Академический Документы
Профессиональный Документы
Культура Документы
Confrence
Linux
Scurit
Scurit
Confrence Starinux
Notions de Scurit
Confrence
Starinux
Linux
Scurit
PLAN DE LA CONFERENCE
La collecte d'informations
Dfinition.
Les scanners : exemple avec nmap.
Netcat : Le couteau suisse de l'Admin Rseau.
Les failles
Dfinition
Les failles de scurit suite l'installation : Patcher sa distrib, ainsi que le
kernel.
Les failles de scurit suite une mauvaise configuration : voir les fichiers de
confs.
Les failles suite des bugs dans les programmes : Alertes de scurit.
Les exploits.
Nessus : prsentation.
Starinux
Confrence
Linux
Scurit
PLAN DE LA CONFERENCE
Intrusions
Dfinition.
Les systmes de dtection d'intrusion : NID, HID.
Les Firewall
Dfinition
Type de FW : par filtrage de paquets, stateful ou non stateful (proxy de service).
Type d'attaques contre les FW : Le firewalking
Scurisation des communications et transactions
Le Tunneling : Prsentation d'IPsec
Le protocole AH
Le protocole ESP
Le protocole IPcomp
Le protocole IKE
Les 2 modes d'IPsec
Confrence
Starinux
Linux
Scurit
PLAN DE LA CONFERENCE
Confrence
Starinux
Linux
Scurit
PLAN DE LA CONFERENCE
Les attaques rseaux
L'ARP Poisoning
Man In The Middle
Les attaques par dnis de services
Syn Flooding
UDP Flooding
Smurfing
Les attaques bases sur les protocoles
DHCP
DNS
FTP
SMB
HTTP
IDENT
SSH
IP Spoofing
Telnet
Xwindow
Peer To Peer
Confrence
Starinux
Linux
Scurit
PLAN DE LA CONFERENCE
Le systme syslog
Starinux
Confrence
Linux
Scurit
PLAN DE LA CONFERENCE
Questions/Rponses ?
Starinux
Confrence
Linux
Scurit
La collecte d'informations
La collecte d'informations
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Dfinition :
Un scanner est un programme qui permet de connatre les ports
en coute (donc ouverts) sur un rseau.
Il permet galement de connatre les OS des machines scannes.
Starinux
Confrence
Linux
Scurit
La collecte d'informations
NMAP :
Le fonctionnement d'un scanner de ports comme nmap est
simple, il envoie des paquets sur la machine cible et analyse les
rponses.
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Le scan furtif :
nmap -sS [adresse ip de la machine cible]
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Exemple
de sortie NMAP :
jybserver:/home/jyb# nmap -sS 82.127.3.18
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-16 17:27 CEST
Interesting ports on jybserver (82.127.3.18):
(The 1643 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
9/tcp open discard
13/tcp open daytime
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
37/tcp open time
53/tcp open domain
79/tcp open finger
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
113/tcp open auth
119/tcp open nntp
143/tcp open imap
220/tcp open imap3
931/tcp open unknown
5432/tcp open postgres
Nmap run completed -- 1 IP address (1 host up) scanned in 0.198 seconds
Starinux
Confrence
Linux
Scurit
La collecte d'informations
La commande netcat ou nc :
Cette commande trs utile fonctionne en mode client/serveur.
Elle permet d'ouvrir des connexions rseau en TCP ou UDP sans
avoir besoin d'un programme particulier.
Exemple : ouvrir une connexion FTP sans avoir de client FTP
nc [adresse ip machine cible] 21
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Le mode serveur :
La mode serveur revient mettre netcat en coute sur un port de
votre machine.
Pour cela, il suffit d'utiliser les options -l et -p.
Exemple :
nc -l -vv -p 80
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Le mode client :
Le mode client revient mettre netcat en coute sur les ports de
la machine cible.
Il est possible d'utiliser les redirections pour lancer des
commandes ou pour executer des programmes sur la machine
distante.
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Starinux
Confrence
Linux
Scurit
La collecte d'informations
USER invite
PASS invite
quit
Starinux
Confrence
Linux
Scurit
La collecte d'informations
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Dfinition :
Une faille, est un dysfonctionnement, ou un dfaut de protection
dans le dveloppement d'un logiciel qui peuvent etre exploits
par un programme ou manuellement.
Starinux
Confrence
Linux
Scurit
Distribution standard :
Lorsque vous achetez une distribution Linux, une fois installe,
votre distribution prfre n'a pas obligatoirement toutes les
garanties de scurit.
Il est conseill de mettre votre distribution jour et pour ceux
qui veulent pousser encore plus de patcher votre noyau avec les
patchs de scurit adquats.
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Mauvaise
configuration des fichiers de conf :
Starinux
Confrence
Linux
Scurit
Bugs
dans les programmes : Alertes de scurit
Starinux
Confrence
Linux
Scurit
Les
exploits : Dfinition
Starinux
Confrence
Linux
Scurit
Les
buffers overflow : Dfinition
Starinux
Confrence
Linux
Scurit
Nessus : Prsentation
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Les intrusions
Les intrusions
Starinux
Confrence
Linux
Scurit
Les intrusions
Dfinition :
Une intrusion c'est la pntration d' un systme d'information
mais aussi les tentatives des utilisateurs locaux d'accder de
plus hauts privilges ou les tentatives des administrateurs
d'abuser de leurs privilges.
Starinux
Confrence
Linux
Scurit
Les intrusions
Starinux
Confrence
Linux
Scurits
Les intrusions
Starinux
Confrence
Linux
Scurits
Les Firewalls
Les Firewalls
Starinux
Confrence
Linux
Scurits
Les Firewalls
Dfinition :
Les Firewalls sont des programmes conus pour isoler un rseau
local d'un autre rseau ou de l'Internet.
Starinux
Confrence
Linux
Scurits
Les Firewalls
Starinux
Confrence
Linux
Scurits
Les Firewalls
Starinux
Confrence
Linux
Scurits
Les Firewalls
Starinux
Confrence
Linux
Scurits
Les Firewalls
Starinux
Confrence
Linux
Scurits
Les Firewalls
Le Firewalking :
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
VPN
Un VPN (Virtual Private Network) est cr en partant d'un
rseau existant qui n'est pas scuris.
Le protocole sur lequel s'appuie le VPN est IPsec
Ipsec
Ipsec est une mthode permettant de crer des rseaux privs
virtuels.
Ipsec fonctionne selon deux modes :
- Le mode transport - Le mode tunnel
Starinux
Confrence
Linux
Scurit
Ipsec
- Le mode transport :
* crypte les communications entre machines
- Le mode tunnel :
* encapsule les paquets crypts, dans de nouveaux
en-ttes IP (Ipv4 ou Ipv6). Sert crer des tunnels
VPN.
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Les
chevaux de Troie :
Les virus :
Programme malicieux, capable de se reproduire dans un autre
programme.
Starinux
Confrence
Linux
Scurit
Les
vers :
Starinux
Confrence
Linux
Scurit
Injection
SQL :
L'injection SQL est une attaque visant obtenir des accs non
autoriss une base de donnes ou retrouver des informations
directement dans la base.
Le point d'entre de ce type d'attaque est souvent une page de
formulaire sur une page Web.
Starinux
Confrence
Linux
Scurit
Les attaques
Starinux
Confrence
Linux
Scurit
Les backdoors :
Les Rootkits :
C'est un ensembles d'outils (des exploits) dont la finalit est de
voler les droits d'administrateur root sur une machine de
type UNIX.
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Les attaques
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
L'ARP Poisoning :
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Syn Flooding :
Starinux
Confrence
Linux
Scurit
UDP Flooding
Smurfing :
l'attaquant camoufle (spoof) l'adresse source d'un paquet ICMP
de requte Echo Request (ping) au broadcast pour un rseau, ce
qui entrane toutes les machines du rseau rpondre en masse
la victime en encombrant de cette faon le rseau.
Starinux
Confrence
Linux
Scurit
Les attaques
Starinux
Confrence
Linux
Scurit
DHCP
Starinux
Confrence
Linux
Scurit
IP Spoofing :
IDENT :
Hritage historique d'UNIX, IDENT fourni des informations
sur les utilisateurs connects.
Il n'a aucune valeur ajoute et peut donc etre supprim.
Starinux
Confrence
Linux
Scurit
FTP :
HTTP :
Un serveur Apache mal configur fourni beaucoups
d'information un attaquant. Un simple telnet ou nc
permet alors l'attaquant de connatre les informations utiles.
Starinux
Confrence
Linux
Scurit
configur:
jybserver:/home/jyb# telnet www.jybserver.homelinux.net 80
Trying 82.127.3.18...
Connected to jybserver.
Escape character is '^]'.
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sat, 16 Oct 2004 08:42:27 GMT
Server: Apache/1.3.31 (Debian GNU/Linux)
Last-Modified: Sun, 26 Sep 2004 09:06:46 GMT
ETag: "207021-2484-415686a6"
Accept-Ranges: bytes
Content-Length: 9348
Connection: close
Content-Type: text/html; charset=iso-8859-1
Connection closed by foreign host.
Confrence
Starinux
Linux
Scurit
configur correctement:
Ajout de la directive suivante dans /etc/apache/httpd.conf :
ServerTokens Prod
jybserver:/home/jyb# telnet www.jybserver.homelinux.net 80
Trying 82.127.3.18...
Connected to jybserver.
Escape character is '^]'.
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sat, 16 Oct 2004 08:45:33 GMT
Server: Apache
Last-Modified: Sun, 26 Sep 2004 09:06:46 GMT
ETag: "207021-2484-415686a6"
Accept-Ranges: bytes
Content-Length: 9348
Connection: close
Content-Type: text/html; charset=iso-8859-1
Connection closed by foreign host.
Starinux
Confrence
Linux
Scurit
SSH :
Telnet :
Telnet permet de se connecter une autre machine sur le
port 23 et d'utiliser cette machine une fois connect comme
si l'on tait en local.
Telnet a les memes dfauts que FTP et l'on doit plutot utiliser
SSH.
Starinux
Confrence
Linux
Scurit
SMB :
Xwindow :
Un serveur X mal configur permet un attaquant de
modifier son comportement, de crer ou de supprimer des
objets.
La commande xhost - ferme les accs au serveur X
Starinux
Confrence
Linux
Scurit
Peer To Peer :
Starinux
Confrence
Linux
Scurit
TCPDUMP
TCPDUMP
Starinux
Confrence
Linux
Scurit
TCPDUMP
Dfinition
:
Confrence
Starinux
Linux
Scurit
TCPDUMP
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Source Port
|
Destination Port
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Sequence Number
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Acknowledgment Number
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data |
|U|A|P|R|S|F|
|
| Offset| Reserved |R|C|S|S|Y|I|
Window
|
|
|
|G|K|H|T|N|N|
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Checksum
|
Urgent Pointer
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Options
|
Padding
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
data
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Starinux
Confrence
Linux
Scurit
TCPDUMP
-i
-x
-X
-v
-vv
-vvv
Starinux
Confrence
Linux
Scurit
TCPDUMP
Options
de TCPDUMP : 2/2
-w
-r
Starinux
Confrence
Linux
Scurit
TCPDUMP
src
dst
Confrence
Starinux
Linux
Scurit
TCPDUMP
port
less
Starinux
Confrence
Linux
Scurit
TCPDUMP
great
Starinux
Confrence
Linux
Scurit
TCPDUMP
Starinux
Confrence
Linux
Scurit
TCPDUMP
Exemple
avec une connexion FTP :
Starinux
Confrence
Linux
Scurit
TCPDUMP
1
2
jybserver:/home/jyb# tcpdump -n -S -t
tcpdump: listening on ppp0
10
Starinux
Confrence
Linux
Scurit
TCPDUMP
Quezaco ??? :
3
Starinux
Confrence
Linux
Scurit
Ethereal
Ethereal
Confrence
Starinux
Linux
Scurit
Ethereal
Dfinition
Starinux
Confrence
Linux
Scurit
Ethereal
Starinux
Confrence
Linux
Scurit
Ethereal
Starinux
Confrence
Linux
Scurit
Le systme syslog
Le systme syslog
Starinux
Confrence
Linux
Scurit
Le systme syslog
Dfinition :
Starinux
Confrence
Linux
Scurit
Le systme syslog
Principales caractristiques :
Starinux
Confrence
Linux
Scurit
Le systme syslog
action
Starinux
Confrence
Linux
Scurit
Le systme syslog
Starinux
Confrence
Linux
Scurit
Le systme syslog
Starinux
Confrence
Linux
Scurit
Le systme syslog
Starinux
Confrence
Linux
Scurit
Le systme syslog
daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
*.=notice;*.=warn
|/dev/xconsole
Starinux
Confrence
Linux
Scurit
metasploit
Starinux
Confrence
Linux
Scurit
metasploit
Metasploit : Dfinition
Metasploit est un programme en ligne de commande et
possedant une interface Web permettant de lancer une attaque
sur une ou plusieurs machines cibles.
Pour cela Metasploit possde une liste d'exploits connus
utiliser.
Starinux
Confrence
Linux
Scurit
metasploit
Starinux
Confrence
Linux
Scurit
metasploit
Starinux
Confrence
Linux
Scurit
metasploit
Starinux
Confrence
Linux
Scurit
metasploit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
Starinux
Confrence
Linux
Scurit
inetnum:
211.98.28.112 - 211.98.28.127
netname:
JSPREDC
descr:
Jinan Station Pengfei Real Estate Development Corp.
descr:
Real Estate Development Corp.
descr:
Shandong
country:
CN
admin-c:
GL118-AP
tech-c:
GL118-AP
mnt-by:
MAINT-CNNIC-AP
changed:
xuying@railcomnet.com 20010428
status:
ASSIGNED NON-PORTABLE
source:
APNIC
changed:
hm-changed@apnic.net 20020827
domain:
98.211.in-addr.arpa
descr:
in-addr.arpa domain for 211.98/16
country:
CN
admin-c:
DNS3-AP
tech-c:
DNS3-AP
zone-c:
DNS3-AP
nserver:
nm.cnnic.net.cn
nserver:
ns.cnc.ac.cn
mnt-by:
MAINT-AP-DNS-2
mnt-lower: MAINT-AP-DNS-2
changed:
dns-admin@apnic.net 20000201
changed:
dns-admin@apnic.net 20010413
source:
APNIC
Starinux
Confrence
Linux
Scurit
Questions/Rponses
Questions/Rponses ??
Starinux
Confrence
Linux
Scurit
Rfrences
http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.preface.html