Upload
dangdiep
View
217
Download
0
Embed Size (px)
Citation preview
Jean-Marc Robert, ETS 2Vulnérabilités des protocoles - A11 2
Plan de présentation
Introduction
Vulnérabilités des protocoles
Niveau 2: Ethernet
Niveau 3: BGP, IP spoofing, ICMP
Niveau 4: TCP
Niveau 7: DNS, DHCP
Conclusions
Jean-Marc Robert, ETS 3Vulnérabilités des protocoles - A11 3
D’hier à …
L’Internet a évolué dans les années ‘70
à partir du diagramme ci-contre. La
sécurité n’était pas une des spécifications
initiales.
Le réseau expérimental était utilisé
afin de développer les protocoles de
télécommunication.
Le réseau Arpanet a servi très tôt à
permettre l’échange d’information entre chercheurs.
Jean-Marc Robert, ETS
Et la sécurité?!!!
6
MGR850 - H12Chamseddine Talhi, ÉTS
• Je suis occupé
• La performance
d’abord
• C’est pas urgent
• Mais je n’ai rien à
cacher
Motivations & Contexte
Jean-Marc Robert, ETS
Plusieurs couches, plusieurs opportunités
7
MGR850 - H12Chamseddine Talhi, ÉTS
Motivations & Contexte
Jean-Marc Robert, ETS
Et plusieurs façons d’attaquer!
8
MGR850 - H12Chamseddine Talhi, ÉTS
Communications Différents types d’attaques
Adapté de: P. Bétouin, C. Blancher et N. Fischbach, Protocoles réseau : grandeur et décadence,
Symposium sur la Sécurite des Technologies de l'Information et de la Communication (SSTIC), 2005.
Motivations & Contexte
Jean-Marc Robert, ETS 9Vulnérabilités des protocoles - A11 9
Ethernet – Rappel
Ethernet est le protocole développé de 1973-75 pour interconnecter des ordinateurs dans un réseau local.
Ethernet est maintenant utilisé pour de très grands réseaux –Metro Ethernet.
Principales propriétés
Chaque interface réseau doit posséder une adresse MAC unique (48-bit).
Déploiement classique Connexion point à point entre les équipements.
Réseau composé de concentrateurs (hubs) et de commutateurs (switches).
Un répétiteur ne fait que diffuser de façon générale les paquets (broadcast).
Un commutateur peut diriger un paquet vers un port spécifique s’il peut déterminer à quel sous réseau appartient le destinataire du paquet. Sinon, le paquet est diffusé de façon générale. Un commutateur utilise une table de correspondance (CAM) afin de déterminer à quel
port est associée une adresse MAC.
Jean-Marc Robert, ETS 10Vulnérabilités des protocoles - A11 10
Ethernet – Attaques
Inondation de la CAM
Mystification de l’adresse MAC (MAC spoofing)
Mystification du message ARP (ARP spoofing)
Jean-Marc Robert, ETS 11Vulnérabilités des protocoles - A11 11
Inondation de la CAM – Rappel
Le commutateur utilise sa table CAM afin de déterminer à quel port est rattachée la carte réseau ayant l’adresse MAC donnée.
Content-addressable memory (CAM) Table: Tableau permettant de retrouver rapidement une valeur associée à une entrée. Mémoire associative
La taille de la CAM varie selon le commutateur: 16K, 32K, 128K, …
@MAC (Media Access Control) Port
37:a2:47:63:80:60:05:25:8e:4f:28:f7 1
57:c2:27:53:70:2b:92:ba:3e:cd:78:f7 2
17:b2:37:53:39:68:04:35:8b:cf:23:a7 2
37:a1:47:63:80:60:05:25:8e:4f:28:f7 3
Jean-Marc Robert, ETS 12Vulnérabilités des protocoles - A11 12
Inondation de la CAM – Attaque
Vulnérabilité: Lorsqu’une adresse ne se retrouve pas dans la CAM, le commutateur diffuse le paquet sur tous les ports.
Menace: L’attaquant inonde le commutateur avec de faux paquets.
Le commutateur ajoute ces pairs (MAC, Port) dans sa table CAM. Lorsque cette table est pleine, il enlève des entrées qui étaient déjà là.
Lorsqu’une entrée valide est enlevée, tout le trafic y étant associé est maintenant diffusé sur tous les ports.
Logiciel macof permet de créer des paquets avec des adresses MAC et IP aléatoires.
Risque:
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Logiciel d’analyse de trafic Ethereal / Wireshark.
Jean-Marc Robert, ETS
Liaison de donnéesCAM: Inondation
13MGR850 - H12Chamseddine Talhi, ÉTS
Source de la figure:
http://ciscodocuments.blogspot.com/2011/05/chapter-06-
securing-campus.html
• Risque:
Atteinte à la
confidentialité
Jean-Marc Robert, ETS 14Vulnérabilités des protocoles - A11 14
Inondation de la CAM – Contre-mesures
Limiter le nombre d’adresses MAC permises sur un port donné.
Limiter la durée qu’une adresse sera assignée à un port.
Une fois pleine de fausses entrées, la table se videra d’elle-même.
Assigner des adresses MAC statiques à des ports.
Ces adresses ne seraient jamais enlevées si la table devenait pleine.
Les adresses des serveurs ou des équipements importants sont ainsi
configurées dans le commutateur.
Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.
Jean-Marc Robert, ETS 15Vulnérabilités des protocoles - A11 15
Mystification de l’adresse MAC – Attaque
Vulnérabilité: Lorsqu’une adresse MAC apparaît sur un autre port, le commutateur met à jour sa table CAM.
Menace: L’attaquant inonde le commutateur avec de faux paquets ayant l’adresse MAC ciblée (avec une vraie adresse IP ou non).
Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table CAM et enlève celle qui était déjà là. Concurrence critique avec l’ordinateur légitime.
Logiciel macof permet de créer ces paquets.
Risque:
Dénis de service
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port.
Jean-Marc Robert, ETS 16Vulnérabilités des protocoles - A11 16
Mystification de l’adresse MAC – Contre-mesures
Assigner des adresses MAC statiques à des ports.
Ces adresses ne seront jamais enlevées.
Les adresses des serveurs ou des équipements importants sont ainsi
configurées dans le commutateur.
Les adresses MAC sont obtenues lors de la requête DHCP.
Éviter d’utiliser une adresse IP avec une autre adresse MAC.
Fonctionnalité CISCO/Nortel.
Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.
Jean-Marc Robert, ETS 18Vulnérabilités des protocoles - A11 18
Mystification du message ARP – Attaque
Vulnérabilité: Toute personne peut clamer être le propriétaire d’une adresse IP donnée (Gratuitous ARP Reply).
Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet Man-in-the-middle.
Pour l’intervenant A, l’attaquant possède l’adresse IP de B. Gratuitous ARP Reply avec l’adresse MAC de l’attaquant et l’adresse IP de B.
Pour l’intervenant B, l’attaquant possède l’adresse IP de A. Gratuitous ARP Reply avec l’adresse MAC de l’attaquant et l’adresse IP de A.
Logiciels dsniff et ettercap.
Risque:
Dénis de service.
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port.
Jean-Marc Robert, ETS 22Vulnérabilités des protocoles - A11 22
Mystification de l’adresse ARP – Contre-mesures
Les adresses MAC sont obtenues lors de la requête DHCP.
Éviter d’utiliser une adresse IP avec une autre adresse MAC.
Éviter de considérer les Gratuitous ARP Reply.
Fonctionnalité CISCO/Nortel.
Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.
Jean-Marc Robert, ETS 23Vulnérabilités des protocoles - A11 23
DHCP – Rappel
Le Dynamic Host Configuration Protocol permet à un
système d’obtenir sa configuration réseau afin qu’il puisse se
joindre à une infrastructure IP.
Adresse IP
Masque du réseau
Routeur par défaut
Serveur DHCP
Le protocole est encapsulé dans le protocole IP.
Jean-Marc Robert, ETS 24Vulnérabilités des protocoles - A11 24
DHCP – Rappel
DHCP Discover (Broadcast)
DHCP Request (Broadcast)
DHCP Offer (Unicast)
DHCP Ack (Unicast)
DHCP Server
Jean-Marc Robert, ETS 25Vulnérabilités des protocoles - A11 25
DHCP – Attaques
Épuisement des adresses IP – DCHP Starvation
Faux serveur DHCP
Jean-Marc Robert, ETS 26Vulnérabilités des protocoles - A11 26
Épuisement des adresses IP – Attaque
Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées.
Menace: L’attaquant inonde le serveur DHCP.
L’attaquant inonde le serveur avec des messages DHCP Request afin de
réserver toutes les adresses IP disponibles.
L’attaquant se doit d’utiliser de nouvelles adresses MAC pour chaque requête.
Risque:
Dénis de service.
Jean-Marc Robert, ETS
Liaison de donnéesDHCP: Épuisement des adresses IP
27MGR850 - H12Chamseddine Talhi, ÉTS
Source de la figure: http://gregsowell.com/?p=1133
Jean-Marc Robert, ETS 28Vulnérabilités des protocoles - A11 28
Épuisement des adresses IP – Contre-mesures
Limiter le nombre d’adresses MAC permises sur un port
donné.
Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.
Jean-Marc Robert, ETS 29Vulnérabilités des protocoles - A11 29
Faux serveur DHCP – Attaque
Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées.
Menace: L’attaquant personnifie le serveur DCHP.
L’attaquant répond avec un DHCP Offer afin de fournir de fausses indications à l’usager. Fausses adresses IP et réseau
Faux routeur par défaut
L’adresse de l’attaquant si celui veut voir tout le trafic de la victime.
Faux serveur DHCP
L’attaquant a peut-être effectué un déni de service sur le serveur légitime afin qu’il n’interfère pas avec cette attaque.
Risque:
Dénis de service.
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port.
Jean-Marc Robert, ETS
Liaison de donnéesDHCP: Faux serveurs
30MGR850 - H12Chamseddine Talhi, ÉTS
Source de la figure: http://gregsowell.com/?p=1133
Jean-Marc Robert, ETS 31Vulnérabilités des protocoles - A11 31
Faux serveur DHCP – Contre-mesures
Certains commutateurs CISCO offrent la fonctionnalité DHCP
Snooping permettant de déterminer quel port peut retourner un
message DHCP Offer.
Limite l’impact
Jean-Marc Robert, ETS 32Vulnérabilités des protocoles - A11 32
Les fondements de l’Internet
Essential to the security of the Internet infrastructure is
ensuring the reliability and secure use of three key protocols:
the Internet Protocol (IP), the Domain Name System (DNS),
and the Border Gateway Protocol (BGP).
Extrait de The National Strategy to Secure Cyberspace, É.U. 2003
Jean-Marc Robert, ETS 33Vulnérabilités des protocoles - A11 33
BGP – Rappel
Le Border Gateway Protocol (BGP) est le principal algorithme
de routage de l’Internet.
Ce protocole permet de maintenir les préfixes des adresses IP
associées à chaque système autonome (AS).
Chaque AS doit connaître vers qui envoyer chaque paquet IP.
Jean-Marc Robert, ETS 34Vulnérabilités des protocoles - A11 34
BGP – Attaques
Réinitialisation de la session BGP entre deux routeurs
Injection de fausses informations BGP
Jean-Marc Robert, ETS 35Vulnérabilités des protocoles - A11 35
Réinitialisation de la session BGP – Attaques
Vulnérabilité: La session BGP entre deux routeurs dépend de la
session TCP.
Menace: L’attaquant envoie de faux messages à un des routeurs
L’attaquant envoie un message BGP pour fermer la session BGP.
