Durcissement de protocole

réseaux NBT-NS et LLMNR

Realiser par : souhaila jrhaider ,

Loubna grdiane
Qu'est-ce que le protocole NBT-NS et LLMNR ?

 définition de NBT-NS (NetBIOS Name Service) :

•NBT-NS est un protocole utilisé pour résoudre les noms NetBIOS en adresses IP dans un réseau local.
•NetBIOS (Network Basic Input/Output System) est un ensemble de protocoles permettant la communication entre
ordinateurs sur un réseau local.
•NBT-NS fonctionne généralement sur le port UDP 137.
•Ce protocole est plus couramment utilisé dans les réseaux Windows.

 définition de LLMNR (Link-Local Multicast Name Resolution) :

LLMNR est un protocole de résolution de noms utilisé dans les réseaux locaux sans serveur DNS formel.
Il permet à des ordinateurs sur le même réseau local de résoudre les noms de domaine sans avoir besoin d'un
serveur DNS central.
LLMNR fonctionne en utilisant des requêtes de diffusion multicast pour résoudre les noms locaux.
Il fonctionne généralement sur le port UDP 5355.
LLMNR est principalement utilisé dans les environnements Windows.
Utilisation de ces protocol :
Les protocoles NBT-NS (NetBIOS Name Service) et LLMNR (Link-Local Multicast Name Resolution) sont généralement
utilisés automatiquement par les systèmes d'exploitation dans les environnements Windows pour la résolution de noms dans
un réseau local. Cependant, il peut être utile de comprendre comment ces protocoles fonctionnent et comment ils peuvent
être configurés ou désactivés, en particulier dans des situations où des considérations de sécurité ou des paramètres
spécifiques sont nécessaires.
Voici quelques informations générales sur la manière dont ces protocoles sont utilisés :
 NBT-NS (NetBIOS Name Service) :
Utilisation automatique :
NBT-NS est généralement activé par défaut sur les systèmes Windows. Lorsqu'un ordinateur sur le réseau souhaite
résoudre un nom NetBIOS en adresse IP, il envoie une requête NBT-NS pour obtenir cette information.
Configuration côté serveur et client :
La configuration de NBT-NS se fait généralement automatiquement, mais vous pouvez vérifier si le service est activé
sur votre système. Assurez-vous que le service NetBIOS est activé dans les paramètres de votre carte réseau.
Désactivation :
La désactivation de NBT-NS peut être effectuée dans les paramètres avancés de la configuration réseau. Cependant,
désactiver complètement NetBIOS peut affecter la compatibilité avec des systèmes plus anciens qui dépendent de ce
protocole.

LLMNR (Link-Local Multicast Name Resolution) :

Utilisation automatique :
LLMNR est activé par défaut sur les systèmes Windows modernes, et il est utilisé lorsque la résolution de noms via un
serveur DNS traditionnel n'est pas disponible.
Désactivation :
Pour désactiver LLMNR, vous pouvez le faire via les paramètres réseau de votre système. Accédez aux paramètres de la
carte réseau, puis désactivez l'option LLMNR.
Pourquoi durcir ces protocoles?

Le durcissement des protocoles, y compris NBT-NS (NetBIOS Name Service) et LLMNR (Link-Local Multicast Name
Resolution), est une pratique visant à renforcer la sécurité des réseaux en réduisant les risques liés à ces protocoles.
Voici quelques raisons pour lesquelles il peut être bénéfique de durcir ces protocoles :

 Réduction des risques d'attaques

 Amélioration de la confidentialité

 Protection contre les attaques de type MITM (Man-in-the-Middle)

 Minimisation des risques de détournement :

