Micro Sécurité - Main in the middle

Forum Micro-Sécurité
Infos-Sécurité

Support

ACCUEIL

TPE

PME

ADMINISTRATION ET EDUCATION

GRAND PUBLIC

OUTILS

SECURITE


SECURITE INFOS SECURITE MAIN IN THE MIDDLE

L'attaque "Man in the Middle"

Introduction

L'attaque "Man In The Middle" ou " Attaque de l'homme au milieu " porte bien son nom. Il s'agit d'un type d'attaque où une tierce personne s'interpose de manière transparente dans une connexion pour écouter sans se faire remarquer.

Une des attaques de type « Man In The Middle » pour le réseau repose sur plusieurs attaques d'ARP poison vers des postes ciblés. Cette attaque fait intervenir 3 ordinateurs. Un serveur cible, un poste client, et la machine où se trouve l'attaquant.

Le but de cette attaque est de remplacer les tables ARP des victimes afin de mettre le poste attaquant en position d'écoute entre les cibles.

Il existe plusieurs méthodes pour utiliser MITM, nous présenterons ici la méthode la plus courante qui consiste à écouter ( dans le jargon sécurité « sniffer » ) une connexion entre deux postes sur un réseau switché de type ethernet.

Description

Voyons un peu ce que fait le poste attaquant :

En premier lieu, le poste attaquant va émettre deux paquets ARP falsifiés vers les deux postes cibles.

Ces paquets indiqueront aux postes cibles que l'adresse ARP du poste distant ( le poste cible 1 pour le poste cible 2 et vice versa ) a changé.

Chaque poste cible recevra une requête ARP lui signifiant que l'adresse ARP pour le poste distant est la suivante : ABCDEF000003.

Le poste cible mettra à jour sa table ARP ( dynamique ) avec les informations erronées.

Les prochains paquets envoyés seront donc envoyés à l'adresse MAC de la machine attaquante.

Cette requête émise par le poste attaquant a pour but de faire en sorte que chaque paquet envoyé d'un poste cible à un autre, passe par lui. Cette requête est envoyée régulièrement pour éviter un retour à la normale, car un poste cible remet à jour sa table ARP très fréquemment ( toutes les 30 secondes ou les 2 mn par exemple, ce laps de temps étant configurable sur la plupart des systèmes d'exploitation ), puis émet un broadcast ARP pour connaître les adresses MAC des postes avec lesquels il souhaite communiquer.

A ce niveau, le poste attaquant réceptionne toutes les communications entre les deux postes cibles mais ce n'est pas suffisant. Il doit ensuite retransmettre les paquets aux cibles correspondantes pour que le dialogue entre les deux machines continuent et qu'il puisse continuer d'écouter ce qui se passe, tout en restant invisible au milieu de la connexion.

Technique

Le but de l'attaque est que le pc C (celui de l'attaquant) récupère les informations transitant entre A et B. Mais comme vous le savez dans un réseau switché ceci est plus difficile qu'avec un hub où toutes les informations sont envoyées à tous les ordinateurs connectés à celui-ci. Le Switch, lui, envoie seulement à la bonne personne.

Bien sur, il y a la méthode agressive : l'ARP poisonning qui consiste à empoisonner tout le réseau ARP des requêtes ARP afin de se faire passer pour telle ou telle machine et récupérer les données. Mais cela est très voyant et provoque la plupart du temps voir tous le temps une coupure au niveau du réseau.

Nous allons donc écouter les connexions émises par le poste 192.168.1.100 (A). Nous allons effectuer une connexion sur un serveur http qui demande une authentification par htaccess et sur un serveur FTP.

Donc comme vous le voyez, en empoisonnant la machine 192.168.1.100 (A), nous avons le choix de nous faire passer pour 192.168.1.2 (B) ou 192.168.1.1 (X).
Ensuite, la machine C (Celle du hacker) va empoisonner le cache afin de se faire passer pour le routeur (ou gateway) du réseau afin de tout écupérer.

Resultats, nous allons voir maintenant le cache ARP des machines :

Machine A : Interface : 192.168.1.100 --- 0x2
Système d'exploitation: Windows 2000
Adresse Internet	Adresse physique	Type
192.168.1.1	00-50-ba-6b-a4-5a	dynamique
192.168.1.2	00-50-bf-45-9a-94	dynamique
192.168.1.101	00-50-ba-6b-a4-5a	dynamique

Machine B : Aucun changement

Système d'exploitation: Linux Debian 3.0

Machine C : Interface : 192.168.1.101 --- 0x2
Système d'exploitation: Windows Xp
Adresse Internet	Adresse physique	Type
192.168.1.1	00-0f-66-58-a9-2b	dynamique
192.168.1.2	00-50-bf-45-9a-94	dynamique
192.168.1.101	00-0c-6e-7e-af-76	dynamique

Donc comme vous le voyez sur la machine que nous avons empoisonnée, pour elle le routeur a la même adresse MAC que la machine 192.168.1.101. Donc à partir de là, la machine C n'a plus qu'à faire suivre au routeur les paquets, et personne n'a rien vu.

Conclusion

Il est important de mettre en place des protections firewall de minimum niveau 5 (StateFull, DeepInspection), permettant ainsi de crées une session afin de définir que les communications passe uniquement par le Firewall hardware. Lorsque l'attaquant récupérera la sessions, il aura beaucoup plus de mal à recréez la sessions pour renvoyez celle ci intacte au Firewall.

Les firewalls de niveau 1 ou 2 (Filtrage de paquets), ne pertmette pas de créez des sessions et ainsi vous protégez de cette attaques.

NOTRE CATALOGUE

NOUS CONTACTER

Nous avons changés de numéros de téléphone. Le +33 (0) 3 60 32 70 22 n'existe plus et remplacé par le +33 (0) 8 70 44 56 64. Merci de votre compréhension.

	Tel:	+33 (0) 8 70 44 56 64
	Gsm:	+33 (0) 6 32 82 90 02 (Com.)
	Gsm:	+33 (0) 6 65 26 97 99 (Tech.)
	Fax:	+33 (0) 1 72 74 44 14
	Fax:	+33 (0) 8 21 83 07 54
	infos@micro-securite.com
	support@micro-securite.com