Ricardo BELIN 1
ARP Poisoning & Spoofing
Initiation aux problématiques de sécurité sur les réseaux locaux
10/06/2008
Ricardo BELIN 2
Préambule
Code pénal Art.323 - * : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende »
« Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende »
« Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. »
But de la présentation Sensibiliser aux problématiques des responsables des SI
d’entreprises Présenter un pan de l’informatique encore mal connu en ING1
10/06/2008
Ricardo BELIN 3
Introduction
Sécurité des réseaux locaux
Problématique d’entreprises
Des milliers de flux potentiellement critiques
Ne pas sous estimer les menaces internes
10/06/2008
“70 percent of incidents that cause money loss are the result of insider
theft.” -- Gartner
Ricardo BELIN 4
ConceptsLes commandements de la sécurité
Le fameux CANDI Confidentialité Authentification Non répudiation Disponibilité Intégrité
© Toei Animation | © Kyoko Mizuki et Yumiko Igarashi - 1978
10/06/2008
Ricardo BELIN 5
ConceptsStack IP
10/06/2008
FTP, HTTP, ….
TCP
IP
Couche physique
UDPICMP
L5
L4
L3
L1/2
Ricardo BELIN 6
ConceptsEthernet et IP
10/06/2008
Adresse de
destination
Adresse source
Type Données CRC
Couche supérieure (Exp : IP)
Exemple de trame Ethernet vue par Wireshark :
Ricardo BELIN 7
ConceptsRéseaux LANCommunication :192.168.0.3 192.168.0.2
10/06/2008
Ricardo BELIN 8
ConceptsRéseaux LANCommunication :192.168.0.3 192.168.0.2
10/06/2008
Ricardo BELIN 9
ConceptsRéseaux LAN
Les applications basent leur communications sur les adresses IP
Les équipements de type switches et hubs ne « comprennent » pas les IP
Adresse de diffusion FF.FF.FF.FF.FF.FF
10/06/2008
Ricardo BELIN 10
ARPLe protocole
Lien adresse physique et adresse réseau
Service entre Ethernet et IP
10/06/2008
Ricardo BELIN 11
ARPLe protocole
10/06/2008
A B C DIPB,
MACB
IPA, MACA
IPA, MACA
IPA, MACA
A
B
08:00:69:02:01:FC
08:00:12:3C:01:FC
08:00:18:5A:4F:11
08:00:FB:9B:40:55
ARP Reply:192.168.0.4 is at 08:00:FB:9B:40:55
ARP Request:Who has 192.168.0.4? Tell 192.168.0.2
Contenu des tables ARP des hosts
Une application sur le host A souhaite communiquer avec l’IP 192.168.0.4
Ricardo BELIN 12
ARPLe protocole
10/06/2008
Ricardo BELIN 13
ARPProblématique
Mémorisation automatique des adresses « qui passent »
Aucun moyen de vérifier un lien entre @physique et @réseau
N’importe quel host peut usurper la place d’un autre
10/06/2008
Ricardo BELIN 14
DémonstrationDe la théorie à la pratique
10/06/2008
Ricardo BELIN 15
DémonstrationPrésentation du réseau de test
10/06/2008
Ricardo BELIN 16
Toolbox
Ifconfig : changer son @MAC
Wireshark : comprendre ce qu’il se passe
Etherape : inutile mais sexy
Ettercap : le plus important
10/06/2008
Ricardo BELIN 17
DémonstrationEcoute MITM
10/06/2008
Ricardo BELIN 18
DémonstrationEcoute MITM
10/06/2008
ARP Reply:192.168.0.2 is at 00:15:f2:3d:d1:12
ARP Reply:192.168.0.1 is at 00:15:f2:3d:d1:12
Cela ne respecte pas
la confidentialit
é !
© Toei Animation | © Kyoko Mizuki
et Yumiko Igarashi - 1978
08:00:12:3C:01:FC
08:00:18:5A:4F:11
00:15:f2:3d:d1:12
Ricardo BELIN 19
DémonstrationEcoute
Dsniff : récupération automatisée des couples login / mot de passeFTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase and Microsoft SQL protocols
Cela ne respecte pas
l’authentification !
