27 septembre 2000
Par Ankit Fadia
Avec la propagation de pirates et les incidents de piratage, le temps est venu, lorsque les administrateurs système, non seulement des serveurs de grandes entreprises, mais aussi des personnes qui se connectent à Internet en composant vers le haut dans leur FAI, ont à se soucier de la sécurisation de leur système. Il n'a vraiment pas beaucoup de différence si vous avez une adresse IP statique ou une dynamique, si votre système est connecté à l'Internet, alors il ya toutes les chances de se faire attaquer.
Ce manuel est destiné à discuter des méthodes d'analyse de sécurité du système et faire la lumière sur la façon de sécuriser votre autonome (également un système connecté à un LAN) du système.
Ports ouverts: Une menace pour la sécurité?
Dans le didacticiel Netstat nous avions discuté de la façon la commande netstat-a montré la liste des ports ouverts sur votre système. Eh bien, en tout cas, avant que je passe, je voudrais rappeler rapidement la partie importante. Alors, voici, directement à partir du tutoriel netstat:
Maintenant, l'? Un? option est utilisée pour afficher toutes les connexions ouvertes sur la machine locale. Il renvoie également le système distant auquel nous sommes reliés à, les numéros de port du système à distance, nous sommes connectés à (et la machine locale) et aussi le type et l'état de la connexion que nous avons avec le système distant.
Par exemple,
C: \ windows> netstat-a
Connexions actives
Proto Adresse locale Adresse État des Affaires étrangères
TCP ankit: 1031 dwarf.box.sk: FTP établie
TCP ankit: 1036 dwarf.box.sk: ftp-data TIME_WAIT
TCP ankit: 1043 banners.egroups.com: 80 FIN_WAIT_2
TCP ankit: 1045 mail2.mtnl.net.in: pop3 TIME_WAIT
TCP ankit: 1052 zztop.boxnetwork.net: 80 FONDÉE
TCP ankit: 1053 mail2.mtnl.net.in: pop3 TIME_WAIT
UDP ankit: 1025 *: *
UDP ankit: nbdatagram *: *
Maintenant, prenons une seule ligne de la sortie ci-dessus et voir ce qu'elle représente:
Proto Adresse locale Adresse État des Affaires étrangères
TCP ankit: 1031 dwarf.box.sk: FTP établie
Maintenant, le ci-dessus peuvent être disposés comme ci-dessous:
Protocole: TCP (Ceci peut être Transmission Control Protocol ou TCP, User Datagram Protocol ou UDP ou parfois même, IP ou Internet Protocol).
Nom du système local: ankit (C'est le nom du système local que vous avez défini lors de l'installation de Windows.)
Port local ouvert et utilisé par cette connexion: 1031
Remote System: dwarf.box.sk (Il s'agit de la forme non-numérique du système à laquelle nous sommes connectés.)
Port distant: ftp (C'est le numéro de port du dwarf.box.sk système distant auquel nous sommes connectés.)
Etat de la connexion: ESTABLISHED
? Netstat? avec le? un? argument est normalement utilisé, pour obtenir une liste des ports ouverts sur votre propre système soit sur le système local. Cela peut être particulièrement utile pour vérifier et voir si votre système possède un cheval de Troie installé ou non. Oui, très bon logiciel antivirus sont capables de détecter la présence de chevaux de Troie, mais, nous sommes les pirates, et ont besoin d'un logiciel pour nous dire si nous sommes infectés ou non. Par ailleurs, il est plus amusant de faire quelque chose manuellement que de simplement cliquer sur le Scan?? le bouton et laissez un logiciel le faire.
Ce qui suit est une liste de chevaux de Troie et les numéros de port qu'ils utilisent, si vous vous netstat et trouver de l'ouverture suivante, alors vous pouvez être sûr, que vous êtes infecté.
Port 12345 (TCP) Netbus
Port 31337 Back Orifice (UDP)
Pour une liste complète, reportez-vous au tutoriel sur les chevaux de Troie à l'adresse: hackingtruths.box.sk / trojans.txt
----
Maintenant, le tutoriel ci-dessus conduit à un certain nombre de gens qui élèvent des questions comme: Si le 'netstat-a "commande affiche les ports ouverts sur mon système, ce que cela signifie que n'importe qui peut se connecter à eux? Ou, Comment puis-je fermer ces ports ouverts? Comment puis-je savoir si un port ouvert est une menace pour la sécurité de mon système de ne pas? Eh bien, la réponse à toutes ces questions serait clair, une fois que vous lisez ci-dessous le paragraphe:
Maintenant, la chose à comprendre ici, c'est que, les numéros de port sont divisés en trois gammes:
Les ports connus sont ceux de 0 à 1023. Cette gamme ou des ports est lié à des services qui s'exécutent sur eux. Par ce que je veux dire, c'est que chaque port dispose d'un service spécifique en cours d'exécution sur elle. Vous voyez qu'il ya un des numéros de port internationalement reconnues à la règle des services, (voir RFC 1700 ici) qui précise que pour le numéro de port ce qui coule un service en particulier. Pour exemple, par défaut ou fonctionne normalement FTP sur le port 21. Donc, si vous trouvez que le port 21 est ouvert sur un système particulier, cela signifie généralement que ce système particulier utilise le protocole FTP pour transférer des fichiers. Toutefois, s'il vous plaît noter que certains administrateurs système à puce delibrately à-dire à tromper lamers exécuter des services de faux sur les ports populaires. Par exemple, un système pourrait être un démon faux FTP sur le port 21. Bien que vous obtenez la même interface, comme la bannière démon FTP, numéros de réponse, etc, cependant, il pourrait effectivement être un logiciel d'enregistrement de votre prescence et parfois même vous tracer!
Les ports enregistrés sont ceux de 1024 à 49151. Cette gamme de numéros de port n'est pas lié à un service spécifique. En fait, utlites réseau comme adresse de votre navigateur, client mail, FTP logiciel ouvre un port aléatoire dans cette plage et commence une communication avec le serveur distant. Un numéro de port dans cette plage est la raison pour laquelle vous êtes capable de surfer sur le net ou de consulter votre e-mail, etc
Si vous trouvez que lorsque vous donnez de la commande netstat-a, puis un certain nombre de ports au sein de cette gamme sont ouverts, alors vous devriez probablement vous inquiétez pas. Ces ports sont simplement ouvert de sorte que vous pouvez obtenir vos applications logicielles de faire ce que vous voulez qu'ils fassent. Ces ports sont ouverts temporairement par diverses applications pour effectuer des tâches. Ils agissent comme un tampon le transfert des paquets (données) reçus à l'application et vis-à-versa. Une fois que vous fermez l'application, alors vous trouverez que ces ports sont fermés automatiquement. Par exemple, lorsque vous tapez www.hotmail.com dans votre navigateur, votre navigateur choisit au hasard un port enregistré et l'utilise comme un tampon pour communiquer avec les serveurs distants différents impliqués.
Les Ports dynamiques et / ou privé sont celles de 49152 à 65535. Cette gamme est rarement utilisé, et est surtout utilisé par les chevaux de Troie, mais certaines applications ont tendance à utiliser ces numéros de port élevés gamme. Par exemple, Sun commence leurs ports RPC à 32768.
Donc, cela apporte essentiellement nous pour savoir quoi faire si vous trouvez que Netstat vous donne un couple de ports ouverts sur votre système:
1. Vérifiez la liste des ports de Troie et vérifier si le port ouvert correspond à l'une quelconque des plus populaires. Si elle ne puis obtenir un enlèvement de Troie et de supprimer le cheval de Troie.
2. Si ce n'est pas ou si le Trojan Remover dit: Non Trojan trouvé, puis voir si le port ouvert est enregistré dans la gamme des ports. Si oui, alors vous n'avez rien à craindre, si l'oublier.
***********************
VÉRITÉ PIRATAGE: Une technique courante utilisée par un certain nombre d'administrateurs de systèmes, est le remappage des ports. Par exemple, normalement le port par défaut pour HTTP est 80. Toutefois, l'administrateur du système peut également remapper à Port 8080. Maintenant, si c'est le cas, alors la page d'accueil hébergée à ce serveur serait à l'adresse:
au lieu de http://domain.com:8080
http://domain.com:80
L'idée derrière Port Remappage est qu'au lieu de l'exécution d'un service sur un port bien connu, où il peut facilement être exploité, il serait préférable de l'exécuter sur un port pas si bien connu, comme le pirate,, il serait plus difficile à trouver ce service. Il aurait au port scan haut de gamme de numéros à découvrir le port remappage.
Les ports utilisés pour le remappage sont généralement assez facile à retenir. Ils sont choisis en gardant à l'esprit le numéro de port par défaut au cours de laquelle le service est remappé doit être exécuté. Par exemple, POP s'exécute par défaut sur le port 110. Toutefois, si vous étiez à l'remapper, vous choisissez un des éléments suivants: 1010, 11000, 1111, etc etc
Certains administrateurs système également de choisir les numéros de port de la manière suivante: 1234,2345,3456,4567 et ainsi de suite ... Pourtant, une autre raison pour expliquer pourquoi Port Remappage est fait, c'est que sur un système Unix pour pouvoir écouter sur un port inférieur à 1024, vous devez disposer d'previledges racines.
************************
Les pare-feu
Utilisez des pare-feu ne se limite plus à des serveurs ou des sites Web ou des sociétés commerical. Même si vous suffit de composer vers le haut dans votre FAI ou l'utilisation des PPP (Point to Point Protocol) pour surfer sur le net, vous ne pouvez pas faire sans un pare-feu. Alors quelle est exactement un pare-feu?
Eh bien, dans la langue non-geek, un pare-feu est en fait un bouclier qui protège votre système contre les non fiables non fiables les systèmes connectés à Internet. C'est un logiciel qui écoute à tous les ports sur votre système pour toute tentative d'ouvrir une connexion et quand il détecte une telle tentative, il réagit en fonction de l'ensemble prédéfini de règles. Donc, fondamentalement, un pare-feu est quelque chose qui protège le réseau (ou systen) à partir d'Internet. Il est dérivé du concept de pare-feu utilisés dans les véhicules qui est une barrière faite de matériau résistant au feu protégeant le véhicule en cas d'incendie.
Maintenant, pour une meilleure », selon la bible" defination d'un pare-feu: Un pare-feu est mieux décrit comme un logiciel ou de matériel ou de matériel et filtre de paquets logiciels qui permet aux paquets sélectionnés uniquement de passer à travers de l'Internet à votre réseau privé interne. Un firewall est un système ou un groupe de systèmes qui gardent un réseau de confiance (Le réseau privé interne à partir du réseau non sécurisé (Internet).
NOTE: Ce fut une très brève description de ce qu'est un pare-feu est, je ne serais pas entrer dans les détails de leur travail dans ce manuel.
Quoi qu'il en soit, le terme «pare-feu», (qui étaient généralement utilisés par les entreprises à des fins commercial) a évolué pour devenir un nouveau terme appelé des pare-feu personnel ». Or, ce terme est essentiellement utilisé pour se référer à un pare-feu installés sur un système autonome qui peut ou ne peut pas être mis en réseau C'est à dire qu'il se connecte généralement à un FAI. Ou en d'autres termes un pare-feu personnel est un pare-feu utilisé à des fins personnelles.
Maintenant que vous avez une description de base de ce qu'est un pare-feu est, laissez-nous passer à exactement pourquoi vous avez besoin d'installer un pare-feu? Ou encore, comment ne peut pas installer un pare-feu constituent une menace pour la sécurité de votre système?
Vous voyez, quand vous êtes connecté à l'Internet, alors vous avez des millions d'autres systèmes non fiables qui lui sont connectés ainsi. Si quelqu'un a trouvé en quelque sorte votre adresse IP, alors qu'ils pourraient le faire sans doute quelque chose à votre système. Ils pourraient exploiter toute vulnérabilité existant dans votre système, endommager vos données, et même utiliser votre système pour pirater d'autres ordinateurs.
Découvrir someone'e adresse IP n'est pas très difficile. N'importe qui peut trouver votre adresse IP, par le biais des services de chat, les diverses messageries instantanées (ICQ, MSN, AOL, etc), grâce à une commune FAI et de nombreuses autres façons. Enfait trouver l'adresse IP d'une personne spécifique n'est pas toujours la priorité de certains hackers.
Ce que je veux dire par là c'est qu'il ya un certain nombre de scripts et d'utilitaires disponibles qui scannent toutes les adresses IP entre une certaine fourchette pour les vulnérabilités les plus courantes prédéfinies. Par exemple, des systèmes avec le partage de fichiers activé ou un système exécutant un système d'exploitation qui est vulnérable à l'attaque du ping de mort etc etc Dès que un système vulnérable est trouvée, alors ils utilisent l'adresse IP pour mener à bien les attaques.
