Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »
-
Upload
augustin-saulnier -
Category
Documents
-
view
112 -
download
0
Transcript of Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »
![Page 1: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/1.jpg)
Authentification contre
Masquarade
L’usurpation d’adresseOu « Spoofing »
![Page 2: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/2.jpg)
Attaques par usurpation
MAC Spoofing ARP Spoofing IP Spoofing DNS Spoofing Usurpation de Noms de machines
![Page 3: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/3.jpg)
RappelsLe modèle OSI
Les réseaux modernes s’appuient sur un modèle en couche : Le modèle OSI
Chaque couche fournit des services à la couche de niveau supérieure et utilise les services de la couche inférieure.
Les couches distantes de même niveau utilisent des protocoles pour communiquer entre elles
Les données sont encapsulées pour passer d’un niveau à l’autre lors de leur émission et désencapsulées lors de leur réception
![Page 4: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/4.jpg)
RappelsLes 7 couches du modèle OSI
Application Présentation Session Transport Réseau Liaison Physique
![Page 5: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/5.jpg)
RappelsLes couches de bas niveau
La couche physique fournit les normes définissant les supports. A chaque support correspond une trame spécifique.
La couche liaison sert d’interface entre la carte réseau et la méthode d’accès. Elle fournit les adresses MAC.
La couche réseau gère l’adressage logique et le routage. Elle fournit notamment les adresses IP.
![Page 6: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/6.jpg)
RappelsTrame Ethernet
Adresse Destination
6 OCTETS
Adresse Source
6 OCTETS
Type
2 OCTETS
Données
46 à 1500
Bourrage (padding)
CRC
4 OCTETS
Les adresses physiques Ethernet s’écrivent sur 6 octets, elles sont exprimées en hexadécimal.
• Les trois premiers correspondent au code constructeur• Les trois derniers à un numéro chrono attribué par le constructeur.
Ex : 00-04-75-9A-D6-92
![Page 7: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/7.jpg)
RappelsLes adresses physiques
Pour obtenir l’adresse physique sous Linux : ifconfig Sous Windows : ipconfig /all
L’adresse physique FF-FF-FF-FF-FF-FF correspond à une adresse de diffusion (broadcast)
![Page 8: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/8.jpg)
MAC Spoofing
Cible : Les commutateurs Ils utilisent une table de correspondance
entre les adresses MAC des machines et les ports utilisés. ( Table CAM chez cisco)
Problèmes et Parades Le poste dont l’adresse est usurpée doit être
hors service. Un commutateur administrable avec une
table statique.
![Page 9: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/9.jpg)
Le protocole ARPRFC 826
Il fournit une correspondance entre les adresses physiques (MAC) et les adresses logiques (IP).
Il fonctionne par diffusion Il peut s’appliquer à tous les
supports physiques et à d’autres protocoles que IP.
![Page 10: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/10.jpg)
Le protocole ARPStructure d’un paquet ARP
Ident. Adresse Physique Ident. Adresse Logique
Lg.@ physique Lg.@Logique OP-Code
Adresse Physique …
…de l’émetteur Adresse Logique …
…de l’émetteur Adresse Physique …
…du récepteur
Adresse logique du récepteur
L’identificateur @ physique indique le type de réseau : Ethernet, token-ring etc.
L’identificateur @ logique indique le protocole : 0x0800 pour IP
L’OP-Code précise le type de paquet : requête ou réponse ARP
![Page 11: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/11.jpg)
Le protocole ARPRappels Ethernet
Ethernet fonctionne par diffusion La station détermine seule si le
paquet lui est destiné. Mode « promiscuous » Apports de la commutation Ethernet
![Page 12: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/12.jpg)
Le protocole ARPRequête – Who has ?
L’émetteur envoi une requête ARP :
Adresse Physique émetteur : Son adresse MAC Adresse Physique récepteur : FF:FF:FF:FF:FF:FF Adresse Logique émetteur : Son adresse IP Adresse Logique récepteur : L’adresse IP du
destinataire.
