Académique Documents
Professionnel Documents
Culture Documents
https://astuces-top.blogspot.com
2.2 – Le protocole ARP
Le protocole ARP, signifiant Address Resolution Protocol, fonctionne en couche
Internet du modèle TCP/IP correspondant à la couche 3 du modèle Osi.
L’objectif de ARP est de permettre la résolution d’une adresse physique par
l’intermédiaire de l’adresse IP correspondante d’un host distant. Le protocole
ARP apporte un mécanisme de « translation » pour résoudre ce besoin.
Voici la composition de l’entête :
https://astuces-top.blogspot.com
Vous remarquerez qu’il existe deux principaux modes définit par le champ
« Operation » qui sont la demande (request) et la réponse (reply). Vous
trouverez tous les détails du protocole ARP dans la documentation de l’entête
ARP du site FrameIP.
https://astuces-top.blogspot.com
3 – L’attaque
3.1 – Le contexte
La première attaque consiste à saturer la mémoire du Switch qui contient la
table d’adresses MAC. Cela peut être un Pirate, un utilisateur mal intentionné
et voir même un Virus ou SpyWare. Pour réaliser cette attaque, je positionne le
contexte suivant :
https://astuces-top.blogspot.com
3.2 – La réalisation
https://astuces-top.blogspot.com
3.3 – La réaction
https://astuces-top.blogspot.com
Et après l’étape 2 (après l’exécution de Arpflood), on peut remarquer qu’il ne
reste plus aucune place dans la table de correspondance :
https://astuces-top.blogspot.com
3.4.1 – Perte de l’administration
https://astuces-top.blogspot.com
En tant que pirate Z, mon PC portable reçoit donc l’ensemble du trafic échangé
entre la XBOX 192.168.101.3 et le serveur 192.168.101.4. Remarques, En fait,
le passage en mode HUB du Switch peut intervenir de deux manières
différentes :
La première est le cas où le serveur et la XBOX ne discutent pas encore
ensemble avant l’attaque. Le Switch ne connaît donc pas leurs adresses MAC.
Ainsi, lorsque ArpFlood sature la table de correspondance, le Switch ne peut
plus apprendre aucunes nouvelles adresses MAC. Dès que la XBOX et le
serveur se mettent à discuter ensemble, le Switch renverra chacune des
trames sur tous les ports du fait qu’il n’a pas placé leurs adresses MAC dans sa
table de correspondance.
La seconde manière est le cas où le serveur et la XBOX discutent ensemble
avant l’attaque. Le Switch connaît donc leurs adresses MAC, même après
l’exécution de ArpFlood. Le Switch commutera correctement le flux d’échange
entre la XBOX et le serveur sur les ports concernés. A ce moment, l’écoute ne
fonctionne pas. Il faut alors attendre 5 minutes, ce qui représente la durée de
vie d’une entrée dans la table de correspondance, pour que le Switch commute
le flux sur tous les ports. Car, au bout des 5 minutes, les correspondances MAC
et Ports de la XBOX et du Serveur sont effacées et le Switch ne peut pas les
réapprendre du fait que sa table est saturée.
Pour info, par défaut, le Switch 2950 garde 5 minutes une correspondance
d’adresse MAC/Port.
https://astuces-top.blogspot.com
3.4.3 – Saturation réseau
La conséquence suivante est que suite au passage en mode HUB, toutes les
trames vont être multipliées sur tous les ports. Ainsi, si par exemple une
sauvegarde au giga à lieu entre deux ports, le débit va se répliquer sur tous les
autres ports en les saturants. L’incidence impacte alors chaque port du
commutateur et donc les utilisateurs finaux.
https://astuces-top.blogspot.com
3.5 – Cas d’une entreprise
Dans le cas concret d’une entreprise, le schéma LAN habituel se divise en 3
niveaux en étoiles représentés par les commutateurs de Coeur, de Distribution
et de Terminaison. Voici le contexte utilisé pour représenter un échantillon des
cas réels.
https://astuces-top.blogspot.com
On peut ainsi rapidement conclure du fait qu’il y ai un Switchs ou plusieurs,
cela ne change rien au potentiel de l’attaque. C’est clair que le pirate, sur un
LAN d’entreprise, pourra rapidement écouter les conversations du téléphone B
se trouvant à l’autre bout du bâtiment.
Juste une remarque, c’est que cela dépend de la limitation de chaque Switch.
