Expert - Détecter Dsniff (arpspoof) niveau Firewall / IDS

[webseb]

Bonjour à tous !

Suite à une autre discussion disponible à cette adresse (permettant de mieux cibler le contexte de ma question & quelques rappels sur l'arp cache poisoning) : http://forums.ixus.fr/viewtopic.php?t=38261 je me suis demandéé comment on pouvait détecter des outils comme Dsniff.

Pour rappel, l'arp spoofing (ou arp cache poisoning, par abus de langage pour moi c'est la même chose) est une attaque qui vise à corrompre le cache arp des machines (et pas des switchs...). En gros pour écouter le traffic entre machine A et machine B (attaque Man In The Middle classique) tu envoie des paquets ARP reply avec l'adresse IP de B et ton addresse MAC à la machine A et tu route les paquets reçus vers la machine B avec l'IP de A et ton adresse MAC. A croit que t'es B et B crois que t'es A : A<--->attaquant<---->B.

Plusieurs outils permettent de corrompre très facilement le cache ARP des machines (ettercap, dsniff, Cain & Abel, scapy(avec le saut de VLAN en option)). Mon but est de détecter l'utilisation de ces outils à partir d'une sonde Firewall/IDS placé à un endroit du réseau et sans rien installer sur les machines (impensable sur un réseau hétérogène de grande taille). Arpwatch me diraient vous !

Oui mais après quelques tests, je me suis rendu compte que cet outil n'était pas suffisant et fonctionne de la manière suivante :

- Broadcast ARP régulier afin de construire une table d'association mac/ip du réseau concerné et fait un diff avec le broadcast précédent afin de detecter des changements. -> Permet de détecter l'usurpation d'identité (et non l'arp cache poisoning), usurpations qui peuvent être facilement évitées en utilisant des fonctionnalitées comme port security chez cisco (l'auto-apprentissage des adresses mac), ca n'est pas le problème de ce post.
- Ecoute du réseau afin de détecter les paquets ARP reply et comparaison avec sa table afin de détecter l'ARP cache poisoning.

Le problème est que les outils cités précédemment ne fonctionnent pas tous de la même manière :

- Un outil (de noobs lol) comme Cain & Abel est assez bourrin et broadcast ses modifs vers toutes les machines du réseau. Pas de soucis donc pour la machine sur laquelle se trouve arpwatch qui reçoit sans rien demander l'arp reply généré par Cain. Notons quand même ici que même quelqu'un ne connaissant rien à l'informatique peut en deux click faire de l'arp spoofing, récupérer les mots de passe circulant sur le réseau (même celui de son admin préféré se connectant en telnet à son routeur cisco), et même écouter les conversations téléphoniques du réseau VoIP de sa boite, et tout ça en un outil, et sous windows. C'est à la portée de n'importe kel gamin de 10 ans...

- En revanche un outil comme Dsniff(arpspoof ou scapy) est beaucoup plus discret vu qu'il envoie le message arp reply en unicast directement à sa victime -> Un outil comme arpwatch ne peut donc rien contre Dsniff vu qu'il ne verra jamais passer les arp reply (à moins d'être la victime lol).

Un problème apparaît donc ici : que faire ? L'idéal serait de pouvoir interroger le cache arp de toutes les machines à distance et de faire des comparaisons. Mais cela pose d'autres problèmes : les différentes implémentations de tcp/ip sur un parc hétérogène, l'interval de temps entre les vérification, et de plus je ne sais pas si il est possible d'intérroger le cache arp des machines à distance (ça serai quand même bien...lol)

J'ai penser à la solution de spoofer l'ensemble du traffic réseau à travers la machine arpspoof, mais ça me paraît trop bourrin et doit introduire un temps de latence supplémentaire important voir innaceptable pour des services nécessitant de la QoS.

Voila, le sujet est donc ouvert, comment détecter un petit malin qui s'amuserait à écouter le traffic réseau de ses petits camarades ou de son administrateur sur un réseau local commuté?

PS : Après comment le bloquer une fois détecté est une autres question qui fait l'objet mon mon autre post cité au début de mon message.

