ATTAQUE DE SWITCH ETHERNET

1 Introduction lattaque de switch Ethernet

Voici une documentation dattaque pragmatique expliquant comment il est

possible dattaquer un Switch Ethernet. Vous dcouvrirez quil est simple
daffecter le management et intressant dcouter les autres ports en basculant
le commutateur en mode HUB.
Lobjectif tant de faire prendre conscience aux entreprises de la vulnrabilit
dun LAN et que la scurit interne est primordiale pour obtenir une stabilit de
lexploitation. Pour cela, vous dcouvrirez aussi dans cette documentation, la
manire de se protger.

2 Rappel des terminologies

2.1 Le Switch (commutateur)

Cet quipement agt au niveau 2 du modle OSI. Identiquement un HUB, sa

fonction est dinterconnecter plusieurs cartes dinterfaces Ethernet ensembles.
Cependant, lorsquil rceptionne une trame, il compare ladresse MAC de
destination avec sa table de correspondance. Ainsi, il ne diffuse cette trame
uniquement sur le port physique concern.
Dans le cadre dun Switch 100Mbps, on obtient un dbit ddi de 100Mbps par
quipement Ethernet raccord. les caractristiques principales vrifier lors de
la slection dun Switch sont :
Le nombre dadresses MAC maximum qui peuvent mise en mmoire
Le nombre de paquets par seconde (PPS) que la matrice de fond de
panier peut commuter

https://astuces-top.blogspot.com
2.2 Le protocole ARP
Le protocole ARP, signifiant Address Resolution Protocol, fonctionne en couche
Internet du modle TCP/IP correspondant la couche 3 du modle Osi.
Lobjectif de ARP est de permettre la rsolution dune adresse physique par
lintermdiaire de ladresse IP correspondante dun host distant. Le protocole
ARP apporte un mcanisme de translation pour rsoudre ce besoin.
Voici la composition de lentte :

https://astuces-top.blogspot.com
Vous remarquerez quil existe deux principaux modes dfinit par le champ
Operation qui sont la demande (request) et la rponse (reply). Vous
trouverez tous les dtails du protocole ARP dans la documentation de lentte
ARP du site FrameIP.

2.3 Loutil ArpFlood

Lutilitaire ArpFlood permet lenvoi massif de demandes ou de rponses ARP
permettant ainsi de facilement tester les diffrentes attaques de Switch.

2.4 La norme 802.1X

Dfinie par lIEEE, la norme 802.1X concerne lauthentification au niveau 2 du
modle OSI. Cela permet la mise en place dauthentification des quipements
rseaux grce au protocole EAP dfinit par le protocole EAPOL (Extensible
Authentication Protocol Over LAN).

802.1X peut se reposer sur plusieurs type de protocole dauthentification tel

que Radius, Tacacs+, voir mme aucun et attaquer une base locale.
Cependant, dans la ralit du march de lentreprise, Radius simpose trs
fortement.

https://astuces-top.blogspot.com
3 Lattaque
3.1 Le contexte
La premire attaque consiste saturer la mmoire du Switch qui contient la
table dadresses MAC. Cela peut tre un Pirate, un utilisateur mal intentionn
et voir mme un Virus ou SpyWare. Pour raliser cette attaque, je positionne le
contexte suivant :

1 La Xbox lit un film prsent sur le serveur real vido.

2 Le pirate envoi un flood de datagrammes avec une dadresse MAC source
alatoire.
3 Le Switch insert les adresses MAC dans sa table en les associant au port
physique du port du pirate.

https://astuces-top.blogspot.com
3.2 La ralisation

Pour raliser cette attaque, jutilise la commande arpflood.exe -interface 3

-loops 0 -view 0 qui permet lenvoi massif de requte ARP avec des adresses
MAC alatoire comme on peut le voir dans lanalyse de trame suivante. Pour
cette attaque, jutilise les arguments -loops 0 pour dfinir de ne pas
sarrter et -view 0 pour ne pas afficher les rsultats lcran afin de
gagner en performance.

Voici lanalyse de trame Arpflood.

https://astuces-top.blogspot.com
3.3 La raction

La raction du Switch cette attaque est sans surprise : la table dadresses

MAC se remplie instantanment et sature trs rapidement la mmoire. En fait,
le Switch 2950 Cisco est limit 8000 adresses MAC maximum. La commande
show mac-address-table permet de voir la table des correspondances MAC.
Voici le contenu ltape 1 :

https://astuces-top.blogspot.com
Et aprs ltape 2 (aprs lexcution de Arpflood), on peut remarquer quil ne
reste plus aucune place dans la table de correspondance :

3.4 Les consquences

Il y a principalement deux consquences visibles cette attaque qui sont la

perte de ladministration et le passage en mode HUB.

https://astuces-top.blogspot.com
3.4.1 Perte de ladministration

Ds les premires secondes de lexcution du flooding ARP, le Switch rpond

trs mal au management Telnet. Laffichage devient trs lent et le temps de
rponse une commande est long. Cependant, le process de Throughput tant
prioritaire, le Switch ne drop aucune trame commuter, ce qui est une trs
bonne raction.
Cette premire consquence impact uniquement le management du Switch,
mais aucunement sa fonction principale la commutation .

3.4.2 Passage en mode HUB

Par la suite, ne possdant plus de place pour stocker les correspondances des
adresses MAC de la XBOX et du Serveur, le Switch est oblig de basculer en
mode HUB. Ainsi, le Pirate Z peux alors couter le flux real vido comme le
montre la capture suivante :

https://astuces-top.blogspot.com
En tant que pirate Z, mon PC portable reoit donc lensemble du trafic chang
entre la XBOX 192.168.101.3 et le serveur 192.168.101.4. Remarques, En fait,
le passage en mode HUB du Switch peut intervenir de deux manires
diffrentes :
La premire est le cas o le serveur et la XBOX ne discutent pas encore
ensemble avant lattaque. Le Switch ne connat donc pas leurs adresses MAC.
Ainsi, lorsque ArpFlood sature la table de correspondance, le Switch ne peut
plus apprendre aucunes nouvelles adresses MAC. Ds que la XBOX et le
serveur se mettent discuter ensemble, le Switch renverra chacune des
trames sur tous les ports du fait quil na pas plac leurs adresses MAC dans sa
table de correspondance.
La seconde manire est le cas o le serveur et la XBOX discutent ensemble
avant lattaque. Le Switch connat donc leurs adresses MAC, mme aprs
lexcution de ArpFlood. Le Switch commutera correctement le flux dchange
entre la XBOX et le serveur sur les ports concerns. A ce moment, lcoute ne
fonctionne pas. Il faut alors attendre 5 minutes, ce qui reprsente la dure de
vie dune entre dans la table de correspondance, pour que le Switch commute
le flux sur tous les ports. Car, au bout des 5 minutes, les correspondances MAC
et Ports de la XBOX et du Serveur sont effaces et le Switch ne peut pas les
rapprendre du fait que sa table est sature.
Pour info, par dfaut, le Switch 2950 garde 5 minutes une correspondance
dadresse MAC/Port.

Cela peut tre redfinit grce la commande mac-address-table aging-

time commande dans lexemple suivant o lon positionne la dure de vie de
lentre 10 secondes :

https://astuces-top.blogspot.com
3.4.3 Saturation rseau
La consquence suivante est que suite au passage en mode HUB, toutes les
trames vont tre multiplies sur tous les ports. Ainsi, si par exemple une
sauvegarde au giga lieu entre deux ports, le dbit va se rpliquer sur tous les
autres ports en les saturants. Lincidence impacte alors chaque port du
commutateur et donc les utilisateurs finaux.

De plus, un Switch possde un taux de commutation de fond de panier

maximum. Par exemple, pour le Cisco Catalyst 2950T-24, la bande passante
maximum de commutation globale est de 8,8 Gbps (8.8Gbps maximum
forwarding bandwidth). Ainsi, avec la rplication des ports et grce au contexte
multi commutateurs expos dans le chapitre suivant, on peut rapidement
saturer la commutation globale du Switch. Le dbit global est alors suprieur
aux possibilits relles du fond de panier.

https://astuces-top.blogspot.com
3.5 Cas dune entreprise
Dans le cas concret dune entreprise, le schma LAN habituel se divise en 3
niveaux en toiles reprsents par les commutateurs de Coeur, de Distribution
et de Terminaison. Voici le contexte utilis pour reprsenter un chantillon des
cas rels.

