les attaques « classiques » : interception de trafic, dénis de service (2/10)

Il s’agit ici des quelques attaques dont on peut trouver la mention suite à une recherche sur la toile. Notons toutefois que la qualité de la documentation n’est pas toujours au rendez-vous. Sans être exhaustif, voici celles qui me viennent en tête :

1) en préalable à une attaque, il faut collecter des informations sur le réseau.

Sur un LAN bureautique configuré sans précautions, il suffit d’écouter l’activité pour récolter de nombreuses informations. Un PC bureautique et un programme spécial appelé « sniffer » suffisent. Ainsi, Gaston utilise Wireshark, un excellent sniffer gratuit qu’il exécute depuis une clef USB.

Ceci est un moyen discret, simple et efficace pour collecter par exemple les adresses physiques et les adresses IP présentes sur le LAN. D'autres informations intéressantes sur les équipements de réseaux et les serveurs présents peuvent aussi être collectées...

Une configuration avisée permet ainsi de réduire considérablement la moisson, tout en limitant les possibilités d’attaque. Il est difficile de faire mieux : un sniffer est passif, et malgré tous ses efforts, l’agent Lontarin ne peut espérer le détecter.

2) le vol d’adresse

Après avoir collecté les adresses de niveau 2 et 3 de ses victimes, l’attaquant peut aisément détourner le trafic vers ses outils. On trouve par exemple des programmes capables d’intercepter les noms de comptes et les mots de passe associés.

3) la saturation de la table d’adresses physiques du switch (mac@ flooding).

Cette attaque amène le switch à diffuser toutes les trames vers toutes les interfaces. L’attaquant peut ainsi voir tout ou partie du traffic qui traverse le switch. Toutefois, il est très probable que les données récoltées seront incomplètes.

La parade classique consiste à limiter le nombre d’adresses autorisées sur un port (sur Catalyst, « switchport port-security »).

que faire ?

Une bonne pratique consiste à désactiver les protocoles inutiles et à empêcher que les PC puissent communiquer entre eux au niveau 2. De la sorte, le sniffer verra beaucoup moins de choses et cela réduira considérablement l’impact de l’attaque.

En ce qui concerne les dénis de service (DoS attack) ce sont des attaques bêtes et méchantes, puisqu’il s’agit de perturber une interface, voire un VLAN, ou même le fonctionnement de tout un switch. Ces attaques ne sont pas discrètes et peu sélectives...

Quelques exemples d’attaques :
- perturber le fonctionnement des protocoles de niveau 2 comme STP, VTP, CDP. Ces points seront détaillés par la suite.
- générer des trames irrégulières au niveau 2 ou au niveau 3. Le switch, plein de bonne volonté, les normalise mais, pour cela, il consomme de la CPU. Avec seulement 2000 « mauvaises » trames par secondes, on peut consommer toute la puissance CPU d’un Catalyst 3750.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal

les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

© Tilio & Paolo - Fotolia.com

Pascal Bonnard

Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.