[tomtom]

Salut,

Une méthode classique consiste à utiliser du port mirroring sur le switch et à placer la machine etherwatch (et autres sondes) sur ce port mirroré.
Cela implique bien sur d'avoir une interface avec un débit suffisant pour supporter l'ensemble du traffic et aussi que la sonde soit capable de stocker, analyser puis supprimer le traffic généré (sur de gros réseaux, c'est dur).

A+


t.

[Walkyrie_II]

... Merci monsieur pour le cours réseau du post précédent...

Hormis les contrôles à posteriori (cf tomtom), il y a aussi les solutions NAC pour ce prémunir.

[webseb]

J'y avais pensé, mais ça implique que le réseau sous-jacent doit posséder des switchs capable de faire du port mirroring (donc pas dans tous les réseaux malheuresement car c'est une bonne solution).

Je me situe plus dans l'optique d'une appliance (Firewall/IDS, antispam, filtrage url...) placée en tête de réseau ou à des endroits stratégique, permettant d'empêcher ce genre d'attaque (je travaille actuellement sur la sécurisation de la VoIP) mon but avec cette question est d'éviter en interne les écoutes téléphoniques, l'injection de traffic RTP, les sauts de VLAN etc... Je suis donc fortement dépendant du réseau à sécuriser, et si il ne possède pas de switch permettant de faire du port mirroring je suis coincé.

Merci pour cette réponse, c'était une bonne solution, mais je cherche plus un moyen d'interroger à distance le cache arp des machines (je ne sais pas encore si c'est possible). En tout cas je suis preneur de toute autre solution

[Walkyrie_II]

SIP ou H323 ?
chiffrement en interne jusqu'a la passerelle ?

Dans tout les cas pour la partie VOIP on pourra pas faire mieux que les articles de misc31

[jdh]

Les switchs administrables doivent bien avoir tous cette fonction de ports mirroring. Et en entreprise, je ne vois pas bien l'intérêt de ne pas utiliser de switchs administrables. La différence de coûts est assez faibles.

Pour avoir expérimenté, la "sonde" qui écoute le port mirroré doit être solide. Je confirme la réflexion de Tomtom sur le débit. (Souvent Tomtom écrit des choses justes !).

Il me semble qu'il doit aussi être possible d'interroger les tables d'adresses MAC des switchs administrables via SNMP pour détecter les ports ayant plusieurs MAC. On doit pouvoir croiser cela avec ce qu'on peut connaître des liens inter-switchs. Cela devrait bien identifier les ports "douteux".

[webseb]

Niveau signalisation tout -> SIP, H323, skinny, IAX2, MGCP, mais ca c'est pas un problème, un IpBX est facile à isoler avec une sonde.

Ce qui m'inquiète c'est le traffic RTP/RTCP entre deux machines (négocié directement et dynamiquement au niveau des ports une fois la signalisation établie) avec SIP ou H.323. Malheuresement tous les réseaux voix des PME ne sont pas chiffrés (ca serait trop beau), et des attaques de type Bid-down attack peuvent faire échouer les poignées de main SRTP/ZRTP faisant passer ainsi le traffic RTP en clair. Idem, si on peut faire de l'ARP cache poisoning, rien n'empêche de récupérer & stocker le traffic chiffré, puis de le décrypter tranquilement plus tard (si l'on veut un minimum de QoS, impossible de mettre en place un chiffrage trop fort).

Je ne serai malheuresement pas responsable des réseaux sous-jacents, si c'était le cas, chiffrage intégral (signalisation + trafic RTP) et Port Mirroring serai la solution idéale (c'est très loin d'être le cas partout...). Mon problème c'est vraiment l'arp cache poisonning en général (pas forcément que pour la VoIP).

[tomtom]

C'est bien beau d'aligner des acronymes, mais il faut reflechir un peu pour faire de la secu....
Sors de la technique :

- Que veux tu proteger ? (quelles données)
- Contre quoi/qui ?
- Quels sont les moyens à ta disposition / endroits où tu peux agir.

En clair, tu veux lutter contre une attaque qui exploite une faiblesse intrinsèque de la pile ip : Elle accepte des reponses ARP sans avoir effectué la demande, et en plus elle ne vérifie pas que la requete est bien formée (MAC SOURCE/MAC annoncée).

Pour lutter contre ça, tu n'as pas mille moyens :

- Agir au niveau de la station émettrice : Contrôle de ce que peuvent faire les processus sur les machines
- Agir au niveau des stations "cibles" -> faire un peu plus de vérifications sur ARP, utiliser du cache ARP statique, etc.
- Agir sur les actifs traversés. Dans ton cas, seulement le switch -> apprentissage, NAC, 802.1X, etc.
- Faire de la detection sur une sonde (impossible si tu ne peux pas intercepter tout le traffic au niveau du switch)
- Utiliser des mesures organisationelles : Controle des machines que l'on branche sur le reseau, etc.


Si tu ne peux agir sur rien de tout ça, ça va être dur de trouver des solutions......


t.

[webseb]

Les switchs administrables doivent bien avoir tous cette fonction de ports mirroring. Et en entreprise, je ne vois pas bien l'intérêt de ne pas utiliser de switchs administrables. La différence de coûts est assez faibles.

Pour avoir expérimenté, la "sonde" qui écoute le port mirroré doit être solide. Je confirme la réflexion de Tomtom sur le débit. (Souvent Tomtom écrit des choses justes !).

Il me semble qu'il doit aussi être possible d'interroger les tables d'adresses MAC des switchs administrables via SNMP pour détecter les ports ayant plusieurs MAC. On doit pouvoir croiser cela avec ce qu'on peut connaître des liens inter-switchs. Cela devrait bien identifier les ports "douteux".

Malheuresement non à moins d'avoir du bon matériel (ou un bon admin qui y aurait pensé, normalement dans tous les grands réseaux et bonnes PME, en revanche dans certaines petites PME/PMI ). Je ne serais malheuresement pas responsable des réseaux à protéger et rien ne me garantie que je vais pas y trouver de vieux switchs proposant le minimum de fonctionnalités (donc exit snmp & port mirroring , idem, je ne préfère même pas penser à snmp au niveau des machines).

De plus l'arp cache poisoning n'intervient pas sur la table de commutation du swicth (sinon des solutions style port security chez cisco résolveraient le problème, idem si c'est un vieux switch c'est mort...) mais sur le cache arp des machines directement. La seule solution (que j'ai trouvé, j'espère qu'il y en a d'autres) est de pouvoir détetecter les messages ARP Reply ou de pouvoir intéroger le cache arp des machines.

[webseb]

C'est bien beau d'aligner des acronymes, mais il faut reflechir un peu pour faire de la secu....
Sors de la technique :

- Que veux tu proteger ? (quelles données)
- Contre quoi/qui ?
- Quels sont les moyens à ta disposition / endroits où tu peux agir.

En clair, tu veux lutter contre une attaque qui exploite une faiblesse intrinsèque de la pile ip : Elle accepte des reponses ARP sans avoir effectué la demande, et en plus elle ne vérifie pas que la requete est bien formée (MAC SOURCE/MAC annoncée).

Pour lutter contre ça, tu n'as pas mille moyens :

- Agir au niveau de la station émettrice : Contrôle de ce que peuvent faire les processus sur les machines
- Agir au niveau des stations "cibles" -> faire un peu plus de vérifications sur ARP, utiliser du cache ARP statique, etc.
- Agir sur les actifs traversés. Dans ton cas, seulement le switch -> apprentissage, NAC, 802.1X, etc.
- Faire de la detection sur une sonde (impossible si tu ne peux pas intercepter tout le traffic au niveau du switch)
- Utiliser des mesures organisationelles : Controle des machines que l'on branche sur le reseau, etc.


Si tu ne peux agir sur rien de tout ça, ça va être dur de trouver des solutions......

Entièrement d'accord avec toi, crois moi je suis pas la pour balancer des acronymes à tout va (aucun intérêt, je répète d'ailleur plusieurs fois la même chose dans mes messages) et j'essaye d'avoir quelques retours de professionnels ayant déjà rencontré ces problèmes. (Je ne suis qu'en stage et je me dit que peut être quelqu'un de plus confirmé aurait une solution à laquelle je n'aurai pas pensé)

Je ne peux agir qu'au niveau d'une sonde, en touchant le moins possible au matériel actif et surtout pas aux machines (sinon tes solutions conviennent parfaitement et reviennent sur plusieurs forum & rapports), et effectivement c'est dur de trouver des solutions (je dois me démerder avec les moyens du bord et c'est pas toujours évident)

En tout cas merci à tous pour vos réponses et de prendre un peu de temps pour essayer de m'aider.

[Walkyrie_II]

....Je ne suis qu'en stage ....Je ne peux agir qu'au niveau d'une sonde, en touchant le moins possible au matériel actif et surtout pas aux machines ....

Et si on avait commencé par ça ! Ca me semble plutôt dimensionnant !!


Et pourquoi ça ?

Encore pour précision, je voudrai empécher l'arp spoofing à l'échelle d'un réseau entier (et pas au niveau d'une machine, sinon oui là, pas de problème, plein de solutions existent).

ça ne me semble pas cohérent d'un point de vu sécurité que de penser qu'avec une boite a coucou on puisse sécurisé tout un réseau.

Tomtom ou jdh me rectifierons peut-être, mais la sonde à plus vocation à être dédié à brin / un contexte, sinon c'est une usine a gaz et c'est potentiellement l'ouverture d'un accès privilégié sur tout le réseau. (il va bien faloir ouvrir pour qu'elle ai accès a tout le réseau..)
Dés lors la sonde devient le MITM tout puissant... Voila pour le concept, la technique je vous laisse.

Dsl, mais le 'cours' sur le poisson ning mets rester sur l'estomac.

[jdh]

Pour ce qui est de la sécurité de la voix sur IP, il y a eu un bon numéro de Misc il y a moins de 4 mois.

Cet abondance d'acronymes, ce stage, ces certitudes me paraissent peu clairs. Pas d'usage prolongé de Misc sans avis médical ...

La sécurité c'est une question de niveau. Choisir le niveau de risque donné et contrer les risques de niveau inférieurs. Point. Des failles de stacks ip c'est inhérent au codage des milliers de lignes nécessaires.

On peut ouvrir tous les tiroirs. Il faut à un moment se dire celui-là et celui-là je les ferme. Et on peut toujours croire que l'on va tous les fermer.

Les seuls amis sur lesquels on peut compter ce sont les matériels actifs et autres éléments de structure.

[Walkyrie_II]

...
Les seuls amis sur lesquels on peut compter ce sont les matériels actifs et autres éléments de structure....

Les hommes aussi ???

Désolé je flood.

[webseb]

Et si on avait commencé par ça ! Confused Ca me semble plutôt dimensionnant !!

Plusieurs outils permettent de corrompre très facilement le cache ARP des machines (ettercap, dsniff, Cain & Abel, scapy(avec le saut de VLAN en option)). Mon but est de détecter l'utilisation de ces outils à partir d'une sonde Firewall/IDS placé à un endroit du réseau et sans rien installer sur les machines (impensable sur un réseau hétérogène de grande taille). Arpwatch me diraient vous !

J'ai commencé par la dans mon premier message, mais c'est vrai que j'aurai peut être du plus détailler le contexte dans lequel je travaillais.

ça ne me semble pas cohérent d'un point de vu sécurité que de penser qu'avec une boite a coucou on puisse sécurisé tout un réseau.

Tomtom ou jdh me rectifierons peut-être, mais la sonde à plus vocation à être dédié à brin / un contexte, sinon c'est une usine a gaz et c'est potentiellement l'ouverture d'un accès privilégié sur tout le réseau. (il va bien faloir ouvrir pour qu'elle ai accès a tout le réseau..)
Dés lors la sonde devient le MITM tout puissant... Voila pour le concept, la technique je vous laisse.

Dsl, mais le 'cours' sur le poisson ning mets rester sur l'estomac. Embarassed

Je m'intéresse au réseau entier car je veux pouvoir protéger chaque IP phone / Softphone des attaques RTP, et si je peux également lutter contre l'ARP spoofing en général par la même occasion, ça serait une bonne chose. Maintenant une sonde firewall/IDS peut être placée à certains endroits spécifiques pour protéger certains segments, entre deux sites distants ou en tête de réseau (dans un réseau pas trop grand afin de protéger l'accès Internet genre Firewall Netasq ou encore Arkoon (je me situe plus dans ce contexte) et le but est de protéger et surtout pas ouvir un accès privilégié). Rien n'empêche non plus de disséminer plusieurs sondes (sur un grand réseau, on peut pas tout faire avec une seule sonde, c'est mieux de répartir lol).

Par contre tout le traffic réseau ne passe pas par la sonde (j'aurai pas de problème sinon lol), et même une sonde costeau introduirai une latence trop importante et serait vite débordée et inéfficace. La oui en cas de corruption t'a raison ca serai le MITM tout puissant. Dans mon cas elle est juste placée devant certains serveur en pont filtrant, ou pour protéger l'accès internet (fonctionne comme une passerelle filtrante WAN, LAN, DMZ). Mais elle ne protège en aucun cas du traffic qui circule directement entre les machines via les switchs.

J'ai nullement l'intention de la ramener sur le sujet, je ne fait que répondre à ta question avec ce que je connais, j'ai pas la science infuse, je peux me tromper et je suis certain que beaucoup ici en connaissent beaucoup plus que moi sur ce sujet.

A la base je pensais mettre arpwatch directement sur la sonde et détecter l'arp spoofing (ça n'aurait pas trop alourdi la sonde). Mais pour les raisons citées dans mon premier post cette solution n'est pas valable, d'ou ma présence ici

En ce qui concerne l'arp poisoning, désolé si mes propos ont pu être vexant ou manquaient de tact. Je n'ai nullement la prétention de donner un cours sur le sujet (je n'en n'ai ni l'expérience ni le recul). Simplement j'essayais d'être clair pour bien cibler la discussion sur mon problème.

Pour ce qui est de la sécurité de la voix sur IP, il y a eu un bon numéro de Misc il y a moins de 4 mois.

Cet abondance d'acronymes, ce stage, ces certitudes me paraissent peu clairs. Pas d'usage prolongé de Misc sans avis médical ...

En ce qui concerne cet article, je ne l'ai pas lu.

Je n'ai fait que répondre à une question qui m'a été posée, ça fait plusieurs mois que je travaille sur la sécurisation de la VoIP donc je me sentait capable de répondre (et c'était pas pour citer le plus d'acronyme possible) Pour moi c'est tout à fait clair sur ce sujet. Mais ce n'est pas le sujet principal de ce post, j'ai juste dit sur quoi je travaillais afin de préciser pourquoi je m'intéressait aux problèmes d'arp poisoning.

Et.... j'aimerai bien fermer tous les tiroirs...., du moins essayer lol, maintenant ce rève est peut être lié à la fougue et l'insouciance de ma jeunesse . Je sais qu'il me reste beaucoup de choses à apprendre, mais ce tiroir la (arp) je suis persuadé qu'il est refermable du moins j'essaye...

[jdh]

Les revues comme Misc sont une base. Cela évite de lancer un tel flot de phrases sans structure apparente (au contraire des articles).

J'ai retenu que l'envol de la VoIP est contrecarré par une sécurité plutôt faible (cela ne veut pas dire triviale). J'ai aussi compris qu'IPv6 devient chaque jour plus nécessaire (1 mobile pour 4 milliards d'individus c'est déjà supérieur au nombre maxi pratique d'IPv4). Et IPv6 entraîne certaines modifications pour des protocoles de base comme ARP (que dire de NAT !).

Si ce sujet doit continuer, il faudrait le limiter (fortement) à une question précise.