Le DNS
Le DNS (Domain Name Solver) permet de réaliser la résolution des noms Internet.
Fonctionnellement, il s’agit d’associer à un nom donné une........
adresse IP correspondante. Son utilité est flagrante dès qu’il s’agit de naviguer sur le Web : qui connaît en effet aujourd’hui l’adresse IP de son moteur de recherche favori ?
Du fait de sa grande importance, ce service demeure particulièrement sensible en termes de SSI. En outre, ce service de noms peut parfois contenir des enregistrements utiles à un agresseur pour se renseigner sur sa cible (adresses des relais de messagerie, types de machines,etc.).
Début 2000, des attaquants étaient parvenus à corrompre les tables de plusieurs serveurs DNS racines (le DNS est un service hiérarchique) afin de rediriger les requêtes vers certains sites (dont celui du FBI) sur un serveur pirate, usurpant ainsi l’identité de nombreuses machines.
Lorsque l’on met en place une interconnexion de réseaux il peut être judicieux (et recommandé !) de mettre en place une architecture dite de « split DNS ». Le principe consiste à utiliser deux services DNS : d’un coté un serveur DNS interne qui ne sera pas visible de l’extérieur et qui permettra de résoudre tous les noms internes pour ses propres clients, de l’autre coté un serveur DNS externe, accessible de l’extérieur, et ne contenant que le strict nécessaire en termes d’enregistrements.
Enfin, l’utilisation du protocole UDP comme support de transmission en fait un service facilement « leurrable.
Elle a été pendant longtemps une source quasi inépuisable de vulnérabilités, surtout pour ce qui concerne le serveur « sendmail ». Ce programme serveur extrêmement complet (et surtout complexe) a donc été une cible privilégiée par de nombreux attaquants, même aujourd’hui puisqu’il s’agit souvent d’un point d’accès économique, pratique et simple d’utilisation (le protocole fonctionne en mode texte pur) au monde de l’Internet.
Si la plupart des serveurs de messagerie actuels sont aujourd’hui immunisés contre les attaques les plus populaires, il demeure le principal vecteur de contamination pour les virus et les chevaux de Troie. Dans ce cas de figure, il s’agit souvent du client de messagerie qui pose un problème en termes de sécurité (interprétation des pièces jointes contenant du code ou des scripts, actions néfastes de l’utilisateur pour lui-même – double clic sur une pièce jointe de type exécutable…).
Notons enfin que le protocole SMTP n’implémente aucun mécanisme d’authentification.
Fiche signalétique
Ports utilisés 25
Protocole Réseau TCP
Programmes serveurs types sendmail, postfix (Unix), Microsoft Exchange (Windows)
Par construction le protocole FTP souffre de quelques lacunes en termes de SSI :
· Il autorise la notion d’ouverture de session anonyme ; le paramétrage par défaut autorise l’utilisateur « anonymous », avec un mot de passe quelconque (la politesse élémentaire demandant à ce que le mot de passe saisi corresponde à son adresse de messagerie), à se connecter au service. · Le mot de passe des utilisateurs circule en clair sur le réseau.
Un exemple d’attaque sur FTP : le « FTP bounce »
Le principe de cette attaque consiste réaliser des actions malveillantes au travers d’un serveur FTP vulnérable ; vu de la cible, c’est le serveur FTP qui mène l’attaque et non la machine de l’agresseur. Dans l’exemple qui va suivre, l’agresseur va utiliser un serveur FTP vulnérable pour envoyer un e-mail falsifié
· L’agresseur se connecte sur le serveur FTP vulnérable (nom ftp.vuln.com) et dépose un fichier de commande dans une arborescence de publication accessible en Lecture/Ecriture.
· L’agresseur se reconnecte alors au serveur puis lance une commande PORT. Cette commande va permettre à l’agresseur d’ordonner au serveur d’ouvrir le port de données 25 sur l’adresse du serveur cible.com (on demande au serveur de réaliser une ouverture de session sur le port 25, soit le port de messagerie, sur cible.com).
· Puis l’agresseur saisit la commande « GET fichierdéposé.txt », ce qui a pour conséquence d’envoyer le contenu du fichier préalablement déposé sur la connexion TCP définie par la commande PORT.
