NETWORKS AND SYSTEMS SECURITY

Professeur

Jean Landry Assemien

NB: Le contenu de ce support de cours a été inspiré des

cours suivants:

 CISSP® - Certified Information Systems Security

Professional
 CEH (Certified Ethical Hacker)

Toute reproduction ou modification y est donc interdite

sauf accord express de l’auteur.
 Agenda
• Security Concepts
• Network attacks & Systems Attacks
• Network Security Technologies &
Architectures
• WLAN Security Architecture
• Infrastructure Protection
• Monitoring & Prevention
• Physical Security
• Law, Investigation and Ethics
• Evolution of Network Security
CHAPITRE I

Chapter I : General Security Concepts

• Origine des attaques

• Objectifs des attaques
• Motivations & Cibles des attaques
• La famille des hackers
• Classification des attaques (CISSP)
• Classification des techniques d’attaques
• The big tree: C.I.A
• Concept de confidentialité
• Concept d’Intégrité (Integrity)
• Concept de disponibilité (availability)

JP_Biz_Protection_2002 © 2002, Cisco Systems, Inc. All rights reserved.

 [Link] SYSTEME D’INFORMATION

1) Système d’information

Organisation des activités consistant à acquérir, stocker, transformer, diffuser,

exploiter, gérer, … les informations.

Un des moyens techniques pour faire fonctionner un système d’information est d’utiliser un
système informatique.
Les systèmes informatiques sont au cœur des systèmes d’information.
Ils sont devenus la cible de ceux qui convoitent l’information.

Assurer la sécurité de l’information implique d’assurer la

sécurité des systèmes informatiques.

2) Origine des attaques

Closed
Internet
Network
Telecommuter PST N

Mobile User
Frame Relay
Branch X .2 5
Office Leased Line

PST N

50% de l’Interne et 50% de l’Externe

2.1 Phénomènes Techniques

 Explosion de la technologie des transferts de données

 Grande complexité des architectures des systèmes informatiques

 Ouverture (pas toujours maîtrisée) des réseaux de communication

 Usage important de l’Internet.

  Usage de plus en plus important de terminaux variés: PDA, Iphone, Blackberry, etc.

 Croissance de l’Internet

 Croissance des attaques

 Failles des technologies

 Failles des configurations

 Failles des politiques de sécurité

 Changement de profil des pirates

2.2 Phénomènes Organisationnels

 Besoin de plus en plus d’informations et souvent en temps réel.

 Grande diversité dans la nature des informations: données techniques – financières –

médicales – militaires – politiques - stratégiques

 Ces données constituent les biens d’entreprises, D’instituts ou d’états et sont souvent
très convoitées.

3. Qui sont les pirates?

N’importe qui avec l’évolution et la vulgarisation des connaissances. Beaucoup d’outils sont
disponibles sur Internet.
Plusieurs catégories de pirates:

 Hacktivites

 Hackers

White hats – Grey hats – Black hats – Crackers – Carder – phreaker

4. Objectifs des attaques

Les attaques des cyber-criminels sont devenues une réalité non seulement technologique,
mais aussi économique.
Certains cyber-criminels sont payés pour nuire, et utilisent toutes les technologies comme
le spam, le phishing [obtention d'informations confidentielles en se faisant passer pour
quelqu'un digne de confiance], le pharming [pirater le DSN pour renvoyer un nom de
serveur vers l'IP d'un autre site], et bien d'autres.
  Désinformer

 Empêcher l’accès à une ressource

 Prendre le contrôle d’une ressource

 Récupérer une information sensible sur un serveur

 Utiliser le système compromis pour rebondir

 Réaliser une prouesse technique personnelle.

5. Motivations des attaques

 Vol d’information

 Cupidité

 Modification d’informations

 Vengeance / rancune

 Politique / religion

 Défis intellectuels

6. LA CIBLE DES ATTAQUES

 Les états
 Les serveurs militaires
 Les banques
 Les universités
 Toute infrastructure publique (hôpitaux, aéroports, eau, électricité, etc.)
 Tout le monde

7. Classification des attaques

Plusieurs critères peuvent être utilisés pour classer les attaques dont sont victimes les
entreprises.

1ère approche

 Attaques Internes :(Inside attack)

 Attaques externes : (Outside Attack)

 Attaques Internes (Inside Attack)

Une attaque réalisée à partir du périmètre de sécurité de l’entreprise.

Réalisée par un hôte interne qui a accédé à des ressources auxquelles il n’a pas droit.

Attaques Externes (Outside Attack)

Une attaque réalisée en dehors du périmètre de sécurité de l’entreprise.

L’origine pouvant être Internet ou les accès distants (remote Access connection) tel
que les accès Dial-up, RNIS, VSAT etc..

2ième APPROCHE

 Attaques passives

 Attaques actives

Attaques passives (passive Attack)

Une attaque passive a pour seul objectif l’accès à une information non autorisée
classée confidentiel pour l’intrus.
L’attaque passive vise donc la confidentialité des données.
Elle concerne autant le réseau que les hôtes du réseau.

