Institut de la Francophonie Ecole Nationale Supérieure des pour l’Informatique Télécommunications RAPPORT DE STAGE DE FIN D’ETUDES Sujet - Etude et analyse des attaques et des signatures d'attaques - Etude bibliographique des parades au DoS et DDoS - Etude des HoneyPots - Intégration des HoneyPots dans une architecture globale de protection Etudiant : Responsables : DOAN DUY Thieu Hoa, IFI Ahmed SERHROUCHNI Paris, jenvier - juillet 2004 TIEU LUAN MOI download : skknchat@gmail.com Sujet Etude et analyse des attaques et des signatures d'attaques Etude bibliographique des parades au DoS et DDoS Etude des HoneyPot Intégration des HoneyPot dans une architecture globale de protection 2 TIEU LUAN MOI download : skknchat@gmail.com Table de matière Introduction. 6 Partie 1 : Etude des attaques. 7 Déterminer des vulnérabilités.7 Le craquage par mot de passe .7 Le sniffing des mots de passe et des paquets .10 Les chevaux de Troie.11 Les bombes logiques .11 Le TCP-SYN flooding.14 Partie 2 : Etude bibliographique des parades au DoS et DDoS .15 Les attaques directes.15 Les attaques indirectes par rebond .16 Les attaques indirectes par réponse.16 Quelques parades de type DoS.17 Ping de la mort .26 Mesures de protection .26 Partie 3 : Etude des HoneyPot .30 Les types d'honeypot .30 Honeyd: Low-interaction honeypot.31 Honeynet: High-interaction honeypot.32 3 TIEU LUAN MOI download : skknchat@gmail.com Valeurs de Honeypot.33 Partie 4 : Intégration des HoneyPot dans une architecture globale de protection .37 Configurer un réseau virtuel simple.37 Configurer un réseau virtuel avec un routeur .38 Configurer un réseau virtuel relié aux machines réelles .39 Configurer un réseau virtuel complexe .40 Outils aide à créer fichier de configuration honeyd .41 Lancer Honeyd et analyser les données capturées.43 Analyser les données capturées. 55 4 TIEU LUAN MOI download : skknchat@gmail.com Introduction Ce document est un rapport du stage que j’ai effectué du 1er janvier 2004 au 30 juin 2004 dans le cadre de la scolarité 2003/2004 au Département Informatique et Réseau, ce stage est placé sous la direction de Monsieur le Professeur Ahmed Serhrouschni L’objectif du projet était de : - Etude et analyse des attaques et des signatures d’attaques - Etude bibliographique des parades au DoS et DDoS - Etude des HoneyPot - Intégration des HoneyPot dans une architecture globale de protection Ce stage s’inscrit dans le cadre de mon stage de fin d’étude pour valider mon diplôme de DEA à l’Institut de la Francophonie pour l’Informatique au Vietnam.
Ce document présentera 4 parties principales correspondantes à l’objectif du projet. 5 TIEU LUAN MOI download : skknchat@gmail.com Remerciements Je tien tout d’abord à remercier Monsieur le Professeur Ahmed Serhrouchni pour m’avoir accueilli dans son projet et avoir encadré mon stage. Je remercie tout particulièrement Adil Andalousie pour tous ses conseils sur la signature électronique ainsi que le certificat électronique et le temps qu’il m’a consacré. Merci également à toutes les personnes dans mon bureau qui m’a donné un environnement de travail très agréable.
6 TIEU LUAN MOI download : skknchat@gmail.com Partie 1 : Etude des attaques Déterminer des vulnérabilités Cette opération consiste à déterminer le système d'exploitation, les services ouverts ainsi que leur version afin de pouvoir déterminer les éventuelles failles et les exploiter. Un des outils les populaire et les plus puissant est « nmap »'. Il permet entre autres le half-scan (sans établir de connexion) nmap -sS IP_du_serveur ou encore, le fingerprinting (détection d'OS) nmap -sS -O IP_du_serveur Il y a des autres outils qui nous aident à déterminer les vulnérabilités dans un système. Par exemple, sous Windows, l’outils SuperScan est connu et souvent utilisé par l’attaquant.
