Sécurité des
réseaux
Honeypot (1/2)
Un honeypot est une ressource de sécurité dont le principal
F Tout
le traffic vers le honeypot est authorisé.
F Tout
traffic initié par le honeypot est suspect (souvent dû au fait
que le système a été compromis).
but est d’être attaqué.
deux types de honeypot :
Production. Il
s’agît des logiciels classiques. Leur but est
d’augmenté la sécurité de l’infrastructure.
Recherche. Il
s’agît de mécanisme permettant de récuppérer de
l’information sur les pirates et les attaques qu’ils
utilisent.
Honeypot (2/2)
Avantages :
F Les
informations récupérées à partir de honeypots ont de la
valeur (personne d’autre qu’un pirate n’est censé se connecter
dessus).
F Pas
de problèmes de saturation de la ressource vu que la
traffic dirigé vers le honeypot est très ciblé. (par opposition à
conntrac par ex).
F Permettent
de mettre en évidence de l’activité suspecte etc ...
Inconvénients :
F Vision
étroite (on ne voit que ce qui est destiné au honeypot).
F Les
honeypots laissent souvent une empreinte qui fait qu’on
peut les reconnaître.
F On
laissant une machine sans défense, le honeypot pause un
problème
en cas de compromission.
DNS Cache Poisoning (1/2)
Cache Poisoning : Attaque
consistant à faire en sorte que le cache
DNS contienne des correspondances invalides (c’est à dire que
l’adresse IP n’est pas celle de la machine demandée mais une
autre).
F Théoriquement
possible mais attaque dure à mettre en oeuvre
(dure jusqu’à cet été).
F À
l’été 2008, Dan Kaminsky, un chercheur en sécurité, a mis
au point une attaque simple pour empoisoner les caches DNS.
F L’attaque
se base sur un défaut de presque tous les serveurs
DNS (à savoir le port source de la communication est toujours
le
même).
DNS Cache Poisoning (2/2)
Propriétés :
F Chaque
requête DNS est identifiée par un identifiant unique
codé sur 16 bits (216 possibilités).
F Le
port source est toujours le même sur presque toutes les
implémentations de serveur DNS.
description :
1. Récupérer
la liste des serveurs ayant l’authorité sur la zone
visée.
2. Émettre
une requête DNS pour une correspondance qui n’est
pas dans le cache.
3. Envoyer
plein de réponses “ spoofées” (au plus 65536),
chacune avec un numéro de requête différent, au serveur en
se faisant passé pour le serveur d’authorité et en mettant dans
la réponse une correspondance erronée.
4.
Si l’opération réussit,
le cache contient une entrée invalide.
Techniques d’attaque/d’intrusion
Attaque. n’importe
quelle action qui compromet la sécurité des
informations.
Intrusion. Prise
de contrôle partielle ou totale d’un système
distant.
Description d’une attaque :
Recherche d’informations. réseau, serveurs, routeurs, . . .
Recherche de vulnérabilités. système d’exploitation, serveurs
applicatifs, . . .
Tentative d’exploitation des vulnérabilités. à distance puis
localement
Installation de backdoor.
Installaltion de sniffer.
Suppression des traces.
Attaque
par déni de service.
ليست هناك تعليقات:
إرسال تعليق