Exemples de menaces passives

Ecoutes des lignes ou du réseau

Analyse de trafic (Sniffer)

Attaques actives (active Attack)

Les attaques actives ont pour objectif la destruction de la cible notamment le système
(machine hôte ou serveur) ou le réseau entier.

Ces attaques affectent principalement l’intégrité, la disponibilité et l’authenticité des

données.

Exemples de menaces actives

Intrusions - Dénie de Services (DoS) - Spam - Contamination (virus, vers, spyware) –
Panne -Perte d’informations - Bombes logiques.
8. CLASSIFICATION DES TECHNIQUES D’ATTAQUES

NB: Cette classification est très générale et ne peut être

considérée comme exhaustive. (Note CISSP)

 “Hack Attacks Encyclopedia” (John Chirillo, Wiley

2001)
 “Counter Hack” (Ed Skoudis, Prentuce Hall PTR, 2002)

 CLASS A
Unauthorized Access of Restricted Network Services by the
Circumvention of security Access Controls.

Ce type d’abus est appelé “logon abuse”. Ceci fait référence à un utilisateur légal accédant à
des services réseaux sur lesquels il ne dispose pas de privilège approprié.
Il s’agit d’utilisateur interne à l’entreprise qui utilise les privilèges d’un autre user.
Masquerading est l’expression utilisée pour désigner l’usurpation de titre.

 CLASS B
Unauthorized use of a network for Non-Business Purposes

Ce type d’abus fait référence à l’usage du réseau à des fins personnelles ou non
professionnelles.
Exemple: accès à des sites Internet non autorisés (voyage, pornographie, sports, etc.…).
Selon le code d’éthique de l’ISC et les recommandations d’IAB (Internet Advisory Board),
l’usage des services réseaux à des fins autre que ceux du service est considéré comme un
abus.

 CLASS C
Eavesdropping

Ce type d’attaque consiste à une interception non autorisée du trafic réseau.

Certaines techniques de transmissions réseau sont très vulnérables à l’interception de trafic; ce
sont les transmissions par satellite, PDA, radio, GSM, etc.

Taping est fait référence à l’interception physique de données à travers un media (câble) ou
autre support.

Passive Eavesdropping: monitorer ou écouter les transmissions

réseaux non autorisées entre un émetteur et un récepteur.

Active Eavesdropping: Intercepter les transmissions en créant un

signal parallèle ou furtif simulant un émetteur sur le canal..

Cette technique est la 1ère étape dans la stratégie d’intrusion des LAN des hackers.
  CLASS D
Denial of Service (DoS) and Other Service Disruptions (denie de service).

Ces types d’attaques créent une indisponibilité des services réseaux à travers la saturation des
ressources réseaux notamment les serveurs, routeurs et Switch.

 CLASS E
Network Intrusion (Intrusion réseau)

Ce type d’attaque réfère à l’accès non autorisé à un réseau donné. Comme le “login abuse”,
l’assaillant n’est pas considéré comme inconnu de l’entreprise.
Aussi nommé “penetration attack”, cette technique exploite les vulnérabilités connues d’un
OS placé à l’entrée du réseau.

Dans cette classe, il ya les attaques suivantes:

Spoofing:: permettre à un user ou un process d’exécuter une action incorrecte en lui

donnant de fausses informations..

Piggy-backing:: un hacker accède à un système à travers la connexion d’un user valide.

Le user ayant laissé sa session ouverte ou s’étant mal déconnecté du réseau, le hacker ré
utilise la session pour s’introduire dans le réseau.

Back-door attack:: intrusion via les accès dial-up ou RNIS.

 CLASS F
Probing (Investigation ou sonde) (L’Écoute indiscrète)

Une autre façon d’accéder à un réseau c’est d’obtenir l’accès aux paquets qui voyagent sur
ce dernier.
Les parties vulnérables du réseau sont :

 Le câblage : Utiliser de la fibre optique

 Les concentrateurs,…
Sécuriser en un endroit barré;
Types de concentrateurs sécurisés;
Réseau sans fils

 Les applications réseaux

Ex: Les serveurs de messageries
 8. The big TREE C.I.A
Les objectifs de la sécurité informatique est d’assurer les 3 ou 5 fondamentaux suivants :

CONFIDENTIALITY = Confidentialité
INTEGRITY = Intégrité
AVAILABILITY = Disponibilité

Deux autres concepts y ont été ajoutés par OSI model :

Authentification (AUTHENTICATION)

Non-repudiation

CONFIDENTIALITY

Le concept de confidentialité a pour but de prévenir des accès intentionnels ou non autorisés à
la manipulation d’une information.
La perte de confidentialité peut survenir dans la mauvaise application des droits d’accès
réseaux.

Confidentialité = Protection des données émises contre les attaques

passives.

INTEGRITE

Modifications réalisées par une personne ou un processus non autorisé.

Modifications non autorisées par une personne ou un processus autorisé.
Les données sont consistantes en interne (cohérence interne de l’application) et en externe
(reflète la réalité de l’ETS).

Intégrité : S’assurer que les messages sont reçus tels qu'ils sont
envoyés Sans duplication, insertion, modification, changement
d’ordre et retransmission.

DISPONIBILITE

La disponibilité garantie que le système ou l’information est

toujours disponible et accessible par les utilisateurs légitimes.

Certaines dispositions sont prises pour assurer la disponibilité des serveurs; ce sont en autres:
La tolérance aux pannes: Backups & redondances des disques systèmes
Logins acceptables et performances des processus opérationnels.
Interopérabilité des processus de sécurité et des mécanismes de sécurité réseaux.
NON REPUDIATION

Empêcher l’émetteur ou le destinataire de nier la transmission ou la réception d’un message.

CONTROLE D’ACCES

Limiter et Contrôler l’accès aux systèmes et applications via les canaux de communication.
Identifier et authentifier les accès.

D.A.D is the reverse of C.I.A

Confidentiality # Disclosure (divulgation)

Integrity # Alteration (Alteration)

Availability # Destruction (Destruction)

IDENTIFICATION

Quelle est l’identité de l’utilisateur qui se présente au système ?

Les usages les plus courantes pour le contrôle d’accès, l’identification est nécessaire
pour l’authentification et l’autorisation.

AUTHENTIFICATION

Reconnaître l’identité de l’utilisateur du système.

Il établit l’identité de l’user et confirme qu’il est celui qu’il prétend être.
Assurer l’authenticité des communications.
Permettre au destinataire de vérifier l’authenticité de l’expéditeur
Dans le cadre d’une transaction, permettre aux parties de vérifier l’authenticité de
leur interlocuteur.

ACCOUNTING

La capacité du système à déterminer les actions et le comportement d’un utilisateur vis

à vis du système.
Il s’agit de garder les traces des différentes actions accomplies par l’user depuis sa
première connexion jusqu’à sa déconnexion.
Les Logs sont des fichiers d’accounting..
AUTHORIZATION

Ce sont les droits et privilèges accordés à un user pour accéder à des ressources
réseaux ou système. Une fois l’identité et l’authentification validée, le niveau de privilège et
les droits déterminent les activités possibles susceptibles d’être exécutées par la personne.

PRIVACY

C’est le niveau de confidentialité et de protection accordé à un user sur un système

donné. Il garantit non seulement que le niveau de confidentialité des données de
l’entreprises est assuré mais également que l’opérateur dispose des privilèges
adéquats sur le document en question.

Une MENACE

Une menace est un événement potentiel, malveillant ou autre,

qui pourrait nuire à une ressource. En d'autres termes, toute
opération préjudiciable à vos ressources est une menace.

UNE VULNERABILITE

Une vulnérabilité est une faiblesse qui rend possible une

menace. Cette possibilité peut être due à une mauvaise conception, à
des erreurs de configuration ou à des techniques de codage
inappropriées et non fiables. Une validation de la saisie
insuffisante est un exemple de vulnérabilité de la couche
application susceptible d'aboutir à des attaques au niveau des
entrées.

UNE ATTAQUE

Une attaque est une action qui exploite une vulnérabilité ou

exécute une menace. Il s'agit par exemple d'envoyer des données
d'entrée malveillantes à une application ou de saturer un réseau en
vue d'entraîner un refus de service.
 Pen Test
Les différentes phases
d’une attaque

Jean [Link]
CISSP & CEH

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 1

Les Cinq (5) phases d’une attaque

PHASE 1 RECONNAISSANCE

PHASE 2 SCANNING

PHASE 3 GAINING ACCESS

PHASE 4 MAINTAINING ACCESS

PHASE 5 COVERING Tracks

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 5

Une attaque informatique est structurée de la façon suivante :

 PHASE DE RECONNAISSANCE
 PAHSE DE SCANNING
 PHASE DE PENETRATION (ATTAQUE REELLE)
 PHASE DE PRIVILEGE ESCALATION
 PHASE D’EFFACEMENT DES TRACES
 [Link] DE RECONNAISSANCE

OBJECTIFS

 Définition du concept Footprinting ou Info Gathering

 Méthodologie de collecte d’infos des Hackers
 Competitive Intelligence Gathering
 Outils de collecte d’infos

1. DNS Enumération
2. Whois & ARIN NSLookup
3. DNS Records
4. Traceroute used in Information Gathering
5. E-Mail tracking
6. Web Spiders

1) Définition

La reconnaissance fait référence à la phase de préparation pendant laquelle l’intrus

collecte le maximum d’information au sujet de sa future cible dans le souci d’évaluer son
réseau.
C’est une des phases de la pré-attaque et est considérée comme l’accumulation de
données en rapport avec l’environnement et l’architecture de la future cible.
Cette collecte ayant pour but d’identifier une possibilité d’intrusion dans un système ou un
réseau.
Un hacker passe 90% de son temps à établir le profil de sa cible et 10% à réaliser
l’attaque

Footprinting est le résultat typique de l’organisation de la sécurité d’une entreprise vis-

à-vis du réseau (Internet / Intranet / Extranet / Wireless) et des systèmes.

Cette étape recense les informations suivantes:

 Identification de la cible
 ses activités
 Son personnel et leur niveau ou compétence
 Son organisation (système de décision)
 Site Web
 Son nom de domaine
 Sa messagerie

RECONNAISSANCE = FOOTPRINTING = INFORMATION GATHERING

Les Types de reconnaissance

 La reconnaissance passive

 La reconnaissance active
  La reconnaissance Passive

Collecter des informations utiles et confidentielles sur une organisation ou très

généralement sur une cible sans son consentement ou à son insu.
C’est simplement le fait de suivre les entrées et sorties des employés d’une société
localisée dans un immeuble donné.
C’est aussi la possibilité de faire des recherches sur Internet à travers des moteurs de
recherche comme Google sur la société ou l’individu cible.
Sniffer un réseau est une forme de reconnaissance passive.

Cette collecte d’infos se nomme donc Information Gathering

 La reconnaissance active

Investiguer sur le réseau d’une organisation afin d’identifier les adresses IP des machines,
les services réseaux et autres informations réseaux utiles.
Cette approche a le mérite d’être facilement détectée par les outils comme les IDS; et
donc d’être pris comme suspect.
Elle a l’avantage de permettre au hacker de connaître les équipements de protection
présents dans le réseau.

Outils de collecte d’infos

Pendant cette collecte, plusieurs procédés peuvent être utilisés pour obtenir l’information.
La banque de données la plus importante à cet effet se trouve être Internet à travers le moteur
Google.

 Le moteur Google Search

 Yahoo! People

L’usage du moteur Google Search à cette fin s’appelle Google Hacking.

Exemples de recherches avec Google search

Recherches approfondies avec séquences bien précises..

 Filetype: xpdf cours réseaux : va rechercher tous les

documents au format PDF contenant l’expression cours réseaux.

 Filetype: xls inurl: ’[Link]’ : va rechercher les fichiers

[Link] pouvant contenir des adresses
Opérateur Question Résultat

site Limite les résultats aux Site:[Link] fox trouvera toutes

pages se trouvant dans un les pages contenant le mot fox dans leur
domaine défini texte et se trouvant dans le domaine
*.[Link]

intitle Limite les résultats aux Intitle:fox fire trouvera les pages
documents contenant une contenant le mot fox dans le titre et fire dans
phrase donnée dans le titre le texte

allintitle Limite les résultats aux Allintitle:fox fire trouvera toutes

documents contenant toutes les pages contenant les mots fox et fire dans
les phrases données dans le le titre; son fonctionnement est similaire à
titre celui de intitle:fox intitle:fire

Question Résultat

‘ copyright (c) Tektronix, Inc.’ Les imprimantes PhaserLink

‘printer status’

[Link] Des listes de contacts du logiciel de

messagerie instantanée AIM

Filetype:ctt ‘msn’ Des listes de contact de MSN

Inurl:hp/device/[Link] Les imprimantes HP

Intitle:liveapplet inurl:LvAppl Les caméras Canon Webview

Autres sources d’informations : Newsgroups – Blogs – les

Forums

a. FootPrinting Tools

 DNS Records
 Traceroute
 WHOIS
 E-MAIL TRACKING
 Sam Spade ([Link]
 WEB SPIDERS
  DNS Enumeration

C’est le processus de localisation ou d’identification des serveurs DNS et leurs

correspondants utilisés par une entreprise. Une entreprise dispose très souvent d’un serveur
DNS interne et d’un autre externe qui contienne les données du type nom d’utilisateur, noms
d’hôtes des machines et les adresses IP associées. La base de données des différents RIR peut
être utilisée à cet effet.
De même que les outils suivants:

– NSlookup (Name Server Lookup)

– DNSstuff

 NSlookup

Les options de la commande

set type=mx permet de recueillir les informations concernant le ou les serveurs de

messagerie d’un domaine..

Set type=ns permet de recueillir les informations concernant le serveur de noms associé
au domaine

Set type=a permet de recueillir les informations concernant un hôte du réseau. Il s'agit du
mode d'interrogation par défaut..

Set type=soa permet d'afficher les informations du champ SOA (Start Of Authority).

Set type=cname permet d'afficher les informations concernant les alias..

Set type=hinfo permet, lorsque ces données sont renseignées, d'afficher les informations
concernant le matériel et le système d'exploitation de l'hôte.
Exemple

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 40
  TRACEROUTE

Traceroute est un outil de dépannage réseau très utile.

Il envoie des paquets ICMP (Internet Control Message Protocol) écho à chaque saut (routeur)
situé le long de son chemin jusqu’à la destination.
Lorsque le message ICMP traverse un routeur, le TTL est décrémenté de 1 tout le long du
parcours.
Ceci permet au hacker de déterminer le nombre de sauts depuis l’émetteur du paquet

Problèmes avec Traceroute

Time out (* * *) : Firewall ou un routeur avec fonction de

filtrage sur ce saut.

Ceci indique au hacker la présence d’un firewall ou d’un routeur. Celui-ci va donc rechercher
des stratégies pour by passer le firewall.
Traceroute: hacking Tools

 Néo Trace

 Visual route

 Visuallookout

WHOIS

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 61

«Whois» (littéralement «Qui est ?») est un outil permettant d'interroger des bases
d'informations (appelées registres) concernant les noms de domaines et adresses IP. Les
données contenues dans ces bases ne comportent aucune forme de garantie mais permettent
généralement de retrouver le propriétaire d'un domaine ou d'une machine, notamment en cas
de litige.
Le service Whois a ainsi deux principaux objectifs :

 Obtenir des informations sur le propriétaire d'un nom de domaine (contact

administratif, technique et éventuellement de facturation) et sur les serveurs de
noms associés au domaine.

 Obtenir des informations sur l'attribution des plages d'adresses IP.

Syntaxe: whois nom_de_domaine_ou_adresse_ip

Cette commande possède généralement un grand nombre de paramètres, dépendant du

système d'exploitation.

E
E--MAIL
MAIL Tracking
Tracking

Session_ID
Presentation_ID © 2008 Ci sco System s, Inc. All rights reserved. Cisco Public 65

C’est un programme qui permet à l’expéditeur d’un message de savoir si le récepteur du dit
mail l’a effectivement reçu, lu, transféré, modifié ou supprimer son message.

Les outils utilisés à cet effet sont:

EmailTracking Pro

[Link]

Web Spiders

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 67

Les spammers ou toute autre personne intéressés par la collecte d’adresses mail à partir
d’Internet peuvent utiliser Web Spiders.
 Social Engineering

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 70

C’est l’art de ‘hacker » sans ordinateur, ou l’ensemble des techniques qui exploitent les
faiblesses humaines en vue d’obtenir des informations qui peuvent aider à « hacker »,
« créer », détruire, forcer ou espionner.

C’est une technique ayant pour but d’extirper des informations pouvant être plus ou moins
confidentielles par la seule force de la persuasion.

Les techniques du Social Engineering

 Le téléphone
 Le courrier postal
 L’Internet
 Le contact direct
 Le « trashing » ( la fouille des poubelles)
 Le sexe
 L’utilisation de la bêtise des autres

Les informations recherchées

 Les mots de passe

 Les données confidentielles

 Des renseignements d’ordre privé

 PHASE DE SCANNING

Objectifs Module Scanning

 Objectifs du scanning
 Types de Scanning
Ports Scanning
Network Scanning
Vulnerability Scanning
 Les Numeros de Ports TCP/ UDP
 Scanning Methodology
 Active FingerPrinting
 Passive FingerPrinting
 Les utilitaires de Scanning
 Nmap
Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 9

Objectifs du scanning
 Processus qui permet de découvrir les machines hosts du réseau qui sont actifs (up).
 On découvrira :

1. Les adresses IP valides

2. Les Systèmes d’exploitation utilisés
3. Les services actifs
4. Les applications installées

Cette phase très primordiale va permettre de découvrir les vulnérabilités des machines et du
réseau.

Types de Scanning

A. Port Scanning

Déterminer les ports et services ouverts sur le réseau

B. Network Scanning

Découvrir les adresses IP utilisées et actives

C. Vulnerability Scanning

Identifier les vulnérabilités liées aux systèmes et au réseau.

 1) PORT SCANNING

Processus pour découvrir les ports ouverts et les services TCP associés.
Chaque service ou application sur une machine utilise un Numéro de port précis.
Exemple: un utilitaire de Scan qui identifie que le port 80 est actif sur une machine sait qu’un
serveur WEB est installé sur la dite machine.
Un bon hacker doit être familier avec les numéros de port.

Rappel

21 FTP
80 HTTP
25 SMTP
110 POP3
443 HTTPS

Voir RFC RFC4340 ([Link]

2) Network Scanning

Processus pour découvrir les machines actives sur le réseau.

Les machines sont identifiées à travers leur adresse IP.
Les utilitaires de Scan réseau identifient les machines réellement connectées et leurs adresses
IP correspondants.

3) Vulnerability Scanning

Processus pour découvrir les vulnérabilités des systèmes connectés au réseau.

Un Scanner de vulnérabilité identifie d’abord les OS et leur version, incluant les services
packs probablement installés.
Ensuite, il identifie les vulnérabilités ou faiblesses liées au système d’exploitation découvert.
Enfin, le hacker va exploiter ces faiblesses ou vulnérabilités pour avoir accès à la ressource en
question notamment le réseau ou la machine host.

