Protection contre l'extension d'un reseau par l'adjonction d'un AP Wifi
19 réponses
pxg
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un
millier - de prises précablées et reliées à des switchs contre le
branchement (malintentionné) d'un point d'accés Wifi ?
Mon exemple réel est le très grand réseau d'un établissement d'enseignement
comportant plusieurs centaines de machines rendant /quasiment/ impossible
l'abandon du DHCP. Dans ce réseau on trouve des pc, des pda, des automates
divers et des points d'accès wifi protégés. J'ai pu ajouter dans ce réseau -
dans le cadre légal de mon activité - une borne d'accès wifi, obtenir une
adresse ip sur mon ordinateur portable et l'utiliser pour récupérer des
informations sur un équipement connecté au réseau. Sitôt terminé j'ai libéré
l'adresse ip et enlevé la borne mais l'inquiétude persiste.
Quid de la borne branchée de façon subreptice, laquelle permettrait une
utilisation malveillante (à bon marché) ?
Questions annexes :
Comment détecter rapidement une telle extension ?
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Le Sun, 02 Oct 2005 16:38:37 +0000, David a écrit :
[protection ajout ou remplacement d'une machine sur le réseau]
Facile. Tu utilises arpwatch. http://www.securityfocus.com/tools/142 Ca te signales toute nouvelle adresse MAC sur le réseau. Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton réseau. Dans ce cas tu fais des pings en broadcast sur les différents réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les adresses MAC et tu peux comparer avec ta base de données préalablement créées.
Bonjour. Si je te dis, par exemple :
www.alobbs.com/macchanger/
ça change quelque chose à ton commentaire?
Non pas que arpwatch soit inutile, mais se limiter à ça en espérant être en sécurité serait catastrophique :-)
Eric.
Le Sun, 02 Oct 2005 16:38:37 +0000, David a écrit :
[protection ajout ou remplacement d'une machine sur le réseau]
Facile. Tu utilises arpwatch.
http://www.securityfocus.com/tools/142
Ca te signales toute nouvelle adresse MAC sur le réseau.
Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre
la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton
réseau. Dans ce cas tu fais des pings en broadcast sur les différents
réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les
adresses MAC et tu peux comparer avec ta base de données préalablement
créées.
Bonjour.
Si je te dis, par exemple :
www.alobbs.com/macchanger/
ça change quelque chose à ton commentaire?
Non pas que arpwatch soit inutile, mais se limiter à ça en espérant
être en sécurité serait catastrophique :-)
Le Sun, 02 Oct 2005 16:38:37 +0000, David a écrit :
[protection ajout ou remplacement d'une machine sur le réseau]
Facile. Tu utilises arpwatch. http://www.securityfocus.com/tools/142 Ca te signales toute nouvelle adresse MAC sur le réseau. Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton réseau. Dans ce cas tu fais des pings en broadcast sur les différents réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les adresses MAC et tu peux comparer avec ta base de données préalablement créées.
Bonjour. Si je te dis, par exemple :
www.alobbs.com/macchanger/
ça change quelque chose à ton commentaire?
Non pas que arpwatch soit inutile, mais se limiter à ça en espérant être en sécurité serait catastrophique :-)
Eric.
Nicob
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre une mac précise, il sera à première vue indiscernable du vrai PC. Il faudra étudier le traffic venant de cette IP pour voir qu'il est inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
Nicob
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre
une mac précise, il sera à première vue indiscernable du vrai PC. Il
faudra étudier le traffic venant de cette IP pour voir qu'il est
inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre une mac précise, il sera à première vue indiscernable du vrai PC. Il faudra étudier le traffic venant de cette IP pour voir qu'il est inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
Nicob
Fabien LE LEZ
On 02 Oct 2005 16:38:37 GMT, David :
Ca te signales toute nouvelle adresse MAC sur le réseau.
Le premier réflexe à avoir, quand on veut brancher une machine illicite sur un réseau, c'est de prendre l'adresse MAC (et éventuellement l'adresse IP s'il n'y a pas de DHCP) d'une machine licite mais éteinte.
