Plateforme de Tests Des Techniques D'évasion Avancées - AETs - EVADER

Licence Applique en Sciences et technologies de lInformation
et de la Communication
Option : Scurit des Rseaux

Anne Universitaire : 2013-2014
Ralis par : Abdeljalil Ghattas
Sophia Belkahia

Classe : STIC L3 SR-C
Encadrs par: Mr. Mhamed Chamem
Mr. Mohamed Hamdi
Mr. Hosni Tounsi
Entreprise dAccueil : Stonesoft
Projet de fin dtudes

Dpartement : STIC
Rfrence :
Dveloppement dune plateforme de tests des techniques
avances dvasions base sur loutil EVADER
2

Ddicace
Je ddie ce travail ceux qui ont fait de moi lhomme qui rdige ces lignes.
A.Ghattas

Je ddie ce modeste travail et ma profonde gratitude tous ce qui mont de prs et de
loin accord leur soutien moral et physique pour la ralisation de ce stage.
MA trs chre et douce mre, Mon trs cher pre qui mont transmis la vie,
lamour, le courage, avec tout mon amour et ma reconnaissance pour l'ducation qu'ils
m'ont prodigu; avec tous les moyens et au prix de tous les sacrifices qu'ils ont consentis
mon gard, pour le sens du devoir qu'ils mon enseign depuis mon enfance. Que dieu
vous protge et vous garde pour nous.
A Mon frre BYLEL, mon affection pour toi est sans limite, ton soutien a
sans doute t important pour le bon droulement de mes tudes.
A Mes chers cousins et cousines, pour vos conseils, vos encouragements, vos
gentillesses et vos sollicitudes, recevez travers ce travail mon profond attachement et toute
ma reconnaissance.
A mes adorables amis, Rawdha,Rawen, Dadou, Asma, Neyla, Marwa,
Nadhem, Yessine, Khaled, Saif pour leur fidlit et tout ce que jai oubli de citer.je
vous remercie pour tout ce que jai partag de moments de joie et de bonheur
S.Belkahia
3

Remercment
Au terme de ce stage, nous tenons tout particulirement remercier Mr
Mhamed Chamem pour nous avoir accord toute sa confiance, pour le temps quil nous
a consacr tout au long de cette priode, sachant rpondre toutes nos interrogations, sans
oublier sa participation au cheminement de ce rapport, Mr Mohamed Hamdi pour son
aide prcieuse et Mr Hosni Tounsi pour nous avoir accueillis au sein de la socit
stonesoft.
Ce travail est lagrgat des rsultats des annes de formation au sein de lInstitut
suprieur des tudes technologiques en communications de Tunis. En ce sens que cest
grce aux connaissances acquises durant toutes ces annes de formation que nous avons pu
raliser ce travail. Nos vifs remerciements vont galement aux membres du jury pour
lintrt quils ont port notre recherche en acceptant dexaminer notre travail et de
lenrichir par leurs propositions.
Enfin, nos remercment s'adressent aussi tous ceux qui m'ont encourag de prs
ou de loin dans ce travail.
4

Table des matires :
Ddicace .................................................................................................................... 2
Remercment .............................................................................................................. 3
Table des figures : ...................................................................................................... 7
Liste des tableaux : .................................................................................................... 8
Liste des abrviations : .............................................................................................. 9
Prsentation de lorganisme daccueil : ................................................................... 11
Introduction gnrale ............................................................................................... 12
Cahier de charges : ................................................................................................... 14
Chapitre I: Les Techniques dvasion avances .................................................. 15
Introduction : ....................................................................................................... 15
I.1 Prsentation : ............................................................................................. 15
I.2 Lobjectif des AET : ................................................................................. 15
I.3 Fonctionnement : ...................................................................................... 16
I.4 Dmystification des AET : ....................................................................... 17
I.5 Les risques particuliers associs aux AET : .............................................. 17
I.6 Les diffrents types dAET : ..................................................................... 18
I.6.1 Insertion et Evasion : ......................................................................... 18
I.6.2 Dni de Service (sur le IPS) : ............................................................ 20
I.6.3 Obfuscation de logiciel malveillant : ................................................. 21
I.6.4 Couche liaison de donne : ................................................................ 23
I.6.5 Couche application : .......................................................................... 24
I.6.6 Combinaison des AETs avec des attaques classiques : ..................... 25
Conclusion : ......................................................................................................... 27
Chapitre II: Les attaques dinjection de code ........................................................ 28
Introduction : ....................................................................................................... 28
II.1 Les attaques dinjection PHP : ................................................................. 28
5

II.2 Injection SQL : .......................................................................................... 28
II.2.1 Prsentation : ..................................................................................... 28
II.2.2 Les diffrents types de SQL injection : ............................................. 29
II.2.3 Mise en place de l'attaque : ................................................................ 30
II.2.4 Se protger d'une injection SQL : ...................................................... 34
II.3 Php phpbb : ............................................................................................... 34
Conclusion : ......................................................................................................... 35
Chapitre III: Mise en place des architectures de test ............................................ 36
Introduction : ....................................................................................................... 36
III.1 Attaque phpBB sur un serveur vulnrable : .............................................. 36
III.1.1 Vmware : ........................................................................................... 36
III.1.2 Ubuntu : ............................................................................................. 37
III.1.3 Sqlmap : ............................................................................................. 37
III.1.4 Xampp : ............................................................................................. 37
III.2 Mise en place du routeur : ......................................................................... 37
III.2.1 Routeur : ............................................................................................ 38
III.3 Architecture des tests dvasion : ............................................................. 41
III.3.1 Evader : .............................................................................................. 41
Conclusion : ......................................................................................................... 42
Chapitre IV: Ralisation des expriences ............................................................. 43
Introduction : ....................................................................................................... 43
IV.1 Configuration des outils utiliss : ............................................................. 43
IV.1.1 Machine de lattaquant : .................................................................... 44
IV.1.2 Machine victime : .............................................................................. 45
IV.2 Ralisation des tests : ................................................................................ 45
IV.2.1 Test de lattaque sur un rseau local : ............................................... 45
IV.2.2 Test de lattaque sur un rseau contenant un dispositif de scurit : . 48
6

IV.2.3 Test de lattaque avec vasion : ......................................................... 50
IV.3 Solution potentielles : ............................................................................... 51
Conclusion : ......................................................................................................... 52
Conclusion gnrale et perspectives : ...................................................................... 53
Bibliographie : ......................................................................................................... 54

7

Table des figures :
Figure 1: Insertion et vasion .................................................................................. 19
Figure 2 Dni de service (sur lIPS) ........................................................................ 21
Figure 3 Obffuscation de logiciel malveillant ......................................................... 22
Figure 4 Etape d'une SQL injection ......................................................................... 30
Figure 5: Attaque phpBB sur un serveur vulnrable ............................................... 36
Figure 6: Mise en place du routeur. ......................................................................... 37
Figure 7 : Interfaces du routeur................................................................................ 39
Figure 8 : Rgle de routage ...................................................................................... 40
Figure 9: Rgle du pare-feu ..................................................................................... 40
Figure 10 : Log du routeur ....................................................................................... 41
Figure 11: Architecture des tests dvasion ............................................................. 41
Figure 12: Ouverture fichier interface ..................................................................... 43
Figure 13: Fichier /etc/network/interfaces ............................................................... 44
Figure 14: Relancer le service rseau ...................................................................... 44
Figure 15: Lancement du service webgui2 .............................................................. 45
Figure 16: Lancement du service vulnrable ........................................................... 45
Figure 17: Slection de l'attaque .............................................................................. 46
Figure 18: Configuration de l'environnement de test .............................................. 46
Figure 19: Excution de l'attaque ............................................................................ 47
Figure 20: Rsultat de l'exploit ................................................................................ 48
Figure 21: Configuration du deuxime environnement de test ............................... 49
Figure 22: Log IPS ................................................................................................... 49
Figure 23: Combinaison de techniques d'vasion .................................................... 50
Figure 24: Dtection de l'attaque par le routeur Cisco 2600 ................................... 51
Figure 25: Solution avec plug-in ............................................................................. 52

8

Liste des tableaux :
Tableau 1Classification des diffrents types des techniques dvasion .................. 26
Tableau 2 Adressage du rseau ................................................................................ 39

9

Liste des abrviations :
A
ACG : Amazing Code Generation.
ACK : Aquitement.
AET : Advenced Evasion Technique.
ARP : Adress Resolution Protocol.
D
DML : Data Manipulation Language.
H
HIDS: HostBased Intrusion Detection System.
I
IDS : Intrusion Detection System.
IPS : Intrusion Prevention System.
M
MAC : Media Access Control.
N
IPS: Network Intrusion Detection System.
P
PHP : Hypertext Preprocessor.
S
SGBD : Systme de Gestion des Base de Donnes.
SSL : Secure Sockets Layer.
SQL : Structured Query Language.
SYN : Synchronisation.
10

T
TCP/IP : Transmission Control Protocol/Internet Protocol
TTL : Time To Leave
U
URL : Uniform Resource Locator.

11

Prsentation de lorganisme daccueil :
Fonde en 1990, Stonesoft Corporation est un fournisseur novateur de solutions de
scurit rseau intgres. Ses produits scurisent le flux d'informations l'chelle
d'entreprises distribues. Les clients de Stonesoft sont notamment des entreprises dont
les besoins commerciaux croissants requirent une scurit rseau avance et une
connectivit professionnelle permanente. Elle a un sige social Helsinki, en Finlande,
et un autre aux tats-Unis, Atlanta, en Gorgie [1] et pleins dautres puisquelle est
toujours en expansion dans le monde entier.
Stonesoft Tunisie ft le 22me bureau tre ouvert dans le monde par Stonesoft
Elle sinstalla en Tunisie en fvrier 2003 parce que le volume dinvestissement
ncessaire tait plus comptitif que dans les autres pays maghrbins. Parmi ces activits
on cite :
Les cours de formation sur les produits de Stonesoft.
La mise en place du channel partner.
Le support et lassistance technique pour les clients finaux et partenaires de
Stonesoft.

Introduction gnrale
Le rseau Internet se prsente de nos jours une composante essentielle au vu de son
impact sur le traitement et la communication de linformation. Les rseaux sont alors
devenus une source vitale et dterminante non seulement pour le bon fonctionnement
des entreprises mais aussi pour faciliter les conditions de vie des citoyens et prserver la
souverainet des Etats. La stabilit et la scurit des connexions Internet savrent donc
des points importants pour assurer linteroprabilit de lentreprise ainsi que son
ouverture sur le monde extrieur. Par contre, cette ouverture met lentreprise en danger
et la rend vulnrable aux attaques provenant aussi bien de lintrieur que de lextrieur
de son cosystme. A cet gard, et afin dliminer les risques dattaque et de garantir un
niveau lev de protection du rseau et du systme dinformation, les mcanismes, les
outils, les services et les procdures relatives la scurit des systmes dinformation et
de communication revtent une importance vitale.
Dans cette perspective, le systme de prvention contre les intrusions IPS
(Intrusion Prevention System) a t cr pour assurer la protection des rseaux
informatiques face aux tentatives dintrusion. En dploiement de ces solutions large
chelle, il devient de plus en plus frquent quun attaquant intrieur, mal intentionn, de
contourner lIPS et porter atteinte la confidentialit, lintgrit et mme la
disponibilit des services et des donnes. En effet, avec lexistence des IPS, une
nouvelle forme dattaque est apparue ; il sagit des techniques dvasion, dont lobjectif
est de contourner les mcanismes de prvention dintrusion. Bien quefficaces pendant
une courte dure, ces attaques sont maintenant matrises et les systmes IPS actuels ny
sont pas, pour la plupart vulnrables. Malheureusement, de nouvelles techniques
dvasion sont venues rcemment tendre celle dj connues : nous voquons dsormais
les techniques dvasion avances AET (Advanced Evasion Technique). Cette nouvelle
catgorie de cyber-menace dont la mthode est encore assez peu connue transforme une
attaque en une action quasi-invisible et difficile dtecter. Par consquent, elle
reprsente une vritable menace pour la scurit des infrastructures rseau.

Introduction gnrale.
13

Il parat alors ncessaire, en vue de dmystifier les risques associs aux AET, de
tester les fonctionnalits anti-vasion des systmes de prvention dintrusion connus sur
le march. Les tests donnent aux entreprises une vision raliste sur les capacits de
protection de ces dispositifs. Ils leurs permettront donc doptimiser les politiques de
scurit mises en place et dvaluer les risques rsidents quils courent.
Cest dans ce contexte que sinscrit notre projet de fin dtudes ralis au sein de la
socit Stonesoft Tunisie. Notre objectif principal est de raliser des tests des techniques
dvasion avances de systme de prvention dintrusion. cet effet, nous avons mis en
place une architecture qui reflte les failles qui existent potentiellement dans les
systmes de prvention dintrusions disponibles sur le march. Nous avons adopt une
mthodologie qui illustre les dfaillances de ces systmes par rapport la dtection
dintrusion connues. Loutil EVADER, mis la disposition de la communaut par
McAffe, a constitu linstrument permettant dvoluer les capabilits des IPS identifier
les scnarios dvasion. Pour des raisons de parcimonie, nous avons recouru
uniquement lattaque dinjection de code (pour la camoufler vis--vis de lIPS). Notre
choix est motiv par la popularit de cette attaque et la capacit de la plupart des IPSs
existants de la dtecter. Notre effort a t ensuite concentr sur la recherche de
combinaisons dvasions qui mnent au succs de cette attaque au dpit de la prsence
dun IPS qui protge la cible.
Le prsent rapport rend compte des tches ce qui ont t ralises durant ce projet.
Il sarticule en quatre chapitres comme suit :
Le premier chapitre Les techniques dvasions avances consiste dcrire
les techniques dvasion et souligne leurs compatibilit avec les attaques classiques.
Le deuxime chapitre Les attaques dinjection dtaillera les mcanismes de
lattaque que nous allons ensuite exprimenter.
Le troisime chapitre Mise en place des architectures de tests sera consacr
prsenter les diffrents matriels, logiciels et techniques quon a utilis lors de la
ralisation des architectures de tests.
Le quatrime chapitre Ralisation des expriences se penchera sur le travail
ralis pour arriver lobjectif de notre projet.
Introduction gnrale.
14

Cahier de charges :
Dans le cadre de ce projet, nous sommes amens raliser des tests des techniques
dvasion avances sur quelques IPS. Pour ce faire, nous devons :
Etudier et comprendre les techniques dvasion classiques et avances.
Choisir et tudier lattaque que nous allons tester avec des AETs.
Choisir les IPS que nous allons tester et passer la mise en place de
linfrastructure physique ncessaire pour les tests.
Evaluer la capacit de protection de ces IPS contre les AET (les
combinaisons des techniques dvasion classiques).

Chapitre I: Les Techniques dvasion avances
Introduction :
Les AETs constituent un nouveau dfi pour les systmes de scurit rseau. Ce sont
lquivalent dun passe-partout permettant aux cybercriminels douvrir les portes de
tout systme. Elles sont en effet capables de contourner les systmes de scurit rseau
sans laisser aucune trace. Pour les entreprises, cela signifie quelles risquent de perdre
des donnes confidentielles. Par ailleurs, on peut tout fait imaginer que des cyber-
terroristes sappuient sur ces AET afin de mener des activits illgales pouvant avoir de
graves consquences.
I.1 Prsentation :
Les AET combinent et modifient des mthodes afin de dguiser une attaque ou un
code malveillant, contrairement aux moyens de contournement connus. Ainsi elles
infiltrent un rseau sans tre dtectes par les systmes de scurit en place. Le risque
particulier associ aux AET est le nombre presque illimit doptions de combinaisons
qui peuvent tre effectu. Les estimations actuelles atteignent 2
250
variantes dAET, [8]
qui vont servir aux pirates informatiques de camoufler une attaque. Des mcanismes de
protection courants (systme de prvention dintrusion ou pare-feu) ne grent pas ces
techniques. Il nexiste aucune protection complte contre les AET. Nanmoins il est
possible de scuriser des rseaux par des mthodes de prvention.
I.2 Lobjectif des AET :
On ne peut pas mesurer avec exactitude lutilisation actuelle des AET. Ne laissant
pas de trace, ces attaques sont dcouvertes quand elles sont dj entres dans le rseau.
Mais alors il nest plus possible de dire quelle technique a t utilise pour permettre au
code malveillant de contourner les systmes de scurit. Des recherches actuelles
indiquent que certaines AET sont relativement faciles manipuler, et on peut supposer
que les pirates informatiques les utilisent dj.
Dautres sont trs complexes et leur utilisation exige des ressources financires
considrables ainsi que le savoir-faire technique. De telles ressources et savoir-faire
sont du ressort des cybercriminels organiss agissant selon des intrts conomiques ou
politiques. On en conclut que les attaques dguises par les AET constituent une
Chapitre I : Les Techniques dvasions avances
16

menace pour les donnes sensibles de grandes socits, des agences gouvernementales
ou des banques [2].
I.3 Fonctionnement :
Les AET combinent de manire particulire des tentatives dintrusion que les
programmes dIPS peuvent habituellement combattre facilement, et cette combinaison
les rend plus difficilement dtectables. Ces techniques ne font pas de dgts mais
donnent en revanche la capacit aux logiciels malveillants datteindre les systmes
viss.
Dans certains tests, un ensemble dAET a t utilis pour camoufler des vers
Conficker et Sasser. Ils ont t envoys contre 10 IPS reconnus, et aucun na pu
dtecter, lpoque, la combinaison de techniques dintrusion. Lattaque est parvenue
passer lIPS en chappant la prvention dintrusion, donnant ainsi au vers Conficker la
possibilit datteindre la cible de serveurs Windows, via une vulnrabilit non corrige.
Le test a utilis le vers Conficker car il est bien connu et les outils de scurit sont
capables de le reconnatre, except sil est masqu de la sorte [2].
LAET se camoufle et exploite une faille. Schmatiquement, on peut le reprsenter
comme un tuyau qui ferait passer un virus ou autre malware.
Pour pntrer un systme, lAET fragmente un paquet. Lattaque est alors place
dans un ou plusieurs fragments et nest pas dtecte car elle nest plus en paquet. Cela
revient en quelques sortes couper le virus en plusieurs morceaux. Aux dbuts, les
systmes de protection ntaient pas capables de dtecter ces attaques fragmentes.
Dsormais, la plupart dentre eux sont capables de les reprer et de les stopper. Les IPS
peuvent maintenant dtecter ces fragments et attendre la suite des fragments du paquet
pour lanalyser entirement.
Pour pntrer dans le serveur dune entreprise ou dune institution, les AET doivent
parvenir traverser le firewall et lIPS. Ensuite, elles doivent pntrer les postes du
rseau. Cela signifie quelles doivent dtecter des failles dans chacune des solutions de
scurit quelles trouveront sur leur route.
17

I.4 Dmystification des AET :
Pour contourner un systme protg les cyber-pirates dguisent ou modifient des
logiciels malveillants et les dirigent, inaperus, vers des rseaux. Dans le cas de
contournements simples et des AET, le protocole TCP/IP, utilis sur Internet et une
majorit de rseaux informatiques, joue un rle central. Il refait appel la norme IP
RFC 791 et dfinit un mode de rception ouvert tandis que le mode envoi reste
conventionnel. En gnral seuls des paquets de donnes sans erreur peuvent tre
envoys, et le systme accepte tous les paquets de donnes entrants qui peuvent tre
interprts en bout de chane. Des paquets de donnes entrants peuvent disposer de
formats diffrents, mais ils sont toujours interprts de la mme manire. Cette
approche ouverte, base sur la notion que linteraction entre des systmes diffrents doit
tre aussi fiable que possible, ouvre la porte aux attaques ou aux techniques dployes
pour les dguiser [2].
Les diffrents systmes dexploitation et applications ne se comportent pas de la
mme manire en recevant des paquets de donnes, et il peut arriver quun IPS ne
dtecte pas le contexte original du paquet et par consquent, interprte le flux de
donnes diffremment de lhte cible. On parle dans ce cas de dsynchronisation de
statut . Cest le point de dpart pour des techniques de contournement, qui utilisent ce
contexte pour crer les paquets de donnes qui apparaissent normaux et scuriss. Ces
paquets ne sont identifis comme des attaques que quand ils sont interprts par le
systme final, cest--dire, quand le code malveillant est dj install dans le rseau [2].
I.5 Les risques particuliers associs aux AET :
Jusque trs rcemment, on connaissant quelques techniques de contournement, qui
taient correctement gres par les solutions de scurit. Mais depuis la dcouverte de
Techniques Avances, il est vident que davantage de techniques peuvent tre utilises
pour contourner des systmes IPS. Les AET exploitent des vulnrabilits dans des
protocoles et dans les faibles barrires de scurit de la communication rseau. Tout
comme les mthodes conventionnelles, elles commencent par le statut dsynchronis
dcrit plus haut. Or les AET font preuve de plus de finesse encore elles varient
constamment, combinent les techniques de dguisement et visent diffrentes couches du
rseau [2].
18

I.6 Les diffrents types dAET :
I.6.1 Insertion et Evasion :
Ces attaques sont fondes sur le manque de cohrence et d'informations entre lIPS
et le systme protg. En particulier, l'attaque d'insertion tire parti de l'hypothse que les
fragments spcifiques sont traites par le systme cible, mais en ralit, seront rejetes.
La squence des fragments qui passe par lIPS n'est pas gale l'attaque initiale.
Lorsque le systme se dbarrasse de ces fragments, la squence finale correspond la
menace. Puis l'attaque complte est reconstruite pour atteindre la victime et ne peut pas
tre dtect par lIPS [3].
L'attaque de l'vasion se produit exactement dans le cas contraire: lorsque lIPS
rejette certains paquets de remplissage inutile. Il permet l'attaque complte de passer
vers le systme cible. Ces attaques peuvent tre ralises en exploitant une simple
diffrence entre les niveaux de restriction sur les politiques de rejet IPS et le systme
cible, ou en utilisant des techniques plus avances.
La Figure 1 explique le fonctionnement de linsertion de fragment dans un paquet,
cela dclenche un faux ngative dans lIPS, ensuite le systme protg rejette les
paquets insr ce qui reconstitue le paquet initial.

19

CW D ~R OO T
Paquet IP fragment
CWD ~ROOT
Paquet initial
CW D ~R OO T
Paquet dsordonn
+ D
~R
OO
T
IP_chaf dup
+ + +
+ CW
CW D ~R OO T
Paquet dsordonn
CWD ~ROOT
Paquet initial
Figure 1: Insertion et vasion
20

Il existe plusieurs faons de faire une insertion ou une vasion, do nous allons
citer quelques-unes.
I.6.1.1 Discarding of fragment :
LIPS et le serveur cible nont pas le mme comportement face aux paquets ce qui
offre la possibilit aux attaquants denvoyer des paquets qui seront autoriss par lIPS et
rejeter par le serveur.
I.6.1.2 Evasion par le champs Time to live:
Cette attaque consiste changer le TTL (Time to Live) des fragments, ce qui fait
disparaitre certains d'entre eux avant d'atteindre le systme de la victime.
I.6.1.3 Evasion grce aux protocoles TCP/IP :
Il est galement possible d'exploiter les vulnrabilits des protocoles rseaux tels
que TCP / IP, l'aide denttes mal forms ou de codes d'intgrit errons, ce qui
permet de se dbarrasser de ces fragments.
I.6.1.4 Evasion laide de lOverlapping fragment :
Une technique d'vasion IDS est de concevoir une srie de paquets avec des
numros de squence TCP configurs pour se chevaucher. Par exemple, le premier
paquet comprendra 80 octets de charge utile, mais le numro de squence du deuxime
paquet sera de 76 octets aprs le dbut du premier paquet. Lorsque l'ordinateur cible
remonter le flux TCP, ils doivent dcider comment grer les quatre octets qui se
chevauchent. Certains systmes d'exploitation prendront les donnes plus anciennes, et
certains vont prendre les donnes les plus rcentes.
I.6.2 Dni de Service (sur le IPS) :
Ces attaques tentent d'exploiter la disponibilit d'une ressource par leur
consommation disproportionne. Si cette attaque vise un IPS, plusieurs choses peuvent
se produire : en premier lieu, et dans le meilleur des cas, le systme compromis s'arrte
de servir le rseau. Il empche le trafic malveillant d'atteindre les systmes protgs.
D'autre part, certains dispositifs IPS peuvent agir en mode Fail Open (Figure 2). Il
permet au trafic malveillant de s'couler. Le dni de service peut menacer plusieurs
objectifs : des ressources essentiellement de calcul telles que la bande passante, espace
disque ou de temps processeur. Il peut galement modifier les informations de contrle
21

telles que des chemins de routage et informations de session TCP. En fin de compte, il
pourrait menacer la couche physique et la couche liaison [3].

I.6.2.1 Resource dpltion :
Resource Depletion est le fait de solliciter une ressource plus qu'elle ne peut
traiter. Ce qui enjoindre le passage de lIPS en mode Fail-Open.
I.6.2.2 Complexit :
Un IPS doit traiter tout le trafic du rseau, si lattaquant envoi des paquets dont
lanalyse est trs complexes, il ne pourra pas tous les analyser ce qui va causer un dni
de service.
I.6.3 Obfuscation de logiciel malveillant :
LObfuscation des logiciels malveillants consiste faire un programme difficile
comprendre. Bien que d'abord l'origine de l'obscurcissement du logiciel tait de protger
la proprit intellectuelle des dveloppeurs, actuellement utilis des fins malveillantes.
La gnration d'un malware obscurcie est la cration d'un nouveau malware . Ce
nouveau malware conserve sa fonctionnalit d'origine mais le code est diffrent.
LIPS peut difficilement le dtecter. L'obfuscation des malware a commenc avec
des programmes simples avec le code malveillant crypt ou compress pour chapper
la dtection. Depuis, des progrs ont t raliss dans trois mthodes: loligomorphisme,
le polymorphisme et le mtamorphisme [3].

IPS Attaquant Serveur cible
Attaque de dni de service
Attaquant
Serveur cible
IPS en mode Fail-open
IPS
Figure 2: Dni de service (sur lIPS)
22

I.6.3.1 Oligomorphisme :
A part le chiffrement du corps de l'attaque, il est devenu ncessaire de dissimuler le
module de dcryptage pour obtenir un malware compltement inaperue. Ces
modules ont commenc tre facilement reconnus par les IPSs sur la base des
signatures. Les assaillants ont d commencer appliquer des techniques
doligomorphisme pour cacher les attaques. Ces techniques sont bases sur la
gnration des modules de chiffrements diffrents, au lieu de mettre toujours le mme
code.
I.6.3.2 Polymorphisme :
Le virus polymorphe a t bas sur la ralisation de changements alatoires sur le
module de chiffrement, qui est presque unique. Ce type de mutation est prcisment l
o rside la diffrence avec ses prdcesseurs. Une des attaques polymorphes les plus
connus est le mimtisme Mimicry . Le mimtisme convertit le code malveillant dans
les appels systme des techniques de rembourrage padding .
I.6.3.3 Mtamorphisme :
Contrairement aux stratgies prcdentes, les attaques mtamorphiques n'a pas de
module de dcryptage. Un malware mtamorphique est connu pour tre capable de
muter son propre corps. Cela va gnrer une anatomie diffrente aprs chaque mutation.
Le premier virus mtamorphique appel ACG (Amazing Code Generator) na pas tait
adapt aux architectures 32 bits. Aujourd'hui elles sont prsentes sur toutes les plates-
formes. La dtection de logiciels malveillants mtamorphique peut devenir trop
complique. Certaines versions finissent par avoir un code totalement diffrent du code
Faux
ngative
Code
malveillant
Encodage
Code
malveillant
dissimul

IPS
Systme
protg
Dcodage
Figure 3: Obffuscation de logiciel malveillant
23

d'origine. Les IPSs bas sur des anomalies sont efficaces dans certaines mutations
avances. Mais les mutations qui gnrent un code totalement diffrent peuvent tre trs
difficiles dtecter.
I.6.3.4 Le chiffrement :
En cryptographie, un cipher est un algorithme qui effectue le cryptage ou le
dcryptage, une srie de mesures bien dfinies qui peut tre suivi comme une procdure.
Une alternative, terme moins commun est le chiffrement. Pour chiffrer ou coder est de
convertir l'information de texte brut en chiffre ou un code.
I.6.4 Couche liaison de donne :
Dans la couche de liaison, lutilisation des tous les AETs cits prcdemment est
possible. Dans cette couche, il ya un risque que l'attaquant puisse accder
physiquement au rseau local. L'attaquant pourrait connatre la topologie du rseau.
L'numration d'un rseau local n'est pas difficile cause du grand nombre de services
qui le permettent. Par consquent, l'attaquant peut connatre l'adresse MAC et l'adresse
de lIPS du systme victime. Avec cette information, les techniques de phishing
simples peuvent tre utilises, qui pourrait mettre en pril le systme. Habituellement,
dans ce genre de mthodes d'vasion l'attaquant est autoris envoyer des fragments de
remplissage lIPS par la cration de fausses tables de routage (IPv4 ARP Spoofing ou
IPv6 Neighbor Discovery Spoofing). De cette faon, il est plac comme un man-in-
the-middle entre lIPS et le systme de la victime, il pourrait injecter un trafic
malveillant sans la protection de lIPS [3].
Une autre faon d'attaquer un IPS au niveau de la couche liaison de donnes est par
dni de service. Une des faons les plus courantes de le faire est par l'attaque
d'inondation ARP. Cette stratgie consiste envoyer des paquets de rponse ARP
faussement associs au systme de la victime. La victime peut considrer qu'il ya plus
de routes quil y en a. Cela conduira rediriger le trafic vers des lieux qui n'existent pas.
Il ya aussi une mthode exclusives de dni de service pour cette couche. Par exemple,
les attaques de brouillage, qui oprent contre les protocoles sans fil en gnrant du bruit
par l'envoi aveugles de paquets non authentifis aux diffrentes stations du rseau. Un
autre exemple est lattaque Sinkhole . Elle consiste envoyer tout le trafic rseau
vers lIPS, provoquant sa saturation.
24

I.6.4.1 Time stamp echo reply modification:
Ce champ n'est valide que si le bit ACK est situ dans l'en-tte TCP. Sil est valide,
il insre la valeur d'horodatage qui a t envoy par le TCP distant dans le champ TSval
de loption timestamp. Lorsque TSecr n'est pas valide, sa valeur doit tre zro. La valeur
TSecr sera gnralement prise depuis le champ timestamp le plus rcent qui a t reu.
Une connexion TCP peut envoyer l'option timestamp dans un segment SYN initial (un
segment contenant un bit SYN et pas de bit ACK), et un TSopt dans les autres segments
sil a reu une TSopt dans le segment SYN initial de la connexion.
I.6.4.2 TCP segment overlap :
Les donnes de connexions TCP sont rparties en segments de taille adapte la
transmission. L'hte cible doit rassembler ces segments dans un flux continu afin de le
livrer une application. Les spcifications TCP / IP ne sont pas claires sur ce qui devrait
arriver si on a des segments reprsentant des donnes qui se chevauchent et comment
interprter ces donnes. En construisant dlibrment des liens avec les donnes qui se
chevauchent, qui sont diffrents en eux, les attaquants peuvent tenter de forcer un
systme de dtection d'intrusion ou un autre outil de surveillance de rseau mal
interprter l'intention de la connexion. Ceci peut tre utilis pour induire dlibrment
des faux positifs ou des faux ngatifs dans un IPS.
I.6.5 Couche application :
Chaque protocole de la couche d'application a des vulnrabilits qui pourraient se
transformer en une attaque difficile dtecter par lIPS. Le malware pourrait viter
les systmes de scurit cause de la syntaxe spcifiques des langages. De plus, lors de
la reprsentation des oprations arithmtiques l'ambigut peut tre utilise par
l'attaquant. En outre, les donnes multimdias tels que des images ou de la vido
utilisent des techniques de compression spcifiques. Ces techniques de compression
peuvent cacher l'attaque. Par exemple, il fonctionne bien avec lattaque de dbordement
de tampons (buffer overflow) ou codes malicieux tels que les virus brouilles ou
chevaux de Troie. Par consquent, il s'agit d'une stratgie de dissimulation qui au lieu
dimpliquer les caractristiques des logiciels malveillants de bas niveau, exploite les
caractristiques au niveau de l'application [3].
25

I.6.5.1 Http URL encoding :
Lattaque Http URL Encoding consiste coder certains caractres dans une URL en
les remplaant par un ou plusieurs caractres dchappement qui se composent du
caractre pour-cent "%" suivi de deux chiffres hexadcimaux. Les deux chiffres
hexadcimaux du code dchappement correspondent la valeur numrique du
caractre remplac.
I.6.6 Combinaison des AETs avec des attaques classiques :
Les AETs reprsentent une menace importante pour la scurit, toutefois leur
unique but consiste dtourner la vigilance de lIPS. Cependant les AET ne sont
efficaces que sils sont combins avec des attaques classiques. Le tableau suivant
rsume les attaques les plus classiques et la possibilit de les combiner avec certains
types dAET. La combinaison dattaque est exprime selon les symboles suivants :
+ + : lattaque est facilement excut grce lvasion.
+ : possibilit de combiner lattaque et lvasion.
- : incompatibilit entre lattaque et lvasion.
- - : combinaison impossible.

Attaque

AETs
Injection de
code
Dni de Service (sur
la machine cible)
Code
malveillant
Buffer over flow Man in the middle
Evasion et
insertion
Discarding of
fragment
+ + + + + - -
Timeout + + + + + - -
TTL + + + + + - -
TCP /IP + + + + + - -
Fragmentation
overlapping
+ + + + + - -
Timeout fragment + + + + +
Dni de
service (sur
les
quipements
de scurit)
Resource depletion + + + + + + + + + +
Complexity + + + + + + + + + +
Obfuscation
de virus
Cipher - - - - + + + -
Oligomorphism - - - - + + + -
Polimorphism - - - - + + + -
Metamorphism - - - - + + + -
Couche
liaison de
donnes
Tcp timestamp echo
reply modification
- + + - - +
Tcp segment overlap -- + + - - - - +
Couche
application
http URL encoding

+ + ++ ++ ++ - -
Tableau 1Classification des diffrents types des techniques dvasion
Chapitre I : Les Techniques dvasions avances.

Dune part le fait dutiliser les insertions et les vasions est propices aux injections
et aux attaques par code malveillant car ils servent cacher ces attaques mais peuvent
aussi tre utiliss pour causer des dnis de service.
Dautre part causer un dni de service sur lquipement de scurit permet
dexcuter n'importe quelle attaque sans se soucier de ce dernier puisquil nexcute
plus les analyses quil est cens faire.
Contrairement aux deux techniques prcdentes l'obfuscation des virus est base
sur le chiffrement (pour cacher les signatures des codes malveillants aux systmes de
dtection). Par la suite, elle est facilement combinable avec les codes malveillants et
l'attaque de buffer overflow.
Pour ce qui est des techniques effectues sur la couche liaison des donnes on peut
sen servir pour effectuer des attaques de dni de service ou de man-in-the-middle car
elle manipule les enttes du protocole TCP.
Les vasions de couche application sont combinables avec tout type dattaque qui
peut s'excuter sur la couche application dont notamment linjection de code et le
tunneling.
Conclusion :
La menace que reprsentent les techniques dvasion avances est telle que les
recherches rcentes sur le sujet en ont fait un sujet de proccupation majeur. Les
diteurs de scurit doivent donc dsormais ddier du temps et des ressources la
recherche dune solution pour contrer ce phnomne. Il reprsente en effet une vritable
menace pour la scurit des infrastructures rseau protgeant les gouvernements,
administrations et entreprises.

Chapitre II: Les attaques dinjection de code
Introduction :
Les AETs sont inefficaces, sauf sils sont combines avec les attaques classiques.
Pour les tests que nous avons effectus. Notre choix sest port sur les injections SQL et
plus prcisment la vulnrabilit phpbb_highlight.
II.1 Les attaques dinjection PHP :
Linjection PHP Objet injection est une vulnrabilit au niveau de la couche
application qui pourrait permettre un attaquant d'excuter diffrents types d'attaques
malveillantes, telles que le code injection, SQL injection, path Traversal et application
denial of service, en fonction du contexte. La vulnrabilit se produit lorsque l'entre
fournie par l'utilisateur n'est pas correctement filtre avant d'tre transmis la fonction
PHP unserialize (). Depuis PHP permet la srialisation d'objets, les attaquants
pourraient passer des chanes srialiss ad hoc un appel unserialize() vulnrables,
rsultant en une injection arbitraire dun objet PHP dans le champ d'application.
II.2 Injection SQL :
II.2.1 Prsentation :
Une injection SQL est un exploit c'est--dire une faille de scurit permettant un
utilisateur mal intentionn dexcuter nimporte quelle requte SQL sur une base de
donnes, voir mme compromettre un serveur si l'utilisateur utilisant la base de donnes
a des droits systmes.
La faille est rendue possible lorsque des donnes envoyes par un utilisateur sont
utilises sans traitement pour construire ces requtes. Ce genre de failles tire parti des
mauvaises techniques de programmation de certains dveloppeurs.
On peut alors jouer avec les caractres spciaux (caractres de commentaire en
particulier) pour modifier ou ajouter des requtes.

Chapitre II : Les attaques dinjection
29

Une injection SQL reprsente plusieurs risques :
Rendre inoprante lapplication web.
Voler les informations stockes en base de donnes.
Usurpation didentit (prendre lidentit dune autre personne).
Altration des informations stockes dans la base de donnes.

II.2.2 Les diffrents types de SQL injection :
Il existe plusieurs types de SQL injection dont [4]:
II.2.2.1 Relations non autorises :
La plus part des SGBD permettes aux administrateurs de limiter l'accs aux
relations (tables, vues, etc.), plusieurs dentre eux n'effectuent pas cette tche
fastidieuse, ce qui laisse place une faille SQL injection.
II.2.2.2 Commandes de l'utilitaire
Une technique couramment utilise en attaques par injection SQL est d'excuter des
commandes de services publics, qui sont gnralement SQL Data Definition Language
(DDL). Un exemple est la cration d'une fonction dfinie par l'utilisateur qui a la
possibilit d'accder d'autres ressources systme.
La technique la plus frquemment utilise en attaques par injection SQL lance une
clause conditionnelle tautologique WHERE (en utilisant une condition qui est toujours
vrai).
Ce qui suit est un exemple:
WHERE password = 'x' OR ' x ' = ' x'
Les attaquants commencent gnralement identifier les faiblesses de scurit en
utilisant cette technique.
II.2.2.3 DML Unbounded
Le fonctionnement illimit des instructions DML, est une action dangereuse mene
pendant lattaque par injection SQL. Ce sont UPDATE et DELETE sans clause
WHERE. Par exemple, un attaquant peut mettre jour les mots de passe de tous les
30

utilisateurs une valeur connue ou lancer un dni de service en supprimant toutes les
donnes dans une table de cl.
II.2.3 Mise en place de l'attaque :
Afin d'exploiter les vulnrabilits d'injection SQL, nous devons comprendre
comment la requte est construite afin d'injecter notre paramtre dans une situation o la
requte restera valide. Par exemple si nous entrons dans le champ texte id le numro 1
et nous cliquons sur le bouton d'envoi, nous remarquerons qu'il la rponse se constitue
du nom et prnom de l'utilisateur dont lID =1.
Cela signifie que la demande de recherche qui a t excut sur le serveur dans une
base de donnes contenant une table users a t la suivante:
SELECT First_Name,Last_Name FROM users WHERE ID=1;
Pour mener bien une attaque de SQL injection nous devons tout dabord rcuprer
des informations sur le serveur et la base de donnes ensuite excuter linjection (
Figure 4).

Etape 1 :
Si un utilisateur rentre une valeur de substitution qui peut tre interprte dans la
requte, alors ce moment-l lapplication est sensible une injection SQL.
Supposons que myuser'-- est entr dans le champ du nom d'utilisateur avec un mot
de passe quelconque. Ceci donnerait:
Tester si
lapplication
est vulnrable
Identifier la base
de donnes
Identifier le
nombre de
colonne
Trouver lutilisateur
actuel de la base de
donnes
Rcuprer les noms
des tables
Rcuprer les noms
des colonnes
Rcuprer
les donns

Figure 4: Etape d'une SQL injection
31

SELECT user_id FROM users WHERE username='myuser'--'
AND password='mypass';
La cl de cette requte est l'inclusion des deux tirets (--). C'est en fait la chane de
caractre permettant de mettre en commentaire une requte SQL. Et donc tout ce qui est
aprs ces deux tirets sera ignor. Ici la requte excute sera :
SELECT user_id FROM users WHERE username='myuser'
Le plus flagrant ici est l'omission de la vrification du mot de passe. Et c'est en
incluant dans les champs du nom d'utilisateur les deux tirets que le mot de passe est
compltement ignor. C'est ce qu'on appelle une injection SQL.
Une autre solution qui extrait tous les noms et prnoms de la table est dutiliser la
requte suivante
SELECT First_Name,Last_Name FROM users WHERE ID=a
OR =;)
Etape 2:
La prochaine tape sera d'essayer d'identifier ce type de base de donnes qui est en
cours d'excution. Cela peut tre ralis par une simple quotte, car il va forcer la base de
donnes considrer tous les caractres qui suivent la simple quotte comme une chane
et non comme du code SQL et il provoque une erreur de syntaxe.
Alors maintenant, si on ajoute une apostrophe sur le paramtre id= cela permet
dafficher le type de la base de donnes.
Etape 3 :
Maintenant que nous savons que la base de donnes est MySQL, nous pouvons
utiliser les requtes appropries pour trouver la version. En MySQL la requte qui
retourne la version de la base de donnes est la suivante:
% or 0=0 union select null,version() #
Etape 4 :
32

Nous avons identifi la version de base de donnes, nous passons lidentification
du nombre de colonnes. L'ordre de commande est utilis pour trier les informations dans
un tableau. Donc, nous savons de ce qui prcde que la structure de la requte est la
suivante:
SELECT First_Name,Last_Name FROM Users WHERE
ID=1;
Nous pouvons interroger les colonnes disponibles de la table l'aide de la
commande par la syntaxe.
Ainsi, par exemple la requte sera:
SELECT First_Name, Last_Name FROM Users WHERE
ID=order by 1 #
Nous n'avons pas eu une erreur une fois que la requte a t excute. Cela signifie
qu'il existe au moins une colonne. Maintenant si nous essayons d'augmenter le nombre
de colonnes sur une prise de la requte 'order by 2, nous ne remarquons aucun
changement et la page s'affiche correctement. Cela signifie galement qu'il existe au
moins deux colonnes. Toutefois, si nous essayons d'augmenter jusqu N ('order by N
#), nous allons remarquer l'erreur suivante:
unknown column N in order clause
Cette erreur signifie quil ny a pas de Nime colonne, ce qui veut dire que la table
se constitue de N-1 colonnes.
Etape 5 :
Ensuite, nous allons essayer de trouver l'utilisateur de base de donnes actuelle. En
MySQL les requtes qui peuvent rcuprer l'utilisateur de base de donnes actuelle sont
les suivants:
SELECT user();
SELECT current_user();
Donc, si nous essayons de la commande suivante:
33

union all select system_user(),user() #
Le rsultat de cette requte est lutilisateur courant de la base de donnes qui est
root@localhost.
Etape 6 :
Maintenant, nous pouvons utiliser la commande :
union select null,database()#
Pour trouver le nom de base de donnes la commande suivante permet de retourner
la liste des bases de donnes courantes :
union select null,schema_name from
information_schema.schemata
Etape 7 :
Maintenant que nous avons rcupr les bases de donnes, nous pouvons essayer de
dcouvrir les noms des tables de information_schema en utilisant la requte suivante:
union select null,table_name from information_schema.tables #
Etape 8 :
Donc, nous avons maintenant les colonnes de la table users, pour afficher le
prnom et le hachage des mots de passe des utilisateurs de la table:
union bselect null,concat(first_name,0x0a,password) from
users #
Etape 9 :
Maintenant, nous avons toutes les valeurs de hachage pour tous les utilisateurs. Une
autre requte simple que nous pouvons excuter et il va nous revenir l'emplacement de
la base de donnes sur le systme distance du systme est:
union select null,@@datadir #
34

II.2.4 Se protger d'une injection SQL :
Une injection SQL peut tre facilement contourne en "dsinfectant" ou en
"chappant" les donnes. En anglais on peut traduire ces termes par "Sanitize" ou
"Escape". De cette faon une chane l'intrieure d'une requte ne pourra tre termine
prmaturment.
Par exemple pour rechercher le nom d'utilisateur "L'ama" en base de donnes vous
tes oblig d'chapper le guillemet simple aprs le L. Vous pouvez donc "dsinfecter"
cette chane en insrant un \ .
Revenons l'exemple d'injection SQL prcdent avec la valeur myuser'--.
SELECT user_id FROM users WHERE username='myuser\'--'
AND password='mypass';
En chappant le guillemet simple aprs myuser, la base de donne recherchera le
nom d'utilisateur myuser'--. Ainsi la requte est excute entirement et inclue la
deuxime condition sur le mot de passe.
II.3 Php phpbb :
Cette signature dtecte une tentative d'excution de code distance via un script
php phpBB, cause par le manque de scurit du paramtre highlight.
Le script " viewtopic.php " phpBB est vulnrable un script d'injection PHP
distance. Ce problme est d une dfaillance de l'application pour effectuer un
contrle sur les paramtres URI fourni par l'utilisateur avant de les utiliser pour
construire des pages web gnres dynamiquement.
Plus prcisment, le problme se pose quand un utilisateur malveillant fournit des
donnes pour le script vulnrable par le paramtre affect. Le code highlighting emploie
un appel de la fonction preg_replace () qui utilise un modificateur e sur des donnes
fournies par l'attaquant. Ce modificateur provoque la chane de remplacement qui va
tre value comme du code PHP. Ce problme peut permettre un attaquant distant
d'excuter des commandes arbitraires dans le contexte du serveur Web qui hberge le
logiciel vulnrable.
35

Conclusion :
Une injection SQL est une faille de scurit dans une application connecte une
base de donnes. Cependant elle ne reprsente plus quune menace infime face
lavanc du domaine de la scurit sauf si nous la combinons avec des techniques
dvasion avancs.

Chapitre III: Mise en place des architectures de test
Introduction :
Pour effectuer les tests des AET nous avons besoin dun environnement rseau qui
simule lattaquant, le serveur attaqu et le retour contenant lIPS. Nous avons mis en
place 3 architectures, chacune delle introduit un nouvel lment essentiel au
fonctionnement de la simulation.
III.1 Attaque phpBB sur un serveur vulnrable :
Pour la premire architecture, nous avons mis en place deux machines ; lune
reprsente lattaquant et lautre le serveur vulnrable. Les deux machines fonctionnent
sous Ubuntu install sur une machine virtuelle.
Sur la premire machine, nous avons install le programme Sqlmap pour effectuer
lattaque Sql injection. Sur la deuxime machine, nous avons install le serveur
WampServer avec une application web vulnrable.
La Figure 5 illustre cette architecture :

III.1.1 Vmware :
VMware Workstation permet de crer une machine virtuelle pour les dveloppeurs
et les administrateurs systmes qui veulent rvolutionner le dveloppement, le test et le
dploiement dans leurs Entreprises. VMware Workstation permet de dvelopper et tester
des applications complexes s'excutant sur plates-formes Microsoft Windows, Linux ou
Attaque sql injection avec sqlmap
Serveur web vulnrable
Figure 5: Attaque phpBB sur un serveur vulnrable
Chapitre III : Mise en place des architectures de test
37

NetWare sur une seule machine. Ses caractristiques essentielles sont : la cration de
rseaux virtuels, de gestion de disques virtuels, glisser dposer entre machines,
rpertoires partags.
III.1.2 Ubuntu :
Ubuntu est un systme dexploitation libre. Fond sur la distribution Linux Debian,
ce systme d'exploitation est constitu de logiciels libres.
III.1.3 Sqlmap :
Sqlmap est un outil de test de pntration open source qui automatise le processus
de dtection et d'exploitation des failles de SQL injection et la prise en charge des
serveurs de base de donnes.
III.1.4 Xampp :
Xampp est un ensemble de logiciels permettant de mettre en place facilement un
serveur Web confidentiel. Il s'agit d'une distribution de logiciels libres (X Apache
MySQL Perl PHP) offrant une bonne souplesse d'utilisation.
III.2 Mise en place du routeur :
Dans cette deuxime architecture, on a ajout un routeur dont le composant le plus
essentielle pour notre exprience est lIPS. La
Figure 6 reprsente la seconde architecture :

Wan :
172.6.5.1
Internal :
192.168.1.1 192.168.1.2 172.6.5.2

Figure 6: Mise en place du routeur.
38

III.2.1 Routeur :
Pour notre exprience nous avons utilis deux routeurs, en premier lieu le firewall
Fortigate 50b, puis le routeur Cisco 2600.
Le routeur FortiGateUTM (Unified Threat Managementsystem) supporte le
dploiement en rseau de services au niveau de la couche application, y compris la
protection antivirus et le scan complet du contenu filtr. LUnits FortiGate amliore la
scurit du rseau, rduit les abus rseau, et facilite lutilisation des ressources de
communication sans compromettre les performances du rseau.
Il fonctionne non seulement comme un routeur mais propose aussi les
fonctionnalits suivantes [5]:
Routeur UTM dual WAN
Antivirus, Anti-Intrusion & Anti-Spam
Dtection et Prvention intrusion en temps rel
Pare-feu complet / Filtrage de contenu Web
Le Cisco 2600 Series Multiservice Platform est un routeur d'accs multiservice
modulaire qui offre des configurations flexibles LAN et WAN, de multiples options de
scurit, et une gamme de processeurs. Avec plus de 70 modules de rseau et
dinterfaces, l'architecture modulaire de la gamme Cisco 2600 permet aux interfaces
d'tre facilement mis niveau pour l'extension du rseau.
Les Cisco 2600 sries fournissent aux gestionnaires de rseaux et les fournisseurs
de services une solution rentable pour rpondre la succursale de leurs besoins, y
compris :
Accs Internet et intranet de la scurit pare-feu
Multiservice intgration voix et donnes
Services analogiques et accs de ligne numrique
accs VPN
Routage inter-VLAN
Routage la gestion de la bande passante
Intgration de routage flexible et commutation de basse densit

39

Wan1/Fastethernet0/0 :
Attaquant
172.16.15.0/24

Internal/Fastethernet0/1 :
Serveur
192.168.1.0/24
Figure 7 : Interfaces du routeur.
Le module de rseau Cisco IDS NM pour le routeur Cisco 2600 fait partie de la
gamme de sondes Cisco IDS et du systme de protection contre les intrusions Cisco IPS
(Intrusion Protection System). Ces sondes IDS travaillent de concert avec les autres
composants IDS, afin dassurer une protection efficace de vos donnes et de votre
infrastructure dinformations. Devant la complexit croissante des menaces rseaux, il
devient indispensable de mettre en place des solutions efficaces de protection du rseau
contre les intrusions afin de garantir un niveau lev de scurit. Une protection
vigilante contribue garantir la continuit de lactivit de lentreprise et minimise les
consquences onreuses des intrusions. Pour obtenir des informations complmentaires
sur lensemble de la solution Cisco IPS.
Comme lillustre la Figure 7 nous avons reli lattaquant au rseau par
lintermdiaire de linterface Wan1 et le serveur par linterface Internal sur le firewall
Fortigate. Pour ce qui est de lexprience avec le routeur Cisco lattaquant a t reli
linterface Fastethernet0/0 tandis que le serveur a t reli linterface Fastethernet0/1.

Aprs avoir effectu le branchement physique des cbles, nous avons configur le
routeur comme suit (Tableau 2 et Figure 8) :
Adresse rseaux Gateway Interface
Attaquant 172.16.15.0/24 172.16.15.1 Wan1
Serveur 192.168.1.0/24 192.168.1.99 Internal
Tableau 2 : Adressage du rseau
40

Figure 8 : Rgle de routage
Figure 9: Rgle du pare-feu

La configuration des interfaces du routeur doit tre suivi par la configuration du
firewall. Nous avons ajout les rgles suivantes de sorte quil laisse passer tout le trafic
tant donn que nous allons effectuer des tests sur lefficacit de lIPS. (Figure 9)

41

AET effectue
grce Evader
LIPS du routeur est
devenu obsolte
Figure 11: Architecture des tests dvasion
Figure 10 : Log du routeur
Une fois la mise en place de larchitecture termine, nous avons vrifi son bon
fonctionnement avec un PING sur le serveur. Comme le montre la Figure 10 qui illustre
le log du routeur o nous voyons que le firewall na bloqu aucuns paquets.

III.3 Architecture des tests dvasion :
Puisque lIPS a arrt lattaque phpbb, nous avons introduit Evader pour effectuer
les AETs sur la machine de lattaquant comme lillustre la Figure 11.

III.3.1 Evader :
III.3.1.1 Prsentation :
Evader est un outil de test dAETs dvelopp par Stonesoft en 2010.Cest le
premier environnement de test logiciel bas sur les AETs dans le monde. Il prend en
42

charge 35 diffrents familles de techniques d'vasion. Ceux-ci sont parfois appels
vasions atomiques .
Grce Evader, des attaques connues et dpasses qui sont normalement arrtes
par les outils de scurit, peuvent les dpasss avec les AETs. Ceci dit Evader nest
pas un outil de piratage mais un outil de test de pntration dont le but est de savoir si
les diffrentes attaques peuvent entrer dans un systme. Evader applique des vasions
au niveau du rseau pour envoyer une charge utile payload lhte distant travers
le dispositif IPS. Il envoie d'abord des Payload non malveillants qui ne devraient pas
tre dtect. C'est appel le test faux positif . En cas de succs, le payload
malveillante sera envoy. Selon le payload malveillant slectionn, le systme distant
est cras par l'excution de code distance. Si cela arrive, nous pouvons dire que
lvasion tait fonctionnelle. [6, 7]:
III.3.1.2 Caractristiques :
Cet outil contient une pile de protocoles de rseau multicouche. Lors de l'envoi du
payload, il peut appliquer plusieurs vasions sur divers protocoles .par exemple Si, la
charge utile exploite les services de Vulnrabilit du serveur Microsoft MS08- 067, les
vasions appliques peuvent tre partir des couches IP, TCP, NetBIOS, SMB et
MSRPC. Evader peut diviser la connexion en plusieurs tapes et chaque tape peut
avoir ses propres vasions appliques. En thorie, lEvader peut produire tous les flux
de donnes brouills possible en envoyant le payload, mais en pratique, cela ne peut pas
tre test car il y a des centaines de faux-positive possible, et une quantit virtuellement
interminable de combinaisons et de permutations. [6,7]:
Conclusion :
Apres avoir mis en place larchitecture des tests, nous allons simuler lattaque
dinjection de code sur le serveur en utilisant les AETs. Pour cela nous allons protger
le serveur cible moyennement un IPS et utiliser loutil Evader pour tenter de la
contourner.

Figure 12: Ouverture fichier interface
Chapitre IV: Ralisation des expriences
Introduction :
Dans ce chapitre nous allons effectuer les tests progressivement sur les
architectures que nous avons prpares. Pour la premire et la deuxime architecture
nous effectuerons le test simple de lattaque, pour la dernire architecture nous testerons
lefficacit des composent de scurit grce aux vasions.
IV.1 Configuration des outils utiliss :
Avant de commencer les tests dvasion, nous allons configurer loutil quon a
utilis pour effectuer les attaques. Tout dabord nous lanons le systme dexploitation
Ubuntu qui contient les services Evader.
La premire tape de la configuration consiste modifier les adresses des machine
selon la premire architecture prsent dans le chapitre 3.et ceux par la commande Shell
suivante (Figure 12):
Vi /etc/network/interfaces

Cette commande ouvre le fichier de configuration interfaces que nous avons
configures comme le montre la Figure 13.

Chapitre IV : Ralisation des expriences
44

Figure 14: Relancer le service rseau
Figure 13: Fichier /etc/network/interfaces

Aprs avoir configur la machine nous relanons le service rseaux grce la
commande suivante (Figure 14) et nous effectuons les mmes manipulations pour la
machine victime.
/etc/init.d/networking restart

Une fois que les paramtres rseaux sont fonctionnels et quune liaison est tablie
nous dmarrons les services ncessaire au test dans les deux machines :
IV.1.1 Machine de lattaquant :
Au niveau de la machine de lattaquant nous dmarrons le service Webgui (Figure
15) qui nous permettra daccder linterface graphique dEvader en entrant ladresse
localhost : 8000 dans le navigateur.

45

Figure 15: Lancement du service webgui2
Figure 16: Lancement du service vulnrable

IV.1.2 Machine victime :
Au niveau de la machine victime nous dmarrons le service vulnrable qui contient
une application phpBB qui sera la cible de lattaque au cours des tests:
/root/start-victime-services.sh

En plus deffectuer des tests sur la machine linux nous avons configur un second
serveur vulnrable sur une machine Windows avec Wampserver pour valider les
rsultats de nos expriences en dehors des restrictions du systme dexploitation
Ubuntu.
IV.2 Ralisation des tests :
Une fois les outils que nous allons utiliser sont configurs, nous passons aux
expriences.
IV.2.1 Test de lattaque sur un rseau local :
Notre premire architecture est constitue de deux machines sur le mme rseau
local o aucun dispositif de scurit na t mis en place au niveau du rseau pour tester
lefficacit de lattaque sans vasion.
46

Figure 17: Slection de l'attaque
Figure 18: Configuration de l'environnement de test
Pour la premire interface (Figure 17) dEvader nous avons slectionn lattaque
http_PhpBB_highlight.

Pour la deuxime interface (Figure 18) nous avons choisi la couche 2 par rapport
notre architecture et slectionn le niveau 2 pour la puissance dvasion, puis nous
avons configur les adresses comme expliqu dans la partie configuration.

47

Figure 19: Excution de l'attaque

Pour la troisime interface (Figure 19), Evader nous donne la possibilit dexcuter
plusieurs AETs manuellement pour rpondre nos besoins, pour ce faire nous avons
choisi loption manual evasions sans cocher aucunes cases, do lattaque sera
excute sans vasion.
Aprs lavoir excut, lattaque a t men avec succs, comme le montre le
message successful attack (no evasions) after 1 seconds .

Une fois lattaque russie elle nous donne la possibilit daccder la machine via
un Shell comme le montre la Figure 20.

48

Figure 20: Rsultat de l'exploit

IV.2.2 Test de lattaque sur un rseau contenant un dispositif de scurit :
Pour la deuxime architecture, nous avons ajout un firewall Fortigate qui va
assurer la fonction de lIPS. Au cours de cette exprience le serveur sera protg, ce qui
va entrainer larrt de lattaque.
Par rapport au test prcdent, nous avons choisi la couche 3 car les machines sont
reli par un routeur, puis nous avons configur la passerelle (Figure 21).

49

Figure 21: Configuration du deuxime environnement de test
Figure 22: Log IPS

Pour ce test lattaque a t stoppe par lIPS Fortigate 50b. Le log de ce dernier
affiche plusieurs alertes de scurit warning qui sont issues des paquet de lattaque
comme le montre la Figure 22.

50

Figure 23: Combinaison de techniques d'vasion
IV.2.3 Test de lattaque avec vasion :
Notre objectif est de raliser des tests de techniques dvasion avances de systme
de dtection dintrusions. Comme nous avons pu le voir, les AETs sont des
combinaisons de plusieurs techniques dvasion classiques. Elles peuvent attaquer tous
les niveaux de la pile TCP/IP, une multitude de protocoles ou de combinaisons de
protocoles. En effet, les techniques dvasion sont nombreuses. Dans notre travail, nous
allons raliser une combinaison de techniques dvasion classiques (Figure 23), ces
techniques sont:
Technique dvasion de la couche rseau :
o Ipv4 fragmentation
Techniques dvasion de la couche transport :
o TCP Segment overlap.
o TCP timestamp echo reply modification.
Technique dvasion de la couche application :
o http URL encoding.

Ayant refait le mme test de la section IV.2 .2 en combinant des attaques dvasion,
nous avons not que lIPS Fortigate 50b ne stoppe plus lattaque. Ceci veut dire que
lattaque dinjection de code a russi a le contourner. Toutefois, nous navons pas russi
aller au bout de nos analyses sur cette IPS car le systme dexploitation qui y est
51

Figure 24: Dtection de l'attaque par
le routeur Cisco 2600
install na pas t mis jour depuis 2010 ainsi que la base de la signature quil
contient. Ainsi, nous ne pouvons pas nous prononcer quant la capacit des versions
postrieures celle dont nous disposons de stopper les attaques dvasions.
Aprs avoir excut lattaque nous remarquons quelle a t stoppe par le
dispositif de scurit du routeur Cisco2600 (Figure 24) et a pass le routeur Fortigate
sans tre dtect. Cela montre que les AETs tirent profil des diffrences de
comportement des dispositifs de scurit et des systmes quils visent protger.

IV.3 Solution potentielles :
Aprs avoir effectu les tests nous remarquons que les AETs sont efficaces contre
les IPSs ce qui nous amne proposer quelques solutions comme perspective pour ce
travail.
La premire solution consiste ajouter un HIPS (HostBased Intrusion Prevention
System).Bien quelle stoppe certaines AETs cette solution nest pas trs efficace et nest
pas possible implmenter sur un rseau dentreprises car les outils ncessaires ne
52

sadaptent pas la diversit de configuration et de systmes dexploitations qui existent
dans les systmes rels.
La deuxime solution, plus efficace et plus simple implmenter sur un rseau dj
dploy, consiste ajouter un plug-in sur lIPS afin de dtecter les AETs (Figure 25).
Le rle de ce plug-in consistera essentiellement classifier le trafic passant par
lIPS en vue de le soumettre diffrents niveaux danalyse. Il sagit dune analyse
contextuelle des paquets qui peuvent damliorer la robustesse des IPSs sans pour
autant porter atteinte la qualit du service.

Conclusion :
travers ce chapitre, nous avons tout dabord commenc par les tests des attaques
dinjection. Ensuite, nous avons ralis des diffrents tests dvasion. Les rsultats
obtenus, sont satisfaisants et correspondent aux objectifs du projet.

Attaque
stoppe
+
Attaque avec
vasion
Attaquant Serveur victime
IPS
Plug-in
Figure 25: Solution avec plug-in

Conclusion gnrale et perspectives :
Au terme de ce rapport, nous pouvons conclure que ce stage de fin dtudes nous a
donn une occasion opportune nous permettant de confronter lacquis thorique
lenvironnement pratique. En effet, le stage nous a permis de prendre certaines
responsabilits, par la suite de consolider de plus en plus nos connaissances thoriques
et pratiques. Cest l que rside la valeur dun tel projet de fin dtudes qui combine les
exigences de la vie professionnelle aux cts bnfiques de lenseignement pratique. Ce
travail de mise en place de plusieurs architectures de tests tout au long du stage nous a
t bnfique sur plusieurs plans : il nous a permis de perfectionner nos connaissances
acquises en thoriques sur la scurit des rseaux.
Du point de vue technique, nous avons pu acqurir de nouvelles connaissances sur
les techniques dvasion avances de systme de prvention dintrusion et nous nous
sommes familiariss avec les mesures de scurit employes.
Afin de mieux comprendre notre sujet, nous avons commenc par tudier les
diffrentes techniques dvasion classiques et avances et les combinaisons dattaques
qui leurs sont compatibles. Ensuite, nous avons mis en place linfrastructure physique
tout en identifiant les lments et les machines ncessaires pour laborer les tests
dvasion simple et avance. Finalement, nous avons effectu les diffrents tests afin
didentifier la raction des deux IDS implments vis--vis de lattaque.
Les principaux rsultats montrent que la dtection des techniques dvasion simple
est faisable par FortiGate, tandis que les tests des techniques dvasion avances nest
dtectable que par lIPS Cisco et non pas par Fortigate ce qui nous a emmen proposer
deux solutions.
Comme perspective pour ce travail, nous pouvons dvelopper une solution
logicielle qui sera implmente sur lIPS afin de contrer les AETs ou bien tester de
nouvelles combinaisons sur dautres quipements de scurit.

54

Bibliographie :
[1]: http://www.protego.net/ptgfiles/lesechos.pdf
[2]: http://www.silicon.fr/avis-dexpert-securite-focus-sur-les-aet-73971.html
[3]: BXX--EVOLUTIONS OF EVASION TECHNIQUES AGAINON
SYSTEMS.pdf, Jorge Maestre Vidal, Jaime Daniel Meja Castro, Ana Lucila Sandoval
Orozco, Luis Javier Garca Villalba
[4]: A Classification of SQL Injection Attacks and Counteasures-2006.pdf de
William G.J. Halfond, Jeremy Viegas, and Alessandro Orso, College of Computing,
Georgia Institute of Technology, {whalfond|jeremyv|orso}@cc.gatech.edu
[5]: http://draytek-france.fr/index.php/component/k2/itemlist/category/23-routeurs-
utm
[6]: BXX--Dismantling Intrusion Prevention Systems.pdf de Olli-Pekka Niemi ,
Stonesoft Corporation, Helsinki, Finland
[7]: Advanced Evasion Techniques:Measuring the threat detection capabilities of
up-to-date network security devices de Eetu Korhonen

55

Rsum
Ce projet traite lexprimentation des attaques dvasion sur une plate-forme pratique.
Loutil EVADER de McAfee a suscit lintrt essentiel de notre travail.
Nous avons tudi en premier lieu ladquation entre les attaques dvasion et des
intrusions rseaux. Nous nous sommes concentrs sur les attaques dinjection PHP et
spcialement sur les injections SQL. Ensuite, nous avons mis en place plusieurs
architectures servant tester la raction des IPS Cisco et StoneGate contre les attaques
dvasion. Finalement, nous avons gnr partir des tests pratiques des deux routeurs,
deux diffrents rsultats qui montrent que les AETs tirent avantage de la diffrence de
comportements entre les quipements du rseau.
Mots cls : Evador, Injection, IPS, victime, techniques dvasion avances.

Abstract
This project, addressed the experimentation of advanced Evasion attacks (AETs)
on a test platform. The EVADER tool, developed McAfee, has been used to this
purpose. We first studied the adequate between the AETs and various intrusions
techniques. Then, we focused on PHP injection and SQL injection. We tested this
attacks against a vulnerable target with different protection to polofies. We found
the success of evading the security system depends on the robustness and the
timelines of the hardware/ software protection platform
Keywords: Evador, Injection, Victim, advanced evasion techniques.

Plateforme de Tests Des Techniques D'évasion Avancées - AETs - EVADER

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Plateforme de Tests Des Techniques D'évasion Avancées - AETs - EVADER

Diunggah oleh

Hak Cipta:

Format Tersedia

Licence Applique en Sciences et technologies de lInformation

Anda mungkin juga menyukai