espionnage et dégradation des réseaux avec arp - Jean
Transcription
espionnage et dégradation des réseaux avec arp - Jean
ESPIONNAGE ET DÉGRADATION DES RÉSEAUX AVEC ARP Jean-Jacques Puig Institut National des Télécoms [email protected] ESPIONNAGE ET DÉGRADATION DES RÉSEAUX AVEC ARP 1 Gros plans sur ARP 2 Utiliser ARP pour le piratage 3 ``Bluffer'' IPsec avec ARP 4 Vivre avec ARP GROS PLANS SUR ARP - 1 / 2 A --> Broadcast : Qui a l'adresse IP 123.123.123.128 ? Répondre à 123.123.123.254/DE:AD:BE:EF:DE:AD B --> A : 123.123.123.128 est D0:D0:B0:B0:D0:D0 B --> Routeur : Qui a l'adresse IP 123.123.123.1 ? Répondre à 123.123.123.128/D0:D0:B0:B0:D0:D0 Routeur --> B : 123.123.123.1 est DA:DA:BA:BA:DA:DA A --> Broadcast : Qui a l'adresse IP 123.123.123.1 ? Répondre à 123.123.123.128/DE:AD:BE:EF:DE:AD Routeur --> A : 123.123.123.1 est DA:DA:BA:BA:DA:DA GROS PLANS SUR ARP - 2 / 2 ESPIONNAGE ET DÉGRADATION DES RÉSEAUX AVEC ARP 1 Gros plans sur ARP 2 Utiliser ARP pour le piratage 3 ``Bluffer'' IPsec avec ARP 4 Vivre avec ARP UTILISER ARP POUR LE PIRATAGE - 1 / 4 Principe des Attaques - Empoisonnement régulier du cache ARP de la victime. - Cette dernière envoie les paquets vers la mauvaise destination Ethernet. - S'assurer que le peer légitime de la victime ne puisse remettre à jour son cache (éventuellement, empoisonner aussi le peer). UTILISER ARP POUR LE PIRATAGE - 2 / 4 Déni de Service - Les paquets sont envoyés vers une adresse Ethernet qui n'existe pas, ou qui est celle d'une machine quelconque (n'étant ni le peer, ni un routeur). UTILISER ARP POUR LE PIRATAGE - 3 / 4 Usurpation d'Identité - Il suffit d'empoisonner le cache de la victime avec l'adresse Ethernet de l'usurpateur. UTILISER ARP POUR LE PIRATAGE - 4 / 4 Demi - (Interception / Altération) de Communications - Il s'agit d'une usurpation d'identité (au sens Ethernet), suivie d'un routage vers la destination légitime. UTILISER ARP POUR LE PIRATAGE - 4 / 4 Interception / Altération de Communications - Il s'agit de deux demi-intersections ! ESPIONNAGE ET DÉGRADATION DES RÉSEAUX AVEC ARP 1 Gros plans sur ARP 2 Utiliser ARP pour le piratage 3 ``Bluffer'' IPsec avec ARP 4 Vivre avec ARP ``BLUFFER'' IPSEC AVEC ARP - 1 / 6 L'Illusion de la Sécurité - Déni de Service - Détournement de Communication - Espionnage ``BLUFFER'' IPSEC AVEC ARP - 2 / 6 Authentification seulement... - Déni de Service - Espionnage - Et plus si affinité (voir plus loin) ``BLUFFER'' IPSEC AVEC ARP - 3 / 6 Chiffrement seulement.... - Déni de Service - Collecte de données pour analyse - Possibilité de forger des paquets qui seront interprétés, ou plus encore ``BLUFFER'' IPSEC AVEC ARP - 4 / 6 Chiffrement et Authentification... - Déni de Service - Collecte de données pour analyse - Et plus si affinité (voir plus loin) ``BLUFFER'' IPSEC AVEC ARP - 5 / 6 Des politiques de sécurité inadaptées... Dans de nombreux systèmes, les politiques sont mal configurées. - > La machine peut accepter des réponses non authentifiées !!! - > Si du chiffrement est utilisé en plus, il reste des possibilités d'attaques ``en aveugle''. ``BLUFFER'' IPSEC AVEC ARP - 6 / 6 Excès de confiance... L'interface ``de confiance'' de nombreuses passerelles est trop laxiste. - Des réponses non authentifiées peuvent parvenir par l'interface de confiance. - La corrélation des SPDs n'a pas été étudiée. ESPIONNAGE ET DÉGRADATION DES RÉSEAUX AVEC ARP 1 Gros plans sur ARP 2 Utiliser ARP pour le piratage 3 ``Bluffer'' IPsec avec ARP 4 Vivre avec ARP VIVRE AVEC ARP - 1 / 4 Les ``solutions'' classiques... ENTRÉES STATIQUES DANS LE CACHE ARP - Fiable - Contraignant - Pas ``scalable'' SERVEUR ARP - (Presque) Pratique - Risques de ``spoofing'' - DOS du serveur <=> NDOS VIVRE AVEC ARP - 2 / 4 Détecter les incohérences... OBSERVATION DE L'ÉVOLUTION DU CACHE - Réactivité immédiate - Ne protège pas contre un ``premier contact'' frauduleux - Place de l'utilisateur ? OBSERVATION SUR LE RÉSEAU DES ÉCHANGES ARP - Position neutre - Réactivité a-posteriori - L'IDS est-il visé ? VIVRE AVEC ARP - 3 / 4 Ré-écrire une partie du code arp... IMPLÉMENTATION STATEFULL Ne protège que contre les réponses non sollicitées, risques de DOS ``COOKIES'', HMAC Implémentation incompatible, installation complexe BROADCAST OBLIGATOIRES Consommateur en trafic, ``Quitte ou double'' VIVRE AVEC ARP - 4 / 4 Authentification (cryptographique) des communications AU NIVEAU LIAISON DE DONNÉES Pas de standard de fait Déploiement ? AU NIVEAU RÉSEAU => IPSEC Mise en place d'une infrastructure à clefs publiques Définition complexe des politiques de sécurité DOS toujours possible Déchiffrement possible a-posteriori CONCLUSION ARP se calque sur le principe de conception suivant : "Be conservative in what you send and liberal in what you receive." Jon Postel A défaut d'y apporter un remède, la prescription suivante en soulagera la douleur : Utiliser IPsec (ESP + AH) transport et tunnel localement Définir des entrées statiques : passerelles, DNS, CA... Observer le réseau, traquer les émetteurs trop libéraux Etre conservateur en réception