NB : IDS peut détecter une activité de Scan de ports et réseaux.

[Link]
Site de référence pour la liste des vulnérabilités publiées.
 LES NUMEROS DE PORTS
Les N° de ports sont divisés en 3 groupes:

 Well known ports numbers

 Registered Ports

 Dynamic and/or Private Ports

I. Well Known Ports

Ces N° de ports sont assignés par l’IANA et la plus part des concepteurs d’application ou
d’OS sont censés les utiliser sans modification.

Ces ports vont de 0 à 1023.

Sous Windows

C:\windows\system32\drivers\etc\service

Fichier caché contient les N° ports usuels.

telnets 992/tcp telnet protocol over TLS/SSL

telnets 992/udp telnet protocol over TLS/SSL

imaps 993/tcp imap4 protocol over TLS/SSL

imaps 993/udp imap4 protocol over TLS/SSL

ircs 994/tcp irc protocol over TLS/SSL

ircs 994/udp irc protocol over TLS/SSL

 # Christopher Allen <ChristopherA&[Link]>

pop3s 995/tcp pop3 protocol over TLS/SSL (was spop3)

pop3s 995/udp pop3 protocol over TLS/SSL (was spop3)

 # Bill Croft <Croft&[Link]>

tftp 69/tcp Trivial File Transfer

tftp 69/udp Trivial File Transfer

 II. The Registered Ports

De 1024 à 49151
NB

# 48620-49150 Unassigned

# 49151 IANA Reserved

oracleas-https 7443/tcp Oracle Application Server HTTPS

Oracleas-https 7443/udp Oracle Application Server HTTPS

Http-wmap 8990/tcp webmail HTTP service

Http-wmap 8990/udp webmail HTTP service

https-wmap 8991/tcp webmail HTTPS service

https-wmap 8991/udp webmail HTTPS service

III. The Dynamic and/or Private Ports

De 49152 à 65535

0/tcp Reserved

0/udp Reserved
 CEH SCANNING METHODOLOGY

P1 CHECK FOR LIVE SYSTEMS

P2 CHECK FOR OPEN PORTS

P3 SERVICE IDENTIFICATION

P4 BANNER Grabbing\ OS fingerprinting

P5 VULNERABILITY SCANNING

P6 DRAWN Network Diagram of Vulnerable Hosts

P7 Prepare Proxies

P8 ATTACK
Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 31
LES UTILITAIRES DE SCANNING OU OUTILS DE HACKING

ICMP SCANNING

Angry IP Scanner
Ping Sweep

PORTS SCANNING TOOLS

NMAP
HPING2
SuperScan
IPScanner
IPEye (Windows)
Infiltrator Network Security ([Link])
YAPS (Yet Another Ports Scanner)
Advanced Port Scanner ([Link])
NetworkActiv Scanner ([Link])
P-Ping Tools
MegaPing ([Link])
LANView
SolarWinds Engineer’s Toolset
WotWeb (port scanner pour serveur WEB

Banner Grabbing Tool

Httprint
XPROBE2
RING V2
Netcraft

Vulnerability Scanning

Bidiblah Automated Scanner

Saint
IIS Security Scanner (Internet Security Scanner)
Nessus
GFI LANGuard
SATAN(Security Administrator’s Tool for Analyzing Networks)
Retina
Nagios
PacketTrap’s pt360 Tool Suite
NIKITO (Open source web server scanner)
SAFEsuite Internet Scanner (for Windows NT networks vulnerability)
Tutoriel sur NMAP

Nmap est un scanneur de port réseau disponible sur Linux, Mac, FreeBSD, Windows… Le
but de ce logiciel est de détecter les ports réseau ouverts sur des machines.
Il permet donc de détecter si une machine est sur un réseau, d’identifier les services qui
tournent dessus et même d’en déduire dans certain cas le type d’operating system.

Remarque: Le scanning de port est considéré comme une intrusion. Il est donc interdit de
scanner un réseau qui ne nous appartient pas.

Détection des machines sur un réseau

Si vous souhaitez identifier toutes les machines présentes sur votre réseau (cela peut être utile surtout
si votre réseau est sans fils – wifi).

# nmap -sP <cible>

ou <cible>peut être: une machine: ex. [Link]

 un réseau: ex. [Link]/24 (scan de toutes les adresses comprises entre [Link] et
[Link])
 une plage d’adresse: ex: 192.168.100-200 (scan de toutes les adresses comprises entre
[Link] et [Link])
Le résultat d’une telle commande sera du type:

# nmap -sP [Link]/24

Starting Nmap 4.20 ( [Link] ) at 2007-08-27 11:45 CEST

Host routeur ([Link]) appears to be up.
Host pc ([Link]) appears to be up.
Host mac ([Link]) appears to be up.

Détection des ports réseau ouverts sur une machine

Une fois les machines disponibles identifiées, il est possible d’aller plus loin et de scanner tous les
ports réseau ouvert. Pour cela il faut utiliser la commande suivante:

# nmap <cible>

Par exemple, le résultat de cette commande sur un serveur web ne devrait faire apparaitre que le port
TCP/80 (HTTP).

