Protection contre l'ARP poisoning et MITM

L’ARP POISONING

http://blog.aston-ecole cursus ESD ? - date - page

2

AUTEUR

Nom : Gyorgy Joseph

Société :EasyVista

Rôle : Pen Tester

Nom : Houssem Chebbi

Société :AMF

Rôle : Administrateur Système et Réseau

Nom : Gillard Benjamin

Société : SID EXPERT

Rôle : Security Manager


3

A. Sommaire :

Contenu

A. Sommaire : ........................................................................................................................................ 3

II. Présentation ............................................................................................................................................ 4

A. La Cybercriminalité ou en est-on ? .................................................................................................... 4

Entre 2014 et 2015 le nombre de cyber-attaques recensées a progressé de 38% dans le monde, les

budgets Sécurité des entreprises ont, eux augmenté de 24%.La France par exemple a été en 2015 l’une

des plus toucher, on récence dans les entreprises Française une moyenne de 21 incident/jour. Afin de

contrer un maximum cette évolution, les entreprises et leurs services informatiques doivent pouvoir se

défendre. La première défense étant la communication et la formation, beaucoup d’attaque peuvent être

ainsi évité comme le type d’attaque que nous vous présentons aujourd’hui ............................................. 4

B. Rappel sur l’ARP ............................................................................................................................... 5

III. l’ARP Poisoning : ................................................................................................................................ 5

A. Scenario d’attaque .............................................................................................................................. 7

1. Sur la partie attaquant : .................................................................................................................. 7

2. Sur la partie client : ........................................................................................................................ 8

3. En résumé : .................................................................................................................................... 8

IV. Comment se protéger de L’ARP poisoning ....................................................................................... 9

A. Sécurité passive .................................................................................................................................. 9

B. Sécurité active .................................................................................................................................... 9

V. CONCLUSION ........................................................................................................................................ 10


4

II. Présentation

A. La Cybercriminalité ou en est-on ?

Entre 2014 et 2015 le nombre de cyber-attaques recensées a progressé de 38% dans le monde, les

budgets Sécurité des entreprises ont, eux augmenté de 24%.La France par exemple a été en 2015

l’une des plus toucher, on récence dans les entreprises Française une moyenne de 21

incident/jour. Afin de contrer un maximum cette évolution, les entreprises et leurs services

informatiques doivent pouvoir se défendre. La première défense étant la communication et la

formation, beaucoup d’attaque peuvent être ainsi évité comme le type d’attaque que nous vous

présentons aujourd’hui

On parle souvent des failles applicatives, celles liées à l'erreur humaine, etc. Ici, nous allons voir

que des problèmes de sécurité peuvent aussi venir des protocoles réseaux. L’ARP cache

poisoning (ou l'empoisonnement de cache Arp), qui est une attaque qui consiste à exploiter la

faille du protocole ARP. Le but est de détourner les communications entre deux machines

distantes.


5

B. Rappel sur l’ARP

L’ARP ou l’Adress Resolution protocole est un protocole qui se situe sur la couche 3 du modèle

OSI. On l’assimile parfois à un protocole de couche 2 et demi car il assure la liaison entre le

protocole IP qui utilise les adresses IP pour construire ses paquets et les trames Ethernet qui elles

utilisent les adresse MAC. Ainsi l’adresse résolution protocole permet de faire correspondre les

adresses physiques aux adresses logiques, le protocole interroge les machines du réseau pour

connaitre leurs adresses physiques, puis créer une table de correspondance entre les adresses

logique et les adresses physiques dans une mémoire cache.

Figure 1 Fonctionnement du réseau normal

III. l’ARP Poisoning :

Les faiblesses du protocole ARP

L’ARP ne présente aucun mécanisme de chiffrement et encore moins de moyens d’authentification. Il ne

présente pas non plus de mode connecté. Il est possible de faire correspondre une réponse à une requête. La pile

protocolaire enregistre toutes les réponses qu’elle reçoit dans sa table. Même si elles ne correspondent à aucune

requête.

Le Spoofing ARP exploite cette faiblesse. L’ARP Poisoning est une méthode d’attaque sur un réseau local

utilisant le protocole de résolution d’adresse ARP, cette technique d’attaque permet à l’attaquant de détourner


6 les flux de communications transitant entre la machine cible et une passerelle (exemple : routeur, Switch... voir

schéma de référence Figure 2).

Figure 2 ATTAQUE EN ARP POISONING ICI LE HACKER A REUSSI A DEVENIR LE MAN IN THE MIDLE

Un attaquant va envoyer un paquet à une machine cible en indiquant l’adresse IP à détourner et en l’associant à

l’adresse Ethernet de l’attaquant. Cette dernière enregistrera la réponse dans sa table sans même avoir émis le

souhait de s’y connecter.

Si la machine cible a déjà réalisé une connexion auprès de l’adresse détournée, c’est-à-dire qu’il existe déjà une

entrée dans la table correspondant à l’adresse IP, cette dernière sera tout de même mise à jour après le temps de

mise en cache fixé par défaut. Afin d’exploiter ce défaut de configuration, nous allons envoyer des

informations très régulièrement sur le réseau

Une fois la table Arp polluée, la cible aura l’impression d’établir une connexion IP sur la machine détournée,

mais les trames Ethernet seront adressées à la machine de l’attaquant.

Maintenant que nous avons abordé tous ces points nous allons passer sur la partie technique.


