INTRUSION SUR INTERNET

INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-xpert Solutions, Sylvain Maret

Chapitres abordés Ethernet switching (attaques) Authentification Radius VLAN Nessus Audit avec Qualys Honeynet 1

Méthodologie : Théorie des attaques d un réseau switché Réalisation des attaques Analyse des attaques Analyse des systèmes attaqués Sécurisation du systèmes 2

Bref rappel : A A>B?B? A>B B 4 2 8 A>B MAC Port A 4 C Cisco : CAM (Content-Adressable Memory) 3

Bref rappel : A B A<B B=8 A<B 4 2 8 MAC Port A 4 B 8 C Cisco : CAM (Content-Adressable Memory) 3

Bref rappel : A B A>B A>B 4 2 8 MAC Port A 4 B 8 C Cisco : CAM (Content-Adressable Memory) 3

Attaques : Switch MAC Flooding MAC Spoofing - Sniffing PC ARP Spoofing ARP Poisonning - Sniffing - Man in the middle 4

MAC Flooding (Démo 1): Client Serveur FTP req [V4] V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5 4 2 8 MAC Flood V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89 MAC Port X 2 Y 2 Overflow Z 2 V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 Pirate Utilisation de Macof fournit par Dsniff 2.2.4: V1 # macof 5

ARP Poisonning (Démo 2): Client Serveur FTP req [V4] V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5 4 ARP resp [V1,IP V4 ] ARP resp [V1, IP V18] 2 8 V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89 C:\>ARP a V18 10.1.2.54 MAC 00:50:04:00:33:E2 Port V1 2 V4 8 C:\>ARP a 10.1.2.18 00:50:04:00:33:E2 V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 Pirate Utilisation de Macof fournit par Dsniff 2.2.4: V1 # arpspoof i eth0 t 10.1.2.18 10.1.2.54 V1 # arpspoof i eth0 t 10.1.2.54 10.1.2.18 6

Sécurisation : Postes Client Switch MAC address static IP machines du réseau mémorisé en statique Rafraîchissement Switchport Vlan Authentification 802.1X 7

Le VLAN (Virtual Local Area Network) est une extension du LAN permettant de définir des LANs de manière software sur un switch. Utilité : Sécuriser les LANs Interdire la communication inter-lan Meilleure gestion du réseau Séparation des domaines de diffusion 8

Configuration : Déclaration des VLANs dans le switch Déclaration des accès aux VLANs Serveur Réseau 100 BaseT Mode Duplex VLAN2 VLAN3 Switch Cisco Catalyst 2950 Serveur 2 5 V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 3 4 V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89 Client Client V2 IP : 10.1.2.52 MAC: 00:50:04:00:4A:43 V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5 VLAN 2 VLAN 3 VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950 9

Modes d accès : Par Ports Regroupement d un ou plusieurs ports pour former un VLAN. Catalyst 2950 Par MAC address Association d une ou plusieurs adresses MAC pour former un VLAN. Par la couche 3 On détermine l appartenance à un VLAN en fonction de l adresse IP ou en fonction du type de protocole utilisé. 10

Interconnexion de VLAN : V1 V1 (VLAN3) Switch 1 Switch 2 Serveur1 (VLAN3) TCP SYN TCP SYN + TAG TCP SYN Switch TCP SYN ACK TCP ACK TCP SYN ACK + TAG TCP ACK + TAG TCP SYN ACK TCP ACK Etage2 TRUNK 802.1Q Switch Information FTP Etage1 Serveur1 Engineering VLAN1 VLAN2 Marketing Accounting VLAN3 VLAN VLAN VLAN DA SA Type 802.1Q 00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40. MAC IP 11

Interconnexion de VLAN Indépendants : Par Bridge Par Routeur Client Switch Cisco Catalyst 2950 Serveur 4 2 V18 (VLAN 2) IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5 11 12 VLAN 2 VLAN 3 V4 (VLAN 3) IP : 10.1.2.54 MAC: 00:50:04:00:49:89 IP : 10.1.2.208 SM :255.255.255.0 IP : 10.1.3.207 SM : 255.255.255.0 Réseau 100 BaseT Mode Duplex Routeur Lightning Ethernet II 12

Nessus est un scanner de failles, disponible en OpenSource. Descriptif : Teste divers appareils et systèmes (Windows, Unix, Linux, Routers, TCP/IP,etc ) Répertorie énormément de failles par défaut extensibles grâce aux Updates et par programmation de fichier NASL Possibilité de consulter les rapports des tests effectués ( Nessus, XML, HTML, TXT,... ) Possibilité de lancer un test d intrusion à distance grâce à une connexion securisée. Nessus est basé sur une architecture Client-Serveur Interface intuitive et très complète (Windows, Linux) 13

CLIENT GUI Nessus One Connexion Time Password + (one time password) 1 Echange certificat 2 Canal Secure Envoi des informations 3 Choix Options des tests 4 NessusD SERVEUR D A Programmes (Nmap) 6 5 TESTS Victime Commandes Rapports B DB Nessus C 7 CERTIFICAT 1 5 4 3 2 RAPPORTS Informations cryptées 8 CERTIFICAT Script NASL 14

Topologie des tests (Demo 3): Switch Cisco Catalyst 2950 epc IP:10.1.4.7 Windows 2000 pro 1 8 Intranet Client Nessus V18 IP : 10.1.2.18 Windows 2000 pro (config. standard) Client Nessus 2 4 DC1 IP : 10.1.1.10 Windows 2000 server Réseau 100 BaseT Réseau 100 BaseT Mode Duplex Full Duplex Serveur Nessus V1 IP : 10.1.2.51 Serveur W2K pro S1 IP : 10.1.1.1 V4 IP : 10.1.2.54 Windows 2000 server (config. standard) Windows 2000 server 15

Rapports : Statistiques Affichage des ports ouverts (contrôle avec Active port) Affichage des failles Affichage des solutions de protection 16

Projet pour l étude des tactiques d attaques sur divers réseaux et sur les failles matérielles Information : Réalisation du premier projet en 1999 Evolution du projet pour obtenir une Base de données Utilité : Mieux comprendre les attaques des pirates Vérification du matériel 17

Honeynet Topologie des tests: Honeynet Internet V1 IP : 10.1.2.18 Serveur SysLOG IP :: 129.194.184.201 129.194.184.82 HUB IP : 10.1.2.1 V9 Firewall Checkpoint Administrative Network IP : 10.1.3.1 V4 IP : 10.1.2.54 Serveur Web / FTP IP : 10.1.4.51 IP : 10.1.3.51 2 6 Switch Cisco Catalyst 2950 V2 SNORT 4 Réseau 10 BaseT (Honeynet) Mode Half Duplex Réseau 100 BaseT (administrative network) Mode Full Duplex 22 3 Portable IP : 10.1.3.18 Serveur SysLOG

Règles CheckPoint: 19

Difficultées de mise en oeuvre: Recherche de programmes performants Synchronisation des postes (NTP) Stabilisation et furtivité de Snort Win32 Compatibilité des nouvelles règles Snort 20

Demo 4 : Réalisation d une faille Remote Directory Transversal Visualisations des informations Syslog 21

QUESTION??? 22

MAC Flooding ARP Poisonning Nessus (FTP Anonym) Nessus (Active Port) DEMONSTRATIONS Honeynet 23