![Page 13: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/13.jpg)
Le protocole ARPRéponse – Reply is-at
Le récepteur vérifie si la requête lui est destinée en regardant l’adresse IP du destinataire.
Il répond à cette requête en complétant son adresse physique.
Il enregistre les adresses de l’expéditeur dans son cache ARP.
A réception de la réponse, l’émetteur fait de même.
![Page 14: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/14.jpg)
Le protocole ARPcompléments
Si le poste destinataire est situé sur un autre réseau IP. La requête ARP concernera la passerelle (le routeur).
RARP (Reverse ARP) retrouve une adresse IP à partir d’une adresse MAC. Il nécessite pour cela un serveur RARP.
![Page 15: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/15.jpg)
ARP Spoofing
Cible : Les réseaux locaux Attaques possibles :
Corruption de cache ARP (ARP Cache Poisoning)
Interception (proxying) Homme du milieu ( Man in the Middle)
![Page 16: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/16.jpg)
ARP SpoofingARP cache poisoning
Principe : Créer ou modifier des entrées ARP dans le
cache de la machine cible Fonctionne par émission de réponse ARP
vers la machine cible. Inconvénient :
Trame émise en Unicast (donc détectable) Certains systèmes vérifient qu’ils ont émis
une requête avant d’accepter la réponse ( XP, Linux)
![Page 17: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/17.jpg)
ARP SpoofingProxying, Man in The Middle
Principe : Corrompre le cache ARP de deux machines (Un serveur et un poste par exemple) en indiquant l’adresse MAC du poste attaquant pour chaque adresse IP.
Le poste attaquant se trouve alors entre les deux et peut facilement écouter le trafic, le modifier et le rediriger dans les deux sens.
![Page 18: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/18.jpg)
ARP SpoofingAutres attaques possibles :
Vol de connexion (Hijacking) : Après un début d’attaque en MiM,
l’attaquant déconnecte un des deux postes et prend sa place.
Déni de service (Dos): Corruption du cache avec des
adresses inexistantes. Refus des paquets détournés
![Page 19: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/19.jpg)
ARP SpoofingOutils de test
La commande arp présente sous linux ou windows.
Des outils dédié : ( www.arp-sk.org) arp-sk sous linux Winarp_sk sous windows.
Un analyseur de trames (sniffer)
![Page 20: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/20.jpg)
IP Spoofing Usurpation d’adresse IP Cible :Serveurs Difficultés :
Nécessite de prédire les numéros de séquences.
Attaques : Usurpation d’identité Prise de contrôle du serveur cible.
![Page 21: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/21.jpg)
DNS Spoofing Principe :
En se plaçant en « MiM » entre un poste et un serveur DNS, l’attaquant modifie les résolutions de noms émises par le serveur en indiquant comme adresse IP sa propre adresse ou celle d’une machine piège.
![Page 22: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/22.jpg)
Solutions de défense Les systèmes de détection d’intrusion (IDS)
: Ils détecteront les changements d’association
adresse MAC/IP dans les requêtes ARP. Ils vérifieront la cohérence entre les adresses
de l’entête Ethernet et les adresses des requêtes ARP.
Cache ARP statique Filtrage au niveau ARP avec association
statique des adresses IP IPSec,IPv6 Authentification forte
![Page 23: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/23.jpg)
Solutions de défenseQuelques outils
La commande ARP de windows ou Linux permet de réaliser des entrées statiques.
Arpwatch NetFilter Les IDS de Cisco ou ISS
![Page 24: Authentification contre Masquarade Lusurpation dadresse Ou « Spoofing »](https://reader036.fdocuments.in/reader036/viewer/2022062318/551d9d8c497959293b8c109f/html5/thumbnails/24.jpg)
SpoofingRessources
M.I.S.C N°3 (Juillet 2002)
www.SecuriteInfo.Com www.arp-sk.org