Marfil
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Marfil as PDF for free.
More details
- Words: 1,267
- Pages: 26
INTRUSION SUR INTERNET Filière Télécommunication Laboratoire de Transmission de Données
Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-Xpert Solutions, Sylvain Maret
Chapitres abordés Ethernet switching (attaques) Authentification Radius VLAN Nessus Audit avec Qualys Honeynet
1
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Méthodologie : Théorie des attaques d’un réseau switché Réalisation des attaques Analyse des attaques Analyse des systèmes attaqués Sécurisation du systèmes
2
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A>B 4
8 2
A>B
MAC A
A>B
?B?
Port 4
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A
8 2
MAC A B
A
B=8
Port 4 8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A>B
A>B 4
8 2
MAC A B
Port 4 8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Attaques : Switch
MAC Flooding MAC Spoofing
- Sniffing
PC
ARP Spoofing ARP Poisonning
4
- Sniffing - Man in the middle
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
MAC Flooding (Démo 1): Client
Serveur
FTP req [V4] 4
8 2
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
MAC Flood
Port
ve rfl ow
MAC
2
Y
2
O
X
Z
V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2
2 Pirate
Utilisation Utilisation de de Macof Macof fournit fournit par par Dsniff Dsniff 2.2.4: 2.2.4: V1 V1 ## macof macof
5
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
ARP Poisonning (Démo 2): Client
Serveur
FTP req [V4] 4
ARP resp [V1,IP V4 ]
8
ARP resp [V1, IP V18]
2
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
C:\>ARP C:\>ARP –– aa
C:\>ARP C:\>ARP –– aa
V18 10.1.2.54 10.1.2.54 00:50:04:00:33:E2 MAC 00:50:04:00:33:E2 Port
10.1.2.18 10.1.2.18 00:50:04:00:33:E2 00:50:04:00:33:E2
V1
2
V4
8 V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 Pirate
Utilisation Utilisation de de Macof Macof fournit fournit par par Dsniff Dsniff 2.2.4: 2.2.4: V1 V1 ## arpspoof arpspoof –i –i eth0 eth0 –t –t 10.1.2.18 10.1.2.18 10.1.2.54 10.1.2.54 V1 V1 ## arpspoof arpspoof –i –i eth0 eth0 –t –t 10.1.2.54 10.1.2.54 10.1.2.18 10.1.2.18
6
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Sécurisation : Postes Client
Switch MAC address static Rafraîchissement
IP machines du réseau mémorisé en statique
Switchport Vlan Authentification 802.1X
7
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Le VLAN (Virtual Local Area Network) est une extension du LAN permettant de définir des LANs de manière software sur un switch. Utilité :
Sécuriser les LANs Interdire la communication inter-LAN Meilleure gestion du réseau Séparation des domaines de diffusion
8
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Configuration : Déclaration des VLANs dans le switch Déclaration des accès aux VLANs Réseau 100 BaseT Mode Duplex
Serveur
Serveur
VLAN2 VLAN3 Switch Cisco Catalyst 2950
2
V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2
5 3
4
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
Client
Client
V2 IP : 10.1.2.52 MAC: 00:50:04:00:4A:43
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
VLAN 2
VLAN 3
VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950
9
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Modes d’accès : Catalyst 2950
Par Ports Regroupement d’un ou plusieurs ports pour former un VLAN.
Par MAC address Association d’une ou plusieurs adresses MAC pour former un VLAN.
Par la couche 3 On détermine l’appartenance à un VLAN en fonction de l’adresse IP ou en fonction du type de protocole utilisé. 10
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Interconnexion de VLAN : V1 V1
Serveur1 Switch 1
(VLAN3)
TCP SYN
Switch 2
(VLAN3)
Switch
TCP SYN + TAG TCP SYN
Etage2 TCP SYN ACK + TAG
TCP SYN ACK
TCP SYN ACK
TCP ACK
TRUNK 802.1Q
TCP ACK + TAG TCP ACK
Switch
Serveur1
Etage1
Information FTP
Engineering VLAN1 VLAN
DA
SA
Type
802.1Q
…00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40….
MAC
IP
11
Marketing VLAN2 VLAN
Accounting VLAN3 VLAN
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Interconnexion de VLAN Indépendants : Par Bridge Par Routeur Client
Serveur Switch Cisco Catalyst 2950
4
2 11
V18 (VLAN 2) IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
VLAN 3
VLAN 2
IP : 10.1.2.208 SM :255.255.255.0
Réseau 100 BaseT Mode Duplex
12
IP : 10.1.3.207 SM : 255.255.255.0
Routeur Lightning Ethernet II
12
V4 (VLAN 3) IP : 10.1.2.54 MAC: 00:50:04:00:49:89
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Nessus est un scanner de failles, disponible en OpenSource. Descriptif :
Teste divers appareils et systèmes (Windows, Unix, Linux, Routers, TCP/IP,etc…) Répertorie énormément de failles par défaut extensibles grâce aux Updates et par programmation de fichier NASL Possibilité de consulter les rapports des tests effectués ( Nessus , XML , HTML , TXT , ... ) Possibilité de lancer un test d ’intrusion à distance grâce à une connexion securisée. Nessus est basé sur une architecture Client-Serveur Interface intuitive et très complète (Windows, Linux) 13
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
SERVEUR CLIENT OneConnexion Time Password +
(one time password) 1
NessusD
GUI Nessus Echange certificat
A
2
Programmes (Nmap)
Canal Secure Envoi des informations 3 D
Choix des tests 4 Options
6
DB Nessus B
Rapports
1
2
3
4
5
TESTS
C
Commandes
CERTIFICAT
5
8
RAPPORTS CERTIFICAT
Informations cryptées
14
Script NASL
7
Victime
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Topologie des tests (Demo 3): ePC IP:10.1.4.7
Windows 2000 pro Switch Cisco Catalyst 2950
1 Client Nessus V18 IP : 10.1.2.18
Intranet
8 2
4
DC1 IP : 10.1.1.10
Windows 2000 server
Windows 2000 pro (config. standard) Client Nessus
Serveur W2K pro V4 IP : 10.1.2.54
Réseau 100 BaseT Réseau 100 BaseT ModeDuplex Full Duplex Mode
Serveur Nessus V1 IP : 10.1.2.51
Windows 2000 server (config. standard)
15
S1 IP : 10.1.1.1
Windows 2000 server
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Rapports : Statistiques Affichage des ports ouverts (contrôle avec Active port) Affichage des failles Affichage des solutions de protection
16
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Projet pour l’étude des tactiques d’attaques sur divers réseaux et sur les failles matérielles
Information :
Réalisation du premier projet en 1999 Evolution du projet pour obtenir une Base de données
Utilité :
Mieux comprendre les attaques des pirates Vérification du matériel
17
Honeynet
Eth. switching
Auth. Radius
VLAN
Honeynet
Topologie des tests:
Nessus
Qualys
Honeynet
Honeynet
Internet V1 IP : 10.1.2.18 Serveur SysLOG IP IP :: 129.194.184.201 129.194.184.82 V9
Firewall Checkpoint
HUB
IP : 10.1.2.1 Administrative Network IP : 10.1.3.1
V4 IP : 10.1.2.54 Serveur Web / FTP
2 IP : 10.1.4.51
Switch Cisco Catalyst 2950 Cisco
IP : 10.1.3.51 V2 SNORT
Réseau 10 BaseT (Honeynet) Mode Half Duplex Réseau 100 BaseT (administrative network) Mode Full Duplex
6
4
3
22
Portable IP : 10.1.3.18 Serveur SysLOG
Eth. switching
Auth. Radius
VLAN
Nessus
Règles CheckPoint:
19
Qualys
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Difficultées de mise en oeuvre:
Recherche de programmes performants Synchronisation des postes (NTP) Stabilisation et furtivité de Snort Win32 Compatibilité des nouvelles règles Snort
20
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Demo 4 :
Réalisation d’une faille Remote Directory Transversal Visualisations des informations Syslog
21
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
QUESTION ???
22
Honeynet
MAC Flooding ARP Poisonning Nessus (FTP Anonym) Nessus (Active Port)
DEMONSTRATIONS
23
Honeynet
Diplômant : Marfil Miguel Professeur : Gérald Litzistorf En collaboration : Banque Pictet, Lanrent Dutheil e-Xpert Solutions, Sylvain Maret
Chapitres abordés Ethernet switching (attaques) Authentification Radius VLAN Nessus Audit avec Qualys Honeynet
1
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Méthodologie : Théorie des attaques d’un réseau switché Réalisation des attaques Analyse des attaques Analyse des systèmes attaqués Sécurisation du systèmes
2
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A>B 4
8 2
A>B
MAC A
A>B
?B?
Port 4
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A
8 2
MAC A B
A
B=8
Port 4 8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Bref rappel : A
B
A>B
A>B 4
8 2
MAC A B
Port 4 8
C
Cisco : CAM (Content-Adressable Memory)
3
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Attaques : Switch
MAC Flooding MAC Spoofing
- Sniffing
PC
ARP Spoofing ARP Poisonning
4
- Sniffing - Man in the middle
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
MAC Flooding (Démo 1): Client
Serveur
FTP req [V4] 4
8 2
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
MAC Flood
Port
ve rfl ow
MAC
2
Y
2
O
X
Z
V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2
2 Pirate
Utilisation Utilisation de de Macof Macof fournit fournit par par Dsniff Dsniff 2.2.4: 2.2.4: V1 V1 ## macof macof
5
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
ARP Poisonning (Démo 2): Client
Serveur
FTP req [V4] 4
ARP resp [V1,IP V4 ]
8
ARP resp [V1, IP V18]
2
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
C:\>ARP C:\>ARP –– aa
C:\>ARP C:\>ARP –– aa
V18 10.1.2.54 10.1.2.54 00:50:04:00:33:E2 MAC 00:50:04:00:33:E2 Port
10.1.2.18 10.1.2.18 00:50:04:00:33:E2 00:50:04:00:33:E2
V1
2
V4
8 V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2 Pirate
Utilisation Utilisation de de Macof Macof fournit fournit par par Dsniff Dsniff 2.2.4: 2.2.4: V1 V1 ## arpspoof arpspoof –i –i eth0 eth0 –t –t 10.1.2.18 10.1.2.18 10.1.2.54 10.1.2.54 V1 V1 ## arpspoof arpspoof –i –i eth0 eth0 –t –t 10.1.2.54 10.1.2.54 10.1.2.18 10.1.2.18
6
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Sécurisation : Postes Client
Switch MAC address static Rafraîchissement
IP machines du réseau mémorisé en statique
Switchport Vlan Authentification 802.1X
7
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Le VLAN (Virtual Local Area Network) est une extension du LAN permettant de définir des LANs de manière software sur un switch. Utilité :
Sécuriser les LANs Interdire la communication inter-LAN Meilleure gestion du réseau Séparation des domaines de diffusion
8
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Configuration : Déclaration des VLANs dans le switch Déclaration des accès aux VLANs Réseau 100 BaseT Mode Duplex
Serveur
Serveur
VLAN2 VLAN3 Switch Cisco Catalyst 2950
2
V1 IP : 10.1.2.51 MAC: 00:50:04:00:33:E2
5 3
4
V4 IP : 10.1.2.54 MAC: 00:50:04:00:49:89
Client
Client
V2 IP : 10.1.2.52 MAC: 00:50:04:00:4A:43
V18 IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
VLAN 2
VLAN 3
VLAN 1 est le VLAN par défaut chez Cisco Catalyst 2950
9
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Modes d’accès : Catalyst 2950
Par Ports Regroupement d’un ou plusieurs ports pour former un VLAN.
Par MAC address Association d’une ou plusieurs adresses MAC pour former un VLAN.
Par la couche 3 On détermine l’appartenance à un VLAN en fonction de l’adresse IP ou en fonction du type de protocole utilisé. 10
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Interconnexion de VLAN : V1 V1
Serveur1 Switch 1
(VLAN3)
TCP SYN
Switch 2
(VLAN3)
Switch
TCP SYN + TAG TCP SYN
Etage2 TCP SYN ACK + TAG
TCP SYN ACK
TCP SYN ACK
TCP ACK
TRUNK 802.1Q
TCP ACK + TAG TCP ACK
Switch
Serveur1
Etage1
Information FTP
Engineering VLAN1 VLAN
DA
SA
Type
802.1Q
…00 01 02 b7 2e 60 00 50 04 00 33 e2 81 00 00 03 08 00 45 00 00 3c 51 26 40 00 40….
MAC
IP
11
Marketing VLAN2 VLAN
Accounting VLAN3 VLAN
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Interconnexion de VLAN Indépendants : Par Bridge Par Routeur Client
Serveur Switch Cisco Catalyst 2950
4
2 11
V18 (VLAN 2) IP : 10.1.2.18 MAC: 00:01:02:0E:D8:F5
VLAN 3
VLAN 2
IP : 10.1.2.208 SM :255.255.255.0
Réseau 100 BaseT Mode Duplex
12
IP : 10.1.3.207 SM : 255.255.255.0
Routeur Lightning Ethernet II
12
V4 (VLAN 3) IP : 10.1.2.54 MAC: 00:50:04:00:49:89
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Nessus est un scanner de failles, disponible en OpenSource. Descriptif :
Teste divers appareils et systèmes (Windows, Unix, Linux, Routers, TCP/IP,etc…) Répertorie énormément de failles par défaut extensibles grâce aux Updates et par programmation de fichier NASL Possibilité de consulter les rapports des tests effectués ( Nessus , XML , HTML , TXT , ... ) Possibilité de lancer un test d ’intrusion à distance grâce à une connexion securisée. Nessus est basé sur une architecture Client-Serveur Interface intuitive et très complète (Windows, Linux) 13
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
SERVEUR CLIENT OneConnexion Time Password +
(one time password) 1
NessusD
GUI Nessus Echange certificat
A
2
Programmes (Nmap)
Canal Secure Envoi des informations 3 D
Choix des tests 4 Options
6
DB Nessus B
Rapports
1
2
3
4
5
TESTS
C
Commandes
CERTIFICAT
5
8
RAPPORTS CERTIFICAT
Informations cryptées
14
Script NASL
7
Victime
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Honeynet
Topologie des tests (Demo 3): ePC IP:10.1.4.7
Windows 2000 pro Switch Cisco Catalyst 2950
1 Client Nessus V18 IP : 10.1.2.18
Intranet
8 2
4
DC1 IP : 10.1.1.10
Windows 2000 server
Windows 2000 pro (config. standard) Client Nessus
Serveur W2K pro V4 IP : 10.1.2.54
Réseau 100 BaseT Réseau 100 BaseT ModeDuplex Full Duplex Mode
Serveur Nessus V1 IP : 10.1.2.51
Windows 2000 server (config. standard)
15
S1 IP : 10.1.1.1
Windows 2000 server
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Rapports : Statistiques Affichage des ports ouverts (contrôle avec Active port) Affichage des failles Affichage des solutions de protection
16
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Projet pour l’étude des tactiques d’attaques sur divers réseaux et sur les failles matérielles
Information :
Réalisation du premier projet en 1999 Evolution du projet pour obtenir une Base de données
Utilité :
Mieux comprendre les attaques des pirates Vérification du matériel
17
Honeynet
Eth. switching
Auth. Radius
VLAN
Honeynet
Topologie des tests:
Nessus
Qualys
Honeynet
Honeynet
Internet V1 IP : 10.1.2.18 Serveur SysLOG IP IP :: 129.194.184.201 129.194.184.82 V9
Firewall Checkpoint
HUB
IP : 10.1.2.1 Administrative Network IP : 10.1.3.1
V4 IP : 10.1.2.54 Serveur Web / FTP
2 IP : 10.1.4.51
Switch Cisco Catalyst 2950 Cisco
IP : 10.1.3.51 V2 SNORT
Réseau 10 BaseT (Honeynet) Mode Half Duplex Réseau 100 BaseT (administrative network) Mode Full Duplex
6
4
3
22
Portable IP : 10.1.3.18 Serveur SysLOG
Eth. switching
Auth. Radius
VLAN
Nessus
Règles CheckPoint:
19
Qualys
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Difficultées de mise en oeuvre:
Recherche de programmes performants Synchronisation des postes (NTP) Stabilisation et furtivité de Snort Win32 Compatibilité des nouvelles règles Snort
20
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
Demo 4 :
Réalisation d’une faille Remote Directory Transversal Visualisations des informations Syslog
21
Honeynet
Eth. switching
Auth. Radius
VLAN
Nessus
Qualys
QUESTION ???
22
Honeynet
MAC Flooding ARP Poisonning Nessus (FTP Anonym) Nessus (Active Port)
DEMONSTRATIONS
23
Honeynet
Related Documents
Marfil
May 2020 2