1 Le tlphone passe une communication via son IPBX.

2 Le pirate envoi un flood de datagramme avec une dadresse MAC source
alatoire.
3 Le Switch C insert les adresses MAC dans sa table en les associant au port
physique du port du pirate.
4 Le Switch D insert les adresses MAC reues dans sa table en les associant
au port physique du port dinterconnexion avec le commutateur C.
5 Le Switch E insert les adresses MAC reues dans sa table en les associant
au port physique du port dinterconnexion avec le commutateur D.

https://astuces-top.blogspot.com
On peut ainsi rapidement conclure du fait quil y ai un Switchs ou plusieurs,
cela ne change rien au potentiel de lattaque. Cest clair que le pirate, sur un
LAN dentreprise, pourra rapidement couter les conversations du tlphone B
se trouvant lautre bout du btiment.
Juste une remarque, cest que cela dpend de la limitation de chaque Switch.
Par exemple, prenons le cas o les commutateurs C et E sont des 2950 limits
8000 @MAC et le Switch D est un 6509 donc limit 64000 @MAC. Dans ce
cas, le pirate va saturer les 8000 adresses MAC des Switchs C et E, puis dans
la foule, les 64000 du Switch D. Et mme si le premier commutateur est
satur, le flood de requte ARP va continuer se propager et le Switch de
coeur continuera apprendre la provenance jusqu saturation.
Nous pouvons en conclure que limpact dans une entreprise est global, mme
dans le cas darchitecture standard sur 3 niveaux au coeur de 6500.

4 Les protections non efficaces

4.1 Augmenter la dure de vie des correspondances
Lune des possibilits est de diminuer la dure de vie des entres de la table de
correspondance. Dans le contexte IOS de Cisco, cela peut tre ralis grce
la commande mac-address-table aging-time .

conf t
mac-address-table aging-time 10

Cependant, cela ne permet pas de rsoudre le problme, car si le pirate laisse

tourner son flood, alors peine libr, le Switch apprendra de nouveau des
adresses MAC spoofes.

4.2 Acheter des commutateurs Ethernet plus performants

Etant donne que le Switch 2950 est limit 8000 adresses MAC, lide tant
dacheter des commutateurs de gamme suprieure apportant donc de plus
grandes de performances. Voici un tableau relatant les limites des diffrentes
gammes Cisco :
Cisco Catalyst 2924 XL : 2000 adresse MAC maximum
Cisco Catalyst 2924 XL : 2000 adresse MAC maximum
Cisco Catalyst 2948 G-GE-TX : 16000 adresse MAC maximum
Cisco Catalyst 2950 Series : 8000 adresse MAC maximum
Cisco Catalyst 2955 Series : 8000 adresse MAC maximum
Cisco Catalyst 2960 Series : 8000 adresse MAC maximum
Cisco Catalyst 2970 Series : 8000 adresse MAC maximum

https://astuces-top.blogspot.com
 Cisco Catalyst 3550-12G : 12000 adresse MAC maximum
Cisco Catalyst 3550-12T : 12000 adresse MAC maximum
Cisco Catalyst 3550-24 : 8000 adresse MAC maximum
Cisco Catalyst 3550-24-DC : 8000 adresse MAC maximum
Cisco Catalyst 3550-24 PWR : 8000 adresse MAC maximum
Cisco Catalyst 3550-24-FX : 8000 adresse MAC maximum
Cisco Catalyst 3550-48 : 8000 adresse MAC maximum
Cisco Catalyst 3560 Series : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24TS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24WS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24T : 12000 adresse MAC maximum
Cisco Catalyst 3750G-12S : 12000 adresse MAC maximum
Cisco Catalyst 3750-24TS : 12000 adresse MAC maximum
Cisco Catalyst 3750-24FS : 12000 adresse MAC maximum
Cisco Catalyst 3750-24PS : 12000 adresse MAC maximum
Cisco Catalyst 3750-48TS : 12000 adresse MAC maximum
Cisco Catalyst 3750-48PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24TS-1U : 12000 adresse MAC maximum
Cisco Catalyst 3750G-24PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-48TS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-48PS : 12000 adresse MAC maximum
Cisco Catalyst 3750G-16TD : 12000 adresse MAC maximum
Cisco Catalyst 6500 Series : 64000 adresse MAC maximum
On remarquera que chaque Switch possde de nouveau une limitation dans le
nombre de correspondances. On peut donc prendre conscience que
laugmentation de la catgorie du Switch ne solutionne pas ce risque. Car on
peut augmenter le nombre maximum de correspondances, cela ne change pas
le fait que le hackeur va trs rapidement saturer la mmoire de la table.

4.3 Segmenter le commutateur par des VLAN

Mme sil est fortement recommand dutiliser les VLAN pour segmenter son
rseau pour scuriser son LAN, dans notre cas, cela napportera pas la
protection ncessaire la saturation de la table de correspondance.

https://astuces-top.blogspot.com
En fait, dans le cas o jai deux VLAN (ou plus), la table de correspondance
peux tre lue indpendamment comme cela :

Cependant, si je flood de nouvelles adresses MAC dans un seul VLAN comme le

99, on remarque que la table de correspondance chute pour tous les VLAN.
Cela montre bien que le nombre dadresses MAC maximum par Switch est
indpendante des VLAN.
Ainsi, la segmentation par VLAN ne rsout pas le problme

5 La protection efficace
5.1 Nombre dadresses MAC maximum par port
La limitation dun nombre maximal dadresses MAC par port physique est une
solution efficace. Elle permet ainsi de positionner le hacker dans un contexte
isol o il ne peut pas dborder sur la mmoire globale du Switch. Par
exemple, si nous limitons chaque port 100 adresses MAC maximum, cela
permettra dempcher que le flood sature la mmoire globale du Switch. 100
parat tre une bonne valeur pour scuriser les accs sans contraindre
lexploitation rseau de lentreprise. Pour raliser cette protection, il faut :
Placer le port en mode Access :
conf t
interface fastEthernet 0/4
switchport mode access

Activer la scurit associe au port avec la commande :

conf t
interface fastEthernet 0/4
switchport port-security

https://astuces-top.blogspot.com
Puis dfinir le nombre dadresses MAC maximum :
conf t
interface fastEthernet 0/4
switchport port-security maximum 100

Et enfin, dfinir laction en cas de violation de la rgle prcdente. Plusieurs

possibilits nous sont offertes tel que protect qui permet de bloquer toues
les trames non connues. Shutdown permet lui de fermer le port en cas de
violation, cette seconde action est radicale, mais pose des impacts
dexploitations non ngligeables.
conf t
interface fastEthernet 0/4
switchport port-security violation protect

Voici un exemple concret avec une limite 5 adresses MAC maximum. On peut
remarquer, que malgr lattaque de flooding MAC en continu, la table de
correspondance du Switch ne sature pas. Le port 4 est bien limit aux 5
premires adresses MAC et napprend plus les suivantes.

https://astuces-top.blogspot.com
5.2 Authentification 802.1X
Lactivation 802.1X sur les ports, en plus dapporter une bonne scurit de
votre LAN, vous permettra dempcher la saturation de la table de
correspondance par un Hackeur ou un virus. Pour lactiver sur le port 4 par
exemple, vous devez :
Indiquer que lauthentification doit se raliser via un serveur Radius (ou autre
si vous prfrez) :
conf t
aaa new-model
aaa authentication dot1x default group radius

Prciser les informations de votre serveur Radius :

conf t
radius-server host 192.168.101.4 auth-port 1812 acct 1813
radius-server key MaCleSecret

Activer 802.1X sur le Switch :

conf t
dot1x system-auth-control

Configurer linterface sur laquelle vous dsirez mettre en place

lauthentification 802.1X :
conf t
interface FastEthernet0/4
switchport mode access
dot1x port-control auto
dot1x host-mode multi-host

On remarquera que la dernire commande permet de spcifier que plusieurs

htes simultanes peuvent se connecter simultanment. Ainsi, cela ne
corrigera pas le soucis et votre commutateur sera toujours expos une
saturation de la table de correspondance.
Cependant, si vous exploitez 802.1X avec la commande dot1x host-mode
single-host permettant la possibilit de connecter un seul hte rseau
simultanment, alors votre commutateur refusera toutes les nouvelles
adresses MAC supplmentaires protgeant ainsi sa table de correspondance.
Cela reste un trs bon moyen de protection en limitant 1 @MAC par port tout
en gardant une exploitation centralise et donc simple.

https://astuces-top.blogspot.com
6 Commandes quivalentes 3COM
La commande show mac-address-table permet de voir la table des
correspondances MAC. Lquivalent 3COM est display mac-address :

La commande show mac-address-table count permet de voir les

statistiques de la table des correspondances MAC. Lquivalent 3COM est
display mac-address count . Par dfaut, le Switch 3COM 3CR17152 5500-SI
possde une mmoire permettant de grer jusqu 16384 entre :

Et aprs ltape 2 (aprs lexcution de Arpflood), on peut remarquer quil ne

reste plus aucune place dans la table de correspondance :

https://astuces-top.blogspot.com
La commande show mac-address-table aging-time permet de voir la dure
de vie des correspondances MAC. Lquivalent 3COM est display mac-address
aging-time . Pour info, par dfaut, le Switch 3COM 3CR17152 5500-SI garde
5 minutes une correspondance dadresse MAC/Port :

https://astuces-top.blogspot.com