© Toei Animation | © Kyoko Mizuki
et Yumiko Igarashi - 197810/06/2008
Ricardo BELIN 20
DémonstrationDétournement de requête
Phishing technique utilisée pour obtenir des
renseignements personnels. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.
10/06/2008
Ricardo BELIN 21
DémonstrationDétournement de requête
Who is societegenerale.fr ?societegenerale.fr is
201.243.67.23
10/06/2008
Ricardo BELIN 22
DémonstrationDétournement de requête
Who is societegenerale.fr ?
societegenerale.fr is 192.168.0.3
Interception !
10/06/2008
Un Vrai petit Jerome
Kerviel !!
© Toei Animation | © Kyoko Mizuki
et Yumiko Igarashi - 1978
Ricardo BELIN 23
DémonstrationAltération de requête
Les filtres Ettercap Outil puissant Script
10/06/2008
# Modification prompt FTP à la voléeif (tcp.src == 21 && search(DATA.data, "Hello!")){ replace("Hello!","Bonjour!");}
Ricardo BELIN 24
DémonstrationAltération de requête
GET index.html, logo.jpg, …
10/06/2008
Ricardo BELIN 25
DémonstrationAltération de requête
GET index.html, logo.jpg, …
Modification !
[…] <img src=‘‘http://www.google.fr/logo.png’’ /> […]
[…] <img src=‘‘http://192.168.0.3/pics/spoofed.png’’ /> […]
Cela ne respecte pas l’intégrité !
© Toei Animation | © Kyoko Mizuki
et Yumiko Igarashi - 197810/06/2008
Ricardo BELIN 26
# Isolement d’un hostif (ip.src == 'Target IP' || ip.dst == 'Target IP') { drop(); kill(); }
DémonstrationD.O.S.
D.O.S. niveau TCP depuis machine fantôme
Isolement d’une machine Plugin isolate filtre Cela ne
respecte pas la
disponibilité !
© Toei Animation | © Kyoko Mizuki
et Yumiko Igarashi - 197810/06/2008
Ricardo BELIN 27
Démonstration Downgrade Attack
Affaiblissement de protocole Exemple : SSH
10/06/2008
Je veux établir une connexion
SSH
Je veux établir une connexion
SSHOK Je supporte
SSH1 uniquement
OK Je supporte SSH1 et SSH2
OK nous allons négocier en
SSH1
OK nous allons négocier en
SSH1
Pirate
Serveur SSH
Client
Ricardo BELIN 28
Démonstration Downgrade Attack
10/06/2008
# Affaiblissement de protocoleif (ip.proto == TCP) { if (tcp.src == 22) { if ( replace("SSH-1.99", "SSH-1.51") ) { msg("SSH downgraded from version 2 to 1\n"); } else { if ( search(DATA.data, "SSH-2.00") ) { msg("Server supports only SSH version 2\n");
} else { if ( search(DATA.data, "SSH-1.51") ) { msg("Server using version 1\n"); } } } } }
Ricardo BELIN 29
Prévention
Utiliser l’OS Solaris (haha…) Tables ARP statiques Monitoring
Arpwatch SNORT IDS
10/06/2008
Ricardo BELIN 30
Références
Les logiciels utilisés et cités lors de cette présentation Ping :) ifconfig Ettercap Dsniff Arptools Wireshark Etherape Nmap Arpwatch Snort
10/06/2008
Ricardo BELIN 31
Conclusion
Permet de compromettre tous les principes de la sécurité
Ouvre la porte à une infinité de problèmes pour une entreprise
Excessivement simple à mettre en place Pas une fatalité
Evitez de tout casser…10/06/2008
Ricardo BELIN 32
MerciFin de présentation
Présentation réalisée et préparée parRicardo Belin
Promo EPITA TELECOM 2009
10/06/2008