Beruflich Dokumente
Kultur Dokumente
La scurit et TCP/IP
Par Christian Caleca
Date de publication : 18 fvrier 2012
Vous disposez d'une connexion permanente et rapide et maintenant, vous tes perdu
dans la technique
Cette srie L'Internet Rapide et Permanent , que Christian Caleca nous a aimablement
autoriss reproduire, est l pour rpondre quelques-unes de ces questions. Cet article
parlera de la scurit sur TCP/IP.
N'hsitez pas commenter cet article !
1 - Prliminaires...........................................................................................................................................................4
1-1 - Mais que risque-t-on ?...................................................................................................................................4
1-2 - Firewall, c'est quoi a ?.................................................................................................................................4
2 - Les attaques...........................................................................................................................................................4
2-1 - Hasard ou ncessit ?...................................................................................................................................4
2-2 - Les attaques possibles..................................................................................................................................5
2-2-1 - Les attaques virales et assimiles........................................................................................................5
2-2-1-1 - Les virus dans les excutables....................................................................................................5
2-2-1-2 - Les macrovirus dans les donnes............................................................................................... 6
2-2-1-3 - Les scripts et applets dans le HTML........................................................................................... 6
2-2-2 - Parades................................................................................................................................................. 6
2-2-3 - Les intrusions........................................................................................................................................6
2-2-3-1 - Les ports l'coute......................................................................................................................7
2-2-3-2 - Les backdoors , trojans et assimils................................................................................. 7
2-2-3-2-1 - Exemple marrant d'un spyware........................................................................................... 7
2-2-3-3 - Parades........................................................................................................................................ 8
2-2-4 - Les dfauts logiciels............................................................................................................................. 8
2-2-4-1 - Parades........................................................................................................................................ 8
2-2-5 - Les spoofing , hijacking et autres SYN Flood ......................................................................8
2-2-5-1 - Parades........................................................................................................................................ 8
2-2-6 - Les blocages.........................................................................................................................................9
2-2-6-1 - Parades........................................................................................................................................ 9
2-3 - ICMP, le protocole qui fait peur.....................................................................................................................9
2-3-1 - Le PING................................................................................................................................................ 9
2-3-2 - Hte inaccessible..................................................................................................................................9
2-3-3 - Horodatage..........................................................................................................................................10
2-3-4 - TTL expir...........................................................................................................................................10
2-3-5 - Redirection ncessaire....................................................................................................................... 10
3 - Analyse de cas classiques ............................................................................................................................ 10
3-1 - Un poste classique sous Windows 98.................................................................................................. 10
3-1-1 - Ports TCP........................................................................................................................................... 10
3-1-2 - Ports UDP........................................................................................................................................... 10
3-2 - Un poste de travail Windows 2000............................................................................................................. 11
3-2-1 - Le port 80........................................................................................................................................... 11
3-2-2 - Le port 135......................................................................................................................................... 11
3-2-3 - Le port 139......................................................................................................................................... 12
3-2-4 - Le port 443......................................................................................................................................... 12
3-2-5 - Le port 445......................................................................................................................................... 12
3-3 - Un poste de travail Windows XP SP3........................................................................................................ 12
3-3-1 - Pare-feu dsactiv.............................................................................................................................. 12
3-4 - Conclusions................................................................................................................................................. 14
4 - Contrles possibles..............................................................................................................................................15
4-1 - Vrifications la main ...........................................................................................................................15
4-1-1 - Rappel sur la configuration de test.................................................................................................... 15
4-1-2 - La commande netstat ................................................................................................................... 15
4-1-3 - La commande arp .........................................................................................................................17
4-1-3-1 - Un exemple................................................................................................................................ 17
4-2 - Les outils d'audit..........................................................................................................................................19
5 - Protections............................................................................................................................................................19
5-1 - Savoir ce qui est install............................................................................................................................. 19
5-2 - Construire une barrire............................................................................................................................... 19
5-2-1 - tat des lieux...................................................................................................................................... 19
5-2-2 - Dmonstration..................................................................................................................................... 21
5-2-3 - Construction de barrires................................................................................................................... 23
5-3 - Conclusion................................................................................................................................................... 24
5-4 - Les miradors du Net....................................................................................................................................24
5-4-1 - Les loggers ................................................................................................................................... 25
5-4-1-1 - IPTRAF....................................................................................................................................... 25
-2-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
5-4-1-2 - IPPL............................................................................................................................................ 26
5-4-2 - Snort....................................................................................................................................................27
5-4-3 - Conclusions.........................................................................................................................................27
5-5 - Les coupe-feux actifs.................................................................................................................................. 27
5-5-1 - Portsentry, le pompier du Net.............................................................................................................27
5-5-1-1 - Juste un exemple....................................................................................................................... 27
5-5-1-2 - Avant l'attaque............................................................................................................................28
5-5-1-3 - L'attaque a lieu....................................................................................................................... 28
5-5-1-4 - Bilan............................................................................................................................................29
5-5-2 - Fail2ban...............................................................................................................................................29
6 - Les firewalls......................................................................................................................................................... 30
6-1 - D'abord, c'est quoi, un firewall ?........................................................................................................... 30
6-2 - Les trois passages...................................................................................................................................... 31
6-2-1 - Entre le rseau priv et le Net........................................................................................................... 31
6-2-2 - Entre la DMZ et le Net....................................................................................................................... 32
6-2-3 - Entre le rseau priv et la DMZ......................................................................................................... 32
6-3 - Les divers types de firewall.........................................................................................................................32
6-3-1 - Le firewall par filtrage simple de paquets ( stateless )................................................................... 32
6-3-2 - Le firewall par suivi de connexion ( statefull )................................................................................ 33
6-3-3 - Les firewalls applicatifs....................................................................................................................... 33
6-4 - Avantages et inconvnients........................................................................................................................ 34
6-4-1 - Le proxy.............................................................................................................................................. 34
6-4-2 - Le firewall StateFull ...................................................................................................................... 34
6-4-3 - Le firewall StateLess .....................................................................................................................34
6-5 - Et avec, a va mieux ?............................................................................................................................... 34
6-6 - Sueurs froides............................................................................................................................................. 35
7 - Et les bons vieux Windows.............................................................................................................................. 35
7-1 - Windows NT, 2000, XP, etc.........................................................................................................................35
7-2 - Les logiciels de surveillance....................................................................................................................... 36
7-3 - Conclusions................................................................................................................................................. 36
8 - Remerciements Developpez................................................................................................................................ 36
-3-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
1 - Prliminaires
La scurit des htes sur un rseau, et donc sur le Net, est un vaste problme.
L'objectif de ce document n'est certes pas d'tre une rfrence l'usage des spcialistes, mais plutt un expos
des connaissances de base qui permettent d'entrevoir les dangers encourus par un utilisateur tel qu'un internaute
cbl ou ADSLis .
Le cot : installer selon cette rgle un firewall pour protger une machine unique augmente l'investissement
dans des proportions considrables (encore qu'un vieux PC type P75, 16 Mo de RAM, DD de 500 Mo et une
installation de GNU/Linux bien configure, a peut se faire pour pas trs cher).
Les services : on a souvent besoin d'installer des services qui doivent communiquer directement avec le Net
(DNS, SMTP, FTP, HTTP) et dans ces cas-l, un firewall pur et dur devient un vrai casse-tte. On parle alors
de DMZ (Zone dmilitarise), sorte de purgatoire un peu protg dans lequel les serveurs publics jouissent
d'une relative scurit derrire un barrage filtrant, mais non protgs par un firewall plus strict, dont le rle
reste de protger la partie prive du rseau.
D'autres compromis sont possibles. Le firewall pourra tre une machine expose, donc protge par des logiciels
appropris, mais elle servira galement d'autres tches. C'est le cas d'un poste isol, seulement connect au Net.
C'est aussi le cas de ma configuration o la machine expose sert galement de passerelle pour le rseau priv,
de DNS et de relais SMTP.
Finalement, le firewall apparat plutt comme un ensemble de rgles de scurit pour la configuration de la machine,
avec un logiciel de filtrage de paquets, un logiciel de surveillance (snort, par exemple sous GNU/Linux), voire un
logiciel capable de construire une protection particulire lorsqu'il dtecte les prmices d'une intrusion.
D'autres logiciels qui cumulent ces fonctions existent dans le monde Windows. Leur principe reste cependant plus ou
moins le mme, chaque paquet entrant est vrifi et, s'il correspond certains critres, est bloqu, trac, accept, etc.
2 - Les attaques
2-1 - Hasard ou ncessit ?
La bonne question se poser, concernant les problmes de scurit n'est pas :
-4-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Est-ce que j'ai des chances (grandes ou petites) de subir une attaque un jour ?
Mais :
Mon propos n'est certes pas d'affoler le lecteur, mais d'essayer de lui faire comprendre que les arguments du type :
Oh, moi, je n'ai rien d'intressant sur ma machine et je ne vois pas pourquoi un pirate
s'ennuierait essayer d'y pntrer
Sont du mme ordre que de croire que les accidents de voiture sont toujours pour les autres et jamais pour soi.
les amateurs de gnocides. Ils utilisent des virus pour produire le plus de dgts possible sans se soucier
de savoir quelles sont les cibles qui seront touches. Ce qui leur importe est la masse atteinte. Les meilleurs
crivent eux-mmes leurs virus, ce qui fait au moins la preuve de leur comptence technique, les pires
exploitent des virus faits par d'autres, sans mme savoir comment ils fonctionnent ;
les voyous du Net. Bien connus sous le nom de script kiddies , ceux-l cherchent pntrer, le plus
souvent pour faire de la casse, des htes connects au Net en utilisant des recettes de cuisine labores
par d'autres. Nous verrons plus loin de quoi il retourne. Peu leur importe la cible, leur amusement consiste
utiliser des mthodes toutes faites pour ennuyer leur monde. Ils s'attaquent la premire machine sur
laquelle ils trouvent une faille, juste pour le plaisir. Mes logs sont pleins de petits comiques de ce genre, qui
cherchent au hasard du Net, une machine qui serait infecte par un cheval de Troie, juste, sans doute, parce
qu'ils ont trouv quelque part le client qui sait s'y connecter ;
les Hackers. Les vrais, ceux qui ont des connaissances trs tendues dans les systmes et pour qui
le jeu consiste rechercher toujours de nouvelles failles. Notez bien que ce ne sont pas forcment des
pirates. Ceux-l sont de vritables techniciens et, mme s'ils font parfois des dgts (lorsqu'ils sombrent du
mauvais ct de la force), inspirent plus ou moins le respect par leurs grandes connaissances. Ce sont leurs
dcouvertes qui, la plupart du temps, sont exploites par les script kiddies et autres utilisateurs de virus. Ce
sont galement leurs dcouvertes qui contribuent crer des systmes de plus en plus solides et fiables.
Leur objectif premier n'est pas de dtruire, mais de comprendre.
-5-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
les scripts (JavaScript, VBScript) : ce ne sont pas les plus dangereux parce que les langages de scripts
offrent rarement des fonctions pouvant tre utilises des fins vraiment destructrices. Ils disposent
cependant de la possibilit de lancer des excutables locaux, c'est en cela qu'ils peuvent devenir dangereux ;
les applets Java ou les composants ActiveX : plus puissants, ils sont introduits dans les pages HTML
sous la forme de composants compils (ou prcompils). Leur contenu n'est pas visible et les outils qui
permettent de les construire (Java ou Visual Basic) offrent des fonctions permettant de raliser des oprations
extrmement dangereuses. La grande mode consiste en un mlange des deux. Un message malicieux en
HTML pour excuter un script qui excute un applet ou un ActiveX, le rsultat tant par exemple que votre
carnet d'adresses sera utilis votre insu pour spammer toutes vos connaissances le mme message
malicieux ou mieux encore, un autre message, mais contenant le mme ver ;
les plug-in qui sont des extensions ajoutes aux navigateurs pour permettre la visualisation de fichiers
multimdias peuvent galement tre corrompus.
2-2-2 - Parades
Toutes ces attaques sont plus ou moins prises en charge par des applications antivirus, les meilleures prcautions
prendre sont :
installer un bon antivirus et effectuer une mise jour frquente de la base de donnes de cet outil. Mais
attention, un antivirus, si efficace soit-il ne saura jamais dtecter 100 % des attaques ;
ne pas faire une confiance aveugle son antivirus, sous prtexte qu'il est bon et jour ;
rester trs prudent sur les sources des documents ou applications que l'on rapatrie sur la machine ;
paramtrer son navigateur pour ne pas laisser excuter n'importe quel script ou applet dont l'origine n'est pas
sre ;
ventuellement, prier.
-6-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
-7-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
2-2-3-3 - Parades
2-2-4-1 - Parades
2-2-5-1 - Parades
Pas ma connaissance, sauf si le pirate utilise un SYN Flood et que le logiciel firewall sait le dtecter. Ici, il
faut tre prventif et curatif. Comme un spoofing ne s'improvise pas, le malintentionn a dj certainement pas mal
tourn autour de votre machine. Prise d'empreinte de la pile TCP/IP, scan des ports ouverts et c'est ce niveau
qu'il faut le dbusquer et le coincer. Par ailleurs, il se contentera dans cette phase d'installer une porte drobe ou
de crer un compte d'administrateur, choses qui sont dtectables si l'on y prend garde en vrifiant priodiquement
l'tat de son systme.
-8-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
2-2-6-1 - Parades
Un firewall bien configur arrive gnralement viter ce genre de problmes.
2-3-1 - Le PING
Le ping peut ventuellement tre une source de dsagrments :
Vous pouvez bloquer les ping request (signal 8) l'entre de votre machine, a ne prte pas consquences.
-9-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
2-3-3 - Horodatage
Ce signal peut donner des indications sur le fuseau horaire sur lequel vous vous trouvez. Son utilisation est assez
similaire au ping. Comme vous ne voulez pas forcment donner ce genre d'information un ventuel pirate, bloquezle (signal 13). A priori, a ne devrait pas perturber le bon fonctionnement de votre connexion.
- 10 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
(The 1446 ports scanned but not shown below are in state: closed)
Port
State
Service
137/udp
open
netbios-ns
138/udp
open
netbios-dgm
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds
Ce qu'il est intressant de constater au premier abord, c'est que les mmes ports sont ouverts, que l'on ait activ
le partage des fichiers ou non. La seule chose qui diffre, c'est que le poste sur lequel le partage n'a pas t activ
n'est pas visible dans le voisinage rseau.
Les seuls ports ouverts sont ceux utiliss par NetBIOS.
Comme vous le constatez, il y a 5 ports ouverts en coute sur cette machine. Parmi ceux-ci, il y en a un bon nombre
qui prsentent des dangers.
3-2-1 - Le port 80
C'est normal, PWS est actif (Personal Web Server). Ce serveur HTTP est utile pour la composition de sites avec
Frontpage, pour la mise disposition de documents sur le rseau priv, en revanche, il pourrait tre dangereux de
le laisser visible sur l'Internet
- 11 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Nous avons dj vu le port 135. Les ports 137 et 138 sont des services NetBIOS toujours pour la rsolution des noms
et les ouvertures de sessions. Nous avons galement dj rencontr le port 445, spcifique Windows 2000.
Le port 500 est utilis par HTTPS, pour la ngociation de cls de cryptage. Encore un port ouvert par PWS.
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
bureau distance ;
partage de fichiers et d'imprimantes.
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-26 09:36 CEST
Initiating ARP Ping Scan at 09:36
Scanning 172.16.129.250 [1 port]
Completed ARP Ping Scan at 09:36, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 09:36
Completed Parallel DNS resolution of 1 host. at 09:36, 0.00s elapsed
Initiating SYN Stealth Scan at 09:36
Scanning 172.16.129.250 [1714 ports]
Discovered open port 3389/tcp on 172.16.129.250
Discovered open port 135/tcp on 172.16.129.250
Discovered open port 139/tcp on 172.16.129.250
Discovered open port 445/tcp on 172.16.129.250
Completed SYN Stealth Scan at 09:36, 8.66s elapsed (1714 total ports)
Initiating Service scan at 09:36
Scanning 4 services on 172.16.129.250
Completed Service scan at 09:36, 6.00s elapsed (4 services on 1 host)
Initiating OS detection (try #1) against 172.16.129.250
Retrying OS detection (try #2) against 172.16.129.250
SCRIPT ENGINE: Initiating script scanning.
SCRIPT ENGINE: rpcinfo.nse is not a file.
SCRIPT ENGINE: Aborting script scan.
Host 172.16.129.250 appears to be up … good.
Interesting ports on 172.16.129.250:
Not shown: 1710 filtered ports
PORT
STATE SERVICE
VERSION
135/tcp open msrpc
Microsoft Windows RPC
139/tcp open netbios-ssn
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
3389/tcp open microsoft-rdp Microsoft Terminal Service
MAC Address: 00:11:2F:41:C7:57 (Asustek Computer)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|authentication server
- 13 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Running (JUST GUESSING) : Microsoft Windows XP|2000|2003 (98%), Juniper Windows 2000 (90%)
Aggressive OS guesses: Microsoft Windows XP SP2 (98%), Microsoft Windows 2000 SP4 or Windows XP SP2
(93%),
Microsoft Windows 2003 Small Business Server (93%), Microsoft Windows XP Professional SP2 (93%),
Microsoft Windows Server 2003 SP0 or Windows XP SP2 (93%), Microsoft Windows Server 2003 SP1 or SP2
(91%),
Microsoft Windows XP SP 2 (91%), Microsoft Windows XP SP2 (firewall disabled) (91%),
Microsoft Windows XP Professional SP2 (firewall enabled) (91%), Microsoft Windows Server 2003 SP2 (90%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=260 (Good luck!)
IP ID Sequence Generation: Incremental
Service Info: OS: Windows
Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/
submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.020 seconds
Raw packets sent: 3493 (157.302KB) | Rcvd: 31 (2132B)
La moralit de l'histoire, c'est que dans ce cas, plus aucun port n'est accessible, ce qui est plutt une bonne nouvelle
si votre machine est directement connecte l'Internet.
3-4 - Conclusions
Il est clair qu'il y a toujours quelques ports ouverts sur un hte, sauf dans le cas de Windows XP (SP3 ici), avec le
pare-feu actif sans aucune exception. Si les ports UDP ne prsentent pas trop de dangers encore que), les ports
TCP sont plus inquitants.
Par ailleurs, certaines machines de marque comme Compaq ou Hewlett Packard installent des dispositifs
d'administration distante qui ouvrent galement des ports l'coute et l'utilisateur ne le sait pas forcment.
Il importe donc de savoir avec le plus de prcision possible ce qui est install sur sa machine, volontairement ou
involontairement.
- 14 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
4 - Contrles possibles
4-1 - Vrifications la main
Il existe un certain nombre de commandes en ligne qui permettent de vrifier l'tat de votre machine vis--vis du
rseau. Nous allons essayer d'en voir quelques-unes et ce que l'on peut en tirer comme informations.
Le poste de travail est sous Windows 2000, il s'appelle pchris . Il est connect la passerelle Linux via eth1.
La passerelle GNU/Linux est connecte l'Internet via eth0, elle s'appelle gateway1 . Cette passerelle fait tourner
un serveur SAMBA, qui permet d'ajouter les composants NetBIOS pour pouvoir partager des partitions Linux sur un
rseau Microsoft. Ce n'est pas une solution exempte de dangers pour la scurit de la passerelle, mais il est simple
de filtrer les ports 137 139. Par ailleurs, SAMBA permet de dfinir la plage d'adresses autorises accder aux
ressources, ainsi que les interfaces rseau utiliser. Ce sont des protections supplmentaires ne pas ngliger.
Tout fait normal. C'est la session rseau NetBIOS qui est l'uvre. En effet, dans mon voisinage rseau, je vois
la passerelle.
- 15 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Elle donne les mmes informations, mais sans rsoudre ni les adresses IP ni les ports.
Si j'arrte le serveur SAMBA sur la passerelle, cette connexion va disparatre, mais je ne verrai plus gateway1 dans
mon voisinage rseau.
Attention, la liste tait simple parce que je ne faisais rien de spcial sur l'Internet. Voici la liste si j'ouvre Internet
Explorer sur http://www.altavista.fr :
E\:>netstat
Connexions actives
Proto Adresse locale Adresse distante Etat
TCP pchris:1031 gateway1.maison.mrs:netbios-ssn ESTABLISHED
TCP pchris:1296 gateway1.maison.mrs:5901 ESTABLISHED
TCP pchris:1304 212.187.226.53:http TIME_WAIT
TCP pchris:1311 195.154.216.235:http TIME_WAIT
TCP pchris:1318 195.154.216.235:http TIME_WAIT
TCP pchris:1327 212.187.226.53:http TIME_WAIT
TCP pchris:1331 195.154.216.235:http TIME_WAIT
TCP pchris:1333 a213-56-194-51.deploy.akamaitechnologies.com:http ESTABLISHED
TCP pchris:1334 a213-56-194-51.deploy.akamaitechnologies.com:http ESTABLISHED
TCP pchris:1335 212.187.226.41:http ESTABLISHED
TCP pchris:1338 195.154.216.235:http TIME_WAIT
Il convient donc d'tre prudent dans l'interprtation des rsultats de cette commande qui liste toutes les connexions
existant un instant donn. Pour dtecter des connexions indlicates , il faut tre certain que votre poste n'a
aucune activit normale sur l'Internet (pas de navigateur ouvert, pas de client de messagerie, etc.).
La commande netstat dispose de quelques options, voici pour ceux qui voudraient un peu s'amuser avec la
documentation extraite de Windows 2000 (je ne garantis pas qu'elle soit entirement compatible avec Windows 98).
Netstat
- 16 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Affiche les statistiques de protocole et les connexions rseau TCP/IP en cours. Cette commande est disponible
uniquement si le protocole TCP/IP est install.
netstat [-a] [-e] [-n] [-s] [-p protocole] [-r] [intervalle]
Paramtres
-a
Affiche toutes les connexions et les ports
d'coute. Les connexions serveur ne sont en
principe pas affiches.
-e
Affiche des statistiques relatives Ethernet.
Ce paramtre peut tre combin avec
l'option -s.
-n
Affiche les adresses et numros de ports
sous la forme numrique (au lieu de tenter
des recherches par nom).
-s
Affiche les statistiques des protocoles
respectifs. Par dfaut, les statistiques
de TCP, UDP, ICMP et IP sont affiches.
L'option -p peut tre utilise pour spcifier
un sous-ensemble des protocoles par
dfaut.
-p protocole
Affiche les connexions du protocole spcifi
par le paramtre protocole ; ce paramtre
peut avoir pour valeur tcp ou udp. Quand il
est utilis avec l'option -s pour afficher des
statistiques par protocole, protocol peut
prendre la valeur tcp, udp, icmp ou ip.
-r
Affiche le contenu de la table de routage.
intervalle
Affiche les statistiques slectionnes de
manire rpte avec un intervalle (en
secondes) entre chaque occurrence.
Appuyez sur CTRL+C pour interrompre
l'affichage des statistiques. Si ce paramtre
est omis, netstat n'imprime qu'une seule
fois les informations de configuration.
4-1-3-1 - Un exemple
Test de la commande arp sur le poste de travail :
E:\>arp -a
Interface : 192.168.0.10 on Interface 0x1000003
Adresse Internet Adresse physique Type
192.168.0.250 00-20-18-61-90-e3 dynamique**
- 17 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
la premire sur 213.56.56.1 par eth0, c'est normal, c'est la passerelle par dfaut que le client DHCP a
rcupr ;
la seconde sur 192.168.0.10 par eth1, c'est encore normal, c'est mon poste de travail.
Ce n'est pas alarmant, si vous n'avez pas utilis la connexion depuis un certain temps, la table ARP s'est vide. Ce
qui ventuellement peut-tre plus drangeant, c'est lorsque votre table ARP indique des connexions multiples et pas
forcment faciles justifier :
il vous faudra alors essayer d'identifier ces connexions en fonction de ce que vous tes en train de faire sur votre
machine.
Voici les diverses options de la commande arp :
Arp : affiche et modifie les tables de conversion des adresses physiques IP (Ethernet ou
anneau jeton) employes par le protocole ARP (Address Resolution Protocol). Cette
commande est disponible uniquement si le protocole TCP/IP est install.
arp -a [adr_inet] [-N [adr_si]]
arp -d adr_inet [adr_si]
arp -s adr_inet adr_ether [adr_si]
Paramtres
-a
Affiche les entres ARP en cours en
interrogeant TCP/IP. Si adr_inet est
spcifi, seules les adresses physiques et
IP du systme spcifi apparaissent.
-g
Identique -a.
adr_inet
Spcifie une adresse IP en notation
dcimale pointe.
-N
Affiche les entres ARP pour l'interface
rseau spcifie par adr_si.
adr_si
Spcifie, le cas chant, l'adresse IP de
l'interface dont la table de conversion des
adresses doit tre modifie. Si elle n'est pas
spcifie, la modification est applique la
premire interface rencontre.
-d
Supprime l'entre spcifie par adr_inet.
-s
Ajoute une entre dans la mmoire
cache ARP pour associer l'adresse IP
adr_inet l'adresse physique adr_ether.
L'adresse physique se compose de six
octets hexadcimaux spars par des
- 18 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
adr_ether
5 - Protections
5-1 - Savoir ce qui est install
La premire rgle est bien entendu de savoir exactement quels sont les services installs sur sa machine et de
n'y laisser que ce qui est strictement ncessaire. Cette mthode, surtout dans le cas d'un rseau local connect
l'Internet par une passerelle est toutefois assez pnalisante. On peut souhaiter disposer de quelques services sur
l'hte qui sert de passerelle.
Bien entendu, la solution la plus sre consiste installer une passerelle qui ne fera que son travail de passerelle et
de firewall et d'installer par ailleurs sur le rseau priv un serveur pour les divers services souhaits. Ceci augmente
tout de mme le nombre de machines et la facture EDF. a ne rsoudra pas non plus certains problmes pour les
entreprises qui souhaitent accder certaines de leurs ressources depuis l'extrieur, mais le cas de figure dpasse
largement le propos de cet expos.
- 19 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Sur Linux Mandrake 7.x (plus gnralement avec un noyau 2.2.x bien compil), ceci peut se faire avec IPChains.
Les noyaux 2.4.x et suprieurs, bien que supportant IPChains, gagneront exploiter plutt IPTables, nettement plus
volu.
Pour fixer les esprits, donnons un exemple.
Soit une machine Linux servant de passerelle sur l'Internet. Comme on aime bien jouer avec les diverses applications
fournies, on y a install :
Et comme on ne veut pas s'embter, la rgle par dfaut sur INPUT est ACCEPT.
Croyez-vous que ce soit prudent ? Pas du tout bien entendu. Sur une machine expose l'Internet, moins on installe
de serveurs, mieux a vaut. Examinons ce que verrait un pirate qui ferait un scan de cette machine avec l'un des
meilleurs outils dans le genre nmap (inclus dans toutes les bonnes distributions GNU/Linux).
- 20 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
5-2-2 - Dmonstration
- 21 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Voil, une Mandrake 7.1 avec un kernel 2.2.16-9 et la machine s'appelle gateway2.maison.mrs. a, c'est intressant.
Allons faire un tour sur le DNS du monsieur
E:\>nslookup
Serveur par dfaut : <peu importe>
Address: <peu importe>
> server 62.161.100.113
Serveur par dfaut : ca-ol-marseille-5-113.abo.wanadoo.fr
Address: 62.161.100.113
> set q=any
> ls maison.mrs
[ca-ol-marseille-5-113.abo.wanadoo.fr]
maison.mrs.
NS
server = gateway2.maison.mrs
gateway2
A
192.168.0.253
remi
A
192.168.0.12
michele
A
192.168.0.2
chris
A
192.168.0.10
gateway1
NS
server = 192.168.0.250
daniel
A
192.168.0.11
gateway2
NS
server = 192.168.0.253**
Et hop ! On sait tout du rseau de ce monsieur :-) et mme, si vous avez bien suivi, que ce monsieur dispose sans
doute d'une seconde machine du mme genre qui s'appelle gateway1.
Il faut dire que c'est quand mme trs mal, de laisser libre le transfert de zone sur un DNS. Mais j'ai trouv cette
gravissime lacune sur des sites trs professionnels .
Reprenons le scnario, mais avec BIND correctement configur. a donne ceci :
E:\>nslookup
Serveur par dfaut : gateway1.maison.mrs
Address: 192.168.0.250
> server 62.161.100.113
Serveur par dfaut : ca-ol-marseille-5-113.abo.wanadoo.fr
Address: 62.161.100.113
> set q=any
> ls maison.mrs.
ls: connect: No error
*** Impossible de fournir la liste du domaine maison.mrs.: Unspecified error
> pchris.maison.mrs
Serveur : ca-ol-marseille-5-113.abo.wanadoo.fr
Address: 62.161.100.113
*** ca-ol-marseille-5-113.abo.wanadoo.fr ne parvient pas trouver pchris.maison.mrs :
No response from server
C'est dj mieux, au moins le DNS ne rpond plus aux requtes venant de l'Internet. Comment il faut faire ? Dans /etc/
named.conf, il faut utiliser les directives allow-transfert , allow-query et mme listen-on (cf. la doc. de BIND).
Cet exemple est juste donn pour bien montrer que la scurit passe d'abord par une configuration correcte des
serveurs installs
Mais continuons l'investigation. Voyons le serveur FTP, un petit coup de Telnet sur le port 21 :
220 gateway2.maison.mrs FTP server (Version wu-2.6.0(1) Wed Jun 28 23:51:34
EDT2000) ready.
Oui, c'est bien un wu-ftp, version 2.6.0. Faudra voir ce qu'il y a comme exploits l-dessus. On va s'arrter l, mais
il y a pas mal d'investigations faire sur un serveur FTP.
Allez, encore un Telnet sur le port 25
- 22 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
en entre, on accepte tout par dfaut (comme c'tait dans l'exemple prcdent) ;
en sortie, on laisse tout passer aussi ;
au travers de la passerelle (le routage entre le Net et le rseau priv), on n'accepte rien, mais on va faire du
masquage d'adresse pour tout ce qui vient du rseau priv et va vers le Net.
Ensuite, pour tout ce qui vient du Net, nous bloquerons en UDP comme en TCP les ports :
-t
-A
-A
-A
-A
-A
-A
-A
-A
-A
-A
Traduit en franais, a veut dire que l'on jette (REJECT) les paquets qui viennent de n'importe o pour aller n'importe
o, s'ils ont le malheur de rentrer par ppp0 sur les ports 21, 23, 25, 110, 111, 139, 143 et de 6000 6009. C'est bien
ce que nous voulions. Refaisons un scan :
- 23 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
nmap ne s'y trompe pas, il constate qu'il y a des rgles de filtrage sur cette machine et essaye de trouver les ports
non filtrs. Il va en trouver beaucoup, mais a ne veut pas dire qu'ils sont ouverts. Ceux qu'il trouve ouverts sont
ceux que l'on n'a pas filtrs.
Il est clair que l'on a dj limit les problmes. Mais on pourrait encore faire beaucoup mieux. L'objectif ici n'tait
que de montrer comment l'on peut tablir des rgles de filtrage de paquets, mais d'expliquer comment un port peut
tre bloqu par un firewall.
Dans la pratique, il sera probablement plus judicieux de tout interdire, puis de n'ouvrir que ce qui est ncessaire.
Voyez ce propos le chapitre NetFilter et IPtables .
5-3 - Conclusion
Ce type de protection passive offre dj un bon niveau de scurit, si l'on a convenablement analys la configuration
de sa machine et plac les bonnes rgles. Il y aurait encore faire sur cette machine, car si l'on a peu prs filtr
les ports TCP, qui sont les plus dangereux parce qu'ils permettent un mode connect, on n'a encore rien fait ni sur
UDP, ni sur ICMP. Ces deux protocoles peuvent cependant crer des nuisances parce qu'ils peuvent tre utiliss
pour bloquer la machine.
Cependant, il est intressant de placer en plus quelques systmes qui vont pier le trafic et prvenir, voire ragir, en
cas d'activit suspecte avec les loggers et les firewalls actifs.
IPtables sait dj logger les vnements qui satisfont aux critres des chanes, mais il est peut-tre plus
intressant d'utiliser des outils spcifiques.
- 24 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
5-4-1-1 - IPTRAF
C'est peut-tre le plus convivial , mais pas forcment le plus paramtrable. Il fonctionne bien en mode texte, mais
prsente quelques bogues d'affichage dans une console sous X, suivant la taille de la fentre.
Les anciens de MS DOS retrouveront avec nostalgie les menus arborescents en mode caractre
- 25 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Voici un exemple de trace. Si les connexions TCP sont affiches de manire trs lisible, il n'en va malheureusement
pas de mme pour les autres protocoles
5-4-1-2 - IPPL
Celui-ci fonctionne de manire diffrente. Son but principal tant d'enregistrer la trace dans des fichiers, bien qu'il soit
possible de diriger ses traces sur une console. Lui aussi se trouve encore dans la Debian Etch, bien que sa dernire
version (1.4.14) remonte septembre 2001.
- 26 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Sa configuration se fait par le fichier /etc/ippl.conf, je n'ai malheureusement pas trouv le moyen de limiter son activit
l'interface choisie autrement qu'en donnant son adresse IP, ce qui n'est gure pratique lorsque l'on dispose d'une
adresse dynamique.
5-4-2 - Snort
Il s'agit d'un outil de dtection et de prvention d'intrusions. Disposant d'un langage de dfinition de rgles, il
travaille un peu comme un antivirus heuristique, en combinant des recherches de signatures et des analyses
comportementales. Probablement l'outil le plus utilis dans le monde, mais pas facile matriser.
5-4-3 - Conclusions
Un outil de log comme iplog est un bon moyen pour contrler le trafic. Il ne sait cependant tracer que ce qu'il lui est
demand (ce que vous lui demandez) et uniquement ce qu'il lui est demand. a veut dire deux choses importantes :
il tracera des vnements qui n'en valent peut-tre pas la peine. Si vous lui demandez de tracer tout trafic
sur une interface, il le fera. Les logs de la journe risqueront peut-tre de peser plusieurs Mo et seront
inexploitables, autrement que par des filtres qu'il vous faudra crire ;
il ne tracera peut-tre pas des vnements qu'il aurait t important de ne pas rater.
Vous apprendrez certainement beaucoup de choses en passant du temps essayer de matriser ce genre d'outils.
un simple log via syslogd. Dans ce cas, Portsentry agit comme un simple loggeur , un peu lger
toutefois, puisqu'il ne sait pas traiter les activits ICMP ;
une inscription du scanner dans hosts.deny , pour qu'il soit pris en compte par le TCP Wrapper ;
l'ajout d'une rgle dans la chane input d'IPtables pour bloquer l'intrus ;
la modification de la route par dfaut dans un black hole de manire ce qu'une ventuelle rponse
l'intrus soit dirige vers nulle part ;
le dclenchement d'une commande externe pouvant tre, par exemple, la dsactivation pure et simple de
l'interface rseau.
Dans le rle de l'intrus : 213.56.228.199. Une machine Linux quipe du scanner nmap .
Dans le rle du dfenseur, une autre machine Linux, quipe de portsentry. La configuration est peu de
choses prs celle qui est donne par dfaut dans le paquetage rpm pour Mandrake. En cas de dtection de
scan, portsentry va ragir de la manire suivante :
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
criture d'une rgle de blocage dans IPChains (fonctionne aussi avec IPTables).
Les protections sont trs simplistes, seuls Telnet et smtp sont filtrs.
Portsentry est dmarr avec la commande portsentry -atcp (entamer ici une tude dtaille de portsentry nous
mnerait trop loin).
Le dmarrage de portsentry ajoute ces lignes au fichier /var/log/messages :
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
adminalert:
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
Ignored
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
port:
21
23
25
53
80
110
111
113
139
143
515
820
901
113
139
- 28 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
hosts.deny
ALL: 213.56.228.199
5-5-1-4 - Bilan
L'attaquant n'aura mme pas le temps de finir son scan. il aura l'impression que la cible n'existe plus, tout simplement.
N'est-ce pas joli ? Attention toutefois, si la modification de /etc/hosts.deny n'est pas volatile (criture dans le fichier), il
n'en va pas de mme pour IPChains. Sans prcautions particulires, si la machine est arrte, la rgle sera perdue.
Il existe cependant une parade grce, par exemple, la possibilit d'excuter une commande externe en cas de
dtection d'attaque. Il suffit de sauvegarder la rgle INPUT pour pouvoir la recharger au prochain dmarrage. Ceci
dit, les attaques venant le plus souvent d'adresses dynamiques, il n'est pas forcment ncessaire de rendre la rgle
dfinitive. Par ailleurs, si l'on agit sur IPChains, il n'est pas ncessaire de conserver l'option de modification de /etc/
hosts.deny.
Notez tout de mme que nous n'avons pas couvert les risques manant :
d'un scan UDP. C'est gnralement moins dangereux, mais pas ngliger tout de mme. Portsentry peut
galement tre dmarr pour surveiller les ports UDP, mais le fonctionnement est plus dlicat et peut
provoquer des ractions parasites ;
d'une attaque ICMP. Portsentry ne sait rien faire contre a. Il ne vous reste de ce ct qu' crire des rgles
correctes ;
d'une attaque sans qu'il y ait de scan pralable.
Portsentry n'est donc, hlas pas, un outil miraculeux, il n'en existe d'ailleurs pas.
5-5-2 - Fail2ban
Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont
obtenu un trop grand nombre d'checs lors de l'authentification. Il met jour les rgles du pare-feu pour rejeter cette
adresse IP. Ces rgles peuvent tre dfinies par l'utilisateur.
Il ne s'agit pas ici de dtecter des scans , mais des tentatives de loggin . Lorsque le logiciel dtecte un nombre
dtermin de loggins rats dans un temps galement dtermin, il peut dclencher un certain nombre d'actions :
criture d'une rgle IPtables pour bloquer la source, pendant une dure paramtrable ;
envoi d'un message d'alerte l'administrateur.
- 29 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Il peut surveiller plusieurs serveurs susceptibles de rclamer un loggin comme Openssh, Apache, Postfix, Proftpd,
vsftpd,wuftpd, etc.
Voici un exemple de message reu en cas de dtection :
Hi,
The IP 62.38.244.99 has just been banned by Fail2Ban after
5 attempts against SSH.
Here are more information about 62.38.244.99:
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
…
## Suivent les informations recueillies par "hois"
Regards,
6 - Les firewalls
Dans la page prcdente, nous avons fait du firewalling sans le savoir. Pour donner quelques indications de plus,
il est ncessaire de se pencher d'un peu plus prs sur les diverses mthodes de construction d'un firewall .
un rseau priv, dont on considre (souvent tort) qu'il ne sera pas utilis pour attaquer notre systme
informatique. Dans cette zone, il n'y a que des clients du rseau et des serveurs qui sont inaccessibles
depuis l'Internet. Normalement, aucune connexion, au sens TCP du terme, aucun change, au sens UDP du
terme, ne peuvent tre initis depuis le Net vers cette zone ;
une DMZ (Zone DMilitarise), qui contient des serveurs accessibles depuis le Net et depuis le rseau
priv. Comme ils sont accessibles depuis le Net, ils risquent des attaques. Ceci induit deux consquences :
il faut troitement contrler ce que l'on peut faire dessus depuis le Net, pour viter qu'ils se fassent
casser trop facilement,
il faut s'assurer qu'ils ne peuvent pas accder aux serveurs de la zone prive, de manire ce que si un
pirate arrivait en prendre possession, il ne puisse directement accder au reste du rseau.
- 30 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Les trois types de communications marques 1, 2 et 3 sur l'illustration seront donc soumis des rgles de passage
diffrentes. Le dispositif qui va permettre d'tablir ces rgles de passage s'appelle un firewall. Techniquement, ce
pourra tre un logiciel de contrle install sur un routeur.
le routage proprement dit, pour permettre aux paquets de passer d'une zone l'autre alors que ces zones ne
sont pas situes dans le mme rseau IP ;
le filtrage du trafic entre les diverses zones, c'est la fonction de firewall.
Bien entendu, qui peut le plus peut le moins, il peut ne pas y avoir de DMZ, si l'on n'a pas besoin d'exposer de
serveurs sur le Net.
Sur des petites structures, la DMZ peut tre implante sur le routeur lui-mme. En effet, un routeur peut trs bien
n'tre rien d'autre qu'un serveur avec plusieurs interfaces rseau et un logiciel de routage. Ce n'est bien entendu pas
une solution trs propre au sens de la scurit.
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
En revanche, depuis la DMZ, il ne devrait y avoir aucune raison pour qu'une connexion soit initie vers la zone prive.
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
les paquets venant de 124.8.3.251, port 80 vers 217.146.35.25, ports >=1024 passent.
Si nous voulons tendre tous les serveurs web possibles, nous ne pourrons plus tenir compte de l'IP des serveurs,
a aura pour consquence que tout le Net pourra accder 217.146.35.25 sur tous les ports au-dessus de 1024.
Si nous voulons que toute la zone prive puisse accder tous les serveurs web du Net, alors, tout le rseau priv
sera accessible sur les ports au-dessus de 1024.
L'exemple est minimaliste, les IP des clients sont des IP publiques, il n'y a pas de translation d'adresse mise en uvre,
ce qui rend les risques maximums. Dans la pratique, le cas est rarissime. Il ne sert ici qu' montrer les limites de
ce filtrage simple. Notez qu'avec de tels systmes, la translation d'adresse est de toute manire rendue impossible.
Pour faire de la translation d'adresse, il faut tre capable de suivre les connexions.
NEW : c'est--dire qu'elle est cre. Par exemple, un client envoie sa premire requte vers un serveur web ;
ESTABLISHE : cette connexion a dj t initie. Elle suit dans les faits une connexion NEW que l'on a dj
vu passer ;
RELATED : ce peut tre une nouvelle connexion, mais elle prsente un rapport direct avec une connexion
dj connue ;
INVALID : un paquet qui a une sale tte, un paquet qui n'a rien faire l-dedans, un paquet qui sent l'ail.
toutes les connexions NEW qui viennent du rseau priv et qui vont sur le NET port 80 sont acceptes. Tous
les clients du rseau priv peuvent interroger tous les serveurs web du Net ;
toutes les connexions RELATED et ESTABLISHED qui viennent du Net port 80 sont autorises rentrer. Les
serveurs peuvent rpondre ;
toutes les connexions RELATED et ESTABLISHED qui sortent du rseau priv vers le Net sont autorises
sortir. Les connexions peuvent se poursuivre, mme si elles ouvrent de nouvelles connexions ;
toutes les connexions INVALID, d'o qu'elles viennent sont jetes la poubelle, on n'aime pas l'odeur de l'ail.
Certains suivis de connexions ne sont pas simples faire et ncessitent des algorithmes spcifiques, comme
principalement le FTP.
Netfilter, avec son interface IPTables, dans les noyaux 2.4 de Linux savent trs bien travailler de cette manire.
- 33 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
6-4-1 - Le proxy
a pourrait apparatre comme la solution ultime, puisqu'il y a effectivement une barrire entre le Net et la zone
protge. Sauf que ces logiciels sont complexes et qu'ils peuvent contenir des bogues que les pirates, tt ou tard,
dcouvriront et exploiteront pour passer quand mme. De plus, ils consomment pas mal de ressources et ncessitent
des machines relativement muscles.
nous l'avons vu, les systmes puissants comme un firewall statefull ou un proxy renferment des logiciels
complexes qui ne peuvent pas tre totalement exempts de failles. Il suffit au pirate d'en trouver une ;
les rgles de filtrage places sur ces outils sont obligatoirement un compromis entre la scurit maximale et
une certaine libert d'usage de l'Internet. L o il y a compromis, il y a aussi faiblesse ;
les proxys travaillent sur les couches hautes, on peut les percer en passant sur les couches basses ;
les filtres de paquets travaillent sur les couches basses, on peut les percer en exploitant les failles des
couches hautes.
Nous pouvons multiplier les barrages en les diversifiant, mais a ne procure pas une protection absolument certaine.
Pour obtenir une scurit maximale (mais jamais absolue), il faut travailler tous les niveaux :
configurer ses serveurs avec le plus grand soin, en liminant tous les risques connus leur niveau ;
s'assurer que l'on n'a pas dans un coin un serveur qui tourne sans qu'on le sache. Ne riez pas, le cas est
assez frquent ;
protger le tout avec un systme de filtrage efficace, bien adapt ses besoins ;
surveiller avec le plus grand soin tout ce qu'il se passe, aussi bien sur les serveurs que sur les filtres, pour
dtecter le plus rapidement possible toute activit anormale ;
avoir perptuellement l'esprit qu'il y a forcment quelque part une faille que l'on ne connat pas, et qu'un
pirate peut trouver.
- 34 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Vous le voyez, la scurit informatique oblige devenir compltement paranoaque. Mais rflchissez bien Dans
la vie, c'est pareil. Si vous voulez vivre avec un risque zro, vous aurez les mmes problmes :)
Votre rseau est bien l'abri, derrire tous les murs pare-feu de la cration, avec une surveillance de tous
les instants sur les points d'accs au Net. Mais dans votre rseau, il y a des utilisateurs qui se servent de
portables. Lorsqu'ils rentrent chez eux, ils connectent leur portable au Net sans aucune scurit et se gavent
de virus, de backdoors et autres spywares. Le lendemain, ils reviennent se connecter sur votre beau rseau
tout propre.
Un proxy travaille dans les couches hautes. On peut le casser en passant par les couches basses ou en
exploitant des failles logicielles. Donc, on ajoute aussi un filtre de paquets. Mais le filtrage de paquets peut
plus ou moins tre contourn, si l'on arrive installer dessus une autre pile IP, parallle celle qui est utilise
par le filtre. Une sorte de super backdoor qui permettra de construire un routeur pirate ct du vtre, trs
troitement surveill, et qui ne s'apercevra de rien.
ceux qui utilisent les services d'un petit routeur NAT du commerce, on en trouve maintenant moins de 100
. En gnral, ce type d'quipement propose dj pas mal de fonctions de filtrage de paquets ;
ceux qui utilisent une machine connecte directement au Net et qui peut ventuellement partager la
connexion avec un ou deux autres postes. Les dernires versions de Windows (Me, 2000 et XP) proposent
un moyen simple de le faire, Mac OS X galement. Dans ces cas, il est clair que la machine expose devra
disposer d'un minimum de protections. Si Mac OS X propose un filtre de paquets performant, hrit de ses
origines BSD, les diverses versions Windows ne sont pas trs performantes dans ce domaine, bien qu'au
moins 2000 et XP proposent un filtrage de paquets.
Ne laissez pas le compte d'administrateur par dfaut avec un mot de passe vide :-) (C'est vident, mais
combien l'ont fait ?).
Windows 2000 et Windows XP permettent de changer le nom de l'administrateur. Dans leur version franaise,
l'administrateur s'appelle Administrateur (comme root sur Linux). Changez ce nom.
Adoptez pour ce compte (et ceux d'ventuels autres administrateurs) un mot de passe fort :
utilisez une combinaison de caractres sans signification (pour viter les recherches par dictionnaire),
avec des majuscules, des minuscules, des caractres de ponctuation et mme ventuellement des
caractres non imprimables.
Dsactivez NetBIOS sur TCP/IP sur l'interface connecte au Net.
N'installez pas de serveur inutile. IIS est dangereux, l'agent SMTP de l'option pack aussi, le DNS galement.
Proscrivez dans la mesure du possible tout logiciel de prise de contrle distance.
Bloquez les ports 135 139 aussi bien en UDP qu'en TCP, a peut se faire sur NT, 2000 et XP sans logiciel
supplmentaire, dans la configuration de la pile IP ou avec le firewall fourni sur XP depuis le SP1.
Installez les derniers Service Packs.
Vrifiez rgulirement chez Microsoft l'apparition de nouveaux patchs de scurit.
Vrifiez frquemment que vous n'avez pas install un backorifice ou un netbus par inadvertance. (Ctrl
+Alt+Suppr permet de visualiser les tches et processus en cours. Ce n'est pas toujours trs comprhensible,
mais on y gagne beaucoup analyser la liste des processus en cours).
- 35 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
Avec ces prcautions, vous devriez dj tre relativement l'abri, mais tout ceci ne vous vitera pas forcment
l'installation malveillante d'un programme malicieux.
7-3 - Conclusions
Je tiens m'excuser auprs des possesseurs de Mac. (Apple), je n'ai aucune comptence dans ce domaine. Mais
des outils analogues doivent exister.
La protection d'une machine connecte l'Internet sous Windows (comme sous n'importe quel OS d'ailleurs) passe
d'abord par des principes de prudence et de scurit de bon sens, encore faut-il tre suffisamment averti des
problmes potentiels et des rgles lmentaires d'hygine en matire de rseaux et j'espre que cet expos vous
aura aid y voir un peu plus clair dans ce domaine.
En plus de cela, l'usage d'un outil de surveillance reste tout de mme conseill, mais afin de ne pas sombrer dans
la paranoa, il convient de se renseigner sur les risques, les mcanismes des rseaux pour pouvoir faire le tri dans
les alertes, entre celles qui sont rellement dangereuses et celles qui ne le sont pas.
8 - Remerciements Developpez
Vous pouvez retrouver l'article original ici : L'Internet Rapide et Permanent. Christian Caleca a aimablement autoris
l'quipe Rseaux de Developpez.com reprendre son article. Retrouvez tous les articles de Christian Caleca
sur cette page.
Nos remerciements ClaudeLELOUP pour sa relecture orthographique.
N'hsitez pas commenter cet article !
- 36 -
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2012 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.