IpCop et l'anti-spoofing

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IpCop et l'anti-spoofing

Messagepar gfazio » 16 Fév 2006 13:37

Bonjour à tous,

j'utilise IpCop 1.4.10 sur i386, 4 cartes Eth (Green-Orange-Blue-Red).

Je me demandais si lors de l'installation les règles d'anti-spoofing sont automatiquements appliquées?
Et si oui, sont-elles explicitement appliquées avec ipchains?

Merci
Salutations
I Secure MySelf
8-)
gfazio
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 16 Fév 2006 13:25

Messagepar jdh » 16 Fév 2006 14:38

Des techniques anti-spoofing sont intégrées au noyau. Elles sont donc compilées au sein de la stack ip du noyau.

Il existe des parametres noyau pour les activer (ou désactiver) :

/proc/sys/net/ipv4/conf/????/rp_filter (avec ???? selon l'interface). (c'est actif par défaut bien sur).

C'est une bonne question mais c'est une possibilité bien connue et depuis longtemps, donc on peut supposer qu'IPCOP étant établi depuis longtemps lui aussi, traite correctement ce pb.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Joffrey » 16 Fév 2006 18:43

IpCop gère peut être l'IP spoofing, mais l'ARP Spoof et le MAC Spoof passent comme une lettre à la poste...
Bon OK, ça dépend surtout du switch derrière l'Ipcop, mais quelques routeurs (cisco notamment) savent détecter et bloquer l'ARP poisoning même si le switch se fait corrompre.
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar jdh » 16 Fév 2006 19:19

Le MAC spoof ? Imaginons la situation suivante : un IPCOP est face au routeur d'un FAI (en Red) (cable croisé en principe).

Quelles seront les adresses MAC présente sur le câble en RED ? Seulement 2 adresses MAC seront présentes : celle de la carte Red et celle de l'interface du routeur. Donc je ne vois pas vraiment le problème.

Le ARP poisonning consiste en la corruption de la table ARP d'un switch dont la taille est évidemment limitée. Je ne suis pas sur que la stack ip d'un noyau Linux soit sensible du fait de timer destiné à parer les attaques en Denial of Service.

Je lis notamment la revue MISC depuis le n° 1. Je n'y ai pas vu beaucoup de référence (hors la description) à l'ARP spoof "qui passent comme une lettre à la poste". Merci de me donner quelques références. Cela interessera tous les contributeurs attentifs ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Joffrey » 17 Fév 2006 10:51

Ces attaques ne viennent evidemment pas du wan, mais du lan ou wlan. C'est bien pour ça que snort sniff aussi sur bleu et vert.
Un externe qui branche son laptop sur une prise ethernet, un AP mal sécu, ... les intrusions sur vert et bleu sont possibles.

http://ettercap.sourceforge.net/

http://www.oxid.it/

http://www.oxid.it/downloads/apr-intro.swf
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54

Messagepar gfazio » 17 Fév 2006 11:01

hello..
pour éviter des problèmes de corruptions ARP/MAC il faudrait coder dans le Switch ou FW quelles adresses MAC sont reconnues comme directement connectées ..
vous connaissez des produits qui ont cette fonctionnalité?

A+
I Secure MySelf
8-)
gfazio
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 16 Fév 2006 13:25

Messagepar Joffrey » 17 Fév 2006 11:10

Je sais que Cisco l'intègre dans ses switchs, avec d'autres astuces pour éviter la saturation de sa memoire. D'autres marques doivent proposer ce genre de parade, mais jamais dans les modèles à - de 200 € :wink:
Joffrey
Premier-Maître
Premier-Maître
 
Messages: 52
Inscrit le: 08 Juil 2005 01:54


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité