Cours #03 Vulnérabilités des protocoles Jean-Marc Robert Génie logiciel et des TI
Plan de présentation Introduction Vulnérabilités des protocoles Niveau 2: Ethernet, DHCP Niveau 3:, BGP, DNS, IP spoofing, ICMP Niveau 4: TCP Conclusions Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 2 2
D hier à L Internet a évolué dans les années 70 à partir du diagramme ci-contre. La sécurité n était pas une des spécifications initiales. Le réseau expérimental était utilisé afin de développer les protocoles de télécommunication. Le réseau Arpanet a servi très tôt à permettre l échange d information entre chercheurs. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 3 3
aujourd hui www.opte.org Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 4 4
Motivations & Contexte Protocoles de télécommunication Jean-Marc Robert, ETS Chamseddine Talhi, ÉTS MGR850 - H12 5
Motivations & Contexte Et la sécurité?!!! C est pas urgent Je suis occupé La performance d abord Mais je n ai rien à cacher Jean-Marc Robert, ETS Chamseddine Talhi, ÉTS MGR850 - H12 6
Motivations & Contexte Plusieurs couches, plusieurs opportunités Jean-Marc Robert, ETS Chamseddine Talhi, ÉTS MGR850 - H12 7
Motivations & Contexte Et plusieurs façons d attaquer! Communications Différents types d attaques Adapté de: P. Bétouin, C. Blancher et N. Fischbach, Protocoles réseau : grandeur et décadence, Symposium sur la Sécurite des Technologies de l'information et de la Communication (SSTIC), 2005. Jean-Marc Robert, ETS Chamseddine Talhi, ÉTS MGR850 - H12 8
Ethernet Rappel Ethernet est le protocole développé de 1973-75 pour interconnecter des ordinateurs dans un réseau local. Ethernet est maintenant utilisé pour de très grands réseaux Metro Ethernet. Principales propriétés Chaque interface réseau doit posséder une adresse MAC unique (48-bit). Déploiement classique Connexion point à point entre les équipements. Réseau composé de répétiteurs (hubs) et de commutateurs (switches). Un répétiteur ne fait que diffuser de façon générale les paquets (broadcast). Un commutateur peut diriger un paquet vers un port spécifique s il peut déterminer à quel sous réseau appartient le destinataire du paquet. Sinon, le paquet est diffusé de façon générale. Un commutateur utilise une table de correspondance (CAM) afin de déterminer à quel port est associée une adresse MAC. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 9 9
Ethernet Attaques Inondation de la CAM Mystification de l adresse MAC (MAC spoofing) Mystification du message ARP (ARP spoofing) Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 10 10
Inondation de la CAM Rappel Le commutateur utilise sa table CAM afin de déterminer à quel port est rattachée la carte réseau ayant l adresse MAC donnée. Content-addressable memory (CAM) Table: Tableau permettant de retrouver rapidement une valeur associée à une entrée. Mémoire associative @MAC (Media Access Control) Port 37:a2:47:63:80:60:05:25:8e:4f:28:f7 1 57:c2:27:53:70:2b:92:ba:3e:cd:78:f7 2 17:b2:37:53:39:68:04:35:8b:cf:23:a7 2 37:a1:47:63:80:60:05:25:8e:4f:28:f7 3 La taille de la CAM varie selon le commutateur: 16K, 32K, 128K, Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 11 11
Inondation de la CAM Attaque Vulnérabilité: Lorsqu une adresse ne se retrouve pas dans la CAM, le commutateur diffuse le paquet sur tous les ports. Menace: L attaquant inonde le commutateur avec de faux paquets. Risque: Le commutateur ajoute ces pairs (MAC, Port) dans sa table CAM. Lorsque cette table est pleine, il enlève des entrées qui étaient déjà là. Lorsqu une entrée valide est enlevée, tout le trafic y étant associé est maintenant diffusé sur tous les ports. Logiciel macof permet de créer des paquets avec des adresses MAC et IP aléatoires. Divulgation d informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Logiciel d analyse de trafic Ethereal / Wireshark. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 12 12