Les scanners les plus courants pour les systèmes de regarder chez le rat ou les outils d'administration à distance installés. Ils envoient un paquet vers les ports de Troie communes et afficher si le système de la victime a que cheval de Troie installé ou non. La «plage de balayage des adresses IP" que ces programmes acceptent sont assez larges et on peut facilement trouver un système vulnérable en matière de minutes, voire quelques secondes.
Chevaux de Troie Back Orifice voudrais fournir un accès distant à votre système et peut mettre en place un renifleur de mot de passe. La combinaison d'une porte arrière et un renifleur est une dangereuse: La porte arrière permet l'accès au futur distant, tandis que le renifleur peut révéler des informations importantes sur vous que vos mots de passe d'autres, coordonnées bancaires, numéros de carte de crédit, numéro de sécurité sociale, etc Si votre maison système est connecté à un réseau local et l'attaquant parvient à installer une backdoor sur elle, alors vous avez probablement donné à l'attaquant le niveau d'accès même à votre réseau interne, comme vous l'avez. Cette wouls signifie également que vous aurez créé une porte dérobée dans votre réseau qui contourne le pare-feu qui peut être garder la porte d'entrée.
Vous pouvez discuter avec moi que lorsque vous utilisez une connexion dial up lien vers votre FAI via PPP, l'attaquant devrait être en mesure d'accéder à votre machine que lorsque vous êtes en ligne. Eh bien, oui c'est vrai, cependant, pas complètement vrai. Oui, il ne rendre l'accès à votre système lorsque vous vous reconnectez, difficile, car vous avez une adresse Internet dynamique Protocole. Mais, bien que cela fournit une lueur d'espoir de la protection, le balayage systématique de la plage d'adresses IP au cours de laquelle votre adresse IP est, le plus souvent de ne pas révéler votre IP dynamique actuelle et la porte arrière donne accès à votre système.
*******************
VÉRITÉ PIRATAGE: Microsoft dit: programmes Dialer guerre balayer automatiquement pour les modems en essayant tous les numéro de téléphone dans un échange. Si le modem ne peut être utilisé pour composer en sortie des connexions, d'un Dialer guerre ne sera pas le découvrir. Toutefois, le PPP change l'équation, car il fournit transportmaking bidirectionnelle n'importe quel système connecté visible aux scanners? Et attaquants.
*******************
Alors, comment puis-je me protéger contre ces scans et attaques unsolicitated? Eh bien, c'est là que pare-feu personnels entrent en jeu. Ils ont juste comme leur nom l'indique, vous protéger contre les sondes de connexion unsolicitated, des analyses, des attaques.
Ils écoutent tous les ports pour toutes les demandes de connexion reçu (à partir de deux hôtes légitimes et faux) et envoyé (par des applications comme le navigateur, client mail, etc) Dès que une telle instance est enregistré, il apparaît un message d'avertissement vous demandant quoi faire ou si pour permettre la connexion d'ouvrir ou non. Ce message d'avertissement contient aussi l'adresse IP qui tente de lancer la connexion et aussi le numéro de port à laquelle il tente de se connecter à savoir le port vers lequel le paquet a été envoyé. Il protège également votre système à partir de scans de ports, les attaques DoS, les attaques de vulnérabilité, etc Donc, fondamentalement, il agit comme un bouclier ou un tampon qui ne permet pas de votre système de communiquer avec les systèmes non fiables directement.
La plupart des firewalls personnels ont des possibilités de connexion qui vous permet de traquer les assaillants. Certains pare-feu populaires sont:
1.BlackICE Defender: Un IDS pour PC. Il est disponible à http://www.networkice.com.
2. ZoneAlarm: Le plus facile à configurer et à gérer pare-feu. Recevez gratuitement à l'adresse: www.zonelabs.com
Une fois que vous avez installé un pare-feu sur votre système, vous obtiendrez souvent un certain nombre de mises en garde qui pourraient sembler comme si quelqu'un essaie de s'introduire dans votre système, cependant, ils sont en fait faux messages, qui sont causées soit par lui-même de votre système d'exploitation ou en raison du processus appelé Allocation de Dynamic IP. Pour une description des détails de ces deux, lisez la suite.
Beaucoup de gens se plaignent que dès qu'ils composer dans leur FAI, leur pare-feu dit que telle ou telle IP est sonder Port X. Ce qui les provoque?
