Spoofing IP

[SfyLer1]

Bonjour à tous <IMG SRC="images/smiles/icon_smile.gif"> <BR>Imaginez : <BR>j'ai un réseau de 35 pcs (entreprises) le tout switché et connecter au serveur principal et au parefeu/proxy/routeur <BR> <BR>sur le serveur principal (debian) je met un serveur dhcp qui attribue une ip suivant l'adresse MAC et et je simule windows NT avec samba 3, je restreint le priviléges des user du réseau et ils n'ont pas accès aux paramêtres réseaux. <BR> <BR>Mais j'ai fait un teste, si je boot en live sous knoppix sur une des machines et que je fait: <BR>#ifconfig eth0 ipPrincipaleDuServeur <BR>cette machine et le serveur ne répondent plus et tout le réseau est paralysé.... <BR>comment éviter que quelqu'un puisse faire ceci ? <BR> <BR>je vous remerci d'avance <BR>bien à vous. <BR>SfyLer

[JaDiuM]

Oui plusieurs, mais plus ou moin difficiles à mettre en oeuvre. <BR> <BR>1) Mettre en place un firewall bridge qui filtre tes flux en cohérence IP/MAC. <BR>2) Forcer tes clients et le serveur (-routeur) en ArpCache Static/Table cache. <BR>3) Voir si sur ton switch tu peux déclarer IP/MAC en static (Avec cut materiel). <BR>4) mettre en place un broadcast strict (Mise à jour du cache ARP en strict) <BR> <BR>Ou les 4 à la fois <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>Maintenant ce n'est un exemple. <BR> <BR> <BR>Cdt<BR><BR><font size=-2></font>

[Franck78]

En remplace IP par IPX ! <BR> <BR>C'est ce que j'aurais dis il y a quelques temps. <BR>(c'était moins évident d'arriver à ton probléme). <BR> <BR>Maintenant sauf a vouloir gérer toi meme comme <BR>indiqué par JAduiM, peut-être que la solution <BR>s'appelle IPV6 ? JaduiM ? <BR> <BR>Bye <BR>

[SfyLer1]

Je vois pas en quoi ipv6 changerai quelque chose... <BR>Si vous aviez une technique un peu moins compliqué sa serait mieu, enfin sa me parait vraiment bizarre que en deux ligne de commande (non une mdr) on puisse paralyser tout un réseau :[

[Franck78]

On va faire simple : tu fais du spoofing. <BR> <BR>L'autre nom de IPV6 est IpNg Next generation. Et la vraie <BR>différence c'est pas le nombre d'ip disponible mais la <BR>sécurisation du protocole. <BR>C'est du IpSEC, et tu n'arriveras pas a détourner vers ta <BR>machine le traffic en changeant simplement d'IP. <BR>

[antolien]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-04 03:41, Franck78 a écrit: <BR>On va faire simple : tu fais du spoofing. <BR> <BR>L'autre nom de IPV6 est IpNg Next generation. Et la vraie <BR>différence c'est pas le nombre d'ip disponible mais la <BR>sécurisation du protocole. <BR>C'est du IpSEC, et tu n'arriveras pas a détourner vers ta <BR>machine le traffic en changeant simplement d'IP. <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est faut, tu peux faire du spoofing aussi bien qu'en ip v4. C'est exactement pareil a part la longueur de l'@ip.

[Walkyrie]

Sauf votre respect mon Amiral <BR> <BR>Il faudrait m'expliquer comment on peut spoofer du AH + ESP (natif au protocole en question IPv6), qui met en oeuvre des méchanismes de confidentialité et d'intrégrité par procédé de chriffrement asymétrique, et donc la clef de session et recalculer a chaque fois <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>A moin que qq et trouver cette nuit le moyen de resourdre le problème du logarithme discret <BR> <IMG SRC="images/smiles/icon_find.gif">

[Franck78]

Antolien, j'ai bien dis spoofing. <BR> <BR>Maintenant si tu démarres avant l'autre avec son IP, <BR>j'ai pas approfondi. <BR> <BR>AH risque d'être d'accord par défaut. <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-04 11:00, Walkyrie a écrit: <BR>Sauf votre respect mon Amiral <BR> <BR>Il faudrait m'expliquer comment on peut spoofer du AH + ESP (natif au protocole en question IPv6), qui met en oeuvre des méchanismes de confidentialité et d'intrégrité par procédé de chriffrement asymétrique, et donc la clef de session et recalculer a chaque fois <BR> <BR>A moin que qq et trouver cette nuit le moyen de resourdre le problème du logarithme discret <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Attention... <BR>IPv6 inclut NATIVEMENT les mecanismes permettant de faire du AH et/ou du ESP, c'est à dire que les headers correspondant à ces protocoles sont definis dans la norme, et que l'on peut les implémenter... <BR> <BR>Cela ne signifie absolument pas que IPSec soit utilisé dans toute connection IPv6. <BR>En effet, pour ce faire il faut deja avoir en place une PKI, ou autre moyen de gestion des clefs... <BR>L'implementation de microsoft ne supporte pour l'instant que des clefs statiques !!! Autant dire un peu dur à mettre en place ! <BR> <BR>Perso, dans les quelques tentatives de mises en place de v6 que j'ai faites, IPSec n'a jamais été activé (c'est deja pas simple d'assimiler tous les nouveaux mecanismes, attributions automatiques d'adresses etc.. sans avoir en plus à se prendre la tete avec de la gestion de clefs !).. <BR> <BR>Donc je dirais que avec les architectures v6 en place actuellement, le spoofing est totalement possible (d'ailleurs deja testé, avec les mêmes resultat qu'en v4 en ce qui concerne les problèmes engendrés en cas de vol d'adresse statique... )... <BR> <BR>Thomas

[JaDiuM]

Lol la polémique du jour <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Et moi je surenchéris en disons non le spoof n'est pas possible <IMG SRC="images/smiles/icon_smile.gif">, car même sans l'usage d'ipsec qui est natif (effectivement), les headers empechent le source routing. <BR> <BR>Par contre la collision IP est tout à fait possible, de même que le DoS, ce qui permet de faire tomber l'hote cible et de prendre sa place <BR> <BR>Donc non, no spoof avec les moyens traditionnels <IMG SRC="images/smiles/icon_smile.gif">, maintenant ce que nous réserve le futur <IMG SRC="images/smiles/icon_smile.gif"> (la mecanique quantique pourrait résoudre ce type de contrainte héhé). <BR> <BR> <BR> <BR>Cdt <IMG SRC="images/smiles/icon_bise.gif">

[tomtom]

<IMG SRC="images/smiles/icon_bise.gif"> <BR>C'est exact, mais c'est bien de cela qu'on parle depuis le debut du topic, no ? <BR><IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>D'ailleurs, je pesne qu'il est possible de faire du source routing en jouant sur les routing headers... Mais j'avoue n'avoir jamais regardé plus loin... <BR> <BR>t.

[Walkyrie]

Le fait de ne pas implémenter la sécurité sous V6 est un problème de compatibilité descendente v4to6, néccessaire à la migration progressive du réseau et du manque de de matériel et OS implémente correctement V6 actuellement <BR> <BR>Dés lors je suis d'accort , qu'il y a actuellement la possibilité de spoofer etant donné que le chaine de confiance n'est pas de bout en bout. <BR> <BR>Néanmoins on peut pas dire que l'on peut spoofer V6 d'un point de vue théorique, car la "faille" actuelle n'a pas lieu dans un implémentation compléte exsangue de compatibilité V4. <BR>

[SfyLer1]

ipv6 solution ?

[JaDiuM]

Bonsoir, <BR> <BR>Une solution plus terre à terre et viable <!-- BBCode u2 Start --><A HREF="http://www.nufw.org/" TARGET="_blank">ici, mecanisme plutôt efficace</A><!-- BBCode u2 End --> <BR> <BR> <BR>Cdt