Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narc

Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 36 CHAPITRE 3 : MALWARES ET OUTILS GRATUITS DE DETECTION D'INTRUSIONS 3.1 Outils gratuits de détection d’intrusions 3.1.1 Tiger2.2.4 Tiger est un ensemble de scripts qui recherche dans un système les faiblesses qui pourraient permettre à une utilisation non‐autorisée d'en changer les configurations, d'accéder à la racine ou de modifier des fichiers systèmes importants. A l'origine, Tiger fut développé à l'université du Texas A&M. Il peut être chargé à partir de l'adresse suivante : http://www.net.tamu.edu/ftp/security/TAMU. Il existe plusieurs versions de Tiger disponibles : ¾ Tiger2.2.3 pl, une des dernières versions en date avec des scripts check_devs et cheek_rhost actualisées. ¾ Tiger2.2.3 plASC, une version disposant de contribution du Arctic Regional Supercomputer Center ; ¾ Tiger2.24 pl, version du tiger ‐2.2.3 avec support linux. Tiger balaye le système à la recherche de cron, inted, passwd, d'autorisation de fichiers, de pseudonymes et de variables PATH pour voir s'ils peuvent être utilisés pour accéder au répertoire principal. Il analyse les vulnérabilités du système via l'utilisation d'inetd pour déterminer si un utilisateur peut accéder à distance au système. Il a recours également aux signatures digitales et à l'aide de MD5, pour déterminer si les systèmes de programmes binaires clés ont été modifiés. 3.1.2 Logcheck 1.1.1 Logcheck est un script qui analyse les fichiers journaux des systèmes et recherche toute activité inhabituelle ainsi que les attaques. Bien entendu, cela veut dire qu'un intrus n'a pas encore obtenu l'accès au répertoire de l'hôte et ne peut donc modifier les fichiers journaux. L'un des gros problèmes dans la maintenance des fichiers journaux est la quantité d'information collectée sur des systèmes importants, l'analyse (par scanning) manuelle des fichiers journaux peut demander plusieurs jours. Logcheck simplifie le contrôle du journal système en classant les informations reprises dans le journal et en l'envoyant par e‐mail à l'administration système. Logcheck peut être configuré de manière à n'envoyer dans un rapport que les informations que vous souhaitez et ignorer celles que vous ne désirez pas. C'est l'un des Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 37 éléments du projet Abacus, un système de prévention d'intrusion. Cependant, tous les éléments ne sont pas encore stables. Logcheck est basé sur un programme de contrôle de journal appelé " frequentchech.h ", un élément du Gauntlet Firewall Package. Le script logcheck.sh est installé sur /usr/local/etc/, ainsi que les fichiers des mots clés. Le script peut être chargé sur : ftp://ftp.ssc.com/pub/lj/listings/issue78 3.1.3 Tripwire Tripwire est un des outils les plus connus et les plus utiles dans la détection d'intrusion et la récupération qui s'en suit. Tripwire crée une base de données de signatures des fichiers dans le système et lorsqu'il est exécuté en mode comparaison, il prévient les administrateurs système des changements dans le système de fichiers. La différence entre Tripwire et Tiger est que le premier est spécialisé dans les programmes de signature de fichiers et peut utiliser de multiples fonctions de hashing pour générer des signatures digitales générales. Tripwire a été développé par le laboratoire « Computer Opérations Audit and Security Technology (COAST) ». La version publique disponible Tripwire 1.2, est disponible à l’adresse suivante : http://www.tripwire.com/ 3.1.4 Snort Snort est un système de détection d'intrusions mis au point par Martin ROESH. Il est léger, sans interface graphique et peu coûteux en ressources. Snort permet une définition précise des signatures, une détection des entêtes et des petits fragments, dénis de service et de débordement de Buffer (script kiddies). Snort peut être téléchargé à l’adresse suivante : http://www.snort.org/ 3.1.5 NetAudit NetAudit est une boîte à outils réseaux permettant de faire des tests de pénétration afin de valider la sécurité de votre réseau. NetAudit est destiné à un public professionel d'auditeurs réseaux. La première version de NetAudit est apparue en novembre 2009. C'est la première application d'Android Market à réaliser de la détection par fingerprint. Actuellement, voici les fonctionnalités supportées : ¾ Détection RAPIDE des hôtes connectés au même LAN que votre Android ; ¾ Affichage de quelques informations systèmes de votre Android ; ¾ Une page "A propos de..." ; Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 38 ¾ Audit d'une adresse IP incluant : o Découverte rapide du LAN ; o Empreintes des services tcp ; o Empreintes des systèmes d'exploitation ; o Empreintes des CMS des serveurs web ; o + de 3000 empreintes au total ; o Choix de la plage de ports à scanner ; o Option Scan rapide (ne scanne