Par exemple, prenons le cas où les commutateurs C et E sont des 2950 limités
à 8000 @MAC et le Switch D est un 6509 donc limité à 64000 @MAC. Dans ce
cas, le pirate va saturer les 8000 adresses MAC des Switchs C et E, puis dans
la foulée, les 64000 du Switch D. Et même si le premier commutateur est
saturé, le flood de requête ARP va continuer à se propager et le Switch de
coeur continuera à apprendre la provenance jusqu’à saturation.
Nous pouvons en conclure que l’impact dans une entreprise est global, même
dans le cas d’architecture standard sur 3 niveaux au coeur de 6500.
conf t
mac-address-table aging-time 10
https://astuces-top.blogspot.com
•Cisco Catalyst 3550-12G : 12000 adresse MAC maximum
•Cisco Catalyst 3550-12T : 12000 adresse MAC maximum
•Cisco Catalyst 3550-24 : 8000 adresse MAC maximum
•Cisco Catalyst 3550-24-DC : 8000 adresse MAC maximum
•Cisco Catalyst 3550-24 PWR : 8000 adresse MAC maximum
•Cisco Catalyst 3550-24-FX : 8000 adresse MAC maximum
•Cisco Catalyst 3550-48 : 8000 adresse MAC maximum
•Cisco Catalyst 3560 Series : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-24TS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-24WS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-24T : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-12S : 12000 adresse MAC maximum
•Cisco Catalyst 3750-24TS : 12000 adresse MAC maximum
•Cisco Catalyst 3750-24FS : 12000 adresse MAC maximum
•Cisco Catalyst 3750-24PS : 12000 adresse MAC maximum
•Cisco Catalyst 3750-48TS : 12000 adresse MAC maximum
•Cisco Catalyst 3750-48PS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-24TS-1U : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-24PS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-48TS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-48PS : 12000 adresse MAC maximum
•Cisco Catalyst 3750G-16TD : 12000 adresse MAC maximum
•Cisco Catalyst 6500 Series : 64000 adresse MAC maximum
On remarquera que chaque Switch possède de nouveau une limitation dans le
nombre de correspondances. On peut donc prendre conscience que
l’augmentation de la catégorie du Switch ne solutionne pas ce risque. Car on
peut augmenter le nombre maximum de correspondances, cela ne change pas
le fait que le hackeur va très rapidement saturer la mémoire de la table.
https://astuces-top.blogspot.com
En fait, dans le cas où j’ai deux VLAN (ou plus), la table de correspondance
peux être lue indépendamment comme cela :
5 – La protection efficace
5.1 – Nombre d’adresses MAC maximum par port
La limitation d’un nombre maximal d’adresses MAC par port physique est une
solution efficace. Elle permet ainsi de positionner le hacker dans un contexte
isolé où il ne peut pas déborder sur la mémoire globale du Switch. Par
exemple, si nous limitons chaque port à 100 adresses MAC maximum, cela
permettra d’empêcher que le flood sature la mémoire globale du Switch. 100
paraît être une bonne valeur pour sécuriser les accès sans contraindre
l’exploitation réseau de l’entreprise. Pour réaliser cette protection, il faut :
Placer le port en mode Access :
conf t
interface fastEthernet 0/4
switchport mode access
conf t
interface fastEthernet 0/4
switchport port-security
https://astuces-top.blogspot.com
Puis définir le nombre d’adresses MAC maximum :
conf t
interface fastEthernet 0/4
switchport port-security maximum 100
Voici un exemple concret avec une limite à 5 adresses MAC maximum. On peut
remarquer, que malgré l’attaque de flooding MAC en continu, la table de
correspondance du Switch ne sature pas. Le port 4 est bien limité aux 5
premières adresses MAC et n’apprend plus les suivantes.
https://astuces-top.blogspot.com
5.2 – Authentification 802.1X
L’activation 802.1X sur les ports, en plus d’apporter une bonne sécurité de
votre LAN, vous permettra d’empêcher la saturation de la table de
correspondance par un Hackeur ou un virus. Pour l’activer sur le port 4 par
exemple, vous devez :
Indiquer que l’authentification doit se réaliser via un serveur Radius (ou autre
si vous préférez) :
conf t
aaa new-model
aaa authentication dot1x default group radius
https://astuces-top.blogspot.com
6 – Commandes équivalentes 3COM
La commande « show mac-address-table » permet de voir la table des
correspondances MAC. L’équivalent 3COM est « display mac-address » :
https://astuces-top.blogspot.com
La commande « show mac-address-table aging-time » permet de voir la durée
de vie des correspondances MAC. L’équivalent 3COM est « display mac-address
aging-time ». Pour info, par défaut, le Switch 3COM 3CR17152 5500-SI garde
5 minutes une correspondance d’adresse MAC/Port :
https://astuces-top.blogspot.com