1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence
2 / 54 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
3 / 54 Plan Services et Mécanismes de sécurité 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
Services et Mécanismes de sécurité Objectifs de la sécurité : CIA 4 / 54 Autres : Authenticité, la responsabilité
Services et Mécanismes de sécurité Attaques, services et Mécanismes 5 / 54 Attaque : Toute action qui compromet la sécurité de l information Mécanisme de sécurité : Un mécanisme qui est conçu pour détecter, prévenir, ou se remettre d une attaque de sécurité. Service de sécurité : Un service qui améliore la sécurité des systèmes de traitement de données et les transferts d information. Un service de sécurité fait usage d un ou plusieurs mécanismes de sécurité
Services et Mécanismes de sécurité Services de Sécurité 6 / 54 Confidentialité : Pour protéger contre toute écoute Authentification : Pour savoir qui a crée et envoyé le message? Intégrité : Être sur que la donnée ou msg n a pas été altéré Non-Répudiation : ne pas nier une transaction Contrôle d accès : pour empêcher l utilisation abusive des ressources Disponibilité (permanence) : contre le DoS et les virus
Services et Mécanismes de sécurité Modèle général de sécurité réseau 7 / 54
Services et Mécanismes de sécurité Méthodes de défenses 8 / 54 Chiffrement de données Contrôle d accès software : limiter l accès aux bases de données, protéger chaque utilisateur des autres utilsateurs Contrôle d accès hardware : ex Cartes à puce Politiques de sécurité : changer fréquemment les mots de passes Utiliser les Firewalls, les systèmes de détection d intrusion, les anti-virus utiliser les réseaux VLAN pour cacher les différents parties des réseaux pour accès distant utiliser les VPN : Virtual Private Network
9 / 54 Plan Logiciels malveillants 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
Logiciels malveillants Logiciels Malveillants 10 / 54
Logiciels malveillants Logiciels Malveillants Backdoor : Point d entrée secrète dans un programme : utilisés par les developpeurs Bombe logique : code inséré ds un programme légitime et sera activé : presence/absence de quleque fichiers, date particulière, serie de frappes particulière sur le clavier. Cheval de Troie : Programme qui semble avoir une fonction mais en fait une autre : souvent caché sous forme d un jeu, mise à jour d un software Zombie (Bot) : Programme qui, secrètement, prend le contrôle sur un autre ordinateur du réseau pour lancer des attaques indirectement (DoS) virus : Une portion de code qui infecte les programmes. chaque virus est spécifique pour un système d exploitation et un hardware puisqu il profite de leurs détails et leurs faiblesses. Ver : Code actif Autonome qui peut se répliquer à des hôtes distants sans déclenchement 11 / 54
12 / 54 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
13 / 54 Plan Attaques Actives & Passives 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
14 / 54 Attaques Actives & Passives
15 / 54 Attaques Actives & Passives Interruption : Ceci est une attaque sur la disponibilité Interception : Ceci est une attaque sur la confidentialité Modification : Ceci est une attaque sur l intégrité Fabrication : Ceci est une attaque sur l authenticité
Attaques Passives et Actives Attaques Actives & Passives Les attaques passives : Une attaque passive tente d apprendre ou d utiliser l information du système, mais n affecte pas les ressources du système Relativement difficile à détecter, mais plus facile à prévenir Les attaques actives Une attaque active tente de modifier les ressources du système ou d affecter leur fonctionnement Relativement difficile à éviter, mais plus facile à détecter 16 / 54
17 / 54 Attaques Passives et Actives Attaques Actives & Passives
18 / 54 Attaques Actives & Passives Attaque Passive : Lecture du contenu du msg
19 / 54 Attaques Actives & Passives Attaque Passive : Analyse du Trafic
20 / 54 Attaque Active : Mascarade Attaques Actives & Passives
21 / 54 Attaque Active : Replay Attack Attaques Actives & Passives
22 / 54 Attaque Active : Modification Attaques Actives & Passives
23 / 54 Attaques Actives & Passives Attaque Active : Denial of Service (DoS)
24 / 54 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
25 / 54 Denial of Service Une tentative par des attaquants afin d empêcher les utilisateurs légitimes d un service d utiliser ce service Modèle de la menace DoS : La consommation de connectivité et / ou la bande passante réseau La consommation d autres ressources, par exemple file d attente, CPU La destruction ou l alternance de la configuration de l information : Paquets malformés peuvent mettre une application en confusion et l amener à geler Destruction physique ou alternance des composants de réseau Consomme la mémoire système : un script de programme se fait des copies consomme la mémoire disque : générer beaucou d emails,générer beaucoup d erreurs, placer des fichiers dans des zones partagées de la mémoire
26 / 54 DoS : Attaque smurf Envoyer une requete ping à une addresse broadcast (ICMP echo Req) Réponses de partout du réseau : Chaque hôte sur le réseau cible génère une réponse de ping (ICMP Echo Reply) à la victime Le flux de réponse Ping peut surcharger la victime Prévention : rejeter les packets externes vers les adresses broadcast.
27 / 54 Distributed DoS (DDoS)
28 / 54 Pourquoi DDoS? Peut-on trouver BadGuy? celui qui a initié l attaque? l initiateur de l attaque a utilisé les handlers (gestionnaires) l initiateur n est pas actif lorsque l attaque DDoS se produit on peut essayer de trouver les agents il faut une nalyse de trafic sur différents points du réseau
29 / 54 Direct DDoS
30 / 54 Reflector DDoS
31 / 54 SYN Flooding Attack 90% des attaques DoS ont pour origine TCP SYN folooding exploite une vulnérabilité dans l établissement de la connection TCP le serveur commence des connexions "semi-ouverte" Ces demandes de connexions se multiplient jusqu à la file d attente est pleine et les requêtes additionnelles sont bloqués.
32 / 54 structure du segment TCP
33 / 54 Rappel établissement Connexion TCP
34 / 54 Rappel établissement Connexion TCP Émetteur (client) et récepteur (Serveur) établissent une "connexion" avant d échanger des données le client envoie un segment TCP SYN au serveur : spécifie une sequence initiale seq# pas de données serveur reçoit SYN et répond par sagement SYNACK Serveur alloue des buffers spécifie la séquence de serveur initiale seq# Le client reçoit SYNACK du serveur et répond par ACK qui peut contenir des données
35 / 54 TCP connexion
36 / 54 SYN flooding
37 / 54 Syn flooding : analyse l adversaire a envoyé plusieurs segments TCP/syn
38 / 54 SYN flooding Attaquant envoie de nombreuses demandes de connexion avec des adresses sources usurpées (Adress spoofing) Victime alloue des ressources pour chaque demande Une fois les ressources épuisées, les demandes des clients légitimes se voient refuser c est la DoS classique : ça ne coûte rien à l initiateur TCP pour envoyer une demande de connexion, mais le récepteur doit reserver des ressources pour chaque demande
39 / 54 Détection de DoS Analyser le comportement des paires SYN-FIN ou analyser le comportement des paires SYNACK-FIN Mais RST viole la regle SYN-FIN Passive RST : transmise après l arrivé d un packet à un port fermé (par le serveur) Active RST : initié par le client pour abondonner une connexion TCP donc les paires SYN-RST active sont aussi normales
40 / 54 paires SYN-FIN Generalement chaque SYN a un FIN on ne peut dire si les RST sont active ou passive generalement 75% des RST sont actives
41 / 54 Prévention de DoS DoS est causée par une allocation asymétrique des ressources si le récepteur alloue des ressources pour chaque connexion, l adversaire peut initier des milliers de connnexions à partir des adresses usurpées et trafiquées Les Cookies assurent que le récepteur n alloue des ressources que si l incitateur a envoyé au moins deux messages l etat du récepteur est enregistré dans une cookie et envoyé à l initiateur
42 / 54 SYN cookies
43 / 54 Plan ARP spoofing et flooding 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
44 / 54 ARP spoofing ARP spoofing et flooding ARP (Adress Resolution Protocol) : il permet de trouver une adresse niveau 2 (Ethernet) à partir d une adresse niveau 3 (IP). fonctionnement : client : who has 10.1.2.3?? n importe qui : 10.1.2.3 is at 09 :0A :0B : :0C :0D :0E c est fait de forger des réponses, même non-sollicités, pour rediriger le trafic
45 / 54 ARP flooding ARP spoofing et flooding le hacker change a chaque fois son adresse MAC et diffuse ensuite la paquet ARP
46 / 54 Plan DHCP starvation 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
47 / 54 DHCP starvation DHCP starvation le hacker change son MAC et demande une configuration IP
48 / 54 Plan Snifer 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques Actives & Passives ARP spoofing et flooding DHCP starvation Snifer
49 / 54 exemple de snifer ethernet Snifer
type de protocole selon et pour le protocol transport : (6 -> TCP, 1 -> ICMP, UDP -> 17) 50 / 54 Snifer Sniffer : analyse d une trame Ethernet
51 / 54 Snifer Sniffer : analyse d une trame Ethernet Analyser la trame ethernet suivante :
52 / 54 Solution Snifer
53 / 54 Solution (suite) Snifer
54 / 54 Solution (suite) Snifer