Sécurisation en réseau

Transcription

1 Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la table des demi-états Filtrage par l adresse source? Pas possible : l attaquant va la forger Pas de filtrage aux frontières Réponse : les syn cookies Permet de ne pas avoir à stocker toutes les demandes Déni de services par force brute Saturation des liens de communication Par un miroir amplificateur (smurfing) Envoi d un paquet ICMP Echo Request forgé (@src vers l adresse de diffusion d un réseau (ex : a.b.c.255) Permet de multiplier les paquets vers la victime Par un réseau de machines attaquant Protection : distribution et redondance Ça coûte cher! Comment lancer une grande attaque? Utilisation d un réseau de machines que l attaquant contrôle Généralement à l insu de son propriétaire But : saturer les liens réseau Les difficultés pour l attaquant Contrôler un grand nombre de machines Réparti sur de nombreux réseaux physiques Coordonner les attaques Ne pas se faire filtrer en amont de la cible Diversifier les adresses source

2 Les solutions trouvées par les attaquants (1) Coordonner les attaques Approche centralisée Utilisation de serveurs dédiés Utilisation de serveurs IRC existants Passage à l échelle? Approche distribuée Réseau pair-à-pair Trafic chiffré Affaiblit le réseau car le rend plus perméable Les solutions trouvées par les attaquants (2) Contrôler un grand nombre de machines Utilisation de failles logicielles Attaques automatiques Protection assez facile Exploitation de la naïveté du propriétaire Par mail Par pop-up Non ciblé => bonne répartition des machines sur le réseau Les solutions trouvées par les attaquants (3) Ne pas se faire filtrer en amont Utiliser des adresses source aléatoires Forgeage des paquets Utiliser des miroirs SYN ACK vers des noeuds centraux avec comme adresse source la cible But : brouiller le trafic légitime avec du faux trafic Jusqu à 40Goctets/secondes Suffisamment pour faire peur aux réseaux Tier-1 Conclusion sur les DDoS Menace réelle Inquiète même le coeur des réseaux Utilisés par les réseaux du crime organisé Extorsion de fonds Peu de solutions pratiques Seule une réponse concertée peut avoir du sens

3 Sécurité au niveau réseau Le nerf de la guerre : les botnets Outil de base des malfaiteurs Constitué de machines contrôlés à distance à l insu de leur propriétaire : zombies ou bots De quelques dizaines à quelques millions Utilisations principales Envoi de spam Ddos Plus rarement : hébergement de sites Business model : la location Prix de la location (il y a 2 ans) : 2000$/20000 zombies/1 heure Les botnets célèbres Les botnets célèbres (2) Storm Assez ancien mais toujours en activité A culminé à quelques millions de noeuds Maintenant quelques dizaines de milliers Attaque par mails infectés Cartes postales du nouvel an, actualités, etc. Synchronisation par protocole P2P chiffré propriétaire Commandes et mises à jour Force et faiblesse Torpig/Sinowal Utilisé pour voler plus de coordonnées bancaires 60 variantes différentes chaque mois Se propage en utilisant des vulnérabilités Srizbi zombies Rustock Pushdo

4 Que faire contre les botnets? Coup d arrêt au spam Mieux protéger les clients Diminuer le nombre de zombies Couper la tête Supprimer la connectivité des chefs RBN il y a deux ans McColo l année dernière Simple à faire lorsque bien identifié Risque d éparpiller la direction des bots Sources du spam par botnet Source : Intrusion distante utilisant un réseau local Sniffage pour la compromission de l authentification par mot de passe Difficile si le réseau est switché ARP cache poisoning possible DNS aussi Le wifi est un danger Attention en mobilité! Le wifi est bien entendu non sur Les connexions filaires des lieux publics non plus! Toutes les authentifications sont chiffrées!

5 Attaque ciblée non automatique Schéma classique d une attaque par les services L attaquant met du temps et des moyens Les différentes étapes 1. Cartographie de la cible Trouver comment est structuré le réseau Outils : ping, traceroute, beaucoup de temps, les poubelles 2. Identifier les sites rendant des services (portes d entrée) Scan de port Outils ad-hoc, utilisation de relais miroirs 3. Identifier la configuration des serveurs Fingerprinting pile IP, serveurs, etc. 4. Chercher les vulnérabilités connues ou en découvrir Lancer les attaques! Niveau des portes d entrée Différents niveaux que les attaquants peuvent utiliser Matériel Exploiter des bugs processeurs Se placer sous le système d exploitation (virtualisation) Le noyau du système et les drivers Conséquences graves Déplacement des attaques du noyau vers les drivers Les bibliothèques standards Voir la faille de la semaine Les applications Les services éventuels L utilisation de ces services Les services Quelques règles sur les DMZ Ce sont les points d entrée du réseau pour l extérieur Doivent être restreints au maximum Seulement ce qui est nécessaire Doivent être particulièrement surveillés Doivent être isolés! Segmentation du réseau Notion de DMZ Zone démilitarisée Héberge les serveurs Architecture à double firewall Seuls des serveurs pour l extérieur sont sur la DMZ Intranet = réseau local Une DMZ/serveur Subnetting Objectif : isolation Le réseau interne ne doit pas être visible de l extérieur Le trafic ne va jamais de la DMZ vers le réseau local Sinon c est un point d entrée pour un attaquant Minimum de services communs entre les deux 2 DNS par exemple

6 Que trouve-t-on dans une DMZ? Des services Tous ceux accessible de l extérieur De la protection/audit Un analyseur de trafics (snort,...) Un pot de miel (honeyd,...) Exemple de configuration : service de courrier électronique En réception Pas de stockage des messages dans la DMZ En émission Attention à l accounting Hébergement des serveurs Pas de données importantes dans la DMZ En pratique on ne met que des relais Flux possible Toujours à l initiative du réseau local Quelques règles pour les serveurs en DMZ Physiquement à l abri Pas de comptes utilisateur Pas d outils de développement OS avec bonne réputation et à jour Machine de puissance juste suffisante attaque -> charge ->DoS Système de logs évolué Imprimante ligne série Système de fichiers en lecture seule Ne protège pas des failles applicatives Et en itinérance? Courrier : mettre les serveurs accessible au monde entier Pas sérieusement possible Trouver un moyen de se raccrocher au réseau local VPN! Permettre à deux réseaux de fonctionner comme un seul Utilise du chiffrement pour Authentification des hôtes Confidentialité des échanges

7 Solutions de VPN Construire des tunnels ad-hoc Ssh, ssl Marche pour un service Pas transparent IPSec Norme pour la création de VPN Transport : IP IPSEC TCP données Tunnel : IP IPSEC IP TCP données (passerelle) Deux composantes : AH et ESP Utilise IKE pour la négociation des clés Security association : quelles propriétés entre deux points?