l'homme du milieu, une grande famille !

Les attaques de type MITM (homme du milieu) ont été très largement popularisées au travers des technologies de niveau 2 qui permettent de réaliser facilement une interception de conversation en téléphonie sur IP si les mesures de bases n‘ont pas été mises en œuvre (sur le réseau et l’IPBX).

Le concept est simple. Il s’agit de détourner un flux réseau vers une machine pirate pour l’enregistrer, puis à le retransmettre vers la machine de destination pour rester incognito et continuer à capter de l’information le plus longtemps possible.

MITM : le classique

La méthodologie spécifique mise en œuvre sur le niveau 2 se nomme le ARP Cache Poisonning. Il faut noter que si les risques encourus par la téléphonie ont provoqué de nombreux commentaires sur les blogs et dans la presse ces dix dernières années, l’ensemble des flux applicatifs sont susceptibles d’être détournés de la même façon.

Ainsi, j’ai pu constater que certains administrateurs étaient arrivées aux contre-mesures pour les MITM de niveau 2 pour sécuriser la téléphonie, et en avaient finalement fait profiter l’ensemble de leurs flux, le risque étant valable quelques soient leurs natures. Une démarche pragmatique et riche en enseignement qui montre que la sécurité est un processus vivant qui demande des capacités de remise en question et d’apprentissage permanentes.

Bref, le MITM ca marche, mais ce n’est pas seulement limité à ce qui est connu de tout le monde. C’est une grande famille dont on ne se méfie jamais assez. Pour lutter contre ce passage sous silence je vous propose un focus sur quelques techniques simples permettant d’arriver au même résultat.

DHCP Pirate se positionnant en passerelle pour les clients

Un DHCP délivre bien sur une adresse IP, mais aussi de nombreuses autres informations, notamment celle de la passerelle de sortie à utiliser pour les clients d’un subnet donné. Ce service existe depuis bien longtemps, et comme tous les ancêtres du monde IP, est mal protégé et possède une structure quelque peu laxiste.

Tout cela pour dire qu’un client prend la première réponse reçue (le DHCP le plus véloce gagne la course) et aucun mécanisme n’existe pour permettre de vérifier s’il y a une anomalie dans le service. Seule des fonctions présentes sur le réseau permettront de lutter contre certaines attaques. Par conséquent, si un pirate installe un DHCP local, il a toutes les chances de pouvoir délivrer des adresses en lieu et place du serveur officielle. Il suffit alors de positionner le serveur pirate comme la passerelle de sortie des clients pour que les flux soient interceptés. Le MITM est en place.

préemption du rôle actif dans le processus HSRP

Le protocole HSRP permet d’intégrer un mécanisme de résilience au sein des périphériques jouant le rôle de passerelle de sortie pour les clients d’un subnet donné. L’adresse de la passerelle devient virtuelle et partagée entre deux ou plusieurs routeurs, ce qui permet de ne diffuser qu’une adresse au client et de garantir une pérennité du service. Le mécanisme de gestion de la redondance entre les routeurs défini un membre « actif » et un ou des membres « backup ». Le choix se fait en fonction du poids donné à chaque routeur. Il y a donc une élection pour trouver le membre actif.

Sur la plupart des réseaux, ce mécanisme est laissé en l’état sans filtre pour limiter et authentifier les participants à l’élection. Il est donc possible de simuler un routeur HSRP et de provoquer une nouvelle élection. Une fois désigné comme actif, le routeur pirate sera la passerelle de tous les clients du subnets. Le MITM est en place. 

préemption du rôle « root » dans le protocole spanning-tree

Le spanning-tree est un protocole de niveau 2 (encore) permettant d’éviter les boucles lorsque des liens redondant sont mis en œuvre. Pour se faire, les commutateurs choisissent par élection un périphérique qui deviendra la tête de l’arbre permettant de calculer les différents chemins possibles. C’est donc un point de passage intéressant dans le réseau.

Si les pondérations de chaque participant à l’élection ne sont pas fixées de façon suffisamment strictes pour déterminer l’issue, il est possible qu’un périphérique externe et inconnu du réseau (au hasars un pc pirate simulant un commutateur) puisse être désigné comme « root ». Il sera alors placé dans une position privilégiée pour voir passer du trafic réseau. Le MITM est en place. 

routage dynamique, c’est moi le plus rapide !

Les protocoles de routage dynamique sont là pour permettre le transfert des paquets de façon optimisée et sans intervention humaine dans un réseau maillé. Il est donc évident que ces derniers sont capables de recalculer dynamiquement des chemins vers une destination si la topologie du réseau change. Ceci peut arriver si un lien tombe, si un périphérique disparaît ou apparaît … Et c’est bien là que le bat blesse en terme de sécurité.

Si aucune mesure n’est mise en place, il est possible d’émuler un routeur pour participer au processus. Une fois intégré, le PC du pirate devra se faire accepter comme ayant la route la plus intéressante pour un point donné (celui dont il veut voir transiter les données). Cette étape franchie, les routeurs du réseau transféreront toutes les données vers le PC pirate. Le MITM est en place.

le professeur Audenard aux commandes pour le MITM avec SSL !

Vous pouvez également visualiser la vidéo via youtube.

et pour finir...

Est-ce tout ? Bien sur que non. Il y a encore des exemples classiques autour du DNS et sans aucun doute des techniques sur des protocoles moins connus. Mais dans l’absolu, s’il faut retenir quelque chose de cette description, c’est que souvent en utilisant les options de sécurité des protocoles réseaux, il est possible de bloquer la plupart des enfants turbulents de cette famille.

Cedric

credit photo : © Yuriy Panyukov - Fotolia.com

Cedric Baillet

Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité »,  de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche  au challenge et à l'envie d'apprendre.