Clever Geek Handbook

Empoisonnement ARP : qu'est-ce que c'est et comment prĂ©venir l'usurpation d'ARP





L'empoisonnement ARP est un type de cyberattaque qui exploite les faiblesses du protocole de résolution d'adresse (ARP) largement utilisé pour perturber, rediriger ou surveiller le trafic réseau. Dans cet article, nous examinerons rapidement pourquoi vous avez besoin d'ARP, analyserons ses faiblesses qui rendent l'empoisonnement ARP possible et ce que vous pouvez faire pour assurer la sécurité de votre organisation.



Qu'est-ce que l'ARP ?



ARP sert Ă  dĂ©terminer l'adresse MAC Ă  partir de l'adresse IP d'un autre ordinateur. ARP permet aux appareils connectĂ©s Ă  un rĂ©seau de demander quel appareil est actuellement affectĂ© Ă  une adresse IP spĂ©cifique. Les appareils peuvent Ă©galement communiquer cette affectation au reste du rĂ©seau sans y ĂȘtre invitĂ©. Pour plus d'efficacitĂ©, les appareils mettent gĂ©nĂ©ralement en cache ces rĂ©ponses et crĂ©ent une liste des affectations MAC-IP actuelles.



Qu'est-ce que l'empoisonnement Ă  l'ARP ?



L'empoisonnement ARP (usurpation d'identitĂ©) est l'utilisation des faiblesses ARP pour perturber les affectations MAC-IP Ă  d'autres appareils sur le rĂ©seau. En 1982, lorsque le protocole ARP a Ă©tĂ© introduit, la sĂ©curitĂ© n'Ă©tait pas une prĂ©occupation principale, de sorte que les dĂ©veloppeurs de protocole n'ont jamais utilisĂ© de mĂ©canismes d'authentification pour valider les messages ARP. Tout appareil du rĂ©seau peut rĂ©pondre Ă  une requĂȘte ARP, qu'il soit ou non le destinataire de la requĂȘte. Par exemple, si l'ordinateur A demande l'adresse MAC de l'ordinateur B, un attaquant sur l'ordinateur C peut rĂ©pondre et l'ordinateur A acceptera la rĂ©ponse comme valide. En raison de cette vulnĂ©rabilitĂ©, un grand nombre d'attaques ont Ă©tĂ© menĂ©es. En utilisant des outils facilement disponibles, un attaquant peut empoisonner le cache ARP d'autres hĂŽtes sur le rĂ©seau local, le remplissant de donnĂ©es incorrectes.



Étapes d'empoisonnement ARP



Les Ă©tapes de l'empoisonnement Ă  l'ARP peuvent varier, mais la liste minimale est gĂ©nĂ©ralement la suivante :



  1. L'attaquant choisit la ou les machines de la victime

    La premiĂšre Ă©tape de la planification et de la mise en Ɠuvre d'une attaque d'empoisonnement ARP est le ciblage. Il peut s'agir d'un point de terminaison spĂ©cifique sur un rĂ©seau, d'un groupe de points de terminaison ou d'un pĂ©riphĂ©rique rĂ©seau tel qu'un routeur. Les routeurs sont des cibles attrayantes, car un empoisonnement ARP de routeur rĂ©ussi peut perturber le trafic d'un sous-rĂ©seau entier.


  2. , ARP, . . ARP .


  3. ARP () - . , « », . .


ARP Poisoning



Il existe deux maniĂšres principales d'empoisonner ARP : un attaquant peut soit attendre une requĂȘte ARP pour une cible spĂ©cifique et y rĂ©pondre, soit utiliser des requĂȘtes ARP gratuites. La premiĂšre rĂ©ponse sera moins visible sur le web, mais son impact potentiel sera Ă©galement moindre. Les requĂȘtes ARP autogĂ©rĂ©es peuvent ĂȘtre plus efficaces et affecter plus de victimes, mais elles ont l'inconvĂ©nient de gĂ©nĂ©rer beaucoup de trafic rĂ©seau. Quelle que soit l'approche, un cache ARP corrompu sur les appareils victimes peut ĂȘtre utilisĂ© Ă  d'autres fins :



Attaques de l'homme du milieu



Les attaques MiTM sont probablement la cible la plus courante et potentiellement la plus dangereuse de l'empoisonnement ARP. L'attaquant envoie de fausses rĂ©ponses ARP Ă  l'adresse IP spĂ©cifiĂ©e (gĂ©nĂ©ralement la passerelle par dĂ©faut pour un sous-rĂ©seau particulier). Cela oblige les pĂ©riphĂ©riques victimes Ă  remplir leur cache ARP avec l'adresse MAC de l'attaquant au lieu de l'adresse MAC du routeur local. Les appareils victimes transmettent ensuite de maniĂšre incorrecte le trafic rĂ©seau Ă  l'attaquant. Des outils comme Ettercap permettent Ă  un attaquant d'agir comme un proxy en affichant ou en modifiant des informations avant d'envoyer le trafic vers sa destination. Dans le mĂȘme temps, la victime peut ne remarquer aucun changement dans le travail. Empoisonnement

ARP et empoisonnement DNS simultanés peut considérablement améliorer l'efficacité d'une attaque MiTM. Dans ce scénario, l'utilisateur victime peut saisir l'adresse d'un site légitime (par exemple, google.com) et obtenir l'adresse IP de la machine de l'attaquant au lieu de la bonne.



DĂ©ni de service (DoS)



Une attaque DoS se produit lorsqu'une ou plusieurs victimes se voient refuser l'accÚs aux ressources du réseau. Dans le cas d'ARP, un attaquant pourrait envoyer une réponse ARP qui attribue à tort des centaines, voire des milliers d'adresses IP à une seule adresse MAC, surchargeant potentiellement le périphérique cible. Ce type d'attaque, parfois appelé ARP flooding (ARP flooding), peut également cibler des commutateurs, affectant potentiellement les performances de l'ensemble du réseau.



Piratage de session



Le piratage de session est de nature similaire à MiTM, sauf que l'attaquant ne redirigera pas directement le trafic de la machine de la victime vers l'appareil cible. Au lieu de cela, il capture le véritable numéro de séquence TCP ou le cookie de la victime et l'utilise pour se faire passer pour la victime. Ainsi, il peut, par exemple, accéder au compte d'un utilisateur donné sur le réseau social, s'il y est connecté.



Quel est le but de l'empoisonnement Ă  l'ARP?



Les pirates informatiques ont toujours une variété de motifs, y compris lorsqu'ils effectuent un empoisonnement ARP, allant de l'espionnage de haut niveau à l'excitation de créer le chaos sur le réseau. Dans un scénario possible, un attaquant pourrait utiliser de faux messages ARP pour assumer le rÎle de passerelle par défaut pour un sous-réseau donné, dirigeant efficacement tout le trafic vers son appareil au lieu du routeur local. Ensuite, il peut surveiller le trafic, le modifier ou le vider. Ces attaques sont « bruyantes » car elles laissent des preuves mais n'affectent pas nécessairement le fonctionnement du réseau. Si la cible de l'attaque est l'espionnage, la machine de l'attaquant redirige simplement le trafic vers le destinataire d'origine, ne lui donnant aucune raison de soupçonner que quelque chose a changé.



Une autre cible pourrait ĂȘtre une perturbation importante du rĂ©seau. Par exemple, il n'est pas rare que des attaques DoS soient effectuĂ©es par des pirates informatiques moins expĂ©rimentĂ©s simplement pour profiter des problĂšmes qu'ils crĂ©ent. Les attaques d'initiĂ©s



sont un type dangereux d'empoisonnement ARP . Les messages ARP usurpés ne sortent pas du réseau local, l'attaque doit donc provenir du périphérique local. Un périphérique externe peut également potentiellement lancer une attaque ARP, mais il doit d'abord compromettre le systÚme local à distance par d'autres moyens, tandis que l'initié n'a besoin que d'une connexion réseau et de quelques outils facilement disponibles.



Usurpation d'ARP vs empoisonnement ARP







Les termes usurpation ARP et empoisonnement ARP sont couramment utilisĂ©s comme synonymes. Techniquement, l'usurpation signifie qu'un attaquant donne son adresse comme adresse MAC d'un autre ordinateur, tandis que l'empoisonnement (spoofing) fait rĂ©fĂ©rence aux dommages causĂ©s aux tables ARP sur une ou plusieurs machines victimes. En pratique, cependant, ce sont des Ă©lĂ©ments de la mĂȘme attaque. Cette attaque est aussi parfois appelĂ©e « empoisonnement du cache ARP Â» ou « corruption de la table ARP Â».



Conséquences des attaques d'empoisonnement ARP



Le principal effet de l'empoisonnement ARP est que le trafic destinĂ© Ă  un ou plusieurs hĂŽtes sur le rĂ©seau local est plutĂŽt dirigĂ© vers un pĂ©riphĂ©rique au choix de l'attaquant. Les consĂ©quences spĂ©cifiques d'une attaque dĂ©pendent de ses spĂ©cificitĂ©s. Le trafic peut ĂȘtre dirigĂ© vers la machine de l'attaquant ou vers un emplacement inexistant. Dans le premier cas, il peut ne pas y avoir d'effet notable, tandis que dans le second, l'accĂšs au rĂ©seau peut ĂȘtre bloquĂ©.



En soi, l'empoisonnement du cache ARP n'a pas d'impact durable. Les entrées ARP sont mises en cache de quelques minutes sur les points de terminaison à plusieurs heures sur les commutateurs. DÚs qu'un attaquant cesse d'infecter activement les tables, les enregistrements corrompus sont simplement expirés et le trafic normal reprendra bientÎt. En soi, l'empoisonnement à l'ARP ne laisse pas d'infection permanente ou de prise sur les machines des victimes. Cependant, il n'est pas rare que des pirates effectuent une série d'attaques en chaßne, et l'empoisonnement ARP peut faire partie d'une attaque plus large.



Comment détecter l'empoisonnement du cache ARP







Il existe de nombreux programmes payants et open source disponibles pour dĂ©tecter l'empoisonnement du cache ARP, mais vous pouvez vĂ©rifier les tables ARP sur votre ordinateur mĂȘme sans installer de logiciel spĂ©cial. Sur la plupart des systĂšmes Windows, Mac et Linux, taper arp-a sur un terminal ou une invite de commande affichera les affectations d'adresses IP et MAC actuelles de la machine.



Des outils tels que arpwatch et X-ARP permettent une surveillance continue du réseau et peuvent alerter l'administrateur lorsque des signes d'empoisonnement du cache ARP sont détectés. Cependant, la probabilité de faux positifs est assez élevée.



Comment prévenir l'empoisonnement à l'ARP







Il existe plusieurs méthodes pour prévenir l'empoisonnement à l'ARP :



Tables ARP statiques



Vous pouvez affecter statiquement toutes les adresses MAC du rĂ©seau Ă  leurs adresses IP correspondantes. C'est trĂšs efficace pour prĂ©venir l'empoisonnement Ă  l'ARP, mais cela demande beaucoup de travail. Tout changement dans le rĂ©seau nĂ©cessitera une mise Ă  jour manuelle des tables ARP sur tous les hĂŽtes et, par consĂ©quent, pour la plupart des grandes organisations, l'utilisation de tables ARP statiques est peu pratique. Mais dans les situations oĂč la sĂ©curitĂ© est primordiale, l'allocation d'un segment de rĂ©seau distinct pour les tables ARP statiques peut aider Ă  protĂ©ger les informations critiques.



Commutateur de protection



La plupart des commutateurs Ethernet gĂ©rĂ©s sont Ă©quipĂ©s de fonctions de prĂ©vention des attaques par empoisonnement ARP. Ces fonctionnalitĂ©s, connues sous le nom d'inspection ARP dynamique (DAI), Ă©valuent la validitĂ© de chaque message ARP et rejettent les paquets qui semblent suspects ou malveillants. DAI peut Ă©galement limiter la vitesse Ă  laquelle les messages ARP passent par le commutateur, empĂȘchant efficacement les attaques DoS.



