Comment usurper une IP sans c onsequence pour la "victime" ?

"Florent Carli" <nospam@tomcat.ca.tc> wrote in message
news:6d12cccb.0307220044.cddc992@posting.google.com

Dans le cadre de vérification par la pratique des ACL de mes routeurs,
j'aimerais lancer une série de scans de port à partir d'un certain
nombre de machines, vers un certain nombre de cibles.
Il ne me sera pas possible d'installer nmap sur chaque machine source
testée.
Je pense donc faire mes tests à partir d'un portable que je déplacerai
de réseau en réseau. Mais comment lui faire prendre l'IP de la machine
"source" à tester, sans causer des problèmes à cette même machine
source?

C'est quoi des "problèmes" ?
A priori, tes machines ne feront que recevoir des SYN+ACK à des
connexions qu'elles n'ont pas demandées et renverront des RST. Rien
de bien méchant.

J'ai pensé à de l'arp spoofing pour faire passer pendant le scan tout
le traffic de l'IP testée par mon portable, mais comment faire le tri
entre les packets du portscan, et les packets à rediriger vers la
machine usurpée ?
Y aurait il un moyen plus simple ?

Je n'ai malheureusement pas bien compris ce que tu souhaites faire.
Si tu peux préciser le but et expliquer techniquement ce que tu veux
faire, j'y verrai plus clair :-)


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Salut,

C'est quoi des "problèmes" ?
A priori, tes machines ne feront que recevoir des SYN+ACK à des
connexions qu'elles n'ont pas demandées et renverront des RST. Rien de
bien méchant.

Deux machines avec une interface Ethernet configurée avec la meme IP deux adresses MAC pour la meme IP = pas gerable correctement par le
switch. Et alors avec un hub ca serait encore plus bizarre, une machine
repondrait quelquechose et l'autre dirait le contraire immediatement
aprés...

Je crois que le coup de forwarder les paquets avec iptables et de faire de
l'arp spoofing est une soloution applicable mais sinon... pourquoi ne pas
changer temporairement l'adresse reseau ? Genre dans les ACL tu mets
192.168.1.X au lieu de 192.168.0.X (en admettant que les adresses du
reseau soient de la forme 192.168.0.X). Aprés tu peux faire prendre
n'importe quelle adresse IP a ta machine, et quand les tests sont finis,
tu remplaces le 1 par 0 dans les ACL et hop ca passe en prod! (si ton
masque de sous reseau est 255.255.255.0 tu mets 255.255.0.0 pour que ca
passe)

@+
Bertrand

nospam@tomcat.ca.tc (Florent Carli) wrote in
news:6d12cccb.0307220555.7862ead5@posting.google.com:

supposons un routeur avec des ACL qui permettent a certaines ip
d'acceder a d'autres ip sur certains ports.
Pour verifier que ces ACL font ce que ma politique de secu dit de
faire, je souhaite les "tester".
Pour ca, je compte prendre l'identité de toutes les machines
possibles, et scanner toutes les machines possibles (n*n scans), mais
cela sans les déranger dans leur fonctionnement normal.
En corrélant avec ma politique de secu, je verrai ainsi si les ACL
laissent passer trop ou pas assez, ou si tout concorde.

a mon avis le plus simple, c'est de faire tes tests lorsque ca derange

personne, et de te brancher a la place du poste que tu veux usurper.
Enfin pour etre vraiment propre, je pense qu'il faudrait aussi usurper la
MAC de la carte du pécé que tu usurpes, en plus de son IP...

--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/

nospam@tomcat.ca.tc (Florent Carli) ecrivait dans
news:6d12cccb.0307220555.7862ead5@posting.google.com:

T0t0,

Je pense que tu as bien compris, je detaille un petit peu :

supposons un routeur avec des ACL qui permettent a certaines ip
d'acceder a d'autres ip sur certains ports.
Pour verifier que ces ACL font ce que ma politique de secu dit de
faire, je souhaite les "tester".
Pour ca, je compte prendre l'identité de toutes les machines
possibles, et scanner toutes les machines possibles (n*n scans), mais
cela sans les déranger dans leur fonctionnement normal.
En corrélant avec ma politique de secu, je verrai ainsi si les ACL
laissent passer trop ou pas assez, ou si tout concorde.

Plus simplement, tu veux mettre en place un sonde reseau, et sniffer tous
les paquet qui passe par un brins de ton reseau.
Moi je regarderais du coté de Ethereal.

L'idée c t alors de se faire passer pour la machine (dont on veut
tester l'adresse source) le temps de lancer le scan. Mais comment
faire pour que cela ne derange pas la machine en question?

Pas besoin de se faire passer pour la machine, sur un méme brins de ton
reseau, tous les paquets destinés a une machine de ce brins sont
accessibles a toutes les machines de ce brins, c'est ta carte qui appret
fait le trie entre ce qui lui est destiné ou pas.
Mais il existe le mode "promiscuous", destiné notament au sondes reseau,
qui permet a la carte d'intercepter tous les paquets ethernet, sans
influencer le traffique.