# nmap www
Starting Nmap 4.20 ( [Link] ) at 2007-08-27 12:01 CEST
Interesting ports on [Link]:
Not shown: 1354 closed ports, 340 filtered ports
PORT STATE SERVICE

80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 20.677 seconds

Cette commande est un peu longue car elle scanne tous les ports réseau. Si vous souhaitez scanner un
port en particulier, vous pouvez utilisez l’option -p

. Par exemple la commande suivante va scanner tous les ports SSH (TCP/22) ouvert sur le réseau
[Link]/24.

# nmap -p 22 [Link]/24

Starting Nmap 4.20 ( [Link] ) at 2007-08-27 12:06 CEST

Interesting ports on [Link] ([Link]):
PORT STATE SERVICE
22/tcp open ssh
Interesting ports on [Link] ([Link]):
PORT STATE SERVICE
22/tcp open ssh
Nmap finished: 256 IP addresses (3 hosts up) scanned in 5.356 seconds

Autres exemples de scan:

Scan de tous les ports TCP ouverts sur la machine cible:

# nmap -sS <cible>

Scan de tous les ports UDP ouverts sur la machine cible:

# nmap -sU <cible>

Identifier l’OS d’une machine

Nmap permet également d’identifier l’OS d’une machine scannée. Il utilise pour cela des algorithmes
qui se basent sur l’identification des caractéristiques des paquets réseau et des ports ouverts. Même si
cette méthode n’est pas parfaite elle marche dans environ 90% des cas.

On utilise l’option -O sur la cible à identifier:

# nmap -O –osscan-guess <cible>

# nmap -O –osscan-guess [Link]

Starting Nmap 4.20 ( [Link] ) at 2007-08-27 12:15 CEST
Interesting ports on localhost ([Link]):
Not shown: 1692 closed ports
PORT STATE SERVICE
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp
9090/tcp open zeus-admin
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.18 – 2.6.19 (x86)
Uptime: 4.025 days (since Thu Aug 23 [Link] 2007)
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at
[Link] .
Nmap finished: 1 IP address (1 host up) scanned in 1.408 seconds

Conclusion sur NMAP

Pour connaitre les machines du reseau:

>nmap -sP plage-d'IP-a-scanner

Pour avoir des infos sur les ports d'une machine:

>nmap adresse-de-la-machine

Pour avoir des infos sur les ports UDP d'une machine:
>nmap -sU adresse-de-la-machine

Pour activer la detection de l'os:

>nmap -A adresse-de-la-machine
PORTS SCANNING CONTREMESURES

Objectifs

Les mesures de protection ou ‘Countermeasures’ sont des processus ou outils

utilisés par les administrateurs réseaux et/ou sécurité pour détecter et inhiber les actions de
type Port Scan sur un LAN.

Remarque: Le scanning de port est considéré comme une intrusion. Il est donc interdit de
scanner un réseau qui ne nous appartient pas.

Les mesures de protection suivantes doivent être implémentées pour empêcher un hacker de
collecter des informations durant la phase de Scan.

La mise en œuvre d’une bonne architecture réseau sécurisée à travers l’installation

d’IDS et de Firewall.

Réaliser soi-même des tests de Scan réseau et de Port Scan afin de tester la bonne
configuration des IDS et des Firewall déployés.

Le Firewall installé doit être capable d’identifier et de bloquer les actions de type Port
Scan et Network Scan.

Le personnel de l’entreprise doit être fréquemment formé aux vulnérabilités des

systèmes et globalement sur le respect de la politique de sécurité interne.

Les IDS réseau doivent être installés pour identifier les procédures de détection d’OS
avec les vulnérabilités associées utilisées par les Hackers comme le fameux outil NMAP.

Seuls les Ports normalement utilisés et utiles doivent être ouverts. Les ports non utilisés
doivent être bloqués systématiquement.
 PHASE DE PENETRATION

• GAINING
GAINING ACCESS
ACCESS

Session_ID
Presentation_ID © 2008 Ci sco Systems, Inc. All rights reserved. Cisco Public 23

Initial Access
C’est durant cette phase que l’attaque réelle a lieu.

Les vulnérabilités découvertes pendant les phases de reconnaissance

et de scan vont être exploitées pour obtenir des droits d’accès ou
privilèges au réseau et à la machine.

Privileged Access
Obtenir les droits d’administrateur sur une machine ou sur un réseau
donné sans disposer des privilèges réels.

L’objectif de l’énumération est d’identifier un user account ou un

system account pour un usage potentiel sur le système visé.

NB : Il n’est pas nécessaire de disposer d’un compte administrateur

car les procédures d’escalade permettront de disposer d’un profil
avec un accès complet.

Sous Windows 2000, la commande Net View permet de faire de

l’énumération.

