1.04k likes | 1.23k Views
INTERNET. Sécurité. Plan. Rappels : Ethernet, IP. Anonymat HTTP : protocole bavard Cookies : drôles de gâteaux Le spamming Aperçu des failles de sécurité des protocoles Internet Aperçu des principales méthodes d’attaque Firewalls individuels pour poste de travail : ZoneAlarm.
E N D
INTERNET Sécurité
Plan • Rappels : Ethernet, IP. • Anonymat • HTTP : protocole bavard • Cookies : drôles de gâteaux • Le spamming • Aperçu des failles de sécurité des protocoles Internet • Aperçu des principales méthodes d’attaque • Firewalls individuels pour poste de travail : ZoneAlarm
Sécurité Internet Rappels
IP : le datagramme 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identification |Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Time to Live | Protocol | Header Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
ID de protocole Abréviation Signification 0 Réservé 1 ICMP Internet Control Message Protocol (« message de contrôle internet) 2 IGMP Internet Group Managment Protocol (« gestion de groupe Internet ») 3 GGP Gateway-to-Gateway Protocol 4 IP IP in IP encapsulation 5 ST Stream (flux) 6 TCP Transmission Control Protocol (« contrôle de transmission ») … … … 17 UDP User Datagram Protocol (« datagramme utilisateur ») … … … 255 (Réservé) IP : valeurs du champ Protocol
Sécurité Internet Anonymat
Identification sur Internet • Deux manières d’identifier un utilisateur sur Internet : • L’adresse E-Mail • L’adresse IP
L’adresse E-Mail • Moyen de reconnaître une personne sur Internet • L'adresse E-mail peut-être occultée grâce à des réexpéditeurs anonymes, ou des services de messagerie gratuite
L’adresse IP • Base de la communication sur Internet • Fournie par le FAI, elle change à chaque nouvelle connexion • Fichiers logs des FAI : correspondance entre vous et l’adresse IP • Difficile à dissimuler • Spoofing IP : usurpation d’identité
Anonymat sur Internet • Ré expéditeurs anonymes : suppriment l'en-tête et l'adresse source du message, et insèrent la leur • Pratique très controversée car certaines personnes l'utilisent à des fins légitimes.
Dissimulation d’adresse IP • Tâche extrêmement plus ardue. • Telnet permet de simuler le fait que l'on est sur une autre machine, cependant grâce aux journaux (logs) des machines, il est possible de remonter jusqu'à la source. • Il existe une technique dite du « spoofing » (« usurpation d'identité ») permettant de s'octroyer une adresse IP qui n'est pas sienne, cela dit cette technique est très compliquée.
Sécurité Internet HTTP : protocole bavard
Où récupérer les infos ? • Pour obtenir des informations sur votre configuration et l’URL précédemment visitée, il suffit d’analyser une trame IP et d’utilisé les variables d’environnement qui sont définies dans votre navigateur et que ce dernier envoie systématiquement au serveur.
Analyse d’une trame • En analysant une trame IP, voici ce que l’on peut apprendre de vous : • Votre adresse IP • Le navigateur que vous utilisez • Votre système d’exploitation • Votre page précédente • Ce que vous êtes en train de faire
Sécurité Internet Cookies : drôles de gâteaux
Quels sont ces étranges gâteaux ? • La plupart du temps un serveur vous propose de placer un cookie, vous ignorez ce terme et cliquez sur OK sans vous préoccuper de son devenir. • Ce cookie est en fait un fichier qui est stocké sur votre disque et qui permettra que le serveur vous reconnaisse la prochaine fois que vous revenez sur le site de telle façon à connaître vos préférence (par exemple les options que vous aurez coché) pour vous éviter de les ressaisir.
Cookies et sécurité • Le problème : les cookies contiennent des informations sur vous • En réalité un cookie n'a rien de dangereux en soit car c'est le navigateur qui les gère en écrivant dans un fichier des paires clés valeurs. • Les données stockées dans un cookie sont envoyées par le serveur, ce qui signifie qu'il ne peut en aucun cas contenir des informations sur l'utilisateur que celui-ci n'a pas donné, ou en d'autres termes: le cookie ne peut pas collecter des informations sur le système de l'utilisateur.
Où sont stockés les cookies ? • Les cookies sont généralement stockés dans un fichier cookies.txt • Il est possible de mettre les cookies en lecture seule pour ne plus être ennuyé par les serveurs les proposant • Il existe un programme appelé « Cookie Jar » (http://www.lne.com/ericm/cookie_jar/) permettant de spécifier les serveurs dont vous acceptez les cookies.
Comment fonctionnent les cookies ? • Les cookies font partie des spécifications du protocole HTTP • Les requêtes et réponses HTTP contiennent des en-têtes permettant d'envoyer des informations particulières de façon bilatérale. • Un de ces en-têtes est réservé à l'écriture de fichiers sur le disque: les cookies.
Quelques infos sur les cookies • Un cookie ne peut pas dépasser 4 Ko • Un client ne peut pas avoir plus de 300 cookies sur son disque • Un serveur ne peut créer que 20 cookies maximum chez le client
Précisions supplémentaires • Le cookie n’est pas visible avant le prochaine chargement de page • Il faut savoir que certains navigateurs ne traitent pas bien les cookies • Microsoft Internet Explorer 4 avec le Service Pack 1 ne traite pas correctement les cookies qui ont le paramètre chemin défini. • Inversement Netscape Communicator 4.05 et Microsoft Internet Explorer 3.x ne traitent pas correctement les cookies qui n'ont pas les paramètres chemin et expiration définis
Où trouver les cookies • Internet Explorer
Où trouver les cookies • Netscape Communicator
Sécurité Internet Le spamming
Qu’est ce que le spamming ? • Bien que le contenu de l'information soit parfois irréprochable légalement, c'est son utilisation qui peut parfois être critiquée... • Le spamming consiste en ce sens à envoyer plusieurs e-mails identiques (souvent de type publicitaires) à un grand nombre de personnes sur le réseau. Le mot « spamming » provient du mot « spam » qui est une marque de jambonneau fabriquée par la compagnie Hormel.
Pourquoi cette expression? • L'association de ce mot au postage excessif provient à priori d'une pièce des Monty Python (Monty Python's famous spam-loving vikings) qui se déroule dans un restaurant viking dont la spécialité est le jambonneau « spam ». C'est alors qu'un client commande un plat différent, les autres client chantent alors tous en cœur « spam spam spam spam spam ... » si bien que l'on entend plus le pauvre client... • Les personnes pratiquant l'envoi massif de courrier publicitaire sont appelées « spammers », un mot qui a désormais une connotation péjorative...
Pourquoi faire du spamming ? • Le but premier du spamming est de faire de la publicité à moindre prix par « envoi massif de courrier électronique non sollicité » (junk mail) ou par « multi-postage abusif » (EMP). • Les spammers prétendent pour leur défense que le courrier est facile à supprimer, et qu'il est par conséquent un moyen écologique de faire de la publicité. • Cela est tel, que certains spammers défendent la cause même du spamming. Le plus célèbre spammer est sans aucun doute la compagnie « Cyberpromotion » qui est considérée comme le plus important abuseur du réseau Internet.
Les critères • La détermination du spam se fait sur un critère de volume. • Un courrier électronique envoyé à 5 ou 6 personnes grâce à la fonction « cc » ne peut pas être considéré comme du « spamming » • On considère en effet qu'un envoi supérieur à 20 messages constitue un spam.
Indice de Breidbart • L'indice de Breidbart est une formule permettant de déterminer si un message constitue un spam: • D'après cette formule, lorsqu'un message à atteint un indice Breidbart de 20 il s'agit nécessairement d'un spam... Cependant elle ne prend pas en compte la durée pendant laquelle ces messages ont été envoyés, il n'est donc pas évident de déterminer si un message constitue un spam ou non...
Effets du spamming • Le principal inconvénient du spamming est l'espace qu'il occupe sur le réseau, utilisant inutilement une bonne partie de la bande-passante, rendant Internet moins rapide. • Cela induit des coûts supplémentaires pour les Fournisseurs d'Accès à Internet (FAI) car ils doivent : • mettre en place une plus grande largeur de bande • acheter des ordinateurs supplémentaires • disposer d'un plus grand espace disque • engager du personnel supplémentaire
Combattre le spamming • La chose la plus importante est de ne pas répondre à ces abus, cela ne ferait qu'empirer les choses, et rentrer dans le même jeu que les spammers. • Il ne faut donc pas: • Menacer les spammers (cela ne ferait que les énerver) • Bombarder les spammers de courrier électronique • Pirater le site des spammers • Utiliser le spamming contre les spammers (dépourvu de bon sens...) • Utiliser toute attaque.
Nous allons présenter un aperçu des points d’attaque présentés par le protocole TCP/IP ainsi que leur conséquences sur la sécurité de votre ordinateur. • Nous allons naturellement nous restreindre aux attaques les plus courantes.
Failles de sécurité des protocoles Internet Les chevaux de Troie : la menace cachée
Généralités (1) • Les chevaux de Troie constituent une menace sérieuse pour les ordinateurs. • Un parallèle est souvent établi entre les chevaux de Troie et les virus, car ils sont également transmis lors d’un téléchargement ou au moment de l’ouverture d’un fichier joint à un courrier électronique.
Généralités (2) • En réalité, les chevaux de Troie ne sont pas des virus qui se diffusent de manière non ciblée, mais des programmes cachés permettant d’assurer la transmission de données ou, pire encore, de réaliser une prise de contrôle à distance d’un ordinateur particulier. • Les chevaux de Troie sont mis en place à dessein par un agresseur, pour provoquer des dégâts ou espionner des données.
Généralités (3) • Le programme est parfois transmis de manière ciblée en étant caché dans un téléchargement, ou mis en place à travers un port déterminé lors d’une connexion à Internet.
Ports et chevaux de Troie • La plupart des chevaux de Troie utilisent leur propre port pour éviter d’entrer en conflit avec des programmes et des services déjà installés.
Substitution et camouflage N’oubliez pas que les chevaux de Troie sont passés maîtres dans l’art du camouflage. Le tableau ci-dessus ne peut donc présenter que les ports utilisés par défaut. Les chevaux de Troie peuvent changer de port et même tester lesquels sont ouverts sur votre firewall. Si vous n’autorisez donc que les ports « normaux », cela n’implique pas que les chevaux de Troie ne puissent plus fonctionner. Info
Failles de sécurité des protocoles Internet Blocage d’un ordinateur à l’aide de paquets défectueux
Établissement d’une connexion TCP • Elle ouvre la porte à quelques attaques dirigées vers l’ordinateur et vers la pile IP. • Elle consomme de la mémoire et du temps CPU et mobilise ainsi des ressources qui devraient être à la disposition des autres utilisateurs. • Dans les cas les plus graves ces attaques peuvent même provoquer un blocage (plantage) de l’ordinateur. Il s’agit alors d’une attaque de type Denial-of-Service.
Denial of Service (DoS) • Le terme Denial of Service signifie littéralement « refus de service » et désigne la situation dans laquelle un programme ou un ordinateur arrête de fonctionner sur Internet, ou n’est plus accessible que très lentement, ou même est virtuellement déconnecté vis-à-vis de l’extérieur. Cette situation est généralement obtenue par blocage du système d’exploitation ou du programme concerné.
Buffer, stack overflow • Il arrive que la saturation de l’ordinateur avec des paquets aboutit au blocage de la pile de protocoles TCP/IP, en provoquant un débordement du tampon ou de la pile. • Littéralement, il s’agit du débordement du tampon ou de la pile, c’est à dire d’une erreur de programme qui conduit à l’exécution anormale d’un programme en mémoire centrale. Il peut être dû à une erreur de programmation dans différents systèmes de serveurs Web ou de messagerie, mais également dans la pile TCP/IP.
Une protection totale est-elle possible ? • La diversité des types d’attaque rend difficile la mise en place d’une protection complète par des modifications manuelles de votre ordinateur et l’installation de mises à jour sur votre ordinateur personnel. ? La plupart des firewalls individuels (desktop firewall) offrent une protection de base de bon niveau capable d’identifier et de contrer la plupart des attaques connues.
Une protection totale est-elle possible ? • Dans le cas d’un réseau, la protection de plusieurs ordinateurs est totalement impossible sans la mise en place d’un firewall, car il faut ici protéger plusieurs ordinateurs. Il est impératif que le routeur ou le firewall exécutent les fonctions de protection.
Une protection totale est-elle possible ? • Cependant, même si vous possédez un firewall parfaitement configuré, il est vraisemblable que les failles de sécurité seront identifiées tôt ou tard, ce qui cantonne une protection totale dans le domaine de l’utopie.
Une protection totale est-elle possible ? • Il est évident que vous serez dans de meilleures conditions avec une protection à 98% qu’avec une protection à 50%, ce qui doit vous amener à combattre les problèmes connus par des mesures appropriées, à l’aide d’un routeur, d’un firewall et d’un proxy.
Failles de sécurité des protocoles Internet Attaques SYN