Sur un réseau switché, il faudrait faire de l'arp spoofing pour capter
tout le traffic de cette machine, et lancer le scan. On capterait en
retour tout le traffic normal de la machine, ainsi que notre retour de
scan (des syn+ack). En reforwardant tout à la machine légitime, cette
dernière balanceraient qq centaines de RST... je suis tout a fait
d'accord. C'est simplement que je ne trouvais pas cela très propre, et
je me demandais si qq'un avait un moyen de ne pas forwarder le retour
du scan (comment identifier les packets?) ou bien une solution
complètement différente.

Bon tu es sur un reseau switché avec un routeur ACL, est il vraiment
necessaire de tester tes regles ACL pour toutes les machines ?
Pourquoi veut tu faire l'opperation en une seul fois ?

Il me parait beaucoup plus simple de faire le test en plusieurs, fois en
deplacement simplement la sonde, plustot qu'a commencer a foutre le
foutoir dans la configuration existante de ton reseau uniquement pour un
test. C'est le meillieur moyen de mal configurer son reseau que de tester
des regles pour en appliquer d'autre par la suite.

Mes 0.2€
--
Les fautes d'orthographes sus-citées sont déposées auprès de leurs
propriétaires respectifs. Aucune responsabilité n'est engagé sur
la lisibilité du message ou les éventuelles dommages qu'il peut
engendrer. Beretta Vexée

"Florent Carli" <nospam@tomcat.ca.tc> wrote in message
news:6d12cccb.0307220555.7862ead5@posting.google.com

Pour ca, je compte prendre l'identité de toutes les machines possibles, et
scanner toutes les machines possibles (n*n scans), mais cela sans les
déranger dans leur fonctionnement normal.
En corrélant avec ma politique de secu, je verrai ainsi si les ACL laissent
passer trop ou pas assez, ou si tout concorde.

Je pense que le test de quelques adresses devrait suffir plutôt que
n*n. Les ACL bloquent des plages d'adresses ? dans ce cas, tu peux
tester les adresses de début et de fin de plage plutôt que toutes, à
mon avis.

L'idée c t alors de se faire passer pour la machine (dont on veut tester
l'adresse source) le temps de lancer le scan. Mais comment faire pour que
cela ne derange pas la machine en question?
Sur un réseau switché, il faudrait faire de l'arp spoofing pour capter tout
le traffic de cette machine, et lancer le scan. On capterait en retour tout
le traffic normal de la machine, ainsi que notre retour de scan (des
syn+ack). En reforwardant tout à la machine légitime, cette dernière
balanceraient qq centaines de RST... je suis tout a fait d'accord.

Je ne suis pas sûr que ca se passerait si simplement. Je ne connais pas
bien Nmap, mais il faut voir si au niveau réseau, les paquets de retour
à destination d'une autre adresse IP que la tienne seraient récupérés
dans la pile IP et envoyés à Nmap. Si Nmap sait les récupérer, c'est
bien, sinon, ils seront simplement routés et il faudra voir les
réponses avec un sniffer.

C'est simplement que je ne trouvais pas cela très propre, et je me demandais
si qq'un avait un moyen de ne pas forwarder le retour du scan (comment
identifier les packets?) ou bien une solution complètement différente.

Déjà, il faudrait voir si cela marche sans avoir besoin de sniffer, ce
dont je ne suis pas sûr.
Ensuite, il faut voir si la machine cible (celle dont on usurpe
l'adresse) passe par le même routeur pour ses connexions habituelles.
Si c'est le cas, je ne vois pas trop comment faire :-(
Sinon, tu peux faire du arp cache poisonning entre la machine cible
et le routeur avec les ACL. Cela sera transparent pour la cible qui
continuera ses connexions légitimes avec un autre routeur.

Mais bon... tu devrais pouvoir voir au niveau des logs de ton routeur
si les flux ont été stoppés ou non, ca me semble plus facile.

Bon courage en tout cas :-)


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

"Bertrand" <usenet@pas.net.invalid> wrote in message
news:pan.2003.07.22.14.58.31.805675@pas.net.invalid

Deux machines avec une interface Ethernet configurée avec la meme IP > deux adresses MAC pour la meme IP = pas gerable correctement par le
switch.

J'ai du mal à voir pourquoi. Le switch ne voit pas les adresses IP
de toute façon, il se base bètement sur les adresses MAC.
Sinon, je ne connais pas bien Nmap, mais a-t-il réellement besoin
de mettre l'adresse IP qu'il utilise sur une interface pour spoofer une
IP ou suffit-il qu'il envoit un paquet avec cette adresse ?

Le cas dans le quel je me plaçais est celui où Nmap envoit des paquets
avec une IP source autre que celle de l'interface. Ca ne devrait pas
déranger le switch qui ne voit que l'adresse MAC.

Je crois que le coup de forwarder les paquets avec iptables et de faire de
l'arp spoofing est une soloution applicable

Exact, je n'avais pas pensé à iptables mais ca permet effectivement de
rediriger les paquets vers la machine elle-même, et donc Nmap reçoit
bien ses réponses.
La machine spoofée ne voit rien à priori si on se débrouille pour ne
rediriger que certains flux.




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Dans sa prose, T0t0 nous ecrivait :

J'ai du mal à voir pourquoi. Le switch ne voit pas les adresses IP de
toute façon, il se base bètement sur les adresses MAC.

Idem.

Sinon, je ne connais pas bien Nmap, mais a-t-il réellement besoin de
mettre l'adresse IP qu'il utilise sur une interface pour spoofer une IP
ou suffit-il qu'il envoit un paquet avec cette adresse ?

Nmap utilise injecte ses propres paquets IP pour faire ses scans. Il peut
donc placer l'IP source qu'il veut. C'est d'ailleurs comme celà qu'il
fait pour générer ses decoys.

cbr@elendil:~$ man nmap
[...]
-S <IP_Address>
In some circumstances, nmap may not be able to determine
your source address (nmap will tell you if this is the
case). In this situation, use -S with your IP address (of
the interface you wish to send packets through).

Another possible use of this flag is to spoof the scan to
make the targets think that someone else is scanning them.
Imagine a company being repeatedly port scanned by a
competitor! This is not a supported usage (or the main
purpose) of this flag. I just think it raises an
interesting possibility that people should be aware of
before they go accusing others of port scanning them. -e
would generally be required for this sort of usage.

Bref, RTFM.

Le cas dans le quel je me plaçais est celui où Nmap envoit des paquets
avec une IP source autre que celle de l'interface. Ca ne devrait pas
déranger le switch qui ne voit que l'adresse MAC.

Non, ça ne le dérangera pas.

Exact, je n'avais pas pensé à iptables mais ca permet effectivement de
rediriger les paquets vers la machine elle-même, et donc Nmap reçoit
bien ses réponses.
La machine spoofée ne voit rien à priori si on se débrouille pour ne
rediriger que certains flux.

On s'en fout qu'elle voit quelquechose ou non. Elle émettra des RST en
TCP, elle poubellisera en UDP. D'autant qu'on est clairement plus intrusif
et perturbateur avec un ARP cache poisoning qu'avec le scan. Alors bon, au
point où on en est, un spoof de plus ou de moins...

Une autre solution, c'est de se placer, si le switch le supporte, sur un
port monitor bidirectionnel. On envoie son scan depuis ce port, et les
réponses arriveront toutes seules.

--
BB - Faut r'connaitre! C'est du brutal!..
JL - Vous avez raison il est curieux !
-+- Bernard Blier et Jean Lefebvre, les Tontons Flingueurs

Salut,

J'ai du mal à voir pourquoi. Le switch ne voit pas les adresses IP de
toute façon, il se base bètement sur les adresses MAC.

Idem.

Merci d'ignorer ma reponse precedente... Depuis quand c'est le
switch qui envoie des requetes ARP ?..

Bouh, "shame on me" ! :)

Normalement effectivement ca ne genera pas -le switch-..

@+
Bertrand

On 23 Jul 2003 14:20:36 GMT
"Bertrand" <usenet@pas.net.invalid> wrote:

Erf... deux machines qui repondent un ARP is-at avec des MAC
differentes pour la meme IP, le switch il va faire quoi ?

J'ai pas de switch dispo ici pour tester mais je pense que ca va poser
un probleme au niveau de l'ARP !

Non, le probleme n'est pas du tout celui la, le switch ne touche pas du
tout au niveau IP, il se contente de renvoyer sur le port les paquets en
fonction de l'adresse MAC. Le who-has est genere par l'emeteur (ici la
machine scannee), pas par le switch.

Le seul probleme est que la machine dont l'IP est spoofee risque de
repondre au who-has avant la machine qui spoof cette IP. Par contre, ici,
comme la machine scannee recoit les paquets du scan, elle a deja une
adresse MAC pour l'IP spoofee.

--
Marwan Burelle,
http://www.lri.fr/~burelle
( burelle@lri.fr | Marwan.Burelle@ens.fr )
http://www.cduce.org

Dans sa prose, Marwan Burelle nous ecrivait :

Le seul probleme est que la machine dont l'IP est spoofee risque de
repondre au who-has avant la machine qui spoof cette IP.

Quand on fait de l'ARP cache poisoning, on essaye d'éviter ceci en
émettant des réponses ARP ou des requêtes en unicast (directed ARP) pour
créer ou modifier l'entrée ARP concernant l'IP spoofée dans le cache de la
machine cible (ici la cible du scan). Du coup, il n'y aura pas de requête
sur l'IP spoofée pour répondre, puisque le cache est déjà (faussement)
renseigné.

Cf. http://www.arp-sk.org/

--

Je souhaite migrer un serveur de messagerie (precedement sous
exchange et 2000 adv server) vers une solution technique.
Excellente, cette phrase !

-+- SE in GFA : "Phraseologie technique..." -+-