Attaques des SI

Attaques des SI

ntroduction Internet possède de nombreuses vulnérabilités, qui viennent le plus souvent d’une mauvaise maîtrise des configurations ainsi que d’une exploitation frauduleuse : – des vulnérabilités des systèmes, des protocoles de communication, des applications, du mode de fonctionnement du réseau, – de certains outils d’audit et d’analyse de flux Le réseau Internet offre une trop grande permissivité, ceci est lié au protocole IP, qui ne donne aucune garantie de réalisation correcte de service. L l’acheminement des des adresses conten fonction de routage. service, on associe le 7 S. p next page eulement che, par analyse r l’exécution dune n correcte de le IP, le protocole TCP, qui permet d’assurer un transfert fiable. La sécurité dans un environnement Internet consiste à protéger : – les applications – les services d’information(Web) – les accès aux ressources informatiques Dans ce rapport, nous présenterons : – dans une première partie, une classification des différentes attaques, – ensuite les attaques Internet, basées sur les protocoles ainsi que l’utilisation des parasites – et enfin les moyens de s’en protéger en utilisant les protocoles et des outils logiciels. Classification des attaques

Usurpation d’identité – Intrusion – Abus de droits – Attaques actives : elles modifient le contenu des informations

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
du système ou le comportement du système. Elles sont en général plus critique que les passives. – Attaques sur l’intégrité : Objectifs : modification ou destruction de données ou de configurations. Méthodes possibles – Injection de code – Action physique – Attaques sur l’authentification : Objectifs : utilisation des ressources de façon clandestine sur un système. – Attaques sur la disponibilité : Objectifs : perturbation dun échange par le réseau, dun service ou d’un accès à un service.

Méthodes possibles : Méthodes : – Intrusion : exploitation des vulnérabilités du système pour exécuter des commandes non autorisées. Exemples d’attaques : exploitation des erreurs de configuration(Satan, Cops), ex loitation des bugs : Network Scanning, Sendmail, INN . 31 de code : Installation et exécution d’un module clandestin sur un système. Exemples d’attaques : virus, bombes logiques, cheval de Troie, cookies, ver… – Ecoute : Ecoute passive et clandestine sur le réseau dans le but de récupérer des informations.

Exemples d’attaques : analyseurs de réseau, sondes . Les attaques de Plnternet Les attaques par protocole P spoofing : mécanisme qui consiste à se faire passer pour une personne ayant une adresse IP attribuée. Les étapes de cette attaque . l’attaquant choisit sa victime(un serveur) – il faut qu’il trouve ensuite une configuration pour laquelle sa victime autorise une connexion avec une machine de confiance, pour ensuite se faire passer pour la machine de confiance. Pour cela, la machine de confiance est rendue invalide, les numéros de séquence du serveur sont analysés. Une connexion simulée avec des paquets falsifiés de l’attaquant est alors demandée au serveur avec des numéros de séquence evinés. Si la connexion est établie, l’attaquant modifie alors des informations pour permettre de revenir plus facilement ultérieurement. Cest une attaque à l’aveu 3,’ mme l’attaquant se fois la cible choisie, il faut que celle-ci accepte tout utilisateur comme ayant certains droits, sinon, l’attaque prend fin. nvalidation de la machine de confiance . effectuée par le biais d’un mécanisme appelé TCP SYN flooding(connexions en masse).

Quand une connexion est demandée avec le bit SYN activé, le récepteur renvoie un SYN/ACK et attend le ACK de la part de l’émetteur. Tant que ‘émetteur n’a pas renvoyé son ACK la connexion est à demi- ouverte. Il y a cependant une limite de requêtes SYN qui peuvent être effectuées sur une même socket, cette limite s’appelle le backlog et représente la longueur de la file d’attente des transmissions incomplètes. Si cette limite est atteinte, les futures connexions TCP sont tout simplement ignorées jusqu’à ce que des connexions en attente soient établies.

L’implémentation du backlog dépend du système d’exploitation mais est couramment de 5. L’attaquant doit assurer que les paquets envoyés sont encore une fois falsifiés comme provenant d’une machine natteignable, car sinon celle-ci renverrait un ReSeT à chaque SYNI ACK. Echantillonnage des numéros de séquence et de prédiction Pour connaître le nombre contenu dans le numéro de séquence de la cible(le serveur), l’attaquant va se connecter sur un port TCP de la machine cible et analyser les trames qui transitent.