Net view / Domain

Nbstat -A IP ADDRESS

Enumeration hacking tools

DumpSec – Hyena -SMB Auditing Tool - NetBIOS Auditing Tool

 DIFFERENTES PHASES POUR HACKER UN SYSTEME

1. EXECUTER UNE ENUMERATION DES USERS SUR LE SYSTEME

2. CRACKER LES PASSWORDS

3. OBTENIR DES DROITS ADMINISTRATEURS SUR LE SYSTEME

4. EXECUTER DES APPLICATIONS (KEYLOGGERS, SPYWARES,etc)

5. CACHER SES FICHIERS OU UTILITAIRES UTILISES

6. EFFACER SES TRACES DANS LES LOGS

EXEMPLE : les commandes utilisées pour découvrir des ressources

partagées sur un système UNIX (UNIX Enumeration)

1ère étape : showmount

Trouver les répertoires partagés sur une machine

Showmount –e [Link]

2ième étape :Finger

Identifier les comptes utilisateurs. Permet également de trouver les répertoires personnels,
temps de connexion et l’heure de réception d’un dernier mail.

Finger -1 @[Link]

3ième étape : rcpinfo

Identifier les ‘Remote Procedure Call Protocol’

Rcpinfo –p [Link]
PASSWORD CRACKERS

 Passwd+
 Crack (UNIX)
 CrackerJack (UNIX)
 PaceCrack95 (Windows 95)
 Qcrack (DOS/Windows)
 John the Ripper (UNIX
 Pcrack (UNIX Perl script)
 Hades (UNIX)
 Star Cracker (DOS)
 Killer Cracker (UNIX, others)
 PHASE D’EFFACEMENT DES TRACES

• Covering Tracks

Session_ID
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 31

Effacer toutes traces pour éviter :

– D’être détecté par l’administrateur sécurité.

– Pour continuer à utiliser le système hacké

– Les actions judiciaires (en cas de détection)

Le hacker va dons s’efforcer d’effacer toutes traces de son passage dans les fichiers log ou alarmes
d’IDS.

Comme activité de cette étape il y a usage de la sténographie et du tunneling comme procédé.

Logging Tools

 TCP_Wrapper

 Swatch

 Trimlog

 logdaemon (UNIX)
 Countermeasures

© 2002, Cisco Systems, Inc. All rights reserved. 57

SECURITY BEST PRACTICES

1. Mettre en place une bonne politique de gestion des mots
de passe des utilisateurs.
2. Utiliser des algo de cryptage si vous utilisez un canal
de transport (Internet) non fiable :
a. SSH
b. IPSEC
c. KERBEROS
3. Désactiver les services non utilisés ou non nécessaires
4. Configurer correctement les équipements réseaux et les
systèmes des utilisateurs (jamais de configuration par
défaut)
5. Limiter les accès aux commandes de niveau super
utilisateur (root)
6. Activer l’audit et les logs sur le réseau
7. Installer toujours les derniers patchs fournis par les
constructeurs
8. Mettre en place une stratégie de gestion des
vulnérabilités
9. Mettre en place des stratégies ou mécanismes de gestion
des incidents (pro active et réactive).
10. Exécuter des tests de pénétration (Pen Test) et d’audit
de votre réseau régulièrement afin d’identifier les
possibilités d’intrusion
11. Mettre en place une véritable politique de sécurité
12. Mettre en place une équipe et une politique de gestion
des incidents.
13. Développer des mécanismes de défense à plusieurs
niveaux.
14. Faire de la veille technologique à travers :
a. Forums
b. Mail list
c. [Link]
d. [Link]
e. [Link]
 Active Audit Internet
Radius
VPN
Cisco PIX
Partner

SYSLOG

MIB
Internet
Netflow

MIB
London Main site
Tacacs+
IOS
Encryption

Paris Mobile Workforce

Active SYSLOG
Audit
Network Monitoring Local Area Network
81

Vulnerability Scanning

NetSonar Scanner

Security
Compile Inventory
Database Identify Vulnerabilities

NetSonar Report Discrepancies

82
 Active Intrusion Detection

NetRange
r
Sensor NetRange
r
NetRange Sensor
r
Sensor

Intranet leerrtt
Al
A
Extranet
S
Seenndd Internet

Four Failed
Logins
NetRanger
Director Hacker

NetRanger Active Intrusion Detection

83

CONCLUSION PARTIELLE
Les scanners réseaux détectent automatiquement les vulnérabilités sur un réseau donné.

ISS, SATAN et NMAP sont les scanners les plus populaires utilises par les hackers.

Les Sniffers capturent les paquets pour une analyse future.

Password crackers and checkers peuvent être utilisés pour détecter les faiblesses dans les mots de
passe et ainsi mettre en place des procédures plus difficiles quand à la gestion des mots de passé.

UNIX reste l’OS le plus performant pour la sécurité des réseaux car il contient bien d’utilitaires utiles.

Les utilitaires de logging sont très utiles pour la détection des intrusions.