Upload
gaetan-duhamel
View
108
Download
1
Embed Size (px)
Citation preview
Protection contre les attaques applicatives avec ISA Server
Protection contre les attaques applicatives avec ISA Server
Pascal Sauliere, CISPP (« Jean-Kevin »)
Consultant Principal SécuritéStanislas Quastana, CISSP
Architecte Infrastructure
AgendaIntroductionIntroduction
Quelque chiffres pour poser le décor Quelque chiffres pour poser le décor Différentes vues d’un paquet TCP/IPDifférentes vues d’un paquet TCP/IPISA Server en quelques motsISA Server en quelques motsLes « appliances »Les « appliances »ISA Server 2004 : un produit extensibleISA Server 2004 : un produit extensible
Méthodologie d’attaqueMéthodologie d’attaqueDémonstration 0 : collecte d’informations, transfert de Démonstration 0 : collecte d’informations, transfert de zone DNSzone DNS
Attaques de serveurs WebAttaques de serveurs WebDémonstration 1 : exploitation d’une vulnérabilité WebDémonstration 1 : exploitation d’une vulnérabilité Web
Attaques de serveurs FTPAttaques de serveurs FTPDémonstration 2 : exploitation d’une vulnérabilité FTPDémonstration 2 : exploitation d’une vulnérabilité FTP
Attaques de serveurs SMTPAttaques de serveurs SMTPDémonstration 3 : exploitation d’une vulnérabilité SMTPDémonstration 3 : exploitation d’une vulnérabilité SMTP
Synthèse, ressources utiles & Questions / RéponsesSynthèse, ressources utiles & Questions / Réponses
Quelques chiffresEnviron 70% de toutes les attaques Web se passent au niveau de la Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group)couche Application (Source : Gartner Group)
Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept niveau application (Source : Symantec Internet Threat Report VIII, sept 05)05)
Augmentation du nombre de vulnérabilités découvertes (par Symantec) Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Websur des applications Web
+59% entre le dernier semestre 2004 et le premier semestre 2005+59% entre le dernier semestre 2004 et le premier semestre 2005+109% entre le premier semestre 2004 et le premier semestre 2005+109% entre le premier semestre 2004 et le premier semestre 2005
Forte augmentation des incidents sur les sites Web (Source : Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005)Etudes CSI/FBI 2004 & 2005)
2004 : 89% des interviewés déclarent 1 à 5 incidents2004 : 89% des interviewés déclarent 1 à 5 incidents2005 : 95% des interviewés déclarent plus de 10 incidents2005 : 95% des interviewés déclarent plus de 10 incidents
90% des applications Web seraient vulnérables (source : étude 90% des applications Web seraient vulnérables (source : étude WebCohort Application Defense Center's penetration testing effectuée de WebCohort Application Defense Center's penetration testing effectuée de
janvier 2000 à janvier 2004)janvier 2000 à janvier 2004)
Application Layer Application Layer ContentContent
????????????????????????????????????????
Différentes vues d’un paquet TCP/IP
Seul l’entête du paquet est analysé. Le contenu au niveau Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire”de la couche application est comme une “boite noire”La décision de laisser passer est basée sur les numéros de La décision de laisser passer est basée sur les numéros de portsportsIP HeaderIP Header
Source Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP HeaderSequence Number
Source Port,Destination Port,
Checksum
Application Layer ContentApplication Layer Content<html><head><meta http-
quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"
IP HeaderIP Header
Source Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP Header
Sequence NumberSource Port,
Destination Port,Checksum
Les entêtes du paquet Les entêtes du paquet etet le contenu sont inspectés le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP)Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP)Les décisions de laisser passer sont basées sur le contenuLes décisions de laisser passer sont basées sur le contenu
Pare feu “traditionnel”
Pare feu multicouches (3,4,7)
ISA Server en quelques mots
Proxy cache
Reverse proxy
Proxy applicatifPasserelle VPN- VPN nomades- VPN site à site
Pare-feu multicouches (3,4 et 7)
Filtrage extensible
www.vpnc.org
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx
Network Engines NS Network Engines NS AppliancesAppliances
http://www.networkengines.http://www.networkengines.com/sol/nsapplianceseries.acom/sol/nsapplianceseries.aspxspx
Autres OEMs :Autres OEMs :
Disponible en « appliance »
ISA Server 2004 : un produit extensible
Filtrage Filtrage applicatifapplicatif
AntivirusAntivirus AuthentificationAuthentification
Contrôle d’URLsContrôle d’URLs
AccélérateursAccélérateursSSLSSL
ReportingReportingHaute Haute
disponibilitédisponibilité
Plus de partenaires :http://www.microsoft.com/isaserver/partners/default.asp
AppliancesAppliances
Méthodologie d’une attaque
Découverte des serveurs cibles
Requête WhoisRequête Whois
Utilisation de moteurs de recherche Utilisation de moteurs de recherche
Transfert de zone DNSTransfert de zone DNS
……
Passons à la démonstration 0 Passons à la démonstration 0
Démonstration 0
On dispose d’un nom de domaine :On dispose d’un nom de domaine :Target.comTarget.com
On va chercher ce qui se cache derrièreOn va chercher ce qui se cache derrière
On vient d’obtenir :On vient d’obtenir :mail.target.com 192.168.1.1mail.target.com 192.168.1.1ftp.target.com 192.168.1.1ftp.target.com 192.168.1.1www.target.com 192.168.1.2www.target.com 192.168.1.2……
Attaque de serveurs WebExemple d’attaques possibles sur un serveur Web :Exemple d’attaques possibles sur un serveur Web :
Entrée de paramètres non validesEntrée de paramètres non validesVirus (Nimda, Code Red...)Virus (Nimda, Code Red...)Buffer OverflowBuffer OverflowInjection de commandesInjection de commandesCross Site ScriptingCross Site ScriptingDirectory traversalDirectory traversalVol d’authentification ou de sessionVol d’authentification ou de session……
Au-delà des vulnérabilités liées au serveur Web, il existe Au-delà des vulnérabilités liées au serveur Web, il existe désormais une désormais une couche supplémentaire à maintenir à jour couche supplémentaire à maintenir à jour et à protéger : et à protéger : les applications Webles applications Web..