Inondation de la CAM Contre-mesures Limiter le nombre d adresses MAC permises sur un port donné. Limiter la durée qu une adresse sera assignée à un port. Une fois pleine de fausses entrées, la table se videra d elle-même. Assigner des adresses MAC statiques à des ports. Ces adresses ne seraient jamais enlevées si la table devenait pleine. Les adresses des serveurs ou des équipements importants sont ainsi configurées dans le commutateur. Authentification 802.1X L accès à un port n est permis qu après une authentification. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 13 13
Mystification de l adresse MAC Attaque Vulnérabilité: Lorsqu une adresse MAC apparaît sur un autre port, le commutateur met à jour sa table CAM. Menace: L attaquant inonde le commutateur avec de faux paquets ayant l adresse MAC ciblée (avec une vraie adresse IP ou non). Risque: Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table CAM et enlève celle qui était déjà là. Concurrence critique avec l ordinateur légitime. Logiciel macof permet de créer ces paquets. Dénis de service Divulgation d informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 14 14
Mystification de l adresse MAC Contre-mesures Assigner des adresses MAC statiques à des ports. Ces adresses ne seront jamais enlevées. Les adresses des serveurs ou des équipements importants sont ainsi configurées dans le commutateur. Les adresses MAC sont obtenues lors de la requête DHCP. Éviter d utiliser une adresse IP avec une autre adresse MAC. Fonctionnalité CISCO/Nortel. Authentification 802.1X L accès à un port n est permis qu après une authentification. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 15 15
Mystification du message ARP Rappel L Address Resolution Protocol (ARP) est le moyen utilisé pour retrouver l adresse MAC associée à une adresse IP. Un ordinateur cherchant à communiquer avec une adresse IP donnée doit diffuser un message ARP Request dans le réseau demandant l adresse MAC de cette adresse IP. L ordinateur ayant l adresse IP désirée répond avec le message ARP Reply. Selon le protocole, il est possible d envoyer un ARP Reply sans sollicitation au préalable. Gratuitous ARP Reply. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 16 16
Mystification du message ARP Attaque Vulnérabilité: Toute personne peut clamer être le propriétaire d une adresse IP donnée (Gratuitous ARP Reply). Menace: L attaquant s insère entre deux intervenants IP au niveau Ethernet Man-in-the-middle. Pour l intervenant A, l attaquant possède l adresse IP de B. Gratuitous ARP Reply avec l adresse MAC de l attaquant et l adresse IP de B. Pour l intervenant B, l attaquant possède l adresse IP de A. Gratuitous ARP Reply avec l adresse MAC de l attaquant et l adresse IP de A. Risque: Logiciels dsniff et ettercap. Dénis de service. Divulgation d informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 17 17
Mystification du message ARP Avant attaque 10.1.1.1 MAC B 10.1.1.2 MAC A 10.1.1.1 MAC B 10.1.1.3 MAC C 10.1.1.2 MAC A Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 18 18
Mystification du message ARP Attaque 10.1.1.1 MAC B Après #1 10.1.1.2 MAC C 1. Gratuitous ARP Reply à 10.1.1.1 (10.1.1.2, MAC C) Après #2 10.1.1.1 MAC C 2. Gratuitous ARP Reply à 10.1.1.2 (10.1.1.1, MAC C) 10.1.1.3 MAC C 10.1.1.2 MAC A Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 19 19
Mystification du message ARP Après attaque 10.1.1.1 MAC B Man-in-the-middle 10.1.1.3 MAC C 10.1.1.2 MAC A Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 20 20
Mystification de l adresse MAC Contre-mesures Les adresses MAC sont obtenues lors de la requête DHCP. Éviter d utiliser une adresse IP avec une autre adresse MAC. Éviter de considérer les Gratuitous ARP Reply. Fonctionnalité CISCO/Nortel. Authentification 802.1X L accès à un port n est permis qu après une authentification. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 21 21
DHCP Rappel Le Dynamic Host Configuration Protocol permet à un système d obtenir sa configuration réseau afin qu il puisse se joindre à une infrastructure IP. Adresse IP Masque du réseau Routeur par défaut Serveur DHCP Le protocole est encapsulé dans le protocole IP. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 22 22
DHCP Rappel DHCP Server DHCP Discover (Broadcast) DHCP Offer (Unicast) DHCP Request (Broadcast) DHCP Ack (Unicast) Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 23 23
DHCP Attaques Épuisement des adresses IP DCHP Starvation Faux serveur DHCP Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 24 24
Épuisement des adresses IP Attaque Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées. Menace: L attaquant inonde le serveur DHCP. Risque: L attaquant inonde le serveur avec des messages DHCP Request afin de réserver toutes les adresses IP disponibles. L attaquant se doit d utiliser de nouvelles adresses MAC pour chaque requête. Dénis de service. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 25 25
Épuisement des adresses IP Contre-mesures Limiter le nombre d adresses MAC permises sur un port donné. Authentification 802.1X L accès à un port n est permis qu après une authentification. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 26 26
Faux serveur DHCP Attaque Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées. Menace: L attaquant personnifie le serveur DCHP. Risque: L attaquant répond avec un DHCP Offer afin de fournir de fausses indications à l usager. Fausses adresses IP et réseau Faux routeur par défaut L adresse de l attaquant si celui veut voir tout le trafic de la victime. Faux serveur DHCP L attaquant a peut-être effectué un déni de service sur le serveur légitime afin qu il n interfère pas avec cette attaque. Dénis de service. Divulgation d informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 27 27
Faux serveur DHCP Contre-mesures Certains commutateurs CISCO offrent la fonctionnalité DHCP Snooping permettant de déterminer quel port peut retourner un message DHCP Offer. Limite l impact de l attaque. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 28 28
Les fondements de l Internet Essential to the security of the Internet infrastructure is ensuring the reliability and secure use of three key protocols: the Internet Protocol (IP), the Domain Name System (DNS), and the Border Gateway Protocol (BGP). Extrait de The National Strategy to Secure Cyberspace, É.U. 2003 Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 29 29
BGP Rappel Le Border Gateway Protocol (BGP) est le principal algorithme de routage de l Internet. Ce protocole permet de maintenir les préfixes des adresses IP associées à chaque système autonome (AS). Chaque AS doit connaître vers qui envoyer chaque paquet IP. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 30 30
BGP Systèmes autonomes AS 2 AS 5 AS 1 AS 4 AS 3 Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 31 31
BGP Attaques Réinitialisation de la session BGP entre deux routeurs Injection de fausses informations BGP Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 32 32
Réinitialisation de la session BGP Attaques Vulnérabilité: La session BGP entre deux routeurs dépend de la session TCP. Menace: L attaquant envoie de faux messages à un des routeurs Risque: L attaquant envoie un message BGP pour fermer la session BGP. L attaquant cherche à interrompre la session TCP. Dénis de service. Les tables de routage sont instables (Routing Storms beaucoup de changements dans les tables, baisse de performance pour les routeurs, ) Divulgation d informations qui ne devraient pas être routées par un AS. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 33 33
Réinitialisation de la session BGP Contre-mesures Les messages BGP peuvent être authentifiés. Signature MD5 utilisant un secret partagé entre deux routeurs. L implémentation du protocole TCP doit être robuste. Voir TCP Détournement Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 34 34
Injection de fausses informations BGP Attaques Vulnérabilité: Les informations de routage BGP proviennent de divers systèmes autonomes sans qu il y ait une vérification appropriée. Menace: L attaquant envoie de faux messages à un routeur BGP. Risque: Établir une session non autorisée avec routeur BGP. Injecter de fausses informations au sujet de préfixes IP. Dénis de service. Les tables de routage sont instables (Routing Storms beaucoup de changements dans les tables, baisse de performance pour les routeurs, ) Divulgation d informations qui ne devraient pas être routées par un AS. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 35 35
Injection de fausses informations BGP Contre-mesures Pas d organisme central de gestion de l Internet. Versions plus sécurisées du protocole: S-BGP So-BGP Débat philosophique, idéologique, académique, Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 36 36
DNS Rappel Le domain name system (DNS) conserve et associe les informations pertinentes à un domaine.... Adresse IP Mail Exchange Server acceptant les courriels pour ce domaine Le protocole utilise le protocole UDP. La sécurité n était pas une des spécifications du protocole. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 37 37
DNS Rappel Les serveurs DNS reçoivent régulièrement des requêtes du type: DNS Query (Quelle est l adresse de www.jmr.ca?) Ils ont alors deux choix: Répondre à la requête (Mode Itératif) DNS Answer: www.jmr.ca 1.2.3.4 Tout en mentionnant si l information provient de la mémoire cache ou si le serveur est l autorité responsable de ce domaine. DNS Answer: www.jmr.ca?.?.?.? Voici une liste de serveurs DNS qui pourraient répondre. Effectuer une autre requête (Mode récursif) DNS Query (Quelle est l adresse de www.jmr.ca?) Cette nouvelle requête est envoyée vers d autres serveurs DNS. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 38 38
DNS Rappel Serveurs DNS envoient régulièrement des requêtes du type : DNS Query (Quelle est l adresse de www.jmr.ca?) Serveurs DNS reçoivent alors des réponses du type DNS Answer (www.jmr.ca 1.2.3.4) Ces réponses ne sont pas authentifiées (pas de cryptographie) Numéro permettant d associer une réponse à une question (16 bits). Toutefois, ce numéro peut être deviné. D anciennes versions de BIND utilisaient un compteur incrémental. Port UDP du client DNS (16 bits) Toutefois, le logiciel client peut être amené à toujours utiliser le même port pour faciliter la configuration du pare-feu. Il est simple de forger une réponse malicieuse à une question légitime. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 39 39
DNS Rappel Protocole UDP Port 53 Serveur TCP si un paquet de 512 octets n est pas suffisant Taille maximale des paquets UDP: 512 octets Limite des 13 root servers (A à M) Cache local Conserve un enregistrement pour un certain temps (TTL) Requêtes externes (itératives ou récursives) BIND: serveur DNS le plus populaire Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 40 40
DNS Rappel Authoritative Nameserver 1. Query www.jmr.com ISP ns.jmr.com 6. Answer 1.2.3.4 Root Nameserver Vulnérabilités des protocoles - A11 41 Jean-Marc Robert, ETS 41
DNS Ce que nous espérons Query: www.etsmtl.ca Answer: ou Query: Copie de la requête Answer: I do not know Authoritative Nameserver: etsmtl.ca 86400 IN NS ns3.etsmtl.ca Additional section: ns3.etsmtl.ca 604800 IN A 142.137.251.14 Query: Copie de la requête Answer: www.etsmtl.ca 86400 IN A 142.137.250.50 Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 42
DNS cache poisoning Vulnérabilité: Les messages DNS ne sont pas authentifiés. Menace: L attaquant envoie de faux messages à un serveur DNS local. Risque: Redirection du trafic légitime Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 43
DNS cache poisoning Attaque I Query: www.etsmtl.ca Answer: Query: Copie de la requête Answer: I do not know Authoritative Nameserver: desjardins.com 3600 IN NS ns3.etsmtl.ca Additional section: ns3.etsmtl.ca 86400 IN A 142.137.251.14 L information n est pas reliée à la question. Il faut l ignorer! Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 44
DNS cache poisoning Attaque II Query: www.etsmtl.ca Answer: Query: Copie de la requête Answer: I do not know Authoritative Nameserver: etsmtl.ca 3600 IN NS ns.hack.com Additional section: ns.hack.com 86400 IN A 1.2.3.4 L information n est pas reliée à la question. ns.hack.com est le présumé Authoritative Name Server. Douteux! Pas le même domaine. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 45
DNS cache poisoning Attaque III Query: www.etsmtl.ca Answer: ou Query: Copie de la requête Answer: I do not know Authoritative Nameserver: etsmtl.ca 3600 IN NS ns3.etsmtl.ca Additional section: ns3.etsmtl.ca 604800 IN A 1.2.3.4 Query: Copie de la requête Answer: www.etsmtl.ca 86400 IN A 1.2.3.4 Mais 1.2.3.4 est frauduleux! Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 46
Vulnérabilité Contrefaçon Il faut que l attaquant puisse connaître Le numéro de transaction de la requête (QID) Le port UDP source utilisé lors de la requête Ces réponses ne sont pas authentifiées QID associe une réponse à une question (16 bits). D anciennes versions de BIND utilisaient un compteur. Port UDP du serveur DNS (16 bits) Mais, un serveur DNS peut utiliser un seul port (p.ex. 53). Il est donc simple de forger une réponse. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 47
Nouvelle attaque: Dan Kaminsky Été 2008 Faire une requête pour un site inexistant dans le domaine à attaquer. Query: aaa.etsmtl.ca Answer: Query: Copie de la requête Answer: aaa.etsmtl.ca 120 IN A 1.2.3.4 Authoritative Nameserver: etsmtl.ca 86400 IN NS ns3.etsmtl.ca Additional section: ns3.etsmtl.ca 604800 IN A 1.2.3.5 Mais 1.2.3.4 et 1.2.3.5 sont frauduleux! Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 48
Nouvelle attaque: Dan Kaminsky Été 2008 Envoyer la requête aaa.etsmtl.ca vers le DNS d un ISP Le DNS a deux choix: Il n a pas le Autoritative Name Server de etsmtl.ca. Il fait une requête au Root Name Server. Il fait une requête pour aaa.etsmtl.ca vers ns3.etsmtl.ca. Sinon, il fait immédiatement une requête vers ns3.etsmtl.ca. Répondre faussement à la requête faite à ns3.etsmtl.ca Numéro pseudo-aléatoire: probabilité faible avec une seule requête Remplacer l adresse de ns3.etsmtl.ca dans le DNS de l ISP Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 49
Nouvelle attaque: Dan Kaminsky Été 2008 Le coup de génie pour infecter le DNS d un autre fournisseur Afin d augmenter la probabilité de succès, l attaquant crée une page web frauduleuse <img src="http://aa1.etsmtl.ca/image.jpg"/> <img src="http://aa2.etsmtl.ca/image.jpg"/> <img src="http://aa1000.etsmtl.ca/image.jpg"/> Le serveur DNS va effectuer 1000 requêtes DNS vers ns3.etsmtl.ca. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 50
Nouvelle attaque: Dan Kaminsky Été 2008 Il est facile d infecter le DNS de son propre fournisseur. L attaquant n a qu à faire les requêtes frauduleuses. Toutefois, le fournisseur devrait bloquer ces nombreuses requêtes fautives. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 51
IP Attaques Vulnérabilités logicielles Teardrop, Bonk attacks Paquets fragmentés mal réassemblés. Ping-of-death Paquet IP de plus de 65,535 octets. Land attack Paquets IP avec la même adresse source et destination. IP Spoofing Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 52 52
IP Spoofing Attaque Vulnérabilité: L adresse source d un paquet IP est contrôlée par l envoyeur. Menace: L attaquant peut envoyer des attaques tout en personnifiant n importe quelle source et ainsi espérer de ne pas être retracé. Cas idéal: Slammer utilisait un paquet UDP. Risque: Dépends de l attaque réalisée. Une seule solution: les ISP doivent vérifier la source des paquets ACL sur les routeurs aux points d entrée. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 53 53
ICMP Rappel Protocole utilisé principalement pour envoyer des messages de contrôle et d erreurs. Echo Request, Echo Reply Destination Unreachable IP Redirect Time Exceeded (TTL) Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 54 54
ICMP Attaques Vulnérabilités logicielles IP Nuke : Nuke : packet mal formé dont la machine ne peut pas traiter! Ping-of-death Paquet IP de plus de 65,535 octets. Inondation Smurf Attack Ping echo request à un réseau (12.34.x.x) en personnifiant la victime. Cette victime reçoit une multitude de Ping echo reply. ICMP Destination Unreachable ou Time Exceeded malicious La victime peut alors interrompre sa communication. ICMP Redirection Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 55 55
ICMP Redirect Attaque Vulnérabilité: Le protocole ICMP n est pas authentifié. Menace: L attaquant peut envoyer un paquet ICMP Redirect à la victime indiquant que l attaqueur devient le routeur par défaut de la victime. Risque: Dénis de service Divulgation d informations sensibles (p.ex. mots de passe) qui ne devraient pas être envoyées sur un port. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 56 56
ICMP Redirect Contre-mesure Les messages ICMP Redirect ne devraient pas être acceptés. Ni par les routeurs. Ni par les serveurs. Ni par les postes usager. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 57 57
TCP Rappel Protocole de session permettant de créer un circuit virtuel entre une source et un destination. Accusés de réception Ordonnancement des paquets Numéros de séquence Intégrité des paquets Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 58 58
TCP Attaques Vulnérabilité logicielle Xmas tree Paquet TCP avec tous les bits d état à 1 TCP SYN Flood Numéros de séquence prévisibles TCP Reset TCP Hijacking Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 59 59
TCP SYN Flood Attaque Vulnérabilité: Seulement un nombre limité de connexions peut être dans l état Half-open. Menace: L attaquant inonde la victime avec des paquets TCP SYN dont l adresse IP source est fausse. Risque: Dénis de service. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 60 60
TCP SYN Flood Contre-mesures Systèmes d exploitation modernes SYN Cache SYN Cookies Pare-feu analysant les communications TCP. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 61 61
TCP Numéro de séquence Rappel TCP réordonne les paquets selon leur numéro de séquence. Les paquets sont acceptés seulement si leur numéro correspond à un intervalle. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 62 62
TCP Reset Flood Attaque Vulnérabilité: Les paquets TCP ne sont authentifiés que par leur numéro de séquence et leurs paramètres de session. Menace: L attaquant inonde la victime avec des paquets TCP RST afin d interrompre une connexion. Risque: Dénis de service. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 63 63
TCP Reset Flood Contre-mesures Numéros de séquence imprévisibles RFC 1948 Defending Against Sequence Number Attacks Petits intervalles de validité. Perte de robustesse. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 64 64
TCP Hijacking Attaque Vulnérabilité: Les applications authentifient généralement les participants seulement lors des ouvertures de session. Menace: L attaquant écoute une communication puis après que le participant s est authentifié, il injecte des paquets dans la connexion. Risque: Interrompt la connexion du point de vue du client. Personnifie le client face au serveur. Dénis de service Divulgation d informations sensibles qui ne peuvent être obtenues qu après authentification. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 65 65
TCP Hijacking Contre-mesures Utilisation de protocoles cryptographiques tels que SSL. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 66 66
Conclusions L Internet prit naissance avec le projet Arpanet qui regroupait une dizaine de sites. La sécurité ne fut donc pas un aspect important pris en compte lors des spécifications. Il en résulte que pour le bon fonctionnement de l Internet, les pare-feu, les systèmes de détection d intrusion, les systèmes de prévention d intrusion, sont essentiels. Jean-Marc Robert, ETS Vulnérabilités des protocoles - A11 67 67