@ imrk51 / CEH-v11-Guide d’étude (Public <> Code © Questions 1 11 Demandesc'extraction 5 © Actions (F} Projets © Sécurité lv | & CEH-vi1-Guide d’étude / Modules Q Alller au fichier aaa / 12-Evading-IDS-Firewalls-and- [Link] eo @ Xenorinspire 2years ago o 295 Lines (205 Ioc) - 16.8 KB | Apercu Code Blame Echapper aux IDS, aux pare-feu et aux pots de miel IDS/IPS - Concepts de base Systéme de prévention des intrusions (IPS) - Surveillance ACTIVE de I'activité a la recherche d'anomalies et alerter / notifier ET prendre des mesures lorsqu’elles sont détectées, Systéme de détection d’intrusion (IDS) - Surveillance PASSIVE de l'activité a la recherche d'anomalies et alerter / notifier lorsqu’elles sont trouvées. Types de déploiement - HIDS & NIDS & WIDS : 1, Basé sur hate - Surveille activité sur un seul périphérique / hate en étant installé Icoally 2. Basé sur le réseau - Surveille 'activité sur un réseau & l'aide de capteurs distants qui remontent vers un systéme central, Souvent associé & un systéme d'information et SIEM de sécurité pour l’analyse. Souvent, les recherches ARP inversées ou DNS inverses sont utilisées pour découvrir la source Détection basée sur les connaissances et les comportements : 1, Basé sur les connaissances (basé sur les signatures | Pattern Matching) - Forme de détection la plus courante. Utilise une base de données de profils ou de signatures pour évaluer tout le trafic2, Basé sur le comportement (Statistiques | Anomalie | Heuristique) - Commence par créer une base de comportement pour le systéme/réseau surveillé, puis compare tout le trafic a celui 8 la recherche de déviations. Peut étre étiqueté un systéme Al ou Expert Types d’alertes IDS * Véritable positif -> Attaque - Alerte RAMA + Faux positif --> Aucune attaque - Alerte 3¢ Faux négatif --> Attaque - Pas d’alerte AX © Cest le pire scénario Vrai négatif --> Pas d'attaque - Pas dalerte 9% Pare-feu - Concepts de base Les pare-feu sont souvent considérés comme des périphériques NAC. Lutilisation densembles de régles pour filtrer le trafic peut implémenter une stratégie de sécurité. Types de pare-feu : ‘ Stateful (Dynamic Packet Filtering) - Couche 3 + 4 (couche Réseau + Transport) + Sans état (filtrage statique des paquets) - Couche 3 (réseau) * Inspection approfondie des paquets - Couche 7 (couche d’application) * Pare-feu proxy - Assure la médiation des communications entre les points de terminaison non approuvés et approuvés (serveur/hétes/clients). Un pare-feu proxy est un systéme de sécurité réseau qui protége les ressources réseau en filtrant les messages au niveau de la couche d'application 7. Un pare-feu proxy peut également étre appelé pare-feu d'application ou pare-feu de passerelle. Types de proxy : Proxy au niveau du circuit - Pare-feu qui fonctionne sur la couche 5 (couche de session); Ils surveillent la négociation TCP entre les paquets pour déterminer si une session demandée est légitime. ‘Proxy au niveau de lapplication : service ou serveur qui agit en tant que proxy pour les demandes de ordinateur client au niveau des protocoles de l'application A\ Un proxy au niveau de l'application est un proxy qui connait l'application particuliére pour laquelle il fournit des services proxy ; ll comprend et interpréte les commandes du protocole d'application. Un proxy au niveau du circuit est un proxy qui crée un circuit entre le client et le serveur sans interpréter le protocole d’application. * Pare-feu multirésident (double hébergement) - Pare-feu doté de deux interfaces ou plus; Une interface est connectée au réseau non approuvé et une autre interface est connectée au réseau approuvé. Une DMZ peut étre ajoutée a un pare-fou multi-résidents simplement en ajoutant une troisiéme interface.* Hates Bastion - Point de terminaison exposé a Internet mais renforcé pour résister aux attaques; Hétes sur le sous-réseau fitré concu pour protéger les ressources internes. ‘© Hate filtré : point de terminaison protégé par un pare-feu, © Filtrage de paquets - Pare-feu qui ne regardaient que les en-tétes A\ Nitilise que des régles qui refusent implicitement le trafic, sauf si cela est autorisé. A\ Utilise souvent la traduction d'adresses réseau (NAT) qui peut appliquer une relation un- 2-un ou un-a-plusieurs entre les adresses IP externes et internes. A zone provenant de cette zone ivée - héberge des hétes interes qui répondent uniquement aux demandes Pots de @ miel Les honeypots sont des systémes leurres ou des serveurs déployés aux cétés des systémes de production de votre réseau. Lorsquils sont déployés comme cibles attrayantes pour les attaquants, les pots de miel peuvent ajouter des opportunités de surveillance de la sécurité pour les équipes bleues et détourner l'adversaire de sa véritable cible. * Honeynet - Deux pots de mie! ou plus sur un réseau forment un filet de miel. Les filets & miel et les pots de miel sont généralement mis en ceuvre dans le cadre de systémes de détection intrusion réseau plus vastes. © Une ferme a mie! est une collection centralisée de pots de miel et d'outils d’analyse. Types de pots de miel: 1. Faible interaction ---> Simule ou imite des services et des systémes qui attirent souvent attention des criminels. lls offrent une méthode pour collecter des données a partir dlattaques aveugles telles que les botnets et les logiciels malveillants de vers. 2, Haute interaction ---> Simule tous les services et applications et est congu pour étre complétement compromis 3, Production ---> Servir de systémes leurres a lintérieur de réseaux et de serveurs entigrement opérationnels, souvent dans le cadre d'un systéme de détection d’intrusion (IDS). Ils détournent attention criminelle du systéme réel tout en analysant les activités malveillantes pour aider a atténuer les vulnérabilités 4, Recherche des données tracables que vous pouvez tracer en cas de vol pour analyser lattaque Utilisé a des fins éducatives et d'amélioration de la sécurité. Ils contiennent ‘* Outils Honeypot : © Spectre © Mielleux ‘© KFSensor (IDS pot de miel)Evasion avec Nmap Commutateurs utiles pour l’évasion et la furtivité: Commutateur Nmap -ss. --send-eth --data-length =-source-port Exemple: Information Niveau détaillé Analyse TCP SYN Modéle de temps pour effectuer l'analyse Utiliser des paquets IP fragmentés Utiliser des paquets fragmentés et définir MTU Adresse IP Leurre: : Camoufler un scan avec des leurres Usurper l'adresse IP source Garantit que nous utilisons des paquets de niveau Ethernet, contourner la couche IP et envoyer des trames Ethernet brutes dans le flux Spécifier la longueur des données/trame Spécifiez un port aléatoire que vous souhaitez communiquer + Envoie IPv4 fragmenté de 50 octets de paquets; Les paquets sont trop petits pour envoyer des données et étre détectés en tant que technique de sonde / analyse nmap -v ~sS -f -mtu 32 --send-eth --data-Length 58 --source-port 8965 -T5 [Link] A\ |2 fragmentation est au coeur des techniques IDS/Firewall Evasion. Utilisation de SNORT SNORT est un systéme de détection d'intrusion réseau open source (NIDS). Snort est un renifleur de paquets qui surveille le trafic réseau en temps réel, scrutant de prés chaque paquet pour détecter une charge utile dangereuse ou des anomalies suspectes. ‘© Snort est un IDS largement déployé qui est open source + Comprend un renifleur, un enregistreur de trafic et un analyseur de protocole * Fonctionne dans trois modes différents © Sniffer - Surveille les paquets en temps