Home

article

1. etc bind named conf acl tpeux 192 168 1 0 24 172 15 0 0 16 options allow transfer tpeux Listing 2 WHOIS Prot g avec WhoisGuard IN SOA ns2 opidah com master opidah com 1105498423 10800 3600 604800 38400 opidah com IN NS nsl opidah com opidah com IN NS ns2 opidah com opidah com IN NS ns3 opidah com opidah com IN A 11 29 33 44 www opidah com IN CNAME opidah com dev opidah com IN CNAME opidah com smtp opidah com IN A 284 33 44 55 ftp opidah com IN CNAME opidah com mail opidah com IN A 22 433 44 85 monsite com IN MX 10 mail opidah com nsl monsite com IN A 11 22 33 44 Listing 4 Restriction des transferts de zone avec Bind 22 HAKIN9 2 2010 Nous pouvons maintenant sp cifier la cl g n r e notre fichier de configuration named conf key tsikey opidah com algorithm hmac md5 secret lHctNAZhIlqyekBbIk9 9 jghEJg60syXJFAtkBeDOJMNZVP eEwM8LtRUr OI6n5Ta20gmiX1 eyWB6EcbglnF5iQ Puis nous appliquerons la signature des DNS pour un serveur sp cifique server 192 168 1 7 keys tsikey opidah com zone opidah com master var cache bind type file opidah com hosts allow query any allow transfer key tsikey opidah com La communication entre le serveur primaire et secondaire est maintenant v rifiable travers leurs signatures Le TSIG est tr s simple mettre en place mais pr sente quelques d savantages
2. S tate ESTABLISHED j wwitb iptables t filter A OUTPUT p tcp s lt S tate state NEW ESTABLISHED j ACCEPT sera toutefois recommand d utiliser le fire par d faut ail c t routeur de base en plus pour assurer un filtrage Listing 5 Restriction des requ tes DNS etc bind named conf local acl trusted 192 168 1 0 24 l Liste d IPs options allow transfer tpeux allow recursion trusted allow query trusted version What What zone opidah com type master file var cache bind opidah com hosts allow query any 2 2010 HAKIN9 23 un serveur en ligne C est ce que nous verrons avec IPTables NetFilter peu utilis Dans notre cas nous aurons seulement besoin des services HTTP FTP wwitb iptables t filter F wwitb iptables t filter SSH c est dire ouvrir les connexions X IPTables NetFilter entrantes des ports 80 ou 8080 21 et 22 ous avons ici un firewall int gr en natif Tout d abord il nous faudra r initialiser Ensuite nous fermerons toutes les Linux partir du noyau 24 mais encore tr s les IPTables actuelles connexions entrantes et sortantes Listing 6 Fichier zone sign 20091222002739 18366 opidah com CJCfhlwsCccZNLnepysi94Ab5nThE3LqFrios opidah com 38400 IN SOA nsl opidah com MO1 oerKg u7UUpJ1Fg master opidah com 38400 NSEC ftp opidah com CNAME RRSIG NSEC 1105498423 seria
3. S BASTIEN DUDEK Degr de difficult CET ARTICLE EXPLIQUE La prise d information L identification des vecteurs d attaques et des vuln rabilit s Les diff rents types d attaques apr s analyse des informations recueillies La s curisation des services CE QU IL FAUT SAVOIR Administration de serveurs Unix Linux Windows Des notions en penetration testing Bases de survie en programmation C PHP Perl Python 20 HAKIN9 2 2010 Serveurs D di s Prot gez vous des attaques sur le Web Les serveurs sont les principales cibles d attaques sur le Web et pourtant les questions au sujet de la s curit sont souvent laiss es de c t ce qui am ne tr s souvent des cons quences catastrophiques es entreprises comme les particuliers ont des besoins tr s pr cis concernant le stockage et la publication des informations Il est clair qu utiliser un serveur mutualis serait trop risqu pour h berger du contenu confidentiel et des projets en cours de d veloppement En effet sur les mutualis s certains droits d acc s sont oubli s o mal configur s Chaque projet se retrouvant sur le m me serveur et il faut limiter l ex cu respectifs ave largement de ces limita par bypassing qui ion des scripts leur r pertoire Cela nous am ne tout de m me nous poser la question suivante nos projets s par s des autres utilisateurs sont ils r ellement en
4. il aut distribuer les cl s parmi les serveurs il n y a pas de niveau d autorit et donc cette echnique n est pas aussi flexible que du cryptage asym trique Pour palier ce probl me le protoco NSSEC a t propos Ce protoco lise le cryptage en cl publique pour la gnature des fichiers de zone Pour le DNSSEC nous pouvons utiliser une commande similaire comme pour le TSIG Nous allons donc g n rer une cl DSA de 1024 bits D le o c wwitb dnssec keygen a DSA b 1024 n ZONE opidah com Iifaudra par la suite ajouter la ligne pr cisant le chemin de la cl Sinclude Users fluxius Kopidah com 003 18366 key la fin du fichier de configuration de zone Puis nous allons g n rer notre nouveau SERVEURS D DI S PROT GEZ VOUS DES ATTAQUES SUR LE WEB fichier de zone avec les empreintes Voir r sultat en listing 6 wwitb dnssec signzone 0o opidah com db opidah com Informations sur les services num ration et fingerprinting L num ration permet lattaquant de d couvrir les services qui tournent sur un serveur et qui sont accessibles en public Ce genre d informations sont principalement collect es par un scan de ports permettant l attaquant en question de voir quelles attaques peuvent tre r alis es contre une organisation par exemple Le fingerprinting importante car l attaquant a besoin d informations sur les services et modu
5. tecter les changements chaque jour http rkhuntersourceforge net Conclusion Les serveurs d di s ne sont pas l abri des attaques Et m me si ces r gles devraient tre appliqu es pour chaque poste les serveurs sont les plus vuln rables car expos s 24h 24 tout peut arriver En effet attaquant aura le temps de prendre un maximum d informations pour envisager une attaque cibl e Nous n avons vu qu une petite partie des attaques variant selon la sp cialit de utilisateur malveillant et il faut penser voir e syst me dans son ensemble Pensez donc faire des veilles technologiques mises jour des services et avoir d autres opinions quant la s curit de votre serveur A propos de l auteur tudiant ing nieur en lectronique informatique et management l cole EFREI S bastien Dudek travaille depuis plus de 10 ans dans le domaine de l informatique dont presque 6 ans dans la s curit de l information Il s int resse plus particuli rement aux techniques d intrusions failles applicatives Reversing Tracking et effectue ces derniers temps des recherches dans le domaine Hertzien et la Cryptologie Contact sdudekredac gmail com 2 2010 HAKIN9 27
6. tecter une vuln rabilit avant quelle puisse avoir une cons quence sur notre syst me Pour cela consultez toutes les sources concernantles services que vous utilisez blogs forums vsgroups Flux RSS Sites N h sitez pas faire des audits et utiliser des programmes comme Nessus la recherche de vuln rabilit s m me si ce type de programme ne r f rence pas plus de 40 des failles connues De plus n oubliez pas la lecture des de chacun de vos services et mettre r guli rement jour vos services Voici quelques sites fr quemment actualis s r f ren ant des sources d exploits htto www mil T http www securityfocus com http www zerodayinitiative com http labs idefense com http www packetstormsecurity org Le serveur l adresse un nom d utilisateur et un mot de passe Nom d utilisateur r Mot de passe C M moriser mon mot de passe Ce Cane Figure 2 Demande d identification du routeur ignoreip 127 0 0 1 liste des adresses IP de confiance ignorer par fail2ban bantime 600 temps de ban en secondes maxretry 3 nombre d essais autoris s pour une connexion avant d tre banni destmail admin opidah com adresse e mail destinataire des notifications D tection des Rootkits Pour la d tection de Rootkits nous pourrons utiliser Rkhunter qui est un anti Rootkit calculant les empreintes MD5 des programmes afin de d
7. opihad com dn8 opihad com Listing 1 R sultat de notre WHOIS pour opidah com parties int ressantes wwitb whois opidah com domain opidah com reg_created 2009 04 22 13 06 25 expires 2011 04 22 13 06 25 created 2009 04 22 15 06 26 changed 2010 11 12 15 38 03 transfer prohibited yes ns0 dnsl opidah com nsi dns2 opidah com ns2 dns3 opidah com owner c nic hdl TG8520 DIGAN owner name James Paledown organisation person James Paledown address 12 place des zics zipcode 75014 city Paris country France phone 33 145147005 faxs t email admin opidah com admin c nic hdl TG8520 DIGAN owner name James Paledown organisation person James Paledown address 12 place des zics zipcode 75014 city Paris country France phone 33 145147005 fax t email admin opidah com tech c bilil g s Ces informations permettent attaquant de connc tre la victime et ainsi utiliser ces informations comme une piste pour affiner et pousser encore plus loin les echerches l attaquant pourra donc avoi quelques d tails utiles pour entreprendre ne attaque physique ou dans notre cas tendre le domaine de recherch es failles gr ce aux principaux DNS Li Listing 1 montre un r sultat du WHOIS pour opidah com existe des services de consultation des donn es WHOIS comme ce site par exemple htto whois domaintools com En utilisant nimporte quel moteur de echerche vous devriez retrou
8. r cursives et non r cursives doivent tre interdites pour les clients externes afin d viter les spoofing conditions o le cache TSIG key tsikey opidah com ns1 opidah com ns2 opidah com Figure 1 Communication entre deux serveur DNS 2 2010 HAKIN9 21 snooping Nous pouvons donc restreindre les requ tes r cursives et non r cursives dans une liste d acc s appel e trusted comme indiqu dans le Listing 5 Cette configuration aura pour effet de ne retourner aucun r sultat comme souhait DNS et Encryption TSIG et DNSSEC Pour r soudre les probl mes li s hijacking poisoning et la s curit des transferts de zones nous allons voir comment signer les messages DNS avec une empreinte num rique calcul e l aide d une cl secr te partag e entre l metteur et de r cepteur voir Figure 1 Pour le TSIG nous g n rerons en exemple une cl tsigkey opidah com associ e au domaine opidah com wwitb dnssec keygen a HMAC MD5 b 512 n HOST tsikey opidah com La g n ration engendre deux fichiers Ktsikey opidah com 157 43377 key Ktsikey opidah com 157 43377 private Registrant Contact WhoisGuard WhoisGuard Protected 45f454e5f888 protected whoisguard com 1 1256023578 Fax 1 1256023578 11400 W Olympic Blvd Suite 200 Los Angeles CA 90064 US Listing 3 Transfert de zone wwitb nslookup gt ls d opihad net ns3 opidah com ORIGIN opidah com
9. s curit Pour y r pondre nous verrons en parall le les diff rents types d attaques avec les correctifs appliquer pour viter les principales attaques La visibilit La visibilit contrairement une id e r pandue est une arme pour l attaquant qui conna tra ainsi Seulement l utilisa ions est parfois rendue obso consiste exploiter c le Safe_Mod ou Open_Base_ conseill Dir ion te une les services utilis s avec leurs v vuln rabilit s r f renc es ou des codes sources Le probl m par d faut est qu ils sont toujo ersions et leurs apr s analyse e des serveurs urs visibles en faille fonctionnelle pr sente dans un langage puissant tel que PHP Perl Python M me si une s rie de patches est appliqu e pour boucher les trous de s curit il faut garder l esprit que les correctifs au niveau de la s curit ne peuvent que complexifier une attaque C est pour cela que vous tendrez utiliser un serveur d di afin de marquer une s paration avec les autres utilisateurs laissant tourner des services o en r pondant aux pings tre invisible sur le web bien videment est chose possible si le serveur fonctionne en passif ne r pondant aucune sonde ni enqu te est judicieux de bien choisir les vecteurs visibles ou non par le syst me En effet les services en externe ne devant pas n cessairement tre expos s peuvent simplement rester en int
10. 00 ports Discovered open port 111 tcp on opidah com Discovered open port 113 tcp on opidah com Discovered open port 21 tcp on opidah com Discovered open port 22 tcp on opidah com Discovered open port 143 tcp on opidah com Discovered open port 80 tcp on opidah com Completed SYN Stealth Scan at 12 34 0 03s elapsed 1000 total ports Initiating Service scan at 12 34 Scanning 7 services on opidah com Completed Service scan at 12 34 6 05s elapsed 7 services on 1 host Initiating OS detection try 1 against opidah com SE Script scanning opidah com SE Starting runlevel 1 scan Initiating NSE at 12 34 Completed NSE at 12 35 6 11s elapsed SE Script Scanning completed Host opidah com is up 0 00s latency Interesting ports on opidah com ot shown 993 closed ports PORT STATE SERVICE VERSION 21 tcp open ftp ProFTPD 1 3 0 22 tcp open ssh OpenSSH 4 3p2 Debian 9etch3 protocol 2 0 ssh hostkey 1024 4c e2 5f 86 e4 d0 c9 0d 45 6a 95 01 96 6c ff cc DSA _ 2048 cc 1f 19 f1 2c 741 55 0f 45 7e 0a 02 cc ed b6 c1 RSA 80 tcp open http Apache httpd 2 2 3 Debian DAV 2 SVN 1 4 2 PHP 5 2 8 0 dotdeb 1 with Suhosin Patch _ html title Opidah Super Service 11 tcp open rpcbind rpcinfo 100000 2 111 udp rpchind 100024 1 32769 udp status 100000 2 111 tcp rpchind 100024 1 36381 tcp status 13 tcp open ident 43 tcp open imap _ imap capabilities THREAD ORDEREDSUBUECT QUOTA THREAD REFERENCES UIDPLUS ACL2 UNION SORT ACL IMAP
11. 39 RARAISATPINEMOIEVEE 20091222002739 18366 opidah com nsi opidah com 38400 INA 113 22 38 44 CcoaBt4tB4T88p1Sh3VuLiuk 3ZDKdSB1Ca 30400 RRSTG A 9 2 30400 AQLUQTAIOUATIS vKhnazXpM4lBzCeqhzY 20091222002739 18366 opidah com 38400 NSEC dev opidah com A NS SOA MX RRSIG CRUFNOXE NVM Coz INST VIERA RNAV SRE DEY AV3A090nyNAQ0U x1I 38400 RRSIG NSEC 3 2 38400 20100121002739 ed Nb Eoi A PRSI NEG 20091222002739 18366 opidah com 38400 RRSIG NSEC 3 3 38400 20100121002739 CfiwxrDyo07TQ7xLapZFjj7YEY1smU4z1YDY 20091222002 737 10306 apidah com GB052jlEa 0AmSgLvJc ChiaNeMbcHZcL6llahVvMCrLscP3RcddFaAx 38400 DNSKEY 256 33 FANS AVES SE CkvclreoYB b0AB5aZIbOOLULFBUn gDVEXJ sntpeopidehreone SR TER Est YXHZnsJ005Z92IMYFEP83UtpF IuQAZ8F jf 38400 RRSIG A 3 3 38400 20100121002739 mh1PxOGFLZ9b0 Ba09FAPvwbRGvZ55Eg5JEG E ee D 23E04k SNPOQb6THSIOB3rx2xKor0iliLKdAY CJXouL8pfBwp8jDXWWDa0SWmPHmDNkeSpXxt 7D1XyRyhn1l7EHbwA109z ZPtzSRLKB5LRSOm NzOVVGEUEPZNEKOPESFC A4nTKk5C1 IrdSuovsUciMt wKerR7fDekONY SORUN ONEEC UOR LAAN Oe ARROL NEE sIIOqjkfkujJ kYx7ZA2HFh YmrM0c1Uul8K 38400 RRSIG NSEC 3 3 38400 20100121002739 49DY94HbPIftr xWVNCXxpxOHIwWWNE4toYT 707272 F TEPE Ap Taan can PAZRRi 0A8NhDCku1kGOOZR5STn im Uwymi i CIKCaC1TQxnQOSFTBF MhPn6aDBGamrb22T sIn7IsYfGL1fkyiOABOMFDpZZALbpcCrxf8PW KCBEMESUAJGETVETARES Emb60B1060qvi8kIR5fXiIBezOJc7BpLkftD www opidah com 38400 IN CNAME opidah com opidah com VSCaThFFnsBwRPiVywHlaPs4ZkXWIEZkKBVxO 38400 RRS
12. 4revl IDLE NAMESPACE CHILDREN MAC Address 00 11 D8 22 11 00 Asustek Computer Device type general purpose Courier Imapd released 2005 Running Linux 2 6 X OS details Linux 2 6 13 2 6 27 Uptime guess 82 077 days since Thu Oct 01 11 44 43 2009 Network Distance 1 hop TCP Sequence Prediction Difficulty 205 Good luck IP ID Sequence Generation All zeros Service Info OSs Unix Linux Listing 8 Affichage des erreurs avec PHP lt php error reporting E ALL ini set display errors 1 gt 26 HAKIN9 2 2010 Options Indexes Includes viter les attaques de type Denial of Services sur Apache Limiter le temps mort et les requ tes permet d viter les attaques de Type DoS Denial of Service L id e d une telle protection est de laisser le moins d espace aux attaquants comme suit Timeout 30 LimitRequestBody 524288 LimitRequestFields 20 LimitRequestFrieldSize 8190 LimitRequestLine 8190 Bien plus que le SYN Flooding le Ping of Death Teardrop Ping Flooding Amplification Attack etc il existe des scripts tout comme Slowloris http ha ckers org slowloris mettant en vidence les attaques DoS rendant certains services inaccessibles Cependant il existe une solution des attaques de ce type comme HTTPReady Ex cution d une attaque Slowloris perl slowloris pl dns example com PHP Affichage des erreurs Les utilisateurs nont pas souvent conscience qu afficher l
13. IG CNAME 3 3 38400 20100121002739 UgzZFNZ93EnSAyCmImOgPoy I 5zc6t 8DhCMc RS EU mUiYIxMGnLC1TP 003V VMTSMiNMU cd R3R CBYB8UZtCN VHzSIXORFAHhG VALPAX mj q 8rOYTmNRUOKJPUxvNkvOEZ005goa YhVFFhV pHoZ8Rj5ZkbDXuqnh00 key id 18366 38400 NSEC opidah com CNAME RRSIG NSEC 38400 RRSIG DNSKEY 3 2 38400 20100121002739 SGAO BRSEG NOEC 93 IPSUN AOUE TOVA 20091222002739 18366 opidah com POOS A OO L TOEG QpisaRueons CFRMf5NRxWnmuwMXAFNCOH7M8qCRNW3yWZAZ CONOAGAQUEE AESRSCANIONAYS ASIA EDEQER cOfjWoudoHDcAcKL8G4 ObXmfXtgWjmSdiHfnMo dev opidah com 38400 IN CNAME opidah com opidah com 38400 RRSIG CNAME 3 3 38400 20100121002739 24 HAKIN9 2 2010 SERVEURS D DI S PROT GEZ VOUS DES ATTAQUES SUR LE WEB wwitb iptables t filter P INPUT DROP wwitb iptables t filter P FORWARD DROP wwitb iptables t filter P OUTPUT DROP Maintenant nous allons ouvrir les connexions entrantes et sortantes des services SSH HTTP et FTP avec bien videment un suivi de connexion pour se prot ger des scan l aide d un port source pr cis option g nmap wwitb iptables t filter A INPUT p tcp dport 22 m state state ESTABLISHED j ACCEPT wwitb iptables t filter A OUTPUT p tcp dport 22 m state state NEW ESTABLISHED j ACCEPT wwitb iptables t filter A INPUT p tcp dport 80 m state state ESTABLISHED j ACCEPT wwitb iptables t filter A OUTPUT p tcp dport 80
14. erne Transfert de zone The Old Fashion brute force Vous remarquez qu apr s avoir restreint le transfert de zone aucun r sultat n est retourn mais il faut avoir l esprit que ce n est qu une question de temps car d autres techniques subsistes En effet comme la recherche de mot de passe il est possible d effectuer une attaque par brute force Nous pourrions imaginer un algorithme qui prend un nom de domaine et teste une s rie d alias enregistr s dans un dictionnaire Et apr s avoir v rifi le statut de ces alias nous pouvons en rechercher d autres suivant une grammaire pr cise de a zO 9 par combinaison Un tel algorithme existe sous le nom de Fierce et est disponible cette adresse Atto ha ck fierce SERVEURS D DI S PROT GEZ VOUS DES ATTAQUES SUR LE WEB Conna tre sa cible Avant la prise d information le serveur cible est consid r comme une sorte de blackbox car nous ne connaissons rien de notre victime part son adresse opihad com fictive pour l exemple La consultation de bases de donn es WHOIS commence tre connue de tous m me chez les avocats secr taires et autres personnes n ayant pas forc ment es connaissances techniques en s curit informatique Lorsque nous achetons un nom de domaine les informations sur acheteur ainsi que le ou les responsables echniques nom pr nom adresse code postal num ro de t l phone les serveurs DNS principaux dnsl opihadcom dn 2
