La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »

Présentations similaires


Présentation au sujet: "Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »"— Transcription de la présentation:

1 Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »

2 Attaques par usurpation MAC Spoofing ARP Spoofing IP Spoofing DNS Spoofing Usurpation de Noms de machines

3 Rappels Le modèle OSI Les réseaux modernes sappuient sur un modèle en couche : Le modèle OSI Chaque couche fournit des services à la couche de niveau supérieure et utilise les services de la couche inférieure. Les couches distantes de même niveau utilisent des protocoles pour communiquer entre elles Les données sont encapsulées pour passer dun niveau à lautre lors de leur émission et désencapsulées lors de leur réception

4 Rappels Les 7 couches du modèle OSI Application Présentation Session Transport Réseau Liaison Physique

5 Rappels Les couches de bas niveau La couche physique fournit les normes définissant les supports. A chaque support correspond une trame spécifique. La couche liaison sert dinterface entre la carte réseau et la méthode daccès. Elle fournit les adresses MAC. La couche réseau gère ladressage logique et le routage. Elle fournit notamment les adresses IP.

6 Rappels Trame Ethernet Adresse Destination 6 OCTETS Adresse Source 6 OCTETS Type 2 OCTETS Données 46 à 1500 Bourrage (padding) CRC 4 OCTETS Les adresses physiques Ethernet sécrivent sur 6 octets, elles sont exprimées en hexadécimal. Les trois premiers correspondent au code constructeur Les trois derniers à un numéro chrono attribué par le constructeur. Ex : A-D6-92

7 Rappels Les adresses physiques Pour obtenir ladresse physique sous Linux : ifconfig Sous Windows : ipconfig /all Ladresse physique FF-FF-FF-FF-FF-FF correspond à une adresse de diffusion (broadcast)

8 MAC Spoofing Cible : Les commutateurs Ils utilisent une table de correspondance entre les adresses MAC des machines et les ports utilisés. ( Table CAM chez cisco) Problèmes et Parades Le poste dont ladresse est usurpée doit être hors service. Un commutateur administrable avec une table statique.

9 Le protocole ARP RFC 826 Il fournit une correspondance entre les adresses physiques (MAC) et les adresses logiques (IP). Il fonctionne par diffusion Il peut sappliquer à tous les supports physiques et à dautres protocoles que IP.

10 Le protocole ARP Structure dun paquet ARP Ident. Adresse PhysiqueIdent. Adresse Logique Adresse Physique … …de lémetteurAdresse Logique … …de lémetteurAdresse Physique … …du récepteur Adresse logique du récepteur physique indique le type de réseau : Ethernet, token-ring etc. logique indique le protocole : 0x0800 pour IP LOP-Code précise le type de paquet : requête ou réponse ARP

11 Le protocole ARP Rappels Ethernet Ethernet fonctionne par diffusion La station détermine seule si le paquet lui est destiné. Mode « promiscuous » Apports de la commutation Ethernet

12 Le protocole ARP Requête – Who has ? Lémetteur envoi une requête ARP : Adresse Physique émetteur : Son adresse MAC Adresse Physique récepteur : FF:FF:FF:FF:FF:FF Adresse Logique émetteur : Son adresse IP Adresse Logique récepteur : Ladresse IP du destinataire.

13 Le protocole ARP Réponse – Reply is-at Le récepteur vérifie si la requête lui est destinée en regardant ladresse IP du destinataire. Il répond à cette requête en complétant son adresse physique. Il enregistre les adresses de lexpéditeur dans son cache ARP. A réception de la réponse, lémetteur fait de même.

14 Le protocole ARP compléments Si le poste destinataire est situé sur un autre réseau IP. La requête ARP concernera la passerelle (le routeur). RARP (Reverse ARP) retrouve une adresse IP à partir dune adresse MAC. Il nécessite pour cela un serveur RARP.

15 ARP Spoofing Cible : Les réseaux locaux Attaques possibles : Corruption de cache ARP (ARP Cache Poisoning) Interception (proxying) Homme du milieu ( Man in the Middle)

16 ARP Spoofing ARP cache poisoning Principe : Créer ou modifier des entrées ARP dans le cache de la machine cible Fonctionne par émission de réponse ARP vers la machine cible. Inconvénient : Trame émise en Unicast (donc détectable) Certains systèmes vérifient quils ont émis une requête avant daccepter la réponse ( XP, Linux)

17 ARP Spoofing Proxying, Man in The Middle Principe : Corrompre le cache ARP de deux machines (Un serveur et un poste par exemple) en indiquant ladresse MAC du poste attaquant pour chaque adresse IP. Le poste attaquant se trouve alors entre les deux et peut facilement écouter le trafic, le modifier et le rediriger dans les deux sens.

18 ARP Spoofing Autres attaques possibles : Vol de connexion (Hijacking) : Après un début dattaque en MiM, lattaquant déconnecte un des deux postes et prend sa place. Déni de service (Dos): Corruption du cache avec des adresses inexistantes. Refus des paquets détournés

19 ARP Spoofing Outils de test La commande arp présente sous linux ou windows. Des outils dédié : ( arp-sk sous linux Winarp_sk sous windows. Un analyseur de trames (sniffer)

20 IP Spoofing Usurpation dadresse IP Cible :Serveurs Difficultés : Nécessite de prédire les numéros de séquences. Attaques : Usurpation didentité Prise de contrôle du serveur cible.

21 DNS Spoofing Principe : En se plaçant en « MiM » entre un poste et un serveur DNS, lattaquant modifie les résolutions de noms émises par le serveur en indiquant comme adresse IP sa propre adresse ou celle dune machine piège.

22 Solutions de défense Les systèmes de détection dintrusion (IDS) : Ils détecteront les changements dassociation adresse MAC/IP dans les requêtes ARP. Ils vérifieront la cohérence entre les adresses de lentête Ethernet et les adresses des requêtes ARP. Cache ARP statique Filtrage au niveau ARP avec association statique des adresses IP IPSec,IPv6 Authentification forte

23 Solutions de défense Quelques outils La commande ARP de windows ou Linux permet de réaliser des entrées statiques. Arpwatch NetFilter Les IDS de Cisco ou ISS

24 Spoofing Ressources M.I.S.C N°3 (Juillet 2002)


Télécharger ppt "Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »"

Présentations similaires


Annonces Google