Travaux Dirigés : Sécurité des Cloud

Travaux Dirigés : Sécurité des Cloud

EXERCICE I : Les critères de sécurité dans le cloud
1.    Sur quels principes est fonde le cloud ?
2.    Quels sont le caractérises du cloud ?
3.    Le cloud est-il sécurisé ?
4.    Comment le cloud est-il sécurisé ?
5.    Quels sont les méthodes d’intrusions dans le cloud ?

EXERCICE II :
1-    Qu’est-ce que la cyber-criminalité ? qui vise-t-elle en premier ?
2-    Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la cybercriminalité ?
3-    Donnez un moyen permettant de réaliser : l’authentification, la confidentialité, la non-répudiation et la fraicheur de donnée?
4-    Qu’est-ce que la cyber-criminalité ? qui vise-t-elle en premier ?
5-    Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la cybercriminalité ?

EXERCICE III :
1.    Qu’est-ce qu’un Déni de Service ? Donnez une attaque qui puisse le causer dans un réseau local filaire ? une autre pour un réseau sans fil ?
2.    Dans l’entête d’un paquet TCP on trouve le numéro de séquence du paquet. Comment cette information peut-elle être exploitée pour une attaque ? de quel type sera donc cette attaque ?
3.    Tout réseau possède une adresse de diffusion. Les messages envoyés à cette adresse de diffusion sont envoyés à tous les ordinateurs du réseau. Par exemple, si je veux connaître les autres ordinateurs de mon réseau, je peux pinguer l’adresse de diffusion et tous les ordinateurs connectés répondront à mon ping. Pourquoi serait-ce une mauvaise idée que les hôtes répondent aux pings de diffusion (c’est-à-dire les echo requests d’ICMP, envoyées à l’adresse de diffusion) ? Quel type de problème cela pourrait-il causer ?
4.    Une autre attaque classique de Déni de Service est l’attaque SYN. Dans une attaque SYN, un attaquant envoie à une victime un flot de paquets SYN avec des adresses sources usurpées.
La victime initialise des états de connexion et essaie de répondre aux adresses spoofées. Si suffisamment de paquets SYN sont envoyés, la table de connexions d’un serveur peut être remplie, et les nouvelles requêtes seront refusées. Proposez des solutions pour résoudre ce problème ?

EXERCICE IV : L’attaque de l’Homme du milieu (MIM)
1.    Expliquez ce qu'est une attaque MIM et en quoi TLS permet de s'en protéger.
2.    Qu'est-ce que le fichier hosts ?
3.    Où se trouve le fichier hosts ?
4.    Comment fonctionne le fichier hosts ?
5.    Citez les protocoles qui peuvent intervenir dans cette attaque et expliquez leurs interventions.
6.    Quels principes de sécurité du cloud sont viole par cette attaque ?
7.    En pratique, nous avons parlé des types d’attaques MITM, il vous est demander pour chaque attaque ci-dessous de la décrire en mettant en évidence les protocoles intervenant.

• ARP poisoning
• ICMP redirect
• NDP poisoning
• Port stealing
• DHCP spoofing

8.    Donnez avec description deux méthodes de protection contre les attaques MITM.

EXERCICE V : Les types d’attaques
1.    Citez et expliquez les différents types d’attaques que vous connaissez
2.    Faites un tableau ou vous représenter les attaques, les méthodes, les exemples réels.

EXERCICE VI : Les attaques DDoS
1.    Que signifie DDoS.
2.    Expliquer de façon précise ce type d’attaque.
3.    Quels sont les protocoles mis en jeux.
4.    Pourquoi faire une attaque DDoS ?
5.    Quel logiciel pour des attaques DDoS ?
6.    Quelle est la différence entre DoS et DDoS ?
7.    Enumérer quelques différences entre les attaques DoS, MITM et les attaques DDoS
8.    Donner le rôle des commandes suivantes :

•     hping3 -S 192.168.149.1 -p 80 -c 5
•     hping3 -0 192.168.149.1
•     hping3 -1 192.168.149.1
•     hping3 -2 192.168.149.1
•     hping3 -8 1-30 -A 192.168.149.1
•     hping3 -9 192.169.149.1
•     hping3 -2 192.169.149.1 -V
•     hping3 -S 72.14.207.99 -p 80 --tcp-timestamp
•     hping3 -9 HTTP -I eth0
•     hping3 -S 192.168.1.1 -a 192.168.1.254 -p 22 --flood
•     hping3 lacampora.org -q -n -d 120 -S -p 80 --flood --rand-source
•     hping3 --rand-source  joelyankam.com -S -q -p 80 –flood

9.    Un groupe de brigands indépendant nomes « black hands » disposent des adresses suivantes : 192.168.200.200, 192.168.200.2, 192.168.200.30. Ils décident de réaliser attaque d’inondation sur un serveur d’une université dont ils connaissent l’adresse.

• (a)    De quel type d’attaque s’agit-il ? Pourquoi ?
• (b)    Décrire de façon brève le scenario de l’attaque.
• (c)    Comment sait-on qu’il s’agit d’une attaque d’inondation ?
• (d)    Proposez un script shell, qui aurait pu être à l’origine de cette attaque : les « black hands » ne préciseront l’adresse du serveur que lors de l’attaque (à l’appel du script).
• (e)    Expliquer les différentes méthodes d’attaques DoS que vous connaissez.

2. Les principes du cloud :

• Libre-service à la demande. Les utilisateurs peuvent accéder aux services informatiques via le cloud quand ils en ont besoin, sans action de la part du fournisseur de services.
• Accès étendu via le réseau.
• Mutualisation des ressources.
• Élasticité rapide.
• Service mesuré

3. Oui, notamment si les accès physiques des datacenters sont sécurisés. Afin que seules les personnes autorisées puissent pénétrer dans le datacenter, on maintient un contrôle strict des accès. Il peut impliquer un large éventail de mesures, par exemple :

• Accès par badge sans contact
• Reconnaissance biométrique à l’entrée
• Accompagnement permanent des visiteurs extérieurs

4. La sécurité du cloud inclut la sûreté physique des serveurs et la mise en place d'un accès sécurisé à l'environnement cloud ; La sécurité des données dans le cloud concerne, entre autres, le chiffrement et l'encryptage de ces données, la mise en place d'une liaison réseau chiffrée
5. Il existe deux types de tests d'intrusion : interne (elle se fait depuis internet par un agent qui n’est pas forcement de l’entreprise et sans accès physique aux ressources) et externe (elle se fait au sein de l’entreprise par un accès physique aux ressources de l’entreprise).

EXERCICE II :

1. La cybercriminalité représente tout acte malveillant commis sur le réseau Internet.

Elle touche en premier lieu les entreprises et les particuliers

2. Les techniques de lutte contre la cybercriminalité sont :

1. L’utilisation de firewall (pares-feux)
2. Le cryptage des données

3. Représentation par un tableau

EXERCICE III :

1. Un Dos : est une attaque ou un objectif d’attaques qui vise à mettre à plat une partie ou tout le système informatique.

DoS réseau local filaire : ex : Sniffer, DoS réseau sans fil : Jamming

- Le numéro de séquence indique le numéro du premier octet de données contenu dans le datagramme.
- Le numéro d'acquittement fournit un d'accusé de réception, et indique le numéro du prochain octet de données attendu par la machine.
*Si tout se passe bien (pas de perte de données, de retransmission, etc.), le numéro d'acquittement du récepteur

Est identique au numéro de séquence du prochain datagramme envoyé par l'émetteur.
Donc, il suffit d’intercepter un ACK et l’attaquant connait le prochain SEQ (num de séquence). Il pourra alors l’exploiter pour confectionner de faux paquets et les injecter dans le réseau et ils seront bien acceptés par le récepteur, ça pourra être une attaque d’injection de fausses infos, ou pourra aller jusqu’à un DoS si l’envoi est intensif.

Cela pourrait facilement être exploité pour générer un trafic très intensif et donc une attaque par inondation indirecte. Cela peut donc causer un DoS.

Reprenons : Une attaque par déni de services SYN flood est une technique visant à saturer un serveur en envoyant une multitude de paquets TCP, avec le flag SYN. Les connexions sont alors établies vers la machine, mais restent à moitié ouvertes, car le client malveillant (hacker) ne renvoie pas de confirmation (ACK). Le serveur attend pendant un certain délai la réponse et la connexion semi-ouverte consomme alors un certain nombre de ressources. En multipliant ce type de connexions, le hacker peut arriver à créer un déni de service qui rendra la machine inopérante.
Solutions :
-Attendre pendant un certain temps, si pas d’ACK, l’entrée dans la table sera supprimée
-Limiter le nombre d’entrées initiées pour éviter que la table ne déborde
- Le Firewall doit bloquer une @IP qui envoie un nombre important de SYN.

