Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
La RFC 6104 de l'an dernier (citée du reste dans l'article) traite de ce problème: http://tools.ietf.org/html/rfc6104
erwan
"Az Sam" écrivait :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
"Az Sam" <me@home.net> écrivait :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
erwan
"Az Sam" écrivait :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
"Az Sam" <me@home.net> écrivait :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Patrick Lamaizière
:
Bonjour,
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Y'a des outils pour la détection des RA Ipv6 ?
erwan@rail.eu.org :
Bonjour,
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Y'a des outils pour la détection des RA Ipv6 ?
Erwan David
Patrick Lamaizière écrivait :
:
Bonjour,
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
C'est ce que j'ai au boulot, sur Centos 5...
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Y'a des outils pour la détection des RA Ipv6 ?
Je n'en connais pas encore...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Patrick Lamaizière <adresse@est.invalid> écrivait :
erwan@rail.eu.org :
Bonjour,
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe
C'est ce que j'ai au boulot, sur Centos 5...
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Y'a des outils pour la détection des RA Ipv6 ?
Je n'en connais pas encore...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Bah c'est *exactement* le même problème qu'un rogue DHCP server en IPv4.
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
C'est ce que j'ai au boulot, sur Centos 5...
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
Y'a des outils pour la détection des RA Ipv6 ?
Je n'en connais pas encore...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Damien Wyart
* Patrick Lamaizière in fr.comp.securite:
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
C'est aussi packagé dans Debian.
Sinon il y a celui-ci mais je ne connais pas en détail : http://odhcploc.sourceforge.net/
Et pour une synthèse des principaux enjeux de sécurité IPv6 (couches basses uniquement, ie pas sur les aspects applicatifs), deux bonnes présentations : http://www.si6networks.com/presentations/hip2012/fgont-hip2012-hacking-ipv6-networks-training.pdf http://www.data.proidea.org.pl/euronog/2edycja/materials/Janos_Mohacsi-IPv6_Security-problems_and_mitigations.pdf
-- DW
* Patrick Lamaizière <adresse@est.invalid> in fr.comp.securite:
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et
j'ai du le patcher (pas que ça à foutre) pour le faire touner sur
Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
C'est aussi packagé dans Debian.
Sinon il y a celui-ci mais je ne connais pas en détail :
http://odhcploc.sourceforge.net/
Et pour une synthèse des principaux enjeux de sécurité IPv6 (couches
basses uniquement, ie pas sur les aspects applicatifs), deux bonnes
présentations :
http://www.si6networks.com/presentations/hip2012/fgont-hip2012-hacking-ipv6-networks-training.pdf
http://www.data.proidea.org.pl/euronog/2edycja/materials/Janos_Mohacsi-IPv6_Security-problems_and_mitigations.pdf
Est-ce qu'il a des outils pour détecter les "rogues" serveurs DHCP ?
J'ai mis en place "dhcp probe" au taf mais il n'est plus maintenu et j'ai du le patcher (pas que ça à foutre) pour le faire touner sur Centos6. http://www.net.princeton.edu/software/dhcp_probe
Ceci dit ça marche plutôt bien et c'est assez utile comme truc.
C'est aussi packagé dans Debian.
Sinon il y a celui-ci mais je ne connais pas en détail : http://odhcploc.sourceforge.net/
Et pour une synthèse des principaux enjeux de sécurité IPv6 (couches basses uniquement, ie pas sur les aspects applicatifs), deux bonnes présentations : http://www.si6networks.com/presentations/hip2012/fgont-hip2012-hacking-ipv6-networks-training.pdf http://www.data.proidea.org.pl/euronog/2edycja/materials/Janos_Mohacsi-IPv6_Security-problems_and_mitigations.pdf
-- DW
Erwan David
Pascal Hambourg écrivait :
Salut,
Erwan David a écrit :
Y'a des outils pour la détection des RA Ipv6 ?
radvdump qui est inclus dans le paquet radvd (émission de RA).
Ici on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
radvdump qui est inclus dans le paquet radvd (émission de RA).
Ici on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
-- Les simplifications c'est trop compliqué
Eric G
Az Sam a formulé ce mercredi :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
voir à : http://www.youtube.com/watch?v=8OxIV7o6OCY :oÞ
Az Sam a formulé ce mercredi :
Citation :
Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html
voir à :
http://www.youtube.com/watch?v=8OxIV7o6OCY
:oÞ
Sur un réseau IPv6, tout équipement peut envoyer des messages RA "Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité pour un attaquant de faire du Man-in-the-Middle en se faisant passer pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC : http://www.hsc-news.com/archives/2012/000100.html
voir à : http://www.youtube.com/watch?v=8OxIV7o6OCY :oÞ
Jean-Marc Desperrier
Erwan David a écrit :
on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
Idéalement il faudrait pouvoir configurer les équipements réseau pour leur indiquer que ce type de paquet ne peut venir que d'un endroit précis, non ?
Idéalement on ferait déjà la même chose pour les messages DHCP en ipv4, bien sûr.
Erwan David a écrit :
on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une
alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
Idéalement il faudrait pouvoir configurer les équipements réseau pour
leur indiquer que ce type de paquet ne peut venir que d'un endroit
précis, non ?
Idéalement on ferait déjà la même chose pour les messages DHCP en ipv4,
bien sûr.
