Accueil / Module 24
Module 24 β€” Protocoles & Logs

Technologies & Protocols

Comprendre comment les protocoles reseau sont exploites dans un contexte de securite, et maitriser les technologies de protection comme les proxies web et les ACL.

  • Identifier les protocoles de couche application exploites en securite
  • Comprendre ICMP et les techniques de tunneling
  • Connaitre les technologies P2P et le Darknet (Tor)
  • Maitriser les attaques basees sur les protocoles (NTP, DNS, ICMP)
  • Connaitre les technologies Cisco de securite web (WSA, ESA)

🌐 24.1 β€” Protocoles de couche application et securite

Les protocoles de couche 7 (Application) du modele OSI sont les plus proches de l'utilisateur et donc les plus souvent exploites par les attaquants.

HTTP et HTTPS

HTTP et HTTPS sont les deux protocoles de couche 7 utilises pour la messagerie client-serveur web :

ProtocolePortChiffrementUsage securite
HTTP80Aucun (texte clair)Exploite pour les iFrames malveillants, injection de contenu
HTTPS443TLS/SSL (chiffrement bout-en-bout)Complique le monitoring car les donnees sont chiffrees
HTTPS et monitoring
HTTPS complique la surveillance de securite reseau car il masque les donnees via le chiffrement bout-en-bout. Les outils d'inspection (IDS/IPS) ne peuvent pas lire le contenu du trafic chiffre sans inspection SSL/TLS.

HTTP et iFrames malveillants

HTTP est le protocole exploite pour la creation d'iFrames malveillants. Un attaquant injecte un iFrame invisible dans une page web qui charge du contenu malveillant (exploit kit, drive-by download) dans le navigateur de la victime.

DNS : protocole de choix pour le C&C

Le DNS est le protocole le plus frequemment utilise par les malwares pour communiquer avec les serveurs de Command & Control (C&C/C2). Le trafic DNS est rarement bloque par les firewalls, ce qui en fait un vecteur ideal pour :

  • DNS tunneling : encapsuler des donnees dans les requetes/reponses DNS
  • DGA (Domain Generation Algorithm) : generer des domaines C2 aleatoires
  • Fast Flux : changer rapidement les enregistrements DNS pour eviter la detection

IMAP et menaces email

Le protocole IMAP (Internet Message Access Protocol) menace la securite de l'entreprise car les emails importent des malwares dans le reseau. Les pieces jointes infectees, les liens de phishing et les macros malveillantes transitent par IMAP/POP3 vers les boites mail des employes.

VPN et chiffrement

La technique qui assure la confidentialite des donnees privees lors du transfert via VPN est le chiffrement (encryption). Le VPN cree un tunnel chiffre entre le client et le serveur, rendant les donnees illisibles pour quiconque intercepte le trafic.

πŸ“‘ 24.2 β€” ICMP et techniques de tunneling

Messages ICMP et filtrage

ICMP (Internet Control Message Protocol) est utilise pour le diagnostic reseau, mais certains types de messages doivent etre bloques en amont (upstream) :

Type ICMPFonctionDoit etre bloque ?
Echo (Type 8)Requete pingOUI β€” permet la reconnaissance reseau et les attaques ping flood
Echo Reply (Type 0)Reponse pingGeneralement autorise
Destination Unreachable (Type 3)Signale un hote/port inaccessibleSouvent autorise (diagnostic)
Source Quench (Type 4)Controle de congestion (obsolete)Peut etre bloque
Regle d'examen
Le type ICMP qui doit etre bloque en amont (upstream) est Echo (Type 8). Cela empeche les attaquants de decouvrir les hotes actifs via ping sweep.

ICMP Tunneling

L'ICMP tunneling est la methode utilisee par les malwares pour transferer des fichiers depuis les hotes infectes. L'attaquant encapsule des donnees (exfiltration) dans les champs de donnees des paquets ICMP Echo/Reply, qui passent souvent les firewalls car ICMP est considere comme un protocole de diagnostic inoffensif.

πŸ•ΈοΈ 24.3 β€” Technologies P2P et Darknet

Reseaux Peer-to-Peer (P2P)

Les technologies utilisees dans les reseaux peer-to-peer incluent :

TechnologieTypeDescription
BitTorrentPartage de fichiers P2PProtocole de distribution de fichiers decentralise. Risque : distribution de malwares, piratage
BitcoinCryptomonnaie P2PMonnaie numerique decentralisee basee sur la blockchain. Utilisee pour les rancons (ransomware)

Tor (The Onion Router)

Tor est une plateforme logicielle P2P dont les participants fonctionnent comme des routeurs Internet. Le trafic passe par plusieurs relais (noeuds) chiffres en couches successives (comme un oignon), rendant la source pratiquement intraçable.

Risques lies a Tor
Tor est utilise legitimement pour la vie privee et la liberte d'expression, mais aussi par les acteurs malveillants pour acceder au Dark Web, heberger des marches illegaux et masquer les communications C2.

βš”οΈ 24.4 β€” Attaques basees sur les protocoles

Attaques NTP (Network Time Protocol)

Les acteurs de menace utilisent les attaques NTP pour corrompre le timing (horodatage) afin de dissimuler les traces de leurs exploits. En manipulant l'heure des systemes, ils rendent l'analyse forensique et la correlation des logs extremement difficile.

Impact des attaques NTP
Si les horodatages des logs ne sont pas synchronises, il devient impossible de reconstruire la timeline d'un incident. C'est pourquoi la synchronisation NTP securisee (NTPsec, NTS) est critique pour le SOC.

Reconnaissance et ACL

La reconnaissance est le type d'attaque qui determine quels adresses IP, protocoles et ports sont autorises par les ACL (Access Control Lists). L'attaquant scanne le reseau pour identifier les regles de filtrage et trouver des ports/protocoles ouverts qu'il peut exploiter.

TechniqueMethodeCe que l'attaquant apprend
Port scanningNmap SYN scanPorts ouverts/fermes/filtres
Protocol probingEnvoi de paquets diversProtocoles autorises par les ACL
Firewall mappingACK scan, FIN scanRegles de firewall et ACL

πŸ”§ 24.5 β€” Technologies de securite reseau Cisco

Cisco WSA (Web Security Appliance)

Le Cisco WSA est un equipement qui fonctionne comme un proxy web. Il intercepte tout le trafic web sortant et entrant pour :

  • Filtrer le contenu reseau et generer des rapports
  • Bloquer par reputation : score de reputation des sites web
  • Prevention DLP (Data Loss Prevention) : en analysant et journalisant le trafic sortant
  • Detecter les malwares dans les telechargements
WSA et DLP
Un proxy web permet la DLP (Data Loss Prevention) en analysant et journalisant le trafic sortant. Il peut detecter et bloquer l'envoi de donnees sensibles (numeros de carte, fichiers confidentiels) vers des destinations externes.

Cisco ESA (Email Security Appliance)

Le Cisco ESA protege contre les menaces email :

  • Filtrage anti-spam et anti-phishing
  • Detection de malwares dans les pieces jointes
  • Verification SPF, DKIM, DMARC
  • DLP pour les emails sortants
ApplianceFonction principaleTrafic analyse
WSAProxy web / filtrage URL / DLP webHTTP/HTTPS (trafic web)
ESASecurite email / anti-spam / DLP emailSMTP/IMAP/POP3 (trafic email)

πŸ“ 24.6 β€” Quiz de revision

Points cles du Module 24

  • HTTP et HTTPS sont les protocoles de couche 7 pour le web ; HTTP est exploite pour les iFrames malveillants
  • L'ICMP Echo (Type 8) doit etre bloque en amont pour empecher la reconnaissance reseau
  • L'ICMP tunneling encapsule des donnees dans les paquets ICMP pour exfiltrer des fichiers
  • Le DNS est le protocole prefere des malwares pour communiquer avec les serveurs C&C
  • Les attaques NTP corrompent l'horodatage pour masquer les traces d'exploitation
  • Tor est un reseau P2P dont les participants fonctionnent comme des routeurs chiffres
  • BitTorrent et Bitcoin sont des technologies P2P
  • Le Cisco WSA fonctionne comme un proxy web et permet la DLP via l'analyse du trafic sortant
  • HTTPS complique le monitoring car il masque les donnees via le chiffrement bout-en-bout
  • La reconnaissance permet de decouvrir les regles ACL (IPs, protocoles, ports autorises)