Dans la dernière partie, je l’utilise pour collectionner les informations sur les machines virtuelles. Après avoir obtenu les informations nécessaires sur les OS ou services ouvertes, l’attaquant va chercher les vulnérabilités et les méthodes d’attaque correspondantes Le craquage par mot de passe La manière la plus classique par laquelle un hacker va essayer d'obtenir un mot de passe est l'attaque avec un dictionnaire. Dans ce genre d'attaque, le hacker utilise un dictionnaire de mots et de noms propres, et il les essaie un à un pour vérifier si le mot de passe est valide. Ces attaques se font avec des programmes qui peuvent deviner des milliers de mots de passe à la seconde, même quand ceux-ci sont ``hachés''.
Ce procédé est d'autant plus facile qu'il lui permet de tester des variations sur les mots : mots écrits à l'envers, majuscules et minuscules, ajout de chiffres à la fin du mot. Le sniffing des mots de passe et des paquets Si un hacker ne peut pas deviner un mot de passe, il a d'autres outils pour l'obtenir. Une façon qui est devenue assez populaire est le sniffing. La plupart des réseaux utilisent la technologie de broadcast (comme Ethernet).
En pratique, tous les ordinateurs sauf le destinataire du message vont s'apercevoir que le message 7 TIEU LUAN MOI download : skknchat@gmail.com ne leur est pas destiné et vont donc l'ignorer. Mais par contre, beaucoup d'ordinateurs peuvent être programmés pour regarder chaque message qui traverse le réseau (mode promiscuité). Il existe des programmes qui utilisent ce procédé et qui capturent tous les messages qui circulent sur le réseau en repérant les mots de passe. Si quelqu'un se connecte à un ordinateur à travers un réseau en utilisant les protocoles insécurités (telnet, rlogin, ftp.), alors cette personne risque de perdre son mot de passe.
C'est pourquoi il existe une menace sérieuse pour les personnes qui se connectent sur des ordinateurs distants, où les mots de passe apparaissent en clair dans la trame. Les programmes de sniffing les plus connus sont Esniff et TCPDump. Mais un sniffer peut tout aussi bien être bénéfique à l'administrateur réseau, puisqu'il permettrait de déceler avant les Hackers les failles de sécurité de son réseau.12 sous Linux permet de journaliser les événements définis par l'administrateur. Il est en outre compatible avec les journaux de LOG des routeurs Cisco (Cisco Secure IDS iplog files).
Ethereal est téléchargeable à l'adresse suivante : http://www.com/ Voici ci-dessous une liste d'autres sniffers disponibles dans le commerce Nom Adresse Description ATM Sniffer Network http://www.com Décode plus de 250 protocoles Analyzer Shomiti Systems http://www.com Supporte le standard Ethernet et Century LAN Analyzer fonctionne sous Windows 95/98 et NT PacketView de Klos ftp.com/demo/pvdemo.zip Ce sniffer est basé sur DOS, idéal pour Technologies les environnements Ethernet Network Probe 8000 http://www.com Fait une analyse d'environ 13 protocoles dont TCP/IP, Microsoft, NFS, Novell LANWatch http://www.com Marche sous DOS, Windows 9x et NT EtherPeek http://www.com Pour Windows et plates-formes Macintosh Ethload http://www.com/nopro Sniffer qui permet de surveiller les gs/ethld104.zip sessions rlogin et telnet Linux sniffer Sniffer de mots de passe uniquement, en langage C La meilleure défense contre l'attaque de sniffers est l'utilisation d'un protocole de chiffrement comme SSL (Secure Socket Layer). 8 TIEU LUAN MOI download : skknchat@gmail.com L'IP spoofing L'adresse IP d'un ordinateur est l'adresse qui est utilisée pour reconnaître un ordinateur sur internet. Un des principaux problèmes est qu'en utilisant le routage source d'IP, l'ordinateur du hacker peut se faire passer pour un ordinateur connu. Le routage source d'IP est une option qui peut être utilisée pour spécifier une route directe à une destination et renvoyer le chemin de retour à l'expéditeur.
La route peut inclure l'utilisation d'autres routeurs ou de serveurs qui n'auraient normalement pas été utilisés pour faire suivre les paquets à la destination finale. Voici un exemple qui montre comment ceci peut être utilisé de façon à ce que l'ordinateur de l'intrus apparaisse comme étant l'ordinateur certifié par le serveur : • L'agresseur change l'adresse IP de son ordinateur pour faire croire qu'il est un client certifié par le serveur, • Il va ensuite construire une route source jusqu'au serveur qui spécifiera le chemin de retour direct que les paquets IP devront prendre pour aller au serveur et qu'ils devront prendre pour retourner à l'ordinateur de l'agresseur en utilisant le client certifié comme dernière étape dans la route vers le serveur, • L’agresseur envoie une requête client au serveur en utilisant la route source, • Le serveur accepte la requête du client comme si elle provenait directement du client certifié et retourne une réponse au client, • Le client, utilisant la route source, faire suivre le paquet à l'ordinateur de l'agresseur. Beaucoup de machines Unix acceptent les paquets de route source et les redirigent comme la route source l'indique. Beaucoup de routeurs acceptent également les paquets de route source bien que certains d'entre eux puissent être configurés pour bloquer ces paquets.
Le routeur, pour des raisons de sécurité, ne devra pas accepter le routage source. Une autre manière encore plus simple pour spoofer un client est d'attendre que le système client ait éteint sa machine et de se faire passer ensuite pour ce dernier. Les entreprises utilisent souvent des PC et le protocole TCP/IP et NFS pour se connecter à des serveurs Unix et obtenir un accès aux répertoires et aux fichiers du serveur. Comme NFS utilise uniquement les adresses IP pour authentifier les clients, un intrus pourrait configurer un PC avec le même nom et la même adresse IP qu'un autre ordinateur, et alors essayer de lancer des connexions au serveur Unix comme s'il était le vrai client.
Ceci est très simple à réaliser et ressemblerait à une attaque de l'intérieur. Le routeur devra 9 TIEU LUAN MOI download : skknchat@gmail.com donc refuser les connexions d'une machine ayant la même adresse IP qu'une machine interne, mais se trouvant à l'extérieur du réseau local. Les e-mails sont particulièrement sujets au spoofing car ils sont faciles à réaliser. Les courriers électroniques sans l'ajout d'une signature électronique ne peuvent pas être d'origine fiable.
Il est facile par Telnet de se connecter directement au port SMTP du système (port 25). Le serveur recevant ces commandes fait confiance à cette personne si elle s'identifie. D'où le fait que le courrier électronique peut lui aussi être spoofé facilement en entrant une adresse d'expéditeur différente de l'adresse réelle. On peut donc sans aucun privilège falsifier ou spoofer le courrier électronique.
D'autres services comme le DNS peuvent aussi être spoofés mais avec toutefois plus de difficultés que le courrier électronique. Ces services représentent une crainte qui mérite d'être considérée quand on les utilise. Le routeur pare-feu devra tenir régulièrement à jour ses fichiers LOG afin de contrôler toute tentative de piratage. De plus, ces fichiers LOG devront être sécurisés pour éviter toute modification malveillante.
Les scanners Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donnée. Les Hackers utilisent les scanners pour savoir comment ils vont procéder pour attaquer une machine. Leur utilisation n'est heureusement pas seulement malsaine, car les scanners peuvent aussi permettre de prévenir une attaque. Le plus connu des scanners réseau est WS_Ping ProPack, que l'on peut trouver sur http://www.com/french/wsping.html Les fichiers LOG générés par les scanners ne doivent pas être modifiables par un pirate.
Les chevaux de Troie Un cheval de Troie est un programme qui se cache lui-même dans un autre programme apparemment au-dessus de tout soupçon. Quand la victime (l'utilisateur normal) lance ce programme, elle lance par là même le cheval de Troie caché. Actuellement, les chevaux de Troie les plus utilisés sont : Back Orifice 2000, Backdoor, Netbus, Subseven, Socket de Troie. La méthode la plus efficace pour se protéger de ces programmes néfastes est d'utiliser un bon antivirus comme Norton 2000 ou Network Associates.
Des programmes spécifiques permettent également de scruter toute tentative de connexion sur les ports scrutés. Lockdown 2000 est le plus connu d'entre eux : une fois une tentative de connexion détectée, il fait un traceroute sur l'IP qui a tenté la connexion. La version 4 possède en bibliothèque 488 signatures de ``Troyans''. La machine Linux devra être équipée d'un antivirus permettant de repérer non seulement les 10 TIEU LUAN MOI download : skknchat@gmail.com virus, mais également les chevaux de Troie.
Les vers Un ver est un programme capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque ni d'une action par une personne.