Les risques liés à l'exploitation de ces
protocoles
Risques de Sécurité
Les attaquants peuvent exploiter
ces protocoles pour mener des
attaques d'usurpation et
d'empoisonnement de cache,
compromettant ainsi la sécurité
des réseaux.
Impact sur la
Confidentialité
L'exploitation de ces protocoles
peut conduire à la divulgation
non autorisée d'informations
sensibles, affectant la
confidentialité des données.
Stabilité du Réseau
Les exploitations des
vulnérabilités des protocoles
NBT-NS et LLMNR peuvent
entraîner une dégradation de la
stabilité du réseau et affecter sa
disponibilité.
 comment éviter ces risques :

1. Désactivation des protocoles si non nécessaires :

•Si votre environnement ne dépend pas des protocoles NBT-NS et LLMNR, envisagez de les désactiver au niveau des paramètres
réseau ou via des stratégies de groupe. Cela réduit la surface d'attaque en éliminant la possibilité d'exploitation de ces protocoles.

2.Utilisation de méthodes de résolution de noms plus sécurisées :

Privilégiez l'utilisation de méthodes de résolution de noms plus modernes et sécurisées, comme le DNS (Domain Name System) avec
support DNSSEC (DNS Security Extensions). Le DNSSEC renforce l'intégrité des données de résolution de noms en ajoutant des
signatures numériques.
3. Surveillance et journalisation :
Mettez en place des mécanismes de surveillance pour détecter les activités suspectes liées à NBT-NS et LLMNR. Utilisez des outils
de surveillance réseau et examinez régulièrement les journaux pour identifier les anomalies.
4. Segmentation du réseau :
Segmentez votre réseau en zones logiques distinctes pour limiter la portée d'impact en cas d'exploitation réussie. Une
segmentation réseau efficace peut aider à contenir les attaques.
5. Utilisation de VPN (Virtual Private Network) :
Encouragez l'utilisation de VPN, en particulier pour les connexions à distance. Les VPN fournissent un tunnel sécurisé pour le trafic
réseau, réduisant ainsi le risque d'interception ou d'exploitation par des attaquants externes.
6. Mises à jour régulières :
Assurez-vous que tous les systèmes et appareils sur le réseau sont à jour avec les derniers correctifs de sécurité. Les fournisseurs
publient fréquemment des correctifs pour remédier aux vulnérabilités découvertes.
Les techniques courantes d'exploitation
de ces protocoles
1 Redirecting Traffic
Attackers can redirect network traffic by
exploiting the weaknesses in NBT-NS
and LLMNR.
2 Cache Poisoning
Illicit modification of the cached data in
NBT-NS and LLMNR responses,
leading to the redirection of traffic.
Les mesures de durcissement à mettre en
place
Disable NBT-NS and
LLMNR
Désactivez les protocoles
NBT-NS et LLMNR sur les
interfaces où ils ne sont pas
nécessaires.
Utilisation de Mise à Jour des
Protocoles Sécurisés Correctifs
Limiter l'utilisation de Assurez-vous que tous les
protocoles sécurisés, systèmes sont régulièrement
notamment DNS-Over- mis à jour avec les correctifs
HTTPS pour des résolutions de sécurité les plus récents
de noms sécurisées. pour éviter l'exploitation de
vulnérabilités connues.
Les outils pour tester la sécurité de ces
protocoles

Wireshark Responder

Un outil puissant d'analyse de paquets réseaux,

permettant de détecter les activités suspectes liées à
ces protocoles.
Les bonnes pratiques pour la sécurité des
réseaux
1. Mise en place d'une stratégie de sécurité réseau
claire et documentée.

2. Maintenance régulière des systèmes pour

l'application des correctifs de sécurité.

3. Surveillance continue du trafic réseau pour détecter

toute anomalie.
Conclusion
Récapitulatif
La durcissement des protocoles NBT-NS et
LLMNR est crucial pour renforcer la sécurité des
réseaux contre les attaques d'usurpation et de
pollution de cache.
Impact
Les exploitations de ces protocoles peuvent
entraîner de graves conséquences pour la sécurité et
la stabilité des systèmes informatiques.