que les ports courants) ; o Proche de nmap ; o Fonctionne sur tous les Android (1.5 et supérieurs) ; o Pas besoin d'accès root. Cette application est gratuite et sans publicité dans l'Android Market. Elle supplante certaines applications payantes sur plateforme Android ou iPhone. Une connexion réseau est indispensable (Wifi ou 3G) pour faire fonctionner NetAudit. NetAudit ne collecte aucune donnée personnelle sur les utilisateurs de l'application. Netaudit ne vous géolocalise pas, il n'a pas accès à votre liste d'appels ou de contacts, il n'envoie pas d'information à votre insu. Il ne nécessite pas l'accès root ("Jailbreak") de l'Android, ce qui vous garantit que l'application n'exploite pas à votre insu les données de votre téléphone. Nous présentons ci‐après quelques recopies d’écrans. Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 39 Figure 7. Quelques recopies d’écran de NetAudit 3.1.6 WinSSLMiM Le protocole HTTPS, basé sur SSL (Secure Socket Layer est un protocole de sécurisation des échanges, développé par Netscape. Il a été conçu pour assurer la sécurité des transactions sur Internet (notamment entre un client et un serveur), et il est intégré depuis 1994 dans les navigateurs.), apporte la confidentialité, l'intégrité et l'authentification des échanges de données entre un site Web et un navigateur. Contrairement à toutes les indications de ces mêmes sites dit sécurisés, l'utilisation de ce protocole n'est pas infaillible et ne doit pas empêcher d'être vigilant. En effet, il existe une attaque, le Man in the Middle, applicable au HTTPS. Succinctement, ce type d'attaque consiste pour un pirate à se mettre entre le client qui utilise son navigateur et le site Web en question : Figure 8. Man in the Middle Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 40 La conséquence immédiate est la perte des trois critères précédemment cités, à savoir que le pirate a la possibilité de lire en clair et/ou de modifier les données échangées. WinSSLMiM met en œuvre cette attaque dite du Man in the Middle SSL (ou HTTPS plus précisément). Ce type d'attaque est connue maintenant depuis plusieurs années et les outils adéquates sont déjà disponibles sur Linux (sslmim, sslsniff ou webmitm du package dsniff). Il existe bien sûr un moyen de détecter une attaque de ce genre. Grâce au SSL, le serveur Web est authentifié via un certificat X509 (l'équivalent d'une identité numérique). Ce certificat est signé par une autorité de certification (Certification Authority ou CA) reconnue internationalement et surtout par les navigateurs. Ainsi lorsqu'un certificat n'est pas conforme ou signé par une CA connue, le navigateur émet une alerte de ce type : Figure 9. Alerte de sécurité Dans le cas de l'attaque, le pirate doit substituer son propre certificat (signé par lui même et non par une CA) à celui du vrai serveur. Le navigateur alerte donc l'utilisateur sur la non conformité de ce certificat. La sécurité du mécanisme repose alors uniquement sur le clique de souris de l'utilisateur sur le bouton "non". Lors d'une véritable attaque, il n'est pas aussi simple de voir la supercherie. Des techniques avancées ont été implémentées dans les outils sous Linux. En ce qui concerne WinSSLMiM, il a l'avantage de fonctionner sous Windows 9x/2000 et de réunir les principales fonctionnalités avancées liées à cette attaque. Deux techniques avancées sont intégrées à cet outil. La première est inspirée de l'outil sslmim (http://www.phrack.org/issues.html?issue=57&id=13#article) qui génère automatiquement un certificat X509 très proche de l'original. La deuxième technique apporte l'exploitation de la vulnérabilité dite de chaine de certificats (http://www.thoughtcrime.org/ie‐ssl‐chain.txt). Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI Par Narcisse TALLA avril 2012 41 ATTENTION ! L'utilisation d'un tel outil sans autorisation du propriétaire du réseau est illégale. A utiliser uniquement lors d'un audit de son propre réseau. Télécharger l'exécutable de WinSSLMiM à l’adresse électronique suivante : http://www.securiteinfo.com/download/wsm.zip pour Windows. Cet outil nécessite les DLL ssleay32.dll et libeay32.dll de OpenSSL(http://www.openssl.org/), celles‐ci sont fournies avec l'exécutable. 3.1.7 WinTCPKill TCP est un protocole de la couche transport de la pile TCP/IP au même titre que le protocole UDP. La principale différence avec UDP est sa fonctionnalité d'acquittement assurant la fiabilité de la remise des paquets. En outre, TCP est orienté connexion (avant tout transfert de données il y a une phase préalable de connexion appelée le Three Way Handshake). Quand une connexion est établie entre deux machines (entre deux processus plus précisément), TCP possède des mécanismes pouvant la fermer. Il en existe deux, un mécanisme de fermeture classique (utilisant le flag TCP FIN) et un uploads/s1/asdi-chapitre3.pdf