Y'a-t-il un moyen de détecter une intrusion physique
sur un vlan à partir d'une autre machine sur le même
segment ?
En gros, détecter une machine qui est là alors qu'elle
ne devrait pas ?
Je précise que dans un premier cas de figure, on n'a
pas accès au switch et la machine de surveillance
n'est pas une passerelle par dèfaut et qu'a priori
elle ne voit donc pas tout le trafic (entrant/sortant
et local).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
Artur wrote:
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Surveiller les requêtes ARP WHO-HAS en demon ?
Je précise que dans un premier cas de figure, on n'a pas accès au switch
Si c'est un switch, euh, aucune chance: le switch (s'il est malin) va lui même répondre au WHO-HAS et ne pas propager le paquet ARP dans les autres segments.
Seule solution: avoir accès au switch et logger les nouvelles adresses mac, avec alertes (il faut pas un switch a 10 euros, évidemment)
Artur wrote:
En gros, détecter une machine qui est là alors qu'elle
ne devrait pas ?
Surveiller les requêtes ARP WHO-HAS en demon ?
Je précise que dans un premier cas de figure, on n'a
pas accès au switch
Si c'est un switch, euh, aucune chance: le switch (s'il est malin) va
lui même répondre au WHO-HAS et ne pas propager le paquet ARP dans les
autres segments.
Seule solution: avoir accès au switch et logger les nouvelles adresses
mac, avec alertes (il faut pas un switch a 10 euros, évidemment)
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Surveiller les requêtes ARP WHO-HAS en demon ?
Je précise que dans un premier cas de figure, on n'a pas accès au switch
Si c'est un switch, euh, aucune chance: le switch (s'il est malin) va lui même répondre au WHO-HAS et ne pas propager le paquet ARP dans les autres segments.
Seule solution: avoir accès au switch et logger les nouvelles adresses mac, avec alertes (il faut pas un switch a 10 euros, évidemment)
Jacques Caron
Salut,
On 21 Jan 2004 15:17:56 GMT, Artur wrote:
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
De façon absolue, non. Si on veut protéger l'accès aux VLANs, il faut passer à l'authentification de port (802.1X), et même ça, ça peut ne pas être suffisant si quelqu'un ajoute un hub entre le port protégé et le PC "autorisé", et fait du spoofing d'adresse MAC.
Mais pour le cas "simple" (machine juste branchée sur le mauvais VLAN sans beaucoup plus d'intention mauvaise), il suffit au choix: - de sniffer le trafic pour repérer son adresse MAC (qui ne serait pas dans la liste "autorisé") - d'écouter les requêtes broadcast (DHCP, ARP) pour repérer son adresse MAC - d'utiliser ARP pour la faire se démasquer.
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Elle voit tout le trafic broadcast, ça suffit largement dans de nombreux cas (sauf si bien sûr le PC non autorisé se cache vraiment, en étant par exemple entièrement passif, juste à l'écoute de broadcasts lui-même).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 21 Jan 2004 15:17:56 GMT, Artur <artur.spamme@pydo.org> wrote:
Y'a-t-il un moyen de détecter une intrusion physique
sur un vlan à partir d'une autre machine sur le même
segment ?
En gros, détecter une machine qui est là alors qu'elle
ne devrait pas ?
De façon absolue, non. Si on veut protéger l'accès aux VLANs, il faut
passer à l'authentification de port (802.1X), et même ça, ça peut ne pas
être suffisant si quelqu'un ajoute un hub entre le port protégé et le PC
"autorisé", et fait du spoofing d'adresse MAC.
Mais pour le cas "simple" (machine juste branchée sur le mauvais VLAN sans
beaucoup plus d'intention mauvaise), il suffit au choix:
- de sniffer le trafic pour repérer son adresse MAC (qui ne serait pas
dans la liste "autorisé")
- d'écouter les requêtes broadcast (DHCP, ARP) pour repérer son adresse MAC
- d'utiliser ARP pour la faire se démasquer.
Je précise que dans un premier cas de figure, on n'a
pas accès au switch et la machine de surveillance
n'est pas une passerelle par dèfaut et qu'a priori
elle ne voit donc pas tout le trafic (entrant/sortant
et local).
Elle voit tout le trafic broadcast, ça suffit largement dans de nombreux
cas (sauf si bien sûr le PC non autorisé se cache vraiment, en étant par
exemple entièrement passif, juste à l'écoute de broadcasts lui-même).
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
De façon absolue, non. Si on veut protéger l'accès aux VLANs, il faut passer à l'authentification de port (802.1X), et même ça, ça peut ne pas être suffisant si quelqu'un ajoute un hub entre le port protégé et le PC "autorisé", et fait du spoofing d'adresse MAC.
Mais pour le cas "simple" (machine juste branchée sur le mauvais VLAN sans beaucoup plus d'intention mauvaise), il suffit au choix: - de sniffer le trafic pour repérer son adresse MAC (qui ne serait pas dans la liste "autorisé") - d'écouter les requêtes broadcast (DHCP, ARP) pour repérer son adresse MAC - d'utiliser ARP pour la faire se démasquer.
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Elle voit tout le trafic broadcast, ça suffit largement dans de nombreux cas (sauf si bien sûr le PC non autorisé se cache vraiment, en étant par exemple entièrement passif, juste à l'écoute de broadcasts lui-même).
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Julien Salgado
Artur a écrit :
Bonjour,
Bonjour,
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Sous certaines conditions...
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Si c'est une machine qui communique un peu, elle doit parfois faire des correspondance niveau 3/niveau 2 dans le cas d'IP sur ethernet c'est ARP. Il est possible de voir une nouvelle machine quand elle émet des broadcast ARP à condition que la configuration VLAN ne soit pas trop strict (pas d'isolated VLAN). Pour cela, il existe des outils comme arpwatch (qui existe pour unix, pour windows je ne sais pas).
Si la machine est passive il n'y a pas de moyen de le savoir à distance si on a pas la main sur le switch ou le premier équipement sur lequel le cable arrive.
Dans le principe, il faut sur le switch (si c'est possible) : - activer seulement les ports sur lesquels des équipements sont branchés, - mettre en place un mécanisme de supervision sur le switch qui indique les branchements/débranchement de ports ou les pertes de connexions (les traps SNMP font ça très bien). - utiliser des tables de MAC statiques par port sur les switches et désactiver automatiquement les ports ou il y a une MAC non prévu sur un port. - isoler les ports qui ne doivent pas communiquer directement.
le premier point évite les branchements sauvages sur les ports libre du switch, le second détecte ceratines manipulations sur le cablage, le troisième enpêche une machine avec une carte réseau qui a une MAC (physique et/ou logique) différente de la machine habituelle.
Merci par avance.
-- Julien
Artur a écrit :
Bonjour,
Bonjour,
Y'a-t-il un moyen de détecter une intrusion physique
sur un vlan à partir d'une autre machine sur le même
segment ?
En gros, détecter une machine qui est là alors qu'elle
ne devrait pas ?
Sous certaines conditions...
Je précise que dans un premier cas de figure, on n'a
pas accès au switch et la machine de surveillance
n'est pas une passerelle par dèfaut et qu'a priori
elle ne voit donc pas tout le trafic (entrant/sortant
et local).
Si c'est une machine qui communique un peu, elle doit parfois faire des
correspondance niveau 3/niveau 2 dans le cas d'IP sur ethernet c'est
ARP. Il est possible de voir une nouvelle machine quand elle émet des
broadcast ARP à condition que la configuration VLAN ne soit pas trop
strict (pas d'isolated VLAN).
Pour cela, il existe des outils comme arpwatch (qui existe pour unix,
pour windows je ne sais pas).
Si la machine est passive il n'y a pas de moyen de le savoir à distance
si on a pas la main sur le switch ou le premier équipement sur lequel le
cable arrive.
Dans le principe, il faut sur le switch (si c'est possible) :
- activer seulement les ports sur lesquels des équipements sont
branchés,
- mettre en place un mécanisme de supervision sur le switch qui indique
les branchements/débranchement de ports ou les pertes de connexions
(les traps SNMP font ça très bien).
- utiliser des tables de MAC statiques par port sur les switches et
désactiver automatiquement les ports ou il y a une MAC non prévu sur
un port.
- isoler les ports qui ne doivent pas communiquer directement.
le premier point évite les branchements sauvages sur les ports libre du
switch, le second détecte ceratines manipulations sur le cablage, le
troisième enpêche une machine avec une carte réseau qui a une MAC
(physique et/ou logique) différente de la machine habituelle.
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Sous certaines conditions...
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Si c'est une machine qui communique un peu, elle doit parfois faire des correspondance niveau 3/niveau 2 dans le cas d'IP sur ethernet c'est ARP. Il est possible de voir une nouvelle machine quand elle émet des broadcast ARP à condition que la configuration VLAN ne soit pas trop strict (pas d'isolated VLAN). Pour cela, il existe des outils comme arpwatch (qui existe pour unix, pour windows je ne sais pas).
Si la machine est passive il n'y a pas de moyen de le savoir à distance si on a pas la main sur le switch ou le premier équipement sur lequel le cable arrive.
Dans le principe, il faut sur le switch (si c'est possible) : - activer seulement les ports sur lesquels des équipements sont branchés, - mettre en place un mécanisme de supervision sur le switch qui indique les branchements/débranchement de ports ou les pertes de connexions (les traps SNMP font ça très bien). - utiliser des tables de MAC statiques par port sur les switches et désactiver automatiquement les ports ou il y a une MAC non prévu sur un port. - isoler les ports qui ne doivent pas communiquer directement.
le premier point évite les branchements sauvages sur les ports libre du switch, le second détecte ceratines manipulations sur le cablage, le troisième enpêche une machine avec une carte réseau qui a une MAC (physique et/ou logique) différente de la machine habituelle.
Merci par avance.
-- Julien
CubJ3L4H
Coucou, chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le vlan avec des access-lists appliquées dans le vlan.... c'est un petit plus. de cette façon une machine ne pourra dans le vlan par exemple ne s'addresser qu'a sa gateway en arp/ip. ça reduit un peu les risaues , mais cela ne reponds pas tout à fait à ta question... mais c'est à savoir ..
Cub
Artur wrote:
Bonjour,
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Merci par avance.
Coucou,
chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le
vlan avec des access-lists appliquées dans le vlan....
c'est un petit plus. de cette façon une machine ne pourra dans le vlan
par exemple ne s'addresser qu'a sa gateway en arp/ip.
ça reduit un peu les risaues , mais cela ne reponds pas tout à fait à ta
question...
mais c'est à savoir ..
Cub
Artur wrote:
Bonjour,
Y'a-t-il un moyen de détecter une intrusion physique
sur un vlan à partir d'une autre machine sur le même
segment ?
En gros, détecter une machine qui est là alors qu'elle
ne devrait pas ?
Je précise que dans un premier cas de figure, on n'a
pas accès au switch et la machine de surveillance
n'est pas une passerelle par dèfaut et qu'a priori
elle ne voit donc pas tout le trafic (entrant/sortant
et local).
Coucou, chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le vlan avec des access-lists appliquées dans le vlan.... c'est un petit plus. de cette façon une machine ne pourra dans le vlan par exemple ne s'addresser qu'a sa gateway en arp/ip. ça reduit un peu les risaues , mais cela ne reponds pas tout à fait à ta question... mais c'est à savoir ..
Cub
Artur wrote:
Bonjour,
Y'a-t-il un moyen de détecter une intrusion physique sur un vlan à partir d'une autre machine sur le même segment ?
En gros, détecter une machine qui est là alors qu'elle ne devrait pas ?
Je précise que dans un premier cas de figure, on n'a pas accès au switch et la machine de surveillance n'est pas une passerelle par dèfaut et qu'a priori elle ne voit donc pas tout le trafic (entrant/sortant et local).
Merci par avance.
Cedric Blancher
Dans sa prose, CubJ3L4H nous ecrivait :
chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le vlan avec des access-lists appliquées dans le vlan.... c'est un petit plus. de cette façon une machine ne pourra dans le vlan par exemple ne s'addresser qu'a sa gateway en arp/ip. ça reduit un peu les risaues , mais cela ne reponds pas tout à fait à ta question...
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets par la passerelle à laquelle justement tout le monde a accès. Pour cela, il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation des principes de compartimentation de base : si tu ne veux pas que deux machines causent entre elles, tu ne les mets pas sur le même subnet. Alors du coup, si en plus on ne sait pas les utiliser correctement, ça donne des résultats assez exotiques.
-- "Alors, je crois savoir ce qui n'allait pas. J'ai désactivé l'option : Send in rich HTML by default. Et je crois que c'était ça qui foutait le bordel." -+- EF in Guide du linuxien pervers : "Bien configurer son Netscape"
Dans sa prose, CubJ3L4H nous ecrivait :
chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le
vlan avec des access-lists appliquées dans le vlan.... c'est un petit
plus. de cette façon une machine ne pourra dans le vlan par exemple ne
s'addresser qu'a sa gateway en arp/ip. ça reduit un peu les risaues ,
mais cela ne reponds pas tout à fait à ta question...
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets
par la passerelle à laquelle justement tout le monde a accès. Pour cela,
il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un
canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation
des principes de compartimentation de base : si tu ne veux pas que deux
machines causent entre elles, tu ne les mets pas sur le même subnet.
Alors du coup, si en plus on ne sait pas les utiliser correctement, ça
donne des résultats assez exotiques.
--
"Alors, je crois savoir ce qui n'allait pas. J'ai désactivé
l'option : Send in rich HTML by default. Et je crois que c'était
ça qui foutait le bordel."
-+- EF in Guide du linuxien pervers : "Bien configurer son Netscape"
chez Cisco...mais c'est cher, il y a moyen d'isoler les machines dans le vlan avec des access-lists appliquées dans le vlan.... c'est un petit plus. de cette façon une machine ne pourra dans le vlan par exemple ne s'addresser qu'a sa gateway en arp/ip. ça reduit un peu les risaues , mais cela ne reponds pas tout à fait à ta question...
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets par la passerelle à laquelle justement tout le monde a accès. Pour cela, il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation des principes de compartimentation de base : si tu ne veux pas que deux machines causent entre elles, tu ne les mets pas sur le même subnet. Alors du coup, si en plus on ne sait pas les utiliser correctement, ça donne des résultats assez exotiques.
-- "Alors, je crois savoir ce qui n'allait pas. J'ai désactivé l'option : Send in rich HTML by default. Et je crois que c'était ça qui foutait le bordel." -+- EF in Guide du linuxien pervers : "Bien configurer son Netscape"
Sebastien Reister
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets par la passerelle à laquelle justement tout le monde a accès. Pour cela, il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation des principes de compartimentation de base : si tu ne veux pas que deux machines causent entre elles, tu ne les mets pas sur le même subnet. Alors du coup, si en plus on ne sait pas les utiliser correctement, ça donne des résultats assez exotiques.
Juste un eclaircissement Cedric, pour voir si je te suis.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui lui est relié a un VLAN B, subnet B et host B.
C 2 host sont connecter a un port ou une seul adresse ARP est authoriser, et ou une seule IP est autoriser (ACL cisco) , et de meme sur le firewall seul l'IP A peut causer a l'IP B.
Meme dans ce cas la, le vil pirate peut s'echaper du VLAN et attaquer directement le host B depuis le A ???
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets
par la passerelle à laquelle justement tout le monde a accès. Pour cela,
il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un
canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation
des principes de compartimentation de base : si tu ne veux pas que deux
machines causent entre elles, tu ne les mets pas sur le même subnet.
Alors du coup, si en plus on ne sait pas les utiliser correctement, ça
donne des résultats assez exotiques.
Juste un eclaircissement Cedric, pour voir si je te suis.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui
lui est relié a un VLAN B, subnet B et host B.
C 2 host sont connecter a un port ou une seul adresse ARP est
authoriser, et ou une seule IP est autoriser (ACL cisco) , et de meme
sur le firewall seul l'IP A peut causer a l'IP B.
Meme dans ce cas la, le vil pirate peut s'echaper du VLAN et attaquer
directement le host B depuis le A ???
Ça s'appelle un PVLAN, et ça se contourne en faisant router ses paquets par la passerelle à laquelle justement tout le monde a accès. Pour cela, il suffit de monter la route kivabien(tm), ce qui nous permet d'ouvrir un canal unidirectionnel.
Bref, les PVLAN, c'est bien, mais c'est quand même une sacré violation des principes de compartimentation de base : si tu ne veux pas que deux machines causent entre elles, tu ne les mets pas sur le même subnet. Alors du coup, si en plus on ne sait pas les utiliser correctement, ça donne des résultats assez exotiques.
Juste un eclaircissement Cedric, pour voir si je te suis.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui lui est relié a un VLAN B, subnet B et host B.
C 2 host sont connecter a un port ou une seul adresse ARP est authoriser, et ou une seule IP est autoriser (ACL cisco) , et de meme sur le firewall seul l'IP A peut causer a l'IP B.
Meme dans ce cas la, le vil pirate peut s'echaper du VLAN et attaquer directement le host B depuis le A ???
Cedric Blancher
Dans sa prose, Sebastien Reister nous ecrivait :
Juste un eclaircissement Cedric, pour voir si je te suis.
/me sort la lampe torche.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui lui est relié a un VLAN B, subnet B et host B.
Non. Ce n'est pas une utilisation de PVLAN ça.
La configuration est la suivante. Tu as deux machines A et B dans le même subnet, mais dans deux PVLAN différents. C'est à dire que le commutateur interdit à A d'envoyer des trames ethernet à B et inversement.
Si tes deux machines A et B ont accès à la même passerelle C (qui est sur un port promisc au sens PVLAN), alors A demande à C de router ses paquets à destination de B :
route add -host B gw C
Il faut donc ajouter au niveau de la passerelle une ACL pour interdire à un paquet d'entrer et resortir par la même interface.
Mais bon, ceci dit, un PVLAN, ça prévient efficacement la corruption de cache ARP entre deux hôtes qui n'ont pas besoin de se causer.
-- BOFH excuse #155:
Dumb terminal
Dans sa prose, Sebastien Reister nous ecrivait :
Juste un eclaircissement Cedric, pour voir si je te suis.
/me sort la lampe torche.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui
lui est relié a un VLAN B, subnet B et host B.
Non. Ce n'est pas une utilisation de PVLAN ça.
La configuration est la suivante. Tu as deux machines A et B dans le même
subnet, mais dans deux PVLAN différents. C'est à dire que le commutateur
interdit à A d'envoyer des trames ethernet à B et inversement.
Si tes deux machines A et B ont accès à la même passerelle C (qui est
sur un port promisc au sens PVLAN), alors A demande à C de router ses
paquets à destination de B :
route add -host B gw C
Il faut donc ajouter au niveau de la passerelle une ACL pour interdire à
un paquet d'entrer et resortir par la même interface.
Mais bon, ceci dit, un PVLAN, ça prévient efficacement la corruption de
cache ARP entre deux hôtes qui n'ont pas besoin de se causer.
Juste un eclaircissement Cedric, pour voir si je te suis.
/me sort la lampe torche.
J'ai un host A dans un subnet A dans un VLAN A relié a un firewall qui lui est relié a un VLAN B, subnet B et host B.
Non. Ce n'est pas une utilisation de PVLAN ça.
La configuration est la suivante. Tu as deux machines A et B dans le même subnet, mais dans deux PVLAN différents. C'est à dire que le commutateur interdit à A d'envoyer des trames ethernet à B et inversement.
Si tes deux machines A et B ont accès à la même passerelle C (qui est sur un port promisc au sens PVLAN), alors A demande à C de router ses paquets à destination de B :
route add -host B gw C
Il faut donc ajouter au niveau de la passerelle une ACL pour interdire à un paquet d'entrer et resortir par la même interface.
Mais bon, ceci dit, un PVLAN, ça prévient efficacement la corruption de cache ARP entre deux hôtes qui n'ont pas besoin de se causer.
