utilisation malveillante des suivis de connexions
play

Utilisation malveillante des suivis de connexions ric Leblond OISF - PowerPoint PPT Presentation

Feb 25, 2024 •219 likes •1.38k views

Utilisation malveillante des suivis de connexions ric Leblond OISF SSTIC 2012 ric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 1 / 41 Eric Leblond (Regit) Spcialiste de la scurit des rseaux Utilisateur et

  1. Degré de liberté induit par les helpers Netfilter Module Source Destination Port Dest Option ftp Fixed In CMD In CMD loose = 1 (dflt) ftp In CMD In CMD loose = 0 Full h323 Fixed Fixed In CMD irc Fixed In CMD Full sip signalling Fixed Fixed In CMD sip_direct_signalling = 1 (dflt) sip signalling In CMD In CMD sip_direct_signalling = 0 Full Légende : Fixed: La valeur provient de paramètres IP de la connexion de signalisation. La valeur ne peut donc être forgée. In CMD: La valeur est calculée en analysant le contenu du message protocolaire et peut donc être forgée. Full: La liberté est totale, toutes les valeurs sont acceptées. Les options sont spécifiques à Netfilter. Cependant les degrés de libertés sont semblables pour tous les pare-feu utilisant des ALGs. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 11 / 41

  2. Analyse globale Des valeurs par défaut saines Les extensions dangereuses des protocoles sont désactivées. Si on étudie l’attaque d’un client contre un serveur : Il est impossible d’ouvrir une connexion arbitraire sur serveur Le niveau de sécurité est donc acceptable Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 12 / 41

  3. Analyse globale Des valeurs par défaut saines Les extensions dangereuses des protocoles sont désactivées. Si on étudie l’attaque d’un client contre un serveur : Il est impossible d’ouvrir une connexion arbitraire sur serveur Le niveau de sécurité est donc acceptable Dans la limite des protocoles La sécurité des helpers s’arrête là ou commence l’utilisabilité du protocole. Le helper IRC est très sympathique. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 12 / 41

  4. Analyse de FTP Si on suit la RFC ( loose = 0). Un serveur FTP peut participer à l’initialisation d’une connexion depuis un client vers un autre serveur. Il peut donc ouvrir des connexions arbitraires à travers le pare-feu. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 13 / 41

  5. Analyse de FTP Si on suit la RFC ( loose = 0). Un serveur FTP peut participer à l’initialisation d’une connexion depuis un client vers un autre serveur. Il peut donc ouvrir des connexions arbitraires à travers le pare-feu. Si on s’occupe de la sécurité ( loose = 1). Les Expectation sont statiquement liées à l’adresse du serveur. Les connexions possibles sont acceptables. C’est la valeur par défaut. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 13 / 41

  6. Analyse d’IRC La commande DCC La commande DCC permet un transfert entre deux clients d’un même serveur. Il est impossible de connaître l’adresse source. Le port destination est fixé par le le client. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 14 / 41

  7. Analyse d’IRC La commande DCC La commande DCC permet un transfert entre deux clients d’un même serveur. Il est impossible de connaître l’adresse source. Le port destination est fixé par le le client. Conséquences Permettre DCC revient donc à autoriser des connexions arbitraires depuis internet vers cette IP . L ’ordinateur client a une liberté totale d’ouverture de connexions. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 14 / 41

  8. Analyse d’IRC La commande DCC La commande DCC permet un transfert entre deux clients d’un même serveur. Il est impossible de connaître l’adresse source. Le port destination est fixé par le le client. Conséquences Permettre DCC revient donc à autoriser des connexions arbitraires depuis internet vers cette IP . L ’ordinateur client a une liberté totale d’ouverture de connexions. A mistake is simply another way of doing things. (Katharine Graham) Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 14 / 41

  9. Utilisation de la commande DCC Le client NATé derrière le pare-feu, le port N est fermé Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 15 / 41

  10. Utilisation de la commande DCC Le client NATé derrière le pare-feu, le port N est fermé Le client envoie une commande DCC forgée vers un “serveur” IRC Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 15 / 41

  11. Utilisation de la commande DCC Le client NATé derrière le pare-feu, le port N est fermé Le client envoie une commande DCC forgée vers un “serveur” IRC Le pare-feu crée une expectation et le client peut ouvrir une connexion Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 15 / 41

  12. Démonstration de l’usage de DCC Video Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 16 / 41

  13. Démonstration de l’usage de DCC Video Connectons nous depuis Internet au port 6000 d’un client NATé. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 16 / 41

  14. Utilisation sûre des helpers Netfilter Désactivation des helpers par défaut Chargement du helper avec ports=0 ou entrée de proc (Linux > 3.5): modprobe nf_conntrack_ftp ports=0 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 17 / 41

  15. Utilisation sûre des helpers Netfilter Désactivation des helpers par défaut Chargement du helper avec ports=0 ou entrée de proc (Linux > 3.5): modprobe nf_conntrack_ftp ports=0 Utilisation de la cible CT Activation du helper pour autoriser de manière explicite le trafic relatif : ip t a b l e s − A PREROUTING − t raw − p tcp − − dport 21 \ \ − d $MY_FTP_SERVER − j CT − − helper f t p ip t a b l e s − A FORWARD − m conntrack − − c t s t a t e RELATED \ \ m helper − − helper f t p − d $MY_FTP_SERVER \ \ − − p tcp − − dport 1024: − j ACCEPT Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 17 / 41

  16. Utilisation sûre des helpers Netfilter Désactivation des helpers par défaut Chargement du helper avec ports=0 ou entrée de proc (Linux > 3.5): modprobe nf_conntrack_ftp ports=0 Utilisation de la cible CT Activation du helper pour autoriser de manière explicite le trafic relatif : ip t a b l e s − A PREROUTING − t raw − p tcp − − dport 21 \ \ − d $MY_FTP_SERVER − j CT − − helper f t p ip t a b l e s − A FORWARD − m conntrack − − c t s t a t e RELATED \ \ m helper − − helper f t p − d $MY_FTP_SERVER \ \ − − p tcp − − dport 1024: − j ACCEPT Plus d’informations Voir https://home.regit.org/netfilter-en/secure-use-of-helpers/ Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 17 / 41

  17. Introduction 1 Netfilter et le Conntrack Degré de liberté induit par les helpers Netfilter Description de l’attaque 2 Conditions et principes Cas du FTP Autres protocoles Impact et protection 3 Netfilter Checkpoint Conclusion 4 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 18 / 41

  18. Objectif Est-il possible en tant que client de déclencher des comportements non souhaités? Peut-on ouvrir des flux "arbitraires" sur un pare-feu ? Peut-on ouvrir des ports sur un serveur ? Peut-on accéder ainsi à des services mal protégés? Comme une base de données interne Comme des services vulnérables Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 19 / 41

  19. Objectif Est-il possible en tant que client de déclencher des comportements non souhaités? Peut-on ouvrir des flux "arbitraires" sur un pare-feu ? Peut-on ouvrir des ports sur un serveur ? Peut-on accéder ainsi à des services mal protégés? Comme une base de données interne Comme des services vulnérables L ’étude des helpers a montré que c’était impossible sans malice : Les possibilités du client sont toujours limitées. Les extensions dangereuses sont désactivées par défaut. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 19 / 41

  20. Objectif Est-il possible en tant que client de déclencher des comportements non souhaités? Peut-on ouvrir des flux "arbitraires" sur un pare-feu ? Peut-on ouvrir des ports sur un serveur ? Peut-on accéder ainsi à des services mal protégés? Comme une base de données interne Comme des services vulnérables L ’étude des helpers a montré que c’était impossible sans malice : Les possibilités du client sont toujours limitées. Les extensions dangereuses sont désactivées par défaut. Une approche alternative doit donc être trouvée. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 19 / 41

  21. Idée basique Seul le serveur peut envoyer des messages intéressants. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  22. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  23. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  24. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Il est possible sous certaines conditions d’envoyer un message pour le serveur. Un ordinateur peut forger un paquet IP arbitraire et l’envoyer à la passerelle si l’ordinateur est sur le même réseau Ethernet que la passerelle. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  25. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Il est possible sous certaines conditions d’envoyer un message pour le serveur. Un ordinateur peut forger un paquet IP arbitraire et l’envoyer à la passerelle si l’ordinateur est sur le même réseau Ethernet que la passerelle. Un attaquant sur un réseau directement connecté peut envoyer des paquets : Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  26. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Il est possible sous certaines conditions d’envoyer un message pour le serveur. Un ordinateur peut forger un paquet IP arbitraire et l’envoyer à la passerelle si l’ordinateur est sur le même réseau Ethernet que la passerelle. Un attaquant sur un réseau directement connecté peut envoyer des paquets : à l’adresse Ethernet du pare-feu Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  27. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Il est possible sous certaines conditions d’envoyer un message pour le serveur. Un ordinateur peut forger un paquet IP arbitraire et l’envoyer à la passerelle si l’ordinateur est sur le même réseau Ethernet que la passerelle. Un attaquant sur un réseau directement connecté peut envoyer des paquets : à l’adresse Ethernet du pare-feu avec comme source l’adresse IP du serveur Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  28. Idée basique Seul le serveur peut envoyer des messages intéressants. Nous pouvons forcer le serveur à envoyer un message forgé. Nous ne pouvons forcer le serveur à le faire. Il est possible sous certaines conditions d’envoyer un message pour le serveur. Un ordinateur peut forger un paquet IP arbitraire et l’envoyer à la passerelle si l’ordinateur est sur le même réseau Ethernet que la passerelle. Un attaquant sur un réseau directement connecté peut envoyer des paquets : à l’adresse Ethernet du pare-feu avec comme source l’adresse IP du serveur Essayons cette méthode. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 20 / 41

  29. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  30. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  31. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  32. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  33. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  34. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Incrémente l’identifiant IP . Positionne le numéro de séquence TCP grâce à sa connaissance des paquets échangés. Met à jour les sommes de contrôles et les longueurs. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  35. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Incrémente l’identifiant IP . Positionne le numéro de séquence TCP grâce à sa connaissance des paquets échangés. Met à jour les sommes de contrôles et les longueurs. L ’attaquant envoie alors ce paquet forgé sur le réseau. 4 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  36. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Incrémente l’identifiant IP . Positionne le numéro de séquence TCP grâce à sa connaissance des paquets échangés. Met à jour les sommes de contrôles et les longueurs. L ’attaquant envoie alors ce paquet forgé sur le réseau. 4 Le pare-feu traite la requête forgée qui est valide au niveau IP et 5 au niveau Ethernet Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  37. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Incrémente l’identifiant IP . Positionne le numéro de séquence TCP grâce à sa connaissance des paquets échangés. Met à jour les sommes de contrôles et les longueurs. L ’attaquant envoie alors ce paquet forgé sur le réseau. 4 Le pare-feu traite la requête forgée qui est valide au niveau IP et 5 au niveau Ethernet Le pare-feu crée une expectation avec les paramètres “donnés” 6 par le serveur. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  38. Description de l’attaque L ’attaquant ouvre une connexion réseau légitime pour un 1 protocole donné. Il sniffe le trafic réseau pour ce protocole. 2 Il récupère un paquet venant du serveur. 3 Inverse source et destination au niveau Ethernet. Modifie la charge du paquet en forgeant une commande serveur avec des paramètres choisis. Incrémente l’identifiant IP . Positionne le numéro de séquence TCP grâce à sa connaissance des paquets échangés. Met à jour les sommes de contrôles et les longueurs. L ’attaquant envoie alors ce paquet forgé sur le réseau. 4 Le pare-feu traite la requête forgée qui est valide au niveau IP et 5 au niveau Ethernet Le pare-feu crée une expectation avec les paramètres “donnés” 6 par le serveur. L ’attaquant peut alors ouvrir une connexion avec les paramètres 7 qu’il a choisi. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 21 / 41

  39. Étude du protocole FTP Connexion dynamique Des connexions dynamiques peuvent être ouvertes vers le serveur en mode passif : Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 22 / 41

  40. Étude du protocole FTP Connexion dynamique Des connexions dynamiques peuvent être ouvertes vers le serveur en mode passif : Le serveur envoie un message au client pour indiquer quelle IP et quel port utiliser. Le client se connecte alors avec les paramètres fournis. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 22 / 41

