Comment garder une longueur d'avance sur les pirates informatiques Par Wayne Rash, ZDNet US 29 mai 2002 Alors que les programmateurs malintentionnés gagnent en sophistication, ils sont capables de générer du code qui rend les outils de sécurité modernes sitôt sortis, sitôt obsolètes. Alors comment pouvez-vous vous protéger face à ces nouvelles menaces ? Même si le terme est nouveau, les menaces de sécurité "combinées", elles, ne le sont pas. Ces types de menaces visent simultanément plusieurs zones de vulnérabilité du réseau. Toutefois, ce qui en fait la nouveauté et l'originalité, c'est ce que le code malveillant est capable d'y faire. Dans une menace combinée, le code malveillant peut revêtir de nombreuses formes et s'en prendre à votre entreprise de diverses manières. Il peut également entraîner toutes sortes de dégâts pendant le temps qu'il reste présent dans votre système. Par exemple, vous pouvez vous retrouver avec du code malveillant qui peut attaquer les ordinateurs de votre entreprise via des pièces jointes aux courriers électroniques, des sites web infectés, voire par des attaques directes sur vos routeurs et serveurs. Une fois à l'intérieur de votre pare-feu (firewall), ces menaces peuvent se propager partout, des disques partagés aux serveurs web internes. Et elles peuvent se propager au reste du monde via le courrier électronique ou le transfert de fichiers, par exemple. Selon les fournisseurs, le problème des menaces combinées n'en est qu'à ses balbutiements. Carey Nachenberg, qui travaille pour Symantec, explique qu'il s'attend à voir apparaître du code malveillant capable de changer de forme à chaque fois qu'il se réplique, rendant ainsi certains logiciels antivirus inutiles. Selon lui, des menaces bien plus inquiétantes se profilent à l'horizon. Pour limiter les futures menaces combinées, certains éléments tels que les pare-feu de couche 7, qui examinent les contenus des paquets de données avant de les transmettre, s'avèrent cruciaux. Carey Nachenberg ajoute que les entreprises ont besoin d'un logiciel de gestion de la vulnérabilité, d'une détection des intrusions et d'un tout nouveau concept appelé blocage du comportement. Les logiciels de blocage du comportement en sont encore à leurs débuts. En général, leur rôle consiste à rechercher certaines opérations réalisées par des applications inadéquates. Par exemple, le logiciel peut alerter l'équipe de sécurité s'il détecte une application qui efface ou modifie d'autres applications, ou encore qui essaie d'utiliser internet parallèlement à ces opérations. Selon Carey Nachenberg, les logiciels de blocage du comportement s'exécutent sur un serveur distinct et des pilotes sont installés sur chaque ordinateur. Ces pilotes recherchent tout comportement suspect des logiciels installés sur l'ordinateur et avertissent le serveur s'ils trouvent quelque chose. Comment définir un comportement suspect ? Peut-être est-ce lorsqu'une application accède à internet, supprime ou modifie des fichiers, ou encore crée de nouvelles applications. Mais pour que le blocage du comportement soit efficace, il faut que vous soyez déjà infecté... Il existe déjà des outils pour combattre les menaces combinées. La première ligne de défense consiste en applications qui résident sur vos serveurs et recherchent le code malveillant. Mail Security de GFI en est un bon exemple. De même, il est important de vérifier que vous disposez de pare-feu appropriés et de les maintenir à jour, tout comme vos logiciels de sécurité. Et, bien entendu, vous devez veiller à exécuter les patchs et à mettre à jour régulièrement vos systèmes d'exploitation et logiciels de serveur internet. N'oubliez pas l'outil le plus important de tous : la formation. Pour garantir la sécurité de votre entreprise, il est essentiel d'enjoindre votre personnel à ne pas ouvrir de pièces jointes, à ne pas effectuer de téléchargements depuis des sites web non liés à vos activités spécifiques et à ne pas utiliser de logiciels personnels. Malheureusement, la formation prend du temps et coûte de l'argent, ce qui signifie que c'est généralement la première chose que suppriment les comptables. Pour la plupart des entreprises, la principale menace provient non pas des terroristes, mais des attaques aléatoires menées par du code malveillant qui se propage, des pirates informatiques ou des employés mécontents. Autrement dit, il est temps que vous preniez vos précautions contre les menaces combinées et le code malveillant. Si vous n'en faites rien, la prochaine vague de courriers électroniques et de vers propagés par le web finira inévitablement par s'en prendre à vos serveurs. Et vous imaginez à quoi ressemblera votre vie si cela se produit... Attaques "smurf": comment les éviter Par Michael Mullins CCNA, MCP, TechRepublic 11 février 2002 Pas très sophistiquée, l'attaque "smurf" est néanmoins une des plus redoutables pour paralyser un réseau. Passage en revue des mesures à prendre pour s'en protéger. <http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr> <http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr> <http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr> Les attaques de type "smurf" peuvent être dévastatrices, tant pour les réseaux qui en sont victimes que pour ceux utilisés pour amplifier l'attaque. Ce type d'attaques, qui vise en effet les réseaux, fait partie de la grande famille des attaques DOS (Denial Of Service) avec refus de service. Une attaque smurf ICMP (Internet Control Message Protocol) est une attaque brutale de la fonction de diffusion directe intégrée au protocole IP. Les acteurs de ce type d'attaque sont les suivants: * Le hacker malveillant * L'intermédiaire (également appelé amplificateur) * La victime Examinons la manière dont l'attaque survient, et comment vous pouvez empêcher votre réseau d'être l'objet ou l'amplificateur d'une attaque smurf. Comment fonctionne une attaque smurf Une attaque smurf n'est pas très sophistiquée. Il suffit d'un routage pirate, et le protocole IP fait ensuite tout le travail. L'attaque se déroule généralement en cinq étapes: 1. Le hacker identifie l'adresse IP de la victime (votre serveur web constitue généralement une cible parfaite). 2. Il repère un site intermédiaire qui va amplifier l'attaque (en général il en choisit plusieurs pour mieux masquer son attaque). 3. Il envoie un fort trafic ICMP (ping, couche 3) à l'adresse de transmission des sites intermédiaires. Ces paquets présentent une adresse IP source falsifiée désignant la victime. 4. Les intermédiaires envoient la transmission de la couche 2 vers tous les systèmes hôtes de leurs sous-réseaux. 5. Les systèmes hôtes répondent au réseau victime. Vous pouvez poser la question suivante: «Mais comment un petit ping peut-il paralyser un site?» Et la réponse est simple: supposons que le hacker dispose d'une liaison par câble ou d'une connexion T-1 et envoie un flot ICMP falsifié à 1 Mb/s vers les sites intermédiaires. Si ces sites disposent de 150 systèmes hôtes qui répondent, cela va provoquer une attaque à 150 Mb/s des "amplificateurs" vers la victime. Le pirate peut poursuivre son forfait tant qu'il dispose d'une connexion et que les amplificateurs continuent à transmettre le trafic ICMP. Ne participez pas d'une manière ou d'une autre à ces actions Tout d'abord, ne laissez jamais aucun des utilisateurs de votre réseau perpétrer ce type d'attaque sur autrui. Pour qu'une telle opération puisse être lancée, le réseau de départ doit laisser sortir un paquet IP avec une adresse source falsifiée. Vous pouvez prévenir ce genre d'attaque dans votre propre réseau en appliquant un filtre en sortie de votre routeur périphérique. Voici un exemple de ce qu'il faudrait faire avec un routeur Cisco : Access-list 100 permit IP {votre réseau } {votre masque de réseau } any Access-list 100 deny IP any any Appliquez cette liste d'accès à la connexion de sortie du réseau, sur le routeur périphérique. Cela empêchera quiconque d'envoyer des paquets avec des adresses sources falsifiées à l'extérieur de votre réseau local. Vous devez ensuite empêcher que votre réseau soit utilisé comme amplificateur. À moins que vous n'ayez absolument besoin d'une fonction de transmission vers