réel © Enregistreur de paquets - Enregistre les paquets sur le disque pour examen ultérieur© NIDS - Analyse le trafic réseau par rapport a divers ensembles de régles ‘© La configuration est en cours sous Linux et Windows; Le fichier est [Link]. /etc/snort ¢:\snort\ete Commandes SNORT basics : Modes de fonctionnement : © Snort dans le réle de Sniffer -> snort -v * Snort en tant qu'enregistreur de paquets > snort -1 © Snort comme NIDS ---> ou snort =A snort -¢ Exemple d'utilisation © snort -i 4 -1 c:\snort\1og -c c:\Snort\etc\[Link] -T © Cette commande testera la configuration et les régles de snort et vérifiera s'il y a des erreurs sans démarrer. © +14 ~--> spécificateur d’interface, dans le cas ott est interface 4. 1 ~-> pour la journalisation ---> utiliser le fichier de régles Snort spécifiant le chemin d'accés © -T -++> Seulement Pour les tests, cela empéche Snort de démarrer; Essentiellement pour vérifier s'il y a des erreurs et si les ragles sont bonnes. © snort -i 4 -c ¢:\snort\ete\[Link] -1 ¢:\Snort\log -K ascii © Cette commande lancera Snort NIDS et enregistrera tout en ASCII Commandes de base Drapeau Information Définir le mode d’alerte : rapide, complet, console, test ou aucun Enregistrez les paquets au format tepdump (beaucoup plus rapide!) Masquer les adresses IP dans les alertes et les vidages de paquets 8 -B cnask: > aide du masque d’adresse CIDR -¢ Utiliser le fichier de régles Imprimer des charges utiles avec des données de caractéres uniquement (pas de hexadécimal) Spécifie le répertoire de journalisation (toutes les alertes et tous les journaux de paquets sont placés dans ce répertoire) -i interface . Spécifie l'interface sur laquelle Snort doit écouter -« Mode de journalisation (pcapidefault], ascii, none)Drapeau Information Répertorie tous les commutateurs et options, puis se ferme Régles SNORT SNORT dispose d'un moteur de régles qui permet de personnaliser les capacités de surveillance et de détection. ‘* Trois actions de ragle sont disponibles i. Alerte ii. Passer il, Rapport * Et trois protocoles IP disponibles : i TCP ii, UDP. il, CMP Décomposer une régle Snort : alert icmp any any -> @HOME NET any (msg:"ICHP test"; sid:1000001; re classtype:icmp-event;) Partie de ragle Information alert icmp any any En-téte de [fj régle SHOME_NET any Bes Action de régle, Snort génére une alerta lorsque la condition alert ‘i définie est remplie any (le) IP source. Snort examinera toutes les sources any (2@me) Port source. Snort examinera tous les ports Direction, De la source & la destination; (source -> destination) IP de destination. Nous utilisons la valeur HOME_NET du HOME_N: fichier [Link], c'est-a-dire une variable qui définit le ou les réseaux que vous essayez de protéger. 5 Port de destination. Snort examinera tous les ports du réseau any (38me) protégé (nsg:"TCHP test"; sid:100@0@1; rev:1; Options de [J régle classtype:icmp-event;) S"TCMP test” Short inclura ce message avec l'alertePartie de régle Information Nroubliez pas que tous les nombres < 1000 000 sont réservés, c'est pourquoi nous commencons par 1000001 (vous pouvez utiliser n’importe quel nombre, tant qu'il est plus rapé que 1.000 000) sid:1000001 Numéro de révision. Cette option facilite la maintenance des revit . ragles Catégorise la régle comme un « icmp-event », une des classtype: icmp-event catégories Snort prédéfinies. Cette option facilite Vorganisation des régles Exemples de ragles : alert tep 192.168.x.x any -> 8HOME_NET 21 (msg:"FTP connection attenpt"; sid:1¢00002; 3) * Alerte TCP dans une adresse IP source [Link] avec nimporte quel port; HOME_NET destination sur le port 21 alert tcp $HOME_NET 21 -> any any (msg:"FTP failed login"; content:"Login or password