Verrouiller toutes les portes d'entrée au réseau
|
DMZ
Routeur frontière
Serveur Web
Serveur DNS
Serveur de courrier |
|
Réseau interne
Routeur interne
Postes de travail |
1. Le routeur frontière
> Ce routeur est la toute première ligne de défense. Hélas, en pratique, il est souvent géré par le fournisseur d'accès. L'entreprise n'ayant guère accès à sa configuration, on ne peut lui faire réellement confiance. Il s'agit cependant du meilleur endroit pour filtrer les paquets en provenance d'Internet. Si leur adresse source est une adresse interne à l'entreprise, il s'agit, de toute évidence, de paquets falsifiés qui ne doivent pas entrer dans le réseau. |
2. Les serveurs sur la DMZ
> Ces serveurs exposés rendent des services "publics" (courrier, Web, news group). Visibles depuis l'extérieur, ils seront lres premiers attaqués. Leur sécurité ne peut être entièrement assurée par le routeur frontière et ils devront disposer de solutions de protection sur hôte (contrôle d'intégrité des fichiers, détection d'intrusion sur le serveur, authentification forte, système d'exploitation renforcé). Le serveur Web peut avantageusement être hébergé ailleurs et mis à jour par Internet. |
3. Le routeur interne
> C'est ici que la plus grosse partie du filtrage doir être réalisée. Le routeur interne protège des informations sensibles du réseau interne vis à vis d'Internet, mais il assurer aussi l'étanchéité de la DMZ viv à vis du réseau local. Il procède également à la traduction d'adresses, afin de cacher les hôtes du réseau local. Il doit être de type stateful inspection afin de n'autoriser que les connexions légitimes déjà établies, ou de faire appel à un mandataire pour les services autorisés. Il devrait bloquer tous les paquets ICMP afin de ne pas donner d'insformations utiles au pirate. Il faut également limiter les hôtes internes accessibles depuis la DMZ, afin de gêner un pirate qui se serait rendu maître d'un hôte qui y réside. |
4. La détection d'intrusions
> La sécurité ne peut être que périphérique. Au même titre que les antivirus sont nécessaires sue les postes de travail et les passerelles, une sécurité en profondeur passe par des logiciels de détection d'intrusions (IDS), dont les sondes analysent le trafic sur la DMZ et sur le réseau local. Certes, les technologies des IDS ne sont pas entièrement mûres, mais, utilisés avec des règles bien écrites, ces outils permettent de détecter des attaques classiques sur la DMZ ou des anomalies sur le réseau local. |
|
|
 |
|
La phase d'observation : le pirate cartographie le réseau...
Les routeurs, les serveurs et les passerelles publiques, l'accès par modem ou les PABX sont en effet des points de repère immanquables pour un pirate. A ce stade, son objectif est de réunir un maximum d'informations sur la topologie du réseau (y compris derrière les coupe-feu), et de connaitre les modèles des routeurs et les versions des logiciels serveurs utilisés (FTP, HTTP, etc.). Cette reconnaissance discrète s'appuie sur plusieurs techniques passives et actives.
Les premières sont totalement indécelables. Le pirate analyse les en-têtes des courriers ou des messages Usenet reçus, afin de connaître l'adresse de la passerelle SMTP ou NNTP de l'entreprise. Il ne se privera pas non plus de consulte un service d'archivage Usenet afin de lire les messages publiés par des employés du service informatique, pour en déduire les versions des logiciels utilisés en interne. La recherche par un service whois (annuaire) peut également livrer une quantité d'informations utiles (plage d'adresses IP utilisées par l'entreprise, nom et adresse e-mail du responsable du réseau, etc.).
La phase d'observation :... puis explore la plage d'adresses IP
Cette étape lui permet d'extrapole la plage d'adresses IP utilisée. Le pirate n'aura plus qu'à l'explorer à l'aide d'un scanner tel NMAP, afin de découvrir d'autres serveurs, routeurs ou passerelles qui ne sont pas révélés publiquement.
Avec un peu d'imagination, la commande traceroute peut cependant se révéler largement plus utile. A l'aide d'une technique appelée "firewalking", le pirate peut non seulement découvrir quels services ne sont pas filtrés par le coupe-feu, mais dresser aussi la cartographie du réseau derrière le coupe-feu.
La méthode repose sur la création de paquets (UDP, TCP ou ICMP), dont la durée devie est calculée pour être supérieure à celle du nombre de sauts nécessaires pour atteindre le coupe-feu. Lorsque le paquet arrive sur le coupe-feu (ou le routeur filtrant), celui-ci peut l'ignorer ou l'accepter, selon les règles définies par l'administrateur. S'il l'ignore, le pirate sait que le port est fermé. En revanche, si le port est ouvert, le paquet est naturellement autorisé à passer. Il atteint cependant la limite de sa durée de vie et meurt immédiatement après avoir franchi le coupe-feu. Le pirate reçoit alors un message ICMP de type 11 (TTL dépassé). Cette information est très précieuse, puisqu'elle lui permet de reconstruire le jeu de règles de filtrage de tous les dispositifs filtrants de l'entreprise. En connaissant l'adresse d'un hôte derrière le coupe-feu, le pirate peut utiliser la même technique pour cartographier le reste du réseau en ciblant chaque adresse IP derrière le coupe-feu. Il recherche particulièrement les serveurs DNS internes, les passereles de courrier supplémentaires, les serveurs debases de données, etc.
Cette phase de découverte est généralement effectuée avec précaution pour ne pas alerter d'éventuels logiciels de détection d'intrusions (en espaçant les scans, en fragmentant les paquets, etc.).
La phase offensive
Le balayage des hôtes découverts constitue l'étape suivante. C'est le début de la phase offensive. Les pirates consciencieux procèdent à de tels scans sur une période de plusieurs mois, car il s'agit d'une activité hautement suspecte. L'objectifest de déterminer quels services sont disponibles sur les hôtes découverts à travers le réseau (FTP, Web, DNS, etc.). Ce n'est qu'après avoir obtenu une image complète du réseau de l'entreprise, répertorié les versions des serveurs utilisés et avoir identifié les relations de confiance entre certains hôtes qu'il passe à l'attaque.
L'attaque
La faille qu'il exploite n'a que peu d'importance. Tout est déjà joué, la reconnaissance a permis d'identifier le maillon faible. Il peut s'agir de la mauvaise configuration d'un hôte, ou d'un serveur qui n'a pas été mis à jour (FTP, HTTP, DNS, etc.) pour lequel existe une faille connue. Le pirate peut aussi exploiter une relation de confiance entre deux machines. Dans les cas plus rares, l'attaque sera réellement originale. Le pirate pourra détourner une connexion en déterminant à l'avance les numéros de séquence TCP de cette connexion, modifier le cache du serveur DNS interne pour détourner le trafic vers sa machine, voire enregistrer et rejouer une connexion d'un hôte de confiance pour s'y introduire. Mais quelle que soit l'option choisie, l'attaque n'est possible que parce que l'entreprise a laissé son système d'exploitation parler trop librement.
Glossaire
ICMP : Internet Control Message Protocol est un protocole de communications destiné à véhiculer le message d'erreur d'une connexion TCP/IP et qui aide à identifier des problèmes. ICMP est utilisé par Ping, notamment, pour déterminer si un hôte répond sur le réseau.
TTL : Time To Live. Cette valeur indique à chaque paquet de donnée IP combien d'étapes (de routeurs) il peut traverser avant de devoir se détruire. Cela permet d'éviter qu'un paquet perdu ne demeure indéfiniment sur le réseau. |
En savoir plus
La sécurité sur Internet - Firewalls, éditions O'Reilly
Un ouvrage incontournable pour comprendre les arcanes de la configuration d'un coupe-feu.
Firewalking
Livre blanc écrit par David Goldsmith et Michael Schiffman, à l'origine de cette technique de pénétration de coupe-feu.
packetfactory.net/firewalk/firewalk-final.html. |
|
