Détecter et proteger une passerelle des attaques ARP

goldkey · 21/06/2007, 07h11

Bonjour à tous,

Voila ma première contribution en tant que rédacteur

Je propose donc ce petit cours, que j'ai fait voila quelques mois, a propos de la détection et de la protection contre les attaques de type "ARP Cache Poisoning" sur une passerelle.

Naturellement toute remarque cohérente et la bienvenue

Michaël · 21/06/2007, 10h29

salut,
j'ai rapidement parcouru ton document. les fautes d'orthographes mises à part, c'est plutôt pas mal bien qu'un peu court. tu pourrais peut-être détailler un peu plus arp si tu te sens d'attaque : faire une présentation générale d'arp et citer ses faiblesses et donc enchainer sur les attaques arp.

dans ta partie 4, tu indiques comment arp* signale une attaque. ceci dit, pour tester le bon fonctionnement de arp*, tu pourrais mettre comment tu as réussi à obtenir ce message. il ne s'agit pas de donner un livre de recettes de piratage mais seulement de quoi tester le module pour être sûr de son fonctionnement. s'il ne marche pas (pour une raison quelconque), tu risques d'attendre longtemps qu'il te dise quelquechose donc il faut le provoquer au moins une fois

Katyucha · 21/06/2007, 11h05

Les fautes, on les corrige c'pas le problème

J'aurais bien aimé justement une explication sur l'ARP justement.
Une personne débutante ne connait pas forcement... et pourtant, elle aimerait mieux comprendre

Sinon nickelos

gorgonite · 21/06/2007, 11h12

perso, j'aime bien... mais comme Michael, je trouve cela un peu court.
Evidemment le but n'est pas de délayer inutilement, mais ajouter quelques explications sur ce que tu utilises, éventuellement justifier pourquoi tu l'utilises, et ajouter une description de ARP, voire un exemple d'attaque (pas un manuel du petit hacker bien sûr, mais juste un exemple "fonctionnel" étape par étape... qui permet de se rendre compte des risques potentiels

)

si tu y parviens (ça ne devrait pas être long

), ça fera selon moi un très bon article... et surtout facile à comprendre

goldkey · 21/06/2007, 13h12

Tout d'abord merci à vous pour vos remarques interessantes et pertinentes.
De celles-ci j'en déduit 2 pistes d'évolution :
- Présenter plus en détails le protocole ARP
- Donner un exemple d'attaque ARP qui permette de tester la protection

Ce cours était en fait, à l'origine, une présentation de type powerpoint pour présenter les problèmes liés à la faiblesse du protocole ARP ainsi qu'une solution pour les pallier. C'est pour cela qu'il est succint. De plus cette présentation était destinée à des personnes ayant de bonnes notions en réseau, donc il n'y avait pas lieu de refaire un topo sur le protocole ARP.
Dès que j'ai un peu de temps, j'intégrerai une présentation du protocole ARP.

Par contre la ou je suis pas tout à fait de votre avis c'est dans le fait de fournir un exemple d'attaque, dans lequel on tombera forcement dans les travers du "script kiddies". Le fait de présenter étape par étape comment effectuer une attaque avec tel ou tel logiciel, donnera forcement toutes les cartes en main au script kiddies qui souhaite hacker son voisin. Chose que je voulais éviter, surtout sur un site comme developpez.com

Je pensais plutot faire, un topo sur ce qu'il peut se passé si une telle attaque réussi et quels sont les problèmes de sécurité qui peuvent apparaitre.
Qu'en pensé vous ??

gorgonite · 21/06/2007, 13h33

Citation:

Envoyé par goldkey

Par contre la ou je suis pas tout à fait de votre avis c'est dans le fait de fournir un exemple d'attaque, dans lequel on tombera forcement dans les travers du "script kiddies". Le fait de présenter étape par étape comment effectuer une attaque avec tel ou tel logiciel, donnera forcement toutes les cartes en main au script kiddies qui souhaite hacker son voisin. Chose que je voulais éviter, surtout sur un site comme developpez.com

quand je parlais de description étape par étape, je pensais au niveau fonctionnel (on ne fournit surtout aucun code qui pourrait le faire

)

pour un buffer overflow, on dirait :
+ savoir que la lecture d'une certaine donnée n'a pas de bornes sur la longueur (là on peut détailler gets, strcpy, & cie)
+ entrer une chaine trop longue pour que ça écrase la suite...
+ avoir mis un code malicieux au bout de cette chaine, pour que ça finisse par l'exécuter

on en dit pas plus... ça ne permet pas d'en construire un, mais ça explique en gros comment ça fonctionne

Citation:

Envoyé par goldkey

Je pensais plutot faire, un topo sur ce qu'il peut se passé si une telle attaque réussi et quels sont les problèmes de sécurité qui peuvent apparaitre.
Qu'en pensé vous ??

juste après, il faudrait effectivement ajouté cela... et l'article sera presque parfait

herzleid · 26/06/2007, 00h56

Bonsoir,

Si je puis me permettre je rajouterai bien à ce cours les éléments suivants :

Il existe une application permettant de surveiller les tentatives de modification des tables arp : arpwatch

Ainsi qu'un programme permettant de bloquer (un peu) ce type d'attaques :
arptables. Ce dernier impose à la machine le couple adresse MAC/adresse IP de la passerelle. On peut configurer ce dernier comme suit, au démarrage de la machine :

Code :

#!/bin/bash
GATEWAY=`route -n|tail -n 1|awk '{print $2}'`
echo "Passerelle : " $GATEWAY
arptables -P INPUT DROP
arptables -A INPUT -p ALL -s $GATEWAY -j ACCEPT
echo "Chargement table ARP ok"

