Professional Documents
Culture Documents
https://astuces-top.blogspot.com
2.2 Le protocole ARP
Le protocole ARP, signifiant Address Resolution Protocol, fonctionne en couche
Internet du modle TCP/IP correspondant la couche 3 du modle Osi.
Lobjectif de ARP est de permettre la rsolution dune adresse physique par
lintermdiaire de ladresse IP correspondante dun host distant. Le protocole
ARP apporte un mcanisme de translation pour rsoudre ce besoin.
Voici la composition de lentte :
https://astuces-top.blogspot.com
Vous remarquerez quil existe deux principaux modes dfinit par le champ
Operation qui sont la demande (request) et la rponse (reply). Vous
trouverez tous les dtails du protocole ARP dans la documentation de lentte
ARP du site FrameIP.
https://astuces-top.blogspot.com
3 Lattaque
3.1 Le contexte
La premire attaque consiste saturer la mmoire du Switch qui contient la
table dadresses MAC. Cela peut tre un Pirate, un utilisateur mal intentionn
et voir mme un Virus ou SpyWare. Pour raliser cette attaque, je positionne le
contexte suivant :
https://astuces-top.blogspot.com
3.2 La ralisation
https://astuces-top.blogspot.com
3.3 La raction
https://astuces-top.blogspot.com
Et aprs ltape 2 (aprs lexcution de Arpflood), on peut remarquer quil ne
reste plus aucune place dans la table de correspondance :
https://astuces-top.blogspot.com
3.4.1 Perte de ladministration
https://astuces-top.blogspot.com
En tant que pirate Z, mon PC portable reoit donc lensemble du trafic chang
entre la XBOX 192.168.101.3 et le serveur 192.168.101.4. Remarques, En fait,
le passage en mode HUB du Switch peut intervenir de deux manires
diffrentes :
La premire est le cas o le serveur et la XBOX ne discutent pas encore
ensemble avant lattaque. Le Switch ne connat donc pas leurs adresses MAC.
Ainsi, lorsque ArpFlood sature la table de correspondance, le Switch ne peut
plus apprendre aucunes nouvelles adresses MAC. Ds que la XBOX et le
serveur se mettent discuter ensemble, le Switch renverra chacune des
trames sur tous les ports du fait quil na pas plac leurs adresses MAC dans sa
table de correspondance.
La seconde manire est le cas o le serveur et la XBOX discutent ensemble
avant lattaque. Le Switch connat donc leurs adresses MAC, mme aprs
lexcution de ArpFlood. Le Switch commutera correctement le flux dchange
entre la XBOX et le serveur sur les ports concerns. A ce moment, lcoute ne
fonctionne pas. Il faut alors attendre 5 minutes, ce qui reprsente la dure de
vie dune entre dans la table de correspondance, pour que le Switch commute
le flux sur tous les ports. Car, au bout des 5 minutes, les correspondances MAC
et Ports de la XBOX et du Serveur sont effaces et le Switch ne peut pas les
rapprendre du fait que sa table est sature.
Pour info, par dfaut, le Switch 2950 garde 5 minutes une correspondance
dadresse MAC/Port.
https://astuces-top.blogspot.com
3.4.3 Saturation rseau
La consquence suivante est que suite au passage en mode HUB, toutes les
trames vont tre multiplies sur tous les ports. Ainsi, si par exemple une
sauvegarde au giga lieu entre deux ports, le dbit va se rpliquer sur tous les
autres ports en les saturants. Lincidence impacte alors chaque port du
commutateur et donc les utilisateurs finaux.
https://astuces-top.blogspot.com
3.5 Cas dune entreprise
Dans le cas concret dune entreprise, le schma LAN habituel se divise en 3
niveaux en toiles reprsents par les commutateurs de Coeur, de Distribution
et de Terminaison. Voici le contexte utilis pour reprsenter un chantillon des
cas rels.
https://astuces-top.blogspot.com
On peut ainsi rapidement conclure du fait quil y ai un Switchs ou plusieurs,
cela ne change rien au potentiel de lattaque. Cest clair que le pirate, sur un
LAN dentreprise, pourra rapidement couter les conversations du tlphone B
se trouvant lautre bout du btiment.
Juste une remarque, cest que cela dpend de la limitation de chaque Switch.
Par exemple, prenons le cas o les commutateurs C et E sont des 2950 limits
8000 @MAC et le Switch D est un 6509 donc limit 64000 @MAC. Dans ce
cas, le pirate va saturer les 8000 adresses MAC des Switchs C et E, puis dans
la foule, les 64000 du Switch D. Et mme si le premier commutateur est
satur, le flood de requte ARP va continuer se propager et le Switch de
coeur continuera apprendre la provenance jusqu saturation.
Nous pouvons en conclure que limpact dans une entreprise est global, mme
dans le cas darchitecture standard sur 3 niveaux au coeur de 6500.
conf t
mac-address-table aging-time 10
https://astuces-top.blogspot.com
Cisco Catalyst 3550-12G : 12000 adresse MAC maximum
Cisco Catalyst 3550-12T : 12000 adresse MAC maximum
Cisco Catalyst 3550-24 : 8000 adresse MAC maximum
Cisco Catalyst 3550-24-DC : 8000 adresse MAC maximum
Cisco Catalyst 3550-24 PWR : 8000 adresse MAC maximum
Cisco Catalyst 3550-24-FX : 8000 adresse MAC maximum
Cisco Catalyst 3550-48 : 8000 adresse MAC maximum
Cisco Catalyst 3560 Series : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24TS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24WS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24T : 12000 adresse MAC maximum
Cisco Catalyst 3750G-12S : 12000 adresse MAC maximum
Cisco Catalyst 3750-24TS : 12000 adresse MAC maximum
Cisco Catalyst 3750-24FS : 12000 adresse MAC maximum
Cisco Catalyst 3750-24PS : 12000 adresse MAC maximum
Cisco Catalyst 3750-48TS : 12000 adresse MAC maximum
Cisco Catalyst 3750-48PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24TS-1U : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-48TS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-48PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-16TD : 12000 adresse MAC maximum
Cisco Catalyst 6500 Series : 64000 adresse MAC maximum
On remarquera que chaque Switch possde de nouveau une limitation dans le
nombre de correspondances. On peut donc prendre conscience que
laugmentation de la catgorie du Switch ne solutionne pas ce risque. Car on
peut augmenter le nombre maximum de correspondances, cela ne change pas
le fait que le hackeur va trs rapidement saturer la mmoire de la table.
https://astuces-top.blogspot.com
En fait, dans le cas o jai deux VLAN (ou plus), la table de correspondance
peux tre lue indpendamment comme cela :
5 La protection efficace
5.1 Nombre dadresses MAC maximum par port
La limitation dun nombre maximal dadresses MAC par port physique est une
solution efficace. Elle permet ainsi de positionner le hacker dans un contexte
isol o il ne peut pas dborder sur la mmoire globale du Switch. Par
exemple, si nous limitons chaque port 100 adresses MAC maximum, cela
permettra dempcher que le flood sature la mmoire globale du Switch. 100
parat tre une bonne valeur pour scuriser les accs sans contraindre
lexploitation rseau de lentreprise. Pour raliser cette protection, il faut :
Placer le port en mode Access :
conf t
interface fastEthernet 0/4
switchport mode access
conf t
interface fastEthernet 0/4
switchport port-security
https://astuces-top.blogspot.com
Puis dfinir le nombre dadresses MAC maximum :
conf t
interface fastEthernet 0/4
switchport port-security maximum 100
Voici un exemple concret avec une limite 5 adresses MAC maximum. On peut
remarquer, que malgr lattaque de flooding MAC en continu, la table de
correspondance du Switch ne sature pas. Le port 4 est bien limit aux 5
premires adresses MAC et napprend plus les suivantes.
https://astuces-top.blogspot.com
5.2 Authentification 802.1X
Lactivation 802.1X sur les ports, en plus dapporter une bonne scurit de
votre LAN, vous permettra dempcher la saturation de la table de
correspondance par un Hackeur ou un virus. Pour lactiver sur le port 4 par
exemple, vous devez :
Indiquer que lauthentification doit se raliser via un serveur Radius (ou autre
si vous prfrez) :
conf t
aaa new-model
aaa authentication dot1x default group radius
https://astuces-top.blogspot.com
6 Commandes quivalentes 3COM
La commande show mac-address-table permet de voir la table des
correspondances MAC. Lquivalent 3COM est display mac-address :
https://astuces-top.blogspot.com
La commande show mac-address-table aging-time permet de voir la dure
de vie des correspondances MAC. Lquivalent 3COM est display mac-address
aging-time . Pour info, par dfaut, le Switch 3COM 3CR17152 5500-SI garde
5 minutes une correspondance dadresse MAC/Port :
https://astuces-top.blogspot.com