Sécurité des systèmes d'information. Techniques de capture de paquets et VLANs. Arnaud Calmejane Florent Poulain

Transcription

1 Sécurité des systèmes d'information Techniques de capture de paquets et VLANs Arnaud Calmejane Florent Poulain

2 Table des matières 1 Introduction Les hubs Les switchs Les VLANs Les protocoles de tagging Interception de paquets, attaques générales ARP Spoong Le principe Les contre-mesures Illustration MAC Flooding Le principe Les contre-mesures Application des attaques classiques en environement VLAN 8 4 Attaques VLAN Double encapsulation 802.1Q Notions importantes Principe de l'attaque Les contre-mesures Marquage 802.1Q ou ISL Notions importantes Principe de l'attaque Les contre-mesures Vlans privés Notion de Private VLAN Principe de l'attaque Les contre-mesures Bruteforce multicast Principe de l'attaque Les contre-mesures Attaques sur spanning tree Principe des attaques Les contre-mesures Random Frame Stress Principe de l'attaque Les contre-mesures Conclusion 15 6 Bibliographie 16 2/16

3 1 Introduction Tous les réseaux actuels font principalement intervenir 3 équipements de connexion (mis à part les points d'accès wi, et les postes d'utilisateurs/administration) : Les routeurs, les switchs (commutateurs) et les hubs (concentrateurs). Ces équipements, bien que ables et pratiques, ne sont pas forcéments des modèles de sécurité, n'étant pas vraiment conçus dans cette optique. Les techniques permettant d'écouter le trac d'un réseau ou d'en perturber le fonctionnement normal sont nombreuses. Ce dossier présente un panel de ces attaques, en se concentrant particulièrement sur le cas des VLANs, censés apporter une segmentation logique. 1.1 Les hubs Les hubs sont des éléments d'interconnexion physique (rj45 ou USB) intervenant au niveau 1 du modèle OSI. Appelés aussi des concentrateurs, ils permettent de connecter plusieurs machines, parfois disposées en étoile, ce qui leur vaut le nom de hub (signiant moyeu de roue en anglais ; la traduction française exacte est répartiteur), pour illustrer le fait qu'il s'agit du point de passage des communications des diérentes machines. Le point important dans le comportement d'un hub est qu'il diuse les paquets qu'il reçoit sur l'ensemble de ses connexions, mettant en jeu la notion de condentialité. 1.2 Les switchs Un switch (commutateur réseau en français), est un pont multiport agissant au niveau 2 du modèle OSI. À la diérence du concentrateur, le commutateur analyse les trames qui lui parviennent, et utilise un mécanisme de ltrage pour rediriger les ux de données vers les machines concernées. Un commutateur entretient une table d'adresses MAC (reposant sur le protocol ARP) qui lui indique sur quel port diriger les trames en fonction de leur adresse MAC. Cette table, dynamiquement construite, est le sujet d'attaques tels que l'arp spoong/poisoning et le MAC ooding. Pour faire correspondre les adresses physiques et les adresses logiques (IP), le protocole ARP interroge les machines solicitées lors d'échanges de trames, puis crée la table de correspondance. La communication des informations propres au protocole ARP s'eectue avec des trames concises identiant la source et la destination ainsi que la nature de la trame (ARP Request pour recueillir une correspondance, ou Reply pour y répondre). C'est à partir de ce principe que s'organisent certaines attaques. 3/16

4 1.3 Les VLANs Les VLANs (pour Virtual Local Area Network) sont un moyen d'organiser des machines de façon logique et non pas physique, y compris si les machines ne sont pas sur le même segment LAN. Pour communiquer entre machines se trouvant sur diérents VLANs, il faut normallement utiliser des fonctions de routage. Il existe plusieurs critères sur lesquels un VLAN peut être crée : * VLAN de niveau 1, ou VLAN par port. Ici on utilise les numéros de ports sur lesquels sont branchées les machines pour établire le VLAN. * VLAN de niveau 2, ou VLAN par MAC. Ce type de VLAN consiste à dénir une liste des adresses MAC des machines faisant partie du réseau virtuel. Cette solution est plus souple que la première car elle permet de s'aranchir totalement de la localisation physique de la machine. * VLAN de niveau 3. - Par sous réseau, en reliant logiquement sur un VLAN les machines selon leur addresse IP. - Par protocole (IP, IPX, AppleTalk) Concrètement, les trames VLANs doivent être identiées avec un protocole commun. Il en existe deux : * IEEE 802.1Q qui ajoute des informations dans le header d'un paquet ethernet, pour marquer son appartenance à un VLAN. * Un protocole propriétaire Cisco, ISL, pour Inter Switch Link. Ce protocole consiste à encapsuler les trames ethernet avec sa propre encapsulation marquant l'appartenance à un VLAN. Le premier est obligatoire dans un réseaux utilisant des équipements de plusieurs fournisseurs, tandis que le second fonctionne uniquement dans un réseau commuté par des équipements Cisco. 1.4 Les protocoles de tagging Le standart IEEE 802.1Q succède au protocole propriétaire ISL de Cisco, il est très répandu et implémenté dans de nombreux équipements ainsi que des commutateurs virtuels comme VmWare ESX. Ce standart dénit le contenu du VLAN tag qui est ajouté au header d'une trame Ethernet pour le fonctionnement en VLAN. La trame modiée contient deux nouveaux champs et un checksum recalculé. Le champ TPID (16 bits) et le champ TCI sont insérés entre le champ adresse source et le champ longueur/type. TPID est un identiant de protocole, xé à 0x8100 pour les tags 802.1Q. TCI est divisé en champs priority (3 bits), pour la priorité de la trame, CFI (1 bit) qui sert à exprimer comment les MACs sont écrites, et un champ VID pour VLAN ID, qui indique à quel VLAN appartient la trame. 4/16

5 2 Interception de paquets, attaques générales 2.1 ARP Spoong Le principe Autrement connue sous le nom d'arp Redirect, cette attaque consiste à rediriger les données destinées à une personne précise vers la machine de l'attaquant. L'ARP spoong repose sur les tables ARP des machines communiquant sur le réseau. Pour ce faire, l'attaquant va régulièrement envoyer des paquets de nature ARP reply destinés à la mac du client qu'il veut tromper, forgés avec l'adresse IP cible (que le pirate cherche à usurper) et une fausse adresse MAC (celle du pirate). Lorsqu'un poste cherchera à communiquer avec la cible, il demandera son adresse MAC correspondante, la réponse ARP sera alors soumise à une race condition, c'est ici qu'intervient l'attaquant : Si ce dernier répond avant la cible, les machines du réseau vont alors renseigner leur table ARP avec l'information erronée. Lorsqu'elles souhaiteront ensuite communiquer avec la cible de l'attaque, les paquets seront emis vers la station du pirate, de façon transparente pour les commutateurs. L'attaquant peut ensuite rediriger les paquets vers le poste cible en forgeant les paquets avec la vraie adresse MAC source pour éviter d'éveiller les soupçons. Bien qu'ecace cette technique est détectable, de plus le temps d'exploitation de l'usurpation dépend de la durée de vie d'une entrée dans les tables ARP. L'ARP spoong n'est utile que sur des réseaux utilisant des commutateurs Les contre-mesures Dans un premier temps la réponse radicale est d'empêcher la modication des entrées de la table ARP (static ARP). Mais ce n'est pas pratique pour un grand réseau, les tables doivent être dynamiquement vidées et renouvelées. Et si un attaquant parvient à placer une entrée erronée cette dernière persistera. Des systèmes propres à certains commutateurs peuvent contrer cette attaque : Cisco propose sur ses switchs un service appelé Dynamic ARP Inspection qui eectue un contrôle (mettant en évidence l'attaque) sur le ux ARP d'un réseau avant de le valider ou de le rejeter lors de la mise à jour de la table ARP du commutateur. Il est également possible d'utiliser des outils logiciels de détéction tels que Arpwatch, ou Xarp pour Windows, qui analysent le trac ARP. 5/16

6 2.1.3 Illustration L'attaquant veut s'intercaler entre la victime ( ) et le serveur ( ) On utilise l'utilitaire arpspoof (suite dsni) pour envoyer en permanence de fausses réponses ARP : # arpspoof -i eth0 -t :f:1f:20:63:d9 0:f:b0:a7:96:7d : arp reply is-at 0:f:1f:20:63:d9 0:f:1f:20:63:d9 0:f:b0:a7:96:7d : arp reply is-at 0:f:1f:20:63:d9 0:f:1f:20:63:d9 0:f:b0:a7:96:7d : arp reply is-at 0:f:1f:20:63:d9 Lorsque la victime cherche à contacter le serveur web en , on voit dans le snier de la machine attaquante : 05/23-15:42: : > :80 [...] F F 31 2E 31 0D 0A GET / HTTP/ F A E E 30 2E Host: D 0A D E 74 3A 20 4D 5..User-Agent: M 6F 7A 69 6C 6C 61 2F 35 2E B ozilla/5.0 (X11; [...] Il ne reste plus qu'à forwarder les paquets au serveur pour ne pas trop altérer le fonctionnement normal. La victime ici émet un ping vers (dont la mac est 00 :0F :B0 :AA :BB :CC), le pirate ( /00 :0F :1F :20 :63 :D9) intercepte et redirige le trac. Cependant, l'attaque ne reste pas transparente. $ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.386 ms 64 bytes from : icmp_seq=48 ttl=64 time=0.135 ms From : icmp_seq=49 Redirect Host(New nexthop: ) ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.375/0.380/0.386/0.020 ms Mais sans surveillance, la table est compromise, et les trames destinées à la cible sont envoyées au pirate. $arp -a? ( ) at 00:0F:1F:20:63:D9 [ether] on eth1... 6/16

7 2.2 MAC Flooding Le principe Bien que cette attaque ne soit plus vraiment d'actualité sur les switchs évolués (cisco et 3com actuels) elle reste intéressante et exploitable sur un nombre considérable de réseaux. Le but de l'opération étant de mettre en jeu la sécurité d'un commutateur de réseau (switch) en le faisant basculer en mode concentrateur (hub). Les commutateurs entretiennent une table ARP qui fait correspondre les adresses MAC individuelles avec les IP des machines connectées au commutateur (ou plutot le port physique qui aboutira à cette IP). Les paquets circulant sur le réseau sont ainsi connés aux chemins qui lient un émetteur à son destinataire, au lieu d'être diusés vers toutes les machines connectées. L'attaquant va alors mettre à l'épreuve la capacité d'apprentissage de correspondance IP-MAC du commutateur. Pour ce faire le pirate va eectuer un envoi massif de paquets contenant des adresses MAC diérentes (MAC ooding), son intention étant d'occuper la totalité de la table ARP du switch. Le commutateur ne pourra alors plus traiter de nouvelle entrée ARP, et pourra basculer dans un failopen mode. État dans lequel le switch diusera (en broadcast) servilement sur tous ses ports physique chaque paquet qu'il recevra, puisqu'il ne pourra plus se baser sur sa table d'apprentissage. Le résultat d'une attaque par MAC ooding peut varier, selon le constructeur du commutateur, l'équipement sujet et la version de l'élément : Buers overow, débordement de la table (pour les trés vieux switchs). Deni de service, arrêt du fonctionnement du switch, interruption du trac (Fail close mode). Passage en mode HUB, compromettant la condentialité du trac. Il est possible de reproduire le failopen mode en surchargeant certains switchs par des services annexes (en leur faisant recalculer leur topologie par exemple comme expliqué dans le paragraphe 4.5), l'incapacité de traiter de nouveaux paquets porte au broadcast, épargnant au switch l'analyse des trames à rediriger Les contre-mesures Le matériel d'aujourd'hui est étudié pour faire face à ce type d'attaque connue. Nortel, Cisco ou Allied Telesis proposent des protections limitant le nombre d'entrées provenant d'un port physique, et si le comportement observé semble oensif, le switch fermera le port et reportera l'attaque dans des logs correspondants. 7/16

8 3 Application des attaques classiques en environement VLAN Premièrement, les attaques classiques fonctionneront si l'attaquant et ses cibles se trouvent sur le même domaine de broadcast VLAN. Pour ce qui est de l'utilisation de ces attaques pour gagner l'accès au trac d'un VLAN, le succès dépend des switches utilisés. Certains seront sensibles à l'usurpation d'adresse MAC (en utilisant le VLAN par adresse MAC), certains ne tomberont pas en fail-open mode lors d'attaques par ooding, d'autres si. Les équipements les plus récents tendent à mieux résister aux attaques, mais rien ne garantit dans un cas réel qu'un vieil équipement vulnérable à beaucoup de techniques ne sera pas utilisé sur un réseau. Pour nir, il existe un panel d'attaques spéciques aux VLANs, exploitant des défauts de conguration, des comportements normaux non prévus par les administrateurs, ou des vulnérabilités réelles. Certains sont détaillées ci-après. 8/16

9 4 Attaques VLAN 4.1 Double encapsulation 802.1Q Notions importantes Deux notions pour cette attaque : Un port trunk d'un switch est un port qui pourra recevoir et transmettre du trac appartenant à plusieurs VLAN. Un port access ne transportera que des informations appartennant à un VLAN unique. De la sorte, un port access servira à connecter une station, tandis qu'un port trunk sera connecté à un autre switch, routeur ou carte 802.1Q d'un serveur. Le VLAN natif est une obligation du protocole 802.1Q. C'est un concept introduit pour supporter la communication avec des équipements anciens ou bon marché, ne supportant pas le protocole 802.1Q. Un VLAN doit être déni comme le VLAN natif, par défaut le VLAN 1. Une trame à destination de ce VLAN 1 ne recevra pas de tagging VLAN (i.e. ce tagging sera enlevé de la trame s'il existe). Une trame entrant un port 802.1Q du switch et n'ayant pas de tagging 802.1Q sera transmise à ce VLAN natif Principe de l'attaque Dès lors, il est possible dans des circonstances favorables de concevoir une attaque par double encapsulation prenant avantage de ces notions. Si l'attaquant se trouve sur le VLAN natif, il forgera un paquet possédant deux informations d'encapsulation 802.1Q. La première marquera le paquet comme appartenant à son VLAN (le natif). La deuxième marquera le paquet comme appartenant au VLAN cible. Le premier switch à réceptionner ce paquet enlèvera le premier tagging, avant de le transmettre sur le trunk vers un deuxième switch, en s'attendant à ce qu'il soit traité comme un paquet ethernet standard. Le deuxième switch recevant ce paquet verra le deuxième tagging l'identiant comme étant destiné au VLAN cible. Cette trame sera donc transmise au VLAN (puis la machine) cible comme si l'attaquant se trouvait sur le même VLAN Les contre-mesures Désactiver totalement l'utilisation de VLAN natif si possible, sinon, congurer un VLAN inutilisé comme VLAN natif pour supprimer les risques. 9/16

10 4.2 Marquage 802.1Q ou ISL Notions importantes Le DTP, Dynamic Trunking Protocol, est un protocole propriétaire de Cisco permettant à un switch de gérer dynamiquement l'activation du mode trunk sur ses ports Principe de l'attaque Si un port d'un switch était conguré en DTP auto, et devait recevoir de faux paquets DTP forgés par un attaquant, il pourrait devenir un port trunk et se mettre à accepter du trac destiné à n'importe quel VLAN, comme si l'attaquant se faisait passer pour un switch. L'attaquant pourrait alors se mettre à communiquer avec le VLAN qu'il souhaite à travers ce port compromis. Yersinia 1 implémente cette attaque, et permet d'activer le trunking sur un port automatique Les contre-mesures Désactiver le DTP sur les ports non sûrs /16

11 4.3 Vlans privés Notion de Private VLAN les PVLANs pour Private Vlans permettent d'ajouter encore une segmentation à l'intérieur d'un VLAN sans devoir utiliser de nombreux VLANs. C'est une technologie utilisée par exemple dans des fermes de serveurs où chaque serveur doit pouvoir communiquer avec leur passerelle/routeur, mais pas avec un autre serveur. Les ports d'un PVLAN sont divisés en trois catégories, isolated, community, promiscuous. Les hôtes connectés à un port promiscuous peuvent parler à tous les ports, y compris les ports isolés ou communauté. Ces ports sont en général réservés aux interfaces des routeurs, imprimantes ou serveurs d'un VLAN auxquels tous les autres clients du VLAN doivent accéder. Les hôtes connectés sur des ports isolated ne peuvent pas communiquer avec un hôte sur le même VLAN, sauf ceux sur un port promiscuous. Ces ports sont normallement faits pour les machines clientes. Les hôtes connectés à un port community peuvent communiquer avec des ports community appartenant à la même communauté et avec les ports promiscuous, mais pas avec des ports isolés Principe de l'attaque En réalité, ceci est plus une exploitation d'un comportement normal qu'une attaque. En eet, les Private Vlans sont supposés isoler le trac au niveau 2 uniquement. Un routeur est lui un équipement de niveau 3, et sera capable de transférer du trac entre diérents PVLANs, pourvu qu'il soit rattaché à un port PVLAN promiscuous. Il est donc normal que deux équipements sur des PVLANs diérents ne puissent pas communiquer au niveau 2, mais y parviennent au niveau 3 par l'intermédiaire de fonctions de routage Les contre-mesures Il faut congurer les équipements de routage avec des ACLs pour empêcher les liaisons au niveau 3. 11/16

12 4.4 Bruteforce multicast Principe de l'attaque Inonder le switch avec des trames multicast de niveau 2. Normallement le switch doit émettre ces trames sur le VLAN auquel l'émetteur appartient, cependant certains switches réagissent à la forte charge en envoyant les trames sur tous les VLANs, se comportant ainsi comme des hubs, pour alléger les traitements Les contre-mesures Utiliser du matériel de qualité, et récent/à jour. Un test a par exemple montré que les switches Cisco de série 6500 ne sont pas vulnérables à ces attaques. 12/16

13 4.5 Attaques sur spanning tree Le spanning tree protocol (STP) intervient lorsque plusieurs switchs sont reliés. Lors de la mise en place un réseau ethernet commuté, si une boucle se dessine entre plusieurs switchs, un paquet circulant en broadcast va encombrer le réseau en tournant en rond (broadcast storm, menant à la paralysie du réseau). Pour survenir à ce type de problème, le Protocole de Spanning Tree permet d'organiser les switchs en arborescence selon laquelle tous les points du réseau seront accessibles par tous les autres, par le chemin estimé le plus court. Les boucles physiques (cables) demeurent, mais on ne les utilise pas. Dès qu'une branche devient inopérante, l'arbre est recalculé par tous les switchs, en prenant avantage des chemins précédemment inexploités. Lorsque l'on parle d'arbre, on parle incidemment de racine (roots), la racine du Spanning Tree correspond au switch root. C'est selon ce switch que s'organise l'arbre, il est éli par comparaison des adresses MAC des switchs et un numéro de priorité. Le calcul de cette organisation est lourde, il est eectué lorsqu'un équipement devient hors service, ou lorsqu'il est requis. Les informations propres au STP sont transportées dans des trames spéciales nommées BPDU (bridge protocol data units). Ces trames sont régulièrement émises sur le réseau pour que les switchs se tiennent informés de la topologie courante. C'est sur ces bases que se dressent deux attaques : Principe des attaques La première attaque consiste à envoyer des BPDU falsiés pour pousser les switchs à recalculer la topologie du réseau. La charge occasionnée rend le réseau inopérant (DoS) et peut aboutir à un état de fail open mode (basculement des switchs en hubs). La seconde attaque se construit sur le fait que par défaut, le STP est activé sur tous les ports. Il sut donc à un attaquant de se faire passer pour un switch. Il peut dès lors communiquer comme tel, et demander que la topologie soit recalculée en se plaçant en switch root. C'est ainsi qu'il pourra intercepter le trac en designant son poste comme point de passage. Pour que cette attaque se déroule de façon transparente, l'attaquant doit se connecter a 2 switchs Les contre-mesures Le STP doit être désactivé s'il n'est pas nécessaire, ou uniquement activé sur les ports succeptibles d'aboutir à d'autres switchs. On peut mettre en place une politique de ltrage des BPDU (BPDU guard et ROOT guard sous Cisco). 13/16

14 4.6 Random Frame Stress Principe de l'attaque Cette attaque ressemble à une attaque par brute force, l'adresse MAC source et l'adresse MAC de destination sont xées, et l'attaque va consister à émettre une grande quantité de trames en faisant varier le reste des champs des paquets. La nalité de l'attaque consiste à atteindre le vlan concerné par l'adresse cible. On peut considérer cette technique comme du fuzzing de VLAN, visant à exploiter des failles potentielles dans les diérents protocoles mis en jeu Les contre-mesures L'utilisation de matériel récent tels que les switchs cisco catalyst semblent palier le problème. Mettre en place des private VLANs aide à isoler les hosts et à les proteger des écarts d'accès recherchés par ce type d'attaque. 14/16

15 5 Conclusion Les protocoles et équipements réseaux ont été créés dans un souci de bon fonctionnement, et non de sécurité. Les VLANs permettent d'apporter un peu de segmentation logique, cependant ils n'échappent pas à cette tendance. On observe que les attaques classiques fonctionnent sur un VLAN, et d'autre part, il existe plusieurs attaques permettant de gagner l'accès au trac d'un autre VLAN normallement non accessible comme la double encapsulation VLAN ou les attaques sur les protocoles propriétaires comme le DTP. Les solutions passent par utiliser un matériel de qualité et récent et bonne conguration. En particulier ne pas laisser activer des services qui ne servent pas (DTP auto par exemple) sur les ports des switches. 15/16

16 6 Bibliographie Cisco VLAN security white paper : http :// _white_paper09186a f.shtml Understanding private VLANs : http ://blog.internetworkexpert.com/2008/01/31/understanding-private-vlans/ Rapport de Sylvain Eche (ENST), Protocole 802.1Q & Attaques sur les VLAN : http ://sylvaineche.free.fr/vlan/vlannal.pdf 16/16