ARP et la protection des attaques!!
lalib1987
Messages postés
122
Statut
Membre
-
brupala Messages postés 112458 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112458 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je cherche des conseils, donc n'hésitez pas de me fournir le plus possible d'idées et de conseils :D
Dans un réseau utilisant un switch le principe de l'ARP est le suivant:
Une machine A veut communiquer avec une machine B, A envoie une requête ARP en Brodcast (à tout le monde), le message est le suivant: quelle la machine de l'adresse IP:xxx.xxx.xxx.xxx
Seule la machine B qui va répondre, et qui va envoyer une réponse à la machine A: Je suis la machine de l'adresse IP: xxx.xxx.xxx.xxx et mon adresse MAC est:...
La machine A va mettre à jour sa table ARP et enregistrant la combinaison (IP/MAC) de la machine B, ainsi toute communication est faite en utilisant l'adresse MAC par le switch
L'inconvénient est qu'un pirate peut se mettre entre les deux machines A et B, et envoyer une réponse ARP falsifiée aux deux machines disant que l'adresse MAC de l'autre machine a été modifié et il va fournir son adresse MAC, ainsi toute communication entre A et B sera envoyée à la machine du pirate et pas à la machine désirée, ce qu'on appelle ARP Spoofing ou ARP Poisning.
Donc le problème est qu'une machine peut recevoir une réponse ARP même qu'elle n'a pas envoyé une requête, moi je cherche à corriger cette faille, et qu'une machine n'accepte des réponses ARP que si elle a envoyé une requête, donc si la machine n'a rien envoyé donc elle n'accepte pas de réponse ARP.
Bon, je ne vais pas demander quelques choses bien précis, juste si vous avez d'idées dans ce sens là, est-ce que c'est faisable? si oui comment? est-ce qu'il existe déjà des outils pour le faire? est-ce que le pare-feu peut le faire?...
Et merci d'avance :)
Je cherche des conseils, donc n'hésitez pas de me fournir le plus possible d'idées et de conseils :D
Dans un réseau utilisant un switch le principe de l'ARP est le suivant:
Une machine A veut communiquer avec une machine B, A envoie une requête ARP en Brodcast (à tout le monde), le message est le suivant: quelle la machine de l'adresse IP:xxx.xxx.xxx.xxx
Seule la machine B qui va répondre, et qui va envoyer une réponse à la machine A: Je suis la machine de l'adresse IP: xxx.xxx.xxx.xxx et mon adresse MAC est:...
La machine A va mettre à jour sa table ARP et enregistrant la combinaison (IP/MAC) de la machine B, ainsi toute communication est faite en utilisant l'adresse MAC par le switch
L'inconvénient est qu'un pirate peut se mettre entre les deux machines A et B, et envoyer une réponse ARP falsifiée aux deux machines disant que l'adresse MAC de l'autre machine a été modifié et il va fournir son adresse MAC, ainsi toute communication entre A et B sera envoyée à la machine du pirate et pas à la machine désirée, ce qu'on appelle ARP Spoofing ou ARP Poisning.
Donc le problème est qu'une machine peut recevoir une réponse ARP même qu'elle n'a pas envoyé une requête, moi je cherche à corriger cette faille, et qu'une machine n'accepte des réponses ARP que si elle a envoyé une requête, donc si la machine n'a rien envoyé donc elle n'accepte pas de réponse ARP.
Bon, je ne vais pas demander quelques choses bien précis, juste si vous avez d'idées dans ce sens là, est-ce que c'est faisable? si oui comment? est-ce qu'il existe déjà des outils pour le faire? est-ce que le pare-feu peut le faire?...
Et merci d'avance :)
A voir également:
- ARP et la protection des attaques!!
- K9 web protection - Télécharger - Contrôle parental
- Produit de protection solaire - Guide
- Protection cellule excel - Guide
- Vous devez activer la protection du système sur ce lecteur - Forum Windows 10
- Activer la protection du système sur ce lecteur (pour la restauration du système - Forum Windows 10
6 réponses
Par contre,
s'il suffisait de refuser les réponses ARP sans requête préalable pour sécuriser ARP, ça se saurait:
la mise à jour du cache a lieu aussi sur une requête (who has) car le demandeur fournit son adresse ip et son adresse mac, qu'il peut très bien falsifier à ce moment là.
ça évite des requêtes croisées systématiques.
lire:
http://sid.rstack.org/static/articles/j/o/u/Jouer_avec_le_protocole_ARP_dadb.html
et ... Voili Voilou Voila !
s'il suffisait de refuser les réponses ARP sans requête préalable pour sécuriser ARP, ça se saurait:
la mise à jour du cache a lieu aussi sur une requête (who has) car le demandeur fournit son adresse ip et son adresse mac, qu'il peut très bien falsifier à ce moment là.
ça évite des requêtes croisées systématiques.
lire:
http://sid.rstack.org/static/articles/j/o/u/Jouer_avec_le_protocole_ARP_dadb.html
et ... Voili Voilou Voila !
Merci bien dsy73 et Roby, je pense qu'il y a une solution, car on ne peut pirater par ARP Spoofing seulement sur Windows et Linux, et on ne peut pas le faire sur SUN OS, donc il y a de solution je pense!!
Bonjour,
Oui il y a des solutions :
1 - comme mettre les correspondances MAC / IP en statique.
2 - modifier le kernel pour adopter un comportement comme MacOS (Par contre faut pas croire que MacOS n'est pas vulnérable. Un bon ICMP Echo devrait lui faire envoyer une question ARP.
3 - utiliser un firewall réseau comme iptable
4 - Utiliser un switch de niveau 3 équipé de DAI.
Cdlt,
...
Oui il y a des solutions :
1 - comme mettre les correspondances MAC / IP en statique.
2 - modifier le kernel pour adopter un comportement comme MacOS (Par contre faut pas croire que MacOS n'est pas vulnérable. Un bon ICMP Echo devrait lui faire envoyer une question ARP.
3 - utiliser un firewall réseau comme iptable
4 - Utiliser un switch de niveau 3 équipé de DAI.
Cdlt,
...
Je vous remercie fiddy, sont de bons conseils, donc sont des solutions pratiques et ne sont pas programmables. ça veut dire que je dois mettre... donc configurer et pas programmer, n'est ce pas? Moi je cherche à développer un programme par exemple, mais je vois de votre réponse que ne sont pas des outils programmables, alors je dois oublier le sujet ou y'a une possibilité de le faire avec un langage de programmation par exemple java...
Beh, faut savoir ce que vous voulez.
Vous avez demandé des outils déjà existants, vous ne parlez pas de faire le programme vous-même.
Si vous souhaitez programmer votre solution, cela consistera en l'implémentation d'un programme dans le kernel comme le fait netfilter. Il faut que ça soit du bas-niveau pour que les paquets réseaux passent par votre programme.
Ou sinon, vous pouvez réaliser un programme qui se base sur netfilter et donc là en ring 3 cela suffira amplement. La solution 2 est bien plus simple que la première.
Vous avez demandé des outils déjà existants, vous ne parlez pas de faire le programme vous-même.
Si vous souhaitez programmer votre solution, cela consistera en l'implémentation d'un programme dans le kernel comme le fait netfilter. Il faut que ça soit du bas-niveau pour que les paquets réseaux passent par votre programme.
Ou sinon, vous pouvez réaliser un programme qui se base sur netfilter et donc là en ring 3 cela suffira amplement. La solution 2 est bien plus simple que la première.
Arf,
n'oublie pas de refaire une nouvelle rfc , l'ancienne date de 1982 et personne ne l'a modifiée.
n'oublie pas de refaire une nouvelle rfc , l'ancienne date de 1982 et personne ne l'a modifiée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question