1 / 24

Protection contre les attaques applicatives avec ISA Server

Protection contre les attaques applicatives avec ISA Server. Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure. Agenda. Introduction Quelque chiffres pour poser le décor Différentes vues d’un paquet TCP/IP

gretel
Télécharger la présentation

Protection contre les attaques applicatives avec ISA Server

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure

  2. Agenda • Introduction • Quelque chiffres pour poser le décor • Différentes vues d’un paquet TCP/IP • ISA Server en quelques mots • Les « appliances » • ISA Server 2004 : un produit extensible • Méthodologie d’attaque • Démonstration 0 : collecte d’informations, transfert de zone DNS • Attaques de serveurs Web • Démonstration 1 : exploitation d’une vulnérabilité Web • Attaques de serveurs FTP • Démonstration 2 : exploitation d’une vulnérabilité FTP • Attaques de serveurs SMTP • Démonstration 3 : exploitation d’une vulnérabilité SMTP • Synthèse, ressources utiles & Questions / Réponses

  3. Quelques chiffres • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group) • Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05) • Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web • +59% entre le dernier semestre 2004 et le premier semestre 2005 • +109% entre le premier semestre 2004 et le premier semestre 2005 • Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005) • 2004 : 89% des interviewés déclarent 1 à 5 incidents • 2005 : 95% des interviewés déclarent plus de 10 incidents • 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de janvier 2000 à janvier 2004)

  4. IP Header Source Address,Dest. Address,TTL, Checksum IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????? Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" Différentes vues d’un paquet TCP/IP Pare feu “traditionnel” • Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire” • La décision de laisser passer est basée sur les numéros de ports Pare feu multicouches (3,4,7) • Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP) • Les décisions de laisser passer sont basées sur le contenu

  5. ISA Server en quelques mots http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx Pare-feu multicouches (3,4 et 7) Filtrage extensible Proxy cache Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site www.vpnc.org

  6. Disponible en « appliance » • Network Engines NS Appliances • http://www.networkengines.com/sol/nsapplianceseries.aspx • Autres OEMs :

  7. ISA Server 2004 : un produit extensible Haute disponibilité Reporting Appliances Antivirus Authentification Filtrage applicatif Accélérateurs SSL Contrôle d’URLs Plus de partenaires : http://www.microsoft.com/isaserver/partners/default.asp

  8. Méthodologie d’une attaque

  9. Découverte des serveurs cibles • Requête Whois • Utilisation de moteurs de recherche • Transfert de zone DNS • … • Passons à la démonstration 0 

  10. Démonstration 0 • On dispose d’un nom de domaine : Target.com • On va chercher ce qui se cache derrière • On vient d’obtenir : • mail.target.com 192.168.1.1 • ftp.target.com 192.168.1.1 • www.target.com 192.168.1.2 • …

  11. Attaque de serveurs Web • Exemple d’attaques possibles sur un serveur Web : • Entrée de paramètres non valides • Virus (Nimda, Code Red...) • Buffer Overflow • Injection de commandes • Cross Site Scripting • Directory traversal • Vol d’authentification ou de session • … • Au-delà des vulnérabilités liées au serveur Web, il existe désormais une couche supplémentaire à maintenir à jour et à protéger : les applications Web. • Combinez une application web vulnérable avec l’utilisation de HTTPS et vous obtenez un cocktail explosif pour outrepasser les défenses assurées par votre pare-feu traditionnel.

  12. Démonstration 1

  13. Le filtre HTTP Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP (flux sortant ou entrants) Les options suivantes sont disponibles: • Limiter la taille maximale des entêtes (header) dans les requêtes HTTP • Limiter la taille de la charge utile (payload) dans les requêtes • Limiter les URLs qui peuvent être spécifiées dans une requête • Bloquer les réponses qui contiennent des exécutables Windows • Bloquer des méthodes HTTP spécifiques • Bloquer des extensions HTTP spécifiques • Bloquer des entêtes HTTP spécifiques • Spécifier comment les entêtes HTTP sont retournés • Spécifier comment les entêtes HTTP Via sont transmis ou retournés • Bloquer des signatures HTTP spécifiques En complément de ce filtre, il est possible de créer des filtres Web complémentaires via le SDK : http://msdn.microsoft.com/library/en-us/isasdk/isa/internet_security_and_acceleration_server_start_page.asp

  14. Utilisation du filtre HTTP

  15. Attaques de serveurs FTP • Exemple d’attaques possibles sur un serveur FTP : • Entrée de paramètres non valides • Buffer Overflow • Directory Traversal • … • Conséquences d’une attaque sur un serveur FTP • Déni de service • Compromission des fichiers proposés en téléchargement • Elévation de privilèges • Enumération des comptes utilisateurs • Utilisation frauduleuse du service à des fins illégales (Warez…) • … • En complément d’une bonne configuration du service et du maintien à jour du logiciel serveur, l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.

  16. Démonstration 2

  17. Le filtre FTP • C'est un filtre applicatif qui permet de limiter certaines actions dans l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'Option Lecture seule.Quand le mode lecture seule est activé, le filtre FTP bloque toutes les commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. • Ainsi, il ne devrait pas être possible d’exécuter des commandes modifiant des informations sur le serveur FTP (via une commande PUT ou MKDIR par exemple). • La liste par défaut des commandes autorisées peut être remplacée par une liste personnalisée qui contiendrait par exemple des commandes/Paramètre spécifiques (FPCVendorParametersSets) à une implémentation spécifique du service FTP. • Note : pour que les modifications soient prises en comptes, il faut redémarrer le service Pare-feu • Informations complémentaires et exemple de script pour personnaliser le filtre FTP : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdk/isa/configuring_add_ins.asp

  18. Attaques SMTP

  19. Attaques SMTP • Exemple d’attaques possibles sur un serveur SMTP : • Entrée de paramètres non valides • Buffer Overflow • Directory Traversal • Virus… • Conséquences d’une attaque sur un serveur SMTP • Déni de service • Utilisation frauduleuse du service à des fins illégales (SPAM,DDoS…) • Elévation de privilèges • Compromission du système d’information et divulgation d’informations confidentielles… • En complément d’une bonne configuration du service SMTP, du maintien à jour du logiciel serveur, du choix d’une solution de filtrage de contenu (Anti spam, Anti-virus) l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.

  20. Démonstration 3

  21. En résumé : • Transfert de zone DNS • Bloqué par le filtre d’intrusion DNS • Attaque sur application Web et/ou SSL • Filtrage des flux indésirables avec le filtre HTTP • Pontage des connexions SSL et analyse HTTP • Attaque via SMTP • Filtre SMTP : Filtrage des commandes • Filtreur de messages : source, extension, taille… Cette présentation s’est limitée à démontrer l’utilité de quelques filtres d’ISA Server 2004. Celui-ci dispose encore d’autres filtres (MS RPC POP3, MMS, RTSP…) permettant de se prémunir contre les attaques sur les protocoles couramment utilisés.

  22. Ressources utiles • Site Web Microsoft • www.microsoft.com/isaserver • www.microsoft.com/france/isa • http://www.microsoft.com/isaserver/support/prevent/default.mspx • Webcasts, e-démos et séminaires TechNet(Gratuits) • Sites externes • www.isaserver.org • www.isaserverfr.org • www.isatools.org • Newsgroup français • Microsoft.public.fr.isaserver • Kits de déploiement • Blogs • Blogs.technet.com/stanislas • Kits d’évaluation ISA Server • Version d’évaluation (120 jours) • CD (livres blancs et guide déploiement)

  23. Questions / Réponses

  24. Merci pour votre attention 

More Related