Ce processus est recommencé plusieurs fois on conserve le numéro de séquence de la cible de façon à établir des statistiques sur l’incrémentation(dépendant du temps de transfert). L’attaquant possède alors tout ce qu’il faut : le dernier numéro de séquence ?mis, les données de changement et le temps nécessaire. Avec ces paramètres, l’attaque peut être lancée. Plusieurs cas peuvent se produire : 4 ,’ nécessaire. Avec ces paramètres, l’attaque peut être lancée.

Plusieurs cas peuvent se produire : – le numéro d’acquittement correspond parfaitement, et dans ce cas les données sont placées en attente dans le buffer TCP – si le numéro d’acquittement est inférieur à celui attendu, le paquet est supprimé(considéré comme une ré-émission) – si le numéro de port est supérieur à ce qui est attendu mais reste dans la limite acceptable par la fenêtre de transmission, ans ce cas il est maintenu en attente dans les paquets intermédiaires sinon il est supprimé.

Une méthode permet de ne pas attaquer à l’aveugle, c’est l’utilisation du source routing. En effet, avec l’utilisation des champs options du datagramme IP, il est possible de spécifier une route pour un paquet de donnée. Ainsi, il suffit que l’attaquant rajoute ce champ option avec un chemin de retour passant par lui de façon à ca qu’il puisse voir le contenu de tous les messages à destination de la machine usurpée. Dans ce cas, l’attaquant n’a plus besoin de faire de prédiction de numéro de équence et il peut contrôler la validité de tous les messages envoyés et reçus.

Généralement, l’attaquant laisse une porte ouverte(backdoor) derrière lui pour pouvoir revenir plus tard de façon plus simple. Une modification du fichier rhost est souvent effectuée pour permettre un accès ultérieur. Solution au source routing : procédures d’authentification ; par ailleurs, réaliser les communications avec le protocole IPSec. Solution à l’IP Spoofing : mettre un filtrage de paquets. Le déni de sen,’ice Les attaques par déni de service ont our seul but d’empêcher le bon fonctionnement d’u on de récupérer des s ,’ le bon fonctionnement d’un système et non de récupérer des informations.

Elles utilisent une faiblesse de l’architecture d’un réseau. Il est ainsi possible d’envoyer des paquets de taille anormalement importante. Le système victime reçoit des paquets IP qu’il ne peut gérer et fini par stopper tous les services(saturation mémoire). Une technique de déni de service : le smurf Cette attaque est organisée car elle utilise une liste de serveurs broadcast récupérée a l’avance par un scanner. Cette liste contient les serveurs broadcast qui permettent de router vers e plus grand nombre de machine, et qui sont les plus rapides.

Par exemple, une machine A décide d’attaquer une machine B : la machine A envoie un ping à un serveur broadcast en falsifiant son adresse IP, l’adresse IP falsifiée est celle de la machine B, le serveur broadcast adressera le ping à son réseau et il y aura autant de réponses, qu’Ily a de machines, renvoyées à la machine TCP-SYN/Flooding Etablissement d’une connexion TCP entre client/serveur : Client Serveur SYN SYN-ACK ACK Les abus viennent lorsque nvové un acquittement ouverte, donc les demi-connexions devraient disparaitre et le erveur victime récupérer de la place libre dans sa mémoire pour d’autres connexions, mais le système agresseur peut envoyer des paquets plus vite que le temps nécessaire au serveur pour faire expirer les demi-connexions. La localisation de l’attaque est complexe car les adresses contenues dans les paquets SYN envoyés sont falsifiées, on ne peut donc pas déterminer la véritable source. Internet faisant suivre les paquets grâce à l’adresse de destination, le seul moyen de s’affranchir de ces attaques est de valider la source d’un paquet en utilisant un filtrage. Le Sniffing Correspond à l’écoute passive par surveillance des paquets IP qui transitent sur un réseau. L’un des but final est de récolter illégalement des mots de passe.