Si bien sur on est sur de la passerelle utilisée au démarrage ^^

Voila c'est tout, et merci pour ton document qui éclaire pas mal ma lenterne sur ce domaine brumeux

21/06/2007, 10h29	#2 (permalink)
Michaël Responsable Système Date d'inscription: juillet 2003 Localisation: Blois Âge: 21 Messages: 2 417	salut, j'ai rapidement parcouru ton document. les fautes d'orthographes mises à part, c'est plutôt pas mal bien qu'un peu court. tu pourrais peut-être détailler un peu plus arp si tu te sens d'attaque : faire une présentation générale d'arp et citer ses faiblesses et donc enchainer sur les attaques arp. dans ta partie 4, tu indiques comment arp* signale une attaque. ceci dit, pour tester le bon fonctionnement de arp, tu pourrais mettre comment tu as réussi à obtenir ce message. il ne s'agit pas de donner un livre de recettes de piratage mais seulement de quoi tester le module pour être sûr de son fonctionnement. s'il ne marche pas (pour une raison quelconque), tu risques d'attendre longtemps qu'il te dise quelquechose donc il faut le provoquer au moins une fois __________________ Cours systèmes* : systèmes temps réels, distribués, embarqués, tolérants aux fautes, parallèles, OS, architectures... Mes articles : php gd, création de dvd vidéo, bootsplash, virtualisation

21/06/2007, 11h12	#4 (permalink)
gorgonite Responsable rubrique générale Date d'inscription: décembre 2005 Localisation: Gorgon-Paradise Âge: 24 Messages: 8 037	perso, j'aime bien... mais comme Michael, je trouve cela un peu court. Evidemment le but n'est pas de délayer inutilement, mais ajouter quelques explications sur ce que tu utilises, éventuellement justifier pourquoi tu l'utilises, et ajouter une description de ARP, voire un exemple d'attaque (pas un manuel du petit hacker bien sûr, mais juste un exemple "fonctionnel" étape par étape... qui permet de se rendre compte des risques potentiels ) si tu y parviens (ça ne devrait pas être long ), ça fera selon moi un très bon article... et surtout facile à comprendre __________________ Evitez les MP pour les questions techniques... il y a des forums Modérateur Linux, Serveurs, Programmation fonctionnelle Mes Tutos \| Mon Blog Vous souhaitez contribuer à la rubrique Autres langages, contactez-moi. attention je mords ou je chevauche

21/06/2007, 13h12	#5 (permalink)
goldkey Rédacteur Date d'inscription: mars 2003 Messages: 790	Tout d'abord merci à vous pour vos remarques interessantes et pertinentes. De celles-ci j'en déduit 2 pistes d'évolution : - Présenter plus en détails le protocole ARP - Donner un exemple d'attaque ARP qui permette de tester la protection Ce cours était en fait, à l'origine, une présentation de type powerpoint pour présenter les problèmes liés à la faiblesse du protocole ARP ainsi qu'une solution pour les pallier. C'est pour cela qu'il est succint. De plus cette présentation était destinée à des personnes ayant de bonnes notions en réseau, donc il n'y avait pas lieu de refaire un topo sur le protocole ARP. Dès que j'ai un peu de temps, j'intégrerai une présentation du protocole ARP. Par contre la ou je suis pas tout à fait de votre avis c'est dans le fait de fournir un exemple d'attaque, dans lequel on tombera forcement dans les travers du "script kiddies". Le fait de présenter étape par étape comment effectuer une attaque avec tel ou tel logiciel, donnera forcement toutes les cartes en main au script kiddies qui souhaite hacker son voisin. Chose que je voulais éviter, surtout sur un site comme developpez.com Je pensais plutot faire, un topo sur ce qu'il peut se passé si une telle attaque réussi et quels sont les problèmes de sécurité qui peuvent apparaitre. Qu'en pensé vous ?? Dernière modification par goldkey ; 21/06/2007 à 13h22

26/06/2007, 00h56	#7 (permalink)
herzleid Membre éclairé Date d'inscription: juin 2002 Localisation: Perdu dans le marais niortais Âge: 30 Messages: 352	Bonsoir, Si je puis me permettre je rajouterai bien à ce cours les éléments suivants : Il existe une application permettant de surveiller les tentatives de modification des tables arp : arpwatch Ainsi qu'un programme permettant de bloquer (un peu) ce type d'attaques : arptables. Ce dernier impose à la machine le couple adresse MAC/adresse IP de la passerelle. On peut configurer ce dernier comme suit, au démarrage de la machine : Code : #!/bin/bash GATEWAY=`route -n\|tail -n 1\|awk '{print $2}'` echo "Passerelle : " $GATEWAY arptables -P INPUT DROP arptables -A INPUT -p ALL -s $GATEWAY -j ACCEPT echo "Chargement table ARP ok" Si bien sur on est sur de la passerelle utilisée au démarrage ^^ Voila c'est tout, et merci pour ton document qui éclaire pas mal ma lenterne sur ce domaine brumeux __________________ www.kywyxy.net

21/06/2007, 11h05	#3 (permalink)
Katyucha Rédacteur Date d'inscription: mars 2004 Localisation: Parti pour de bon Âge: 28 Messages: 3 041	Les fautes, on les corrige c'pas le problème J'aurais bien aimé justement une explication sur l'ARP justement. Une personne débutante ne connait pas forcement... et pourtant, elle aimerait mieux comprendre Sinon nickelos

		Forum des développeurs > Hardware, Systèmes et Logiciels > Linux > Contribuez
Détecter et proteger une passerelle des attaques ARP

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email