Cyber Menaces & Parades

--- title: Cyber Menaces & Parades tags: S8 --- # Cours 01/07/2021 ## Introduction 1 pause 10mn toutes les heures. Important de noter. Partiel: peut être peut être pas, poser la question à l'adm La pratique c'est important EN LABORATOIRE. Ne pas mettre en pratique dans un cadre de production de manière non autorisée. Disclaimer pour le reste: ceci n'a vocation que d'explication et de mise en pratique en laboratoire ou de manière consensuelle. Menace : quelque chose qui existe, d'objectivable. Chose qui a été démontré *exemple* : quelqu'un qui se réveille en voulant tuer quelqu'un -> cette menace existe, on le sait Occurence de la menace à prendre en compte. Comment réagir face à la connaissance de cette menace. L'évaluation du risque est subjective. Le risque : paranoïaque / inconscience Si quelqu'un qui est paranoïaque: je sais qu'il y a un potentiel meurtrier -> je ne sors plus. Effet de balance: la menace d'un coté et les risques de l'autre. Il faut prendre en compte les coûts de la protection: - en performance - en financier Nouvel équilibre à trouver: ![](https://i.imgur.com/lm83OAc.png) La sécurité IT n'a pas toujours été un sujet. Depuis 93-96 et internet/web ouverts et entrés dans l'entreprise la cyber a pris son importance. Tout les protocoles sont hackable -> piratables. Il ne peux pas y avoir d'expertise en secu sans expertise reseau. Tout le monde reflechit, les gentils comme les mechants. IPv6 n'est pas vide de menaces. Il y a des bonnes pratiques a suivre et elles sont nombreuses. Meme une contre-mesure a des failles. Il n'y a pas d'absolu en securite ! Le zéro risque n'existe pas. La parade absolue n'existe pas, voir au dessus. NFR: Non Functionnal Requirement IT sec = un NFR Sécurité doit être PARTOUT, la plupart des architectes IT mettent la sec en tag sur tous les éléments. En général parade suit l'attaque. Sauf certains cas de recherche. Essaient de casser avant les hacker pour développer des parades avant que des hackers ne découvrent la faille. Ces chercheurs = White hats, démontrent faiblesse des produits sur le marché. RSSI Responsable Sécurité SI = CISO: Chief Information Security Officer Selon Gaillard: Les menaces ne s'arrêteront pas. RSSI frustré parce que n'attrape jamais de pirate donc pas d'exemples à montrer au patron alors que la sécu dépense de l'argent. La terminologie des hackers: - Phreaker - Pirates du réseau téléphonique - Hacker - Terme apparu dans les années 60 - [Color] Hat - White Hat -> les gentils, cassent les systèmes mais pour le bien commun - Black Hat -> mechant - Grey Hat -> oscille entre le White & Black - Green Hat -> il essaie mais il est pas super compétent encore, c'est le débutant - Red Hat -> White Hat mais pour contre attaquer, peut detruire, comme un Black Hat. - Blue Hat -> Hacker recruter par une entreprise pour essayer de casser un système avant son lancement. Originalement lié à Microsoft. - Cracker - Là juste pour casser des systèmes - Carder - Pirates d'ATM et cartes bancaires - Script-kiddie - Les pirates du dimanche - Lamer - Le Nerd, le nul du hacking, attaque nul et en plus il s'est fait prendre. Hall of Fame: (voir support de cours slide 8) Social Engineering = attaque non technique qui se base sur la manipulation d'autres humains. On compte des attaques comme: - Le Pretexting - Le Phishing - Le Spear Phishing - Le Spam - Le Tailgating - Le Something for Something - Le Baiting - Le Doxing - Le Reverse Social Engineering 4 types de menaces: ![](https://i.imgur.com/s8NhqTD.png) 1. attaque non intrusive / passive - lit le flux (sniffing) - difficile a detecter 2. interromption du flux - voir ne part pas - ou n'est pas recu 3. attaque man-in-the-middle - redoutable -> potentiel de degat le plus fort - demande de l'expertise 4. usurpation d'identité - le hacker se fait passer pour quelqu'un d'autre ## Menaces L1/L2 : Ethernet - Attaques physiques sur l'infrastructure : débranchement ou sectionnement ou incision de cable, cassage ou disjonction de switch. - Ecoute du réseau par sniffer parfois derriere un hub ou un switch - MAC Flooding : Flood de table de switch en envoyant bcp de trame avec des adresses MAC différent (possible en fonction des implémentations) # Cours 02/07/2021 Mettre un IDS sur un port d'un switch pour surveiller le trafic, IDS détecte une trame IP anormale, que fait-on de cette alerte ? Une parade peut être attaquée. Ex : firewall hackés, faux positifs -> faire réagir les systèmes de défenses. si on reçoit 0800, et version 6, que se passe-t-il ? -> bug un checksum peut être = 0 urgent pointer : parmi les données, il peut y avoir des données urgentes à traiter. L'urgent pointer est une indication d'offset # Cours 09/07/2021 ## ICMP ICMP : c'est le grand satan X Window c'est el tchernobyl des reseaux Les ping pour les pirates: savoir que la cible est active mais faut-il le supprimer? => arreter les ping sur des plages horaires (pour les maintenances routeur) cependant: il existe d'autre methode de protection Source Quench : un routeur demande aux autres de mettre un délai, pour remplir sa table de routage ? Traceroute : paquet avec un TTL = 1 et qui s'incrémente *ICMP redirect*: permet de rediriger le flux, de le capter (man in the middle). Redirections invisibles, changements dans la table de routage **Rappel** man in the middle: capter et renvoyer sniffing: capter seulement Arp poisonning: corrompre la table ARP d'une / des machines *smurf ou attaque par rebond*: attaque sur 3 personnes: l'attaquant **C** se fait passer pour la victime **A** et ping a repetition **B**. **B** pense que **A** l'interroge et donc reponds en masse a **A** Comment augmenter d'efficacite: mettre des paquets fragmentes et trouver un protocole avec une ratio 11 ping aller pour X ping retours ## TCP *TCP Hijacking* : vol de connexion TCP Exemple : un client et un serveur. Un pirate identifie que la connexion est ouverte. Se faire passer pour une des 2 extrémités (spoofing), rentrer dans la connexion, envoyer une fin de connexion *Mettre des flags impossibles*: ex SYN et FIN *Sin flooding*: half connexion: connexions non abouties qui vont flood le buffer de connexion Attaquer les ports: Envoyer des messages sur des well known port non attendus **FTP serveur** <-> **FTP serveur** **HTTP server** <-> **FTP server** Les zones d'attaques: -> externe: en creusant sont tunnel -> interne ou externe: en attaquant un flux deja existant ## Menaces sur UDP: *combinaisons de port*: like TCP (port 0 <-> 0 cisco a pas apprecie du tout du tout) Jouer sur les vitesses de traitememt par le materiel (general), lire la doc pour reperer ca CF cisco histoire ## Menaces L5/L7 Telnet: emuler un terminal sur un PC **Attaque sur FTP:** 2 ports: 1 signalisation 21 1 pour le transport donc attention a l'attaque **Attaque sur TFTP:** ajout de Ack et de Nack sur UDP => extremement faible etait par defaut en prod en root sur les machines client ```shell= 42$> Tftp get lpd /etc/pwd tmp.txt ascii Edition locale: retrait du champs pwd du login root 42$> Tftp put titi.txt /etc/pwd ascii ``` ## Parade: - tous les systemes connectes doivent avoir les login password - les equipements ne doivent pas etre accessibles - faire de la com en interne - organisation de la securite . - ne pas mettre prod des machines avec des ports ouverts - ne pas donner les droits routes aux applications ou restreindre fortement - collecte des logs - utiliser le bon sens Parade attaque DNS: - DNSEC SNMP: - authentification par certificat contre mesure des intrusions sur le reseau: 802.1X filtres routeur # Cours 19/07/2021 ## Contre mesures Pas forcement d'investissement massif mais beaucoup de bon sens, de rigueur et de vérification. Protocole 802.1x sur les switchs d'accès : Sert à l'authentification des personnes sur le LAN (et donc de détecter les intrusions d'individus non voulus). Le 802.1x est un mécanisme protocolaire transmettant une authentification non standardisée. Schéma classique du setup d'un firewall materiel (Edge/Network Firewall): ![](https://i.imgur.com/L20rSu7.png) DPI : Deep Packet Inspection Plutot destiné aux niveau étatique pour du scan rapide de flux a tres grande echelle. Nécessite des équipements low-latency (s'appuyant généralement sur l'équipement FPGA). Zone démitilarisé (DMZ) : Zone d'analyse de flux entre les zones de production et de réception de flux. On va nottament y trouver un firewall. Certains équipements sont all-in-one comme une box, il font firewall et routeur. Attention, il faut toujours penser à l'administration des équipements réseau. Attention, ce n'est pas parce que le flux d'un équipement A vers un équipement B est vérifié que celui de B vers A l'est. Firewall Stateless vs Stateful : Le firewall stateless ne peut pas gérer les contextes alors que les statefulls oui. Typiquement, un statefull peut filtrer une réponse de ping ne répondant a aucun ping alors qu'un stateless non. Le Firewall protège au minimum les couches L2,L3,L4 Le WAF protège au minimum les couches L5/L7 IDS (Intrusion Detection System) : Il ne coupe pas les flux mais ne fait que de l'analyse et génere des alertes en cas de suspicion de flux malveillant. IPS (Intrusion Prevention System) : Il coupe les flux en cas de suspicion de flux malveillant. Honeypot : Serveur servant comme leurre pour analyser précisément les attaques. VPS : pas là initialement pour sécuriser, réencapsulation dans un tunnel Le VPN (Virtual Private Network) est lié à un TP (Tunneling Protocol). VPN volontary : du poste de travail vers le réseau de l'entreprise VPN compulsory : site to site VPN en gros ![](https://i.imgur.com/JSC1rmM.png)