IPV6 : Man in the middle a nos portes

Le
Az Sam
Citation :

Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.

Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.

A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html

--
Cordialement,
Az Sam.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #24943762
"Az Sam" , dans le message écrit :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.



Et sur un réseau IPv4, tout équipement peut se comporter comme serveur DHCP,
ça n'a rien de nouveau.
Xavier Roche
Le #24943752
On 11/07/2012 04:47 PM, Az Sam wrote:
Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.



La RFC 6104 de l'an dernier (citée du reste dans l'article) traite de ce
problème:
http://tools.ietf.org/html/rfc6104
erwan
Le #24945102
"Az Sam"
Citation :

Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.

Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.

A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html



Bah c'est *exactement* le même problème qu'un rogue DHCP server...


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
erwan
Le #24945092
"Az Sam"
Citation :

Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.

Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.

A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html



Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Patrick Lamaizière
Le #24946882
:

Bonjour,

Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.



Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?

J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe

Ceci dit ça marche plutôt bien et c'est assez utile comme truc.

Y'a des outils pour la détection des RA Ipv6 ?
Erwan David
Le #24946872
Patrick Lamaizière
:

Bonjour,

Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.



Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?

J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe



C'est ce que j'ai au boulot, sur Centos 5...

Ceci dit ça marche plutôt bien et c'est assez utile comme truc.

Y'a des outils pour la détection des RA Ipv6 ?



Je n'en connais pas encore...


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Damien Wyart
Le #24947142
* Patrick Lamaizière
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?

J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe

Ceci dit ça marche plutôt bien et c'est assez utile comme truc.



C'est aussi packagé dans Debian.

Sinon il y a celui-ci mais je ne connais pas en détail :
http://odhcploc.sourceforge.net/

Y'a des outils pour la détection des RA Ipv6 ?



http://servizirete.pi.cnr.it/index.php/progetti/6mon
http://ndpmon.sourceforge.net/
http://ramond.sourceforge.net/

Et pour une synthèse des principaux enjeux de sécurité IPv6 (couches
basses uniquement, ie pas sur les aspects applicatifs), deux bonnes
présentations :
http://www.si6networks.com/presentations/hip2012/fgont-hip2012-hacking-ipv6-networks-training.pdf
http://www.data.proidea.org.pl/euronog/2edycja/materials/Janos_Mohacsi-IPv6_Security-problems_and_mitigations.pdf

--
DW
Erwan David
Le #24950562
Pascal Hambourg
Salut,

Erwan David a écrit :

Y'a des outils pour la détection des RA Ipv6 ?





radvdump qui est inclus dans le paquet radvd (émission de RA).



Ici on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une
alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.

--
Les simplifications c'est trop compliqué
Eric G
Le #24951072
Az Sam a formulé ce mercredi :
Citation :

Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.

Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.

A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html



voir à :
http://www.youtube.com/watch?v=8OxIV7o6OCY
:oÞ
Jean-Marc Desperrier
Le #24965822
Erwan David a écrit :
on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une
alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.



Idéalement il faudrait pouvoir configurer les équipements réseau pour
leur indiquer que ce type de paquet ne peut venir que d'un endroit
précis, non ?

Idéalement on ferait déjà la même chose pour les messages DHCP en ipv4,
bien sûr.
Publicité
Poster une réponse
Anonyme