Indispensables pour sécuriser un réseau connecté à l'Internet, les firewalls ne suffisent plus pour garantir une protection suffisante. Ce sont en effet des systèmes statiques imposant un ensemble particulier de règles et permettant, par conséquent, à des pirates d'utiliser des paquets valides pour attaquer un réseau et en compromettre la sécurité. Pour une protection complète, surtout de Windows NT et du protocole IP, il vous faut plus qu'un simple firewall. Pour situer les problèmes potentiels, avant que des hackers (les intrus qui pénètrent les systèmes avec des intentions généralement malveillantes) ne les exploitent à l'intérieur ou à l'extérieur de votre réseau, vous avez le choix entre plusieurs outils de sécurité, tels que les scanners de ports, tests de vulnérabilité, analyseurs de journaux et autres détecteurs d'intrusion.
Mettez un tigre dans votre firewall
TCP et UDP utilisent les numéros de ports pour identifier les services des couches
supérieures du réseau. Les scanners (ou scrutateurs) de ports permettent
aux administrateurs systèmes de déterminer les services TCP/UDP disponibles sur
un serveur.
L’une des règles fondamentales de la sécurité des serveurs est de désactiver tout
service non utilisé par le système, car tout service TCP/UDP actif offre aux hackers
une possibilité de pénétrer dans le système. Le scanner de ports vous permettra
de vérifier que seuls les services TCP/UDP nécessaires sont exécutés.Les ports
numérotés de 0 à 1023 sont des ports familiers, habituellement réservés par les
administrateurs systèmes aux processus système ou aux programmes exécutés par
des utilisateurs privilégiés.
En exploitant l’un d’entre-eux, des pirates peuvent parvenir à prendre le contrôle
d’un serveur.
Tout service TCP/UDP actif offre aux hackers une possibilité de pénétrer dans
le système
Pour compromettre un réseau, les pirates utilisent plusieurs méthodes
génériques de scrutation des ports. Les exemples ci-dessous illustrent le scanning
de TCP :
- Le scanning connect( ) est la forme la plus simple du scanning de TCP. Le
système d’un pirate émet un appel système connect( ) en direction de chaque
port intéressant de la machine cible. Si le port est en attente, connect(
) réussit ; sinon il est inaccessible et le service n’est pas disponible.
Ce système d’attaque est rapide et ne nécessite aucun privilège spécial, mais
les scanners de ports peuvent sans difficulté la détecter et la bloquer sur
le système cible. - Le scanning SYN tente d’installer une connexion virtuelle TCP. Il faut,
pour cela, établir une triple liaison, à savoir : un serveur envoie un segment
TCP comportant le drapeau SYN (synchronisation), l’autre serveur répond par
un segment comportant les drapeaux ACK (acknowledge valid) et SYN, après quoi
le premier répond par un segment ne comportant que le drapeau ACK. Dans le
scanning SYN, un serveur demandeur envoie un segment SYN à chaque port. Si
le serveur répond par un segment SYN-ACK, le service est disponible ; s’il
répond par un segment RST (reset), le service n’est pas disponible. Les scanners
de ports peuvent généralement consigner ces tentatives envers le site cible. - Le scanning FIN permet au serveur demandeur du hacker de contourner l’établissement
d’une triple liaison et d’envoyer un segment FIN (finish) à tous les ports
TCP intéressés. Normalement, l’envoi d’un segment FIN ferme une connexion
TCP ouverte. Cependant, si le port est ouvert (c’est-à -dire en attente ou
actif), le système est supposé ignorer le FIN puisqu’il n’y a pas de connexion
; et s’il est fermé (c’est-à -dire ni en attente, ni actif), le système génère
un segment RST. L’absence de réponse permet donc à un pirate d’identifier
un port actif. Cette attaque est un moyen astucieux de contourner les problèmes
du scanning SYN et très difficile à repérer. Ironie du sort, cette méthode
ne fonctionne pas bien sur la plupart des systèmes Windows, car l’implémentation
de TCP par Microsoft envoie toujours un RST en réponse à un FIN. - L’attaque par rebond (bounce) de FTP utilise la commande FTP PORT et la
fonction de téléchargement d’un serveur FTP derrière le firewall. Elle permet
à un client de se connecter avec d’autres systèmes qui seraient inaccessibles
autrement. Par exemple, un pirate crée un fichier texte contenant le dialogue
SMTP d’un message électronique espion et le télécharge dans un serveur FTP
derrière un firewall. Puis il adresse une commande FTP PORT au serveur en
fournissant l’adresse IP et le numéro de port SMTP du système cible visé.
Ensuite il envoie à la machine victime le fichier, qui semble alors provenir
du serveur FTP. Les pirates peuvent utiliser cette méthode pour insérer des
programmes de cheval de Troie ou des virus derrière un firewall et même avoir
accès à un serveur FTP et à des services de scanning derrière un firewall.
L’implémentation Microsoft de FTP est, parait-il, immunisée contre ce type
d’attaque, puisqu’elle implique une correspondance entre l’adresse IP contenue
dans la commande PORT et celle fournie à l’origine sur le canal de contrôle
FTP (port TCP 21). En outre, on ne peut pas, par défaut, utiliser la commande
PORT pour spécifier des ports privilégiés (c’est-à -dire des numéros de ports
inférieurs à 1024) sauf au canal de données FTP (le port TCP 20). - L’analyse des ports ICMP (Internet Control Message Protocol) inaccessibles
est l’une des rares analyses UDP. UDP est un protocole sans connexion, donc
plus difficile à scanner que TCP. En effet, les ports UDP ne sont pas tenus
de répondre à des sondages. La plupart des implémentations génèrent une erreur
ICMP port_unreachable lorsqu’un utilisateur (ou un pirate) envoie un paquet
à un port UDP fermé. L’absence de réponse indique donc un port actif.
Il existe plusieurs outils pour scanner les ports, combinant diverses
méthodes pour détecter les attaques
Il existe plusieurs outils pour scanner les ports, combinant diverses
méthodes pour détecter les attaques. Vous pouvez utiliser des logiciels d’analyse
de ports des systèmes UNIX ou NT. (Le Tableau 1 énumère quelques outils de surveillance
de la sécurité NT).Par exemple, j’ai utilisé WebTrends Security Analyzer pour
détecter les vulnérabilités TCP/UDP d’un groupe de quatre serveurs NT. Le graphique
que montre l’écran 1, révèle que quatre services sont attaquables.Le premier tableau
de l’écran 1 détaille chaque risque.
Par exemple, les services FTP et HTTP sont vulnérables rien qu’en s’exécutant.
Le service FTP présente un risque moyen en raison de l’accès anonyme activé et
le service HTTP est à haut risque car les pirates peuvent exploiter le trou $DATA
d’Internet Information Server. Cette vulnérabilité affecte beaucoup d’installations
IIS car un pirate peut télécharger les sources Active Server Pages en ajoutant
une chaîne ::$DATA à l’URL. Cette action peut exposer les noms d’utilisateurs
et les mots de passe spécifiquement programmés par les administrateurs systèmes
dans des scripts (par exemple SQL et d’autres mots de passe d’administrateurs).
Une fois énumérées les vulnérabilités, beaucoup de scanners de ports suggèrent
des corrections possibles, comme la fermeture du service ou l’installation d’une
correction d’urgence. Certes la fermeture du service n’est pas forcément possible,
mais la connaissance d’une vulnérabilité aide à trouver un équilibre entre l’exposition
au risque et l’avantage tiré. Les scanners de ports rappellent aux administrateurs
systèmes d’arrêter tout service non utilisé.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
