Bonjour à tous,
j'utilise IpCop 1.4.10 sur i386, 4 cartes Eth (Green-Orange-Blue-Red).
Je me demandais si lors de l'installation les règles d'anti-spoofing sont automatiquements appliquées?
Et si oui, sont-elles explicitement appliquées avec ipchains?
Merci
Salutations
IpCop et l'anti-spoofing
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
par jdh » 16 Fév 2006 14:38
Des techniques anti-spoofing sont intégrées au noyau. Elles sont donc compilées au sein de la stack ip du noyau.
Il existe des parametres noyau pour les activer (ou désactiver) :
/proc/sys/net/ipv4/conf/????/rp_filter (avec ???? selon l'interface). (c'est actif par défaut bien sur).
C'est une bonne question mais c'est une possibilité bien connue et depuis longtemps, donc on peut supposer qu'IPCOP étant établi depuis longtemps lui aussi, traite correctement ce pb.
Il existe des parametres noyau pour les activer (ou désactiver) :
/proc/sys/net/ipv4/conf/????/rp_filter (avec ???? selon l'interface). (c'est actif par défaut bien sur).
C'est une bonne question mais c'est une possibilité bien connue et depuis longtemps, donc on peut supposer qu'IPCOP étant établi depuis longtemps lui aussi, traite correctement ce pb.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Joffrey » 16 Fév 2006 18:43
IpCop gère peut être l'IP spoofing, mais l'ARP Spoof et le MAC Spoof passent comme une lettre à la poste...
Bon OK, ça dépend surtout du switch derrière l'Ipcop, mais quelques routeurs (cisco notamment) savent détecter et bloquer l'ARP poisoning même si le switch se fait corrompre.
Bon OK, ça dépend surtout du switch derrière l'Ipcop, mais quelques routeurs (cisco notamment) savent détecter et bloquer l'ARP poisoning même si le switch se fait corrompre.
- Joffrey
- Premier-Maître
- Messages: 52
- Inscrit le: 08 Juil 2005 01:54
par jdh » 16 Fév 2006 19:19
Le MAC spoof ? Imaginons la situation suivante : un IPCOP est face au routeur d'un FAI (en Red) (cable croisé en principe).
Quelles seront les adresses MAC présente sur le câble en RED ? Seulement 2 adresses MAC seront présentes : celle de la carte Red et celle de l'interface du routeur. Donc je ne vois pas vraiment le problème.
Le ARP poisonning consiste en la corruption de la table ARP d'un switch dont la taille est évidemment limitée. Je ne suis pas sur que la stack ip d'un noyau Linux soit sensible du fait de timer destiné à parer les attaques en Denial of Service.
Je lis notamment la revue MISC depuis le n° 1. Je n'y ai pas vu beaucoup de référence (hors la description) à l'ARP spoof "qui passent comme une lettre à la poste". Merci de me donner quelques références. Cela interessera tous les contributeurs attentifs ....
Quelles seront les adresses MAC présente sur le câble en RED ? Seulement 2 adresses MAC seront présentes : celle de la carte Red et celle de l'interface du routeur. Donc je ne vois pas vraiment le problème.
Le ARP poisonning consiste en la corruption de la table ARP d'un switch dont la taille est évidemment limitée. Je ne suis pas sur que la stack ip d'un noyau Linux soit sensible du fait de timer destiné à parer les attaques en Denial of Service.
Je lis notamment la revue MISC depuis le n° 1. Je n'y ai pas vu beaucoup de référence (hors la description) à l'ARP spoof "qui passent comme une lettre à la poste". Merci de me donner quelques références. Cela interessera tous les contributeurs attentifs ....
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Joffrey » 17 Fév 2006 10:51
Ces attaques ne viennent evidemment pas du wan, mais du lan ou wlan. C'est bien pour ça que snort sniff aussi sur bleu et vert.
Un externe qui branche son laptop sur une prise ethernet, un AP mal sécu, ... les intrusions sur vert et bleu sont possibles.
http://ettercap.sourceforge.net/
http://www.oxid.it/
http://www.oxid.it/downloads/apr-intro.swf
Un externe qui branche son laptop sur une prise ethernet, un AP mal sécu, ... les intrusions sur vert et bleu sont possibles.
http://ettercap.sourceforge.net/
http://www.oxid.it/
http://www.oxid.it/downloads/apr-intro.swf
- Joffrey
- Premier-Maître
- Messages: 52
- Inscrit le: 08 Juil 2005 01:54
par gfazio » 17 Fév 2006 11:01
hello..
pour éviter des problèmes de corruptions ARP/MAC il faudrait coder dans le Switch ou FW quelles adresses MAC sont reconnues comme directement connectées ..
vous connaissez des produits qui ont cette fonctionnalité?
A+
pour éviter des problèmes de corruptions ARP/MAC il faudrait coder dans le Switch ou FW quelles adresses MAC sont reconnues comme directement connectées ..
vous connaissez des produits qui ont cette fonctionnalité?
A+
I Secure MySelf
- gfazio
- Quartier Maître
- Messages: 17
- Inscrit le: 16 Fév 2006 13:25
par Joffrey » 17 Fév 2006 11:10
Je sais que Cisco l'intègre dans ses switchs, avec d'autres astuces pour éviter la saturation de sa memoire. D'autres marques doivent proposer ce genre de parade, mais jamais dans les modèles à - de 200 € 
- Joffrey
- Premier-Maître
- Messages: 52
- Inscrit le: 08 Juil 2005 01:54
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité