Sécurités sur le LAN (1-3)

goffinet@goffinet, Scurits sur le LAN (1/2), CC-BY

Protocoles ARP/IPv4, IPAM et 802.1

[email protected], 2014Q2

Scurits sur le LAN (1/3)


Avertissement !

Les exercices de ce document sont fournis titre pdagogique dans le cadre dun trafic normal et responsable.

Lauteur dcline toute responsabilit quant aux usages que lon pourrait trouver ces exercices.

Dans ce cadre, il est fortement conseill aux apprenants de solliciter uniquement des machines du LAN ou des serveurs leur appartenant.

Veuillez utiliser la connaissance pour le bien et dans le respect dautrui. Derrire chaque machine, il y a des intrts humains que vous ne pouvez souponner.


Sommaire gnral

1. Protocoles ARP/IPv4, IPAM et 802.12. Protocoles IPv6/ND3. Protocole 802.11


Sommaire Partie 1/3

Introduction Rappels Commutation LAN Protocole ARP Protocoles LAN 802.1 et de gestion L2 Protocoles IPAM Contre-mesures Rfrences


Menaces : attaques

Reconnaissance, numration Usurpation (Spoofing) dadresses, de

messages Empoisonnement de tables, de caches Denis de service (DoS, Denial of Service) Inondation (Flooding) Dconnexions (Release, dsynchronisation) Modifications topologiques Homme du milieu (MitM, Man-in-the-Middle)


Menaces sur le LAN : cbles

Technologies LAN : filaire et non-filaireMatriels cbles : Commutateurs Points daccs et contrleurs toute interface dans le LAN : routeurs et priphriques

terminauxProtocoles cbles au sein du LAN : Exploitation du broadcast et du Multicast ARP, DHCP, 802.1 (CDP, STP, DTP, VLAN, ) NTP, SNMP, DNS, ...


Topologie et matriel

Station Kali Linux (VM ou Native) Un commutateur Cisco Connexion filaire au commutateur Connexion console au commutateur


Topologieip routing

int vlan 1

ip add dhcp

Crer plusieurs interfaces VLAN :vlan x

int vlan x

no shut

ip add x x

Activation de VTP :vtp domain lab


Rappels Commutation LAN


Principe de la commutation Grce une table de commutation apprise par coute, le commutateur

identifie un port une adresse et transfert le trafic sur base de ce critre. Lorsqu'il ne connat pas le port pour une destination (unicast inconnu,

broadcast, multicast), il transfert ce trafic par tous les ports sauf le port d'origine.

Port de commutateur

Adresse MAC apprise

F0/1 00:00:00:00:00:01

F0/2 00:00:00:00:00:02

F0/3 00:00:00:00:00:03

F0/4 00:00:00:00:00:04


Domaine de diffusion/collision

Un domaine de collision par port de commutateur. Un commutateur tend un domaine de diffusion. Un routeur filtre et connecte des domaines de diffusion.


Rsolution d'adresses en IPv4

http://www.cloudshark.org/captures/96a2bb5fe747?filter=arp

Ce trafic mane en broadcast et se termine en Unicast.


Variantes ARP

ARP Probe Gratuitous ARP : annonces sans tat Inverse ARP : obtenir l'IP partir l'adresse

L2 (Frame-Relay) Reverse ARP : attribution d'adresse IP Proxy ARP : mandataire ARP (routeur),

fonction que lon conseille de dsactiver.


Processus ARP


Empoisonnement de cache ARP


Neigbor Discovery

En IPv6, lusage dARP disparat (comme celui du broadcast).

Cest ND (Neighbor Discovery) qui reprend entre autres cette fonction.

ND est encapsul dans des paquets ICMPv6 eux-mmes encapsuls dans de l'IPv6.

En ce sens, pour cette fonction, IPv6 se suffit lui-mme, contrairement IPv4.

Comme pour ARP, ND embarque bien dautres fonctions et dautres messages dun type nouveau.


Protocole ARP


Manipulations ARP

Commande Exploit Attaque

arp Vrification du cache ARP local Reconnaissance

arping Connectivit ARP Reconnaissance

arp-scan Enumration ARP/IP Reconnaissance

macchanger Usurpation dadresse MAC Accs, usurpation

arpspoof Attaque ARP Poison Routing MitM => L7

macof CAM buffer Overflow MitM, DoS


arp

Commande systme permettant dafficher et manipuler la table ARP locale.

Commande passive arp -a : visualiser toutes les entres arp -d * : supprimer toutes les entres


arping

arping vrifie la connectivit en mettant et attendant des messages ARP

Permet aussi de dtecter des adresses dupliques

arping --help man arping http://linux-ip.net/html/tools-arping.html


arp-scan

arp-scan permet dnumrer les htes sur le LAN avec ARP

apt-get install arp-scan arp-scan --help man arp-scan arp-scan 192.168.0.0/24

Interface: eth0, datalink type: EN10MB (Ethernet)Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)192.168.0.1 20:e5:2a:1b:65:6a NETGEAR INC.,192.168.0.5 70:56:81:bf:7c:37 Apple Inc192.168.0.25 00:0c:29:5f:11:9f VMware, Inc.192.168.0.4 a8:06:00:38:cc:25 Samsung Electronics Co.,Ltd192.168.0.4 a8:06:00:38:cc:25 Samsung Electronics Co.,Ltd (DUP: 2)

9 packets received by filter, 0 packets dropped by kernelEnding arp-scan 1.9: 256 hosts scanned in 2.053 seconds (124.70 hosts/sec). 5 responded


macchanger

macchanger permet de modifier ladresse MAC dune interface

macchanger --help

ifdown eth0

macchanger -m aa:bb:cc:dd:ee:ff eth0

ifup eth0

ifconfig eth0


arpspoof

arpspoof permet dusurper ladresse MAC dun hte ou plusieurs htes sur le rseau et de leur transfrer le trafic.

man arpspoof Par exemple o .1 est la passerelle et .25 est la victime

:arpspoof -i eth0 -t 192.168.0.25 -r 192.168.0.1


macof

macof ralise une attaque CAM Table Overflow, soit un dbordement de table de commutation afin de transformer le commutateur en concentrateur (hub).Attaque peu lgante, peu discrte et peu crdible sur du matriel professionnel.


arpwatch

arpwatch effectue une surveillance du protocole ARP et rend des alertes par courriel :apt-get install arpwatchditer /etc/arpwatch.conf


Protocoles LAN 802.1 et de gestion L2


Manipulations CDP, DTP, STP et 802.1Q


Yersinia : attaques 802.1

Attaques sur les protocles 802.1 et de gestion L2 (Cisco) : CDP 802.1Q DTP STP VTP 802.1X ISLMais aussi sur : HSRP DHCP MPLS


802.1D et CDPAttacks Implemented in STP: 0: NONDOS attack sending conf BPDU 1: NONDOS attack sending tcn BPDU 2: DOS attack sending conf BPDUs 3: DOS attack sending tcn BPDUs 4: NONDOS attack Claiming Root Role 5: NONDOS attack Claiming Other Role 6: DOS attack Claiming Root Role with MiTMAttacks Implemented in CDP: 0: NONDOS attack sending CDP packet 1: DOS attack flooding CDP table 2: NONDOS attack Setting up a virtual device


HSRP et DHCPAttacks Implemented in HSRP: 0: NONDOS attack sending raw HSRP packet 1: NONDOS attack becoming ACTIVE router 2: NONDOS attack becoming ACTIVE router (MITM)Attacks Implemented in DHCP: 0: NONDOS attack sending RAW packet 1: DOS attack sending DISCOVER packet 2: NONDOS attack creating DHCP rogue server 3: DOS attack sending RELEASE packet


DTP, 802.1Q et VTPAttacks Implemented in DTP: 0: NONDOS attack sending DTP packet 1: NONDOS attack enabling trunkingAttacks Implemented in 802.1Q: 0: NONDOS attack sending 802.1Q packet 1: NONDOS attack sending 802.1Q double enc. packet 2: DOS attack sending 802.1Q arp poisoningAttacks Implemented in VTP:0: NONDOS attack sending VTP packet1: DOS attack deleting all VTP vlans2: DOS attack deleting one vlan3: NONDOS attack adding one vlan4: DOS attack Catalyst zero day


Ligne de commande

Par exemple partir du pirate :yersinia cdp -hyersinia cdp -attack 1 -interface eth1 Starting DOS attack flooding CDP table... Press any key to stop the attack

Sur le commutateur :SW-lab#sh cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone, D - Remote, C - CVTA, M - Two-port Mac Relay

Device ID Local Intrfce Holdtme Capability Platform Port IDRRRRR6D Fas 1/0/1 237 R B H I yersinia Eth 02JJJJJX Fas 1/0/1 239 R T S H yersinia Eth 02EEEEEW Fas 1/0/1 227 T S r yersinia Eth 03KKKKKX Fas 1/0/1 239 R T B S H yersinia Eth 0


Dmon CLI Cisco

yersinia -D lance un cli type cisco, essayer :yersinia -Dtelnet localhost 12000Trying ::1...Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.Welcome to yersinia version 0.7.3.Copyright 2004-2007 Slay & Tomac.login: rootpassword: rootyersinia> enablePassword: tomacyersinia#


Mode interactif

yersinia -I lance une console texte interactive trs puissante. i pour choisir une interface les touches F2, F3, etc. pour choisir un protocole x pour lancer une attaques


Mode interactif


Mode graphique


Protocoles IPAM


Protocoles IPAM

Attaques sur HSRP, VRRP, GLBPProtocoles L7 : DHCP DNS NTP SNMPAttaques et menaces : Service pirate (Rogue Server) : MitM, DoS DoS par inondation DoS par messages errons DoS par messages de desynchronisation


Contre-mesures


Contre-mesure sur le LAN

Cisco, idem ailleurs : DAI + DHCP snooping Port-Security

Solutions structurelles (ARP, 802.1X/RADIUS/EAP) : arpwatch OpenVAS PacketFence Microsoft NAP Cisco NAC HP, Aruba,

Protocoles de Gestion et 802.1D : STP : BPDU Guard et diffrentes protections Cisco VTP, DTP, CDP : dsactiver


Contre-mesure Cisco : DAI + DHCP SnoopingEnable DAIswitch(config)# ip arp inspection vlan vlan_id {, vlan_id}Enable DHCP snooping switch(config)# ip dhcp snooping!Enable DHCP Snooping!

switch(config)# ip dhcp snooping vlan vlan_id {, vlan_id}!Enable DHCP Snooping for specific VLANs!

switch(config-if)# ip dhcp snooping trust!Configure an interface as trusted for DHCP Snooping purposes!

switch(config-if)# ip dhcp snooping limit rate rate !Set rate limit for DHCP Snooping!


Contre-mesure Cisco : port-security switch(config-if)# switchport mode access!Set the interface mode as access!switch(config-if)# switchport port-security !Enable port-security on the interface!switch(config-if)# switchport port-security mac-address { | sticky }!Enable port security on the MAC address as H.H.H or record the first MAC address connected to the interface!switch(config-if)# switchport port-security maximum !Set maximum number of MAC addresses on the port!switch(config-if)# switchport port-security violation { protect | restrict | shutdown }

!Protect, Restrict or Shutdown the port. Cisco recommends the shutdown option!


Scurit sur les ports

(config)#interface f0/1(config-if)#switchport mode access(config-if)#switchport port-securityCette fonction permet de contrler les adresses MAC autorises sur un port. En cas de violation, une action est prise. Par dfaut, Cette fonction est dsactive Une seule adresse MAC apprise dynamiquement En cas de violation, le port tombe en mode shutdown


Dfinition des adresses MAC autorises

On peut fixer le nombre dadresses MAC autorises :(config-if)#switchport port-security maximum 10Les adresses MAC apprises peuvent tre inscrites dynamiquement dans la configuration :(config-if)#switchport port-security mac-address stickyLes adresses MAC autorises peuvent tre fixes :(config-if)#switchport port-security mac-address 0000.0000.0003


Mode de violation

(config-if)#switchport port-security violation {protect | restrict | shutdown} Mode protect : ds que la violation est constate, le

port arrte de transfrer le trafic des adresses non autorises sans envoyer de message de log.

Mode restrict : ds que la violation est constate, le port arrte de transfrer le trafic des adresses non autorises et transmet un message de log.

Mode shutdown : ds que la violation est constate, le port passe en tat err-disabled (shutdown) et un message de log est envoy.


Diagnostic scurit sur les ports

Dsactivation dun port err-disabled :(config)#errdisable recovery cause psecure-violation

Diagnostic :#show port-security#show port-security interface f0/1#show running-config#clear port-security {all | configured | dynamic | sticky}


Contre-mesure Juniperroot@switch# set interface { | all } mac-limit action { none | drop | log | shutdown }# Set the maximum number of MAC addresses allowed to connect to the interfaceroot@switch# set interface { | all } allowed-mac # Set the allowed MAC address(es) allowed to connect to the interface


Contre-mesure HP : Port Security(config)# port security!Enters the port security configuration mode!(config-port-security)# enable!Globally enables port security!(config-port-security)# age !Sets the age out timer of the secure MAC address. = number of minutes!(config-port-security)# autosave !Automatically saves the secure MAC addresses to the startup-config file every minutes!


Contre-mesure HP : interface(config)# int !Enters the interface configuration mode!(config-if-)# port security!Enters port security configuration mode on interface!(config-if-port-security-)# enable!Enables port security on interface!(config-if-port-security-)# maximum !Sets the maximum number of secure MAC addresses for the interface!(config-if-port-security-)# age !Sets the age out timer of the secure MAC address associated with interface. = number of minutes!(config-if-port-security-)# secure !Manually specifies secure MAC address authorised by the switch port!(config-if-port-security-)# violation { restrict | shutdown }

!If violation occurs: restrict = drops packets from violating address, shutdown = shutdown the port for minutes!


Protections Cisco STP Configuring PortFast

Enabling PortFast on an Access Port Enabling PortFast on a Trunk Port Disabling PortFast Resetting PortFast

Configuring PortFast BPDU Guard Enabling PortFast BPDU Guard Disabling PortFast BPDU Guard

Configuring PortFast BPDU Filtering Enabling PortFast BPDU Filtering Disabling PortFast BPDU Filtering

Configuring UplinkFast Enabling UplinkFast Disabling UplinkFast

Configuring BackboneFast Enabling BackboneFast Displaying BackboneFast Statistics Disabling BackboneFast

Configuring Loop Guard Enabling Loop Guard Disabling Loop Guard


tudes de cas

PacketFence sous Linux ou en Live-USB Daloradius en OVA OpenVAS Microsoft NPS Cisco NAC


Rfrences

Contre-mesures : http://hakipedia.com/ Cisco : http://www.cisco.

com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960.html

Sécurités sur le LAN (1-3)

Documents

Transcript of Sécurités sur le LAN (1-3)