15. es erreurs est tr s dangereux surtout quand elles renseignent parfaitement sur la nature d une erreur de compilation du fichier contenant l erreur et de son chemin En effet en identifiant l erreur l attaquant pourra alors savoir quel type d attaque utiliser Failles Include ou SOL Injection Pour ce faire vitez d afficher les erreurs en modifiant le fichier php ini comme ceci display errors Off Vous laisserez donc les d veloppeurs soccuper dune partie d veloppement pour chaque script avec l affichage des erreurs comme dans le Listing 8 viter les attaques Bruteforce avec Fail2ban Fail2ban est un script qui surveille les acc s r seau l aide des logs du serveur Un utilisateur tentant de se connecter selon un nombre de fois qui peut tre limit est banni durant une certaine p riode SERVEURS D DI S PROT GEZ VOUS DES ATTAQUES SUR LE WEB Nous configurons dans le fichier jailconf les services monitorer http wwwfail2ban org wiki index php Main_Page Sur Internet http v ModSecurity i wh main Whois domain Online Tools Manuel d utilisation Bin9 Manuel DNS lookup ations com tuto li ecurite firewall iptables html Securiser son khunter i c Source du TCP IPv4 Linux fcon 16 pilosov kapela Stealing The Internet Documentation extra sur le MITM Veille technologique sur ses services La veille technologique est une t che tr s importante car elle permet de d
16. l 38400 RRSIG NSEC 3 3 38400 20100121002739 10800 gt series oies 20091222002739 18366 opidah com 3800 de i hout CHHwZ6uk s8dCIQgVLfbUelUCFPVSoPWBYFF 604800 expire 1 week OuOWQIo4L81W3LFOzVA 38400 minimum LO hours 40 minutes ftp opidah com 38400 IN CNAME opidah com opidah com 38400 RRSIG CNAME 3 3 38400 20100121002739 38400 RRSIG SOA 3 2 38400 20100121002739 Nu 20091222002739 18366 opidah com CowyPPjuXzONUL OkKFHNgexsMK5F2AeEVLC CBCh4i2hJAMEBZOwnrTbBH8qhfmILOhgXxcsS B4ISphZIINDWINYBXWW Npzhe2NWVViP EnW38Y 38400 NSEC mail opidah com CNAME RRSIG NSEC 38400 NS nsl opidah com 38400 RRSIG NSEC 3 3 38400 20100121002739 38400 NS ns2 opidah com 20091222002739 18366 opidah com 38400 NS ns3 opidah com CF3 skOwfVhvu OTNwXxS1MzDullcLvG fh 38400 RRSIG NS 3 2 38400 20100121002739 pZsjNAbktPp4RKixItO 20091222002739 18366 opidah com mail opidah com 38400 IN A 22 33 44 55 CILFAKABqfTKR3TfcL1Phm1tojcXXB4JGs4K SAANU HRSIG A ATDAN AOUN AUE 2ON1az6gBN20108D0ac 20091222002739 18366 opidah com Se Tee a CCIZh1AChDwB2uc HFU D2Fnt E1D02Y igJ 38400 RRSIG A3 2 38400 20100121002739 T7NHjfqAtpJVJg4NUc4 20091222002739 18366 opidah com 38400 NSEC nsl opidah com A RRSIG NSEC CECINS3KXkgxVCXxw VrmRCMyJxwdX6itb8E 38400 RRSIG NSEC 3 3 38400 20100121002739 OD CRS SOLICOFHZSRE 20091222002739 18366 opidah com 38400 MX 10 mail opidah com ChnFhbXeK8 5m22yU9nboH3uD5TnnA5z11Wl 38400 RRSIG MX 3 2 38400 201001210027
17. les utilis s sur le serveur cible Cette tape est suivie en g n ral d une recherche de ailles potentielles en utilisant des exploits f renc s ou en cherchant soit m me les ailles L outil Nmap comme nous le voyons sur le Listing 7 nous permet d num rer out en capturant les banni res Apr s ce scan nous pouvons inventorier ces informations en dressant un tableau de services Tableau 3 Il ne faut pas oublier aussi de noter le syst me utilis qui n est autre qUe Debian avec une version de noyau comprise entre Linux 2 6 13 et 2 6 27 Nous observons en revanche qu il manque des informations concernant l acc s FTP Donc nous allons remplacer ce lt en faisant une capture de banni re sous telnet en s identifiant comme utilisateur Anonymous est une tape 220 ProFTPD 1 3 0 Server Debian ffff 11 22 33 44 USER Anonymous 500 USER not understood USER root 331 Password required for root root 500 ROOT not understood Puisque l acc s est prot g l attaquant ne pourra pas compter sur l utilisateur Anonymous pour avoir ne serait ce qu un peti Se pro pro acc s au serveur avec ftp Le service pr sent sur le port 8080 mble tr s int ressant cest un acc s g au routeur Cependant la ection en question est tr s faible car si nous lancions une attaque par Bruteforce il du pui ne tiendra qu la faible robustesse mot de
18. m state state NEW ESTABLISHED j ACCEPT wwitb iptables t filter A INPUT p tcp dport 21 m state Tableau 1 Services opidah com pee Services Versions et modules Autres informations state ESTABLISHED j ACCEPT wwitb iptables t filter A OUTPUT p tcp dport 21 m state state NEW ESTABLISHED j ACCEPT Notre politique de filtrage est tr s restrictive le firewall bloque le protocole ICMP Pour lautoriser il nous faut ajouter ces deux lignes wwitb iptables A OUTPUT p icmp j ACCEPT wwitb iptables A INPUT p icmp j ACCEPT Pour s assurer que tout ce qui n est pas dans les crit res est effectivement bloqu wwitb iptables A INPUT j DROP wwitb iptables A OUTPUT j DROP Le Signature Apache Apache tendance afficher beaucoup trop de choses pendant les messages d erreurs dont le type de syst me d exploitation les modules install s et plein d autres informations concernant les versions utilis es Mais heureusement il est possible de les enlever gr ce la directive ServerSignature dans le fichier apachez2 conf ServerSignature On Le listing des r pertoires et fichiers Le listage des fichiers et de r pertoires est une fonctionnalit que l attaquant utilise contre nous en voyageant dans les dossiers que nous aimerions tenir l gard des regards indiscrets Pour le d sactiver il nous faudra configurer la directive options comme suit apache2 conf Options Inde
19. passe pour que l attaquant sse y avoir acc s rapidement savoir que si l attaquant en question SO un acc s au routeur il pourra injecter n propre firmware pour espionner les communications qui transitent travers le routeur voir Figure 2 La phase d num ration et de fingerprinting contribue largement l identification des vecteurs d attaque Pour plus de s curit ll est pr f rable de poser des conditions suppl mentaires concernant l acc s au protocole SSH En effet plus nous isolerons les services ne regardant pas les autres usagers moins nous aurons faire dans le cadre de la maintenance de notre serveur Seules sont accept es ici les connexions sp cifique potentiels En effet nous sommes partis dune simple adresse pour avoir son adresse IP les serveurs DNS associant chaque entr e une adresse IP et l num ration avec fingerprinting nous permet de conna tre les services utilis s en nous aidant affiner le domaine de recherche des vuln rabilit s Pr venir contre l num ration et le fingerprinting L num ration est une tape assez dangereuse car l attaquant saura o et comment attaquer gr ce aux traces laiss es par ces services Bloquer les ports qui ne nous sont pas utiles en ext rieur est la premi re chose faire avant de mettre au protocole SSH provenant d une adresse wwitb iptables A INPUT p tcp s lt IP de Management gt dport 22 m state
20. r pour lister tous les records permis sera dig comme ceci wwitb dig lt Serveur DNS gt lt nom de_ domaine gt axfr Restreindre le transfert de zone Apr s avoir obtenu la liste des entr es l attaquant n aura qu tester les diff rentes adresses et num rer les services Comme indiqu pr c demment si un ancien serveur o un serveur virtuel incorrectement maintenu s y trouve l attaquant l utilisera contre la victime Toutefois limiter le Transfert de Zone sous Windows s effectue par l utilitaire MMC PUIS SOUS Service et Application gt DNS gt lt SERVER gt gt Forward Lookup Zone gt lt Nom de Zone puis Propri t et en cochant l option Only to the f servers n pr cisant la liste des serveurs de sauvegarde o tout simplement d cochez l option Allow Zone transfert Si VOUS jugez ne pas en avoir besoin Sous Unix et Linux avec Bind nous pouvons d finir des listes d acc s et restreindre les transferts de zones gr ce la directive allow transfer comme sur le Listing 4 avec la liste d acc s tpeux en modifiant le fichier etc bind named conflocal ollowing Retreindre les requ tes DNS Un serveur DNS permet un client de se connecter et effectuer des requ tes concernant les domaines h berg s Cependant quelques open resolvers souvent tre utilis s pour des attaques DdoS acceptent les requ tes r cursives pour nimporte quel domaine Les requ tes
21. ver des services quivalents vous vitant les ignes de commandes e e Protection des informations Pour prot ger vos informations il y a deux solutions soit entrer de fausses informations es rendre priv es soit entrer de fausses informations et rendre un domaine priv La premi re solution est bonne mais vous d cr dibilise aupr s des clients et il est difficile d avoir confiance en une entreprise envoyant de fausses informations La seconde se fait entre a q utres en achetant un nom de domaine ui comprend l option de type WhoisGuard htto wwwwhoisguardcom rendant vos informations priv es comme indiqu au Listing 2 Les services de noms Chaque adresse IP est associ e un serveur DNS qui se charge de renvoyer l adresse IP Gr ce au transfert de zone l attaquant liste es entr es DNS dun domaine pour sen servir comme vecteur d attaque potentiel faut noter que tr s souvent d anciens serveurs physiques o virtuels abandonn s sont list s et aident ainsi l attaquant selon les ailes pr sentes sur ces serveurs Sous Unix et Windows pas sur Linux un transfert de zone peut se r aliser gr ce la commande nslookup comme epr sent au Listing 3 En revanche sous Linux il faudra se contenter d une autre commande puisque les options nslookup ne sont pas interfac es comme pour Windows et Unix La commande utilise
22. xes Les liens symboliques Il est n cessaire aussi que l attaquant ne puisse pas suivre les liens symboliques de fichiers sensibles comme etc shadow contenant les mots de passes de la machine et etc passwd Options FollowSymLinks Le Server Side includes injection Afin d viter les vuln rabilit s de type Server Side injection comme par exemple lt exec cmd ls gt NOUS ajouterons Un tag suppl mentaire notre directive options open_ssl httpd Linksys WRT54G wireless G router http config Service https demandant une authentification ldap htaccess 8080 open_ssl httod Linksys WRT54G wireless G router http config Service https demandant une authentification ldap htaccess 2 ftp ProFTPD 1 8 0 imap Courier Imapd released 2005 imap capabilities THREAD ORDEREDSUBJECT QUOTA THREAD REFERENCES UIDPLUS ACL2 UNION SORT ACL IMAP4rev1 IDLE NAMESPACE CHILDREN 2 2010 HAKIN9 Listing 7 Scan et fingerprinting de opidah com wwitb nmap vA opidah com Starting Nmap 5 00 http nmap org at 2009 12 22 12 34 Paris Madrid NSE Loaded 30 scripts for scanning Initiating ARP Ping Scan at 12 34 Scanning opidah com 1 port Completed ARP Ping Scan at 12 34 0 33s elapsed 1 total hosts Initiating Parallel DNS resolution of 1 host at 12 34 Completed Parallel DNS resolution of 1 host at 12 34 0 03s elapsed Initiating SYN Stealth Scan at 12 34 Scanning opidah com 10

article

Contents

Download Pdf Manuals

Related Search

Related Contents