intrusion sur internet - e

INTRUSION SUR INTERNET
Filière Télécommunication
Laboratoire de Transmission de Données
Diplômant : Marfil Miguel
Professeur : Gérald Litzistorf
En collaboration : Banque Pictet, Lanrent Dutheil
e-Xpert Solutions, Sylvain Maret
Chapitres abordés
Ethernet switching (attaques)
Authentification Radius
VLAN
Nessus
Audit avec Qualys
Honeynet
1
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Méthodologie :
Théorie des attaques d’un réseau switché
Réalisation des attaques
Analyse des attaques
Analyse des systèmes attaqués
Sécurisation du systèmes
2
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel :
A
B
A>B
4
8
2
A>B
MAC
A
A>B
?B?
Port
4
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel :
A
B
A<B
4
8
2
MAC
A
B
A<B
B=8
Port
4
8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel :
A
B
A>B
A>B
4
8
2
MAC
A
B
Port
4
8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Attaques :
Switch
MAC Flooding
MAC Spoofing
- Sniffing
PC
ARP Spoofing
ARP Poisonning
4
- Sniffing
- Man in the middle
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
MAC Flooding (Démo 1):
Client
Serveur
FTP req [V4]
4
8
2
V18
IP : 10.1.2.18
MAC: 00:01:02:0E:D8:F5
V4
IP : 10.1.2.54
MAC: 00:50:04:00:49:89
MAC Flood
Port
ve
rfl
ow
MAC
2
Y
2
O
X
Z
V1
IP : 10.1.2.51
MAC: 00:50:04:00:33:E2
2
Pirate
Utilisation
Utilisation de
de Macof
Macof fournit
fournit par
par Dsniff
Dsniff 2.2.4:
2.2.4:
V1
V1 ## macof
macof
5
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
ARP Poisonning (Démo 2):
Client
Serveur
FTP req [V4]
4
ARP resp [V1,IP V4 ]
8
ARP resp [V1, IP V18]
2
V18
IP : 10.1.2.18
MAC: 00:01:02:0E:D8:F5
V4
IP : 10.1.2.54
MAC: 00:50:04:00:49:89
C:\>ARP
C:\>ARP –– aa
C:\>ARP
C:\>ARP –– aa
V18
10.1.2.54
10.1.2.54
00:50:04:00:33:E2
MAC 00:50:04:00:33:E2
Port
10.1.2.18
10.1.2.18 00:50:04:00:33:E2
00:50:04:00:33:E2
V1
2
V4
8
V1
IP : 10.1.2.51
MAC: 00:50:04:00:33:E2
Pirate
Utilisation
Utilisation de
de Macof
Macof fournit
fournit par
par Dsniff
Dsniff 2.2.4:
2.2.4:
V1
V1 ## arpspoof
arpspoof –i
–i eth0
eth0 –t
–t 10.1.2.18
10.1.2.18 10.1.2.54
10.1.2.54
V1
V1 ## arpspoof
arpspoof –i
–i eth0
eth0 –t
–t 10.1.2.54
10.1.2.54 10.1.2.18
10.1.2.18
6
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Sécurisation :
Postes Client
Switch
MAC address static
Rafraîchissement
IP machines du
réseau mémorisé en
statique
Switchport
Vlan
Authentification 802.1X
7
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Le VLAN (Virtual Local Area Network) est une
extension du LAN permettant de définir des LANs
de manière software sur un switch.
Utilité :
Sécuriser les LANs
Interdire la communication inter-LAN
Meilleure gestion du réseau
Séparation des domaines de diffusion
8
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Configuration :
Déclaration des VLANs dans le switch
Déclaration des accès aux VLANs
Réseau 100 BaseT
Mode Duplex
Serveur
Serveur
VLAN2 VLAN3
Switch
Cisco Catalyst 2950
2
V1
IP : 10.1.2.51
MAC: 00:50:04:00:33:E2
5
3
4
V4
IP : 10.1.2.54
MAC: 00:50:04:00:49:89
Client
Client
V2
IP : 10.1.2.52
MAC: 00:50:04:00:4A:43
V18
IP : 10.1.2.18
MAC: 00:01:02:0E:D8:F5
VLAN 2
VLAN 3
VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950
9
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Modes d’accès :
Catalyst 2950
Par Ports
Regroupement d’un ou plusieurs
ports pour former un VLAN.
Par MAC address
Association d’une ou plusieurs
adresses MAC pour former un VLAN.
Par la couche 3
On détermine l’appartenance à un
VLAN en fonction de l’adresse IP
ou en fonction du type de protocole
utilisé.
10
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Interconnexion de VLAN :
V1
V1
Serveur1
Switch 1
(VLAN3)
TCP SYN
Switch 2
(VLAN3)
Switch
TCP SYN + TAG
TCP SYN
Etage2
TCP SYN ACK + TAG
TCP SYN ACK
TCP SYN ACK
TCP ACK
TRUNK
802.1Q
TCP ACK + TAG
TCP ACK
Switch
Serveur1
Etage1
Information FTP
Engineering
VLAN1
VLAN
DA
SA
Type
802.1Q
…00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40….
MAC
IP
11
Marketing
VLAN2
VLAN
Accounting
VLAN3
VLAN
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Interconnexion de VLAN Indépendants :
Par Bridge
Par Routeur
Client
Serveur
Switch
Cisco Catalyst 2950
4
2
11
V18 (VLAN 2)
IP : 10.1.2.18
MAC: 00:01:02:0E:D8:F5
VLAN 3
VLAN 2
IP : 10.1.2.208
SM :255.255.255.0
Réseau 100 BaseT
Mode Duplex
12
IP : 10.1.3.207
SM : 255.255.255.0
Routeur Lightning
Ethernet II
12
V4 (VLAN 3)
IP : 10.1.2.54
MAC: 00:50:04:00:49:89
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Nessus est un scanner de failles,
disponible en OpenSource.
Descriptif :
Teste divers appareils et systèmes (Windows, Unix,
Linux, Routers, TCP/IP,etc…)
Répertorie énormément de failles par défaut extensibles
grâce aux Updates et par programmation de fichier NASL
Possibilité de consulter les rapports des tests
effectués ( Nessus , XML , HTML , TXT , ... )
Possibilité de lancer un test d ’intrusion à distance grâce à
une connexion securisée. Nessus est basé sur une
architecture Client-Serveur
Interface intuitive et très complète (Windows,
Linux)
13
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
SERVEUR
CLIENT
OneConnexion
Time Password
+
(one time password) 1
NessusD
GUI Nessus
Echange certificat
A
2
Programmes
(Nmap)
Canal Secure
Envoi des informations 3
D
Choix
des tests 4
Options
6
DB Nessus
B
Rapports
1
2
3
4
5
TESTS
C
Commandes
CERTIFICAT
5
8
RAPPORTS
CERTIFICAT
Informations cryptées
14
Script NASL
7
Victime
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Topologie des tests (Demo 3):
ePC IP:10.1.4.7
Windows 2000 pro
Switch
Cisco Catalyst 2950
1
Client Nessus
V18 IP : 10.1.2.18
Intranet
8
2
4
DC1 IP : 10.1.1.10
Windows 2000 server
Windows 2000 pro
(config. standard)
Client Nessus
Serveur W2K pro
V4 IP : 10.1.2.54
Réseau 100 BaseT
Réseau 100 BaseT
ModeDuplex
Full Duplex
Mode
Serveur Nessus
V1 IP : 10.1.2.51
Windows 2000 server
(config. standard)
15
S1 IP : 10.1.1.1
Windows 2000 server
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Rapports :
Statistiques
Affichage des ports ouverts (contrôle
avec Active port)
Affichage des failles
Affichage des solutions de protection
16
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Projet pour l’étude des tactiques d’attaques sur
divers réseaux et sur les failles matérielles
Information :
Réalisation du premier projet en 1999
Evolution du projet pour obtenir une
Base de données
Utilité :
Mieux comprendre les attaques des pirates
Vérification du matériel
17
Honeynet
Eth. switching
Auth. Radius
VLAN
Honeynet
Topologie des tests:
Nessus
Qualys
Honeynet
Honeynet
Internet
V1
IP : 10.1.2.18
Serveur SysLOG
IP
IP :: 129.194.184.201
129.194.184.82
V9
Firewall Checkpoint
HUB
IP : 10.1.2.1
Administrative Network
IP : 10.1.3.1
V4
IP : 10.1.2.54
Serveur Web / FTP
2
IP : 10.1.4.51
Switch
Cisco
Catalyst
2950
Cisco
IP : 10.1.3.51
V2
SNORT
Réseau 10 BaseT (Honeynet)
Mode Half Duplex
Réseau 100 BaseT (administrative network)
Mode Full Duplex
6
4
3
22
Portable
IP : 10.1.3.18
Serveur SysLOG
Eth. switching
Auth. Radius
VLAN
Nessus
Règles CheckPoint:
19
Qualys
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Difficultées de mise en oeuvre:
Recherche de programmes performants
Synchronisation des postes (NTP)
Stabilisation et furtivité de Snort Win32
Compatibilité des nouvelles règles Snort
20
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Demo 4 :
Réalisation d’une faille Remote Directory
Transversal
Visualisations des informations Syslog
21
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
QUESTION ???
22
Honeynet
MAC Flooding
ARP Poisonning
Nessus (FTP Anonym)
Nessus (Active Port)
DEMONSTRATIONS
23
Honeynet