Sur un réseau IPv6, tout équipement peut envoyer des messages RA
"Router Advertisement" dans le but de se faire passer pour un routeur.
Ceci est bien sûr embêtant sur un réseau local car offre la possibilité
pour un attaquant de faire du Man-in-the-Middle en se faisant passer
pour la passerelle par défaut et ainsi capturer tout le trafic réseau.
A lire dans la newsletter de HSC :
http://www.hsc-news.com/archives/2012/000100.html
On 11/16/2012 10:20 AM, Jean-Marc Desperrier wrote:
Idéalement il faudrait pouvoir configurer les équipements réseau pour leur indiquer que ce type de paquet ne peut venir que d'un endroit précis, non ?
En général les switchs "haut de gamme" permettent de coller du filtrage via des ACL ; voir par exemple: http://www.networkworld.com/community/node/42804
On 11/16/2012 10:20 AM, Jean-Marc Desperrier wrote:
Idéalement il faudrait pouvoir configurer les équipements réseau pour
leur indiquer que ce type de paquet ne peut venir que d'un endroit
précis, non ?
En général les switchs "haut de gamme" permettent de coller du filtrage
via des ACL ; voir par exemple:
http://www.networkworld.com/community/node/42804
On 11/16/2012 10:20 AM, Jean-Marc Desperrier wrote:
Idéalement il faudrait pouvoir configurer les équipements réseau pour leur indiquer que ce type de paquet ne peut venir que d'un endroit précis, non ?
En général les switchs "haut de gamme" permettent de coller du filtrage via des ACL ; voir par exemple: http://www.networkworld.com/community/node/42804
Nicolas George
Xavier Roche , dans le message <k8512a$cac$, a écrit :
En général les switchs "haut de gamme" permettent de coller du filtrage via des ACL ; voir par exemple:
Et sinon, comme il s'agit de paquets locaux, il n'y a pas d'équipement réseau traversé au delà du switch bas de gamme (puisque tu as couvert le cas haut de gamme).
Xavier Roche , dans le message <k8512a$cac$2@news.httrack.net>, a
écrit :
En général les switchs "haut de gamme" permettent de coller du filtrage
via des ACL ; voir par exemple:
Et sinon, comme il s'agit de paquets locaux, il n'y a pas d'équipement
réseau traversé au delà du switch bas de gamme (puisque tu as couvert le cas
haut de gamme).
Xavier Roche , dans le message <k8512a$cac$, a écrit :
En général les switchs "haut de gamme" permettent de coller du filtrage via des ACL ; voir par exemple:
Et sinon, comme il s'agit de paquets locaux, il n'y a pas d'équipement réseau traversé au delà du switch bas de gamme (puisque tu as couvert le cas haut de gamme).
erwan
Jean-Marc Desperrier écrivait :
Erwan David a écrit :
on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
Idéalement il faudrait pouvoir configurer les équipements réseau pour leur indiquer que ce type de paquet ne peut venir que d'un endroit précis, non ?
Idéalement on ferait déjà la même chose pour les messages DHCP en ipv4, bien sûr.
L'admin peut aussi vouloir être prévenu, histoire d'arriver avec la batte de service à l'endroit où le rogue est branché.
on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
Idéalement il faudrait pouvoir configurer les équipements réseau pour leur indiquer que ce type de paquet ne peut venir que d'un endroit précis, non ?
Idéalement on ferait déjà la même chose pour les messages DHCP en ipv4, bien sûr.
L'admin peut aussi vouloir être prévenu, histoire d'arriver avec la batte de service à l'endroit où le rogue est branché.
-- Les simplifications c'est trop compliqué
Jean-Marc Desperrier
a écrit :
Jean-Marc Desperrier écrivait :
>Erwan David a écrit :
>>on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une >>alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
> >Idéalement il faudrait pouvoir configurer les équipements réseau pour >leur indiquer que ce type de paquet ne peut venir que d'un endroit >précis, non ? > >Idéalement on ferait déjà la même chose pour les messages DHCP en >ipv4, bien sûr.
L'admin peut aussi vouloir être prévenu, histoire d'arriver avec la batte de service à l'endroit où le rogue est branché.
On peut imaginer faire les deux. Log, et puis envoie d'un message SNMP pour dire à l'équipement réseau de couper le noeud ?
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
erwan@rail.eu.org a écrit :
Jean-Marc Desperrier<jmdesp@gmail.com> écrivait :
>Erwan David a écrit :
>>on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une
>>alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
>
>Idéalement il faudrait pouvoir configurer les équipements réseau pour
>leur indiquer que ce type de paquet ne peut venir que d'un endroit
>précis, non ?
>
>Idéalement on ferait déjà la même chose pour les messages DHCP en
>ipv4, bien sûr.
L'admin peut aussi vouloir être prévenu, histoire d'arriver avec la
batte de service à l'endroit où le rogue est branché.
On peut imaginer faire les deux. Log, et puis envoie d'un message SNMP
pour dire à l'équipement réseau de couper le noeud ?
J'ai l'impression que même les switch cisco assez bas de gamme ont ce
qu'il faut pour cela.
>>on parle plutôt d'un outil genre dhcp_probe qui écoute et envoie une >>alerte si un RA arrive qui ne vient pas d'un routeur installé par l'admin.
> >Idéalement il faudrait pouvoir configurer les équipements réseau pour >leur indiquer que ce type de paquet ne peut venir que d'un endroit >précis, non ? > >Idéalement on ferait déjà la même chose pour les messages DHCP en >ipv4, bien sûr.
L'admin peut aussi vouloir être prévenu, histoire d'arriver avec la batte de service à l'endroit où le rogue est branché.
On peut imaginer faire les deux. Log, et puis envoie d'un message SNMP pour dire à l'équipement réseau de couper le noeud ?
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
Xavier Roche
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3 acheté en début d'année (fin janvier) chez Cisco, flambant neuf, ne supportant pas du tout IPv6.
Chez Cisco, c'est "on sort les produits en IPv4, et ensuite on fait payer l'upgrade IPv6" :)
</rant>
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce
qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3 acheté
en début d'année (fin janvier) chez Cisco, flambant neuf, ne supportant
pas du tout IPv6.
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3 acheté en début d'année (fin janvier) chez Cisco, flambant neuf, ne supportant pas du tout IPv6.
Chez Cisco, c'est "on sort les produits en IPv4, et ensuite on fait payer l'upgrade IPv6" :)
</rant>
erwan
Xavier Roche écrivait :
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3 acheté en début d'année (fin janvier) chez Cisco, flambant neuf, ne supportant pas du tout IPv6.
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce
qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3
acheté en début d'année (fin janvier) chez Cisco, flambant neuf, ne
supportant pas du tout IPv6.
On 11/16/2012 06:08 PM, Jean-Marc Desperrier wrote:
J'ai l'impression que même les switch cisco assez bas de gamme ont ce qu'il faut pour cela.
<rant>
Faut juste faire gaffe aux specs. Vu un routeur haut de gamme L3 acheté en début d'année (fin janvier) chez Cisco, flambant neuf, ne supportant pas du tout IPv6.