Bonsoir,
habib bouaziz-viallet a écrit :
> bonjour la Guilde !
>
> J'ai une question concernant ce qu'il est convenu d'appeler la sécurité
> des réseaux LAN.
>
> Est-ce qu'un serveur DHCP peut être à l'origine d'une brêche de sécurité
> dans un LAN ?
> En d'autres termes en quoi l'attribution d'une IP dynamique peut t'elle
> être problèmatique concernant la sécurité réseau ?
>
> Merci pour vos idées, Habib.
Je répond avec un peu de retard, mais le sujet est très intéressant.
En fait, tout dépend de qui est l'attaquant, et de ce que tu veux
empêcher. Étudions ici aux cas par cas :
+ L'intrus est un néophyte, qui veut par exemple accéder à Internet
gratuitement :
- Dans un tel cas, le serveur DHCP va pas mal l'aider, car il lui
donnera une adresse IP, le nom des DNS, et la passerelle. Si il n'y a
pas de proxy pour Internet, il se connectera directement dehors. Si il
est nécessaire d'utiliser un proxy pour se connecter à Internet, et que
l'intrus à 2 sous de jugeote, il verra comment sont configurés les IE &
firefox des autres machines du réseau, et recopiera les paramètres sur
sa propre machine.
- Bref, avec pour un bon néophyte, un serveur DHCP va énormément l'aider
- Si tu veux bloquer ce néophyte, alors tu peux :
+ Configurer le serveur DHCP pour qu'il ne donne d'adresse IP qu'aux
machines qui ont certaines adresse MAC définies. C'est contraignant pour
toi, mais au moins l'intrus n'aura pas d'adresse IP.
+ Autre solution, tu analyses le "/var/log/messages" du serveur DHCP,
et tu vois qui sont les nouvelles machines qui se connectent au réseau.
Tu peux avoir un programme le fait automatiquement, et qui t'envoie un
mail d'alerte lorsqu'un "nouveau" se présente sur le réseau.
+ Enfin, pour tout les "nouveaux", tu peux configurer le serveur DNS
pour que toutes les requêtes DNS soient dirigées vers un serveur web,
qui lui affiche une "méchante" page web dans son navigateur, du genre
"vous n'êtes pas autorisé à vous connecter à ce réseau, tout vos actions
sont surveillées". C'est typiquement comme cela se passe lorsque tu te
connectes à Internet depuis le réseau d'un hôtel, et dont tu n'as pas
encore payé l'accès.
+ Si tu veux VRAIMENT t'amuser avec cet intrus, tu peux même t'amuser
à l'analyser, voir à l'attaquer (avec des systèmes plus ou moins
automatisés). Par exemple, tu peux déclencher un "nmap" sur cet intrus,
et savoir quel type d'OS il utilise. A partir de là, tu peux aussi faire
un tour sur ses partages réseaux SMB (si c'est un Windows par
exemple...), et trouver des informations qui te permettrons de
l'identifier physiquement (un fichier Word sur un partage réseau par
exemple, et qui contient son nom). Bon, c'est clair que cela ne serait
pas très gentil de ta part. D'un autre coté, si ce type n'a rien à faire
sur ton réseau, il n'aura pas, je l'espère, le toupet d'aller se plaindre...
+ L'intrus est un pro, qui veut aller sur Internet (pour y faire des
bêtises par exemple), voir mettre le désordre dans ton réseau
- Un serveur DHCP va naturellement l'aider. Mais si c'est un *VRAI*
pro, cet intrus ne va sûrement pas utiliser un client DHCP pour se
connecter au réseau. Au risque de laisser trop de trace sur le dit
serveur DHCP (dans le "/var/log/messages" notamment).
- Si tu restreins les adresse IP à certaines adresses MAC, le vrai pro
contournera la protection en modifiant sa propre adresse MAC.
Contrairement à ce qu'il a été dit ici, c'est TRÈS facile à faire sous
Linux : "man ifconfig", et voir du coté de "hw classe adresse"... Nannn,
je ne suis pas un pirate... ;)
- Non, le *VRAI* pro va analyser les trafics réseaux passant devant sa
carte réseau, et va notamment écouter les messages de broadcast (par
exemple ceux de Samba). Grâce à cela, il va rapidement trouver quel est
la topologie du réseau (plage d'adresses IP, masque de sous réseau), et
pourra peut-être en déduire quelle est la passerelle. A partir de là, il
prendra une adresse IP non utilisée, voir utilisera l'adresse IP et
l'adresse MAC d'une machine qui s'éteindra le soir, ou qu'il éteindra
lui même, de force si nécessaire : un arrachage de prise électrique ou
réseau est si vite fait, et ces Windows sont parfois si instables que
cela ne surprendrait personne. A partir de là, le pro pourra faire ce
qu'il veut sur le réseau. Cela pourra lui prendre un peu de temps à
trouver la passerelle du réseau, ou le proxy. Mais si il y va
"brutalement" à grand coup de "nmap", il trouvera très rapidement ce qui
l'intéresse. En gros, tu ne pourras pas arrêter un *vrai* pro...
- Pour limiter les actions de ce pro, là c'est une autre paire de manche.
+ Le fait d'avoir un serveur DHCP te fera prendre pour une "grosse
bille" par cet intrus, car tu lui facilites la vie. Mais là n'est pas la
question.
+ Un IDS ("Intrusion Detection System" comme
http://www.snort.org/
notamment) est la seul arme qui puisse te permettre de relever sa
présence. Ou sinon, tu peux analyser les logs de tes serveurs (SMTP,
POP, IMAP, SMB, NFS, etc...) et relève les tentatives de connexions qui
échouent par mauvais login/mot de passe.
+ Enfin, si tu as un FW entre tes réseaux, et que ceux-ci sont
configurés pour faire du filtrage par adresse MAC et IP, alors tu peux
un peu ennuyer cet intrus. Mais au prix d'une configuration bien lourde
de tes FW.
+ Enfin, dans le cas d'un intrus qui est *vrai* pro, le serveur DHCP
peut se retourner contre toi. En effet, si le serveur DHCP a un trou de
sécurité, il peut devenir la cible d'une attaque par buffer overflow.
Sur le démon DHCP bien sûr, mais aussi sur tout les démons qu'il fait
tourner. Auquel cas, cette machine peut se retourner contre toi. Il peut
arriver à te piquer le mot de passe root dessus, et si cela se trouve,
c'est le même mot de passe root que tu as pour d'autres serveurs de ton
réseau. Auquel cas, tu es assez mal...
Voila, j'espère que cela répondra à tes questions.
Pour résumer :
- un serveur DHCP aidera l'intrus, en lui simplifiant la vie. D'un autre
coté, il te simplifiera à toi aussi l'existence...
- mais l'absence de serveur DHCP ne fera pas de ton réseau un système sûr.
- au cas ou le serveur DHCP est pris pour cible, il peut devenir une
menace pour ton réseau.
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