L’attaquant cherche à interrompre la session TCP.
Risque:
Dénis de service.
Les tables de routage sont instables (Routing Storms beaucoup de changements dans
les tables, baisse de performance pour les routeurs, …)
Divulgation d’informations qui ne devraient pas être routées par un AS.
Jean-Marc Robert, ETS 36Vulnérabilités des protocoles - A11 36
Réinitialisation de la session BGP – Contre-mesures
Les messages BGP peuvent être authentifiés.
Signature MD5 utilisant un secret partagé entre deux routeurs.
L’implémentation du protocole TCP doit être robuste.
Voir TCP Détournement
Jean-Marc Robert, ETS 37Vulnérabilités des protocoles - A11 37
Injection de fausses informations BGP – Attaques
Vulnérabilité: Les informations de routage BGP proviennent de
divers systèmes autonomes sans qu’il y ait une vérification
appropriée.
Menace: L’attaquant envoie de faux messages à un routeur BGP.
Établir une session non autorisée avec routeur BGP.
Injecter de fausses informations au sujet de préfixes IP.
Risque:
Dénis de service.
Les tables de routage sont instables (Routing Storms beaucoup de changements
dans les tables, baisse de performance pour les routeurs, …)
Divulgation d’informations qui ne devraient pas être routées par un AS.
Jean-Marc Robert, ETS 38Vulnérabilités des protocoles - A11 38
Injection de fausses informations BGP – Contre-mesures
Pas d’organisme central de gestion de l’Internet.
Versions plus sécurisées du protocole:
S-BGP
So-BGP
…
Débat philosophique, idéologique, académique, …
Jean-Marc Robert, ETS 39Vulnérabilités des protocoles - A11 39
DNS – Rappel
Le domain name system (DNS) conserve et associe les
informations pertinentes à un domaine.
Adresse IP
Mail Exchange Server acceptant les courriels pour ce domaine
...
Le protocole utilise le protocole UDP.
La sécurité n’était pas une des spécifications du protocole.
Jean-Marc Robert, ETS 40Vulnérabilités des protocoles - A11 40
DNS – Rappel
Les serveurs DNS reçoivent régulièrement des requêtes du type:
DNS Query (Quelle est l’adresse de www.jmr.ca?)
Ils ont alors deux choix:
Répondre à la requête (Mode Itératif)
DNS Answer: www.jmr.ca 1.2.3.4
Tout en mentionnant si l’information provient de la mémoire cache ou si le serveur est l’autorité
responsable de ce domaine.
DNS Answer: www.jmr.ca ?.?.?.?
Voici une liste de serveurs DNS qui pourraient répondre.
Effectuer une autre requête (Mode récursif)
DNS Query (Quelle est l’adresse de www.jmr.ca?)
Cette nouvelle requête est envoyée vers d’autres serveurs DNS.
Jean-Marc Robert, ETS 41Vulnérabilités des protocoles - A11 41
DNS – Rappel
Serveurs DNS envoient régulièrement des requêtes du type :
DNS Query (Quelle est l’adresse de www.jmr.ca?)
Serveurs DNS reçoivent alors des réponses du type
DNS Answer (www.jmr.ca 1.2.3.4)
Ces réponses ne sont pas authentifiées (pas de cryptographie)
Numéro permettant d’associer une réponse à une question (16 bits).
Toutefois, ce numéro peut être deviné. D’anciennes versions de BIND utilisaient un
compteur incrémental.
Port UDP du client DNS (16 bits)
Toutefois, le logiciel client peut être amené à toujours utiliser le même port pour faciliter
la configuration du pare-feu.
Il est simple de forger une réponse malicieuse à une question légitime.
Jean-Marc Robert, ETS 42Vulnérabilités des protocoles - A11 42
DNS – Rappel
Protocole
UDP Port 53
TCP – si un paquet de 512 octets n’est pas suffisant
Taille maximale des paquets UDP: 512 octets
Limite des 13 root servers (A à M)
Serveur
Cache local
Conserve un enregistrement pour un certain temps (TTL)
Requêtes externes (itératives ou récursives)
BIND: serveur DNS le plus populaire
Jean-Marc Robert, ETS 43Vulnérabilités des protocoles - A11 43
DNS – Rappel
ISP
Authoritative
Nameserver
Root
Nameserver
1. Query – www.jmr.com
6. Answer – 1.2.3.4
ns.jmr.com
Jean-Marc Robert, ETS 44Vulnérabilités des protocoles - A11
DNS – Ce que nous espérons
Query: www.etsmtl.ca
Answer:
Query: Copie de la requête
Answer: I do not know
Authoritative Nameserver: etsmtl.ca 86400 IN NS ns3.etsmtl.ca
Additional section: ns3.etsmtl.ca 604800 IN A 142.137.251.14
ou
Query: Copie de la requête
Answer: www.etsmtl.ca 86400 IN A 142.137.250.50
Jean-Marc Robert, ETS 45Vulnérabilités des protocoles - A11
DNS cache poisoning
Vulnérabilité: Les messages DNS ne sont pas authentifiés.
Menace: L’attaquant envoie de faux messages à un serveur
DNS local.
Risque:
Redirection du trafic légitime
Jean-Marc Robert, ETS 46Vulnérabilités des protocoles - A11
DNS cache poisoning – Attaque I
Query: www.etsmtl.ca
Answer:
Query: Copie de la requête
Answer: I do not know
Authoritative Nameserver: desjardins.com 3600 IN NS ns3.etsmtl.ca
Additional section: ns3.etsmtl.ca 86400 IN A 142.137.251.14
L’information n’est pas reliée à la question. Il faut l’ignorer!
Jean-Marc Robert, ETS 47Vulnérabilités des protocoles - A11
DNS cache poisoning – Attaque II
Query: www.etsmtl.ca
Answer:
Query: Copie de la requête
Answer: I do not know
Authoritative Nameserver: etsmtl.ca 3600 IN NS ns.hack.com
Additional section: ns.hack.com 86400 IN A 1.2.3.4
L’information n’est pas reliée à la question.
ns.hack.com est le présumé Authoritative Name Server.
Douteux! Pas le même domaine.
Jean-Marc Robert, ETS 48Vulnérabilités des protocoles - A11
DNS cache poisoning – Attaque III
Query: www.etsmtl.ca
Answer:
Query: Copie de la requête
Answer: I do not know
Authoritative Nameserver: etsmtl.ca 3600 IN NS ns3.etsmtl.ca
Additional section: ns3.etsmtl.ca 604800 IN A 1.2.3.4
ou
Query: Copie de la requête
Answer: www.etsmtl.ca 86400 IN A 1.2.3.4
Mais 1.2.3.4 est frauduleux!
Jean-Marc Robert, ETS 49Vulnérabilités des protocoles - A11
Vulnérabilité - difficulté
Il faut que l’attaquant puisse connaître
Le numéro de transaction de la requête (QID)
Le port UDP source utilisé lors de la requête
Ces réponses ne sont pas authentifiées
QID associe une réponse à une question (16 bits).
D’anciennes versions de BIND utilisaient un compteur.
Port UDP du serveur DNS (16 bits)
Mais, un serveur DNS peut utiliser un seul port (p.ex. 53).
Il est donc simple de forger une réponse.
Jean-Marc Robert, ETS 51Vulnérabilités des protocoles - A11
Nouvelle attaque:
Dan Kaminsky – Été 2008 Faire une requête pour un site inexistant dans le domaine à
attaquer.
Query: aaa.etsmtl.ca
Answer:
Query: Copie de la requête
Answer: aaa.etsmtl.ca 120 IN A 1.2.3.4
Authoritative Nameserver: etsmtl.ca 86400 IN NS ns3.etsmtl.ca
Additional section: ns3.etsmtl.ca 604800 IN A 1.2.3.5
Mais 1.2.3.4 et 1.2.3.5 sont frauduleux!
