Génie logiciel et des TI - cours.etsmtl.ca · permettre l’échange d’information entre chercheurs. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 4 4 ... interconnecter

Cours #03 – Vulnérabilités des protocoles

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS 2Vulnérabilités des protocoles - A11 2

Plan de présentation

Introduction

Vulnérabilités des protocoles

Niveau 2: Ethernet

Niveau 3: BGP, IP spoofing, ICMP

Niveau 4: TCP

Niveau 7: DNS, DHCP

Conclusions


D’hier à …

L’Internet a évolué dans les années ‘70

à partir du diagramme ci-contre. La

sécurité n’était pas une des spécifications

initiales.

Le réseau expérimental était utilisé

afin de développer les protocoles de

télécommunication.

Le réseau Arpanet a servi très tôt à

permettre l’échange d’information entre chercheurs.


… aujourd’hui

www.opte.org

Jean-Marc Robert, ETS

Et la sécurité?!!!

6

MGR850 - H12Chamseddine Talhi, ÉTS

• Je suis occupé

• La performance

d’abord

• C’est pas urgent

• Mais je n’ai rien à

cacher

Motivations & Contexte


Plusieurs couches, plusieurs opportunités

7




Et plusieurs façons d’attaquer!

8


Communications Différents types d’attaques

Adapté de: P. Bétouin, C. Blancher et N. Fischbach, Protocoles réseau : grandeur et décadence,

Symposium sur la Sécurite des Technologies de l'Information et de la Communication (SSTIC), 2005.


http://actes.sstic.org/SSTIC05/Protocoles_reseau/SSTIC05-article-Betouin_Blancher_Fischbach-Protocoles_reseau.pdf


Ethernet – Rappel

Ethernet est le protocole développé de 1973-75 pour interconnecter des ordinateurs dans un réseau local.

Ethernet est maintenant utilisé pour de très grands réseaux –Metro Ethernet.

Principales propriétés

Chaque interface réseau doit posséder une adresse MAC unique (48-bit).

Déploiement classique Connexion point à point entre les équipements.

Réseau composé de concentrateurs (hubs) et de commutateurs (switches).

Un répétiteur ne fait que diffuser de façon générale les paquets (broadcast).

Un commutateur peut diriger un paquet vers un port spécifique s’il peut déterminer à quel sous réseau appartient le destinataire du paquet. Sinon, le paquet est diffusé de façon générale. Un commutateur utilise une table de correspondance (CAM) afin de déterminer à quel

port est associée une adresse MAC.


Ethernet – Attaques

Inondation de la CAM

Mystification de l’adresse MAC (MAC spoofing)

Mystification du message ARP (ARP spoofing)


Inondation de la CAM – Rappel

Le commutateur utilise sa table CAM afin de déterminer à quel port est rattachée la carte réseau ayant l’adresse MAC donnée.

Content-addressable memory (CAM) Table: Tableau permettant de retrouver rapidement une valeur associée à une entrée. Mémoire associative

La taille de la CAM varie selon le commutateur: 16K, 32K, 128K, …

@MAC (Media Access Control) Port

37:a2:47:63:80:60:05:25:8e:4f:28:f7 1

57:c2:27:53:70:2b:92:ba:3e:cd:78:f7 2

17:b2:37:53:39:68:04:35:8b:cf:23:a7 2

37:a1:47:63:80:60:05:25:8e:4f:28:f7 3


Inondation de la CAM – Attaque

Vulnérabilité: Lorsqu’une adresse ne se retrouve pas dans la CAM, le commutateur diffuse le paquet sur tous les ports.

Menace: L’attaquant inonde le commutateur avec de faux paquets.

Le commutateur ajoute ces pairs (MAC, Port) dans sa table CAM. Lorsque cette table est pleine, il enlève des entrées qui étaient déjà là.

Lorsqu’une entrée valide est enlevée, tout le trafic y étant associé est maintenant diffusé sur tous les ports.

Logiciel macof permet de créer des paquets avec des adresses MAC et IP aléatoires.

Risque:

Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Logiciel d’analyse de trafic Ethereal / Wireshark.

CAM.pptx


Liaison de donnéesCAM: Inondation

13MGR850 - H12Chamseddine Talhi, ÉTS

Source de la figure:

http://ciscodocuments.blogspot.com/2011/05/chapter-06-

securing-campus.html

• Risque:

Atteinte à la

confidentialité

http://ciscodocuments.blogspot.com/2011/05/chapter-06-securing-campus.html


Inondation de la CAM – Contre-mesures

Limiter le nombre d’adresses MAC permises sur un port donné.

Limiter la durée qu’une adresse sera assignée à un port.

Une fois pleine de fausses entrées, la table se videra d’elle-même.

Assigner des adresses MAC statiques à des ports.

Ces adresses ne seraient jamais enlevées si la table devenait pleine.

Les adresses des serveurs ou des équipements importants sont ainsi

configurées dans le commutateur.

Authentification 802.1X

L’accès à un port n’est permis qu’après une authentification.


Mystification de l’adresse MAC – Attaque

Vulnérabilité: Lorsqu’une adresse MAC apparaît sur un autre port, le commutateur met à jour sa table CAM.

Menace: L’attaquant inonde le commutateur avec de faux paquets ayant l’adresse MAC ciblée (avec une vraie adresse IP ou non).

Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table CAM et enlève celle qui était déjà là. Concurrence critique avec l’ordinateur légitime.

Logiciel macof permet de créer ces paquets.

Risque:

Dénis de service

Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port.


Mystification de l’adresse MAC – Contre-mesures

Assigner des adresses MAC statiques à des ports.

Ces adresses ne seront jamais enlevées.

Les adresses des serveurs ou des équipements importants sont ainsi

configurées dans le commutateur.

Les adresses MAC sont obtenues lors de la requête DHCP.

Éviter d’utiliser une adresse IP avec une autre adresse MAC.

Fonctionnalité CISCO/Nortel.




Mystification du message ARP – Attaque

Vulnérabilité: Toute personne peut clamer être le propriétaire d’une adresse IP donnée (Gratuitous ARP Reply).

Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet Man-in-the-middle.

Pour l’intervenant A, l’attaquant possède l’adresse IP de B. Gratuitous ARP Reply avec l’adresse MAC de l’attaquant et l’adresse IP de B.

Pour l’intervenant B, l’attaquant possède l’adresse IP de A. Gratuitous ARP Reply avec l’adresse MAC de l’attaquant et l’adresse IP de A.

Logiciels dsniff et ettercap.

Risque:

Dénis de service.



Mystification de l’adresse ARP – Contre-mesures

Les adresses MAC sont obtenues lors de la requête DHCP.

Éviter d’utiliser une adresse IP avec une autre adresse MAC.

Éviter de considérer les Gratuitous ARP Reply.

Fonctionnalité CISCO/Nortel.




DHCP – Rappel

Le Dynamic Host Configuration Protocol permet à un

système d’obtenir sa configuration réseau afin qu’il puisse se

joindre à une infrastructure IP.

Adresse IP

Masque du réseau

Routeur par défaut

Serveur DHCP

Le protocole est encapsulé dans le protocole IP.


DHCP – Rappel

DHCP Discover (Broadcast)

DHCP Request (Broadcast)

DHCP Offer (Unicast)

DHCP Ack (Unicast)

DHCP Server


DHCP – Attaques

Épuisement des adresses IP – DCHP Starvation

Faux serveur DHCP

DHCP.pptx


Épuisement des adresses IP – Attaque

Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées.

Menace: L’attaquant inonde le serveur DHCP.

L’attaquant inonde le serveur avec des messages DHCP Request afin de

réserver toutes les adresses IP disponibles.

L’attaquant se doit d’utiliser de nouvelles adresses MAC pour chaque requête.

Risque:

Dénis de service.


Liaison de donnéesDHCP: Épuisement des adresses IP


Source de la figure: http://gregsowell.com/?p=1133

http://gregsowell.com/?p=1133


Épuisement des adresses IP – Contre-mesures

Limiter le nombre d’adresses MAC permises sur un port

donné.




Faux serveur DHCP – Attaque

Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées.

Menace: L’attaquant personnifie le serveur DCHP.

L’attaquant répond avec un DHCP Offer afin de fournir de fausses indications à l’usager. Fausses adresses IP et réseau

Faux routeur par défaut

L’adresse de l’attaquant si celui veut voir tout le trafic de la victime.

Faux serveur DHCP

L’attaquant a peut-être effectué un déni de service sur le serveur légitime afin qu’il n’interfère pas avec cette attaque.

Risque:

Dénis de service.



Liaison de donnéesDHCP: Faux serveurs


Source de la figure: http://gregsowell.com/?p=1133

http://gregsowell.com/?p=1133


Faux serveur DHCP – Contre-mesures

Certains commutateurs CISCO offrent la fonctionnalité DHCP

Snooping permettant de déterminer quel port peut retourner un

message DHCP Offer.

Limite l’impact


Les fondements de l’Internet

Essential to the security of the Internet infrastructure is

ensuring the reliability and secure use of three key protocols:

the Internet Protocol (IP), the Domain Name System (DNS),

and the Border Gateway Protocol (BGP).

Extrait de The National Strategy to Secure Cyberspace, É.U. 2003


BGP – Rappel

Le Border Gateway Protocol (BGP) est le principal algorithme

de routage de l’Internet.

Ce protocole permet de maintenir les préfixes des adresses IP

associées à chaque système autonome (AS).

Chaque AS doit connaître vers qui envoyer chaque paquet IP.


BGP – Attaques

Réinitialisation de la session BGP entre deux routeurs

Injection de fausses informations BGP


Réinitialisation de la session BGP – Attaques

Vulnérabilité: La session BGP entre deux routeurs dépend de la

session TCP.

Menace: L’attaquant envoie de faux messages à un des routeurs

L’attaquant envoie un message BGP pour fermer la session BGP.

L’attaquant cherche à interrompre la session TCP.

Risque:

Dénis de service.

Les tables de routage sont instables (Routing Storms beaucoup de changements dans

les tables, baisse de performance pour les routeurs, …)

Divulgation d’informations qui ne devraient pas être routées par un AS.


Réinitialisation de la session BGP – Contre-mesures

Les messages BGP peuvent être authentifiés.

Signature MD5 utilisant un secret partagé entre deux routeurs.

L’implémentation du protocole TCP doit être robuste.

Voir TCP Détournement


Injection de fausses informations BGP – Attaques

Vulnérabilité: Les informations de routage BGP proviennent de

divers systèmes autonomes sans qu’il y ait une vérification

appropriée.

Menace: L’attaquant envoie de faux messages à un routeur BGP.

Établir une session non autorisée avec routeur BGP.

Injecter de fausses informations au sujet de préfixes IP.

Risque:

Dénis de service.

Les tables de routage sont instables (Routing Storms beaucoup de changements

dans les tables, baisse de performance pour les routeurs, …)

Divulgation d’informations qui ne devraient pas être routées par un AS.


Injection de fausses informations BGP – Contre-mesures

Pas d’organisme central de gestion de l’Internet.

Versions plus sécurisées du protocole:

S-BGP

So-BGP

…

Débat philosophique, idéologique, académique, …


DNS – Rappel

Le domain name system (DNS) conserve et associe les

informations pertinentes à un domaine.

Adresse IP

Mail Exchange Server acceptant les courriels pour ce domaine

...

Le protocole utilise le protocole UDP.

La sécurité n’était pas une des spécifications du protocole.


DNS – Rappel

Les serveurs DNS reçoivent régulièrement des requêtes du type:

DNS Query (Quelle est l’adresse de www.jmr.ca?)

Ils ont alors deux choix:

Répondre à la requête (Mode Itératif)

DNS Answer: www.jmr.ca 1.2.3.4

Tout en mentionnant si l’information provient de la mémoire cache ou si le serveur est l’autorité

responsable de ce domaine.

DNS Answer: www.jmr.ca ?.?.?.?

Voici une liste de serveurs DNS qui pourraient répondre.

Effectuer une autre requête (Mode récursif)


Cette nouvelle requête est envoyée vers d’autres serveurs DNS.


DNS – Rappel

Serveurs DNS envoient régulièrement des requêtes du type :


Serveurs DNS reçoivent alors des réponses du type

DNS Answer (www.jmr.ca 1.2.3.4)

Ces réponses ne sont pas authentifiées (pas de cryptographie)

Numéro permettant d’associer une réponse à une question (16 bits).

Toutefois, ce numéro peut être deviné. D’anciennes versions de BIND utilisaient un

compteur incrémental.

Port UDP du client DNS (16 bits)

Toutefois, le logiciel client peut être amené à toujours utiliser le même port pour faciliter

la configuration du pare-feu.

Il est simple de forger une réponse malicieuse à une question légitime.


