Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



[Ettercap – Partie 4] Contre-mesures, conclusion et webographie

Par Moussa Diallo, secuobs.com
Le 04/10/2006


Résumé : Afin de lutter contre les attaques décrites dans les parties précédentes, il existe un certain nombre de mécanismes pouvant être mis en place. Retrouvez les ainsi que les conclusions de l'auteur et les liens relatifs à l'ensemble de ce dossier.



Contre mesure

Afin de lutter contre les attaques de type MItM il existe un certain nombre de mécanismes pouvant être mis en place.

Une première parade possible et efficace est d'utiliser des entrées statiques dans le cache ARP de chaque machine du réseau. De cette manière il est possible d’ajouter de façon permanente des serveurs sensibles sans craindre une corruption du cache ARP.

Cette approche est cependant limitée à un petit nombre de machines, puisqu'il est nécessaire de renseigner manuellement l'ensemble des postes du réseau, ce qui peut s’avérer difficile sur un parc important.

Une autre possibilité pour lutter contre ce type d’attaque est d’activer la fonctionnalité de verrouillage de ports (port security), présente sur certains types de concentrateurs réseau. Cette fonction permet de limiter les adresses MAC sur chaque port (de manière statique).

L'accès au port verrouillé devient réservé aux utilisateurs disposant d'adresses MAC spécifiques. Lorsqu'un paquet est reçu sur un port verrouillé et que son adresse MAC source n'est pas associée à ce port (parce qu'elle a été apprise sur un port différent ou qu'elle est inconnue du système), le mécanisme de protection est activé. Il existe toutefois des techniques pour contourner ce type de protection.

Avec l'utilisation d'un cache ARP statique et du verrouillage de port, l'unique autre moyen de défense ne modifiant pas le comportement intrinsèque du protocole ARP est la détection.

Les IDS et Firewalls personnels détectent la plupart du temps les modifications des entrées dans le cache ARP, avertissant l'utilisateur d'une modification. Cependant comme souvent la décision finale est laissée à l'appréciation de l'utilisateur avec les risques que cela peut engendrer.

Il existe également des Patchs KERNEL comme "ANTICAP" ou "ANTIDOTE". ANTICAP ne va pas mettre à jour le cache ARP si une réponse possède une adresse MAC différente, pour une adresse IP donnée, de celle déjà enregistrée dans le cache.

Cette solution n'en est pas vraiment une puisqu'elle va à l'encontre de la définition même du protocole ARP (rejet de trames légitimes). ANTIDOTE va même un peu plus loin ; lorsqu'un nouveau couple MAC/IP est reçu, il essaye de découvrir si l'adresse MAC précédente est toujours active.

Si cette adresse MAC précédente répond à la requête, la mise à jour du cache est rejetée et la nouvelle adresse MAC est ajoutée à une liste noire d'adresses. Ces solutions souffrent du même problème ; si une requête malicieuse est envoyée avant que la requête légitime ne soit mise en cache cette dernière sera rejetée à la prochaine mise à jour.

L'utilisation de l'authentification forte reste la solution la plus sécurisée mais également la plus lourde et complexe à mettre en place. S-ARP propose une solution mettant en place des mécanismes d’authentifications fortes.

Chaque hôte sur le réseau possède un couple de clés publiques/privées fourni par un hôte de confiance sur le réseau et agissant comme une autorité de certification. Les messages sont signés par l'émetteur empêchant de cette manière l'injection et la modification des informations.

Conclusion

Ettercap est un outil puissant permettant de compromettre fortement la sécurité d’un réseau par des attaques de type MItM.

Comme nous l’avons vu il n’existe pas de solutions miracles ; il s’agit d’avantage de prévenir les risques de compromissions par de la prévention auprès des utilisateurs (vérification des certificats) que de les empêcher totalement par des moyens purement techniques.

La meilleure méthode restant la segmentation en sous-réseau afin d’isoler les machines sensibles et d’utiliser l’authentification forte (clés publiques et certificats) autant que possible.


Webographie

[ Ettercap ] : lien

[ Man in the middle Attacks demos ] : lien

[ Man in the middle Attacks ] : lien

[ Jouer avec le protocole ARP ] : lien

[ Fun With Ettercap filter ] : lien

[ HowTo do filters (Yahoo example) ] : lien

[ An Ettercap Primer ] : lien

[ S-ARP a Secure Address Resolution Protocol ] : lien


Autres ressources dans ce dossier

[Ettercap – Partie 1] Introduction et rappels - lien

[Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing - lien

[Ettercap – Partie 3] Ettercap par l'exemple - Affaiblissement de protocoles et attaque par injection - lien