Eh bien, c'est tout à fait commun. La cause en est que quelqu'un a raccroché juste avant que vous avez composé et que votre FAI vous a attribué la même adresse IP. Vous êtes maintenant de voir les restes de la communication avec la personne précédente. Ceci est plus fréquent lorsque la personne à qui l'adresse IP a été attribué auparavant a été l'aide de programmes ICQ ou chat, a été connecté à un serveur de jeu ou tout simplement éteint son modem avant sa communication avec des serveurs distants a été complète.
Vous pourriez même obtenir un message du type: IP Telle essaie de initaite une session NetBIOS sur le port X. Il s'agit là encore extrememly commune. Ce qui suit est une explication des raisons pour lesquelles il arrive, que je pris un il ya quelques jours: NetBIOS demandes à le port UDP 137 sont l'élément le plus commun que vous verrez dans votre pare-feu rejettent les journaux. Cela vient à propos d'une fonctionnalité de Windows de Microsoft: quand un programme résout une adresse IP en un nom, il peut envoyer une requête NetBIOS en adresse IP. Cela fait partie du rayonnement de fond de l'Internet, et ce n'est rien de s'inquiéter.
Ce qui les provoque? Sur pratiquement tous les systèmes (UNIX, Macintosh, Windows), des programmes appellent 'gethostbyaddr ()' la fonction avec l'adresse désirée. Cette fonction sera alors faire la recherche appropriée, et de retourner le nom. Cette fonction fait partie de l'API sockets. L'essentiel à retenir sur gethostbyaddr () est qu'il est virtuel. Il ne précise pas comment il résout une adresse dans un nom. Dans la pratique, il va utiliser tous les mécanismes disponibles. Si nous regardons UNIX, Windows et les systèmes Macintosh, nous voyons les techniques suivantes:
DNS in-addr.arpa PTR requêtes envoyées au serveur DNS
NetBIOS requêtes NodeStatus envoyé à l'adresse IP
recherches dans le fichier / etc / hosts
AppleTalk sur requête de nom IP envoyé à l'adresse IP
Requête RPC envoyées au serveur NIS UNIX
NetBIOS lookup envoyée au serveur WINS
Les systèmes Windows ne le fichier / etc / hosts, DNS, WINS, et les techniques NodeStatus. Dans les moindres détails de plus, Microsoft a une composante du système générique appelé un service de nommage. Toutes les piles de protocole dans le système (NetBIOS, TCP / IP, Novel IPX, AppleTalk, Banyan, etc) enregistrer les types de résolutions de noms qu'ils peuvent effectuer. Certains produits seront également enregistrer RPC un service de nommage de NIS. Quand un programme demande de résoudre une adresse, cette adresse est transmis sur le service de nommage générique. Windows va essayer chaque sous-système nom enregistré la résolution séquentielle jusqu'à ce qu'il obtienne une réponse.
(Note subsidiaire: l'utilisateur est parfois plaint de ce que l'accès aux serveurs Windows est lent Ceci est causé par l'installation de piles de protocoles inutiles qui doivent délai avant de la pile de protocole réel est interrogé pour le nom du serveur..).
L'ordre dans lequel il effectue ces étapes de résolution d'adresses IP peut être configuré sous la clé de registre Windows
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ ServiceProvider.
Breaking Through pare-feu
Bien que pare-feu sont destinés à fournir à votre protection complète contre les sondes Port Scan etc il ya plusieurs trous existant dans les pare-feu populaires, attend d'être exploitée. Dans ce numéro, je vais discuter un trou dans ZoneAlarm Version 2.1.10 à 2.0.26, qui permet à l'attaquant de scanner les ports du système cible (Bien que normalement il devrait cesser de scans tels.)
Si l'on utilise le port 67 comme port source d'un scan TCP ou UDP, ZoneAlarm laisse le paquet passer et ne sera pas avertir l'utilisateur. Cela signifie, que l'on peut port TCP ou UDP scan une ZoneAlarm ordinateur protégé comme s'il n'y avait pas de pare-feu il ya Si l'on utilise le port 67 comme port source sur les paquets.
Exploit:
Le scan UDP:
Vous pouvez utiliser Nmap scan de port de l'hôte avec la ligne de commande suivante:
nmap-G67-P0-p130-140-sU 192.168.128.88
(Notez que le G67-qui spécifie le port source).
TCP scan:
Vous pouvez utiliser Nmap scan de port de l'hôte avec la ligne de commande suivante:
nmap-G67-P0-p130-140-sS 192.168.128.88
(Notez que le G67-qui spécifie le port source).
Ankit Fadia