[Helpc] Comment garder une longueur d'avance sur les pirates informatiques
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Tue, 2 Jul 2002 05:49:07 +0200
Comment garder une longueur d'avance sur les pirates informatiques
Par Wayne Rash,
ZDNet US
29 mai 2002
Alors que les programmateurs malintentionnés gagnent en sophistication,
ils sont capables de générer du code qui rend les outils de sécurité
modernes sitôt sortis, sitôt obsolètes. Alors comment pouvez-vous vous
protéger face à ces nouvelles menaces ?
Même si le terme est nouveau, les menaces de sécurité "combinées",
elles, ne le sont pas. Ces types de menaces visent simultanément
plusieurs zones de vulnérabilité du réseau. Toutefois, ce qui en fait la
nouveauté et l'originalité, c'est ce que le code malveillant est capable
d'y faire.
Dans une menace combinée, le code malveillant peut revêtir de nombreuses
formes et s'en prendre à votre entreprise de diverses manières. Il peut
également entraîner toutes sortes de dégâts pendant le temps qu'il reste
présent dans votre système.
Par exemple, vous pouvez vous retrouver avec du code malveillant qui
peut attaquer les ordinateurs de votre entreprise via des pièces jointes
aux courriers électroniques, des sites web infectés, voire par des
attaques directes sur vos routeurs et serveurs. Une fois à l'intérieur
de votre pare-feu (firewall), ces menaces peuvent se propager partout,
des disques partagés aux serveurs web internes. Et elles peuvent se
propager au reste du monde via le courrier électronique ou le transfert
de fichiers, par exemple.
Selon les fournisseurs, le problème des menaces combinées n'en est qu'à
ses balbutiements. Carey Nachenberg, qui travaille pour Symantec,
explique qu'il s'attend à voir apparaître du code malveillant capable de
changer de forme à chaque fois qu'il se réplique, rendant ainsi certains
logiciels antivirus inutiles. Selon lui, des menaces bien plus
inquiétantes se profilent à l'horizon. Pour limiter les futures menaces
combinées, certains éléments tels que les pare-feu de couche 7, qui
examinent les contenus des paquets de données avant de les transmettre,
s'avèrent cruciaux. Carey Nachenberg ajoute que les entreprises ont
besoin d'un logiciel de gestion de la vulnérabilité, d'une détection des
intrusions et d'un tout nouveau concept appelé blocage du comportement.
Les logiciels de blocage du comportement en sont encore à leurs débuts.
En général, leur rôle consiste à rechercher certaines opérations
réalisées par des applications inadéquates. Par exemple, le logiciel
peut alerter l'équipe de sécurité s'il détecte une application qui
efface ou modifie d'autres applications, ou encore qui essaie d'utiliser
internet parallèlement à ces opérations.
Selon Carey Nachenberg, les logiciels de blocage du comportement
s'exécutent sur un serveur distinct et des pilotes sont installés sur
chaque ordinateur. Ces pilotes recherchent tout comportement suspect des
logiciels installés sur l'ordinateur et avertissent le serveur s'ils
trouvent quelque chose. Comment définir un comportement suspect ?
Peut-être est-ce lorsqu'une application accède à internet, supprime ou
modifie des fichiers, ou encore crée de nouvelles applications. Mais
pour que le blocage du comportement soit efficace, il faut que vous
soyez déjà infecté...
Il existe déjà des outils pour combattre les menaces combinées. La
première ligne de défense consiste en applications qui résident sur vos
serveurs et recherchent le code malveillant. Mail Security de GFI en est
un bon exemple. De même, il est important de vérifier que vous disposez
de pare-feu appropriés et de les maintenir à jour, tout comme vos
logiciels de sécurité. Et, bien entendu, vous devez veiller à exécuter
les patchs et à mettre à jour régulièrement vos systèmes d'exploitation
et logiciels de serveur internet.
N'oubliez pas l'outil le plus important de tous : la formation. Pour
garantir la sécurité de votre entreprise, il est essentiel d'enjoindre
votre personnel à ne pas ouvrir de pièces jointes, à ne pas effectuer de
téléchargements depuis des sites web non liés à vos activités
spécifiques et à ne pas utiliser de logiciels personnels.
Malheureusement, la formation prend du temps et coûte de l'argent, ce
qui signifie que c'est généralement la première chose que suppriment les
comptables.
Pour la plupart des entreprises, la principale menace provient non pas
des terroristes, mais des attaques aléatoires menées par du code
malveillant qui se propage, des pirates informatiques ou des employés
mécontents. Autrement dit, il est temps que vous preniez vos précautions
contre les menaces combinées et le code malveillant. Si vous n'en faites
rien, la prochaine vague de courriers électroniques et de vers propagés
par le web finira inévitablement par s'en prendre à vos serveurs. Et
vous imaginez à quoi ressemblera votre vie si cela se produit...
Attaques "smurf": comment les éviter
Par Michael Mullins CCNA, MCP,
TechRepublic
11 février 2002
Pas très sophistiquée, l'attaque "smurf" est néanmoins une des plus
redoutables pour paralyser un réseau. Passage en revue des mesures à
prendre pour s'en protéger.
<http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr>
<http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr>
<http://www.techrepublic.com/republic.jhtml?id=r001&vf=zdfr> Les
attaques de type "smurf" peuvent être dévastatrices, tant pour les
réseaux qui en sont victimes que pour ceux utilisés pour amplifier
l'attaque. Ce type d'attaques, qui vise en effet les réseaux, fait
partie de la grande famille des attaques DOS (Denial Of Service) avec
refus de service. Une attaque smurf ICMP (Internet Control Message
Protocol) est une attaque brutale de la fonction de diffusion directe
intégrée au protocole IP. Les acteurs de ce type d'attaque sont les
suivants:
* Le hacker malveillant
* L'intermédiaire (également appelé amplificateur)
* La victime
Examinons la manière dont l'attaque survient, et comment vous pouvez
empêcher votre réseau d'être l'objet ou l'amplificateur d'une attaque
smurf.
Comment fonctionne une attaque smurf
Une attaque smurf n'est pas très sophistiquée. Il suffit d'un routage
pirate, et le protocole IP fait ensuite tout le travail. L'attaque se
déroule généralement en cinq étapes:
1. Le hacker identifie l'adresse IP de la victime (votre serveur
web constitue généralement une cible parfaite).
2. Il repère un site intermédiaire qui va amplifier l'attaque (en
général il en choisit plusieurs pour mieux masquer son attaque).
3. Il envoie un fort trafic ICMP (ping, couche 3) à l'adresse de
transmission des sites intermédiaires. Ces paquets présentent une
adresse IP source falsifiée désignant la victime.
4. Les intermédiaires envoient la transmission de la couche 2 vers
tous les systèmes hôtes de leurs sous-réseaux.
5. Les systèmes hôtes répondent au réseau victime.
Vous pouvez poser la question suivante: «Mais comment un petit ping
peut-il paralyser un site?» Et la réponse est simple: supposons que le
hacker dispose d'une liaison par câble ou d'une connexion T-1 et envoie
un flot ICMP falsifié à 1 Mb/s vers les sites intermédiaires. Si ces
sites disposent de 150 systèmes hôtes qui répondent, cela va provoquer
une attaque à 150 Mb/s des "amplificateurs" vers la victime. Le pirate
peut poursuivre son forfait tant qu'il dispose d'une connexion et que
les amplificateurs continuent à transmettre le trafic ICMP.
Ne participez pas d'une manière ou d'une autre à ces actions
Tout d'abord, ne laissez jamais aucun des utilisateurs de votre réseau
perpétrer ce type d'attaque sur autrui. Pour qu'une telle opération
puisse être lancée, le réseau de départ doit laisser sortir un paquet IP
avec une adresse source falsifiée.
Vous pouvez prévenir ce genre d'attaque dans votre propre réseau en
appliquant un filtre en sortie de votre routeur périphérique. Voici un
exemple de ce qu'il faudrait faire avec un routeur Cisco :
Access-list 100 permit IP {votre réseau } {votre masque de réseau } any
Access-list 100 deny IP any any
Appliquez cette liste d'accès à la connexion de sortie du réseau, sur le
routeur périphérique. Cela empêchera quiconque d'envoyer des paquets
avec des adresses sources falsifiées à l'extérieur de votre réseau
local.
Vous devez ensuite empêcher que votre réseau soit utilisé comme
amplificateur. À moins que vous n'ayez absolument besoin d'une fonction
de transmission vers l'extérieur de votre réseau, utilisez la commande
no ip directed-broadcast sur toutes les interfaces de votre routeur.
Si votre réseau est plus étendu, plus résistant, et doté de routeurs
multiples, utilisez la commande ip verify unicast reverse-path sur le
routeur périphérique. Il existera ainsi un chemin de retour pour les
paquets ICMP, et le routeur supprimera les paquets n'en ayant pas. Il
faut pour cela disposer de Cisco Express Forwarding (CEF), ou d'un outil
similaire édité par une société tierce. En effet, cette recherche
utilise les informations de la base FIB (Forwarding Information Base)
générées par CEF.
Prenez les mesures nécessaires
Si vous êtes victime d'une attaque smurf, certaines mesures peuvent être
prises pour en limiter les effets. À la suite d'une modification récente
de la plate-forme logicielle Cisco IOS, les paquets non reconnus par la
liste d'accès sont rejetés à une vitesse proche de celle du matériel. À
l'exception de deux paquets par seconde et par ligne de la liste
l'accès, ces deux paquets sont utilisés pour renvoyer à l'amplificateur
un message ICMP inatteignable. Ainsi, si vous ne voulez pas recevoir de
ping, bloquez les pings entrant. Si vous exploitez cette entrée de la
liste d'accès, utilisez la commande ip icmp rate-limit unreachable.
Si vous devez impérativement autoriser les pings, vous pouvez réduire le
trafic ICMP en utilisant le CAR (Committed Access Rate). C'est ce qui
permet de limiter la quantité de trafic identifié par une liste d'accès.
Voici un autre exemple basé sur le système Cisco IOS:
config t
Access-list 100 permit icmp any {votre réseau} {votre sous-réseau}
echo-reply
Access-list 100 permit icmp any (votre réseau) (votre sous-réseau) echo
Interface e1
Rate-limit input access-group 100 512000 8000 8000 conform action
transmit exceed action drop
Cet exemple limite la transmission ICMP à 512 Kb/s avec un taux en
rafale de 8000 bits. Tous les paquets dépassant cette limite sont
éliminés. On peut ajouter plusieurs commandes rate-limit à une interface
afin de contrôler d'autres types de trafic.
Localisez le hacker
Trouver la personne qui a lancé l'attaque smurf contre vous est
difficile, mais pas impossible.
Pour remonter jusqu'à la source de ce type d'attaque, procédez comme
suit:
1. Déterminez les espaces IP des amplificateurs et contactez leurs
administrateurs réseau. N'oubliez pas que les paquets proviennent d'un
amplificateur, pas du hacker.
2. Demandez-leur de consigner le trafic entrant provenant de votre
adresse IP (victime de l'attaque). C'est là que se trouve la source des
paquets falsifiés.
3. Déterminez l'adresse source MAC des paquets falsifiés et
effectuez un show ip arp (si vous utilisez le système Cisco IOS) sur
cette adresse MAC.
4. Le résultat vous conduira au pirate qui est à l'origine des
paquets falsifiés.
5. Déterminez qui gère le routeur incriminé et contactez
l'administrateur du réseau.
6. Répétez les étapes 2 à 5 jusqu'à ce que vous trouviez un routeur
présentant un lien direct avec l'adresse MAC que vous recherchez.
Pour résumer
Préservez votre réseau des attaques en filtrant le trafic sortant, et
évitez de devenir l'amplificateur d'une attaque. Pour cela, limitez
correctement le trafic d'émission. Si vous êtes attaqué, il existe des
moyens pour de réduire les dommages et traquer le coupable, comme
expliqué précédemment. Les attaques smurf peuvent être dévastatrices,
mais une bonne préparation permet de minimiser leur capacité de
propagation et leurs effets sur un réseau.
FireBlock déjoue les intrusions illicites
Par Lee Schlesinger,
ZDNet US
24 mai 2002
Repérer et anéantir toute tentative d'accès à des données sans
autorisation, c'est la mission de FireBlock, qui va bien au-delà des
pare-feu traditionnels.
Imaginez que vous avez un salarié qui se consacre exclusivement à la
surveillance des serveurs et répertoires sécurisés placés derrière votre
pare-feu, afin de déjouer toutes les tentatives d'intrusions. C'est
exactement ce que peut faire un périphérique de sécurité, en réduisant
grandement les risques que des utilisateurs internes accèdent à des
ressources interdites, l'un des problèmes de sécurité contre lesquels il
est très difficile de se protéger.
FireBlock de <http://www.palisadesys.com/> Palisade Systems,
spécialiste américain de la sécurité, est le seul produit à ma
connaissance capable de bloquer immédiatement des tentatives de
connexion non autorisées. Ce périphérique peut être placé en tout point
d'un segment du réseau: à côté d'un pare-feu ou devant une ferme de
serveurs, par exemple. Chaque périphérique comporte deux cartes réseau.
L'une d'entre elles sert à examiner de façon passive la source des
paquets et les adresses de destination ainsi que les ports TCP.
Lorsqu'elle repère une connexion, dont la provenance/destination et le
port n'ont pas été autorisés, elle transmet le paquet de données via
l'autre carte réseau vers le client ou le périphérique d'où il provient,
interrompant ainsi la connexion. Palisade a déposé un brevet pour cette
technique inédite de blocage passif du trafic réseau.
FireBlock stoppe toute connexion non autorisée
De nombreuses applications de surveillance des réseaux peuvent
passivement surveiller et incrémenter des journaux de connexion. Or avec
ce type d'outils, trouver dans les journaux les informations
intéressantes est aussi simple que repérer une aiguille dans une botte
de foin. Pire, même lorsque vous avez trouvé les informations
recherchées, vous devez déterminer ce qu'il convient de faire pour
empêcher de futures intrusions, si les dégâts n'ont pas déjà été faits.
FireBlock interrompt immédiatement toutes les tentatives de connexions
non autorisées.
Palisade propose également un autre périphérique, le SmokeDetector, qui
sert de leurre pour les attaques potentielles. Il émule les réponses IP
de huit systèmes d'exploitation différents, sachant qu'un périphérique
peut émuler jusqu'à 19 configurations matérielles. Comme il n'y a aucune
bonne raison d'accéder à SmokeDetector, toute tentative pour y accéder
signale au pire une attaque, ou à défaut un utilisateur trop curieux. Le
périphérique incrémente un journal de toutes les tentatives de connexion
et envoie des messages d'alerte aux administrateurs.
FireBlock et SmokeDetector sont pilotés par le logiciel FireMarshal de
Palisade. FireMarshal envoie des requêtes à un contrôleur de domaine
pour obtenir des adresses TCP/IP locales. En utilisant une interface
graphique, ces adresses peuvent servir pour définir des règles pour
FireBlock. Il est également possible de grouper des adresses dans ce que
Palisade appelle des "enclaves", pouvant être gérées par adresse ou par
groupe. FireMarshal permet de piloter plusieurs FireBlocks et
SmokeDetectors.
Bien plus fort qu'un pare-feu ou un détecteur d'intrusion
Bien que les produits de Palisade représentent une véritable révolution
dans le domaine de la protection des ressources internes, ils n'en sont
encore qu'aux premiers stades du développement. Mais la société sait ce
qu'elle doit améliorer. Ainsi, les règles de son FireMarshal estiment
que l'on utilise des adresses IP fixes. Si l'on utilise un DHCP pour
attribuer automatiquement des adresses IP en interne, il faut créer des
règles en fonction de différentes plages d'adresses IP, et vérifier que
le serveur DHCP attribue ces adresses selon ces plages. Cela sera résolu
dans les prochaines versions du logiciel, qui seront compatibles avec
les adresses DHCP. Il sera également possible de les interfacer avec des
serveurs LDAP pour prendre en compte les informations de répertoire lors
de la création des règles.
Un pare-feu n'a pas les capacités de FireBlock. Il peut limiter l'accès
à certains segments du réseau, mais n'est pas capable de restreindre
l'accès à des ressources en fonction des adresses IP ou des ports. Un
pare-feu surveille et bloque les connexions passivement, tandis que
FireBlock surveille passivement et bloque dynamiquement. Quant aux même
les logiciels de détection d'intrusion, ils ne peuvent que signaler un
problème.
En conclusion, FireBlock pourrait bien être la solution au problème
récurrent de la protection des ressources en interne.
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
