Détecter et proteger une passerelle des attaques ARP [Article]

[goldkey]

Bonjour à tous,

Voila ma première contribution en tant que rédacteur
Je propose donc ce petit cours, que j'ai fait voila quelques mois, a propos de la détection et de la protection contre les attaques de type "ARP Cache Poisoning" sur une passerelle.

Naturellement toute remarque cohérente et la bienvenue

[Michaël]

salut,
j'ai rapidement parcouru ton document. les fautes d'orthographes mises à part, c'est plutôt pas mal bien qu'un peu court. tu pourrais peut-être détailler un peu plus arp si tu te sens d'attaque : faire une présentation générale d'arp et citer ses faiblesses et donc enchainer sur les attaques arp.

dans ta partie 4, tu indiques comment arp* signale une attaque. ceci dit, pour tester le bon fonctionnement de arp*, tu pourrais mettre comment tu as réussi à obtenir ce message. il ne s'agit pas de donner un livre de recettes de piratage mais seulement de quoi tester le module pour être sûr de son fonctionnement. s'il ne marche pas (pour une raison quelconque), tu risques d'attendre longtemps qu'il te dise quelquechose donc il faut le provoquer au moins une fois

[Katyucha]

Les fautes, on les corrige c'pas le problème
J'aurais bien aimé justement une explication sur l'ARP justement.
Une personne débutante ne connait pas forcement... et pourtant, elle aimerait mieux comprendre
Sinon nickelos

[gorgonite]

perso, j'aime bien... mais comme Michael, je trouve cela un peu court.
Evidemment le but n'est pas de délayer inutilement, mais ajouter quelques explications sur ce que tu utilises, éventuellement justifier pourquoi tu l'utilises, et ajouter une description de ARP, voire un exemple d'attaque (pas un manuel du petit hacker bien sûr, mais juste un exemple "fonctionnel" étape par étape... qui permet de se rendre compte des risques potentiels )

si tu y parviens (ça ne devrait pas être long ), ça fera selon moi un très bon article... et surtout facile à comprendre

[goldkey]

Tout d'abord merci à vous pour vos remarques interessantes et pertinentes.
De celles-ci j'en déduit 2 pistes d'évolution :
- Présenter plus en détails le protocole ARP
- Donner un exemple d'attaque ARP qui permette de tester la protection

Ce cours était en fait, à l'origine, une présentation de type powerpoint pour présenter les problèmes liés à la faiblesse du protocole ARP ainsi qu'une solution pour les pallier. C'est pour cela qu'il est succint. De plus cette présentation était destinée à des personnes ayant de bonnes notions en réseau, donc il n'y avait pas lieu de refaire un topo sur le protocole ARP.
Dès que j'ai un peu de temps, j'intégrerai une présentation du protocole ARP.

Par contre la ou je suis pas tout à fait de votre avis c'est dans le fait de fournir un exemple d'attaque, dans lequel on tombera forcement dans les travers du "script kiddies". Le fait de présenter étape par étape comment effectuer une attaque avec tel ou tel logiciel, donnera forcement toutes les cartes en main au script kiddies qui souhaite hacker son voisin. Chose que je voulais éviter, surtout sur un site comme developpez.com
Je pensais plutot faire, un topo sur ce qu'il peut se passé si une telle attaque réussi et quels sont les problèmes de sécurité qui peuvent apparaitre.
Qu'en pensé vous ??

[gorgonite]

Citation:

Envoyé par goldkey

Par contre la ou je suis pas tout à fait de votre avis c'est dans le fait de fournir un exemple d'attaque, dans lequel on tombera forcement dans les travers du "script kiddies". Le fait de présenter étape par étape comment effectuer une attaque avec tel ou tel logiciel, donnera forcement toutes les cartes en main au script kiddies qui souhaite hacker son voisin. Chose que je voulais éviter, surtout sur un site comme developpez.com

quand je parlais de description étape par étape, je pensais au niveau fonctionnel (on ne fournit surtout aucun code qui pourrait le faire )

pour un buffer overflow, on dirait :
+ savoir que la lecture d'une certaine donnée n'a pas de bornes sur la longueur (là on peut détailler gets, strcpy, & cie)
+ entrer une chaine trop longue pour que ça écrase la suite...
+ avoir mis un code malicieux au bout de cette chaine, pour que ça finisse par l'exécuter

on en dit pas plus... ça ne permet pas d'en construire un, mais ça explique en gros comment ça fonctionne

Citation:

Envoyé par goldkey

Je pensais plutot faire, un topo sur ce qu'il peut se passé si une telle attaque réussi et quels sont les problèmes de sécurité qui peuvent apparaitre.
Qu'en pensé vous ??

juste après, il faudrait effectivement ajouté cela... et l'article sera presque parfait

[herzleid]

Bonsoir,

Si je puis me permettre je rajouterai bien à ce cours les éléments suivants :

Il existe une application permettant de surveiller les tentatives de modification des tables arp : arpwatch

Ainsi qu'un programme permettant de bloquer (un peu) ce type d'attaques :
arptables. Ce dernier impose à la machine le couple adresse MAC/adresse IP de la passerelle. On peut configurer ce dernier comme suit, au démarrage de la machine :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
#!/bin/bash
GATEWAY=`route -n|tail -n 1|awk '{print $2}'`
echo "Passerelle : " $GATEWAY
arptables -P INPUT DROP
arptables -A INPUT -p ALL -s $GATEWAY -j ACCEPT
echo "Chargement table ARP ok"

Si bien sur on est sur de la passerelle utilisée au démarrage ^^

Voila c'est tout, et merci pour ton document qui éclaire pas mal ma lenterne sur ce domaine brumeux