SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }

SE PREMUNIR SE PREMUNIR CONTRE DES CONTRE DES

ATTAQUESATTAQUES

{ Partie 1 }{ Partie 1 }

LA PREVENTION DES ATTAQUESLA PREVENTION DES ATTAQUES

• La sécurité exige de parler des failles de sécurité pour s'en La sécurité exige de parler des failles de sécurité pour s'en prémunirprémunir

• Ce cours n'est pas une liste de recettes pour attaquer des Ce cours n'est pas une liste de recettes pour attaquer des sites mais la description des principales attaques afin de sites mais la description des principales attaques afin de mieux aider à les comprendre.mieux aider à les comprendre.

• Classiquement, une attaque se fera selon un même schémaClassiquement, une attaque se fera selon un même schéma1) Collecte d'information sur le site à attaquer1) Collecte d'information sur le site à attaquer– Ingénierie socialeIngénierie sociale– DNS DNS – WHOISWHOIS

2) Repérage des lieux (attaques de reconnaissance)2) Repérage des lieux (attaques de reconnaissance)3) Détermination des vulnérabilités (attaques de 3) Détermination des vulnérabilités (attaques de

reconnaissance)reconnaissance)4a) Attaques en déni 4a) Attaques en déni

ouou4b) Attaques d'accès 4b) Attaques d'accès – collecte d'informations collecte d'informations – repérage des lieuxrepérage des lieux– détermination des vulnérabilités détermination des vulnérabilités – effacement des traceseffacement des traces

ATTAQUE DE RECONNAISSANCE ATTAQUE DE RECONNAISSANCE Attaque ICMPAttaque ICMP

• Type d'attaque : attaque de reconnaissanceType d'attaque : attaque de reconnaissance• Mécanismes :Mécanismes :

Balayage d'une classe d'adresse par Balayage d'une classe d'adresse par • un script shellun script shell• un utilitaire (ex : hping)un utilitaire (ex : hping)

• Requêtes plus pousséesRequêtes plus poussées– sur le masque de sous-réseau (type 17)sur le masque de sous-réseau (type 17)– fournit des informations sur la topologiefournit des informations sur la topologie

• Objectif : déterminer les hôtes actifs ou la Objectif : déterminer les hôtes actifs ou la topologietopologie

• Caractéristiques :Caractéristiques :– Valable pour des petits réseaux (classe C) Valable pour des petits réseaux (classe C) – Détermine les machines actives et la topologieDétermine les machines actives et la topologie

• ParadesParades– Utilitaires de détection (scripts ou utilitaires du marché) Utilitaires de détection (scripts ou utilitaires du marché) – SnifferSniffer– Blocage du trafic ICMP au niveau du firewall (mieux)Blocage du trafic ICMP au niveau du firewall (mieux)

ATTAQUE DE RECONNAISSANCE ATTAQUE DE RECONNAISSANCE Balayage de PortBalayage de Port

• Type d'attaque : attaque de reconnaissanceType d'attaque : attaque de reconnaissance• Succède à une reconnaissance ICMP ou concomitante à celle-ciSuccède à une reconnaissance ICMP ou concomitante à celle-ci• Mécanismes :Mécanismes :

– Balayage des ports TCP ou UDP des machines ciblesBalayage des ports TCP ou UDP des machines cibles– Scripts Perl (socks !)Scripts Perl (socks !)– Très nombreux utilitairesTrès nombreux utilitaires

• Strobe (balayage TCP)Strobe (balayage TCP)• Udp_scan (balayage UDP)Udp_scan (balayage UDP)• Netcat (nc)Netcat (nc)• Network Mapper (nmap)Network Mapper (nmap)

• ObjectifsObjectifs– Détermination des ports en veilleDétermination des ports en veille– Reconnaissance des équipements ou applicationsReconnaissance des équipements ou applications

• Caractéristiques :Caractéristiques :– Handshake TCP (SYN, SYN/ACK,ACK) connexion complèteHandshake TCP (SYN, SYN/ACK,ACK) connexion complète– TCP SYN (SYN, RST/ACK) plus discretTCP SYN (SYN, RST/ACK) plus discret– TCP FIN ou NUL (RST pour port fermé)TCP FIN ou NUL (RST pour port fermé)– Balayage UDPBalayage UDP

• ParadesParades– Utilitaires de détectionUtilitaires de détection– Désactivation des services inutiles sur les serveursDésactivation des services inutiles sur les serveurs– Blocage des ports au niveau du firewall (mieux)Blocage des ports au niveau du firewall (mieux)

ATTAQUE DE RECONNAISSANCE ATTAQUE DE RECONNAISSANCE Reconnaissance des systèmesReconnaissance des systèmes

• Type d'attaque : attaque de reconnaissanceType d'attaque : attaque de reconnaissance• Succède à un balayage de portSuccède à un balayage de port• Mécanismes :Mécanismes :

– Tests de la pile IP et comparaison avec des signatures Tests de la pile IP et comparaison avec des signatures d'implémentationd'implémentation

– UtilitairesUtilitaires• Network Mapper (nmap)Network Mapper (nmap)• QuesoQueso

• ObjectifsObjectifs– Détermination des systèmesDétermination des systèmes– Préalable à une attaque d'accèsPréalable à une attaque d'accès

• Caractéristiques :Caractéristiques :– Handshake TCP (SYN, SYN/ACK,ACK) connexion complèteHandshake TCP (SYN, SYN/ACK,ACK) connexion complète– TCP SYN (SYN, RST/ACK) plus discretTCP SYN (SYN, RST/ACK) plus discret– TCP FIN ou NUL (RST pour port fermé)TCP FIN ou NUL (RST pour port fermé)– Balayage UDPBalayage UDP

• ParadesParades– Utilitaires de détectionUtilitaires de détection– Désactivation des services inutiles sur les serveursDésactivation des services inutiles sur les serveurs– Patches à jour pour les serveurs ouverts à l'Internet (à minima)Patches à jour pour les serveurs ouverts à l'Internet (à minima)– Blocage des ports au niveau du firewall (Mieux !!!)Blocage des ports au niveau du firewall (Mieux !!!)

ATTAQUE DE RECONNAISSANCEATTAQUE DE RECONNAISSANCEReconnaissance des systèmes (1/2)Reconnaissance des systèmes (1/2)

• Type d'attaque : attaque de reconnaissanceType d'attaque : attaque de reconnaissance• Succède à un balayage de portSuccède à un balayage de port• Mécanisme : il s’agit de ce bon vieux telnet !Mécanisme : il s’agit de ce bon vieux telnet !• ObjectifsObjectifs

– Détermination du systèmeDétermination du système– Préalable à une attaque d'accèsPréalable à une attaque d'accès

• Caractéristiques :Caractéristiques :– Chaque système envoie une inviteChaque système envoie une invite

• ExempleExemple• ParadesParades

– Blocage du port au niveau du firewall (LE TELNET Blocage du port au niveau du firewall (LE TELNET NE DOIT JAMAIS ETRE OUVERT D'INTERNET)NE DOIT JAMAIS ETRE OUVERT D'INTERNET)

– Access list sur les routeurs de l'inter-réseauAccess list sur les routeurs de l'inter-réseau

ATTAQUE DE RECONNAISSANCEATTAQUE DE RECONNAISSANCEReconnaissance des systèmes (2/2)Reconnaissance des systèmes (2/2)

• Type d'attaque : attaque de reconnaissanceType d'attaque : attaque de reconnaissance• Succède à un balayage de portSuccède à un balayage de port• MécanismeMécanisme

– protocole SMTPprotocole SMTP– protocole httpprotocole http– Identification du système logiciel fourni en réponse !Identification du système logiciel fourni en réponse !

• ObjectifsObjectifs– Détermination du systèmeDétermination du système– Préalable à une attaque d'accèsPréalable à une attaque d'accès

• Caractéristiques :Caractéristiques :– Chaque système envoie une inviteChaque système envoie une invite

• ExempleExemple• Parades : configuration des serveurs http ou de Parades : configuration des serveurs http ou de

messageriemessagerie

ATTAQUE DE RECONNAISSANCE ATTAQUE DE RECONNAISSANCE Attaque DNS (1)Attaque DNS (1)

• Type d'attaque : Attaque de reconnaissanceType d'attaque : Attaque de reconnaissance• Mécanisme :Mécanisme :

– Corruption de la zone cache ou data du serveur DNS Corruption de la zone cache ou data du serveur DNS attaquéattaqué

• ObjectifsObjectifs– Paralysie du réseau ou des systèmes (trafic acheminé Paralysie du réseau ou des systèmes (trafic acheminé

vers les réseaux inexistants)vers les réseaux inexistants)– Usurpation d'identité (ré acheminement du trafic)Usurpation d'identité (ré acheminement du trafic)

• Caractéristiques :Caractéristiques :– Exploitation de failles sur les implémentationsExploitation de failles sur les implémentations

• ParadesParades– Restriction des requêtes pour certaines zones Restriction des requêtes pour certaines zones

(allowquery)(allowquery)– Contrôle du transfert de zone (allow-transfert)Contrôle du transfert de zone (allow-transfert)– Usage de bind 8.2Usage de bind 8.2

ATTAQUE DE DENI DE SERVICE ATTAQUE DE DENI DE SERVICE Saturation des ressourcesSaturation des ressources

• Remarque : il est plus facile de paralyser l'accès à un Remarque : il est plus facile de paralyser l'accès à un réseau ou un système que d'obtenir cet accès.réseau ou un système que d'obtenir cet accès.

• Type d'attaque : Déni de serviceType d'attaque : Déni de service• Mécanisme :Mécanisme :

– Saturation de la bande passanteSaturation de la bande passante– Saturation des ressources (ex : mail massif)Saturation des ressources (ex : mail massif)

• Objectif : paralysie du réseau ou des systèmesObjectif : paralysie du réseau ou des systèmes• Caractéristiques :Caractéristiques :

– L'attaquant dispose de plus de bande passanteL'attaquant dispose de plus de bande passante– L'attaquant mobilise de la bande passante au travers de L'attaquant mobilise de la bande passante au travers de

nombreux autres sitesnombreux autres sites– Inondation d'un service par des requêtes valides et autoriséesInondation d'un service par des requêtes valides et autorisées

• ParadesParades– Peu de bonnes parades en réalitéPeu de bonnes parades en réalité– Surveillance du traficSurveillance du trafic– Surveillance de la consommation de ressource systèmesSurveillance de la consommation de ressource systèmes

ATTAQUE DE DENI DE SERVICEATTAQUE DE DENI DE SERVICEAttaque DNS (2)Attaque DNS (2)

• Type d'attaque : Déni de service ou usurpationType d'attaque : Déni de service ou usurpation• Mécanisme :Mécanisme :

– Corruption de la zone cache ou data du serveur DNS Corruption de la zone cache ou data du serveur DNS attaquéattaqué

• ObjectifsObjectifs– Paralysie du réseau ou des systèmes (trafic acheminé Paralysie du réseau ou des systèmes (trafic acheminé

vers les réseaux inexistants)vers les réseaux inexistants)– Usurpation d'identité (ré acheminement du trafic)Usurpation d'identité (ré acheminement du trafic)

• Caractéristiques :Caractéristiques :– Exploitation de failles sur les implémentationsExploitation de failles sur les implémentations– Exploitation de la récursivitéExploitation de la récursivité

• ParadesParades– Patches à jourPatches à jour– Usage de bind 8.2Usage de bind 8.2– Interdiction de la récursivité (recursion no)Interdiction de la récursivité (recursion no)

ATTAQUE DE RECONNAISSANCEATTAQUE DE RECONNAISSANCESynthèse sur la recherche d'informationSynthèse sur la recherche d'information

• A la base des attaques d'accès ou de déni de A la base des attaques d'accès ou de déni de serviceservice

• Recherche d'informations publiquesRecherche d'informations publiques– DNS avec dig ou nslookup, RIPE avec whoisDNS avec dig ou nslookup, RIPE avec whois

• Découverte du réseauDécouverte du réseau– traceroute, ping, hping, firewalk, filterrules, traceroute, ping, hping, firewalk, filterrules,

netcatnetcat• Découverte des systèmes d'exploitationDécouverte des systèmes d'exploitation

– nmap, quesonmap, queso• Découverte de services ouvertsDécouverte de services ouverts

– strobe, nmap, udp-scanstrobe, nmap, udp-scan• Découverte des versions logiciellesDécouverte des versions logicielles

– telnet, netcat, smtp, httptelnet, netcat, smtp, http

ATTAQUE DE DENI DE SERVICEATTAQUE DE DENI DE SERVICEAttaque TCP-SYNAttaque TCP-SYN


– Etablissement de connexions pendantes ou semi-ouvertes Etablissement de connexions pendantes ou semi-ouvertes (jamais acquittés)(jamais acquittés)

• ObjectifsObjectifs– Paralysie du systèmeParalysie du système

• Caractéristiques :Caractéristiques :– Exploitation du protocole TCPExploitation du protocole TCP– Inondation de paquets TCP SYNInondation de paquets TCP SYN– Mystification de l'adresse sourceMystification de l'adresse source

• ParadesParades– Pas de parade réellement satisfaisantePas de parade réellement satisfaisante– Limitation de la durée d'une connexion semi-ouverte (pas Limitation de la durée d'une connexion semi-ouverte (pas

satisfaisant)satisfaisant)– limitation du nombre de connexions et de connexions à demi limitation du nombre de connexions et de connexions à demi

ouverte (Cisco Pix)ouverte (Cisco Pix)– Outil de détectionOutil de détection

ATTAQUE DE DENI DE SERVICEATTAQUE DE DENI DE SERVICEAttaque SMURFAttaque SMURF


– Envoi d'un ping sur une adresse de diffusionEnvoi d'un ping sur une adresse de diffusion

• ObjectifsObjectifs– Paralysie du systèmeParalysie du système

• Caractéristiques :Caractéristiques :– Exploitation du protocole IPExploitation du protocole IP– Envoi d'un ping sur l'adresse du réseau ou du Envoi d'un ping sur l'adresse du réseau ou du

broadcastbroadcast– Mystification de l'adresse sourceMystification de l'adresse source

• ParadesParades– Blocage au niveau des systèmesBlocage au niveau des systèmes

• Par défaut pour certains (ex : AIX 4.3)Par défaut pour certains (ex : AIX 4.3)• A activer sur d'autresA activer sur d'autres

– Blocage au niveau du firewall (mieux)Blocage au niveau du firewall (mieux)

ATTAQUE DE DENI DE SERVICEATTAQUE DE DENI DE SERVICEAttaque fragmentation IPAttaque fragmentation IP


– Exploitation de vulnérabilité sur le ré assemblage de certaines Exploitation de vulnérabilité sur le ré assemblage de certaines implémentations TCP/IPimplémentations TCP/IP

• Objectifs : paralysie du systèmeObjectifs : paralysie du système• Caractéristiques :Caractéristiques :

– Exploitation de vulnérabilitéExploitation de vulnérabilité– Programme teardrop (Le principe de l'attaque Programme teardrop (Le principe de l'attaque TeardropTeardrop

consiste à insérer dans des paquets fragmentés des consiste à insérer dans des paquets fragmentés des informations de décalage erronées. Ainsi, lors du informations de décalage erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements réassemblage il existe des vides ou des recoupements ((overlappingoverlapping), pouvant provoquer une instabilité du système)), pouvant provoquer une instabilité du système)

– Programmes dérivés (newtear, syndrop)Programmes dérivés (newtear, syndrop)– Chevauchement des paquetsChevauchement des paquets

• ParadesParades– Patches systèmesPatches systèmes– Dernière version système (Linux)Dernière version système (Linux)

ATTAQUE DE DENI DE SERVICEATTAQUE DE DENI DE SERVICEAutres attaques (non exhaustif)Autres attaques (non exhaustif)

• Attaque LandAttaque Land– Envoi d'un paquet avec @ip et port source, Envoi d'un paquet avec @ip et port source,

destinataire identiques => paralysie de certains destinataire identiques => paralysie de certains systèmessystèmes

– Parade : blocage au niveau du FirewallParade : blocage au niveau du Firewall• Attaque SMTPAttaque SMTP

– Envoi de mail en nombreEnvoi de mail en nombre– SpammingSpamming– Parade : relais de messagerie, règles anti-spamParade : relais de messagerie, règles anti-spam

• Ping de la mortPing de la mort– Fragmentation d'un paquet ICMP tel que pour le Fragmentation d'un paquet ICMP tel que pour le

dernier fragment :dernier fragment :offset + taille > 65535offset + taille > 65535

– Parade : blocage au niveau firewallParade : blocage au niveau firewall• Attaques par débordementAttaques par débordement

– Exploite des vulnérabilités connues des systèmesExploite des vulnérabilités connues des systèmes– Parade : mise à jour des patches systèmesParade : mise à jour des patches systèmes– Utilité d'un CERT est ici grande !Utilité d'un CERT est ici grande !

ATTAQUE D'ACCESATTAQUE D'ACCESAttaque TCPAttaque TCP

• Type d'attaque : Attaque d'accèsType d'attaque : Attaque d'accès• Mécanisme :Mécanisme :

1. L'attaquant initie une attaque de déni de service vers l'hôte de confiance1. L'attaquant initie une attaque de déni de service vers l'hôte de confianceCelui-ci est saturé est dans l'incapacité de répondreCelui-ci est saturé est dans l'incapacité de répondre2. L'attaquant initie une connexion vers le serveur (SYN)2. L'attaquant initie une connexion vers le serveur (SYN)3. Le serveur envoie un ACK SYN à l'hôte de confiance3. Le serveur envoie un ACK SYN à l'hôte de confiance4. L'attaquant attend un certain temps et s'assure que le serveur a bien envoyé le paquet ACK/SYN4. L'attaquant attend un certain temps et s'assure que le serveur a bien envoyé le paquet ACK/SYNL'attaquant, ayant prédit le numéro de séquence, est capable d'envoyer un paquet ACK qui établie L'attaquant, ayant prédit le numéro de séquence, est capable d'envoyer un paquet ACK qui établie une connexion fictive !une connexion fictive !

• CaractéristiquesCaractéristiques– prédiction de numéro de séquence spoofing IPprédiction de numéro de séquence spoofing IP

• Parade : blocage au niveau du firewallParade : blocage au niveau du firewall

ATTAQUE D'ACCESATTAQUE D'ACCES

Attaque par débordement Attaque par débordement (système Unix)(système Unix)• Type d'attaque : Attaque d'accèsType d'attaque : Attaque d'accès• Mécanisme :Mécanisme :

– Consiste à obtenir un débordement de tampon afin Consiste à obtenir un débordement de tampon afin d'exécuter du code en mode privilégiéd'exécuter du code en mode privilégié

• CaractéristiquesCaractéristiques– Repose sur la connaissance de la programmation UNIX Repose sur la connaissance de la programmation UNIX

Consiste à envoyer au programme plus de données que Consiste à envoyer au programme plus de données que l'espace mémoire alloué pour les recevoir.l'espace mémoire alloué pour les recevoir.

– Envoi dans les données de débordement d'un code Envoi dans les données de débordement d'un code adéquat adéquat

– Sans doute les plus dangereusesSans doute les plus dangereuses

• Parade :Parade :– Mise à jour des patches de sécuritéMise à jour des patches de sécurité– Cloisonnement des systèmes et des réseauxCloisonnement des systèmes et des réseaux

ATTAQUE D'ACCESATTAQUE D'ACCESAttaque par force bruteAttaque par force brute


– Consiste à essayer des mots de passeConsiste à essayer des mots de passe• CaractéristiquesCaractéristiques

– Repose sur la facilité de mot de passe ou de mots de Repose sur la facilité de mot de passe ou de mots de passe "usine"passe "usine"

– Services attaquablesServices attaquables• telnettelnet• ftpftp• https (SSL)https (SSL)• LDAPLDAP• rlogin, rsh, etc…..rlogin, rsh, etc…..

• Parade :Parade :– Sensibilisation des utilisateursSensibilisation des utilisateurs– Gestion des comptesGestion des comptes– Cloisonnement des systèmesCloisonnement des systèmes

ATTAQUE D'ACCESATTAQUE D'ACCESAttaque par dictionnaireAttaque par dictionnaire

• Type d'attaque : Attaque d'accèsType d'attaque : Attaque d'accès• Mécanisme : consiste craquer des mots Mécanisme : consiste craquer des mots

de passede passe• CaractéristiquesCaractéristiques

– Repose sur la facilité du mot de passeRepose sur la facilité du mot de passe– Repose sur l'obtention du fichier /etc/passwd Repose sur l'obtention du fichier /etc/passwd

ou des mots de passe cachésou des mots de passe cachés– Utilitaires (crack par exemple)Utilitaires (crack par exemple)


ATTAQUE D'ACCESATTAQUE D'ACCESIngénierie socialeIngénierie sociale


– Consiste à demander à un utilisateur son mot de Consiste à demander à un utilisateur son mot de passe pour s'introduire sur un systèmepasse pour s'introduire sur un système

• CaractéristiquesCaractéristiques– Facile à mettre en oeuvreFacile à mettre en oeuvre– Repose sur la "crédulité" de l'utilisateur ou la force Repose sur la "crédulité" de l'utilisateur ou la force

de conviction de l'attaquantde conviction de l'attaquant– Très efficaceTrès efficace


SECURISATION – PARADES GLOBALESSECURISATION – PARADES GLOBALES• Un constat : pas de parades absolues !Un constat : pas de parades absolues !• Mais deux types de points sensibles :Mais deux types de points sensibles :

– les accèsles accès– les systèmes ou les applicationsles systèmes ou les applications

• Idée : sécurisation globaleIdée : sécurisation globale• Trois axes :Trois axes :

– Sécurisation des accèsSécurisation des accès• Accès distantAccès distant• Accès internet (surtout !)Accès internet (surtout !)

– Sécurisation des systèmes et applicationsSécurisation des systèmes et applications• Configuration stricte des OS Configuration stricte des OS • Mises à jours de patches Mises à jours de patches • Adhésion à un CERT (Adhésion à un CERT (Computer Emergency Response Team)Computer Emergency Response Team)

– Outils de détection d'intrusionOutils de détection d'intrusion• Logs, auditLogs, audit• Outils pro-actifsOutils pro-actifs

• Attention :Attention :– Illusion de la sécurité (le plus néfaste)Illusion de la sécurité (le plus néfaste)– Relâchement ou laxisme par rapport à la politique de sécuritéRelâchement ou laxisme par rapport à la politique de sécurité

MISE EN ŒUVRE PRATIQUE MISE EN ŒUVRE PRATIQUE DE LA SECURISATION DES ACCESDE LA SECURISATION DES ACCES

• Les attaques peuvent venir : Les attaques peuvent venir : – De l'accès distantDe l'accès distant– De l'Internet (concerne la plupart des entreprises)De l'Internet (concerne la plupart des entreprises)

• Un constat :Un constat :– La plupart des attaques peuvent être bloquées parLa plupart des attaques peuvent être bloquées par

• Le firewallLe firewall• Une bonne architecture conçue autour de celui- ciUne bonne architecture conçue autour de celui- ci

– La neutralisation des autres reposeraLa neutralisation des autres reposera• Sur la bonne configuration des systèmesSur la bonne configuration des systèmes• Sur la bonne configuration du DNSSur la bonne configuration du DNS• La mise à jour de patchesLa mise à jour de patches• La gestion efficace des comptesLa gestion efficace des comptes• Une très bonne organisationUne très bonne organisation

• Une priorité : mettre en œuvre une architecture Firewall adaptéeUne priorité : mettre en œuvre une architecture Firewall adaptée• Les solutionsLes solutions

– Netwall (BULL) Netwall (BULL) – CheckpointCheckpoint– Pix (CISCO)Pix (CISCO)– Ipchains (Linux) interface graphique k-firewall, FCTIpchains (Linux) interface graphique k-firewall, FCT


• La mise en œuvre du Firewall doit être précédée La mise en œuvre du Firewall doit être précédée – De la conception de l'architectureDe la conception de l'architecture

• Architecture simpleArchitecture simple• Architecture fortement cloisonnée avec DMZArchitecture fortement cloisonnée avec DMZ

– De la définition de la politique de sécuritéDe la définition de la politique de sécurité• Règles générales sur les flux entre les différents réseauxRègles générales sur les flux entre les différents réseaux• Règles particulières adaptées à certains fluxRègles particulières adaptées à certains flux

• Règles générales pour la mise en oeuvreRègles générales pour la mise en oeuvre– La première chose à réaliser est de sécuriser le firewall lui-même !La première chose à réaliser est de sécuriser le firewall lui-même !

• Assurer sa propre sécuritéAssurer sa propre sécurité• Assurer une tolérance de panneAssurer une tolérance de panne

– Désactiver les services inutilesDésactiver les services inutiles• Surtout s'il s'agit d'une passerelleSurtout s'il s'agit d'une passerelle• Inutile de l'exposer à des brèches potentiellesInutile de l'exposer à des brèches potentielles

– Limiter strictement les accès telnetLimiter strictement les accès telnet– Assurer l'authentification par un serveur dédié (si possible)Assurer l'authentification par un serveur dédié (si possible)

• Règles concernant l'exploitationRègles concernant l'exploitation– Audit et analyse de logs obligatoiresAudit et analyse de logs obligatoires– Surveillance du fonctionnementSurveillance du fonctionnement


• Quelques servicesQuelques services– présentent des trous de sécurité connus sont donc dangereuxprésentent des trous de sécurité connus sont donc dangereux– Cf le document de l'AUCERT "UNIX Computer Cf le document de l'AUCERT "UNIX Computer Security Checklist“Security Checklist“

• Liste de services:Liste de services:echo (7 TCP/UDP), systat (11 TCP), chargen (19 TCP/UDP), DNS echo (7 TCP/UDP), systat (11 TCP), chargen (19 TCP/UDP), DNS (53 TCP), tftpd (69 UDP), finger (79 TCP), link (87 TCP), pop-3 (53 TCP), tftpd (69 UDP), finger (79 TCP), link (87 TCP), pop-3 (110 TCP), sunrpc (111 TCP/UDP), (110 TCP), sunrpc (111 TCP/UDP), snmp (161 UDP), imap (143 et snmp (161 UDP), imap (143 et 220 TCP), 220 TCP), rexec (512 TCP), rlogin (513 TCP), rsh (514 TCP), rexec (512 TCP), rlogin (513 TCP), rsh (514 TCP), printer (515 TCP), uucp (540 TCP)printer (515 TCP), uucp (540 TCP)

• L'accès à ces ports doitL'accès à ces ports doit– Etre interditEtre interdit– Strictement réglementéStrictement réglementé

• Ports spécifiques.Ports spécifiques.– Exemple NFS (2049 TCP/UDP), X Windows(6000-6063 TCP).Exemple NFS (2049 TCP/UDP), X Windows(6000-6063 TCP).– bloquez l'accès externe à ces ports.bloquez l'accès externe à ces ports.


• Exemple – architecture fortement cloisonnéeExemple – architecture fortement cloisonnée• SynoptiqueSynoptique

• DescriptionDescription– L'infrastructure est composé de trois réseaux cloisonnés par un FirewallL'infrastructure est composé de trois réseaux cloisonnés par un Firewall

• Le réseau interne : à sécuriser fortementLe réseau interne : à sécuriser fortement• Le réseau DMZ où SAS :Le réseau DMZ où SAS :• Le niveau 3 : interconnexion du firewall et du routeur frontal internetLe niveau 3 : interconnexion du firewall et du routeur frontal internet

FIN DE LA PREMIERE PARTIEFIN DE LA PREMIERE PARTIE

Documents

SE PREMUNIR CONTRE DES ATTAQUES { Partie 1 }