Prévenir ou Atténuer les Attaques réseau - les mannequins

Vidéo: Future Risks: Cybersecurity 2024

En tant que Certified Professional Security Systems (CISSP), vous devez prévenir ou atténuer les attaques contre votre réseau. La plupart des attaques contre les réseaux sont des attaques de déni de service (DoS) ou de déni de service distribué (DDoS) dans lesquelles l'objectif est de consommer la bande passante d'un réseau afin que les services réseau deviennent indisponibles. Mais plusieurs autres types d'attaques existent, dont certaines sont discutées ici.

Bluejacking et bluesnarfing

Avec la popularité croissante de la technologie Bluetooth, plusieurs méthodes d'attaque ont évolué, dont bluejacking (envoi de messages anonymes non sollicités à des appareils Bluetooth) et < bluesnarfing (vol de données personnelles, telles que des contacts, des images et des informations de calendrier à partir d'un téléphone compatible Bluetooth). Pire encore, dans une attaque bluesnarfing, des informations sur votre téléphone cellulaire (comme son numéro de série) peuvent être téléchargées, puis utilisées pour cloner votre téléphone.

Fraggle

Une attaque

Fraggle est une variante d'une attaque Smurf qui utilise des paquets UDP Echo (port UDP 7) plutôt que des paquets ICMP. Les routeurs Cisco peuvent être configurés pour désactiver les services TCP et UDP (appelés TCP et les petits serveurs UDP) les plus couramment utilisés dans les attaques Fraggle. L'attaque Smurf

A

Smurf est une variante de l'attaque ICMP flood. Dans une attaque Smurf, les paquets de demande d'écho ICMP sont envoyés à l'adresse de diffusion d'un réseau cible en utilisant une adresse IP falsifiée sur le réseau cible. Le site cible, ou rebond, transmet ensuite la demande d'écho ICMP à tous les hôtes du réseau. Chaque hôte répond alors avec un paquet de réponse d'écho, submergeant la bande passante disponible et / ou les ressources système. Les contre-mesures contre les attaques Smurf incluent l'abandon de paquets ICMP sur le routeur.

Attaques de serveurs DNS

Diverses attaques peuvent être menées contre des serveurs DNS, qui sont conçus pour que des serveurs DNS ciblés fournissent des réponses erronées aux utilisateurs finaux, ce qui entraîne l'envoi d'utilisateurs finaux imposer des systèmes (généralement des sites Web). Les défenses contre les attaques de serveurs DNS incluent le durcissement du serveur DNS et les pare-feu applicatifs.

L'attaque de l'homme au milieu

Une attaque de

homme au milieu (MITM) consiste en un attaquant qui tente de modifier les communications entre deux parties en usurpant l'identité. Une technique commune MITM attaque l'établissement d'une session TLS, de sorte que l'attaquant sera capable de décrypter facilement les communications cryptées entre les deux extrémités. Les défenses contre les attaques MITM incluent une authentification renforcée, l'implémentation d'extensions DNS sécurisées, l'examen de la latence et la vérification hors bande.

ICMP flood

Dans une attaque

ICMP flood, un grand nombre de paquets ICMP (généralement Echo Request) sont envoyés au réseau cible pour consommer la bande passante disponible et / ou les ressources système. Étant donné que ICMP n'est pas requis pour les opérations réseau normales, le moyen de défense le plus simple consiste à supprimer les paquets ICMP sur le routeur ou à les filtrer sur le pare-feu. Détournement de session (spoofing)

IP

spoofing implique la modification d'un paquet TCP de sorte qu'il semble provenir d'une source fiable connue, donnant ainsi à l'attaquant un accès au réseau. Détournement de session (interception de jeton de session)

Le détournement de session implique généralement un réseau Wi-Fi sans cryptage, où un attaquant peut intercepter le cookie de session HTTP d'un autre utilisateur. L'attaquant utilise alors le même cookie pour prendre le contrôle de la session HTTP de l'utilisateur victime. Cela a été démontré avec l'extension Firesheep Firefox.

SYN flood

Dans une attaque

SYN flood, les paquets TCP dont l'adresse source est falsifiée demandent une connexion (ensemble de bits SYN) au réseau cible. La cible répond avec un paquet SYN-ACK, mais la source usurpée ne répond jamais. Les connexions semi-ouvertes sont des sessions de communication incomplètes en attente de l'établissement de la liaison TCP tridirectionnelle. Ces connexions peuvent rapidement surcharger les ressources d'un système alors que le système attend que les connexions semi-ouvertes expirent, ce qui provoque le blocage du système ou devient inutilisable. Les inondations SYN sont contrées sur les routeurs Cisco en utilisant deux fonctionnalités:

TCP Intercept, qui est un proxy efficace pour les connexions semi-ouvertes; et Taux d'accès garanti (CAR), ce qui limite la bande passante disponible pour certains types de trafic. Le pare-feu FW-1 de Checkpoint dispose d'une fonction connue sous le nom de SYN Defender qui fonctionne de manière similaire à la fonction Cisco TCP Intercept. D'autres moyens de défense comprennent la modification du nombre maximal par défaut de connexions TCP semi-ouvertes et la réduction du délai d'attente sur les systèmes en réseau. Teardrop

Dans une attaque

Teardrop, les champs de décalage de longueur et de fragmentation des paquets IP séquentiels sont modifiés, provoquant la confusion et l'arrêt de certains systèmes cibles. UDP flood

Dans une attaque

UDP flood, un grand nombre de paquets UDP sont envoyés au réseau cible pour consommer la bande passante disponible et / ou les ressources système. Les inondations UDP peuvent généralement être contrées en laissant tomber les paquets UDP inutiles au routeur. Cependant, si l'attaque utilise un port UDP requis (tel que le port DNS 53), d'autres contre-mesures doivent être utilisées.