l'extérieur de votre réseau, utilisez la commande no ip directed-broadcast sur toutes les interfaces de votre routeur. Si votre réseau est plus étendu, plus résistant, et doté de routeurs multiples, utilisez la commande ip verify unicast reverse-path sur le routeur périphérique. Il existera ainsi un chemin de retour pour les paquets ICMP, et le routeur supprimera les paquets n'en ayant pas. Il faut pour cela disposer de Cisco Express Forwarding (CEF), ou d'un outil similaire édité par une société tierce. En effet, cette recherche utilise les informations de la base FIB (Forwarding Information Base) générées par CEF. Prenez les mesures nécessaires Si vous êtes victime d'une attaque smurf, certaines mesures peuvent être prises pour en limiter les effets. À la suite d'une modification récente de la plate-forme logicielle Cisco IOS, les paquets non reconnus par la liste d'accès sont rejetés à une vitesse proche de celle du matériel. À l'exception de deux paquets par seconde et par ligne de la liste l'accès, ces deux paquets sont utilisés pour renvoyer à l'amplificateur un message ICMP inatteignable. Ainsi, si vous ne voulez pas recevoir de ping, bloquez les pings entrant. Si vous exploitez cette entrée de la liste d'accès, utilisez la commande ip icmp rate-limit unreachable. Si vous devez impérativement autoriser les pings, vous pouvez réduire le trafic ICMP en utilisant le CAR (Committed Access Rate). C'est ce qui permet de limiter la quantité de trafic identifié par une liste d'accès. Voici un autre exemple basé sur le système Cisco IOS: config t Access-list 100 permit icmp any {votre réseau} {votre sous-réseau} echo-reply Access-list 100 permit icmp any (votre réseau) (votre sous-réseau) echo Interface e1 Rate-limit input access-group 100 512000 8000 8000 conform action transmit exceed action drop Cet exemple limite la transmission ICMP à 512 Kb/s avec un taux en rafale de 8000 bits. Tous les paquets dépassant cette limite sont éliminés. On peut ajouter plusieurs commandes rate-limit à une interface afin de contrôler d'autres types de trafic. Localisez le hacker Trouver la personne qui a lancé l'attaque smurf contre vous est difficile, mais pas impossible. Pour remonter jusqu'à la source de ce type d'attaque, procédez comme suit: 1. Déterminez les espaces IP des amplificateurs et contactez leurs administrateurs réseau. N'oubliez pas que les paquets proviennent d'un amplificateur, pas du hacker. 2. Demandez-leur de consigner le trafic entrant provenant de votre adresse IP (victime de l'attaque). C'est là que se trouve la source des paquets falsifiés. 3. Déterminez l'adresse source MAC des paquets falsifiés et effectuez un show ip arp (si vous utilisez le système Cisco IOS) sur cette adresse MAC. 4. Le résultat vous conduira au pirate qui est à l'origine des paquets falsifiés. 5. Déterminez qui gère le routeur incriminé et contactez l'administrateur du réseau. 6. Répétez les étapes 2 à 5 jusqu'à ce que vous trouviez un routeur présentant un lien direct avec l'adresse MAC que vous recherchez. Pour résumer Préservez votre réseau des attaques en filtrant le trafic sortant, et évitez de devenir l'amplificateur d'une attaque. Pour cela, limitez correctement le trafic d'émission. Si vous êtes attaqué, il existe des moyens pour de réduire les dommages et traquer le coupable, comme expliqué précédemment. Les attaques smurf peuvent être dévastatrices, mais une bonne préparation permet de minimiser leur capacité de propagation et leurs effets sur un réseau. FireBlock déjoue les intrusions illicites Par Lee Schlesinger, ZDNet US 24 mai 2002 Repérer et anéantir toute tentative d'accès à des données sans autorisation, c'est la mission de FireBlock, qui va bien au-delà des pare-feu traditionnels. Imaginez que vous avez un salarié qui se consacre exclusivement à la surveillance des serveurs et répertoires sécurisés placés derrière votre pare-feu, afin de déjouer toutes les tentatives d'intrusions. C'est exactement ce que peut faire un périphérique de sécurité, en réduisant grandement les risques que des utilisateurs internes accèdent à des ressources interdites, l'un des problèmes de sécurité contre lesquels il est très difficile de se protéger. FireBlock de <http://www.palisadesys.com/> Palisade Systems, spécialiste américain de la sécurité, est le seul produit à ma connaissance capable de bloquer immédiatement des tentatives de connexion non autorisées. Ce périphérique peut être placé en tout point d'un segment du réseau: à côté d'un pare-feu ou devant une ferme de serveurs, par exemple. Chaque périphérique comporte deux cartes réseau. L'une d'entre elles sert à examiner de façon passive la source des paquets et les adresses de destination ainsi que les ports TCP. Lorsqu'elle repère une connexion, dont la provenance/destination et le port n'ont pas été autorisés, elle transmet le paquet de données via l'autre carte réseau vers le client ou le périphérique d'où il provient, interrompant ainsi la connexion. Palisade a déposé un brevet pour cette technique inédite de blocage passif du trafic réseau. FireBlock stoppe toute connexion non autorisée De nombreuses applications de surveillance des réseaux peuvent passivement surveiller et incrémenter des journaux de connexion. Or avec ce type d'outils, trouver dans les journaux les informations intéressantes est aussi simple que repérer une aiguille dans une botte de foin. Pire, même lorsque vous avez trouvé les informations recherchées, vous devez déterminer ce qu'il convient de faire pour empêcher de futures intrusions, si les dégâts n'ont pas déjà été faits. FireBlock interrompt immédiatement toutes les tentatives de connexions non autorisées. Palisade propose également un autre périphérique, le SmokeDetector, qui sert de leurre pour les attaques potentielles. Il émule les réponses IP de huit systèmes d'exploitation différents, sachant qu'un périphérique peut émuler jusqu'à 19 configurations matérielles. Comme il n'y a aucune bonne raison d'accéder à SmokeDetector, toute tentative pour y accéder signale au pire une attaque, ou à défaut un utilisateur trop curieux. Le périphérique incrémente un journal de toutes les tentatives de connexion et envoie des messages d'alerte aux administrateurs. FireBlock et SmokeDetector sont pilotés par le logiciel FireMarshal de Palisade. FireMarshal envoie des requêtes à un contrôleur de domaine pour obtenir des adresses TCP/IP locales. En utilisant une interface graphique, ces adresses peuvent servir pour définir des règles pour FireBlock. Il est également possible de grouper des adresses dans ce que Palisade appelle des "enclaves", pouvant être gérées par adresse ou par groupe. FireMarshal permet de piloter plusieurs FireBlocks et SmokeDetectors. Bien plus fort qu'un pare-feu ou un détecteur d'intrusion Bien que les produits de Palisade représentent une véritable révolution dans le domaine de la protection des ressources internes, ils n'en sont encore qu'aux premiers stades du développement. Mais la société sait ce qu'elle doit améliorer. Ainsi, les règles de son FireMarshal estiment que l'on utilise des adresses IP fixes. Si l'on utilise un DHCP pour attribuer automatiquement des adresses IP en interne, il faut créer des règles en fonction de différentes plages d'adresses IP, et vérifier que le serveur DHCP attribue ces adresses selon ces plages. Cela sera résolu dans les prochaines versions du logiciel, qui seront compatibles avec les adresses DHCP. Il sera également possible de les interfacer avec des serveurs LDAP pour prendre en compte les informations de répertoire lors de la création des règles. Un pare-feu n'a pas les capacités de FireBlock. Il peut limiter l'accès à certains segments du réseau, mais n'est pas capable de restreindre l'accès à des ressources en fonction des adresses IP ou des ports. Un pare-feu surveille et bloque les connexions passivement, tandis que FireBlock surveille passivement et bloque dynamiquement. Quant aux même les logiciels de détection d'intrusion, ils ne peuvent que signaler un problème. En conclusion, FireBlock pourrait bien être la solution au problème récurrent de la protection des ressources en interne. --->>> Shaka( Rudy) HelPC list owner shaka.rudy@xxxxxxxxx