Les logiciels, qui permettent d’analyser le trafic sont très utilisés à des fins de gestion de réseau ; ils sont disponibles généralement avec divers systèmes d’exploitation, ou en freeware sur le réseau. Ils s’exécutent sur n’importe quel PC en sniffant et en analysant les données en transit sur les lignes, pour en extraire les mots de passe transmis par l’utilisateur lors de sa demande de connexion. Cette écoute passive de données en transit peut conduire à des ntrusions illicites. Une protection peut être apporter aux mécanismes de transfert de mots de passe, le chiffrement de ceux-ci. Les mots de passe chiffrés devront alors être « casser Deux possibilités : l’attaque en force . ssayer toutes les permutations possibles pouvant constituer une clé pour déchiffrer le mot de passe en connaissant l’algorithme utilisé. l’attaque par dictionnaire : deviner le mot de passe c ,’ pa l’algorithme utilisé. l’attaque par dictionnaire deviner le mot de passe chiffrés par comparaison avec des listes de mots de passe eux aussi chiffrés contenus dans des dictionnaires. Les moyens de se protéger du sniffing : – tester les mots de passe des utilisateurs en utilisant les mêmes techniques que ceux qui font ce genre d’attaques. – les sniffeurs sont difficilement détectables, c’est pourquoi il est préférable de segmenter le réseau par des ponts, routeurs ou commutateurs, pour restreindre l’action d’un sniffeur.

Attaque par le protocole RIP Ce protocole peut être util•sé pour détourner des communications : l’imposteur se fait passer pour l’émetteur autorisé, envoie de fausses informations de routage aux passerelles et au destinataires, qui utiliseront l’adresse IP donnée ar le paquet RIP de l’imposteur pour transmettre des données ? destination de l’émetteur, qui est en fait le récepteur. Solution : mécanisme d’authentification Attaque par requêtes ARP Une requête ARP peut être diffusé jusqu’à ce qu’une machine se reconnaissant , et renvoie son adresse ethernet. Mais si une requête ARP est émise avec une adresse IP inexistante, on peut générer des tempêtes de diffusion (broadcast storm),ce qui provoque la saturation de la bande passante, et rend indisponible le réseau(effondrement du réseau, déni de service) Pour éviter ce type d’attaque les stèmes sont configurés de acon à limiter la diffusion( avec des temporisations. outeur, celui-ci informe l’émetteur du paquet en lui envoyant un paquet ICMP. Par exemple, des faux messages ICMP peuvent être générer pour surcharger le réseau, le rendre inutilisable, et entraîner certains dénis de service. Autres exemples : – paralyser le réseau en rédigeant des paquets IP vers une fausse destination – augmenter la charge des systèmes en faisant traiter un grand nombre de messages ICMP – empêcher un émetteur d’envoyer des données, en exploitant la facilité offerte par ICMP pour contrôler le flux d’émission des aquets. Cela provoque des conséquences sur le trafic supporté par le réseau et atteinte aux performances du réseau.

Pour éviter ce genre d’attaque, on peut : – configurer les routeurs de sorte qu’ils ne générent plus qu’un certains nombre de messages ICMP pendant une période de temps donnée. – s’appuyer sur la fonction de surveillance des systèmes de gestion de réseau pour détecter un nombre abusif de message ICMP, et déclencher l’alarme lorsque le taux de charge est anormal. Attaque par fragmentation Le protocole Internet autorise la fragmentation de paquets de rop grande taille pour adapter la taille aux capacités de transfert du réseau. Seul le premier segment d’un paquet IP fragmenté contient le numéro de port TCP, les autres segments du paquet ne contenant pas de numéro de port TCP et ne peuvent pas être filtrés par le firewall, ainsi ils peuvent pénétrer un environnement à priori protégé.

Seule une bonne configuration du firewall peut permettre une meilleure sécurité, en inte faut tous les accès y paquets selon des critères déterminés Attaque par tromperie UDP Le protocole IJDP n’effectue pas de contrôle(contrôle de flux, ontrôle d’erreur et contrôle d’identification) lors de transfert de données entre 2 correspondants. N’importe qui peut donc utiliser une adresse IP d’une machine autorisée à se connecter à un système, et le pénétrer. Ces vols de sessions IJDP peuvent avoir lieu sans quel’ serveur s’en rende compte. Parade : configurer les serveur pour les refuser et les firewalls pour les bloquer. Attaque par inondation de messages Submerger la boîte aux lettres d’un utilisateur par un grand nombre de mails entraîne des dénis de service.

Cattaque est générée par l’inscription de rutilisateur à son insu ? es listes de diffusion. Les firewalls et les serveurs de messagerie peuvent être configurés de manière à bloquer les messages selon certains critères. Attaque par débordement de tampon(buffer overflow) Cette attaque vise les systèmes informatiques en exploitant leurs caractéristiques internes de fonctionnement, notamment celles de leur système d’exploitation, et non celles liées aux protocoles qu’ils supportent. par exemple, l’attaquant fait subir des dépassements de capacités de certaines zones tampon entraînant des dysfonctionnements graves pouvant entraîner èmes. 0 37