DAI et des fonctions similaires Ă©taient autrefois disponibles exclusivement pour les Ă©quipements de rĂ©seau hautes performances, mais elles sont dĂ©sormais prĂ©sentes sur presque tous les commutateurs de classe affaires, y compris ceux utilisĂ©s dans les petites entreprises. Il est gĂ©nĂ©ralement recommandĂ© d'activer le DAI sur tous les ports, Ă  l'exception de ceux connectĂ©s Ă  d'autres commutateurs. Cette fonctionnalitĂ© n'a pas d'impact significatif sur les performances ; en mĂȘme temps, vous devrez peut-ĂȘtre activer d'autres fonctions, par exemple, DHCP Snooping.



L'activation de la sĂ©curitĂ© des ports sur un commutateur peut Ă©galement aider Ă  minimiser les effets de l'empoisonnement du cache ARP. La sĂ©curitĂ© des ports peut ĂȘtre configurĂ©e pour autoriser une seule adresse MAC sur un port de commutateur, ce qui empĂȘche un attaquant d'utiliser plusieurs identifiants de rĂ©seau.



Protection physique



Un contrĂŽle adĂ©quat de l'accĂšs physique au lieu de travail de l'utilisateur aidera Ă©galement Ă  prĂ©venir les attaques d'empoisonnement ARP. Les messages ARP ne sortent pas du rĂ©seau local, les attaquants potentiels doivent donc ĂȘtre physiquement proches du rĂ©seau de la victime ou avoir dĂ©jĂ  le contrĂŽle d'une machine sur le rĂ©seau. A noter que dans le cas d'un rĂ©seau sans fil, proximitĂ© ne signifie pas forcĂ©ment accĂšs physique direct : le signal qui atteint la cour ou le parking peut ĂȘtre suffisant. Quel que soit le type de connexion (filaire ou sans fil), l'utilisation d'une technologie telle que 802.1x peut garantir que seuls les appareils de confiance et/ou gĂ©rĂ©s se connectent au rĂ©seau.



Isolement du réseau



Un rĂ©seau bien segmentĂ© peut ĂȘtre moins sensible Ă  l'empoisonnement du cache ARP en gĂ©nĂ©ral, car une attaque sur un sous-rĂ©seau n'affecte pas les pĂ©riphĂ©riques de l'autre. La concentration des ressources critiques sur un segment de rĂ©seau dĂ©diĂ© avec des mesures de sĂ©curitĂ© plus strictes peut rĂ©duire considĂ©rablement l'impact potentiel d'une attaque d'empoisonnement ARP.



Chiffrement



Bien que le cryptage n'empĂȘche pas une attaque ARP, il peut rĂ©duire les dommages potentiels. Auparavant, une cible populaire des attaques MiTM Ă©tait d'obtenir des identifiants de connexion, qui Ă©taient autrefois transmis en texte brut. Avec la prolifĂ©ration du cryptage SSL/TLS, ces attaques sont devenues plus difficiles Ă  mener.



Juste une des nombreuses menaces



Bien que la technologie d'empoisonnement ARP soit apparue beaucoup plus tĂŽt que de nombreux logiciels malveillants modernes tels que les virus ransomware , l'empoisonnement ARP est toujours une menace qui doit ĂȘtre combattue. Comme pour toutes les autres cybermenaces, il est prĂ©fĂ©rable de procĂ©der de maniĂšre globale. Les solutions de dĂ©tection et de rĂ©ponse aux menaces vous aident Ă  mieux comprendre le niveau de sĂ©curitĂ© global de votre organisation. Et des solutions comme Varonis Edge peuvent dĂ©tecter les signes de fuite de donnĂ©es aprĂšs un empoisonnement ARP.


More articles:


All Articles