On 02 Oct 2005 16:38:37 GMT, David <david@localhost.com>:
Ca te signales toute nouvelle adresse MAC sur le réseau.
Le premier réflexe à avoir, quand on veut brancher une machine
illicite sur un réseau, c'est de prendre l'adresse MAC (et
éventuellement l'adresse IP s'il n'y a pas de DHCP) d'une machine
licite mais éteinte.
Ca te signales toute nouvelle adresse MAC sur le réseau.
Le premier réflexe à avoir, quand on veut brancher une machine illicite sur un réseau, c'est de prendre l'adresse MAC (et éventuellement l'adresse IP s'il n'y a pas de DHCP) d'une machine licite mais éteinte.
Eric Razny
Le Mon, 03 Oct 2005 09:17:46 +0000, Nicob a écrit :
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre une mac précise, il sera à première vue indiscernable du vrai PC. Il faudra étudier le traffic venant de cette IP pour voir qu'il est inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
Corrolaire : ça peut être bien de traffiquer les paramètres (genre default ttl) de la pile IP des machines légitimes afin de permettre un repérage même si un gus installe une machine avec les même OS et éventuellement services. Ca n'empêche pas le "méchant" d'en faire autant mais il faut avoir le réflexe de vérifier avant ;)
Pour ce qui est du port range on peut se référer à :
Faute de windows sous la main je ne peux vérifier de suite si la limitation de l'exclusion existe toujours.
Eric
Le Mon, 03 Oct 2005 09:17:46 +0000, Nicob a écrit :
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre
une mac précise, il sera à première vue indiscernable du vrai PC. Il
faudra étudier le traffic venant de cette IP pour voir qu'il est
inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
Corrolaire : ça peut être bien de traffiquer les paramètres (genre
default ttl) de la pile IP des machines légitimes afin de permettre un
repérage même si un gus installe une machine avec les même OS et
éventuellement services. Ca n'empêche pas le "méchant" d'en faire
autant mais il faut avoir le réflexe de vérifier avant ;)
Pour ce qui est du port range on peut se référer à :
Le Mon, 03 Oct 2005 09:17:46 +0000, Nicob a écrit :
On Sun, 02 Oct 2005 16:37:33 +0000, Erwan David wrote:
Comme ces routeurs peuvent très souvent être configurés pour prendre une mac précise, il sera à première vue indiscernable du vrai PC. Il faudra étudier le traffic venant de cette IP pour voir qu'il est inhabituel...
Comme par exemple étudier le TTL ou le port source de ces paquets ...
Corrolaire : ça peut être bien de traffiquer les paramètres (genre default ttl) de la pile IP des machines légitimes afin de permettre un repérage même si un gus installe une machine avec les même OS et éventuellement services. Ca n'empêche pas le "méchant" d'en faire autant mais il faut avoir le réflexe de vérifier avant ;)
Pour ce qui est du port range on peut se référer à :
Faute de windows sous la main je ne peux vérifier de suite si la limitation de l'exclusion existe toujours.
Eric
Xavier Roche
Sylvain Eche wrote:
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
Oui: une conf par défaut pour les 4990 machines, consistant à laisser passer le minimum (par exemple, un proxy avec mot de passe en sortie, et éventuellement accès au serveur smtp/imap en interne) et 10 cas particuliers à gérer à la main, qui devront donner lieu à une signature en triple exemplaire avec le sang de la personne responsable de la machine si elle souhaite avoir accès à tous les ports disponibles.
Sylvain Eche wrote:
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en
prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
Oui: une conf par défaut pour les 4990 machines, consistant à laisser
passer le minimum (par exemple, un proxy avec mot de passe en sortie, et
éventuellement accès au serveur smtp/imap en interne) et 10 cas
particuliers à gérer à la main, qui devront donner lieu à une signature
en triple exemplaire avec le sang de la personne responsable de la
machine si elle souhaite avoir accès à tous les ports disponibles.
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
Oui: une conf par défaut pour les 4990 machines, consistant à laisser passer le minimum (par exemple, un proxy avec mot de passe en sortie, et éventuellement accès au serveur smtp/imap en interne) et 10 cas particuliers à gérer à la main, qui devront donner lieu à une signature en triple exemplaire avec le sang de la personne responsable de la machine si elle souhaite avoir accès à tous les ports disponibles.
A. Caspis
Fabien LE LEZ wrote:
En d'autres termes, toute machine branchée sur le réseau doit être considérée comme hostile jusqu'à preuve du contraire (typiquement, échange de clés, VPN).
Oui, et ce sera probablement la conclusion de la discussion.
Problème suivant: puisque l'intrus peut débrancher la machine, il peut probablement aussi récupérer des clés VPN sur le disque.
Solutions:
- Mettre les clés dans une carte à puce que l'utilisateur emporte toujours avec lui lorsqu'il quitte le poste de travail. Pour plus de fiabilité, utiliser un token sans contact serti autour du cou ou greffé sous la peau :-)
- Ou utiliser TCPA (ça fait mal, mais on y revient toujours).
Il est vrai qu'on s'éloigne un peu de la question initiale qui parlait d'attaques bon marché (du genre: je branche un AP sur une prise libre et je me sauve) ou d'utilisateurs qui s'improvisent architectes réseau sans réfléchir à la sécurité.
AC
Fabien LE LEZ wrote:
En d'autres termes, toute machine branchée sur le réseau doit être
considérée comme hostile jusqu'à preuve du contraire (typiquement,
échange de clés, VPN).
Oui, et ce sera probablement la conclusion de la discussion.
Problème suivant: puisque l'intrus peut débrancher la machine,
il peut probablement aussi récupérer des clés VPN sur le disque.
Solutions:
- Mettre les clés dans une carte à puce que l'utilisateur emporte
toujours avec lui lorsqu'il quitte le poste de travail.
Pour plus de fiabilité, utiliser un token sans contact serti
autour du cou ou greffé sous la peau :-)
- Ou utiliser TCPA (ça fait mal, mais on y revient toujours).
Il est vrai qu'on s'éloigne un peu de la question initiale qui
parlait d'attaques bon marché (du genre: je branche un AP sur
une prise libre et je me sauve) ou d'utilisateurs qui
s'improvisent architectes réseau sans réfléchir à la sécurité.
En d'autres termes, toute machine branchée sur le réseau doit être considérée comme hostile jusqu'à preuve du contraire (typiquement, échange de clés, VPN).
Oui, et ce sera probablement la conclusion de la discussion.
Problème suivant: puisque l'intrus peut débrancher la machine, il peut probablement aussi récupérer des clés VPN sur le disque.
Solutions:
- Mettre les clés dans une carte à puce que l'utilisateur emporte toujours avec lui lorsqu'il quitte le poste de travail. Pour plus de fiabilité, utiliser un token sans contact serti autour du cou ou greffé sous la peau :-)
- Ou utiliser TCPA (ça fait mal, mais on y revient toujours).
Il est vrai qu'on s'éloigne un peu de la question initiale qui parlait d'attaques bon marché (du genre: je branche un AP sur une prise libre et je me sauve) ou d'utilisateurs qui s'improvisent architectes réseau sans réfléchir à la sécurité.
AC
Fabien LE LEZ
On 03 Oct 2005 17:35:28 GMT, "A. Caspis" :
Problème suivant: puisque l'intrus peut débrancher la machine, il peut probablement aussi récupérer des clés VPN sur le disque.
Le problème initial était d'éviter qu'on branche n'importe quoi sur des prises sans surveillance.
Si une machine est laissée sans surveillance, elle fait partie des machines en lesquelles on ne peut pas avoir confiance, VPN ou pas.
- Mettre les clés dans une carte à puce que l'utilisateur emporte toujours avec lui lorsqu'il quitte le poste de travail.
C'est un peu de l'overkill pour une école...
On 03 Oct 2005 17:35:28 GMT, "A. Caspis" <a_caspis@yahoo.com>:
Problème suivant: puisque l'intrus peut débrancher la machine,
il peut probablement aussi récupérer des clés VPN sur le disque.
Le problème initial était d'éviter qu'on branche n'importe quoi sur
des prises sans surveillance.
Si une machine est laissée sans surveillance, elle fait partie des
machines en lesquelles on ne peut pas avoir confiance, VPN ou pas.
- Mettre les clés dans une carte à puce que l'utilisateur emporte
toujours avec lui lorsqu'il quitte le poste de travail.
Problème suivant: puisque l'intrus peut débrancher la machine, il peut probablement aussi récupérer des clés VPN sur le disque.
Le problème initial était d'éviter qu'on branche n'importe quoi sur des prises sans surveillance.
Si une machine est laissée sans surveillance, elle fait partie des machines en lesquelles on ne peut pas avoir confiance, VPN ou pas.
- Mettre les clés dans une carte à puce que l'utilisateur emporte toujours avec lui lorsqu'il quitte le poste de travail.
C'est un peu de l'overkill pour une école...
pxg
A. Caspis wrote:
ou d'utilisateurs qui s'improvisent architectes réseau sans réfléchir à la sécurité.
Plutôt de responsables d'établissement qui ne réalisent pas qu'un réseau ça *doit* se gérer ou plus probablement qui sont affrontés à d'autres priorités plus criantes encore.
De là à prêcher pour une architecture sécurisée il y a plus qu'un grand pas.
pxg
A. Caspis wrote:
ou d'utilisateurs qui
s'improvisent architectes réseau sans réfléchir à la sécurité.
Plutôt de responsables d'établissement qui ne réalisent pas qu'un réseau ça
*doit* se gérer ou plus probablement qui sont affrontés à d'autres priorités
plus criantes encore.
De là à prêcher pour une architecture sécurisée il y a plus qu'un grand pas.
ou d'utilisateurs qui s'improvisent architectes réseau sans réfléchir à la sécurité.
Plutôt de responsables d'établissement qui ne réalisent pas qu'un réseau ça *doit* se gérer ou plus probablement qui sont affrontés à d'autres priorités plus criantes encore.
De là à prêcher pour une architecture sécurisée il y a plus qu'un grand pas.
pxg
Jerometemp
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Une des solutions est http://nufw.org C est de l'authentification niveau 3, tes illégaux vont pouvoir se connecter mais ne pourront rien faire si tu n'as pas autorisé les flux de ces personnes (en fait tu ne gère plus des IP mais vraiment des users).
Tu règles donc tes problématiques de machines illégales sur le réseau.
Comment détecter rapidement une telle extension ?
L outil d'analyse Nulog (GPL) est fait pour cela
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Merci d'avance pour vos réponses.
pxg
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un
millier - de prises précablées et reliées à des switchs contre le
branchement (malintentionné) d'un point d'accés Wifi ?
Une des solutions est http://nufw.org C est de l'authentification
niveau 3, tes illégaux vont pouvoir se connecter mais ne pourront rien
faire si tu n'as pas autorisé les flux de ces personnes (en fait tu ne
gère plus des IP mais vraiment des users).
Tu règles donc tes problématiques de machines illégales sur le réseau.
Comment détecter rapidement une telle extension ?
L outil d'analyse Nulog (GPL) est fait pour cela
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Une des solutions est http://nufw.org C est de l'authentification niveau 3, tes illégaux vont pouvoir se connecter mais ne pourront rien faire si tu n'as pas autorisé les flux de ces personnes (en fait tu ne gère plus des IP mais vraiment des users).
Tu règles donc tes problématiques de machines illégales sur le réseau.
Comment détecter rapidement une telle extension ?
L outil d'analyse Nulog (GPL) est fait pour cela
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