incorrent™; sid:1000003; rev:13) ‘* Alerte TCP dans HOME_NET port 21 (FTP) comme source, vers n/importe quelle adresse IP et port de destination, alert tep !HOME_NET any -> $HOME_NET 31337 (msg : "BACKDOOR ATTEMPT-BackOrifice") * Cela alerte sur le trafic provenant non d'un réseau externe vers le réseau interne sur le port 31337, Exemple de sortie © 10/19-[Link],543734 [Link] -> [Link] type:0x800 len:OxSEA © 900 -> 900K TCP TTL64 TOS:0x0 1D:18112 IpLen:20 DgmLen:1500 DF * Les informations importantes sont en gras Concepts et techniques d’évasion ‘ Attaque par insertion - ’attaquant force I'IDS 4 traiter les paquets non valides. * Evasion - Un point de terminaison accepte un paquet que I'IDS rejetterait normalement. Généralement exécuté via la fragmentation des paquets d’attaque pour leur permetire d’étre déplacés & travers FDS. * Obfuscation - Codage des paquets d’attaque de maniére a ce que la cible soit capable de les décoder, mais pas IIDS.© Unicode ° Code polymorphe Chiffrement ° ° Manipulation de chemin d'accés pour provoquer une incompatibilité de signature Evénements de génération de faux positifs - Fabrication de paquets malveillants concus pour déclencher des alarmes dans l'espoir de distraire / submerger IDS et opérateurs. Epissage de session - Juste un autre type d’attaque par fragmentation. Encodage Unicode - fonctionne avec les requétes Web - l'utilisation de caractéres Unicode au lieu d’ascii peut parfois dépasser Attaque par fragmentation - Divise les paquets afin que IDS ne puisse pas détecter lintention réelle Fragments superposés - Générez un tas de minuscules fragments chevauchant les numéros. de séquence TCP. Attaque TTL (Time-To-Live) - Nécessite que l'attaquant ait une connaissance interne du réseau cible pour permettre l'ajout des valeurs TTL afin de contréler qui obtient quels paquets et quand, Paquets RST non valides - Manipulation de l'indicateur RST pour inciter IDS a ignorer la session de communication avec la cible. Indicateur d'urgence - URG - Manipulation de indicateur URG pour que la cible et IIDS aient des ensembles de paquets différents, car IIDS traite TOUS les paquets indépendamment de Vindicateur URG, alors que la cible ne traitera que le trafic URG. Polymorphic Shellcode - Faites exploser la correspondance de motif en changeant constamment. Code shell ASCII - Utilisez des caractéres ASCII pour contourner la correspondance de modeéle. Attaques au niveau de l'application - Tirer parti de la compression utilisée pour transférer des fichiers volumineux et masquer des attaques dans des données compressées, car elle ne peut pas étre examinée par l'IDS, Désynchronisation - Manipuler le TCP SYN pour tromper IDS en ne prétant pas attention aux numéros de séquence du trafic d’attaque illégitime, mais plutat en lui donnant un faux ensemble de séquences & suivre. Chiffrement - Utilisation du chiffrement pour masquer l'attaque. Inonder le réseau - Déclenchez des alertes qui ne sont pas votre attaque prévue afin de confondre les pare-feu / IDS et les administrateurs réseau; Submergeant I'IDS. A\ Ralentir - Une analyse plus rapide telle que l'utilisation du commutateur -T5 de nmap vous fera prendre. Les avantages utilisent le commutateur -T1 pour obtenir de meilleurs résultatsOutils d’évasion Nessus - également un scanner de vulnérabilité ADMmutate - Crée des scripts non reconnaissables par les fichiers de signature NIDSbench - Ancien outil de fragmentation des bits Inundator - Outil d’inondation Contournement du pare-feu ‘+ Firewalking - Utilisation des valeurs TTL pour déterminer les filtres ACL de passerelle et permettre le mappage des réseaux internes en analysant les réponses des paquets IP; Parcourir chaque port d'un pare-feu pour déterminer ce qui est ouvert. * Saisie de banniéres - Recherche de banniéres FTP, TELNET et de serveur Web. ‘+ Usurpation diadresse IP - Technique de détournement permettant a l'attaquant de se faire passer pour un hate de confiance. * Routage source - Permet a 'expéditeur d’un paquet de spécifier partiellement ou totalement la route a utiliser. + Fragments minuscules - Succés avec les pare-feu lorsquills vérifient uniquement les informations d’en-téte TCP, ce qui permet la fragmentation des informations sur plusieurs paquets pour masquer la véritable intention de Tattaque, ‘© Tunneling ICMP - Permet le tunneling d'un shell de porte dérobée via les paquets d’écho ICMP car la REC (792) ne définit pas clairement le type de données qui se trouve dans la partie données de la trame, ce qui permet au trafic dattaque d’étre considéré comme. acceptable lors de I'insertion. Si les pare-feu n’examinent pas la section de charge utile de la trame de données, ils laisseront passer les données, ce qui autorisera lattaque. + Tunneling ACK - Utilisation de l'indicateur ACK pour inciter le pare-feu 8 autoriser les paquets, car de nombreux pare-feu ne vérifient pas les paquets ACK. © Tunneling HTTP - Utilisation du trafic HTTP pour « masquer » les attaques. ‘* SSH Tunneling - Utilisation de SSH pour chiffrer et envoyer le trafic d’attaque. * Attaques MitM - Utilisation du DNS et manipulation du routage pour contourner les pare- feu. ‘* Attaques XSS - Permet l'exploitation des vulnérabilités liées au traitement des paramatres d'entrée de l'utilisateur final et des réponses du serveur dans une application Web. Lrattaquant injecte du code HTML/JS malveillant dans le site Web pour forcer le contournement du pare-feu une fois exécute. * Utiliser Vadresse IP d la place d'une URL - peut fonctionner en fonction de la nature du filtrage en place ‘* Utiliser des serveurs proxy/anonymiseurs - Peut fonctionner selon la nature du filtrage en place + ICMP Type 3 Code 13 indique que le trafic est bloqué par le pare-feu* ICMP Type 3 Code 3 vous indique que le client lui-méme a fermeé le port + Outils © CovertTCP © ICMP Shell © 007 Coquille + Lameilleure fagon de contourner un pare-feu sera toujours une machine interne compromise Comment détecter un pot de miel Sonder les services qui s'y exécutent; Les ports qui indiquent qu'un service est disponible, mais refusent une négociation 4 trois voies peuvent indiquer que le systéme est un pot de miel. * Couche 7 (application) - Examiner la latence des réponses du serveur * Couche 4 (transport) - Examinez la taille des fenétres TCP, en cherchant & obtenir en continu un accusé de réception des paquets entrants, méme lorsque la taille des fenétres est définie sur 0. + Couche 2 (liaison de données) - Si vous étes sur le méme réseau que le pot de miel, recherchez les adresses MAC dans les paquets qui indiquent la présence d'un « trou noir » (ere:F FF: FF: FF ) A\ Lexamen ne couvrira pas toutes les informations présentées, mais il est bon d’avoir une idée générale. * Si Honeypot est virtualisé, recherchez les plages d'adresses MAC attribuées au fournisseur telles que publiées par IEEE ‘+ Si Honeypot est du type Honeyd, utilisez des méthodes d'empreinte TCP basées sur le temps pour détecter * Détection du pot de miel Lis paramatres et des informations spécifiques & UML. proc/mounts proc/interrupts proc/endline ux en mode utilisateur (UML), analysez, et qui aurait des ‘© En détectant les pots de miel basés sur Sebek, Sebek enregistrera tout ce qui est accessible avant I'envoi au réseau, provoquant une congestion qui peut étre un indicateur. read() ‘* Détection snort inline pots de miel, analyse des paquets sortants en capturant les paquets snort inline modifiés via un autre