A PCRE internal error occured. This might be caused by a faulty plugin
Piste: kali-linux start introduction
 
Vous êtes ici: start » audit » introduction


====== Plan du site ======

Voici un plan du site de toutes les pages disponibles, triées par [[doku>fr:namespaces|catégories]].

Créateur de livres
 Ajouter cette page à votre livre

 Voir ou modifier le livre ( 0 pages)
 Aide


====== AUDIT ======


===== INTRO =====

==== Constat ====

* Nombre constant de vulnérabilités
* De plus en plus d'attaques dur les réseaux et sur internet ... donc sur les réseaux reliés à intenet !
* Des attaques provenant de l’intérieur comme de l'extérieur
* Une évolution de la typologie des attaques

==== Besoin ====

* Se protéger contre ces attaques réseau.

==== Problématique ====

Que protéger ?
* des données sensibles, des services essentiels
Protéger contre quoi ?
* de menaces FIXME
<note>0 day -> contre-mesures -> ** Vulnérabilité **</note>

==== Contre qui ? ====

L'impact des attaques internes est **plus grand** qu'en externe

La majorités des attaques des malgré tout réalisée depuis l’externe !!

FIXME dessin 1 -> réseaux à plat

=== Interne ===

FIXME dessin contre qui interne

La grande majorité des incidents internes sont imputables :

* aux utilisateurs (erreurs, incident volontaire)
* aux administrateurs

=== Cibles ===

Les cibles préférées des attaquants sont les PME

FIXME dessin cibles

* Pas/peu de personnel qualifié
* Pas/peu de moyens
* Des informations intéressants malgré tout

=== Attaquants ===

FIXME attaquants

Les adresses IP détectées sont le plus souvent :

* Europe de l'EST
* Asie (Chine)

Les attaques sont de plus en plus perpétrées par le crime organisé

Sur internet tout est mercantiles : armes, drogue, numéro de carte -> TOR

<note>cyberguerre, but lucratifs (mafia), déstabilisation</note>

<note tip>http://www.lemonde.fr/europe/article/2011/12/28/les-pirates-roumains-d-hackerville-tiennent-tete-aux-polices-du-monde-entier_1623331_3214.html</note>

==== Quoi protéger ? ====

FIXME quoi protéger ?

<note>EX : router avec IP publique + privée, il est possible de compléter la conf par un tunnel VPN</note>

==== Quels Outils, quelles failles ? ====

=== Outils ===

* Keylogger et spywares
* Backdoor or command Shell
* Capture ans store data
* Attacks Other systems
* Disable Security Controls
* Other

=== Failles ===

FIXME failles

* Access default
* SQL Injection
* Brute-force
* JAVA Injection
* Escalade de privilèges
* Unauthorized access via stolen credentials
* Authentification Bypass
* ACL non configuré
* Exploitation des sessions variables
* Buffer Overflow
* Cross-Site Scripting

<note important>Mot de passe par défaut non changé sur : OS, appliance, applicatifs,php my admin</note>


<note tip>Stratégies de mot de passe : Utilisateurs : 7 à 8 caractères, Administrateur : 10 à 12 caractères</note>

** Les attaques sont de moins en moins le fruit du hasard **

<note tip>Virus total : moulinette mail</note>

=== Coût d'un attaque ===

FIXME

Le coût de la non sécurisation peut-être élevé

* Suivant la taille
* Suivant le type

=== Détection ===

FIXME

Le plus souvent une attaque est détectée par une entité tiers:

* Attaque par rebond
* Spam
* Utilisation de données volées


<note>Pour savoir ce que l'on veut détecter, il faut savoir ce que l'on veut détecter, avoir les bons outils, filtrer ce que l'on veut détecter </note>

=== Déroulement d'une intrusion ===

FIXME


<note tip>Serveur pot de miel : pour tester les vulnérabilités </note>

===== Les vulnérabilités des protocoles réseaux =====

==== Vocabulaire ====

=== Vulnérabilités ===

Toute faiblesse qui pourrait être exploitée pur violer un système ou les informations qu'il contient

** Origine **

* Technique = logiciel, matériel, protocole, etc....
* Organisationnelle = facteur humain

** Gravité **

* Compténces requises par l'aataquant
* Provenance de l'attaque (machine, LAN, internet)
* Conséquences de l'attaque

<note tip>ASSET, cvss</note>

=== Menace ===

Action ou événement susceptible de porter préjudice à la sécurité d'un bien

Violation potentielle de la sécurité (ISO 7498-2)

* Menace accidentelle : accident, événement naturel, erreur
* FIXME

=== Attaque ===

* Exploitation d'une ou plusieurs vulnérabilités à l'aide d'une méthode d'attaque avec une opportunité donnée (EBIOS v2)
* Tentative réelle de porter atteinte à la confidentialité, l'intégrité et/ou la disponibilité d'un bien
* FIXME

=== Intrusion ===

* Cas particulier,
* Prise de contrôle partielle ou totale d'un système local ou distant


<note tip>DIC : Disponibilité, Intégrité, Conformité</note>


====Vulnérabilités d'IP ====

=== IP : Internet Protocol ===

* Protocole de niveau OSI 3 (réseau)
* Transmission de datagrammes en mode non connecté

Chaque datagramme IP comporte un en tête

FIXME Modèle osi

FIXME trame

On ne contrôle pas le chemin emprunté par les paquets IP d'un réseau à un autre

* Les données qui sur un réseau non commuté (concentrateur ou hub) peut écouter une communication
* Rejeu de trafic
* Interception de données sensibles (mot de passe, etc...)

<note>L'avantage du concentrateur qui renvoi les datas sur tous les ports</note>

Le format des informations circulant sur l'internet est normalisé par l'IETF, dans les RFCs

[[http://www.rfc-editor.org/]]

Les attaquants essaient les formats illégaux et testent les limites des systèmes

* Valeurs en dehors des plages autorisées,
* Données de taille incorrecte,
* Données incohérentes,
* Débordements de zone mémoire, ...

<note>
Fuzzing : injection de paquets aléatoire de façon à voir comment l'application réagit

Ainsi, l'envoi de code illégaux, peuvent poser des bugs

Reverse engineering : revenir sur le code source

code -> compilation -> binaire

ASM -> -> -> C C+

</note>

Aucun mécanisme de sécurité n'est fourni en standard dans IP v4

* Pas de filtrage, pas de chiffrement, pas d'authentification ...
* Lorsque un réseau est connecté
* FIXME

L'utilisation de fragments illégaux peur permettre de franchir des mécanismes de filtrage qui ne testent que le premier fragment (contenant les ports TCP/UDP):

* Possibilité de générer des dénis de service,
* Possibilité d'établir des connexions illicites.

Les options IP peuvent de révéler dangereuses :

* L'option ** Record Route ** permet de sonder un réseau même masquée par un dispositif de sécurité, la structure du réseau intrene peut être révélée
* L'option **LOOSE Source Routing** permet de recevoir des réponses même si l'adresse source est usurpée, utilisation privilégiée pour le "Spoofing"

=== Routage IP ===

Seule l'adresse de destination est utilisée dans le routage

* un attaquant peut envoyer un datagramme IP avec n'importe quelle adresse source

Les routeurs s'échangent leurs tables de routage afin de calculer le chemin le plus direct entre deux points du réseau (protocoles RIP FIXME)

==== Vulnérabilité d'ICMP ====

La technique dite « attaque par réflexion » (en anglais « smurf ») est basée sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes sur le même réseau.

Le scénario d'une telle attaque est le suivant :
* la machine attaquante envoie une requête ping (ping est un outil exploitant le protocole ICMP, permettant de tester les connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse à laquelle le serveur doit théoriquement répondre) et en fournissant l'adresse IP d'une machine cible.
* le serveur de diffusion répercute la requête sur l'ensemble du réseau, toutes les machines du réseau envoient une réponse au server de diffusion,
* le serveur broadcast redirige les réponses vers la machine cible.

Ainsi, lorsque la machine attaquante adresse une requête à plusieurs serveurs de diffusion situés sur des réseaux différents, l'ensemble des réponses des ordinateurs des différents réseaux vont être routées sur la machine cible.

{{ :audit:smurf.png }}

==== Vulnérabilité de TCP ====

==== Vulnérabilité d'UDP ====


===== Les vulnérabilités des protocoles applicatifs =====

==== Vulnérabilités de DNS ====

Les serveurs DNS sont une source de renseignements très utiles à l'attaquant

Serveur DNS autorisant le transfert de zone vers toutes les machines

* Permet de récupérer toutes les informations DNS publiques

FIXME réplication DNS

Serveur DNS contenant des machines privées

* permet de reconstituer l'architecture du réseau interne

FIXME

dig @ ANY


=== DNS spoofing ===

* Usurpation du nom DNS d'une station dans l atable d'un serveur DNS

Principe : Remplacer une @ IP légitime dans le cache du serveur DNS

* Attaque de cache poisoning

==== Vulnérabilité du Web ====

3 origines aux vulnérabilités Web

Poste client : code hostile (virus, vers, etc,), contrôles ActiveX, applets Java, scripts Java

FIXME



==== Vulnérabilité de SMTP ====

 
audit/introduction.txt · Dernière modification: 2019/05/11 14:35 (modification externe)     Haut de page
Get Firefox! Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki