INTRUSION SUR INTERNET

Filière Télécommunication Laboratoire de Transmission de Données

Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-Xpert Solutions, Sylvain Maret

Chapitres abordés
Ethernet switching (attaques) Authentification Radius VLAN Nessus Audit avec Qualys Honeynet

1

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Méthodologie : Théorie des attaques d’un réseau switché Réalisation des attaques Analyse des attaques Analyse des systèmes attaqués Sécurisation du systèmes

2

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Bref rappel :
A B

A>B
4 2

?B?
8

A>B

A>B

MAC
A

Port
4

C

Cisco : CAM (Content-Adressable Memory)

3

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Bref rappel :
A B

A<B
4 2

B=8
8

A<B

MAC
A B

Port
4 8

C

Cisco : CAM (Content-Adressable Memory)

3

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Bref rappel :
A B

A>B
4 2 8

A>B

MAC
A B

Port
4 8

C

Cisco : CAM (Content-Adressable Memory)

3

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Attaques :
Switch

MAC Flooding MAC Spoofing
PC

- Sniffing

ARP Spoofing ARP Poisonning

- Sniffing - Man in the middle

4

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

MAC Flooding (Démo 1):
Client Serveur

FTP req [V4]
4 2 8

V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5

V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89

MAC Flood

MAC
X Y Z

Port
2 2 2
Pirate V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2

O

ve rfl ow

Utilisation de Macof fournit par Dsniff 2.2.4: Utilisation de Macof fournit par Dsniff 2.2.4: V1 # macof V1 # macof

5

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

ARP Poisonning (Démo 2):
Client Serveur

FTP req [V4]
4 8 2

ARP resp [V1,IP V4 ]
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5

ARP resp [V1, IP V18]
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89

C:\>ARP – a C:\>ARP – a
V18 10.1.2.54 00:50:04:00:33:E2 10.1.2.54 00:50:04:00:33:E2 MAC Port V1 V4 2 8

C:\>ARP – a C:\>ARP – a 10.1.2.18 00:50:04:00:33:E2 10.1.2.18 00:50:04:00:33:E2

V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 Pirate

Utilisation de Macof fournit par Dsniff 2.2.4: Utilisation de Macof fournit par Dsniff 2.2.4: V1 # arpspoof –i eth0 –t 10.1.2.18 10.1.2.54 V1 # arpspoof –i eth0 –t 10.1.2.18 10.1.2.54 V1 # arpspoof –i eth0 –t 10.1.2.54 10.1.2.18 V1 # arpspoof –i eth0 –t 10.1.2.54 10.1.2.18

6

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Sécurisation : Postes Client Switch
MAC address static Rafraîchissement IP machines du réseau mémorisé en statique Switchport Vlan Authentification 802.1X

7

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Le VLAN (Virtual Local Area Network) est une extension du LAN permettant de définir des LANs de manière software sur un switch. Utilité : Sécuriser les LANs Interdire la communication inter-LAN Meilleure gestion du réseau Séparation des domaines de diffusion

8

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Configuration : Déclaration des VLANs dans le switch Déclaration des accès aux VLANs
Serveur Réseau 100 BaseT Mode Duplex Serveur

VLAN2 VLAN3
Switch Cisco Catalyst 2950

2

5 3 4 V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89 Client

V1
IP : 10.1.2.51 MAC: 00:50:04:00:33:E2

Client

V2 IP : 10.1.2.52 MAC: 00:50:04:00:4A:43

V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5

VLAN 2

VLAN 3

VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950

9

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Modes d’accès :
Catalyst 2950

Par Ports
Regroupement d’un ou plusieurs ports pour former un VLAN.

Par MAC address
Association d’une ou plusieurs adresses MAC pour former un VLAN.

Par la couche 3
On détermine l’appartenance à un VLAN en fonction de l’adresse IP ou en fonction du type de protocole utilisé.
10

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Interconnexion de VLAN :
V1 V1 (VLAN3) Switch 1 Switch 2 Serveur1 (VLAN3)

TCP SYN

TCP SYN + TAG TCP SYN

Switch

Etage2
TCP SYN ACK + TAG TCP SYN ACK TCP SYN ACK

TCP ACK

TCP ACK + TAG TCP ACK

TRUNK 802.1Q
Switch

Information FTP

Etage1 Engineering VLAN1 VLAN Marketing VLAN2 VLAN

Serveur1

Accounting VLAN3 VLAN

DA

SA

Type

802.1Q

…00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40….

MAC

IP

11

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Interconnexion de VLAN Indépendants : Par Bridge Par Routeur
Client
Switch Cisco Catalyst 2950

Serveur

4 11 V18 (VLAN 2) IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5 VLAN 2 12

2

VLAN 3

V4 (VLAN 3) IP : 10.1.2.54 MAC: 00:50:04:00:49:89

IP : 10.1.2.208 SM :255.255.255.0

IP : 10.1.3.207 SM : 255.255.255.0

Réseau 100 BaseT Mode Duplex

Routeur Lightning Ethernet II

12

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Nessus est un scanner de failles, disponible en OpenSource. Descriptif :
Teste divers appareils et systèmes (Windows, Unix, Linux, Routers, TCP/IP,etc…) Répertorie énormément de failles par défaut extensibles grâce aux Updates et par programmation de fichier NASL Possibilité de consulter les rapports des tests effectués ( Nessus , XML , HTML , TXT , ... ) Possibilité de lancer un test d ’intrusion à distance grâce à une connexion securisée. Nessus est basé sur une architecture Client-Serveur Interface intuitive et très complète (Windows, Linux)
13

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

SERVEUR CLIENT
One Time Password Connexion + (one time password) 1
GUI Nessus Echange certificat 2 NessusD A Programmes (Nmap) D 6 C DB Nessus B 8 CERTIFICAT Script NASL 7 TESTS 5 Victime

Canal Secure
Envoi des informations 3 Choix des tests 4 Options

Commandes Rapports
CERTIFICAT
2 3 4 5

1

RAPPORTS

Informations cryptées

14

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Topologie des tests (Demo 3):
ePC IP:10.1.4.7

Windows 2000 pro
Switch Cisco Catalyst 2950

1 Client Nessus V18 IP : 10.1.2.18 2 4

8

Intranet
DC1 IP : 10.1.1.10

Windows 2000 pro (config. standard) Client Nessus

Windows 2000 server

Serveur W2K pro V4 IP : 10.1.2.54

S1 IP : 10.1.1.1

Réseau 100 BaseT Réseau 100 BaseT Mode Full Duplex Mode Duplex

Serveur Nessus V1 IP : 10.1.2.51

Windows 2000 server (config. standard)

Windows 2000 server

15

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Rapports : Statistiques Affichage des ports ouverts (contrôle avec Active port) Affichage des failles Affichage des solutions de protection

16

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Projet pour l’étude des tactiques d’attaques sur divers réseaux et sur les failles matérielles

Information :

Réalisation du premier projet en 1999 Evolution du projet pour obtenir une Base de données

Utilité :

Mieux comprendre les attaques des pirates Vérification du matériel

17

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Topologie des tests:

Honeynet

Honeynet

Internet
V1
IP : 10.1.2.18 Serveur SysLOG IP :: 129.194.184.201 IP 129.194.184.82
V9

Firewall Checkpoint

HUB

IP : 10.1.2.1 Administrative Network IP : 10.1.3.1

V4 IP : 10.1.2.54 Serveur Web / FTP

2 IP : 10.1.4.51

6
Switch Cisco Catalyst 2950 Cisco

IP : 10.1.3.51 V2 SNORT
4

Réseau 10 BaseT (Honeynet) Mode Half Duplex
Réseau 100 BaseT (administrative network) Mode Full Duplex

3

22

Portable IP : 10.1.3.18 Serveur SysLOG

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Règles CheckPoint:

19

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Difficultées de mise en oeuvre:

Recherche de programmes performants Synchronisation des postes (NTP) Stabilisation et furtivité de Snort Win32 Compatibilité des nouvelles règles Snort

20

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

Demo 4 :

Réalisation d’une faille Remote Directory Transversal Visualisations des informations Syslog

21

Eth. switching

Auth. Radius

VLAN

Nessus

Qualys

Honeynet

QUESTION ???

22

MAC Flooding ARP Poisonning Nessus (FTP Anonym) Nessus (Active Port)

DEMONSTRATIONS

Honeynet

23

Sign up to vote on this title
UsefulNot useful