Audit et Sécurité Informatique - ESEN
Transcript of Audit et Sécurité Informatique - ESEN
Audit et Sécurité InformatiqueChap 1: Services, Mécanismes et attaques de sécurité
Rhouma Rhoumahttps://sites.google.com/site/rhoouma
Ecole superieure d’Economie Numerique
3ème année Licence
1 / 54
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
2 / 54
Services et Mécanismes de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
3 / 54
Services et Mécanismes de sécurité
Objectifs de la sécurité : CIA
Autres : Authenticité, la responsabilité
4 / 54
Services et Mécanismes de sécurité
Attaques, services et Mécanismes
Attaque : Toute action qui compromet la sécurité de l’informationMécanisme de sécurité : Un mécanisme qui est conçu pourdétecter, prévenir, ou se remettre d’une attaque de sécurité.Service de sécurité : Un service qui améliore la sécurité dessystèmes de traitement de données et les transferts d’information.Un service de sécurité fait usage d’un ou plusieurs mécanismesde sécurité
5 / 54
Services et Mécanismes de sécurité
Services de Sécurité
Confidentialité : Pour protéger contre toute écouteAuthentification : Pour savoir qui a crée et envoyé le message ?Intégrité : Être sur que la donnée ou msg n’a pas été altéréNon-Répudiation : ne pas nier une transactionContrôle d’accès : pour empêcher l’utilisation abusive desressourcesDisponibilité (permanence) : contre le DoS et les virus
6 / 54
Services et Mécanismes de sécurité
Modèle général de sécurité réseau
7 / 54
Services et Mécanismes de sécurité
Méthodes de défenses
Chiffrement de donnéesContrôle d’accès software : limiter l’accès aux bases de données,protéger chaque utilisateur des autres utilsateursContrôle d’accès hardware : ex Cartes à pucePolitiques de sécurité : changer fréquemment les mots de passesUtiliser les Firewalls, les systèmes de détection d’intrusion, lesanti-virusutiliser les réseaux VLAN pour cacher les différents parties desréseauxpour accès distant utiliser les VPN : Virtual Private Network
8 / 54
Logiciels malveillants
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
9 / 54
Logiciels malveillants
Logiciels Malveillants
10 / 54
Logiciels malveillants
Logiciels Malveillants
Backdoor : Point d’entrée secrète dans un programme : utiliséspar les developpeursBombe logique : code inséré ds un programme légitime et seraactivé : presence/absence de quleque fichiers, date particulière,serie de frappes particulière sur le clavier.Cheval de Troie : Programme qui semble avoir une fonction maisen fait une autre : souvent caché sous forme d’un jeu, mise à jourd’un softwareZombie (Bot) : Programme qui, secrètement, prend le contrôlesur un autre ordinateur du réseau pour lancer des attaquesindirectement (DoS)virus : Une portion de code qui infecte les programmes. chaquevirus est spécifique pour un système d’exploitation et un hardwarepuisqu’il profite de leurs détails et leurs faiblesses.Ver : Code actif Autonome qui peut se répliquer à des hôtesdistants sans déclenchement
11 / 54
Attaques de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
12 / 54
Attaques de sécurité Attaques Actives & Passives
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
13 / 54
Attaques de sécurité Attaques Actives & Passives
Attaques de sécurité
14 / 54
Attaques de sécurité Attaques Actives & Passives
Attaques de sécurité
Interruption : Ceci est une attaque sur la disponibilitéInterception : Ceci est une attaque sur la confidentialitéModification : Ceci est une attaque sur l’intégritéFabrication : Ceci est une attaque sur l’authenticité
15 / 54
Attaques de sécurité Attaques Actives & Passives
Attaques Passives et Actives
Les attaques passives :Une attaque passive tented’apprendre ou d’utiliserl’information du système,mais n’affecte pas lesressources du systèmeRelativement difficile àdétecter, mais plus facile àprévenir
Les attaques activesUne attaque active tente demodifier les ressources dusystème ou d’affecter leurfonctionnementRelativement difficile àéviter, mais plus facile àdétecter
16 / 54
Attaques de sécurité Attaques Actives & Passives
Attaques Passives et Actives
17 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Passive : Lecture du contenu du msg
18 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Passive : Analyse du Trafic
19 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Active : Mascarade
20 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Active : Replay Attack
21 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Active : Modification
22 / 54
Attaques de sécurité Attaques Actives & Passives
Attaque Active : Denial of Service (DoS)
23 / 54
Attaques de sécurité Attaques DoS
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
24 / 54
Attaques de sécurité Attaques DoS
Denial of Service
Une tentative par des attaquants afin d’empêcher les utilisateurslégitimes d’un service d’utiliser ce serviceModèle de la menace DoS :
La consommation de connectivité et / ou la bande passante réseauLa consommation d’autres ressources, par exemple file d’attente,CPULa destruction ou l’alternance de la configuration de l’information :Paquets malformés peuvent mettre une application en confusion etl’amener à gelerDestruction physique ou alternance des composants de réseau
Consomme la mémoire système : un script de programme se faitdes copiesconsomme la mémoire disque : générer beaucoud’emails,générer beaucoup d’erreurs, placer des fichiers dans deszones partagées de la mémoire
25 / 54
Attaques de sécurité Attaques DoS
DoS : Attaque smurf
Envoyer une requete ping à une addresse broadcast (ICMP echoReq)Réponses de partout du réseau :
Chaque hôte sur le réseau cible génère une réponse de ping(ICMP Echo Reply) à la victimeLe flux de réponse Ping peut surcharger la victime
Prévention : rejeter les packets externes vers les adressesbroadcast.
26 / 54
Attaques de sécurité Attaques DoS
Distributed DoS (DDoS)
27 / 54
Attaques de sécurité Attaques DoS
Pourquoi DDoS ?
Peut-on trouver BadGuy ? celui qui a initié l’attaque ?l’initiateur de l’attaque a utilisé les handlers (gestionnaires)l’initiateur n’est pas actif lorsque l’attaque DDoS se produit
on peut essayer de trouver les agentsil faut une nalyse de trafic sur différents points du réseau
28 / 54
Attaques de sécurité Attaques DoS
Direct DDoS
29 / 54
Attaques de sécurité Attaques DoS
Reflector DDoS
30 / 54
Attaques de sécurité Attaques DoS
SYN Flooding Attack
90% des attaques DoS ont pour origine TCP SYN foloodingexploite une vulnérabilité dans l’établissement de la connectionTCPle serveur commence des connexions "semi-ouverte"Ces demandes de connexions se multiplient jusqu’à la filed’attente est pleine et les requêtes additionnelles sont bloqués.
31 / 54
Attaques de sécurité Attaques DoS
structure du segment TCP
32 / 54
Attaques de sécurité Attaques DoS
Rappel établissement Connexion TCP
33 / 54
Attaques de sécurité Attaques DoS
Rappel établissement Connexion TCP
Émetteur (client) et récepteur (Serveur) établissent une "connexion"avant d’échanger des données
le client envoie un segment TCP SYN au serveur :spécifie une sequence initiale seq#pas de données
serveur reçoit SYN et répond par sagement SYNACKServeur alloue des buffersspécifie la séquence de serveur initiale seq#
Le client reçoit SYNACK du serveur et répond par ACK qui peutcontenir des données
34 / 54
Attaques de sécurité Attaques DoS
TCP connexion
35 / 54
Attaques de sécurité Attaques DoS
SYN flooding
36 / 54
Attaques de sécurité Attaques DoS
Syn flooding : analyse
l’adversaire a envoyé plusieurs segments TCP/syn
37 / 54
Attaques de sécurité Attaques DoS
SYN flooding
Attaquant envoie de nombreuses demandes de connexion avecdes adresses sources usurpées (Adress spoofing)Victime alloue des ressources pour chaque demandeUne fois les ressources épuisées, les demandes des clientslégitimes se voient refuserc’est la DoS classique : ça ne coûte rien à l’initiateur TCP pourenvoyer une demande de connexion, mais le récepteur doitreserver des ressources pour chaque demande
38 / 54
Attaques de sécurité Attaques DoS
Détection de DoS
Analyser le comportement des paires SYN-FINou analyser le comportement des paires SYNACK-FINMais RST viole la regle SYN-FIN
Passive RST : transmise après l’arrivé d’un packet à un port fermé(par le serveur)Active RST : initié par le client pour abondonner une connexionTCP
donc les paires SYN-RSTactive sont aussi normales
39 / 54
Attaques de sécurité Attaques DoS
paires SYN-FIN
Generalement chaque SYN a un FINon ne peut dire si les RST sont active ou passivegeneralement 75% des RST sont actives
40 / 54
Attaques de sécurité Attaques DoS
Prévention de DoS
DoS est causée par une allocation asymétrique des ressourcessi le récepteur alloue des ressources pour chaque connexion,l’adversaire peut initier des milliers de connnexions à partir desadresses usurpées et trafiquéesLes Cookies assurent que le récepteur n’alloue des ressourcesque si l’incitateur a envoyé au moins deux messagesl’etat du récepteur est enregistré dans une cookie et envoyé àl’initiateur
41 / 54
Attaques de sécurité Attaques DoS
SYN cookies
42 / 54
Attaques de sécurité ARP spoofing et flooding
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
43 / 54
Attaques de sécurité ARP spoofing et flooding
ARP spoofing
ARP (Adress Resolution Protocol) : il permet de trouver uneadresse niveau 2 (Ethernet) à partir d’une adresse niveau 3 (IP).fonctionnement :
client : who has 10.1.2.3 ? ?n’importe qui : 10.1.2.3 is at 09 :0A :0B : :0C :0D :0E
c’est fait de forger des réponses, même non-sollicités, pourrediriger le trafic
44 / 54
Attaques de sécurité ARP spoofing et flooding
ARP flooding
le hacker change a chaque fois son adresse MAC et diffuseensuite la paquet ARP
45 / 54
Attaques de sécurité DHCP starvation
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
46 / 54
Attaques de sécurité DHCP starvation
DHCP starvation
le hacker change son MAC et demande une configuration IP
47 / 54
Attaques de sécurité Snifer
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer
48 / 54
Attaques de sécurité Snifer
exemple de snifer ethernet
49 / 54
Attaques de sécurité Snifer
Sniffer : analyse d’une trame Ethernet
type de protocole selonet pour le protocol transport : (6 -> TCP, 1 -> ICMP, UDP -> 17) 50 / 54
Attaques de sécurité Snifer
Sniffer : analyse d’une trame Ethernet
Analyser la trame ethernet suivante :
51 / 54
Attaques de sécurité Snifer
Solution
52 / 54
Attaques de sécurité Snifer
Solution (suite)
53 / 54
Attaques de sécurité Snifer
Solution (suite)
54 / 54