> Tech > Mettez un tigre dans votre firewall

Mettez un tigre dans votre firewall

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Indispensables pour sécuriser un réseau connecté à  l'Internet, les firewalls ne suffisent plus pour garantir une protection suffisante. Ce sont en effet des systèmes statiques imposant un ensemble particulier de règles et permettant, par conséquent, à  des pirates d'utiliser des paquets valides pour attaquer un réseau et en compromettre la sécurité. Pour une protection complète, surtout de Windows NT et du protocole IP, il vous faut plus qu'un simple firewall. Pour situer les problèmes potentiels, avant que des hackers (les intrus qui pénètrent les systèmes avec des intentions généralement malveillantes) ne les exploitent à  l'intérieur ou à  l'extérieur de votre réseau, vous avez le choix entre plusieurs outils de sécurité, tels que les scanners de ports, tests de vulnérabilité, analyseurs de journaux et autres détecteurs d'intrusion.

TCP et UDP utilisent les numéros de ports pour identifier les services des couches
supérieures du réseau. Les scanners (ou scrutateurs) de ports permettent
aux administrateurs systèmes de déterminer les services TCP/UDP disponibles sur
un serveur.
L’une des règles fondamentales de la sécurité des serveurs est de désactiver tout
service non utilisé par le système, car tout service TCP/UDP actif offre aux hackers
une possibilité de pénétrer dans le système. Le scanner de ports vous permettra
de vérifier que seuls les services TCP/UDP nécessaires sont exécutés.Les ports
numérotés de 0 à  1023 sont des ports familiers, habituellement réservés par les
administrateurs systèmes aux processus système ou aux programmes exécutés par
des utilisateurs privilégiés.
En exploitant l’un d’entre-eux, des pirates peuvent parvenir à  prendre le contrôle
d’un serveur.

Tout service TCP/UDP actif offre aux hackers une possibilité de pénétrer dans
le système

Pour compromettre un réseau, les pirates utilisent plusieurs méthodes
génériques de scrutation des ports. Les exemples ci-dessous illustrent le scanning
de TCP :

  • Le scanning connect( ) est la forme la plus simple du scanning de TCP. Le
    système d’un pirate émet un appel système connect( ) en direction de chaque
    port intéressant de la machine cible. Si le port est en attente, connect(
    ) réussit ; sinon il est inaccessible et le service n’est pas disponible.
    Ce système d’attaque est rapide et ne nécessite aucun privilège spécial, mais
    les scanners de ports peuvent sans difficulté la détecter et la bloquer sur
    le système cible.

  • Le scanning SYN tente d’installer une connexion virtuelle TCP. Il faut,
    pour cela, établir une triple liaison, à  savoir : un serveur envoie un segment
    TCP comportant le drapeau SYN (synchronisation), l’autre serveur répond par
    un segment comportant les drapeaux ACK (acknowledge valid) et SYN, après quoi
    le premier répond par un segment ne comportant que le drapeau ACK. Dans le
    scanning SYN, un serveur demandeur envoie un segment SYN à  chaque port. Si
    le serveur répond par un segment SYN-ACK, le service est disponible ; s’il
    répond par un segment RST (reset), le service n’est pas disponible. Les scanners
    de ports peuvent généralement consigner ces tentatives envers le site cible.

  • Le scanning FIN permet au serveur demandeur du hacker de contourner l’établissement
    d’une triple liaison et d’envoyer un segment FIN (finish) à  tous les ports
    TCP intéressés. Normalement, l’envoi d’un segment FIN ferme une connexion
    TCP ouverte. Cependant, si le port est ouvert (c’est-à -dire en attente ou
    actif), le système est supposé ignorer le FIN puisqu’il n’y a pas de connexion
    ; et s’il est fermé (c’est-à -dire ni en attente, ni actif), le système génère
    un segment RST. L’absence de réponse permet donc à  un pirate d’identifier
    un port actif. Cette attaque est un moyen astucieux de contourner les problèmes
    du scanning SYN et très difficile à  repérer. Ironie du sort, cette méthode
    ne fonctionne pas bien sur la plupart des systèmes Windows, car l’implémentation
    de TCP par Microsoft envoie toujours un RST en réponse à  un FIN.