7 A. Scenario d’attaque

Nous allons simuler une attaque en ARP poisoning en entreprise. Le but étant d’observer un attaquant usurper

l’identité de la Gateway. Pour se faire nous avons créé 2 machines ayant accès à internet, sur la machine du

hacker nous avons monté une machine virtuelle sous Kali.

1. Sur la partie attaquant :

Sur notre OS nous nous sommes renseigné sur les postes connectés au réseau en lancent une requête ARP –A

ainsi nous avons eu une vision d’ensemble du segment réseau sur lequel nous nous trouvons (Voir figure 3).

Figure 3 Table ARP

Nous réalisons un IP config qui nous permet de récupérer des information comme la Gateway qui nous

permettrons d’effectuer notre ARP spoofing.

Nous avons créé un script en Python qui nous permet de pouvoir effectuer cette ARP spoofing il est tout à

fait possible aussi d’utiliser des logiciels comme Ettercap.

Dans ce script nous avons rentré différents paramètres, il nous a fallu tout d’abord importer des fonctions

pour construire et envoyer des paquets ARP, puis crée des entrés afin d’indiqué la victime a ciblé, la

passerelle du réseau sur lequel nous nous trouvons et l’interface réseau à utiliser.

Une fois le script lancé l’attaque commence, notre script va donc générer des paquets erroné et va les

envoyer à notre victime afin de saturer la table ARP, ainsi le client va nous confondre avec la Gateway

(voir figure 2) et nous permettre de devenir le Man In The Midle cette technique nous permet de voir ce

qui transite entre l’utilisateur et le réseau « grosso modo nous remplaçons le switch ». Avec cette attaque

nous pouvons ainsi effectuer diverse opération, comme la réccupération d’information (TType mot de

passe…) de rediriger l’utilisateur sur un randsomware, voir même de pousser l’utilisateur à ouvrir un

Keylogger.


8 2. Sur la partie client :

Le client quand à lui ne remarquera absolument rien, la seul façon de voir les risques pour celui-

ci serai d’effectuer un ARP –A constant afin de s’assuré que la Gateway ne change absolument

pas. Dans notre attaque l’adresse de la Gateway est devenue la notre sur le client (Figure 5)

Figure 4 ARP - A effectué sur le client avant et après attaque

3. En résumé :

Dans notre présentation nous avons utilisé un script Python qui nous permet de pouvoir filtré et contrôlé

les flux entre le client et le réseau. Ce Filtre contrôle le flux http/Telnet/IRC/NTLM2/NTM3… Et nous

permet d’obtenir les informations en claire comme dans notre présentation le client va se connecter au site

du PSG et sur notre interface nous réccupérerons ces informations.

Il est possible d’utiliser simplement les filtres avec Wireshark


9

IV. Comment se protéger de L’ARP poisoning

Il existe Différentes méthodes pour se protégé de cette attaque.

A. Sécurité passive

Il s'agit de mesures visant à empêcher l'ARP cache poisoning, en figeant l'association IP/MAC sur les

OS (utilisation des entrées statiques des tables ARP). Ceci est lourd et pratiquement inexploitable à

grande échelle. Qui plus est, certains OS gèrent mal ces entrées statiques qui peuvent être alors

corrompues. C'est le cas des Windows 9x, NT et 2000 (XP a corrigé le problème). Ces OS sont donc

fondamentalement vulnérables à ce type d'attaque et font profiter de leur faiblesse les logiciels

(firewall,proxy,serveurs,web...)qui leur sont dédiés.

Le verrouillage IP/MAC peut également être pris en charge au niveau applicatif. Par exemple, certains

firewalls (dont iptables) sont capables de contrôler l'association IP/MAC des paquets entrants.

L'utilisation de commutateurs de niveau 3, capables de gérer l'association MAC/IP/port est également

une solution au problème.

B. Sécurité active

Lorsqu'il n'est pas réaliste de verrouiller les entrées ARP de chaque machine, il est possible de mettre

en œuvre une solution de détection centralisée, qui agit comme une sonde de détection. Certaines

sondes sont d'ailleurs capables de détecter des paquets ARP anormaux, susceptibles de signifier un

ARP cache poisoning. Cependant, cette attaque étant réalisable avec des paquets normaux, la sonde

n'a que peu d'intérêt. L'utilisation de logiciels comme arpwatch permet de centraliser les associations

MAC/IP, et de contrôler en temps réel les messages ARP pour vérifier qu'un poisoning n'est pas en

cours. Des alertes sont alors générées en cas de divergence. Il pourrait même être envisagé un système

de contre mesure consistant à repositionner la bonne association MAC/IP sur une machine venant de

se faire poisoner. Ce repositionnement pourrait s'effectuer par le même processus que celui qui a

permis l'attaque : par ARP cache poisoning

http://www.frameip.com/firewall/


10 V. CONCLUSION

L’ARP spoofing est une technique de piratage rependu contenue la facilité de la mise en place,

des scripts avec des tutoriels fleurissent sur internet. Le service informatique doit en cas de

risque recourir aux possibilités existantes afin de sécuriser leur réseau.

Il est aussi conseillé de se tenir informer des évolutions en terme de sécurité, afin d’adopter les

bonne pratique du moment sans pour cela mettre en péril le Business

Protection contre l'ARP poisoning et MITM

Education

Transcript of Protection contre l'ARP poisoning et MITM