AU PROGRAMME :
Récupération d'information via CDP
Ecoute réseau via remplissage de la table MAC des commutateurs
Redirection du trafic via ICMP Redirect
Accès partiel au VLAN d’administration via saut de VLAN
Accès unidirectionnel via saut de PVLANS
Accès total à un VLAN via DTP
Récupération d'information via CDP
Ecoute réseau via remplissage de la table MAC des commutateurs
Redirection du trafic via ICMP Redirect
Accès partiel au VLAN d’administration via saut de VLAN
Accès unidirectionnel via saut de PVLANS
Accès total à un VLAN via DTP
--------------------------------------
Récupération d'information via CDP |
--------------------------------------
A. Objectif de l’attaque
• Récupérer des informations via le protocole CDP configuré sur les commutateurs
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des commutateurs.
Pré-requis
• La machine de l’attaquant doit être branchée sur le commutateur pour lequel le protocole CDP est activé
B. Description de l’attaque
• Configuration de l’interface de la machine attaquante en « promiscious »
• Récupération des paquets CDP transitant sur le réseau via un intercepteur CDP
• Analyse des informations telles que la version de l’OS installée pour éventuellement mener une attaque en fonction d’une vulnérabilité non corrigée
C. Outils utilisés
• Intercepteur de paquets CDP : Yersinia (Linux) / CDPmonitor (Windows)
D. Résultats des tests
Cisco CDP Monitor Export list Neigbour0: device id: hostname1
ipaddress: x.y.d.a
port: GigabitEthernet1/0/3
capabilities: Router Switch IGMP
ios_version: Cisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(25)SEE3, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 22-Feb-07 15:04 by myl
platform: cisco WS-C3750G-12S
prefix:
vtp_domain:
duplex: full
----------------------------------------------------------------------------------------------
Ecoute réseau via remplissage de la table MAC des commutateurs |
----------------------------------------------------------------------------------------------
A. Objectif de l’attaque
• Interception des paquets réseau transitant par les commutateurs
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des commutateurs.
Pré-requis
• La machine de l’attaquant doit être située sur le même réseau que le commutateur cible.
• Aucun filtrage ne doit être réalisé sur les adresses MAC autorisées à utiliser le commutateur ainsi qu’aucune restriction en terme de nombre maximum de correspondance « @MAC-Port » possible.
B. Description de l’attaque
• La machine de l'attaquant envoi un nombre important de requêtes ARP de type « who-has » en modifiant aléatoirement les adresses source MAC.
• A chaque requête reçue par le commutateur, un enregistrement de la correspondance de l’adresse MAC source avec le port physique est réalisé.
• Au bout d’un certain temps, la table MAC étant complète, le commutateur est obligé d’envoyer les paquets dont la correspondance est inconnue sur la totalité des ports physiques.
• L’attaquant, en positionnant sa carte réseau en mode « Promiscous » peut alors intercepter la totalité des nouveaux paquets du même VLAN que celui dans lequel il est et ainsi récupérer des informations sensibles transitant en clair.
• Il est ainsi possible d’intercepter des informations sensibles tels que des mots de passe d’administration de composants réseau ou serveur si l’attaquant se trouve dans le VLAN d’administration.
C. Outils utilisés
• Remplissage de la table MAC : macof / ettercap
• Ecoute passive réseau : Tcpdump / Wireshark / Cain
---------------------------------------------------------
Redirection du trafic via ICMP Redirect |
---------------------------------------------------------
A.Objectif de l’attaque
• Modifier la route par défaut des routeurs afin d’intercepter le trafic d'un VLAN X.
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des routeurs.
Pré-requis
• L’attaquant doit être connecté au VLAN X
• Le paramètre « no icmp redirect » n’est pas activé pour le VLAN X
B. Description de l’attaque
• Envoi d’une requête « ICMP Redirect » à destination de l’adresse IP du commutateur – indiquant que la nouvelle passerelle par défaut est la machine de l’attaquant
• La route par défaut du commutateur est modifiée
• Tout trafic sortant du VLAN X et du routeur utilisera alors comme passerelle la machine de l’attaquant
• L’attaquant peut alors intercepter des informations sensibles telles que des identifiants de connexions transitant en clair sur le réseau.
• Il est également possible de mener une attaque par déni de services en bloquant le trafic détourné ou en spécifiant une route par défaut inexistante.
C. Outils utilisés
• Envoi d’un paquet icmp redirect : hping3 @cible -C 5 -K 1 --icmp-gw nouvelle-gw / netwox (plugin 86)
• Routage des paquets sur Linux : /proc/sys/net/ipv4/ip_forward à 1
• Ecoute passive réseau : Tcpdump / Wireshark / Cain
-----------------------------------------------------------------------------------
Accès partiel au VLAN d’administration via saut de VLAN |
-----------------------------------------------------------------------------------
A. Objectif de l’attaque
• Envoyer du trafic dans un autre VLAN (Y) que celui dans lequel on se situe ( VLAN X)) ;
• Changer de VLAN ;
• ou, mieux, accéder à plusieurs VLAN choisis, ce qui permet d'atteindre la quasi intégralité du réseau sans passer par les points de routage et de filtrage mis en place entre les différents réseaux.
L'atteinte de ces objectifs est souvent rendue possible par une combinaison de mauvaises configurations des commutateurs et de failles issues d'autres protocoles que IEEE 802.1Q ou ISL à proprement dit.
Pré-requis
• Un agrégat de VLAN IEEE 802.1Q doit être configuré sur le réseau et son VLAN natif doit être le même que celui dans lequel se trouve l'attaquant ;
• La machine attaquée et celle de l'attaquant doivent être situées sur deux commutateurs distincts. Cela est dû à ce que la trame 802.1Q n'est désencapsulée qu'une seule fois par un commutateur.
• Connaître l'adresse MAC de la machine cible
B. Description de l’attaque
• La machine de l'attaquant, située dans le VLAN X forge une trame doublement encapsulée 802.1Q en positionnant deux fois les champs relatifs aux VLAN dans la trame Ethernet ;
• Le premier commutateur supprime la première étiquette 802.1Q, qui correspond au VLAN natif (VLAN X), puis traite la trame comme étant une trame 802.1Q à destination du VLAN Y.
• Il est ainsi possible d’envoyer (uniquement et non reçevoir) du trafic unidirectionnel depuis le VLAN X vers le VLAN Y et dans le but de lancer une attaque de type « Déni de Service » sur un composant du VLAN Y.
C. Outils utilisés
• Double encapsulation : Yersinia (option 802.1Q)
• Déni de service : Yersinia (option 802.1Q)
-------------------------------------------------------------
Accès unidirectionnel via saut de PVLANS |
-------------------------------------------------------------
A. Objectif de l’attaque
• Envoyer des trames à une cible à laquelle il ne devrait pas être possible.
Pré-requis
• Accès à une machine compromise appartenant à un PVLAN ;
• Cible à atteindre présente dans un PVLAN différent de l’attaquant.
B. Description de l’attaque
Le principe de l'attaque est relativement simple et repose sur le fait que les équipements de niveau 2 ne font pas de vérification de la couche 3 et en particulier d'IP et de ce que les équipements de niveau 3 ne filtrent pas les adresses MAC sauf s'ils sont explicitement configurés pour cela.
• Compromission d'une machine située dans un PVLAN ;
• Emission depuis cette machine d'une trame dont l'adresse source MAC et l'adresse IP sont valides, mais dont l'adresse MAC de destination est celle du routeur et l'adresse IP de destination celle de la machine cible ;
• Le commutateur transmet la trame au routeur qui lui même route le paquet à la victime.
• Il est ainsi possible de lancer un déni de service vers la machine cible
C. Outils utilisés
• Envoi des paquets : nemesis tcp -y 23 -D <@IP-Cible> -S <@IP-Source> -M <@MAC Destination>
---------------------------------------------
Accès total à un VLAN via DTP |
---------------------------------------------
A. Objectif de l’attaque
• Changer de VLAN ;
• ou, mieux, accéder à plusieurs VLAN choisis, ce qui permet in fine d'atteindre la quasi intégralité du réseau sans passer par les points de routage et de filtrage mis en place entre les différents réseaux.
L'atteinte de ces objectifs est souvent rendue possible par une combinaison de mauvaises configurations des commutateurs.
Pré-requis
• Le protocole DTP doit être activé sur les interfaces physiques de type « access » sur lesquelles est lancée l’attaque.
B. Description de l’attaque
• La machine de l'attaquant, située dans le VLAN X, force l’interface sur laquelle il est connecté à passer en mode « Trunk » (alors qu'elle était en mode access) et ainsi à laisser passer le VLAN Y;
• L’attaquant peut alors tagger les paquets via l’ID du VLAN Y et peut donc communiquer avec le VLAN Y pour ensuite envisager de lancer des attaques contre les équipements inaccessibles auparavant (ARP spoofing, scan de port, interception de mot de passe, attaque par bruteforce, ...)
C. Outils utilisés
• Modification du mode du port : Yersinia (option DTP)
• Envoi de paquets « Taggés » via l’OS Linux
• ARP spoofing : Ettercap
• Ecoute passive réseau : Dsniff / Tcpdump / Wireshark
• Détournement du trafic réseau chiffré : sshmitm, sslsniff, sslstrip
• Bruteforce des mots de passe en ligne : hydra
Récupération d'information via CDP |
--------------------------------------
A. Objectif de l’attaque
• Récupérer des informations via le protocole CDP configuré sur les commutateurs
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des commutateurs.
Pré-requis
• La machine de l’attaquant doit être branchée sur le commutateur pour lequel le protocole CDP est activé
B. Description de l’attaque
• Configuration de l’interface de la machine attaquante en « promiscious »
• Récupération des paquets CDP transitant sur le réseau via un intercepteur CDP
• Analyse des informations telles que la version de l’OS installée pour éventuellement mener une attaque en fonction d’une vulnérabilité non corrigée
C. Outils utilisés
• Intercepteur de paquets CDP : Yersinia (Linux) / CDPmonitor (Windows)
D. Résultats des tests
Cisco CDP Monitor Export list Neigbour0: device id: hostname1
ipaddress: x.y.d.a
port: GigabitEthernet1/0/3
capabilities: Router Switch IGMP
ios_version: Cisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(25)SEE3, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 22-Feb-07 15:04 by myl
platform: cisco WS-C3750G-12S
prefix:
vtp_domain:
duplex: full
----------------------------------------------------------------------------------------------
Ecoute réseau via remplissage de la table MAC des commutateurs |
----------------------------------------------------------------------------------------------
A. Objectif de l’attaque
• Interception des paquets réseau transitant par les commutateurs
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des commutateurs.
Pré-requis
• La machine de l’attaquant doit être située sur le même réseau que le commutateur cible.
• Aucun filtrage ne doit être réalisé sur les adresses MAC autorisées à utiliser le commutateur ainsi qu’aucune restriction en terme de nombre maximum de correspondance « @MAC-Port » possible.
B. Description de l’attaque
• La machine de l'attaquant envoi un nombre important de requêtes ARP de type « who-has » en modifiant aléatoirement les adresses source MAC.
• A chaque requête reçue par le commutateur, un enregistrement de la correspondance de l’adresse MAC source avec le port physique est réalisé.
• Au bout d’un certain temps, la table MAC étant complète, le commutateur est obligé d’envoyer les paquets dont la correspondance est inconnue sur la totalité des ports physiques.
• L’attaquant, en positionnant sa carte réseau en mode « Promiscous » peut alors intercepter la totalité des nouveaux paquets du même VLAN que celui dans lequel il est et ainsi récupérer des informations sensibles transitant en clair.
• Il est ainsi possible d’intercepter des informations sensibles tels que des mots de passe d’administration de composants réseau ou serveur si l’attaquant se trouve dans le VLAN d’administration.
C. Outils utilisés
• Remplissage de la table MAC : macof / ettercap
• Ecoute passive réseau : Tcpdump / Wireshark / Cain
---------------------------------------------------------
Redirection du trafic via ICMP Redirect |
---------------------------------------------------------
A.Objectif de l’attaque
• Modifier la route par défaut des routeurs afin d’intercepter le trafic d'un VLAN X.
L'atteinte de ces objectifs est souvent rendue possible par une mauvaise configuration des routeurs.
Pré-requis
• L’attaquant doit être connecté au VLAN X
• Le paramètre « no icmp redirect » n’est pas activé pour le VLAN X
B. Description de l’attaque
• Envoi d’une requête « ICMP Redirect » à destination de l’adresse IP du commutateur – indiquant que la nouvelle passerelle par défaut est la machine de l’attaquant
• La route par défaut du commutateur est modifiée
• Tout trafic sortant du VLAN X et du routeur utilisera alors comme passerelle la machine de l’attaquant
• L’attaquant peut alors intercepter des informations sensibles telles que des identifiants de connexions transitant en clair sur le réseau.
• Il est également possible de mener une attaque par déni de services en bloquant le trafic détourné ou en spécifiant une route par défaut inexistante.
C. Outils utilisés
• Envoi d’un paquet icmp redirect : hping3 @cible -C 5 -K 1 --icmp-gw nouvelle-gw / netwox (plugin 86)
• Routage des paquets sur Linux : /proc/sys/net/ipv4/ip_forward à 1
• Ecoute passive réseau : Tcpdump / Wireshark / Cain
-----------------------------------------------------------------------------------
Accès partiel au VLAN d’administration via saut de VLAN |
-----------------------------------------------------------------------------------
A. Objectif de l’attaque
• Envoyer du trafic dans un autre VLAN (Y) que celui dans lequel on se situe ( VLAN X)) ;
• Changer de VLAN ;
• ou, mieux, accéder à plusieurs VLAN choisis, ce qui permet d'atteindre la quasi intégralité du réseau sans passer par les points de routage et de filtrage mis en place entre les différents réseaux.
L'atteinte de ces objectifs est souvent rendue possible par une combinaison de mauvaises configurations des commutateurs et de failles issues d'autres protocoles que IEEE 802.1Q ou ISL à proprement dit.
Pré-requis
• Un agrégat de VLAN IEEE 802.1Q doit être configuré sur le réseau et son VLAN natif doit être le même que celui dans lequel se trouve l'attaquant ;
• La machine attaquée et celle de l'attaquant doivent être situées sur deux commutateurs distincts. Cela est dû à ce que la trame 802.1Q n'est désencapsulée qu'une seule fois par un commutateur.
• Connaître l'adresse MAC de la machine cible
B. Description de l’attaque
• La machine de l'attaquant, située dans le VLAN X forge une trame doublement encapsulée 802.1Q en positionnant deux fois les champs relatifs aux VLAN dans la trame Ethernet ;
• Le premier commutateur supprime la première étiquette 802.1Q, qui correspond au VLAN natif (VLAN X), puis traite la trame comme étant une trame 802.1Q à destination du VLAN Y.
• Il est ainsi possible d’envoyer (uniquement et non reçevoir) du trafic unidirectionnel depuis le VLAN X vers le VLAN Y et dans le but de lancer une attaque de type « Déni de Service » sur un composant du VLAN Y.
C. Outils utilisés
• Double encapsulation : Yersinia (option 802.1Q)
• Déni de service : Yersinia (option 802.1Q)
-------------------------------------------------------------
Accès unidirectionnel via saut de PVLANS |
-------------------------------------------------------------
A. Objectif de l’attaque
• Envoyer des trames à une cible à laquelle il ne devrait pas être possible.
Pré-requis
• Accès à une machine compromise appartenant à un PVLAN ;
• Cible à atteindre présente dans un PVLAN différent de l’attaquant.
B. Description de l’attaque
Le principe de l'attaque est relativement simple et repose sur le fait que les équipements de niveau 2 ne font pas de vérification de la couche 3 et en particulier d'IP et de ce que les équipements de niveau 3 ne filtrent pas les adresses MAC sauf s'ils sont explicitement configurés pour cela.
• Compromission d'une machine située dans un PVLAN ;
• Emission depuis cette machine d'une trame dont l'adresse source MAC et l'adresse IP sont valides, mais dont l'adresse MAC de destination est celle du routeur et l'adresse IP de destination celle de la machine cible ;
• Le commutateur transmet la trame au routeur qui lui même route le paquet à la victime.
• Il est ainsi possible de lancer un déni de service vers la machine cible
C. Outils utilisés
• Envoi des paquets : nemesis tcp -y 23 -D <@IP-Cible> -S <@IP-Source> -M <@MAC Destination>
---------------------------------------------
Accès total à un VLAN via DTP |
---------------------------------------------
A. Objectif de l’attaque
• Changer de VLAN ;
• ou, mieux, accéder à plusieurs VLAN choisis, ce qui permet in fine d'atteindre la quasi intégralité du réseau sans passer par les points de routage et de filtrage mis en place entre les différents réseaux.
L'atteinte de ces objectifs est souvent rendue possible par une combinaison de mauvaises configurations des commutateurs.
Pré-requis
• Le protocole DTP doit être activé sur les interfaces physiques de type « access » sur lesquelles est lancée l’attaque.
B. Description de l’attaque
• La machine de l'attaquant, située dans le VLAN X, force l’interface sur laquelle il est connecté à passer en mode « Trunk » (alors qu'elle était en mode access) et ainsi à laisser passer le VLAN Y;
• L’attaquant peut alors tagger les paquets via l’ID du VLAN Y et peut donc communiquer avec le VLAN Y pour ensuite envisager de lancer des attaques contre les équipements inaccessibles auparavant (ARP spoofing, scan de port, interception de mot de passe, attaque par bruteforce, ...)
C. Outils utilisés
• Modification du mode du port : Yersinia (option DTP)
• Envoi de paquets « Taggés » via l’OS Linux
• ARP spoofing : Ettercap
• Ecoute passive réseau : Dsniff / Tcpdump / Wireshark
• Détournement du trafic réseau chiffré : sshmitm, sslsniff, sslstrip
• Bruteforce des mots de passe en ligne : hydra