INTRUSION SUR INTERNET

Transcription

1 INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert Solutions, Sylvain Maret

2 Chapitres abordés Ethernet switching (attaques) Authentification Radius VLAN Nessus Audit avec Qualys Honeynet 1

3 Méthodologie : Théorie des attaques d un réseau switché Réalisation des attaques Analyse des attaques Analyse des systèmes attaqués Sécurisation du systèmes 2

4 Bref rappel : A A>B?B? A>B B A>B MAC Port A 4 C Cisco : CAM (Content-Adressable Memory) 3

5 Bref rappel : A B A<B B=8 A<B MAC Port A 4 B 8 C Cisco : CAM (Content-Adressable Memory) 3

6 Bref rappel : A B A>B A>B MAC Port A 4 B 8 C Cisco : CAM (Content-Adressable Memory) 3

7 Attaques : Switch MAC Flooding MAC Spoofing - Sniffing PC ARP Spoofing ARP Poisonning - Sniffing - Man in the middle 4

8 MAC Flooding (Démo 1): Client Serveur FTP req [V4] V18 IP : MAC: 00:01:02:0E:D8:F MAC Flood V4 IP : MAC: 00:50:04:00:49:89 MAC Port X 2 Y 2 Overflow Z 2 V1 IP : MAC: 00:50:04:00:33:E2 Pirate Utilisation de Macof fournit par Dsniff 2.2.4: V1 # macof 5

9 ARP Poisonning (Démo 2): Client Serveur FTP req [V4] V18 IP : MAC: 00:01:02:0E:D8:F5 4 ARP resp [V1,IP V4 ] ARP resp [V1, IP V18] 2 8 V4 IP : MAC: 00:50:04:00:49:89 C:\>ARP a V MAC 00:50:04:00:33:E2 Port V1 2 V4 8 C:\>ARP a :50:04:00:33:E2 V1 IP : MAC: 00:50:04:00:33:E2 Pirate Utilisation de Macof fournit par Dsniff 2.2.4: V1 # arpspoof i eth0 t V1 # arpspoof i eth0 t

10 Sécurisation : Postes Client Switch MAC address static IP machines du réseau mémorisé en statique Rafraîchissement Switchport Vlan Authentification 802.1X 7

11 Le VLAN (Virtual Local Area Network) est une extension du LAN permettant de définir des LANs de manière software sur un switch. Utilité : Sécuriser les LANs Interdire la communication inter-lan Meilleure gestion du réseau Séparation des domaines de diffusion 8

12 Configuration : Déclaration des VLANs dans le switch Déclaration des accès aux VLANs Serveur Réseau 100 BaseT Mode Duplex VLAN2 VLAN3 Switch Cisco Catalyst 2950 Serveur 2 5 V1 IP : MAC: 00:50:04:00:33:E2 3 4 V4 IP : MAC: 00:50:04:00:49:89 Client Client V2 IP : MAC: 00:50:04:00:4A:43 V18 IP : MAC: 00:01:02:0E:D8:F5 VLAN 2 VLAN 3 VLAN 1 est le VLAN par défaut chez Cisco Catalyst

13 Modes d accès : Par Ports Regroupement d un ou plusieurs ports pour former un VLAN. Catalyst 2950 Par MAC address Association d une ou plusieurs adresses MAC pour former un VLAN. Par la couche 3 On détermine l appartenance à un VLAN en fonction de l adresse IP ou en fonction du type de protocole utilisé. 10

14 Interconnexion de VLAN : V1 V1 (VLAN3) Switch 1 Switch 2 Serveur1 (VLAN3) TCP SYN TCP SYN + TAG TCP SYN Switch TCP SYN ACK TCP ACK TCP SYN ACK + TAG TCP ACK + TAG TCP SYN ACK TCP ACK Etage2 TRUNK 802.1Q Switch Information FTP Etage1 Serveur1 Engineering VLAN1 VLAN2 Marketing Accounting VLAN3 VLAN VLAN VLAN DA SA Type 802.1Q b7 2e e c MAC IP 11

15 Interconnexion de VLAN Indépendants : Par Bridge Par Routeur Client Switch Cisco Catalyst 2950 Serveur 4 2 V18 (VLAN 2) IP : MAC: 00:01:02:0E:D8:F VLAN 2 VLAN 3 V4 (VLAN 3) IP : MAC: 00:50:04:00:49:89 IP : SM : IP : SM : Réseau 100 BaseT Mode Duplex Routeur Lightning Ethernet II 12

16 Nessus est un scanner de failles, disponible en OpenSource. Descriptif : Teste divers appareils et systèmes (Windows, Unix, Linux, Routers, TCP/IP,etc ) Répertorie énormément de failles par défaut extensibles grâce aux Updates et par programmation de fichier NASL Possibilité de consulter les rapports des tests effectués ( Nessus, XML, HTML, TXT,... ) Possibilité de lancer un test d intrusion à distance grâce à une connexion securisée. Nessus est basé sur une architecture Client-Serveur Interface intuitive et très complète (Windows, Linux) 13

17 CLIENT GUI Nessus One Connexion Time Password + (one time password) 1 Echange certificat 2 Canal Secure Envoi des informations 3 Choix Options des tests 4 NessusD SERVEUR D A Programmes (Nmap) 6 5 TESTS Victime Commandes Rapports B DB Nessus C 7 CERTIFICAT RAPPORTS Informations cryptées 8 CERTIFICAT Script NASL 14

18 Topologie des tests (Demo 3): Switch Cisco Catalyst 2950 epc IP: Windows 2000 pro 1 8 Intranet Client Nessus V18 IP : Windows 2000 pro (config. standard) Client Nessus 2 4 DC1 IP : Windows 2000 server Réseau 100 BaseT Réseau 100 BaseT Mode Duplex Full Duplex Serveur Nessus V1 IP : Serveur W2K pro S1 IP : V4 IP : Windows 2000 server (config. standard) Windows 2000 server 15

19 Rapports : Statistiques Affichage des ports ouverts (contrôle avec Active port) Affichage des failles Affichage des solutions de protection 16

20 Projet pour l étude des tactiques d attaques sur divers réseaux et sur les failles matérielles Information : Réalisation du premier projet en 1999 Evolution du projet pour obtenir une Base de données Utilité : Mieux comprendre les attaques des pirates Vérification du matériel 17

21 Honeynet Topologie des tests: Honeynet Internet V1 IP : Serveur SysLOG IP :: HUB IP : V9 Firewall Checkpoint Administrative Network IP : V4 IP : Serveur Web / FTP IP : IP : Switch Cisco Catalyst 2950 V2 SNORT 4 Réseau 10 BaseT (Honeynet) Mode Half Duplex Réseau 100 BaseT (administrative network) Mode Full Duplex 22 3 Portable IP : Serveur SysLOG

22 Règles CheckPoint: 19

23 Difficultées de mise en oeuvre: Recherche de programmes performants Synchronisation des postes (NTP) Stabilisation et furtivité de Snort Win32 Compatibilité des nouvelles règles Snort 20

24 Demo 4 : Réalisation d une faille Remote Directory Transversal Visualisations des informations Syslog 21

25 QUESTION??? 22

26 MAC Flooding ARP Poisonning Nessus (FTP Anonym) Nessus (Active Port) DEMONSTRATIONS Honeynet 23