Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Port-security bypass. Belotte, rebelotte et dix de der !

Port-security bypass. Belotte, rebelotte et dix de der !
2012-01-112013-02-28sécurité des réseauxfr
Comme évoqué dans l'article de mon collègue Pascal, la fonction port-security permet de lutter contre les dénis de service de type flooding via des adresses MAC virtuelles. Néanmoins, il est assez facile de contourner cette sécurité en développant un petit script avec du perl ou du...
Publié le 11 Janvier 2012 par Cedric Baillet dans sécurité des réseaux
port-security bypass. Belotte, rebelotte et dix de der !

Comme évoqué dans l’article de mon collègue Pascal, la fonction port-security permet de lutter contre les dénis de service de type flooding via des adresses MAC virtuelles.

Il faut également noter que si le flooding d’un commutateur permet effectivement de saturer sa table CAM et de récupérer ensuite des informations en profitant du comportement déviant créé (bascule en mode hub pour les adresses non connues), l’utilisation d’adresses MAC virtuelles est également nécessaire pour réaliser une attaque de type épuisement de pool DHCP. Attaque simplement réalisable au travers d’outils librement accessible comme Yersinia ou encore netwag.

Or, ces différents outils synchronisent les entêtes de niveau 2 avec le niveau applicatif. Pour être clair, il garde l’adresse MAC virtuelle dans l’entête réseau comme dans le niveau applicatif. Dans ces conditions, le port-security est assez efficace et la plupart des paquets sont supprimés.

passons à l'action

Néanmoins, il est assez facile de contourner cette sécurité en développant un petit script avec du perl ou du python pour gérer différemment les entêtes. Il sera ainsi possible d’avoir des paquets avec un entête de niveau 2 gardant l’adresse MAC de la carte ethernet et une adresse MAC virtuelle au niveau applicatif.

La mise en œuvre est réalisée dans le script suivant : bypassportsecurity.pl

La preuve en image :

La vidéo ne s'affiche pas ? Visionnez-la ici (ou même sur YouTube)

Les adresses MAC sont rentrées de façon figée dans la configuration du commutateur ? Impossible de connecter un PC inconnu ? Prenez le téléphone IP et regardez au dos, son adresse MAC doit être inscrite. Il ne reste plus qu’à faire une peu d’address spoofing sur votre machine.

un complément

Alors quelle solution ? Activez le DHCP Snooping. Celui-ci inspecte en effet la cohérence entre le niveau 2 et le niveau applicatif. Cela ne permettra pas de bloquer toutes attaques, mais au moins le service DHCP sera protégé.

Cedric

4 Commentaires

  • 24 Janvier 2012
    2012-01-24
    par
    Pierre
    Je suppose que cela est différent selon les serveur, mais est-ce que le serveur DHCP considère que l'IP est réservée alors ? 
  • 24 Janvier 2012
    2012-01-24
    par
    L'attaque est des plus basiques en termes de gestion de réponse: il n'y en a pas. Néanmoins, cela fonctionne malgré tout avec un serveur DHCP simple (Microsoft). Reste à voir si les solutions professionnelles pour ce type de service sont capables d'être plus strictes et donc de lutter par elles mêmes contre ce type d'attaques.
  • 24 Janvier 2012
    2012-01-24
    par
    Pierre
    Merci pour ce billet fort intéressant. Lors de cette attaque, est-ce que les adresses attribuées par le DHCP sont acquittée par le client ?
  • 11 Janvier 2012
    2012-01-24
    par
    Pascal
    Merci Cédric !!!
    Mais quand même, je trouve que le serveur DHCP est un peu ballot, il pourrait vérifier que les requêtes sont valides avant d'y répondre.
    Ceci dit, le DHCP snooping reste très utile, car cela évite de faire trop chauffer la CPU du serveur DHCP.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage