Securite Chap6 Protection Reseau

La sécurité des réseaux
Chapitre 6 : Protection des réseaux Slide 1
Chap. 6 : Protection des réseaux

Génaël VALET – Version 3.2
Mai 2007
Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Sommaire
 Ne que nous allons aborder dans ce chapitre

 Les différentes menaces réseaux
 Le scanner réseau
 Les attaques : SYNFlooding, IP Spoofing, Smurf, ARP
poisoning, …
 Les firewalls
 Les architectures réseaux à base de DMZ
 Les systèmes de détection d’intrusion

Les services réseaux

 La plupart des OS proposent en standard des services réseaux
 Ex de Windows 2000
• Service d’accès au réseau à distance
• Station de travail
• Client DHCP …
 Tous les services réseaux ne sont pas utiles
 Il faut les désactiver selon l’environnement
 Un service réseau est associé à un ou plusieurs ports
 Un service réseau est associé à un ou plusieurs protocoles

Les ports et protocoles
 Les numéros de ports servent à distinguer les services réseaux

 Les services standards ont des numéros de ports bien connus
 On peut afficher les ports actifs ou « en écoute »
 netstat –a sous Windows

Scanner réseau
 Pour connaître les services réseaux disponibles , on utilise un

scanner réseau
 Appelé aussi « scanner de port »
 Il en existe une multitude
 Nmap (gratuit) , ISS Scanner (payant)
 Certains sont capables de détecter les versions des applications
s’exécutant sur le système distant

Travaux pratiques : Scanner de ports
 Utilisation du logiciel cheops network sous Linux

 Permet de scruter le voisinage réseau à la recherche d’hôtes
 Permet de scanner les ports de chaque hôte pour découvrir
les services présents
 Il faut démarrer le « Linux live cd Auditor »
 Exécuter l’application « Cheops Network »
 Lancer une analyse du « voisinage réseau » pour obtenir une
liste des adresses IP disponibles
 Lancer un scan sur chaque machine afin de connaître les
services fournis par ces machines

Déni de service réseau
 Le déni de service provoque l’indisponibilité des services

 Plusieurs attaques connues ont été réalisées avec succès contre
des sociétés mal préparées
 Yahoo, Amazon en février 2000
 Méthodes d’attaques
 Lancement d’attaque distribuée (DDoS) par des outils installés
à l’insu des utilisateurs des machines (zombies)

DoS sur un LAN
 Qu’il soit intentionnel ou non, le DoS est provoqué par des

conflits d’adresse IP
 Que se passe t-il si 2 machines ont la même adresse IP ?
 Cela dépend de l’implémentation TCP/IP
• Certains détectent le conflit et arrête les services réseaux
• D’autres continuent et provoquent des résultats imprévisibles
 Certains utilisateurs provoquent un DoS de manière non
intentionnelle
 A cause d’une mauvaise configuration des adresses IP

Résoudre les conflits d’IP
 On peut limiter les conflits lorsque ceux-ci ne sont pas

intentionnels
 En utilisant DHCP
 Pour les attaques intentionnelles on ne peut résoudre le pb qu’en
retrouvant l’attaquant
 Par son adresse MAC
 En coupant certains segments du réseau
 Dans tous les cas, on ne pourra pas empêcher totalement le DoS
!!!

DoS depuis Internet

La résolution de noms (DNS)
 Effectue la correspondance entre un nom dns vers une adresse IP

 www.google.fr donne 66.249.87.104
 Les correspondances sont stockées sur des serveurs DNS
 Le serveur donne aux clients DNS (Resolvers) les adresses IP
 Les requêtes DNS passent en clair sur le réseau
 Les réseaux locaux utilisent DNS pour permettre de joindre des
hôtes par leur nom DNS
 Ex : pc-martine.organisation.com

Travaux pratiques : Fonctionnement du DNS
 Autoformation proposée par l’AFNIC

 Arborescence DNS
• http://www.afnic.fr/ext/dns/html/cours241.html
 Requête DNS
• http://www.afnic.fr/ext/dns/html/cours242.html
 Quiz pour s’évaluer
• http://www.afnic.fr/ext/dns/html/QCM/quiz1.htm

Attaques DNS
 Les services DNS sont indispensables au fonctionnement

d’Internet
 Une attaque sur un serveur DNS peut paralyser l’ensemble des
communications
 Les clients ne peuvent plus résoudre les noms en adresses IP
 Les attaques DNS peuvent provoquer
 Le retour de fausses adresses IP
• Vers des serveurs pirates
 L’arrêt des services DNS
 Solution : Toujours mettre à jour le serveur DNS

Le DNS Bind
 BIND est le serveur DNS le plus utilisé au monde
 Logiciel libre disponible sur beaucoup de plate formes
 Attention aux différentes versions
 BIND 4.x
• De nombreuses failles de sécurité – ne pas utiliser
 BIND 8.x
• Beaucoup moins de failles – version 9.x conseillée
 BIND 9.x
• Très peu de failles
• Les fichiers de configuration changent : pb de compatibilité avec les anciens fichiers
 BIND 9.x propose le support de DNSSEC
 Permet de sécuriser les accès aux serveurs DNS
 Voir la RFC 3833 : Analyse des menaces du système DNS

Sécurisation DNS par TSIG
 TSIG : Transaction SIGnature [RFC 2845]

 TSIG permet de sécuriser les échanges entre serveurs
 Lors d’un transfert de zone ou des mises à jours dynamiques
• Entre un serveur maître et les esclaves
• Entre les « resolvers » et les serveurs de cache DNS
 Utilise la cryptographie symétrique et le hachage
• Les deux serveurs partagent une clé secrète
• Signature d’un hash du message avec HMAC-MD5
• Prise en compte de l’heure et de la date
 Impose une synchronisation NTP entre les deux serveurs

DNSSEC [RFC 2535]
 DNS est très sensible aux attaques de type « man in the middle »
 DNSSEC utilise la cryptographie à clé publique
 La clé publique est fournie soit par le domaine parent, soit par
un fichier de configuration
 Possibilité d’assurer l’authentification et l’intégrité des
messages DNS
 Nécessite un système de distribution des clés
 Les zones sont « signées »
 Ajout d’une signature pour assurer l’intégrité

Attaque sur le routage

 Les tables de routage des routeurs doivent être correctes
 Le cas échéant, un paquet peut-être redirigé vers une
destination incorrecte
 On peut injecter de faux messages de routage sur un réseau
 Les systèmes et les routeurs vont les croire la plupart du
temps
 Cas de RIP v1 qui ne possède pas de mécanisme
d’authentification
 RIP v2 et OSPF possèdent un champ d’authentification

ICMP redirect
 Le protocole ICMP permet la redirection

 Le message « ICMP redirect » reçu informe l’hôte qu’il doit se
diriger vers une autre adresse

ICMP Redirect (2)

 Un message « redirect » falsifié peut modifier les tables de
routage
 Il ne devrait provenir que des routeurs du réseau
 Un hôte ne devrait pas accepter ce message autrement
 Hélas, tous les systèmes ne suivent pas ce principe
• De nouveaux chemins peuvent apparaître et compromettre la sécurité
du réseau
 Pour éviter ça, il faut utiliser
 le routage statique
• Surtout pour toutes les connexions externes au réseau local
 Bloquer les messages ICMP redirect à l’entrée du réseau

ARP Poisoning
 Objectif : Modifier la table ARP avec de fausses adresses MAC

 La table ARP de la victime contient des associations MAC – IP
incorrectes
 Exploitations possibles
 Attaque DoS sur un réseau
 Attaque Dos sur un poste particulier
 Attaque de type « Man in the Middle »
• ARP Poisoning combiné à du routage

ARP Poisoning + routage 1/2
MAC Cible IP Cible MAC Cible IP Cible

00:00:00:00:00:00:0 192.168.1.10 00:00:00:00:00:00:0 192.168.1.1
0 0 0
MAC Envoyeur IP envoyeur MAC Envoyeur IP envoyeur
CC:CC:CC:CC:CC:CC:C 192.168.1.25 CC:CC:CC:CC:CC:CC:C 192.168.1.10
C 4 d’adresse
Usurpation C 0
Usurpation d’adresse

ARP Poisoning + routage 2
Routag
e
Etat du cache ARP de la Etat du cache ARP de la

MAC IP
victime MAC IP
passerelle
CC:CC:CC:CC:CC:CC 192.168.1.25 CC:CC:CC:CC:CC:CC 192.168.1.10
4 0

Travaux pratiques : Arp poison
 Objectifs : Attaque de type « Man in the middle »

 Avec logiciel Cain & Abel
• Utilisation de la fonction APR (ARP poison routing)
 A faire
1. Repérage de la victime grâce au « Sniffer » intégré
2. Enclencher l’empoisonnement de la victime et de la passerelle
• Avec des « ARP request » puis des « ARP reply »
• En capturant le trafic pour repérer les trames d ’empoisonnement
3. Générer du trafic sur le poste de la victime et repérer les mots de passe capturés
• Connexion HTTP, HTTPS (Webmail hotmail ou yahoo)
• Connexion POP3 (Outlook ou Thunderbird)
• Connexion FTP
4. Etablir un constat de la vulnérabilité du réseau

DoS par diffusion (broadcast)
 Utilisation de l’adresse de diffusion d’un réseau logique

 Ex : 192.168.5.255
• Classe C : 253 machines potentielles
• Utilisation d’ICMP echo-reply (ping) avec des paquets de 1000 octets
 Le réseau peut très vite être saturé si le nombre d’hôtes
augmente
 Même si l’hôte ne répond pas à la requête, des ressources
réseaux sont monopolisées

L’attaque DoS de type smurf
 Usurpation d’adresse + adresse IP diffusion = Smurf

 L’attaquant envoie des messages ICMP avec l’adresse IP de
la victime (IP source)
 La victime reçoit les réponses amplifiées

Lutter contre les attaques « broadcast »
 La plupart des routeurs savent filtrer les paquets de broadcast

dirigé
 Il faut filtrer à l’entrée de votre réseau
 Encore faut-il activer cette fonction
 Ce filtrage vous empêchera d’être un site amplificateur
 Mais pas une victime
 Les firewalls sont capables d’empêcher les réponses non
sollicitées

DHCP
 Le « Dynamic Host Configuration Protocol » est conçu pour

distribuer des adresses IP aux clients
 Un serveur DHCP dispose d’un « pool » d’adresses IP défini par
l’administrateur du réseau
 Le serveur fourni également au client les autres paramètres
réseau
• Serveur DNS, Passerelle par défaut, Serveur Netbios, …

Attaque DHCP : Saturation du pool d’IP
 L’attaquant va faire de nombreuses requêtes DHCP jusqu’à vider

le pool d’IP du serveur
Plus d’IP disponible

dans le pool :
Denial of Service !!!

Attaque DHCP : Rogue server
 Objectif : Usurpation du vrai serveur DHCP

 1) Effectuer un DoS sur le vrai serveur
 2) Répondre aux clients à sa place
• En fournissant de faux paramètres (Serveurs DNS, Passerelle)
 Conséquences
 Clients mal configurés : Déni de service
 Paramètres incorrects : Compromettre la confidentialité et
l’intégrité des données
• Exemple : L’attaquant se fait passer pour la passerelle par défaut

Eviter les attaques de niveau 2 et 3
 Les constructeurs mettent en place des protections de niveau 2

et 3
 CISCO
 Fonction « Port Security »
• Nombre limité d’adresses MAC vues par port
 Fonction « DHCP Snooping »
• Seuls les ports dit « de confiance » peuvent émettre des baux DHCP
 Fonction « Dynamic ARP inspection (DAI) »
• Consulte la base de données DHCP pour vérifier la correspondance
entre MAC et IP

Travaux pratiques : Activer « Port Security »
 Objectifs
 Activer la fonction « Port Security » sur un port du switch
CISCO en fixant une limite d’une seule adresse MAC par port
• Switch(config-if)# switchport port-security
• Switch(config-if)# switchport port-security maximum 1
• Switch(config-if)# switchport port-security violation shutdown
• Switch(config-if)# errdisable recovery cause psecure-violation
• Switch(config-if)# errdisable recovery interval 30
 Essayer de mener une attaque de type APR avec Cain
• Constater l’échec de l’attaque

Protocole TCP
 C’est le protocole utilisé par

IP en « mode connecté »
 Tout échange doit être
précédé de l’ouverture
d’une connexion
 Le client envoie un
« segment » TCP au
serveur avec le drapeau
« SYN » positionné pour
demander l’établissement
de la connexion

SYN Flooding
 Lors de cette attaque, le
client utilise une adresse IP
non utilisée
 Le client envoie une
multitude de segments
« SYN »
 Le serveur alloue des
ressources pour une
connexion qui ne sera jamais
utilisée
 Le client sature les
ressources du serveur
 Le serveur n’accepte plus de
nouvelles connexions (DoS)
 Les connexions à demi-
ouvertes seront fermés au
bout d’un
Greta industriel des « timeout » avancées
technologies G. Valet – genael.valet@gita.fr
Protections contre le SYN Flooding
 Les mesures de protection rendent l’attaque plus difficile

 Oblige l’attaquant à envoyer les paquets SYN plus rapidement
 Certains OS implémentent une protection
 Windows 2000/XP propose des options tcp/ip pour lutter contres
les attaques SYN
• http://www.microsoft.com/resources/documentation/Windows/2000/server/r
eskit/en-us/regentry/synfloodattackprotect.asp
• Win2K et XP sont par défaut protégés des attaques SYN basiques

L’effet domino
 Une faille de sécurité sur une couche inférieure peut

compromettre toutes les couches supérieures
Compromis
sion
Si attaque
sur la
couche 2

Port Security
 Cisco propose plusieurs solutions pour éviter les attaques de

niveau 2 et 3
 Permet de limiter le nombre d’adresses MAC vues par port sur un
switch

Restrictions d’accès réseau
 Tous les réseaux ne bénéficient pas du même niveau de

confiance
 Il est normal de vouloir restreindre les accès à un réseau
d’entreprise depuis d’autres réseaux
• Comme Internet ou un réseau sans-fil
 Ces restrictions d’accès sont centralisées dans un « firewall » ou
« pare-feu »
 Le firewall assure le contrôle des communications inter-
réseaux entre deux réseaux ayant des niveaux de confiance
différents

Restriction d’accès réseau (2)

Les technologies de firewall
 Il existe plusieurs moyens de filtrer le trafic

 Les firewalls utilisent 4 technologies principales
 Le filtrage de paquets statiques
 Le filtrage de paquets dynamique
 Les passerelles de niveau circuit
 Les proxies applicatifs
 La plupart des firewall combinent les 4 technologies
 Soit grâce à un logiciel
 Soit grâce à un matériel dédié : le « net appliance »

Le filtrage de paquet statique
 Le filtrage sera effectué sans se préoccuper de l’état du paquet

 S’agit-il d’un paquet inclus dans une connexion TCP ou d’un
paquet isolé ?
 La plupart des routeurs incluent un filtrage de paquet statique
 Ce type de filtrage permet de bloquer des paquets selon des
critères
 Adresse source,destination
 Port source, destination

Filtrage de paquets statique : Les ACL
 Les « Access Control List » sont des listes définissant les règles
 Exemple d’ACL
 Autoriser uniquement le trafic HTTP sortant
N Action IP Port dest. IP source Port src Commentaires
° destination
1 Autorise 172.16.0.0/1 >1023 Toutes 80 WEB vers réseau
6 interne
2 Autorise Toutes 80 172.16.0.0/ >1023 Réseau interne vers
16 WEB
3 Bloque Toutes Tous Toutes Tous Défaut
 « Tout ce qui n’est pas explicitement autorisé est interdit »

Est-ce suffisant ?
 L’exemple précédent pose un problème de sécurité sur la règle

n°1
 Toutes les connexions entrantes utilisant comme port source
80 sont autorisées
• Même celles qui ne concernent pas le retour des données venant
d’Internet
 Les paquets IP peuvent être fragmentés
 Seul le premier fragment contient les informations TCP/UDP
• Les fragments suivants ne contiennent pas d’informations sur les ports
 Doit-on laisser passer tous les fragments ?

Utilisation des drapeaux TCP
 Une solution au problème précédent serait d’autoriser certaines

connexions http entrantes
 Celles dont le drapeau ACK est à 1
• Signifie que la connexion est déjà établie depuis l’intérieur
 Ce ne résout pas le problème pour UDP qui n’utilise pas le
mode connecté

Filtrage de paquets dynamique (Stateful)
 Ce genre de filtre bloque ou autorise les paquets en fonction :

 De leur contenu actuel
 Du contenu des paquets précédents
 Permet de suivre l’établissement d’une connexion TCP
 Ne pas autoriser de paquet entrant si la connexion n’a pas été
établie depuis le réseau interne
 Permet d’autoriser les connexions « RELATED »
 Le protocole FTP utilise deux connexions : Une pour le contrôle et
l’autre pour les données
• La connexion pour les données est en relation avec celle utilisée pour le contrôle

Filtrage de paquets dynamique (2)

 Permet également de résoudre le problème de fragmentation IP
et de suivi d’UDP
 Le 1er fragment IP est gardé en mémoire et ses informations
sont utilisées pour autorise les paquets suivants
 Seules les réponses aux paquets UDP sortantes sont
autorisés
 Certains firewalls sont capables de filtrer au niveau applicatif
 Ex : Empêcher les applet Java sur Internet
 Ces fonctions sont proposées par les proxies applicatifs

Passerelles de niveau circuit
 Ces passerelles travaillent au

niveau TCP
 Le client se connecte en TCP sur
la passerelle
 La passerelle se connecte à la
destination
 Une fois la connexion établie, la
passerelle relaie les données de
manière transparente
 Exemple d’implémentation :
SOCKS
 De moins en moins utilisées

Proxies applicatifs
 L’idée est d’utiliser un filtre spécifique à chaque service applicatif

 Un relais SMTP installé sur un firewall est un proxy applicatif
 Le proxy applicatif est spécialisé et capable de « comprendre » le
contenu des paquets

Comparaison entre proxy et filtrage de paquets

 Les proxies mettent en jeu 2 connexions au lieu d’une

Architectures réseaux et firewalls

 Les besoins des entreprises sont :
 Le réseau interne doit avoir accès aux services externes
• Internet, réseau d’une autre entreprise,
 Le réseau public doit avoir accès à certains services internes
• Serveur mail, serveur web de la société, extranet
 L’architecture la plus appropriée est l’architecture DMZ
 Cette approche combine un filtrage statique des paquets et un
filtrage dynamique
 Le filtrage statique est assuré par un routeur
 Le filtrage dynamique par un firewall

Firewall et DMZ

Firewall et DMZ (suite)
 Il existe 4 topologies principales de firewall associé à une DMZ

 Topologie classique
 Topologie « Belt and Brace »
 Topologie « Belt and Brace » avec un sous-réseau séparé
 Architecture Chapman

Topologie classique

Topologie classique (suite)
 Avantages
 L’accès aux services externes n’a pas d’impact sur le réseau
interne
 Le serveur DNS de la DMZ donne un minimum d’informations
• Le serveur DNS interne est isolé des attaques externes
 Les filtres du routeur filtrant doivent restreindre les accès
externes à la DMZ
 Autoriser FTP de l’externe vers l’adresse IP du serveur FTP
uniquement

Topologie « Belt and Brace »

Topologie « Belt and Brace » (suite)
 Dans la topologie classique, si le firewall est compromis, il peut

servir à attaquer le réseau interne
 En ajoutant un 2ème routeur filtrant, on protège le réseau
interne
 Trois niveaux de défense

Topologie à sous réseau
 Les serveurs publics sont placés dans un sous-réseau séparé et

protégés par un firewall

Topologie « Chapman »

Topologie « Chapman »
 Fournit 3 niveau de défense

 Le passage de tout le trafic par le firewall est conditionné par
le routeur filtrant d’entrée
• Dangereux !
 Si un routeur est compromis, l’autre est attaquable
 Le trafic sortant n’a pas besoin de passer par le firewall
• Ce qui permet à tout type de trafic de sortir

Problème des connexions temporaires
 Certaines entreprises ont des besoins de connectivité

temporaires
 Vers une autre entreprise ou ses succursales via une ligne
spécialisée
 Il existe des architectures combinées

Topologie à 2 firewalls

Topologie à 2 firewalls (suite)
 Firewall 1 : Applicatif sur des applications bien identifiées

 Web, FTP
 Firewall 2 : Stateful pour des raisons de performances
 Les clients LAN font multiplier les accès vers la zone « applis
métiers »
 Possibilité d’y héberger des serveurs de sociétés partenaires
• Les serveurs partenaires ne sont pas exposés au réseau public
• Ils ne mettent pas en péril la sécurité du LAN

La détection d’intrusion
 « La détection d’intrusion est la reconnaissance qu’une intrusion
a été tentée, est en cours, ou a réussi »
 Source NSTAC
 « Un système de détection d’intrusion (IDS), collecte les
informations systèmes et réseaux et les analyse pour détecter
des signes d’intrusion »
 Source ICSA
 « Un système de prévention/protection d’intrusion (IPS), permet
d’agir en temps réel sur le trafic suspect »
 IDS écoute alors que l’IPS agit

Anatomie d’un IDS
 Surveille les réseaux et systèmes

 Détecte les atteintes à la sécurité
 Éventuellement répond aux attaques
 La réponse à une attaque peut être pire que l’attaque elle-même
 Un IDS est constitué de 3 éléments
 Les sondes réseaux
 Les sondes systèmes
 Une console
 Les IDS recherchent des signatures d’attaques connues
 Ou un comportement inhabituel sur le réseau

Sondes et console IDS
 Les sondes systèmes

 Installées sur les systèmes
 Elles s’exécutent en tâche de fond
• Les performances peut en être diminuées
 Les sondes réseaux
 Surveillent les paquets du segment de réseau
• Ou de plusieurs segments si plusieurs cartes réseaux
 La console IDS
 Il s’agit de l’interface d’administration de l’IDS
 Elle établit la stratégie
 Envoi les alertes
 Collecte les informations provenant des sondes

Déploiement d’un IDS

Les IPS
 « Intrusion Prevention/Protection System »

 Prévention des attaques
 Protection contre les attaques
 Inclue toutes les fonctions d’un IDS
 Différence entre IDS et IPS
 Positionnement en coupure sur le réseau et non plus
seulement en écoute
 Possibilité de bloquer les intrusions quel que soit le protocole
• Doté de techniques de filtrage de paquets et de moyens de blocage

Déploiement des IPS
 Positionnement des IPS en coupure

Securite Chap6 Protection Reseau

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite Chap6 Protection Reseau

Transféré par

Droits d'auteur :

Formats disponibles

La sécurité des réseaux

Chapitre 6 : Protection des réseaux Slide 1

Chap. 6 : Protection des réseaux

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

 Ne que nous allons aborder dans ce chapitre

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Les services réseaux

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Les ports et protocoles

 Les numéros de ports servent à distinguer les services réseaux

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

 Pour connaître les services réseaux disponibles , on utilise un

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Travaux pratiques : Scanner de ports

 Utilisation du logiciel cheops network sous Linux

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Déni de service réseau

 Le déni de service provoque l’indisponibilité des services

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

DoS sur un LAN

 Qu’il soit intentionnel ou non, le DoS est provoqué par des

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Résoudre les conflits d’IP

 On peut limiter les conflits lorsque ceux-ci ne sont pas

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

DoS depuis Internet

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

La résolution de noms (DNS)

 Effectue la correspondance entre un nom dns vers une adresse IP

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Travaux pratiques : Fonctionnement du DNS

 Autoformation proposée par l’AFNIC

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

 Les services DNS sont indispensables au fonctionnement

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Sécurisation DNS par TSIG

 TSIG : Transaction SIGnature [RFC 2845]

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

DNSSEC [RFC 2535]

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Attaque sur le routage

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

 Le protocole ICMP permet la redirection

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

ICMP Redirect (2)

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

 Objectif : Modifier la table ARP avec de fausses adresses MAC

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

ARP Poisoning + routage 1/2

MAC Cible IP Cible MAC Cible IP Cible

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

ARP Poisoning + routage 2

Etat du cache ARP de la Etat du cache ARP de la

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

Travaux pratiques : Arp poison

 Objectifs : Attaque de type « Man in the middle »

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

DoS par diffusion (broadcast)

 Utilisation de l’adresse de diffusion d’un réseau logique

Greta industriel des technologies avancées G. Valet – genael.valet@gita.fr

L’attaque DoS de type smurf

 Usurpation d’adresse + adresse IP diffusion = Smurf