260 likes | 391 Views
Protection contre les attaques applicatives avec ISA Server. Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure. Agenda. Introduction Quelque chiffres pour poser le décor Différentes vues d’un paquet TCP/IP
E N D
Protection contre les attaques applicatives avec ISA Server Pascal Sauliere, CISPP (« Jean-Kevin ») Consultant Principal Sécurité Stanislas Quastana, CISSP Architecte Infrastructure
Agenda • Introduction • Quelque chiffres pour poser le décor • Différentes vues d’un paquet TCP/IP • ISA Server en quelques mots • Les « appliances » • ISA Server 2004 : un produit extensible • Méthodologie d’attaque • Démonstration 0 : collecte d’informations, transfert de zone DNS • Attaques de serveurs Web • Démonstration 1 : exploitation d’une vulnérabilité Web • Attaques de serveurs FTP • Démonstration 2 : exploitation d’une vulnérabilité FTP • Attaques de serveurs SMTP • Démonstration 3 : exploitation d’une vulnérabilité SMTP • Synthèse, ressources utiles & Questions / Réponses
Quelques chiffres • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group) • Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05) • Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web • +59% entre le dernier semestre 2004 et le premier semestre 2005 • +109% entre le premier semestre 2004 et le premier semestre 2005 • Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005) • 2004 : 89% des interviewés déclarent 1 à 5 incidents • 2005 : 95% des interviewés déclarent plus de 10 incidents • 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de janvier 2000 à janvier 2004)
IP Header Source Address,Dest. Address,TTL, Checksum IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????? Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" Différentes vues d’un paquet TCP/IP Pare feu “traditionnel” • Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire” • La décision de laisser passer est basée sur les numéros de ports Pare feu multicouches (3,4,7) • Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP) • Les décisions de laisser passer sont basées sur le contenu
ISA Server en quelques mots http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx Pare-feu multicouches (3,4 et 7) Filtrage extensible Proxy cache Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site www.vpnc.org
Disponible en « appliance » • Network Engines NS Appliances • http://www.networkengines.com/sol/nsapplianceseries.aspx • Autres OEMs :
ISA Server 2004 : un produit extensible Haute disponibilité Reporting Appliances Antivirus Authentification Filtrage applicatif Accélérateurs SSL Contrôle d’URLs Plus de partenaires : http://www.microsoft.com/isaserver/partners/default.asp
Découverte des serveurs cibles • Requête Whois • Utilisation de moteurs de recherche • Transfert de zone DNS • … • Passons à la démonstration 0
Démonstration 0 • On dispose d’un nom de domaine : Target.com • On va chercher ce qui se cache derrière • On vient d’obtenir : • mail.target.com 192.168.1.1 • ftp.target.com 192.168.1.1 • www.target.com 192.168.1.2 • …
Attaque de serveurs Web • Exemple d’attaques possibles sur un serveur Web : • Entrée de paramètres non valides • Virus (Nimda, Code Red...) • Buffer Overflow • Injection de commandes • Cross Site Scripting • Directory traversal • Vol d’authentification ou de session • … • Au-delà des vulnérabilités liées au serveur Web, il existe désormais une couche supplémentaire à maintenir à jour et à protéger : les applications Web. • Combinez une application web vulnérable avec l’utilisation de HTTPS et vous obtenez un cocktail explosif pour outrepasser les défenses assurées par votre pare-feu traditionnel.
Le filtre HTTP Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP (flux sortant ou entrants) Les options suivantes sont disponibles: • Limiter la taille maximale des entêtes (header) dans les requêtes HTTP • Limiter la taille de la charge utile (payload) dans les requêtes • Limiter les URLs qui peuvent être spécifiées dans une requête • Bloquer les réponses qui contiennent des exécutables Windows • Bloquer des méthodes HTTP spécifiques • Bloquer des extensions HTTP spécifiques • Bloquer des entêtes HTTP spécifiques • Spécifier comment les entêtes HTTP sont retournés • Spécifier comment les entêtes HTTP Via sont transmis ou retournés • Bloquer des signatures HTTP spécifiques En complément de ce filtre, il est possible de créer des filtres Web complémentaires via le SDK : http://msdn.microsoft.com/library/en-us/isasdk/isa/internet_security_and_acceleration_server_start_page.asp
Attaques de serveurs FTP • Exemple d’attaques possibles sur un serveur FTP : • Entrée de paramètres non valides • Buffer Overflow • Directory Traversal • … • Conséquences d’une attaque sur un serveur FTP • Déni de service • Compromission des fichiers proposés en téléchargement • Elévation de privilèges • Enumération des comptes utilisateurs • Utilisation frauduleuse du service à des fins illégales (Warez…) • … • En complément d’une bonne configuration du service et du maintien à jour du logiciel serveur, l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.
Le filtre FTP • C'est un filtre applicatif qui permet de limiter certaines actions dans l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'Option Lecture seule.Quand le mode lecture seule est activé, le filtre FTP bloque toutes les commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. • Ainsi, il ne devrait pas être possible d’exécuter des commandes modifiant des informations sur le serveur FTP (via une commande PUT ou MKDIR par exemple). • La liste par défaut des commandes autorisées peut être remplacée par une liste personnalisée qui contiendrait par exemple des commandes/Paramètre spécifiques (FPCVendorParametersSets) à une implémentation spécifique du service FTP. • Note : pour que les modifications soient prises en comptes, il faut redémarrer le service Pare-feu • Informations complémentaires et exemple de script pour personnaliser le filtre FTP : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdk/isa/configuring_add_ins.asp
Attaques SMTP • Exemple d’attaques possibles sur un serveur SMTP : • Entrée de paramètres non valides • Buffer Overflow • Directory Traversal • Virus… • Conséquences d’une attaque sur un serveur SMTP • Déni de service • Utilisation frauduleuse du service à des fins illégales (SPAM,DDoS…) • Elévation de privilèges • Compromission du système d’information et divulgation d’informations confidentielles… • En complément d’une bonne configuration du service SMTP, du maintien à jour du logiciel serveur, du choix d’une solution de filtrage de contenu (Anti spam, Anti-virus) l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.
En résumé : • Transfert de zone DNS • Bloqué par le filtre d’intrusion DNS • Attaque sur application Web et/ou SSL • Filtrage des flux indésirables avec le filtre HTTP • Pontage des connexions SSL et analyse HTTP • Attaque via SMTP • Filtre SMTP : Filtrage des commandes • Filtreur de messages : source, extension, taille… Cette présentation s’est limitée à démontrer l’utilité de quelques filtres d’ISA Server 2004. Celui-ci dispose encore d’autres filtres (MS RPC POP3, MMS, RTSP…) permettant de se prémunir contre les attaques sur les protocoles couramment utilisés.
Ressources utiles • Site Web Microsoft • www.microsoft.com/isaserver • www.microsoft.com/france/isa • http://www.microsoft.com/isaserver/support/prevent/default.mspx • Webcasts, e-démos et séminaires TechNet(Gratuits) • Sites externes • www.isaserver.org • www.isaserverfr.org • www.isatools.org • Newsgroup français • Microsoft.public.fr.isaserver • Kits de déploiement • Blogs • Blogs.technet.com/stanislas • Kits d’évaluation ISA Server • Version d’évaluation (120 jours) • CD (livres blancs et guide déploiement)