EXERCICE IV :

1. Une attaque MIM est une attaque d’usurpation d’identité, qui permet de surveiller mais aussi d’espionner le Traffic réseau, a des fins de sécurité ou de contrefaçon.

Avec TLS, les données qui transitent dans le réseau sont cryptes et donc non accessible par l’espion s’il ne peut pas trouver la clé adéquate.

2. Le fichier hosts est un fichier utilises par le système d’exploitation pour mapper des noms d’hôtes a des adresses IP.
3. Sous Windows, il se trouve sous C:\windows\hosts

Sous linux, il se trouve sous /etc/hosts

4. Chaque fois qu’une machine communique avec une autre, il y’a échange des données de reconnaissance (adresse IP + adresse MAC) ses données la sont stockes dans le fichier hosts.
5. Les protocoles intervenants sont :

ICMP : car l’attaquant émet des requetés dans le réseau vers la cible pour pouvoir lui faire croire que c’est lui son destinataire.

ARP : car l’attaque permet de modifier les données du cache ARP

6. Cette attaque viole le principe de confidentialité et l’intégrité des données.
7. Description des attaques

ARP poisoning : il s’agit d’une attaque d’usurpation d’identité par modification du cache ARP de la machine cible.

ICMP redirect : il s’agit d’une attaque d’usurpation d’identité par détournement de paquets dans un réseau.

NDP poisoning : il s’agit d’une attaque d’usurpation d’identité par émission de message broadcast usurpant le NDP de la cible

Port stealing : il s’agit d’une prise d’accès sur une machine cible.

DHCP Spoofing : il s’agit ici d’usurper l’identité d’un serveur DHCP afin de pouvoir avoir la main mise sur la distribution d’adresse dans un réseau.

8. Les deux principales méthodes de protection contre les attaques MITM sont :

Le cryptage des données avec TLS (sur le web le Traffic HTTPS est crypte contrairement au Traffic HTPP).

L’utilisation des outils d’analyse réseau ou des scripts.

EXERCICE V :

1. Les différents types d’attaques :

Les attaques passives : elles ne modifient pas l’information et porte essentiellement sur la
confidentialité.

Les attaques actives : elles modifient le contenu de l’information ou le comportement
des systèmes de traitement.

2. Tableaux représentatifs des attaques, méthodes, exemples :

EXERCICE VI :

1. DDoS : Distributed Deny of Service
2. C’est une attaque qui a pour but de saturer un serveur afin de le rendre moins performant pour les autres utilisateurs.
3. Selon le type de DDoS les protocoles suivants peuvent être mis en jeu : TCP, HTTP, DNS, ARP, …
4. Du point de vue de l’attaquant, cette attaque a pour but de rendre indisponible ou incompétent un service d’un réseau et du point de la sécurité cet attaques permet de tester le comportement du réseau face à ce type d’attaque.
5. Il en existe plusieurs mais celui utiliser en TP est : hping3.
6. DoS est un deny de service lance depuis un seul poste attaquant, tandis que DDoS est un deny de service lance depuis plusieurs postes attaquants.
7. Pour lancer une attaque de type MITM il faut être dans le même réseau que les machines cible, contrairement aux attaques DoS et DDoS qui n’ont pas cette contrainte.

Une attaque DoS est une attaque visant à rendre a indisponible ou incompétent un service d’un réseau depuis un poste attaquant, contrairement aux attaques DDoS qui sont des DoS depuis plusieurs postes attaquants, contrairement aux attaquants MITM qui ne sont de l’espionnage réseau.

1. Il s’agit d’une attaque DDoS, car on veut saturer de requêtes un serveur depuis plusieurs postes attaquants.
2. Depuis chacun des postes, on envoie des hping3 de types (TCP, ICMP, ARP, …) vers le serveur cible dont ils connaissent l’adresse IP.
3. Sur la machine cible, il faut analyser la performance réseau (Ethernet ou WIFI), si le taux est trop élevé, cela veut dire que le serveur traite un grand nombre de requêtes (TCP, ICMP, ARP, …) ce qui sature ce dernier.
4. Script utiliser par les black hands, dans ce script l’adresse du serveur est supposée être toujours correcte.

# !/bin/sh

hping3 -1 --flood $1

5. Les types d’attaques DoS

Le ping flood attack, qui est une saturation d’un serveur par des requêtes ICMP.

Le TCP flood attack, qui consiste à saturer le serveur par des requêtes SYN.