1. Aucune catégorie

Malwares et outils de détection d'intrusion

Telechargé par Aristide-Dédicace NDODET KOVOUNGBO
Téléchargement
Ajouter à la (aux) collection (s) Ajouter à enregistré
Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI
Par Narcisse TALLA avril 2012
36
CHAPITRE3: MALWARESETOUTILSGRATUITSDE
DETECTIOND'INTRUSIONS
3.1 Outilsgratuitsdedétectiond’intrusions
3.1.1 Tiger2.2.4
Tiger est un ensemble de scripts qui recherche dans un système les faiblesses qui
pourraient permettre à une utilisation non‐autorisée d'en changer les configurations,
d'accéderàlaracineoudemodifierdesfichierssystèmesimportants.Al'origine,Tiger
fut développé à l'université du Texas A&M. Il peut être chargé à partir de l'adresse
suivante:http://www.net.tamu.edu/ftp/security/TAMU.Ilexisteplusieursversionsde
Tigerdisponibles:
¾ Tiger2.2.3pl,unedesdernièresversionsendateavecdesscriptscheck_devset
cheek_rhostactualisées.
¾ Tiger2.2.3plASC, une version disposant de contribution du Arctic Regional
SupercomputerCenter;
¾ Tiger2.24pl,versiondutiger‐2.2.3avecsupportlinux.
Tigerbalayelesystèmeàlarecherchedecron,inted,passwd,d'autorisationdefichiers,de
pseudonymesetdevariablesPATHpourvoirs'ilspeuventêtreutiliséspouraccéderau
répertoireprincipal.Ilanalyselesvulnérabilitésdusystèmevial'utilisationd'inetdpour
déterminersiunutilisateurpeutaccéderàdistanceausystème.Ilarecourségalement
aux signatures digitales et à l'aide de MD5, pour déterminer silessystèmesde
programmesbinairesclésontétémodifiés.
3.1.2 Logcheck1.1.1
Logcheckestunscriptquianalyselesfichiersjournauxdessystèmesetrecherchetoute
activitéinhabituelleainsiquelesattaques.Bienentendu,celaveutdirequ'unintrusn'a
pas encore obtenu l'accès au répertoire de l'hôte et ne peut donc modifier les fichiers
journaux. L'un des gros problèmes dans la maintenance des fichiers journaux est la
quantité d'information collectée surdessystèmes importants, l'analyse (par scanning)
manuelle des fichiers journaux peut demander plusieurs jours. Logcheck simplifie le
contrôledujournalsystèmeenclassantlesinformationsreprisesdanslejournaleten
l'envoyantpare‐mailàl'administrationsystème.
Logcheck peut être configuré de manière à n'envoyer dans un rapport queles
informationsquevoussouhaitezetignorercellesquevousnedésirezpas.C'estl'undes
Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI
Par Narcisse TALLA avril 2012
37
éléments du projet Abacus, un système de prévention d'intrusion. Cependant, tous les
élémentsnesontpasencorestables.Logcheckestbasésurunprogrammedecontrôlede
journal appelé " frequentchech.h",unélémentduGauntletFirewallPackage. Le script
logcheck.shestinstallésur/usr/local/etc/,ainsiquelesfichiersdesmotsclés.Lescript
peutêtrechargésur:ftp://ftp.ssc.com/pub/lj/listings/issue78
3.1.3 Tripwire
Tripwireestundesoutilslesplusconnusetlesplusutilesdansladétectiond'intrusion
etlarécupérationquis'ensuit.Tripwire crée une base de données de signatures des
fichiers dans le système et lorsqu'il est exécuté en mode comparaison, il prévient les
administrateurs système des changements dans le système de fichiers. La différence
entre TripwireetTiger est que le premier est spécialisé dans les programmes de
signaturedefichiersetpeututiliserdemultiplesfonctionsdehashingpourgénérerdes
signaturesdigitalesgénérales.
Tripwire a été développé par le laboratoire «Computer Opérations Audit and Security
Technology (COAST)». La version publique disponible Tripwire1.2, est disponible à
l’adressesuivante:http://www.tripwire.com/
3.1.4 Snort
Snort est un système de détection d'intrusions mis au point par MartinROESH.Ilest
léger, sans interface graphique et peu coûteux en ressources. Snortpermetune
définition précise des signatures, une détection des entêtes etdespetitsfragments,
dénisdeserviceetdedébordementdeBuffer(scriptkiddies).Snortpeutêtretéléchargé
àl’adressesuivante:http://www.snort.org/
3.1.5 NetAudit
NetAuditestunebteàoutilsréseauxpermettantdefairedestestsdepénétrationafin
de valider la sécurité de votre réseau. NetAuditestdestinéàunpublicprofessionel
d'auditeurs réseaux. La première version de NetAudit est apparue en novembre 2009.
C'estlapremièreapplicationd'AndroidMarketàréaliserdeladétectionparfingerprint.
Actuellement,voicilesfonctionnalitéssupportées:
¾ DétectionRAPIDEdeshôtesconnectésaumêmeLANquevotreAndroid;
¾ AffichagedequelquesinformationssystèmesdevotreAndroid;
¾ Unepage"Aproposde...";
Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI
Par Narcisse TALLA avril 2012
38
¾ Auditd'uneadresseIPincluant:
o DécouverterapideduLAN;
o Empreintesdesservicestcp;
o Empreintesdessystèmesd'exploitation;
o EmpreintesdesCMSdesserveursweb;
o +de3000empreintesautotal;
o Choixdelaplagedeportsàscanner;
o OptionScanrapide(nescannequelesportscourants);
o Prochedenmap;
o FonctionnesurtouslesAndroid(1.5etsupérieurs);
o Pasbesoind'accèsroot.
Cette application est gratuiteetsanspublicité dans l'Android Market. Elle supplante
certaines applications payantes sur plateforme Android ou iPhone. Une connexion
réseauestindispensable(Wifiou3G)pourfairefonctionnerNetAudit. NetAudit ne
collecteaucunedonnéepersonnellesurlesutilisateursdel'application.Netauditnevous
géolocalise pas, il n'a pas accès à votre liste d'appels ou de contacts, il n'envoie pas
d'informationàvotreinsu.Ilnenécessitepasl'accèsroot("Jailbreak")del'Android,ce
quivousgarantitquel'applicationn'exploitepasàvotreinsu les données de votre
téléphone.Nousprésentonsci‐aprèsquelquesrecopiesd’écrans.
Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI
Par Narcisse TALLA avril 2012
39
Figure7. Quelques recopies d’écran de NetAudit
3.1.6 WinSSLMiM
LeprotocoleHTTPS,basésurSSL(SecureSocketLayerestunprotocoledesécurisation
des échanges, développé par Netscape. Il a été conçu pour assurerlasécuritédes
transactions sur Internet (notamment entre un client et un serveur), et il est intégré
depuis 1994 dans les navigateurs.), apporte la confidentialité,l'intégritéet
l'authentificationdeséchangesdedonnéesentreunsiteWebet un navigateur.
Contrairementàtouteslesindicationsdecesmêmessitesditsécurisés,l'utilisationde
ceprotocolen'estpasinfaillibleetnedoitpasempêcherdtrevigilant.Eneffet,ilexiste
uneattaque,leManintheMiddle,applicableauHTTPS.Succinctement,cetyped'attaque
consiste pour un pirate à se mettre entre le client qui utilisesonnavigateuretlesite
Webenquestion:
Figure8. Man in the Middle
Administration de la sécurité / détection d’intrusion MASSICO-ENSP-UYI
Par Narcisse TALLA avril 2012
40
Laconséquenceimmédiateestlapertedestroiscritèresprécédemmentcités,àsavoir
que le pirate a la possibilité de lire en clair et/ou de modifier les données échangées.
WinSSLMiMmetenœuvrecetteattaquediteduManintheMiddleSSL(ouHTTPSplus
précisément). Ce type d'attaque est connuemaintenant depuis plusieurs années et les
outilsadéquatessontdéjàdisponiblessurLinux(sslmim,sslsniffouwebmitmdu
packagedsniff).Ilexistebiensûrunmoyendedétecteruneattaquedecegenre.Grâce
auSSL,leserveurWebestauthentifiéviauncertificatX509(l'équivalentd'uneidentité
numérique). Ce certificat est signé par une autorité de certification (Certification
Authority ou CA) reconnue internationalement et surtout par les navigateurs. Ainsi
lorsqu'uncertificatn'estpasconformeousignéparuneCAconnue,lenavigateurémet
unealertedecetype:
Figure9. Alerte de sécurité
Danslecasdel'attaque,lepiratedoitsubstituersonproprecertificat (signé par lui
mêmeetnonparuneCA)àceluiduvraiserveur.Lenavigateuralertedoncl'utilisateur
sur la non conformité de ce certificat. La sécurité du mécanisme repose alors
uniquementsurlecliquedesourisdel'utilisateursurlebouton"non".
Lors d'une véritable attaque, il n'est pas aussi simple de voir la supercherie. Des
techniquesavancéesontétéimplémentéesdanslesoutilssousLinux.Encequiconcerne
WinSSLMiM, il a l'avantage de fonctionner sous Windows 9x/2000 et de réunir les
principalesfonctionnalitésavancéesliéesàcetteattaque.
Deuxtechniquesavancéessontintégréesàcetoutil.Lapremièreestinspiréedel'outil
sslmim (http://www.phrack.org/issues.html?issue=57&id=13#article) qui génère
automatiquement un certificat X509trèsprochedel'original.La deuxième technique
apporte l'exploitation de la vulnérabilité dite de chaine de certificats
(http://www.thoughtcrime.org/ie‐ssl‐chain.txt).
1 / 24 100%
Documents connexes
printemps 2013
printemps 2013
Narcisse
Narcisse
Narcisse des poètes
Narcisse des poètes
c2 14-15_cdl
c2 14-15_cdl
amaryllidaceae
amaryllidaceae
Télécharger
Télécharger
Préparer ses cours Organiser son travail Expliquer simplement un concept complexe
Préparer ses cours Organiser son travail Expliquer simplement un concept complexe
Narcisse (Narcissus) - Route des Gerbes d`Angelica
Narcisse (Narcissus) - Route des Gerbes d`Angelica
22/01 SEANCE 1 Lecture/Lexique Qu`est
22/01 SEANCE 1 Lecture/Lexique Qu`est
La catégorie de ce document est-elle correcte?
Merci pour votre participation!

Faire une suggestion

Avez-vous trouvé des erreurs dans l'interface ou les textes ? Ou savez-vous comment améliorer l'interface utilisateur de StudyLib ? N'hésitez pas à envoyer vos suggestions. C'est très important pour nous!

Produits
Assistance
© 2013 - 2026 studylibfr.com toutes les autres marques déposées et droits d'auteur sont la propriété de leurs propriétaires respectifs
GDPR Confidentialité Conditions d''utilisation