'on peut obtenir des informations importantes en utilisant le Social Engineering. 3. TCP Spoofing. Sans doute la meilleure mais aussi la plus difficile a mettre en place, le TCP Spoofing permet de cacher son IP sur la plupart des services (Telnet, Ftp, Smtp,...) utilisés sur les réseaux TCP/IP notamment l'internet. Le problème avec le TCP Spoofing provient du fait que ce protocole fonctionne en mode connecté. De ce fait il est nécessaire d établir une connection. En effet lorsque l'on envoie notre Syn avec une fausse IP, le serveur renvoie le Ack/Syn vers la fausse IP. Tout le problème consiste donc a connaitre la valeur de l'isn (Initial Sequence number) envoyé par le serveur et ici deux cas se présentent : - vous êtes sur un LAN (réseau local) et vous essayez de vous faire passer aux yeux du serveur pour une autre machine. Dans ce cas la manipulation est assez simple. Vous envoyez votre Syn avec la fausse IP (qui est celle d'une autre machine sur le réseau) le serveur envoie le Ack/Syn vers cette fausse IP mais la vous avez lancé un sniffer qui va récupérer le Ack/Syn au passage et donc vous avez la valeur de l'isn du serveur. Il ne vous reste plus qu à renvoyer le Ack correspondant (toujours avec la fausse IP) et la connection est établie. Cependant encore une fois ce n'est pas aussi simple car la machine dont vous essayez de spoofer l'ip va aussi recevoir le Ack/Syn du serveur mais puisqu'elle n'a pas envoyé de Syn elle va automatiquement envoyé un Rst au serveur ce qui aura pour but de fermer la connexion. Pour que ce phénomène ne se produise pas il y 2 possibilités: soit l'on déconnecte la machine du réseau physiquement, soit on utilise une attaque de type DoS de manière à prendre toute la bande passante de la machine dont on veut prendre l'ip et ainsi l'empêcher d'envoyer le Rst ou même l'empêcher de recevoir le Syn/Ack. Cette méthode est très utile quand on l'utilise sur des services de type rlogin par exemple. - vous êtes sur Internet et vous souhaitez avoir une IP quelconque pour vous connecter a un serveur qui utilise TCP. Et bien là les choses se compliquent pour récupérer le Ack/Syn du serveur, si vous avez accès au réseau local du serveur (routeur compromis) la technique est identique à celle utilisée sur un LAN, vous sniffez le Ack/Syn au niveau du routeur. Si par contre vous n'avez accès à rien et bien la seule solution est de prédire l'isn que va envoyer le serveur de manière à acquitter le serveur. Les ISN sont gérés 'aléatoirement' mais comme rien n'est vraiment aléatoire en informatique il est possible de prédire l'isn qui va être envoyé à partir de valeurs d'isn envoyés précédemment. De manière à étudier l'évolution des ISN en fonction du temps notamment, il faudra récupérer plusieurs ISN et essayer d'établir des corrélations avec le temps et le nombre de connections à l'aide de régressions (linéaires, exponentielles...) et aussi vérifier l'algorithme de génération des ISN dans la pile TCP/IP de l'os en question. Bref c'est loin d'être facile surtout sur des systèmes de type *nix qui nous renvoient souvent des Difficulty= lorsque l'on scan avec Nmap. Ce nombre correspond à la difficulté de la prédiction de séquence. Mais, vous avez certainement remarqué que les OS Microsoft renvoyaient des valeurs comprises en 1 et 50 pour la plupart du temps (avec une petite remarque précisant que la génération des numéros de séquence dépend implicitement du temps). Il est donc assez facile de prédire l'isn sur de tels systèmes. Le TCP Spoofing a été le plus largement utilisé avec le service Rlogin. Ce service permet de se connecter à un serveur comme avec un Telnet, mais à ceci près que l'authentification se fait par l'ip et non par la combinaison login/pass. Si l'on spoofe l'ip de quelqu'un autorisé à se connecter au serveur en rlogin et bien on pourra se connecter sans aucun problème et obtenir un shell. 4- Le Social Engineering, plus communément appelé SE est une technique qui permet d obtenir des informations confidentielles, sans que l entreprise / team / personne / autre visée ne le remarque. La faille utilisée par cette technique est le facteur humain. Dans ce type d attaque, il n y a pas besoin d avoir de grandes connaissances en informatique pour réussir, il suffit d avoir de bonnes capacités de communication, un raisonnement logique et rapide, et une mémoire plutôt bonne. En quelques coups de fil, avec cette technique, un manipulateur expérimenté, peut obtenir des mots de passe administrateur, des accès physiques ou logiques à des serveurs cruciaux d une entreprise. Le plus dangereux dans une attaque par SE est le fait que l entreprise visée ne sait pas qu elle subit une attaque, de plus, il ne reste que très rarement des traces physiques ou logiques.

7 Dans une attaque d entreprise, l attaquant utilisera le plus souvent le téléphone, mais utilisera aussi les s, le courrier, le fax, les chats, les forums, et autre, mais ne se déplacera quasiment jamais en personne dans l entreprise, le risque est trop grand. Tous les autres moyens de communications sont bons. Mais le téléphone reste le meilleur, car il peut sentir l hésitation de l interlocuteur, et peut ajouter une information qui fera changer d avis l interlocuteur, et lui fera répondre à sa demande. Comment déjouer une attaque : - Vérifier les informations avancées par l interlocuteur, quand celui-ci demande des accès spéciaux. - Ne pas se porter garant de quelqu un que l on ne connaît pas. - Ne jamais partager de code de sécurité, car cela viole les règles de l entreprise, et si elles ont été mises en place, ce n est pas pour rien! - Mettre au courant votre entourage de ce genre de problème (entreprise, team, et autre). - Mettre au courant vos connaissances si vous avez décelé une attaque de type SE, pour qu ils prennent aussi garde. - Garder pour soi les informations qui n ont pas besoin d être divulguées, comme un numéro interne, une adresse mail privée, et autre. En gros ces règles ce résument en une seule, rarement appliquée : une information confidentielle EST confidentielle, il ne faut donc pas la partager! Pour quelque raison que ce soit, une information confidentielle ne doit pas être partagée. Il ne faut pas juste se méfier de l informatique, l Homme est aussi capable de fournir les pass de connections et les différents codes des systèmes de sécurité de l entreprises, et dans ce cas là, les firewalls ne servent plus à rien 5- Le cheval de troie est un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une légende narrée dans l'iliade (Homère) à propos du siège de la ville de Troie par les Grecs. La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège. Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée... Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie. Le trojan est composé de 2 parties, le client est utilisé par le pirate et le serveur doit être exécuté sur la machine victime. Un peu comme le virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain. Un cheval de Troie peut par exemple voler des mots de passe copier des données sensibles exécuter tout autre action nuisible... Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à l intention des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de back orifice. A l origine, les trojans étaient utilisés par les hackers une fois qu ils étaient entrés dans un système pour ne pas avoir à recasser toutes les protections, mais maintenant, la plupart des «lamerz», ceux qui croient tout connaître parce qu ils ont réussi à configurer un trojan ou ont lus des cours sur le réseau, utilisent les trojans pour infecter des ordinateurs (écoles, amis, proches, ) De nombreux troyens existent : Subseven, donalddick, beast, optix pro, Y3T, MiniMo Il existe plusieurs méthodes pour «cacher» le troyen : _ la méthode classique consiste à simuler un message d erreur lors de son lancement, afin de ne pas inquiéter la victime. _ une autre méthode consiste à «binder» le trojan avec un autre fichier exécutable, le trojan s exécutera en arrière plan, et l autre application se lancera, la victime ne remarquera pas que son PC lance 2 processus. _ On peut également changer l icône du serveur, la victime ne s inquiètera pas en voyant une icône de fichier texte ou d image, c est pourquoi de plus en plus de personnes choisissent d afficher les extensions des fichiers.

8 _ On peut également jumeler le serveur avec un fichier quelconque, un fichier texte peut très bien renfermer du code, de même pour un fichier.jpg ou.bmp qui ne devrait contenir que de l image Et cela va tromper la victime qui verra la bonne extension pour son fichier. VII- Guarddog. Guarddog est une interface graphique permettant de configurer simplement iptables, qui est le firewall conseillé pour la protection de votre système Unix si vous tournez sur un noyau 2.4 ou 2.6, soit la majorité des systèmes Linux récent, si cela n est pas votre cas, pensez à vous procurez la dernière version de votre OS, ou adoptez ipchain. Guarddog vous permet d éviter de devoir configurer iptables avec les scripts qui sont relativement complexes pour les débutants (et même pour les autres). Nous allons maintenant nous intéresser à la configuration de ce dernier, après l avoir installer (le site officiel fourni les rpm, il n y a pas de problèmes d installation spécifique). Lancement de la configuration du logiciel: Il vous est alors demandé d'entrer le mot de passe root. Lorsque c'est fait, le logiciel prévient qu'il n'a pas trouvé le fichier de configuration. C'est normal. Donc, validez ce message. Vous obtenez alors cette interface: Cliquez sur l'onglet "Protocol", puis dans "defined zones" sur ""internet"

9 La zone "internet" Elle sert à configurer votre PC pour accéder à des services disponibles sur le Web. Cette zone sert à déterminer les protocoles qui seront accessibles à votre machine. Par exemple, si vous désirez surfer sur le web, recevoir ou envoyer des s, c'est ici qu'il faut le préciser. Dans "zone properties" apparaissent les différents protocoles disponibles : * Si vous laissez par exemple "HTTP" vide, vous ne pourrez pas surfer en http. De plus, aucun code d'erreur ICMP n'est émis par le firewall, les paquets sont simplement "jetés", silencieusement. * Si vous le cochez, vous pouvez utiliser ce protocole. La croix interdit aussi le protocole, mais le firewall émet un code ICMP pour signifier le refus à l'application demandeuse. Dans la pratique, les paquets ICMP servent à signaler l'état du réseau. Par exemple, pour signaler qu'un port est inaccessible ou pour faire un ping. Ces paquets étant utiles pour certaines attaques, ou pour le scan de ports, il est préférable de ne pas les autoriser dans la zone 'local' si vous n'avez pas une bonne raison de le faire. Si cela vous paraît compliqué, contentez vous de laisser vierges les cases des protocoles à interdire plutôt que d'utiliser les croix. Parmi les protocoles prédéfinis, sont souvent nécessaires: Pour surfer: http, https et DNS Pour faire du transfert de fichiers sur votre site : ftp

10 Pour chatter: ICQ, IRC, MSN, les plus utilisés. Pour identifier vos CD audio : CCDB Pour vos s: smtp et pop3 Pour lire les news: nntp Pour utiliser le plugin Real Player: real audio. Notez bien si vous êtes un habitué des firewalls compatibles Windows qu'ici, il ne s'agit pas d'un filtre applicatif, seul le protocole et le numéro de port sont vérifiés. Quand on coche "http", cela signifie que l'on peut "sortir" sur le port TCP 80, mais le firewall ne vérifie pas que c'est le navigateur qui utilise ce port. Une fois les protocoles choisis ont été sélectionnés, vous pouvez cliquer sur OK ou Apply pour appliquer les changements. A ce moment là, Guarddog configure iptables en fonction de vos choix. La zone "local" Elle sert à configurer votre PC pour fournir des services sur le Web à d'autres PC. Votre PC est ici autorisé à devenir serveur pour d'autres PC sur le Web. Ici donc, votre PC va être autorisé à fournir tel ou tel service à l'extérieur.

11 Le fonctionnement est exactement le même que dans la zone "internet", il faut seulement savoir qu'au lieu d'accéder à des services, ici, on fournit un service, comme un serveur de mails par exemple. Les règles de filtrage personnalisées Vous avez la possibilité de spécifier vous même un protocole dans l'onglet "Advanced". Cela permet d'utiliser des applications internet utilisant un autre port que ceux qui sont déjà spécifiés. En cliquant sur le bouton "New Protocol", vous créez le protocole. La case "Name" en bas permet de le nommer, la case "Type" permet de spécifier si vous désirez utiliser un port TCP ou UDP. La case "Port" permet de spécifier le numéro du port. Le nouveau protocole sera alors disponible dans l'onglet "Protocol", à la rubrique "User defined.

12 VIII- Sygate. 1-Installation et premier contact Lancez l installation. Une fois celle-ci achevée, vous devez redémarrez votre ordinateur. Quand vous aurez redémarré, le firewall se lancera automatiquement une première fois en vous demandant de remplir cette fiche d'informations. Vous enregistrez votre code avec Register Now ou vous lancez Try No, selon si vous avez acheté ou non le logiciel, Try Now vous permet donc d'utiliser ce firewall durant une période d'essai de 30 jours.

13 Une fois lancé, son icône apparaît dans la barre système. Un clic droit sur l'icône vous donnera un accès direct à l'interface graphique, sélectionnez Sygate Personal Firewall Pro Trois parties sont importantes : le moniteur des entrées-sorties en haut à gauche, le moniteur des attaques juste à droite et les applications reconnues par le firewall dans la fenêtre du bas.

14 Trafic entrant mesuré en octets (ici, trois paquets d'une cinquantaine d'octets chacun viennent d'entrer) Trafic sortant (un paquet d'environ 50 octets vient de sortir) La partie Applications montre celles actuellement en activité. Le point d'interrogation signifie que chaque fois que cette application sollicitera un port de sortie, le système vous demandera l'autorisation. Si le point d'interrogation est absent, c'est que vous avez donné l'autorisation à l'application en question de communiquer avec l'extérieur en permanence sans vous demander quoi que ce soit. -Hide Broadcast Traffic : cache, ou non, sur le graphe au-dessus les paquets sortants qui sont de type broadcast. -Hide Windows Services : cache, ou non, dans la fenêtre Applications ci-dessus les processus de Windows qui fonctionnent en permanence. Connectez vous à internet, et là, lancez une application qui nécessite de sortir sur ce dernier, par exemple, Internet Explorer, l écran suivant apparaît : Pour éviter d'être sans cesse interrompu, autorisez votre navigateur à communiquer en permanence avec l'extérieur. Pour toutes les autres applications, je vous laisse user de plus de prudence. Désormais, le navigateur est un privilégié à côté des autres applications si vous observez la fenêtre des applications:

15 2- L interface La barre d'outils du firewall Sygate Pro vous donne accès rapidement à diverses fonctionnalités, mais celle qui nous intéresse en premier lieu est la journalisation. 4 journaux sont proposés : Security Log... Affiche, quand il y en a, les communications indésirables bloquées par votre firewall. Traffic log... Rassemble l'ensemble des données qui circulent et identifie l'adresse des ordinateurs distants (ainsi que le port emprunté et parfois l'application sollicitée). Packet Log... Vous propose, quand vous l'avez activé, d'interpréter chaque paquet voulu. Pour l'activer pour toute communication, menu Tools > Options... > onglet Logs. Vous pouvez également l'activer pour une application seulement ou pour un protocole. System Log... Notifie sommairement les évènements concernant la configuration du firewall. Observons le journal de trafic pour savoir qui communique avec qui et selon quel protocole. Dans la console qui s'ouvre, repérez vite ces symboles pour identifier la nature des communications entrantes (flèche de gauche à droite) et sortantes (flèches de droite à gauche). et Vous aurez deviné les paquets entrants et sortants bloqués ou non. Par exemple, vous pourrez voir que votre ordinateur a envoyé une requête à geeksasylum.fr.st. L'application (votre navigateur internet) n'a pas eu besoin de vous demander l'autorisation d'envoyer cette requête puisque nous lui avons donné une permission permanente (que nous pourrions enlever à tout moment). L'adresse de votre ordinateur au moment de cet échange dans Source IP et l'adresse ou le nom du site demandé Un petit plus du journal de trafic, faites un clic droit sur n'importe quelle adresse d'un ordinateur qui souhaitait entrer en relation avec votre PC: BackTrace... va vous renseigner sur la région d'origine...