· Le fichier de données contenant des commandes SMTP valides, la victime de cette attaque accepte alors le dépôt du message.
· Vu de la victime, le serveur FTP a émis un e-mail valide semblant provenir de l’utilisateur toto de ftp.vuln.com.
Les services interactifs
De nombreux protocoles réseaux permettent un accès interactif à une machine distante. C’est le cas de protocoles telnet, r-login et autres « r-commandes ». Ces protocoles offrent donc la possibilité de passer des commandes qui seront exécutées sur la machine distante. Par défaut, ces services nécessitent une authentification préalable pour exécuter les commandes, mais cette authentification est réalisée « en clair », c’est à dire que les authentifiants – couples login / mot de passe – passent en clair sur le réseau.
X Window
Le service X Window est un service client/serveur utilisé sous les systèmes Unix pour gérer l’interface graphique d’une session utilisateur.
Son architecture complexe et les milliers de lignes de code qui le compose en ont fait un service de choix pour les attaquants, en raison des nombreuses vulnérabilités dont il a fait l’objet. En particulier, le schéma authentification par défaut de ce service laissait la porte ouverte à des attaquants pour réaliser des captures d’écran et de clavier de session utilisateurs à distance (problème des magic cookies et des fonctionnalités de type xhost)
A l’heure actuelle, il s’agit, avec la messagerie électronique, du protocole le plus utilisé sur l’Internet.
De nombreux problèmes de sécurité sont apparus sur ce protocole, d’autant plus qu’il est utilisé comme vecteur de transfert de codes mobiles (applets Java, scripting, contrôles ActiveX…) entre les serveurs et les clients
Le DNS (Domain Name Solver) permet de réaliser la résolution des noms Internet.
Fonctionnellement, il s’agit d’associer à un nom donné une........
adresse IP correspondante. Son utilité est flagrante dès qu’il s’agit de naviguer sur le Web : qui connaît en effet aujourd’hui l’adresse IP de son moteur de recherche favori ?
Du fait de sa grande importance, ce service demeure particulièrement sensible en termes de SSI. En outre, ce service de noms peut parfois contenir des enregistrements utiles à un agresseur pour se renseigner sur sa cible (adresses des relais de messagerie, types de machines,etc.).
Début 2000, des attaquants étaient parvenus à corrompre les tables de plusieurs serveurs DNS racines (le DNS est un service hiérarchique) afin de rediriger les requêtes vers certains sites (dont celui du FBI) sur un serveur pirate, usurpant ainsi l’identité de nombreuses machines.
Lorsque l’on met en place une interconnexion de réseaux il peut être judicieux (et recommandé !) de mettre en place une architecture dite de « split DNS ». Le principe consiste à utiliser deux services DNS : d’un coté un serveur DNS interne qui ne sera pas visible de l’extérieur et qui permettra de résoudre tous les noms internes pour ses propres clients, de l’autre coté un serveur DNS externe, accessible de l’extérieur, et ne contenant que le strict nécessaire en termes d’enregistrements.
Enfin, l’utilisation du protocole UDP comme support de transmission en fait un service facilement « leurrable.
La messagerie SMTP
La messagerie SMTP demeure LE protocole de messagerie pour l’Internet.Elle a été pendant longtemps une source quasi inépuisable de vulnérabilités, surtout pour ce qui concerne le serveur « sendmail ». Ce programme serveur extrêmement complet (et surtout complexe) a donc été une cible privilégiée par de nombreux attaquants, même aujourd’hui puisqu’il s’agit souvent d’un point d’accès économique, pratique et simple d’utilisation (le protocole fonctionne en mode texte pur) au monde de l’Internet.
Si la plupart des serveurs de messagerie actuels sont aujourd’hui immunisés contre les attaques les plus populaires, il demeure le principal vecteur de contamination pour les virus et les chevaux de Troie. Dans ce cas de figure, il s’agit souvent du client de messagerie qui pose un problème en termes de sécurité (interprétation des pièces jointes contenant du code ou des scripts, actions néfastes de l’utilisateur pour lui-même – double clic sur une pièce jointe de type exécutable…).
Notons enfin que le protocole SMTP n’implémente aucun mécanisme d’authentification.
Fiche signalétique
Ports utilisés 25
Protocole Réseau TCP
Programmes serveurs types sendmail, postfix (Unix), Microsoft Exchange (Windows)
Le protocole FTP:
Le protocole FTP permet le transfert de fichiers depuis un serveur vers un client, et vice versa. C’est un protocole assez ancien et dont l’architecture interne demeure pour le moins curieuse puisqu’il utilise deux ports de services TCP pour fonctionner : le port 21 est utilisé pour le passage de commandes et le port 20 sert à véhiculer les données.Par construction le protocole FTP souffre de quelques lacunes en termes de SSI :
· Il autorise la notion d’ouverture de session anonyme ; le paramétrage par défaut autorise l’utilisateur « anonymous », avec un mot de passe quelconque (la politesse élémentaire demandant à ce que le mot de passe saisi corresponde à son adresse de messagerie), à se connecter au service. · Le mot de passe des utilisateurs circule en clair sur le réseau.
Un exemple d’attaque sur FTP : le « FTP bounce »
Le principe de cette attaque consiste réaliser des actions malveillantes au travers d’un serveur FTP vulnérable ; vu de la cible, c’est le serveur FTP qui mène l’attaque et non la machine de l’agresseur. Dans l’exemple qui va suivre, l’agresseur va utiliser un serveur FTP vulnérable pour envoyer un e-mail falsifié
· L’agresseur se connecte sur le serveur FTP vulnérable (nom ftp.vuln.com) et dépose un fichier de commande dans une arborescence de publication accessible en Lecture/Ecriture.
· L’agresseur se reconnecte alors au serveur puis lance une commande PORT. Cette commande va permettre à l’agresseur d’ordonner au serveur d’ouvrir le port de données 25 sur l’adresse du serveur cible.com (on demande au serveur de réaliser une ouverture de session sur le port 25, soit le port de messagerie, sur cible.com).
· Puis l’agresseur saisit la commande « GET fichierdéposé.txt », ce qui a pour conséquence d’envoyer le contenu du fichier préalablement déposé sur la connexion TCP définie par la commande PORT.
· Le fichier de données contenant des commandes SMTP valides, la victime de cette attaque accepte alors le dépôt du message.
· Vu de la victime, le serveur FTP a émis un e-mail valide semblant provenir de l’utilisateur toto de ftp.vuln.com.
Les services interactifs
De nombreux protocoles réseaux permettent un accès interactif à une machine distante. C’est le cas de protocoles telnet, r-login et autres « r-commandes ». Ces protocoles offrent donc la possibilité de passer des commandes qui seront exécutées sur la machine distante. Par défaut, ces services nécessitent une authentification préalable pour exécuter les commandes, mais cette authentification est réalisée « en clair », c’est à dire que les authentifiants – couples login / mot de passe – passent en clair sur le réseau.
X Window
Le service X Window est un service client/serveur utilisé sous les systèmes Unix pour gérer l’interface graphique d’une session utilisateur.
Son architecture complexe et les milliers de lignes de code qui le compose en ont fait un service de choix pour les attaquants, en raison des nombreuses vulnérabilités dont il a fait l’objet. En particulier, le schéma authentification par défaut de ce service laissait la porte ouverte à des attaquants pour réaliser des captures d’écran et de clavier de session utilisateurs à distance (problème des magic cookies et des fonctionnalités de type xhost)
Le protocole HTTP
Grande star des menaces liées à l’Internet, le protocole HTTP est un vecteur d’attaque privilégié pour les agresseurs, soit du fait de serveurs vulnérables, soit de l’utilisation de clients de navigation mal paramétrés ou non mis à jour.A l’heure actuelle, il s’agit, avec la messagerie électronique, du protocole le plus utilisé sur l’Internet.
De nombreux problèmes de sécurité sont apparus sur ce protocole, d’autant plus qu’il est utilisé comme vecteur de transfert de codes mobiles (applets Java, scripting, contrôles ActiveX…) entre les serveurs et les clients
3 com:
magnifique article
oui biensure
s
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci