Audit et Sécurité Informatique - ESEN

Audit et Sécurité InformatiqueChap 1: Services, Mécanismes et attaques de sécurité

Rhouma Rhoumahttps://sites.google.com/site/rhoouma

Ecole superieure d’Economie Numerique

3ème année Licence

1 / 54

Plan

1 Services et Mécanismes de sécurité

2 Logiciels malveillants

3 Attaques de sécuritéAttaques Actives & PassivesAttaques DoSARP spoofing et floodingDHCP starvationSnifer

2 / 54

Services et Mécanismes de sécurité

Plan




3 / 54


Objectifs de la sécurité : CIA

Autres : Authenticité, la responsabilité

4 / 54


Attaques, services et Mécanismes

Attaque : Toute action qui compromet la sécurité de l’informationMécanisme de sécurité : Un mécanisme qui est conçu pourdétecter, prévenir, ou se remettre d’une attaque de sécurité.Service de sécurité : Un service qui améliore la sécurité dessystèmes de traitement de données et les transferts d’information.Un service de sécurité fait usage d’un ou plusieurs mécanismesde sécurité

5 / 54


Services de Sécurité

Confidentialité : Pour protéger contre toute écouteAuthentification : Pour savoir qui a crée et envoyé le message ?Intégrité : Être sur que la donnée ou msg n’a pas été altéréNon-Répudiation : ne pas nier une transactionContrôle d’accès : pour empêcher l’utilisation abusive desressourcesDisponibilité (permanence) : contre le DoS et les virus

6 / 54


Modèle général de sécurité réseau

7 / 54


Méthodes de défenses

Chiffrement de donnéesContrôle d’accès software : limiter l’accès aux bases de données,protéger chaque utilisateur des autres utilsateursContrôle d’accès hardware : ex Cartes à pucePolitiques de sécurité : changer fréquemment les mots de passesUtiliser les Firewalls, les systèmes de détection d’intrusion, lesanti-virusutiliser les réseaux VLAN pour cacher les différents parties desréseauxpour accès distant utiliser les VPN : Virtual Private Network

8 / 54

Logiciels malveillants

Plan




9 / 54


Logiciels Malveillants

10 / 54


Logiciels Malveillants

Backdoor : Point d’entrée secrète dans un programme : utiliséspar les developpeursBombe logique : code inséré ds un programme légitime et seraactivé : presence/absence de quleque fichiers, date particulière,serie de frappes particulière sur le clavier.Cheval de Troie : Programme qui semble avoir une fonction maisen fait une autre : souvent caché sous forme d’un jeu, mise à jourd’un softwareZombie (Bot) : Programme qui, secrètement, prend le contrôlesur un autre ordinateur du réseau pour lancer des attaquesindirectement (DoS)virus : Une portion de code qui infecte les programmes. chaquevirus est spécifique pour un système d’exploitation et un hardwarepuisqu’il profite de leurs détails et leurs faiblesses.Ver : Code actif Autonome qui peut se répliquer à des hôtesdistants sans déclenchement

11 / 54

Attaques de sécurité

Plan




12 / 54

Attaques de sécurité Attaques Actives & Passives

Plan




13 / 54



14 / 54



Interruption : Ceci est une attaque sur la disponibilitéInterception : Ceci est une attaque sur la confidentialitéModification : Ceci est une attaque sur l’intégritéFabrication : Ceci est une attaque sur l’authenticité

15 / 54


Attaques Passives et Actives

Les attaques passives :Une attaque passive tented’apprendre ou d’utiliserl’information du système,mais n’affecte pas lesressources du systèmeRelativement difficile àdétecter, mais plus facile àprévenir

Les attaques activesUne attaque active tente demodifier les ressources dusystème ou d’affecter leurfonctionnementRelativement difficile àéviter, mais plus facile àdétecter

16 / 54


Attaques Passives et Actives

17 / 54


Attaque Passive : Lecture du contenu du msg

18 / 54


Attaque Passive : Analyse du Trafic

19 / 54


Attaque Active : Mascarade

20 / 54


Attaque Active : Replay Attack

21 / 54


Attaque Active : Modification

22 / 54


Attaque Active : Denial of Service (DoS)

23 / 54

Attaques de sécurité Attaques DoS

Plan




24 / 54


Denial of Service

Une tentative par des attaquants afin d’empêcher les utilisateurslégitimes d’un service d’utiliser ce serviceModèle de la menace DoS :

La consommation de connectivité et / ou la bande passante réseauLa consommation d’autres ressources, par exemple file d’attente,CPULa destruction ou l’alternance de la configuration de l’information :Paquets malformés peuvent mettre une application en confusion etl’amener à gelerDestruction physique ou alternance des composants de réseau

Consomme la mémoire système : un script de programme se faitdes copiesconsomme la mémoire disque : générer beaucoud’emails,générer beaucoup d’erreurs, placer des fichiers dans deszones partagées de la mémoire

25 / 54


DoS : Attaque smurf

Envoyer une requete ping à une addresse broadcast (ICMP echoReq)Réponses de partout du réseau :

Chaque hôte sur le réseau cible génère une réponse de ping(ICMP Echo Reply) à la victimeLe flux de réponse Ping peut surcharger la victime

Prévention : rejeter les packets externes vers les adressesbroadcast.

26 / 54


Distributed DoS (DDoS)

27 / 54


Pourquoi DDoS ?

Peut-on trouver BadGuy ? celui qui a initié l’attaque ?l’initiateur de l’attaque a utilisé les handlers (gestionnaires)l’initiateur n’est pas actif lorsque l’attaque DDoS se produit

on peut essayer de trouver les agentsil faut une nalyse de trafic sur différents points du réseau

28 / 54


Direct DDoS

29 / 54


Reflector DDoS

30 / 54


SYN Flooding Attack

90% des attaques DoS ont pour origine TCP SYN foloodingexploite une vulnérabilité dans l’établissement de la connectionTCPle serveur commence des connexions "semi-ouverte"Ces demandes de connexions se multiplient jusqu’à la filed’attente est pleine et les requêtes additionnelles sont bloqués.

31 / 54


structure du segment TCP

32 / 54


Rappel établissement Connexion TCP

33 / 54


Rappel établissement Connexion TCP

Émetteur (client) et récepteur (Serveur) établissent une "connexion"avant d’échanger des données

le client envoie un segment TCP SYN au serveur :spécifie une sequence initiale seq#pas de données

serveur reçoit SYN et répond par sagement SYNACKServeur alloue des buffersspécifie la séquence de serveur initiale seq#

Le client reçoit SYNACK du serveur et répond par ACK qui peutcontenir des données

34 / 54


TCP connexion

35 / 54


SYN flooding

36 / 54


Syn flooding : analyse

l’adversaire a envoyé plusieurs segments TCP/syn

37 / 54


SYN flooding

Attaquant envoie de nombreuses demandes de connexion avecdes adresses sources usurpées (Adress spoofing)Victime alloue des ressources pour chaque demandeUne fois les ressources épuisées, les demandes des clientslégitimes se voient refuserc’est la DoS classique : ça ne coûte rien à l’initiateur TCP pourenvoyer une demande de connexion, mais le récepteur doitreserver des ressources pour chaque demande

38 / 54


Détection de DoS

Analyser le comportement des paires SYN-FINou analyser le comportement des paires SYNACK-FINMais RST viole la regle SYN-FIN

Passive RST : transmise après l’arrivé d’un packet à un port fermé(par le serveur)Active RST : initié par le client pour abondonner une connexionTCP

donc les paires SYN-RSTactive sont aussi normales

39 / 54


paires SYN-FIN

Generalement chaque SYN a un FINon ne peut dire si les RST sont active ou passivegeneralement 75% des RST sont actives

40 / 54


Prévention de DoS

DoS est causée par une allocation asymétrique des ressourcessi le récepteur alloue des ressources pour chaque connexion,l’adversaire peut initier des milliers de connnexions à partir desadresses usurpées et trafiquéesLes Cookies assurent que le récepteur n’alloue des ressourcesque si l’incitateur a envoyé au moins deux messagesl’etat du récepteur est enregistré dans une cookie et envoyé àl’initiateur

41 / 54


SYN cookies

42 / 54

Attaques de sécurité ARP spoofing et flooding

Plan




43 / 54


ARP spoofing

ARP (Adress Resolution Protocol) : il permet de trouver uneadresse niveau 2 (Ethernet) à partir d’une adresse niveau 3 (IP).fonctionnement :

client : who has 10.1.2.3 ? ?n’importe qui : 10.1.2.3 is at 09 :0A :0B : :0C :0D :0E

c’est fait de forger des réponses, même non-sollicités, pourrediriger le trafic

44 / 54


ARP flooding

le hacker change a chaque fois son adresse MAC et diffuseensuite la paquet ARP

45 / 54

Attaques de sécurité DHCP starvation

Plan




46 / 54

Attaques de sécurité DHCP starvation

DHCP starvation

le hacker change son MAC et demande une configuration IP

47 / 54

Attaques de sécurité Snifer

Plan




48 / 54


exemple de snifer ethernet

49 / 54


Sniffer : analyse d’une trame Ethernet

type de protocole selonet pour le protocol transport : (6 -> TCP, 1 -> ICMP, UDP -> 17) 50 / 54


Sniffer : analyse d’une trame Ethernet

Analyser la trame ethernet suivante :

51 / 54


Solution

52 / 54


Solution (suite)

53 / 54


Solution (suite)

54 / 54

Audit et Sécurité Informatique - ESEN

Documents

Transcript of Audit et Sécurité Informatique - ESEN