16 Quand l'info ne suffit pas dans le tableau du haut, insistez en utilisant le service Whois <<. Dans cet exemple, c'est un internaute ADSL de la région de Reims, son FAI est Wanadoo. 3- Les règles Parmi les premières manipulations que vous aurez à faire pour ne pas être bloqué dans la navigation, c'est concevoir une règle avancée. Rendez-vous dans le menu Tools et sélectionnez Advanced Rules...: Dans la console vide des règles, repérez le bouton Renseignez le premier onglet comme ceci (donnez juste un nom à la règle, laissez les autres paramètres par défaut pour notre manipulation).

17 Toutes les cartes réseaux vont être concernées (par défaut)... Pour l'onglet suivant (Hosts), vous avez le choix entre: -autoriser tous les sites FTP (All addresses) -désigner dans le champ IP Addresses les adresses de vos serveurs FTP connus (pour exemple, l'adresse du serveur FTP de Free): Au choix: toutes les adresses ou certaines en particulier...

18 A l'onglet Ports and Protocols, sélectionnez dans la première liste déroulante TCP. Vous pourrez alors sélectionner ensuite le port distant FTP: Laissez surtout le champ Local vierge car les ports utilisés dans le sens entrant sont aléatoires. Laissez Traffic Direction sur Both pour indiquer un échange bidirectionnel. Les autres onglets sont optionnels pour d'autres paramètres plus précis. Scheduling permet de programmer dans le temps cette règle, et Applications désigne quelles applications seront concernées exclusivement par cette règle (quand aucune n'est désignée, elles sont alors toutes concernées). Dès la validation avec OK, cette règle sera aussitôt appliquée. Si votre navigateur Internet demande un serveur FTP, il demandera l'aide du service Application Layer Gateway Service (alg.exe) pour envoyer une requête via le port 21 au serveur choisi. Mais celui-ci, pour vous répondre en vous envoyant via le port 20 une liste du contenu d'un répertoire, se verra refuser l'accès par votre firewall. Vous pouvez vous servir de cette manipulation comme base pour concevoir d'autres règles avancées (pour votre logiciel de chat ou pour restreindre à certaines adresses seulement le port SMTP, etc...).

19 3- Les options générales Revenez à l'interface principale pour choisir dans le menu Tools les Options... Laissez évidemment Automatically load Sygate... coché pour permettre au firewall de démarrer en même temps que l'ordinateur. Ne cochez pas Block Network... screensaver mode pour ne pas bloquer votre firewall quand votre écran est en veille. A vous de choisir si vous voulez laissez apparaître dans des petites fenêtre pop up les messages concernant les intrusion (Hide notification messages). Enfin, mettre un mot de passe sur son firewall est une protection recommandée (Set Password). En cochant ensuite Ask password while exiting, vous éviterez qu'un individu vienne arrêter le firewall car il lui manquera ce mot de passe.

20 Si vous décochez Allow to browse Network..., alors vous ne verrez plus, depuis l'ordinateur hébergeant ce firewall, votre propre réseau. C'est envisageable si cette machine est dans une zone DMZ (démilitarisée), caractéristique des réseaux d'entreprise, à vous de voir si vous avez souvent besoin d'observer votre réseau depuis ce poste dédié à la protection.