Les firewalls ont depuis longtemps fait preuve de leur efficacité dans la protection des services vulnérables. Ils épurent le trafic en n'autorisant que les services que l'organisme met à disposition du public. Mais cette défense, statique, ne suffit plus : les pirates se concentrent sur les points, fixes, qui sont ouverts. Le délai d'apparition des exploits diminuant et les horaires des RSSI n'étant pas extensibles, il fallait introduire un petit peu de dynamisme dans cette défense. Notre environnement universitaire, doté de très nombreuses adresses IP publiques, d'une grosse bande passante et d'une multitude de « points fixes » hébergés par plusieurs laboratoires, était le contexte idéal pour tenter une nouvelle approche. La défense par diversion et quarantaine a trois objectifs : détecter l'agression, la ralentir et enfin la détourner des serveurs de production.
1. Introduction
1.1 L'attaque
Les attaques modernes sont de plus en plus organisées, voire industrialisées. Les piratages d'antan, qui font encore les beaux jours du cinéma, sont rares, car le « métier » répond désormais à des critères de productivité. Les attaques actuelles sont souvent massives, automatisées au moyen de vers, virus ou de scripts, qui n'ont pas d'autre but que de trouver des victimes quelles qu'elles soient. La méthode artisanale est souvent réservée à des cibles particulières qui possèdent une défense informatique solide et présentent un intérêt financier évident.
Les schémas d'attaque actuels, hormis pour des attaques extrêmement ciblées, ou des méthodes telles que le googlehacking [GOOGLEHACK], passent généralement par les phases suivantes :
1) Un scan, de ports ou de bannières, parfois ciblé ou complètement aléatoire : pour la constitution de BotNets, par exemple. Pour le scan de ports, il est généralement furtif...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première