Académique Documents
Professionnel Documents
Culture Documents
kaneda@securite.org - http://www.securite.org/kaneda/
version 1.01
Programme
Scurit rseau
> Les attaques lencontre
- des protocoles des couches liaison et rseau
- des protocoles de routage
2002 Scurit.Org
ARP
- Address Resolution Protocol
CDP
- Cisco Discovery Protocol
VLAN
- Virtual LAN
STP
- Spanning Tree Protocol
{D/V}TP - Dynamic, VLAN Trunking Protocol
Trafic et adressage unicast, broadcast et multicast
2002 Scurit.Org
2002 Scurit.Org
2002 Scurit.Org
Le problme de VPMS
> VLAN Policy Management Server permet laffectation dun
quipement un VLAN par rapport son adresse MAC
2002 Scurit.Org
Protocoles : VTP
VLAN Trunking Protocol
> Permet une gestion centralise des VLANs (architecture
matre/esclave)
> Format du message : identique CDP (SNAP HDLC 0x2003)
> Communique via les ports en mode trunk
Mesures de scurit
> Placez les commutateurs en mode VTP transparent et
affectez un mot de passe au domaine VTP
set vtp domain <domaine.vtp> password <mot de passe>
set vtp mode transparent
2002 Scurit.Org
Protocoles : DTP
Dynamic Trunking Protocol
> Permet la configuration automatique de ports en mode
trunk
> Format du message : identique CDP (SNAP HDLC 0x2004)
> Tous les ports dun commutateur sont en mode automatique
par dfaut
Mesures de scurit
> Dsactivez DTP sur tous les ports
set trunk off all
2002 Scurit.Org
2002 Scurit.Org
10
Mesures de scurit
> Routeurs
- Dsactivation globale
no cdp run
2002 Scurit.Org
11
2002 Scurit.Org
12
Version 4
Ecoute sur le port 179/tcp
Authentication : MD5 (trop rarement utilise)
Liaison point--point pour les interfaces directement
connectes ou multi-hop pour les routeurs non-adjacents
> Des outils dinjection de routes BGP existent (dans des
cercles privs)
2002 Scurit.Org
13
14
2002 Scurit.Org
15
par interception
grce SNMP
grce aux route-servers et aux looking glasses publiques
adresses IP proches, .1, .254, etc.
2002 Scurit.Org
16
Source : http://razor.bindview.com/publish/papers/tcpseq.html
2002 Scurit.Org
17
Mesures de scurit
> Authentifiez les changes OSPF
interface xy
!ip ospf authentication-key <key>
ip ospf message-digest-key 1 md5 <key>
router ospf 1
area 0 authentication [message-digest]
2002 Scurit.Org
18
> Il nest pas possible de filtrer ce qui est annonc par OSPF
(uniquement entre des AS OSPF), le mot cl network est un
faux ami
> Il est possible de filtrer ce que lon reoit
router ospf 1
distribute-list <ACL> in
distribute-list <ACL> out
2002 Scurit.Org
19
2002 Scurit.Org
20
2002 Scurit.Org
21
2002 Scurit.Org
22
TCP
: ~90% (HTTP, FTP, SMTP, outils peer-to-peer)
UDP
: ~10% (DNS, SNMP, outils de streaming)
ICMP
: < 1%
IGMP
: < 1%
Surtout des paquets de 64 octets
RRDtool et Netflow permettent de grapher les tendances et
de dtecter des changements ou des anomalies
2002 Scurit.Org
23
24
2002 Scurit.Org
25
2002 Scurit.Org
26
2002 Scurit.Org
27
tcp
tcp
tcp
tcp
tcp
intercept
intercept
intercept
intercept
intercept
list 100
connection-timeout 60
watch-timeout 10
one-minute low 1500
one-minute high 6000
2002 Scurit.Org
28
2002 Scurit.Org
29
2002 Scurit.Org
30
iBGP sessions
Route reflectors
Propagate the new
next-hop
Core/Access Routers
(route 192.0.2.10 to Null0)
Internet
or
Customers
2002 Scurit.Org
31
2002 Scurit.Org
32
2002 Scurit.Org
33
2002 Scurit.Org
34
2002 Scurit.Org
35
2002 Scurit.Org
36
2002 Scurit.Org
37
2002 Scurit.Org
38
2002 Scurit.Org
39
2002 Scurit.Org
40
DDoS/vers recherche/futur
Le pire est venir
> Recherche trs active, mais trs peu de publications:
les risques sont trop levs
> La plupart des vers existants taient plutt faibles/gentils
> Les prochains vers vont-ils encore sattaquer IIS/Outlook ?
> Quels sont les effets sur la stabilit dInternet ?
2002 Scurit.Org
41
2002 Scurit.Org
42
43
no ip identd
no ip finger
service nagle
no
no
no
no
cdp run
boot network
service config
ip subnet-zero
no
no
no
no
service finger
service pad
ip http server
ip source-route
Activez syslog
service
service
logging
logging
logging
logging
2002 Scurit.Org
44
2002 Scurit.Org
45
46
2002 Scurit.Org
47
2002 Scurit.Org
48
2002 Scurit.Org
49
Configuration scp
ip scp server enable
2002 Scurit.Org
50
2002 Scurit.Org
51
2002 Scurit.Org
52
Mthode daccs
> Supprimez telnet et activez SSH
service tcp-keepalives-in
line vty 0 4
exec-timeout 0 60
access-class 10 in
transport input ssh
transport output none \ transport preferred none
access-list 10 permit x.x.x.x
53
2002 Scurit.Org
54
2002 Scurit.Org
55
AAA : Autorisation
Niveaux de privilges
> 1 : mode utilisateur lecture uniquement
> 15 : mode privilgi enable
> Changez le niveau de privilge de certaines commandes
(limite la fuite dinformation et les rebonds)
> Un utilisateur peut seulement visualiser la configuration quil
est autoris modifier
> Un utilisateur peut avoir uniquement la permission de voir la
configuration et puis tre dconnect
privilege exec level 15 connect
privilege exec level 15 telnet
privilege exec level 15 ssh
privilege exec level 15 rlogin
privilege exec level 15 show logging
privilege exec level 15 show [ip] access-lists
username seeandgo privilege autocommand show running
2002 Scurit.Org
56
57
2002 Scurit.Org
58
2002 Scurit.Org
59
60
61
Commutateurs
Commutateurs multiniveau (6509)
> Mode Natif (fonctionnant sous IOS uniquement)
> Mode Hybride (IOS et CatOS)
> ACLs traites rapidement
2002 Scurit.Org
62
2002 Scurit.Org
63
Limitations et dtails
> Confiance dans le systme (toujours pas de rootkit Cisco)
et dans le rseau utilis (attaques par interception)
> Configuration transmise en clair sur le rseau (sauf si
chiffrement via scp ou IPsec)
> Il y a deux fichiers : startup-config et running-config
> Sauvergardez galement les images IOS/CatOS
> MIBs Cisco : CISCO-CONFIG*
2002 Scurit.Org
64
65
2002 Scurit.Org
66
MPLS (1)
MultiProtocol Label Switching
>
>
>
>
>
>
>
2002 Scurit.Org
67
MPLS (2)
Attaques
> Injection de paquets marqus :
- Bloqu par dfaut sur toute les interfaces (CE/PE)
- Simple en ayant accs un routeur MPLS
Mesures de scurit
> Configuration correcte de tous les routeurs
> Information MPLS distribue sur tous les routeurs (difficile
rassembler)
2002 Scurit.Org
68
IPv6
IPv6
>
>
>
>
2002 Scurit.Org
69
Image: http://www.inforamp.net/~dredge/funkycomputercrowd.html
2002 Scurit.Org
70