Analyse d

1
Analyse dune architecture réseau

• Mastère SSI
• Module M9
• Jean-Christophe GALLARD
• jgallard_at_free.fr

2
Plan du Cours

• Introduction
• Méthodologie - une introduction
• Limites de telles analyses
• Prise dempreinte
• Utilisation des outils d audit
• Identification et exploitation des vulnérabilités
• Le rapport danalyse
• Conclusion

3
Introduction
4
Introduction

• A quoi sert un audit technique?
• gt Fournir un  instantané  technique objectif
  de létat de la sécurité dun Système
• Deux grand types daudit
•  Boîte blanche 
•  Boîte noire  (red team, pen test - test
  intrusif en conditions quasi réelles)

5
Introduction

• Audit  boîte blanche 
• type daudit dans lequel lauditeur dispose
• de toutes les informations voulues
  (documentation, administrateurs),
• dun accès physique aux éléments constitutifs du
  Système dInformation
• volonté dexhaustivité des vulnérabilités (vœux
  pieux)

6
Introduction

• Audit  boîte noire 
• type daudit dans lequel lauditeur se place dans
  la position dun attaquant probable (dénommé
  également  test intrusif ).
• Lattaquant supposé nest pas nécessairement un
  pirate sévissant sur lInternet (attaquant
  interne à lentreprise par exemple)
• Les informations utiles ne sont pas forcément
  toutes disponibles
• On cherche surtout à démontrer la faisabilité
  dune attaque depuis un point donné.

7
Introduction

• Différences entre les deux méthodes
• motivations
• furtivité (quoi que)
• phase dapprentissage plus lourde en boite noire
• résultats plus riches en boîte blanche
• Similitudes
• mêmes outils à de rares différences près
• mêmes techniques
• PAS de garantie dexhaustivité
• gt raisons pour lesquelles ce même cours recouvre
  les deux aspects

8
Méthodologie - une introduction
9
Problématique de lanalyse de vulnérabilités

• Que cherche t-on ?
• Quelles sont les conditions initiales (accès
  local, distant)
• Jusquoù est on autorisé à aller ?
• Problèmes légaux

10
Traçabilité des actions (1/2)

• Toute analyse technique revêt une part de risque
  
• pour laudité (mise à mal de son système, déni de
  service, traces mal effacées), et ses éventuels
  partenaires (dommages collatéraux ?)
• mais aussi pour lauditeur (risque juridique -
  code pénal)

11
Traçabilité des actions (2/2)

• Dou une nécessité de TOUJOURS tracer la moindre
  action
• journal de bord
• logs des outils
• logs systèmes
• keylogger
• ...

12
Les bases de vulnérabilités (1/2)

• Domaine très vaste
• Présentes sous deux formes
• bases formelles souvent présentes dans les
  outils danalyse automatique et couplées aux
   exploits  correspondants,
• bases informelles bases personnelles, mais
  surtout sites Internet spécialisés

13
Les bases de vulnérabilités(2/2)

• Quelques sites incontournables
• Packetstorm
• http//packetstorm.dnsi.info/ (miroir France)
• SecurityFocus
• http//www.securityfocus.com/
• La liste bugtraq / NTBugtraq
• http//www.ntbugtraq.com/
• http//www.bugtraq.com/
• Le site CVE
• http//cve.mitre.org/
• CERT
• http//www.cert.org
• Microsoft
• http//www.microsoft.com/technet/security/current.
  asp

14
La prise de renseignement technique (1/2)

• Notion de prise dempreinte (fingerprinting)
• Principe de base
•  Chaque système trahit son existence et ses
  paramètres par son comportement 

15
La prise de renseignement technique (2/2)

• Principalement utilisée en boîte noire, mais peut
  être une précieuse alliée même en boite blanche
• Techniques actives et/ou passives
• En boîte blanche sert de complément
  indispensable à lanalyse des documentations
  fournies
• gt vérification de leur justesse et situation
  réelle comparée à celle supposée

16
Lidentification des vulnérabilités (1/2)

• Un seul outil reste vraiment indispensable

Un cerveau (standard et de préférence en état de
fonctionnement)
17
Lidentification des vulnérabilités (2/2)

• Des outils ou - automatiques peuvent être
  employés
• scanners de services (port scanners)
• scanners de vulnérabilités (spécifiques ou
  généralistes)
• outils standards détournés de leur utilisation
  normale (telnet, traceroute, nslookup)
• outillage réseau complémentaire (sniffers,
  générateurs de paquets)

18
Lexploitation des vulnérabilités

• La mise de jour de certaines vulnérabilités peut
  amener à progresser plus avant dans le système si
  on les exploite
• En boite boire cest un peu le but du jeu
• En boîte blanche ATTENTION à ne pas outrepasser
  ses droits
• A tracer avec la plus extrême minutie

19
Limites des analyses
20
Limites techniques / exhaustivité des résultats

• La qualité des résultats obtenus reste fortement
  dépendante des facteurs suivants
• caractéristiques des moyens de com (débit du
  point daccès, QoS)
• efficacité des outils de tests à disposition
• efficacité des moyens de filtrages entre
   lattaquant  et sa cible
• présence ou non de contres-mesures (IDS, systèmes
  réactifs, honeypot)
• types de protocoles utilisés...
• Dans tous les cas il nexiste AUCUNE garantie
  dexhaustivité gt problème du niveau dassurance

21
Contraintes

• Certaines contraintes techniques et/ou
  organisationnelles peuvent savérer
  particulièrement pénalisantes pour lauditeur
• méfiance des utilisateurs / administrateurs
  (boîte blanche) gt rétention d information,
  voire désinformation
• débit du point daccès insuffisant pour mener
  certains tests
• nécessité de mener des tests furtifs
• délais daudit très courts
• Déni de service

22
Problématique du déni de service

• De nombreuses vulnérabilités en déni de service
  ne peuvent être mises en évidence quen réalisant
  le test  en live .
• gt si le test est positif, le système cible
  devient hors service !
• gt lauditeur censé améliorer la sécurité devient
  alors celui qui la dégrade...
• Une règle ne JAMAIS réaliser de test en DoS
  sauf en cas de demande écrite explicite.

23
Labaissement du niveau de sécurité dorigine

• Un mal nécessaire ?
• Progresser dans un SI nécessite parfois que
  lauditeur (en particulier en red team)
  sinstalle une ou plusieurs portes de services
  dans le système cible.
• Conséquence cette action dégrade la sécurité du
  système cible
• Si cette action apparaît inévitable faire en
  sorte de protéger ces entrées de services.
• Toujours avertir le responsable avant
  lintroduction dune telle porte dentrée

24
La prise dempreinte
25
Techniques passives (1/2)

• Technique de base le  sniffing 
• Analyse de flux binaires sur un réseau
• identifier les machines et leurs rôles,
• les services utilisés,
• les utilisateurs,
• les habitudes de fonctionnement
• De très nombreux outils disponibles (de 0 à
  40.000 ), plus ou moins performants et
  spécialisés

26
Techniques passives (2/2)

• Reconstitution de l architecture d un réseau
• Cette phase, souvent utilisée en Red Team
  simulant une attaque interne, consiste à tenter
  de reconstituer l architecture dun SI à l aide
  dinformations récupérées passivement.
• sera par la suite complétée par des
  investigations actives

27
Techniques actives (1/9)

• Exploitation des particularités des protocoles
  réseau
• En-têtes Ethernet (id constructeur)
• Protocoles ARP/RARP
• ICMP (traceroute, enregistrement de routes,
  messages de paquets détruits, pings)
• broadcasting (ethernet, IP)
• Bannières de connexions

28
Techniques actives (2/9)

• Environnements commutés
• dans un environnement switché, il nest plus
  possible de capturer tout le traffic sur un
  segment de réseau.
• Cependant, il est parfois possible de contourner
  la difficulté
• Trames de broadcast (passif)
• passage du switch en mode  diffusion 
  (aggressif)
• manipulation ARP/RARP

29
Techniques actives (3/9)

• Le  port scanning 
•  déterminer la liste exhaustive des services
  réseaux disponible sur une machine donnée 
• Utilise les particularités des protocoles
  TCP-UDP/IP
• Syn Scan (scan classique)
• Half Syn Scan (furtivité de base)
• Idle Host Scanning (furtivité évoluée)
• Très nombreux outils (nmap la  star )

30
Techniques actives (4/9)

• Principe de base de détection de port TCP ouvert

Client
Serveur
SYN
ACK, SYN
ACK
Toute réponse dacquittement à une trame de type
SYN implique que le port TCP correspondant est
ouvert
(poursuite des échanges)
31
Techniques actives (5/9)

• Technique du Half-Syn Scan
• Identique au SYN scan à ceci près que, lors dune
  réponse ACK,SYN , lattaquant ne poursuit pas
  les échanges
• gt comme la connexion nest pas menée à son
  terme, rien napparaît dans les éventuels logs du
  système.

32
Techniques actives (6/9)

• Technique de lIdle Host Scanning
• on utilise une machine tierce, inactive et dont
  les numéros de séquence TCP sont prévisibles
• utilisation de Hping pour émettre des paquets IP
  à la cible et dont ladresse source est falsifiée
  (source machine tierce)
• envoi de trames (hping) à la machine tierce et
  analyse des numéros de séquences renvoyés
• Vu de la victime cest la machine tierce qui
  réalise les scans

33
Techniques actives (7/9)

• Cas 1 port TCP ouvert

C
A
Cible
Attaquant
B
Machine Tierce
Plus de prévisibilité des numéros de séquence
gt Le port est ouvert
34
Techniques actives (8/9)

• Cas 2 port TCP fermé

C
A
Cible
Attaquant
B
Prévisibilité des numéros de séquence
maintenus gt Le port est fermé
Machine Tierce
35
Techniques actives (9/9)

• OS Fingerprinting détection de système
  dexploitation
• Plusieurs techniques  ancestrales 
• état global des services disponibles ( ou -
  fiable)
• bannières de connexion (problèmes de
  falsification ou dabsence)
• exploitation de certains services réseaux (ex
  Netbios)
• Méthode de Fyodor (nmap) technique la plus
  aboutie
•  repérer les particularités des piles TCP/IP des
  OS par analyse des réponses à des requêtes IP
  données 
• il existe cependant des patchs (Linux)
  pourleurrer cette technique (IP personality)

36
Détection des paramètres de configuration dun OS
(1/2)

• Les services  bavards 
• certains services réseau donnent de nombreuses
  informations sur létat de configuration dun OS
  gt exploiter ces particularités pour se
  renseigner.
• Finger,
• SNMP
• FTP
• E-Mail
• et bien sûr SMB-CIFS / NetBios

37
Détection des paramètres de configuration dun OS
(2/2)

• Cas de Windows
• Les services réseau de Windows sont TRES bavards
• En outre, selon la configuration choisie, la
  récupération dinformation peut se faire sans
  être authentifié sur le système cible.
• LanGuard NetWork Scanner
• Winfingerprint
• Hyena
• ...

38
Utilisation des outils daudit
39
Les scanners de vulnérabilités (1/2)

• Les  Stars 
• ISS
• Nessus
• Saint
• Cybercop Scanner (anciennement Balista)

40
Les scanners de vulnérabilités(2/2)

• Offre du marché (non exhaustif)

41
Mise en œuvre de scanners de vulnérabilités (1/2)

• Ciblage et paramétrage ne mener que les tests
  utiles
• Démarche incrémentale
• Zero knowledge
• Anonymous mode
• User mode
• Admin mode

42
Mise en œuvre de scanners de vulnérabilités (2/2)

• Dépouillement des résultats quelles
  vulnérabilités retenir ?
• Sont elles pertinentes ?
• Sont elles exploitables ?
• Dans quelles conditions ?
• Peut-on sen protéger ?
• Comment ?
• gt détermination du chemin dattaque

43
Tests Manuels

• Complément aux tests automatiques
• Constitue un  ciment  pour laudit technique
• Exemples en boîte blanche
• vérification de la configuration locale dune
  machine
• analyse dun fichier de filtrage (routeur ou
  firewall)

44
Quelques outils complémentaires
45
Identification et exploitation des vulnérabilités
46
Identification et exploitation des vulnérabilités

• La phase de dépouillement doit permettre la mise
  en évidence des vulnérabilités exploitables sur
  le système cible.
• Cette liste peut être exploitée afin de
  poursuivre les investigations démarche
  incrémentale
• Mise en évidence de chemin(s) dattaque et,
  surtout, des chemins critiques
• permettra de valuer les vulnérabilités...
• ...et de prioriser les corrections

47
Le rapport danalyse
48
Généralités

• Lobjectif du rapport daudit est de fournir à
  laudité les éléments nécessaires à une meilleure
  sécurité de son système d information
• A ce titre, il ne doit pas constituer une simple
  liste  à la Prévert  des failles décelées.
• Chaque faille doit être pondérée en fonction
• de sa gravité,
• de son caractère exploitable ou non, et dans
  quelles conditions.

49
Généralités

• Un rapport daudit doit également préciser une
  proposition de plan daction personnalisé pour
  améliorer la sécurité
• du général au particulier
• ne pas hésiter à regrouper les failles décelées
  sous une même contre-mesure lorsque cela est
  possible
• proposer des jalons temporels
• chiffrer les coûts (financiers, mais surtout
  humains), même approximativement
• adapter le plan daction à laudité(capacités
  financières et humaines,temps nécessaire)

50
Quelles informations donner ?

• Deux approches
• Exhaustive toutes les vulnérabilités sont
  listées
• Synthétique on ne donne que les points les plus
  durs
• Solution optimale opter pour un mélange des
  deux approches
• une synthèse courte des problèmes rencontrés,
  essentiellement à lattention des décideurs
• une ou plusieurs annexes, plutôt destinées aux
  administrateurs.

51
Quelles informations donner ?

• Ne pas hésiter à marquer les esprits en disant
  les choses telles quelles sont
• un auditeur est avant tout une personne
  extérieure au système, présentant ses résultats
  sans compromis et de la façon la plus objective.
• Toujours rester factuel, bannir le  flou
  artistique .

52
Conclusions