Authentification contre Masquarade

1. Authentification contre Masquarade L’usurpation d’adresse Ou « Spoofing »

2. Attaques par usurpation • MAC Spoofing • ARP Spoofing • IP Spoofing • DNS Spoofing • Usurpation de Noms de machines

3. RappelsLe modèle OSI • Les réseaux modernes s’appuient sur un modèle en couche : Le modèle OSI • Chaque couche fournit des services à la couche de niveau supérieure et utilise les services de la couche inférieure. • Les couches distantes de même niveau utilisent des protocoles pour communiquer entre elles • Les données sont encapsulées pour passer d’un niveau à l’autre lors de leur émission et désencapsulées lors de leur réception

4. RappelsLes 7 couches du modèle OSI • Application • Présentation • Session • Transport • Réseau • Liaison • Physique

5. RappelsLes couches de bas niveau • La couche physique fournit les normes définissant les supports. A chaque support correspond une trame spécifique. • La couche liaison sert d’interface entre la carte réseau et la méthode d’accès. Elle fournit les adresses MAC. • La couche réseau gère l’adressage logique et le routage. Elle fournit notamment les adresses IP.

6. RappelsTrame Ethernet • Les adresses physiques Ethernet s’écrivent sur 6 octets, elles sont exprimées en hexadécimal. • Les trois premiers correspondent au code constructeur • Les trois derniers à un numéro chrono attribué par le constructeur. • Ex : 00-04-75-9A-D6-92

7. RappelsLes adresses physiques • Pour obtenir l’adresse physique • sous Linux : ifconfig • Sous Windows : ipconfig /all • L’adresse physique FF-FF-FF-FF-FF-FF correspond à une adresse de diffusion (broadcast)

8. MAC Spoofing • Cible : Les commutateurs • Ils utilisent une table de correspondance entre les adresses MAC des machines et les ports utilisés. ( Table CAM chez cisco) • Problèmes et Parades • Le poste dont l’adresse est usurpée doit être hors service. • Un commutateur administrable avec une table statique.

9. Le protocole ARPRFC 826 • Il fournit une correspondance entre les adresses physiques (MAC) et les adresses logiques (IP). • Il fonctionne par diffusion • Il peut s’appliquer à tous les supports physiques et à d’autres protocoles que IP.

10. Le protocole ARPStructure d’un paquet ARP L’identificateur @ physique indique le type de réseau : Ethernet, token-ring etc. L’identificateur @ logique indique le protocole : 0x0800 pour IP L’OP-Code précise le type de paquet : requête ou réponse ARP

11. Le protocole ARPRappels Ethernet • Ethernet fonctionne par diffusion • La station détermine seule si le paquet lui est destiné. • Mode « promiscuous » • Apports de la commutation Ethernet

12. Le protocole ARPRequête – Who has ? • L’émetteur envoi une requête ARP : • Adresse Physique émetteur : Son adresse MAC • Adresse Physique récepteur : FF:FF:FF:FF:FF:FF • Adresse Logique émetteur : Son adresse IP • Adresse Logique récepteur : L’adresse IP du destinataire.

13. Le protocole ARPRéponse – Reply is-at • Le récepteur vérifie si la requête lui est destinée en regardant l’adresse IP du destinataire. • Il répond à cette requête en complétant son adresse physique. • Il enregistre les adresses de l’expéditeur dans son cache ARP. • A réception de la réponse, l’émetteur fait de même.

14. Le protocole ARPcompléments • Si le poste destinataire est situé sur un autre réseau IP. La requête ARP concernera la passerelle (le routeur). • RARP (Reverse ARP) retrouve une adresse IP à partir d’une adresse MAC. Il nécessite pour cela un serveur RARP.

15. ARP Spoofing • Cible : Les réseaux locaux • Attaques possibles : • Corruption de cache ARP (ARP Cache Poisoning) • Interception (proxying) • Homme du milieu ( Man in the Middle)

16. ARP SpoofingARP cache poisoning • Principe : • Créer ou modifier des entrées ARP dans le cache de la machine cible • Fonctionne par émission de réponse ARP vers la machine cible. • Inconvénient : • Trame émise en Unicast (donc détectable) • Certains systèmes vérifient qu’ils ont émis une requête avant d’accepter la réponse ( XP, Linux)

17. ARP SpoofingProxying, Man in The Middle • Principe : Corrompre le cache ARP de deux machines (Un serveur et un poste par exemple) en indiquant l’adresse MAC du poste attaquant pour chaque adresse IP. • Le poste attaquant se trouve alors entre les deux et peut facilement écouter le trafic, le modifier et le rediriger dans les deux sens.

18. ARP SpoofingAutres attaques possibles : • Vol de connexion (Hijacking) : • Après un début d’attaque en MiM, l’attaquant déconnecte un des deux postes et prend sa place. • Déni de service (Dos): • Corruption du cache avec des adresses inexistantes. • Refus des paquets détournés

19. ARP SpoofingOutils de test • La commande arp présente sous linux ou windows. • Des outils dédié : ( www.arp-sk.org) • arp-sk sous linux • Winarp_sk sous windows. • Un analyseur de trames (sniffer)

20. IP Spoofing • Usurpation d’adresse IP • Cible :Serveurs • Difficultés : • Nécessite de prédire les numéros de séquences. • Attaques : • Usurpation d’identité • Prise de contrôle du serveur cible.

21. DNS Spoofing • Principe : En se plaçant en « MiM » entre un poste et un serveur DNS, l’attaquant modifie les résolutions de noms émises par le serveur en indiquant comme adresse IP sa propre adresse ou celle d’une machine piège.

22. Solutions de défense • Les systèmes de détection d’intrusion (IDS) : • Ils détecteront les changements d’association adresse MAC/IP dans les requêtes ARP. • Ils vérifieront la cohérence entre les adresses de l’entête Ethernet et les adresses des requêtes ARP. • Cache ARP statique • Filtrage au niveau ARP avec association statique des adresses IP • IPSec,IPv6 • Authentification forte

23. Solutions de défenseQuelques outils • La commande ARP de windows ou Linux permet de réaliser des entrées statiques. • Arpwatch • NetFilter • Les IDS de Cisco ou ISS

24. SpoofingRessources • M.I.S.C N°3 (Juillet 2002) • www.SecuriteInfo.Com • www.arp-sk.org