  • L’attaque par rebond (bounce) de FTP utilise la commande FTP PORT et la
    fonction de téléchargement d’un serveur FTP derrière le firewall. Elle permet
    à  un client de se connecter avec d’autres systèmes qui seraient inaccessibles
    autrement. Par exemple, un pirate crée un fichier texte contenant le dialogue
    SMTP d’un message électronique espion et le télécharge dans un serveur FTP
    derrière un firewall. Puis il adresse une commande FTP PORT au serveur en
    fournissant l’adresse IP et le numéro de port SMTP du système cible visé.
    Ensuite il envoie à  la machine victime le fichier, qui semble alors provenir
    du serveur FTP. Les pirates peuvent utiliser cette méthode pour insérer des
    programmes de cheval de Troie ou des virus derrière un firewall et même avoir
    accès à  un serveur FTP et à  des services de scanning derrière un firewall.
    L’implémentation Microsoft de FTP est, parait-il, immunisée contre ce type
    d’attaque, puisqu’elle implique une correspondance entre l’adresse IP contenue
    dans la commande PORT et celle fournie à  l’origine sur le canal de contrôle
    FTP (port TCP 21). En outre, on ne peut pas, par défaut, utiliser la commande
    PORT pour spécifier des ports privilégiés (c’est-à -dire des numéros de ports
    inférieurs à  1024) sauf au canal de données FTP (le port TCP 20).

  • L’analyse des ports ICMP (Internet Control Message Protocol) inaccessibles
    est l’une des rares analyses UDP. UDP est un protocole sans connexion, donc
    plus difficile à  scanner que TCP. En effet, les ports UDP ne sont pas tenus
    de répondre à  des sondages. La plupart des implémentations génèrent une erreur
    ICMP port_unreachable lorsqu’un utilisateur (ou un pirate) envoie un paquet
    à  un port UDP fermé. L’absence de réponse indique donc un port actif.

Il existe plusieurs outils pour scanner les ports, combinant diverses
méthodes pour détecter les attaques

Il existe plusieurs outils pour scanner les ports, combinant diverses
méthodes pour détecter les attaques. Vous pouvez utiliser des logiciels d’analyse
de ports des systèmes UNIX ou NT. (Le Tableau 1 énumère quelques outils de surveillance
de la sécurité NT).Par exemple, j’ai utilisé WebTrends Security Analyzer pour
détecter les vulnérabilités TCP/UDP d’un groupe de quatre serveurs NT. Le graphique
que montre l’écran 1, révèle que quatre services sont attaquables.Le premier tableau
de l’écran 1 détaille chaque risque.

Par exemple, les services FTP et HTTP sont vulnérables rien qu’en s’exécutant.
Le service FTP présente un risque moyen en raison de l’accès anonyme activé et
le service HTTP est à  haut risque car les pirates peuvent exploiter le trou $DATA
d’Internet Information Server. Cette vulnérabilité affecte beaucoup d’installations
IIS car un pirate peut télécharger les sources Active Server Pages en ajoutant
une chaîne ::$DATA à  l’URL. Cette action peut exposer les noms d’utilisateurs
et les mots de passe spécifiquement programmés par les administrateurs systèmes
dans des scripts (par exemple SQL et d’autres mots de passe d’administrateurs).

Une fois énumérées les vulnérabilités, beaucoup de scanners de ports suggèrent
des corrections possibles, comme la fermeture du service ou l’installation d’une
correction d’urgence. Certes la fermeture du service n’est pas forcément possible,
mais la connaissance d’une vulnérabilité aide à  trouver un équilibre entre l’exposition
au risque et l’avantage tiré. Les scanners de ports rappellent aux administrateurs
systèmes d’arrêter tout service non utilisé.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro.fr - Publié le 24 juin 2010