Combinez une application web vulnérable avec Combinez une application web vulnérable avec l’utilisation de HTTPS et vous obtenez un cocktail explosif l’utilisation de HTTPS et vous obtenez un cocktail explosif pour outrepasser les défenses assurées par votre pare-pour outrepasser les défenses assurées par votre pare-feu traditionnel.feu traditionnel.
Démonstration 1
HTTP(TCP 80)
Le filtre HTTP
Les options suivantes sont disponibles:Les options suivantes sont disponibles:Limiter la taille maximale des entêtes Limiter la taille maximale des entêtes (header) dans les requêtes HTTP(header) dans les requêtes HTTPLimiter la taille de la charge utile Limiter la taille de la charge utile (payload) dans les requêtes(payload) dans les requêtesLimiter les URLs qui peuvent être Limiter les URLs qui peuvent être spécifiées dans une requêtespécifiées dans une requêteBloquer les réponses qui contiennent Bloquer les réponses qui contiennent des exécutables Windowsdes exécutables WindowsBloquer des méthodes HTTP Bloquer des méthodes HTTP spécifiquesspécifiquesBloquer des extensions HTTP Bloquer des extensions HTTP spécifiquesspécifiquesBloquer des entêtes HTTP spécifiquesBloquer des entêtes HTTP spécifiquesSpécifier comment les entêtes HTTP Spécifier comment les entêtes HTTP sont retournéssont retournésSpécifier comment les entêtes HTTP Spécifier comment les entêtes HTTP Via sont transmis ou retournésVia sont transmis ou retournésBloquer des signatures HTTP Bloquer des signatures HTTP spécifiquesspécifiques
Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP (flux sortant ou entrants)(flux sortant ou entrants)
En complément de ce filtre, il est possible de créer des filtres Web complémentaires En complément de ce filtre, il est possible de créer des filtres Web complémentaires via le SDK : via le SDK : http://msdn.microsoft.com/library/en-us/isasdk/isa/internet_security_and_acceleration_http://msdn.microsoft.com/library/en-us/isasdk/isa/internet_security_and_acceleration_server_start_page.aspserver_start_page.asp
Utilisation du filtre HTTP
Attaques de serveurs FTP
Exemple d’attaques possibles sur un serveur FTP :Exemple d’attaques possibles sur un serveur FTP :Entrée de paramètres non validesEntrée de paramètres non validesBuffer OverflowBuffer OverflowDirectory TraversalDirectory Traversal……
Conséquences d’une attaque sur un serveur FTPConséquences d’une attaque sur un serveur FTPDéni de serviceDéni de serviceCompromission des fichiers proposés en téléchargementCompromission des fichiers proposés en téléchargementElévation de privilègesElévation de privilègesEnumération des comptes utilisateursEnumération des comptes utilisateursUtilisation frauduleuse du service à des fins illégales (Warez…)Utilisation frauduleuse du service à des fins illégales (Warez…)……
En complémentEn complément d’une bonne configuration du service et du d’une bonne configuration du service et du maintien à jour du logiciel serveur, l’utilisation d’un pare-feu maintien à jour du logiciel serveur, l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une défense en applicatif est une bonne solution dans le cadre d’une défense en profondeur.profondeur.
Démonstration 2
FTP(TCP 21)
Le filtre FTPC'est un C'est un filtre applicatif filtre applicatif qui permet de limiter certaines actions dans qui permet de limiter certaines actions dans l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'utilisation du protocole FTP. Par défaut, ce filtre est activé avec l'Option Lecture seule.l'Option Lecture seule.
Quand le mode lecture seule est activé, le filtre FTP bloque toutes les Quand le mode lecture seule est activé, le filtre FTP bloque toutes les commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, commandes à l'exception des suivantes : ABOR, ACCT, CDUP, CWD /0, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, FEAT, HELP, LANG, LIST, MODE, NLST, NOOP, PASS, PASV, PORT, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, PWD /0, QUIT, REIN, REST, RETR, SITE, STRU, SYST, TYPE, USER, XDUP, XCWD, XPWD, SMNT. XDUP, XCWD, XPWD, SMNT.
Ainsi, il ne devrait pas être possible d’exécuter des commandes modifiant Ainsi, il ne devrait pas être possible d’exécuter des commandes modifiant des informations sur le serveur FTP (via une commande PUT ou MKDIR par des informations sur le serveur FTP (via une commande PUT ou MKDIR par exemple).exemple).
La liste par défaut des commandes autorisées peut être remplacée La liste par défaut des commandes autorisées peut être remplacée par une liste personnaliséepar une liste personnalisée qui contiendrait par exemple des qui contiendrait par exemple des commandes/Paramètre spécifiques (FPCVendorParametersSets) à une commandes/Paramètre spécifiques (FPCVendorParametersSets) à une implémentation spécifique du service FTP. implémentation spécifique du service FTP.
Note : pour que les modifications soient prises en comptes, il faut Note : pour que les modifications soient prises en comptes, il faut redémarrer le service Pare-feuredémarrer le service Pare-feu
Informations complémentaires et exemple de script pour Informations complémentaires et exemple de script pour personnaliser le filtre FTP : personnaliser le filtre FTP : http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdhttp://msdn.microsoft.com/library/default.asp?url=/library/en-us/isasdk/isa/configuring_add_ins.asp k/isa/configuring_add_ins.asp
Attaques SMTP
Attaques SMTP
Exemple d’attaques possibles sur un serveur SMTP :Exemple d’attaques possibles sur un serveur SMTP :Entrée de paramètres non validesEntrée de paramètres non validesBuffer OverflowBuffer OverflowDirectory TraversalDirectory TraversalVirus…Virus…
Conséquences d’une attaque sur un serveur SMTPConséquences d’une attaque sur un serveur SMTPDéni de serviceDéni de serviceUtilisation frauduleuse du service à des fins illégales (Utilisation frauduleuse du service à des fins illégales (SPAM,SPAM, DDoS…)DDoS…)Elévation de privilègesElévation de privilègesCompromission du système d’information et divulgation Compromission du système d’information et divulgation d’informations confidentielles…d’informations confidentielles…
En complémentEn complément d’une bonne configuration du service SMTP, du d’une bonne configuration du service SMTP, du maintien à jour du logiciel serveur, du choix d’une solution de maintien à jour du logiciel serveur, du choix d’une solution de filtrage de contenu (Anti spam, Anti-virus) l’utilisation d’un pare-filtrage de contenu (Anti spam, Anti-virus) l’utilisation d’un pare-feu applicatif est une bonne solution dans le cadre d’une feu applicatif est une bonne solution dans le cadre d’une défense en profondeur.défense en profondeur.
Démonstration 3
SMTP(TCP 25)
Démonstration 4 :Exploitation d’une vulnérabilité sur SMTP d’Exchange (MS03-046)
En résumé : Transfert de zone DNSTransfert de zone DNS
Bloqué par le Bloqué par le filtre d’intrusion DNSfiltre d’intrusion DNS
Attaque sur application Web et/ou SSLAttaque sur application Web et/ou SSLFiltrage des flux indésirables avec le Filtrage des flux indésirables avec le filtre HTTPfiltre HTTP
Pontage des connexions SSL et analyse HTTPPontage des connexions SSL et analyse HTTP
Attaque via SMTPAttaque via SMTPFiltre SMTPFiltre SMTP : Filtrage des commandes : Filtrage des commandes
Filtreur de messagesFiltreur de messages : source, extension, taille… : source, extension, taille…
Cette présentation s’est limitée à démontrer l’utilité de quelques filtres d’ISA Server 2004. Celui-ci dispose encore d’autres filtres (MS RPC POP3, MMS, RTSP…) permettant de se prémunir contre les attaques sur les protocoles couramment utilisés.
Ressources utilesSite Web MicrosoftSite Web Microsoft
www.microsoft.com/isaserverwww.microsoft.com/isaserverwww.microsoft.com/france/isawww.microsoft.com/france/isahttp://www.microsoft.com/isaserver/http://www.microsoft.com/isaserver/support/prevent/default.mspx support/prevent/default.mspx
Webcasts, e-démos et séminaires Webcasts, e-démos et séminaires TechNetTechNet (Gratuits) (Gratuits) Sites externesSites externes
www.isaserver.orgwww.isaserver.orgwww.isaserverfr.orgwww.isaserverfr.orgwww.isatools.orgwww.isatools.org
Newsgroup françaisNewsgroup françaisMicrosoft.public.fr.isaserverMicrosoft.public.fr.isaserver
Kits de déploiementKits de déploiementBlogsBlogs
Blogs.technet.com/stanislasBlogs.technet.com/stanislas
Kits d’évaluation ISA ServerKits d’évaluation ISA ServerVersion d’évaluation (120 jours)Version d’évaluation (120 jours)CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)
Questions / Réponses
Merci pour votre attention