  41. Étude du protocole FTP Connexion dynamique Des connexions dynamiques peuvent être ouvertes vers le serveur en mode passif : Le serveur envoie un message au client pour indiquer quelle IP et quel port utiliser. Le client se connecte alors avec les paramètres fournis. Cas d’IPv4 Demande d’une connexion cliente à 192.168.2.2 sur le port 3306: 227 Entering Passive Mode (192,168,2,2,12,234)\r\n Le format est simple (si on sait que 12 ∗ 256 + 334 = 3306). Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 22 / 41

  42. Étude du protocole FTP Connexion dynamique Des connexions dynamiques peuvent être ouvertes vers le serveur en mode passif : Le serveur envoie un message au client pour indiquer quelle IP et quel port utiliser. Le client se connecte alors avec les paramètres fournis. Cas d’IPv4 Demande d’une connexion cliente à 192.168.2.2 sur le port 3306: 227 Entering Passive Mode (192,168,2,2,12,234)\r\n Le format est simple (si on sait que 12 ∗ 256 + 334 = 3306). Cas d’IPv6 Demande d’une connexion cliente sur le port 3306: 229 Extended Passive Mode OK (|||3306|)\r\n Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 22 / 41

  43. Essai sur Netfilter Video Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 23 / 41

  44. Essai sur Netfilter Video Prenons un pare-feu avec une politique de filtrage autorisant seulement le port 21 et ouvrons une connexion vers le port 22 du serveur FTP . Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 23 / 41

  45. Violation de la politique de sécurité Nous sommes parvenus à ouvrir une connexion sur le port 22. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 24 / 41

  46. Violation de la politique de sécurité Nous sommes parvenus à ouvrir une connexion sur le port 22. Avec une politique de filtrage ne le permettant pas. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 24 / 41

  47. Violation de la politique de sécurité Nous sommes parvenus à ouvrir une connexion sur le port 22. Avec une politique de filtrage ne le permettant pas. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 24 / 41

  48. Violation de la politique de sécurité Nous sommes parvenus à ouvrir une connexion sur le port 22. Avec une politique de filtrage ne le permettant pas. Tout doux, chaton, tout doux! Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 24 / 41

  49. Contre-mesures L ’anti-spoofing est suffisant pour bloquer l’attaque. Reverse path filtering est notre ami: Accepter seulement les paquet arrivant sur une interface si on a une route vers cette source passant par cette interface. Le noyau ne traitera alors pas le paquet d’attaque. C’est si facile d’être protégé? Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 25 / 41

  50. Contre-mesures L ’anti-spoofing est suffisant pour bloquer l’attaque. Reverse path filtering est notre ami: Accepter seulement les paquet arrivant sur une interface si on a une route vers cette source passant par cette interface. Le noyau ne traitera alors pas le paquet d’attaque. C’est si facile d’être protégé? Oui Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 25 / 41

  51. Contre-mesures L ’anti-spoofing est suffisant pour bloquer l’attaque. Reverse path filtering est notre ami: Accepter seulement les paquet arrivant sur une interface si on a une route vers cette source passant par cette interface. Le noyau ne traitera alors pas le paquet d’attaque. C’est si facile d’être protégé? Oui Mais il reste quelques surprises. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 25 / 41

  52. Autres protocoles IRC Le helper IRC donne déjà tous les pouvoirs au client. Mais peut on agir contre le client ? Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 26 / 41

  53. Autres protocoles IRC Le helper IRC donne déjà tous les pouvoirs au client. Mais peut on agir contre le client ? La même technique s’applique avec les conditions suivantes : Attaquant et client séparé par le pare-feu. L ’attaquant est sur un réseau directement connecté sur un pare-feu. Le trafic IRC peut être sniffé par l’attaquant (MITM ou serveur). Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 26 / 41

  54. Autres protocoles IRC Le helper IRC donne déjà tous les pouvoirs au client. Mais peut on agir contre le client ? La même technique s’applique avec les conditions suivantes : Attaquant et client séparé par le pare-feu. L ’attaquant est sur un réseau directement connecté sur un pare-feu. Le trafic IRC peut être sniffé par l’attaquant (MITM ou serveur). Plus contraignant, pas vraiment intéressant. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 26 / 41

  55. Autres protocoles IRC Le helper IRC donne déjà tous les pouvoirs au client. Mais peut on agir contre le client ? La même technique s’applique avec les conditions suivantes : Attaquant et client séparé par le pare-feu. L ’attaquant est sur un réseau directement connecté sur un pare-feu. Le trafic IRC peut être sniffé par l’attaquant (MITM ou serveur). Plus contraignant, pas vraiment intéressant. SIP Le serveur envoie des paramètres de port d’une façon similaire à FTP . La même attaque est possible. Seule le contenu de l’attaque doit être adapté. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 26 / 41

  56. Introduction 1 Netfilter et le Conntrack Degré de liberté induit par les helpers Netfilter Description de l’attaque 2 Conditions et principes Cas du FTP Autres protocoles Impact et protection 3 Netfilter Checkpoint Conclusion 4 Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 27 / 41

  57. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter . Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  58. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut . Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  59. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  60. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Pour l’activer: echo "1"> / proc / sys / net / ipv4 / conf / a l l / r p _ f i l t e r Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  61. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Pour l’activer: echo "1"> / proc / sys / net / ipv4 / conf / a l l / r p _ f i l t e r Hummmmm Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  62. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Pour l’activer: echo "1"> / proc / sys / net / ipv4 / conf / a l l / r p _ f i l t e r Hummmmm et pour IPv6 ? Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  63. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Pour l’activer: echo "1"> / proc / sys / net / ipv4 / conf / a l l / r p _ f i l t e r Hummmmm et pour IPv6 ? Trop facile, positionnons la valeur dans /proc : echo "1"> / proc / sys / net / ipv6 / conf / a l l / r p _ f i l t e r / proc / sys / net / ipv6 / conf / a l l / r p _ f i l t e r : No such f i l e or d i r e c t o r y Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  64. Protection de Netfilter Il suffit d’utiliser la fonctionnalité rp_filter. Elle est disponible depuis le siècle dernier dans tout les noyaux Linux. Désactivée par défaut. Activée par tous les scripts de filtrage décents Pour l’activer: echo "1"> / proc / sys / net / ipv4 / conf / a l l / r p _ f i l t e r Hummmmm et pour IPv6 ? Trop facile, positionnons la valeur dans /proc : echo "1"> / proc / sys / net / ipv6 / conf / a l l / r p _ f i l t e r / proc / sys / net / ipv6 / conf / a l l / r p _ f i l t e r : No such f i l e or d i r e c t o r y Okay, Houston, we’ve had a problem here. (Jack Swigert) Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 28 / 41

  65. Protection IPv6 pour Netfilter Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  66. Protection IPv6 pour Netfilter Une configuration manuelle est nécessaire. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  67. Protection IPv6 pour Netfilter Une configuration manuelle est nécessaire. Des règles ip6tables dédiées doivent être ajoutées. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  68. Protection IPv6 pour Netfilter Une configuration manuelle est nécessaire. Des règles ip6tables dédiées doivent être ajoutées. La topologie réseau doit être connue. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  69. Protection IPv6 pour Netfilter Une configuration manuelle est nécessaire. Des règles ip6tables dédiées doivent être ajoutées. La topologie réseau doit être connue. Les bonnes implémentations utilisent déjà ce genre de règles. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  70. Protection IPv6 pour Netfilter Une configuration manuelle est nécessaire. Des règles ip6tables dédiées doivent être ajoutées. La topologie réseau doit être connue. Les bonnes implémentations utilisent déjà ce genre de règles. Mais protègent elles contre l’attaque ? Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 29 / 41

  71. Protection IPv6 pour Netfilter Le mauvais exemple ip6tables − A FORWARD − m state − − state ESTABLISHED,RELATED − j ACCEPT ip6tables − A FORWARD − i $CLIENT_IFACE ! − s $CLIENT_NET − j DROP Le paquet appartient à une connexion établie. Accepté par la première règle, il n’est pas vu par l’anti-spoofing. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 30 / 41

  72. Protection IPv6 pour Netfilter Le mauvais exemple ip6tables − A FORWARD − m state − − state ESTABLISHED,RELATED − j ACCEPT ip6tables − A FORWARD − i $CLIENT_IFACE ! − s $CLIENT_NET − j DROP Le paquet appartient à une connexion établie. Accepté par la première règle, il n’est pas vu par l’anti-spoofing. La bonne méthode ip6tables − A PREROUTING − t raw − i $CLIENT_IFACE ! − s $CLIENT_NET − j DROP Le paquet est bloqué avant d’atteindre le suivi de connexions. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 30 / 41

  73. Protection IPv6 pour Netfilter Le mauvais exemple ip6tables − A FORWARD − m state − − state ESTABLISHED,RELATED − j ACCEPT ip6tables − A FORWARD − i $CLIENT_IFACE ! − s $CLIENT_NET − j DROP Le paquet appartient à une connexion établie. Accepté par la première règle, il n’est pas vu par l’anti-spoofing. La bonne méthode ip6tables − A PREROUTING − t raw − i $CLIENT_IFACE ! − s $CLIENT_NET − j DROP Le paquet est bloqué avant d’atteindre le suivi de connexions. La nouvelle méthode (Linux > 3.3) ip6tables − A PREROUTING − t raw − m r p f i l t e r − − i n v e r t − j DROP Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 30 / 41

  74. Paramétrage de Checkpoint Débutant Checkpoint Je n’ai pas lu la documentation. Pourquoi devrais je le faire ? Je travaille avec des pare-feu depuis des années. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 31 / 41

  75. Paramétrage de Checkpoint Débutant Checkpoint Je n’ai pas lu la documentation. Pourquoi devrais je le faire ? Je travaille avec des pare-feu depuis des années. Qui n’a jamais fait pas pareil ? Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 31 / 41

  76. Paramétrage de Checkpoint Débutant Checkpoint Je n’ai pas lu la documentation. Pourquoi devrais je le faire ? Je travaille avec des pare-feu depuis des années. Qui n’a jamais fait pas pareil ? Logiciel utilisé Version d’évaluation. Installation du minimum de fonctionnalités. Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 31 / 41

  77. Paramétrage de Checkpoint Débutant Checkpoint Je n’ai pas lu la documentation. Pourquoi devrais je le faire ? Je travaille avec des pare-feu depuis des années. Qui n’a jamais fait pas pareil ? Logiciel utilisé Version d’évaluation. Installation du minimum de fonctionnalités. Installation par défaut en suivant les wizards . Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 31 / 41

  78. Paramétrage de l’environnement Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 32 / 41

  79. Paramétrage de l’environnement Créons une politique de filtrage avec une unique règle autorisant FTP ; Éric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 32 / 41

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works

Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works

Parent/Carer Introduction to Work Experience & Link2+ Online Booking System Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works with the majority of secondary learning providers in Hertfordshire

816 views • 26 slides
Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works

Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works

Student Introduction to Work Experience & Link2+ Online Booking System Who are Youth Connexions? Youth Connexions is part of Hertfordshire County Council. It works with the majority of secondary learning providers in Hertfordshire

247 views • 24 slides
How videoconferencing enhances teaching and learning? Asia ConneXions Dr Myung-sook Auh Program

How videoconferencing enhances teaching and learning? Asia ConneXions Dr Myung-sook Auh Program

How videoconferencing enhances teaching and learning? Asia ConneXions Dr Myung-sook Auh Program Director of the Asia ConneXions University of New England, Australia mauh@une.edu.au 1 1. Dialogue Cafe 2 Dialogue Caf is a non-profit

869 views • 42 slides
The he Eng English-speaking P ng Populati tion o on of RLS des Co s Collin llines and the

The he Eng English-speaking P ng Populati tion o on of RLS des Co s Collin llines and the

The he Eng English-speaking P ng Populati tion o on of RLS des Co s Collin llines and the Outaoua ouais R Regi gion on Connexions Annual General Meeting Dr. Joanne Pocock for CHSSN June 20, 2018 Connexions Resource Centre is a

527 views • 24 slides
Connexions Open Source Textbooks Open Source Assessment Richard Baraniuk Rice University

Connexions Open Source Textbooks Open Source Assessment Richard Baraniuk Rice University

Connexions Open Source Textbooks Open Source Assessment Richard Baraniuk Rice University educational publishing poor access to high-quality teaching materials ($$$) inefficient development concept silos educational assessment lack of

408 views • 18 slides
Production and Utilisation of highly concentrated HD for the Validation of the Calibration of

Production and Utilisation of highly concentrated HD for the Validation of the Calibration of

Production and Utilisation of highly concentrated HD for the Validation of the Calibration of Hydrogen Analysis Systems at the Tritium Laboratory Karlsruhe Presentation of Tim Brunst in the context of his Masters Thesis Institute for

751 views • 60 slides
Utilisation of computational intelligence for simplification of linear objects using extended WEA

Utilisation of computational intelligence for simplification of linear objects using extended WEA

Utilisation of computational intelligence for simplification of linear objects using extended WEA algorithm 1 Anna Fiedukowicz Agata Pillich- Kolipiska Robert Olszewski 1 This work has been supported by the European Union in the framework of

277 views • 17 slides
Enhancing Knowledge and Opportunities Derived from Utilisation of M GR from ABNJ through Open

Enhancing Knowledge and Opportunities Derived from Utilisation of M GR from ABNJ through Open

Enhancing Knowledge and Opportunities Derived from Utilisation of M GR from ABNJ through Open Access, Capacity Building and Inclusive Innovation Jane Collins, Harriet Harden-Davies, M arcel Jaspars, Torsten Thiele, Thomas Vanagt, Isabelle Huys 27

238 views • 9 slides
Annexure Theme 1: Efficient management of low- or no-cost inputs and bio-resources utilisation

Annexure Theme 1: Efficient management of low- or no-cost inputs and bio-resources utilisation

XIII XXI Biennial National Symposium of Indian Society of Agronomy , 2426 October, 2018 at MPUAT, Udaipur, Rajasthan Annexure Theme 1: Efficient management of low- or no-cost inputs and bio-resources utilisation Page No. S.No. SATISH KUMAR,

606 views • 22 slides
Excessive Utilisation and Supplier Induced Demand Jeremy Nighohossian, Ph.D. and Margaret E.

Excessive Utilisation and Supplier Induced Demand Jeremy Nighohossian, Ph.D. and Margaret E.

Seminar: Excessive Utilisation and Supplier Induced Demand Jeremy Nighohossian, Ph.D. and Margaret E. Guerin-Calvert 12 April 2019 Summary of conclusions The analyses and recommendations for SID are completely divorced from the theories

435 views • 27 slides
Standardisation developments in field of carbon capture, storage and utilisation CO 2 Value Europe

Standardisation developments in field of carbon capture, storage and utilisation CO 2 Value Europe

Standardisation developments in field of carbon capture, storage and utilisation CO 2 Value Europe Working group Quality standards for CO 2 3 rd CO 2 Value Day | RDM Campus Rotterdam | 5 November 2019 Jarno Dakhorst , NEN consultant

1.18k views • 44 slides
Utilisation of sorghum waste for particleboard production - density profile Jn Idinsk 1

Utilisation of sorghum waste for particleboard production - density profile Jn Idinsk 1

Utilisation of sorghum waste for particleboard production - density profile Jn Idinsk 1 Zuzana Vrbov 1 Vilm tefka 1 1 Faculty of Wood Sciences and Technology, Technical University of Zvolen, SK-96053 Zvolen, Slovakia

157 views • 5 slides
Utilisation of lignite fly ash in oil sorption and energy saving during clinker production Olga K.

Utilisation of lignite fly ash in oil sorption and energy saving during clinker production Olga K.

Proceedings of the EUROCOALASH 2012 Conference, Thessaloniki Greece, September 25-27 2012 http:// www.evipar.org/ Utilisation of lignite fly ash in oil sorption and energy saving during clinker production Olga K. Karakasi 1 , Angeliki Moutsatsou

386 views • 13 slides
Funds Utilisation 2018 by the Rotary Club Royal Hua Hin TOTAL - THB 1,057,380 Pranburi National

Funds Utilisation 2018 by the Rotary Club Royal Hua Hin TOTAL - THB 1,057,380 Pranburi National

Funds Utilisation 2018 by the Rotary Club Royal Hua Hin TOTAL - THB 1,057,380 Pranburi National Park Reforestation Program Planting trees Releasing turtles in to the sea & Boardwalk Repairs Value: THB 20,000 Interact

307 views • 15 slides
Habitat utilisation of burnet moths ( Zygaena spp.) in southern Sweden: a multi-stage and

Habitat utilisation of burnet moths ( Zygaena spp.) in southern Sweden: a multi-stage and

Department of Physics, Chemistry and Biology Master Thesis Habitat utilisation of burnet moths ( Zygaena spp.) in southern Sweden: a multi-stage and multi-scale perspective Camilla Sarin LiTH-IFM- Ex--2139--SE Supervisor: Karl-Olof Bergman,

390 views • 28 slides
Review of Hong Kong public housing resources: Better utilisation of resources, better home for all

Review of Hong Kong public housing resources: Better utilisation of resources, better home for all

Review of Hong Kong public housing resources: Better utilisation of resources, better home for all 5 May 2017 Background Prices and rents of private domestic units have continued to rise, far exceeding the affordability of the general public.

1.22k views • 24 slides
Language Modeling for Codeswitching HILA GONEN PHD STUDENT AT YOAV GOLDBERGS LAB BAR ILAN

Language Modeling for Codeswitching HILA GONEN PHD STUDENT AT YOAV GOLDBERGS LAB BAR ILAN

Language Modeling for Codeswitching HILA GONEN PHD STUDENT AT YOAV GOLDBERGS LAB BAR ILAN UNIVERSITY Outline Background Codeswitching Language Modeling and Perplexity New Evaluation Method Definition Creation of data

1.17k views • 54 slides
Some FoibleS oF the Scholarly communication ProceSS John hn M M. . Budd dd Univ niversity

Some FoibleS oF the Scholarly communication ProceSS John hn M M. . Budd dd Univ niversity

Some FoibleS oF the Scholarly communication ProceSS John hn M M. . Budd dd Univ niversity o y of f Mis issouri DieDerik a. StaPel breaking newS Benedict C Care arey. F Frau raud c cas ase seen as as a a re red d flag f ag

505 views • 18 slides
Artificial Intelligence (AI) Applications in Ophthalmology Robert Chang, MD IDx -- First US FDA

Artificial Intelligence (AI) Applications in Ophthalmology Robert Chang, MD IDx -- First US FDA

Artificial Intelligence (AI) Applications in Ophthalmology Robert Chang, MD IDx -- First US FDA Approval for Autonomous AI DR Detection April 2018 8191 8892 2017 Pivotal Trial N=900 10 sites Requirements: > 22 y/o, Topcon

485 views • 9 slides
My Five JAMA Papers Fahad Razak Assistant Professor and Internist, St Michael's Hospital,

My Five JAMA Papers Fahad Razak Assistant Professor and Internist, St Michael's Hospital,

My Five JAMA Papers Fahad Razak Assistant Professor and Internist, St Michael's Hospital, Unity Health, University of Toronto Assistant Professor, Institute for Health Policy, Management and Evaluation, University of Toronto Scientist, Li

1.09k views • 74 slides
POINCAR ET LA THORIE DE LA RELATIVIT Thibault Damour Institut

POINCAR ET LA THORIE DE LA RELATIVIT Thibault Damour Institut

POINCAR ET LA THORIE DE LA RELATIVIT Thibault Damour Institut des Hautes Etudes Scientifiques Confrence Henri Poincar , Acadmie des Sciences, 6 novembre 2012

756 views • 29 slides
Forecasting and Now-Casting with Disparate Predictors: Dynamic Factor Models and Beyond FEMES

Forecasting and Now-Casting with Disparate Predictors: Dynamic Factor Models and Beyond FEMES

Forecasting and Now-Casting with Disparate Predictors: Dynamic Factor Models and Beyond FEMES 2006 Meetings Beijing James. H. Stock Harvard University Joint work with Mark W. Watson, Princeton University 1 Introduction The history of

781 views • 64 slides
Equal opportunity not based on Where you were born Where you went to school

Equal opportunity not based on Where you were born Where you went to school

What is the American Dream? Equal opportunity not based on Where you were born Where you went to school Who your parents are What your race or religion is Access to capital based on ability What is the American

711 views • 40 slides
CHERI Capability Hardware Enhanced RISC Instructions Robert N. M. Watson , Simon W. Moore , Peter

CHERI Capability Hardware Enhanced RISC Instructions Robert N. M. Watson , Simon W. Moore , Peter

CHERI Capability Hardware Enhanced RISC Instructions Robert N. M. Watson , Simon W. Moore , Peter Sewell , Peter G. Neumann Hesham Almatary, Jonathan Anderson, John Baldwin, Hadrien Barrel, Ruslan Bukin, David Chisnall, James Clarke, Nirav Dave,

472 views • 16 slides

More recommend