| Sniffing (et ARP spoofing) 2/2 |
|
Le Switch lui n'envoi que les paquets à destination de la machine concernée à cette dernière. Il est donc extrêmement simple de sniffer un réseau sur un Hub. Sur un Switch, il faut recourir à un artifice un peu plus complexe, une attaque appelée « arp spoofing ». En effet le switch utilise l'adresse MAC (aussi appelée adresse physique ou ARP) de la machine pour lui adresser ses paquets. Si l'on arrive à corrompre la table arp du switch (son « spanning » tree) en spoofant (voir article sur le spoofing) la ou les machines concernées, on peut écouter leur conversation. Le principe est d'envoyer des paquets « arp-reply » aux machines à espionner pour les convaincre que l'adresse arp de leur correspond est associé à l'ip de la machine que le pirate utilise pour sniffer. Ensuite les paquets arrive à cette machine et le pirate n'a plus qu'à les renvoyer à la bonne machine pour ne pas « casser » la communication et que les machines reçoivent quand même les paquets. C'est une forme de détournement de paquets en somme. Ensuite, il existe un grand nombre d'informations intéressantes qui transitent dans les communications réseau et l'interception est ciblée sur ce qui intéresse le pirate, mail, mot de passe, échange de fichiers etc... Les protections existent à différents niveaux, sans être toujours parfaitement efficaces. Déjà la première protection est de mettre des switch et non des hubs sur les segments réseaux sur lesquels transitent des informations importantes. Ensuite il convient de choisir un switch capable de détecter et d'enrayer les attaques par arp spoofing. Enfin un IPS peut se charger de protéger la table ARP des machines sur lequel il est installé pour éviter qu'une telle attaque soit possible. Il est aussi efficace de mettre en place un système de surveillance des tables ARP qui détectera les changements ou ajouts de MAC dans le réseau local et les signalera à l'administrateur.
Page : 1,
2
|
|
L'expert en sécurité
informatique |
 |
| Sniffing (et ARP spoofing) 2/2 |
|
Page : 1,
2
|
Bon à savoir :
Le test d'intrusion, qu'il soit externe ou interne, permet de vérifier son niveau réel d'exposition face à des personnes qui seraient mal intentionnées. L'audit de sécurité est le moment idéal pour l'équipe exploitant le SI d'effectuer un transfert de compétences. Le cadre légal français est très précis en sécurité informatique et la formation sécurité permet à tous de comprendre ses droits et devoirs. Dans un processus de maintenance, la GMAO permet de suivre la tracabilité des travaux. Il vaut mieux qu'un test d'intrusion mené par des experts révèle une ou plusieurs failles plutot que ce soit des pirates qui le fassent. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. L'utilisateur est à la fois celui qui fait peser le plus de risques de sécurité informatique sur le SI et son meilleur rempart s'il est sensibilisé.
Le test d'intrusion, qu'il soit externe ou interne, permet de vérifier son niveau réel d'exposition face à des personnes qui seraient mal intentionnées. L'audit de sécurité est le moment idéal pour l'équipe exploitant le SI d'effectuer un transfert de compétences. Le cadre légal français est très précis en sécurité informatique et la formation sécurité permet à tous de comprendre ses droits et devoirs. Dans un processus de maintenance, la GMAO permet de suivre la tracabilité des travaux. Il vaut mieux qu'un test d'intrusion mené par des experts révèle une ou plusieurs failles plutot que ce soit des pirates qui le fassent. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. L'utilisateur est à la fois celui qui fait peser le plus de risques de sécurité informatique sur le SI et son meilleur rempart s'il est sensibilisé.