Jean-Marc Robert, ETS 52Vulnérabilités des protocoles - A11
Nouvelle attaque:
Dan Kaminsky – Été 2008 Envoyer la requête aaa.etsmtl.ca vers le DNS d’un ISP
Le DNS a deux choix:
Il n’a pas le Autoritative Name Server de etsmtl.ca.
Il fait une requête au Root Name Server.
Il fait une requête pour aaa.etsmtl.ca vers ns3.etsmtl.ca.
Sinon, il fait immédiatement une requête vers ns3.etsmtl.ca.
Répondre faussement à la requête faite à ns3.etsmtl.ca
Numéro pseudo-aléatoire: probabilité faible avec une seule requête
Remplacer l’adresse de ns3.etsmtl.ca dans le DNS de l’ISP
Jean-Marc Robert, ETS 53Vulnérabilités des protocoles - A11
Nouvelle attaque:
Dan Kaminsky – Été 2008
Le coup de génie pour infecter le DNS d’un autre fournisseur
Afin d’augmenter la probabilité de succès, l’attaquant crée une
page web frauduleuse
<img src="http://aa1.etsmtl.ca/image.jpg"/>
<img src="http://aa2.etsmtl.ca/image.jpg"/>
…
<img src="http://aa1000.etsmtl.ca/image.jpg"/>
Le serveur DNS va effectuer 1000 requêtes DNS vers
ns3.etsmtl.ca.
Jean-Marc Robert, ETS 54Vulnérabilités des protocoles - A11
Nouvelle attaque:
Dan Kaminsky – Été 2008
Il est facile d’infecter le DNS de son propre fournisseur.
L’attaquant n’a qu’à faire les requêtes frauduleuses.
Toutefois, le fournisseur devrait bloquer ces nombreuses requêtes
fautives.
Jean-Marc Robert, ETS 55Vulnérabilités des protocoles - A11 55
IP – Attaques
Vulnérabilités logicielles
Teardrop, Bonk attacks
Paquets fragmentés mal réassemblés.
Ping-of-death
Paquet IP de plus de 65,535 octets.
Land attack
Paquets IP avec la même adresse source et destination.
IP Spoofing
Jean-Marc Robert, ETS 56Vulnérabilités des protocoles - A11 56
IP Spoofing – Attaque
Vulnérabilité: L’adresse source d’un paquet IP est contrôlée par
l’envoyeur.
Menace: L’attaquant peut envoyer des attaques tout en personnifiant
n’importe quelle source et ainsi espérer de ne pas être retracé.
Cas idéal: Slammer utilisait un paquet UDP.
Risque: Dépends de l’attaque réalisée.
Une seule solution: les ISP doivent vérifier la source des paquets –
ACL sur les routeurs aux points d’entrée.
Jean-Marc Robert, ETS 57Vulnérabilités des protocoles - A11 57
ICMP – Rappel
Protocole utilisé principalement pour envoyer des messages de
contrôle et d’erreurs.
Echo Request, Echo Reply
Destination Unreachable
IP Redirect
Time Exceeded (TTL)
Jean-Marc Robert, ETS 58Vulnérabilités des protocoles - A11 58
ICMP – Attaques
Vulnérabilités logicielles
IP Nuke : Nuke : packet mal formé dont la machine ne peut pas traiter!
Ping-of-death
Paquet IP de plus de 65,535 octets.
Inondation
Smurf Attack
Ping echo request à un réseau (12.34.x.x) en personnifiant la victime. Cette victime
reçoit une multitude de Ping echo reply.
ICMP Destination Unreachable ou Time Exceeded malicious
La victime peut alors interrompre sa communication.
ICMP Redirection
Jean-Marc Robert, ETS 59Vulnérabilités des protocoles - A11 59
ICMP Redirect – Attaque
Vulnérabilité: Le protocole ICMP n’est pas authentifié.
Menace: L’attaquant peut envoyer un paquet ICMP Redirect à la
victime indiquant que l’attaqueur devient le routeur par défaut
de la victime.
Risque:
Dénis de service
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient
pas être envoyées sur un port.
Jean-Marc Robert, ETS 60Vulnérabilités des protocoles - A11 60
ICMP Redirect – Contre-mesure
Les messages ICMP Redirect ne devraient pas être acceptés.
Ni par les routeurs.
Ni par les serveurs.
Ni par les postes usager.
Jean-Marc Robert, ETS 61Vulnérabilités des protocoles - A11 61
TCP – Rappel
Protocole de session permettant de créer un circuit virtuel entre
une source et un destination.
Accusés de réception
Ordonnancement des paquets
Numéros de séquence
Intégrité des paquets
Jean-Marc Robert, ETS 62Vulnérabilités des protocoles - A11 62
TCP – Attaques
Vulnérabilité logicielle
Xmas tree
Paquet TCP avec tous les bits d’état à 1
TCP SYN Flood
Numéros de séquence prévisibles
TCP Reset
TCP Hijacking
Jean-Marc Robert, ETS 63Vulnérabilités des protocoles - A11 63
TCP SYN Flood – Attaque
Vulnérabilité: Seulement un nombre limité de connexions peut être
dans l’état Half-open.
Menace: L’attaquant inonde la victime avec des paquets TCP SYN
dont l’adresse IP source est fausse.
Risque:
Dénis de service.
Jean-Marc Robert, ETS 64Vulnérabilités des protocoles - A11 64
TCP SYN Flood – Contre-mesures
Systèmes d’exploitation modernes
SYN Cache
SYN Cookies
Pare-feu analysant les communications TCP.
Jean-Marc Robert, ETS 65Vulnérabilités des protocoles - A11 65
TCP Numéro de séquence – Rappel
TCP réordonne les paquets selon leur numéro de séquence.
Les paquets sont acceptés seulement si leur numéro
correspond à un intervalle.
Jean-Marc Robert, ETS 66Vulnérabilités des protocoles - A11 66
TCP Reset Flood – Attaque
Vulnérabilité: Les paquets TCP ne sont authentifiés que par leur
numéro de séquence et leurs paramètres de session.
Menace: L’attaquant inonde la victime avec des paquets TCP RST
afin d’interrompre une connexion.
Risque:
Dénis de service.
Jean-Marc Robert, ETS 67Vulnérabilités des protocoles - A11 67
TCP Reset Flood – Contre-mesures
Numéros de séquence imprévisibles
RFC 1948 – Defending Against Sequence Number Attacks
Petits intervalles de validité.
Perte de robustesse.
Jean-Marc Robert, ETS 68Vulnérabilités des protocoles - A11 68
TCP Hijacking – Attaque
Vulnérabilité: Les applications authentifient généralement les
participants seulement lors des ouvertures de session.
Menace: L’attaquant écoute une communication puis après que le
participant s’est authentifié, il injecte des paquets dans la
connexion.
Interrompt la connexion du point de vue du client.
Personnifie le client face au serveur.
Risque:
Dénis de service
Divulgation d’informations sensibles qui ne peuvent être obtenues qu’après
authentification.
Jean-Marc Robert, ETS 69Vulnérabilités des protocoles - A11 69
TCP Hijacking – Contre-mesures
Utilisation de protocoles cryptographiques tels que SSL.
Jean-Marc Robert, ETS 70Vulnérabilités des protocoles - A11 70
Conclusions
L’Internet prit naissance avec le projet Arpanet qui regroupait
une dizaine de sites.
La sécurité ne fut donc pas un aspect important pris en compte
lors des spécifications.
Il en résulte que pour le bon fonctionnement de l’Internet, les
pare-feu, les systèmes de détection d’intrusion, les systèmes de
prévention d’intrusion, … sont essentiels.