DNS – Rappel

Protocole

UDP Port 53

TCP – si un paquet de 512 octets n’est pas suffisant

Taille maximale des paquets UDP: 512 octets

Limite des 13 root servers (A à M)

Serveur

Cache local

Conserve un enregistrement pour un certain temps (TTL)

Requêtes externes (itératives ou récursives)

BIND: serveur DNS le plus populaire


DNS – Rappel

ISP

Authoritative

Nameserver

Root

Nameserver

1. Query – www.jmr.com

6. Answer – 1.2.3.4

ns.jmr.com

http://upload.wikimedia.org/wikipedia/commons/c/cc/DNS_iterations.svg

Jean-Marc Robert, ETS 44Vulnérabilités des protocoles - A11

DNS – Ce que nous espérons

Query: www.etsmtl.ca

Answer:

Query: Copie de la requête

Answer: I do not know

Authoritative Nameserver: etsmtl.ca 86400 IN NS ns3.etsmtl.ca

Additional section: ns3.etsmtl.ca 604800 IN A 142.137.251.14

ou


Answer: www.etsmtl.ca 86400 IN A 142.137.250.50


DNS cache poisoning

Vulnérabilité: Les messages DNS ne sont pas authentifiés.

Menace: L’attaquant envoie de faux messages à un serveur

DNS local.

Risque:

Redirection du trafic légitime


DNS cache poisoning – Attaque I


Answer:



Authoritative Nameserver: desjardins.com 3600 IN NS ns3.etsmtl.ca


L’information n’est pas reliée à la question. Il faut l’ignorer!


DNS cache poisoning – Attaque II


Answer:



Authoritative Nameserver: etsmtl.ca 3600 IN NS ns.hack.com

Additional section: ns.hack.com 86400 IN A 1.2.3.4

L’information n’est pas reliée à la question.

ns.hack.com est le présumé Authoritative Name Server.

Douteux! Pas le même domaine.


DNS cache poisoning – Attaque III


Answer:





ou


Answer: www.etsmtl.ca 86400 IN A 1.2.3.4

Mais 1.2.3.4 est frauduleux!


Vulnérabilité - difficulté

Il faut que l’attaquant puisse connaître

Le numéro de transaction de la requête (QID)

Le port UDP source utilisé lors de la requête

Ces réponses ne sont pas authentifiées

QID associe une réponse à une question (16 bits).

D’anciennes versions de BIND utilisaient un compteur.

Port UDP du serveur DNS (16 bits)

Mais, un serveur DNS peut utiliser un seul port (p.ex. 53).

Il est donc simple de forger une réponse.


DNS cache poisoning


Nouvelle attaque:

Dan Kaminsky – Été 2008 Faire une requête pour un site inexistant dans le domaine à

attaquer.

Query: aaa.etsmtl.ca

Answer:


Answer: aaa.etsmtl.ca 120 IN A 1.2.3.4



Mais 1.2.3.4 et 1.2.3.5 sont frauduleux!


Nouvelle attaque:

Dan Kaminsky – Été 2008 Envoyer la requête aaa.etsmtl.ca vers le DNS d’un ISP

Le DNS a deux choix:

Il n’a pas le Autoritative Name Server de etsmtl.ca.

Il fait une requête au Root Name Server.

Il fait une requête pour aaa.etsmtl.ca vers ns3.etsmtl.ca.

Sinon, il fait immédiatement une requête vers ns3.etsmtl.ca.

Répondre faussement à la requête faite à ns3.etsmtl.ca

Numéro pseudo-aléatoire: probabilité faible avec une seule requête

Remplacer l’adresse de ns3.etsmtl.ca dans le DNS de l’ISP


Nouvelle attaque:

Dan Kaminsky – Été 2008

Le coup de génie pour infecter le DNS d’un autre fournisseur

Afin d’augmenter la probabilité de succès, l’attaquant crée une

page web frauduleuse

<img src="http://aa1.etsmtl.ca/image.jpg"/>


…


Le serveur DNS va effectuer 1000 requêtes DNS vers

ns3.etsmtl.ca.


Nouvelle attaque:

Dan Kaminsky – Été 2008

Il est facile d’infecter le DNS de son propre fournisseur.

L’attaquant n’a qu’à faire les requêtes frauduleuses.

Toutefois, le fournisseur devrait bloquer ces nombreuses requêtes

fautives.


IP – Attaques

Vulnérabilités logicielles

Teardrop, Bonk attacks

Paquets fragmentés mal réassemblés.

Ping-of-death

Paquet IP de plus de 65,535 octets.

Land attack

Paquets IP avec la même adresse source et destination.

IP Spoofing


IP Spoofing – Attaque

Vulnérabilité: L’adresse source d’un paquet IP est contrôlée par

l’envoyeur.

Menace: L’attaquant peut envoyer des attaques tout en personnifiant

n’importe quelle source et ainsi espérer de ne pas être retracé.

Cas idéal: Slammer utilisait un paquet UDP.

Risque: Dépends de l’attaque réalisée.

Une seule solution: les ISP doivent vérifier la source des paquets –

ACL sur les routeurs aux points d’entrée.


ICMP – Rappel

Protocole utilisé principalement pour envoyer des messages de

contrôle et d’erreurs.

Echo Request, Echo Reply

Destination Unreachable

IP Redirect

Time Exceeded (TTL)


ICMP – Attaques

Vulnérabilités logicielles

IP Nuke : Nuke : packet mal formé dont la machine ne peut pas traiter!

Ping-of-death

Paquet IP de plus de 65,535 octets.

Inondation

Smurf Attack

Ping echo request à un réseau (12.34.x.x) en personnifiant la victime. Cette victime

reçoit une multitude de Ping echo reply.

ICMP Destination Unreachable ou Time Exceeded malicious

La victime peut alors interrompre sa communication.

ICMP Redirection


ICMP Redirect – Attaque

Vulnérabilité: Le protocole ICMP n’est pas authentifié.

Menace: L’attaquant peut envoyer un paquet ICMP Redirect à la

victime indiquant que l’attaqueur devient le routeur par défaut

de la victime.

Risque:

Dénis de service

Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient

pas être envoyées sur un port.


ICMP Redirect – Contre-mesure

Les messages ICMP Redirect ne devraient pas être acceptés.

Ni par les routeurs.

Ni par les serveurs.

Ni par les postes usager.


TCP – Rappel

Protocole de session permettant de créer un circuit virtuel entre

une source et un destination.

Accusés de réception

Ordonnancement des paquets

Numéros de séquence

Intégrité des paquets


TCP – Attaques

Vulnérabilité logicielle

Xmas tree

Paquet TCP avec tous les bits d’état à 1

TCP SYN Flood

Numéros de séquence prévisibles

TCP Reset

TCP Hijacking


TCP SYN Flood – Attaque

Vulnérabilité: Seulement un nombre limité de connexions peut être

dans l’état Half-open.

Menace: L’attaquant inonde la victime avec des paquets TCP SYN

dont l’adresse IP source est fausse.

Risque:

Dénis de service.

SYNFlood.pptx

http://fr.wikipedia.org/wiki/Fichier:Tcp_normal_2.png

http://fr.wikipedia.org/wiki/Fichier:Tcp_normal_2.png


TCP SYN Flood – Contre-mesures

Systèmes d’exploitation modernes

SYN Cache

SYN Cookies

Pare-feu analysant les communications TCP.


TCP Numéro de séquence – Rappel

TCP réordonne les paquets selon leur numéro de séquence.

Les paquets sont acceptés seulement si leur numéro

correspond à un intervalle.


TCP Reset Flood – Attaque

Vulnérabilité: Les paquets TCP ne sont authentifiés que par leur

numéro de séquence et leurs paramètres de session.

Menace: L’attaquant inonde la victime avec des paquets TCP RST

afin d’interrompre une connexion.

Risque:

Dénis de service.


TCP Reset Flood – Contre-mesures

Numéros de séquence imprévisibles

RFC 1948 – Defending Against Sequence Number Attacks

Petits intervalles de validité.

Perte de robustesse.


TCP Hijacking – Attaque

Vulnérabilité: Les applications authentifient généralement les

participants seulement lors des ouvertures de session.

Menace: L’attaquant écoute une communication puis après que le

participant s’est authentifié, il injecte des paquets dans la

connexion.

Interrompt la connexion du point de vue du client.

Personnifie le client face au serveur.

Risque:

Dénis de service

Divulgation d’informations sensibles qui ne peuvent être obtenues qu’après

authentification.


TCP Hijacking – Contre-mesures

Utilisation de protocoles cryptographiques tels que SSL.


Conclusions

L’Internet prit naissance avec le projet Arpanet qui regroupait

une dizaine de sites.

La sécurité ne fut donc pas un aspect important pris en compte

lors des spécifications.

Il en résulte que pour le bon fonctionnement de l’Internet, les

pare-feu, les systèmes de détection d’intrusion, les systèmes de

prévention d’intrusion, … sont essentiels.

Documents

Génie logiciel et des TI - cours.etsmtl.ca · permettre l’échange d’information entre chercheurs. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 4 4 ... interconnecter