ETTERCAP - Le Tutorial Facile

Ettercap Contre-mesures
Dernière modif: Feb 01 2008

Outil
Installation
Ergonomie
Forum

Détails Ettercap, c'est quoi?
Prérequis & Installation
Usurpation ARP (ARP spoofing)
Attaques par "man in the middle"
Statistiques
Contre-mesures

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Lutter contre l'usurpation ARP avec efficacité n'est pas chose aisée en raison du fait que le protocole ARP ne fournit aucune possibilité d'établir l'authenticité de la source de paquets entrants.
Malgré cela, nous proposons ici quelques pistes pour protéger vos machines contre ces satanés pirates.

1. ARP STATIQUE 2. OUTILS DE SURVEILLANCE 3. PORT SECURITY 4. CONCLUSION

1. ARP STATIQUE

la mise en place d'ARP statique signifie que vous configurez manuellement les correspondances IP - MAC.

Machine Windows

C:\Documents and Settings\administrator>arp -s 192.168.1.1 11-22-33-44-11-11
Consultez votre cache ARP:

C:\Documents and Settings\administrator>arp -a
Interface : 192.168.1.2 --- 0x2

Adresse Internet
192.168.1.1
192.168.1.100 Adresse physique
11-22-33-44-11-11
11-22-33-44-99-99 Type
statique
dynamique
Machine Linux

#arp -s 192.168.1.1 11:22:33:44:11:11
Consultez votre cache ARP:

#arp

Address
192.168.1.1 HWtype
ether HWaddress
11:22:33:44:11:11 Flags Mask
CM Iface
eth0
Routeur Cisco

router#configure terminal
router(config)#arp 192.168.1.2 1122.3344.5566 ARPA
La création de correspondances statiques adresse IP - MAC va prévenir l'usurpation ARP mais a tout de même deux gros désavantages:

-

- Cela va générer une grosse charge de travail pour l'administrateur et n'est pas applicable dans un environnement où les utilisateurs doivent se déplacer avec leur portable.
Cela n'empêchera pas d'autres types d'attaques ARP comme le "port stealing"
Haut de la page

2. OUTILS DE SURVEILLANCE

Arpwatch

Arpwatch est un outil pour monitorer l'activité ARP sur un réseau et particulièrement lorsqu'un changement dans l'association de correspondances adresse IP - adresse MAC. Pour cette raison, il peut être utile pour détecter des attaques ARP comme l'usurpation ARP (ARP spoofing) et peut alerter l'administrateur par mail en case d'activités ARP suspicieuses (référencées en tant que flip-flop sous Arpwatch).

#apt-get install arpwatch
Par défaut, Arpwatch envoie ses journaux (logs) dans le fichier /var/log/syslog, vous pouvez utiliser la commande "tail /var/log/syslog" pour vérifier les journaux en temps réel.
La configuration est stockée dans le fichier /etc/arpwatch.conf.

Ettercap

Installez Ettercap en mode graphique.

#apt-get install ettercap-gtk
Lancez Ettercap en mode graphique.

#ettercap -G

Sniff -> Unified sniffing...

Plugins -> Manage the plugins
Cliquez sur le plugin arp_corp pour l'activer.

Start -> Start Sniffing

IDS Snort

Un système de détection d'intrusion comme l'IDS Snort peut détecter des activités ARP anormales et prévenir l'administrateur.

Haut de la page

3. PORT SECURITY

Le Port Security (sécurité de port) est une fonctionnalité de sécurité disponible sur certains switchs.
Il va permettre aux équipements possédant seulement certaines MAC adresses de se connecter aux ports d'un switch. Au cas où une machine n'est pas autorisée, le switch peut prendre des actions comme alerter l'administrateur par une trap SNMP ou désactiver le port immédiatement.

Ci-dessous, un exemple avec un switch Cisco sur lequel le premier port (FastEthernet 0/1) est configuré en tant que port-security.
Le port du switch va accepter seulement une seule et unique MAC adresse et cette MAC adresse sera la première vue par le port du switch (mot-clef "sticky"). Si le port du switch voit une autre adresse MAC sur son premier port, elle va immédiatement désactiver le port.

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Après la configuration du switch, nous connectons un équipement avec une MAC adresse de 1122.3344.5566 sur le port FastEthernet 0/1. Ce dernier ne va plus accepter d'autres MAC adresses.

Switch# show port-security

Secure Port   MaxSecureAddr   CurrentAddr   SecurityViolation   Security Action
                         (Count)          (Count)            (Count)
---------------------------------------------------------------------------
   Fa1/0/1               1                    1                    0          Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272

Switch# show port-security interface FastEthernet 0/1

Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count :
:
:
:
:
:
:
:
:
:
:
: Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.5566:1
0

Switch#show port-security address

          Secure Mac Address Table
----------------------------------------------------------------------------
Vlan    Mac Address        Type                  Ports            Remaining Age
                                                                              (mins)
----    -----------          ----                    -----          -------------
1        1122.3344.5566    SecureSticky        Fa0/1              -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272

Nous déconnectons l'équipement avec la MAC adresse n0 1122.3344.5566 et nous connectons un autre équipement avec un MAC adresse n0 1122.3344.9999. Comme vu ci-dessous, le switch va désactiver son premier port et le mettre dans un état "err-disabled".

Switch# show port-security interface FastEthernet 0/1

Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count :
:
:
:
:
:
:
:
:
:
:
: Enabled
Secure-down
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.9999:1
0

Switch#show logging

00:06:28:

00:06:28

00:06:29:

00:06:30: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1122.3344.9999 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

Switch#show interfaces status | include 0/1

Port
-------
Fa0/1 Name
------------------
Status
------------
err-disabled Vlan
--------
1 Duplex
------
auto Speed
-------
auto Type
----
10/100BaseTX
Si vous voulez réactivez le port dans l'état "err-disabled", utilisez la commande suivante:

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

L'activation de la sécurité de port (port-security) n'empêche pas l'usurpation ARP mais la possibilité pour le pirate de se connecter au réseau.

4. CONCLUSION

Il n'y a pas de solution miracle pour lutter contre l'usurpation ARP mais les propositions ci-dessous apportent une grande aide soit en empêchant le pirate de se connecter sur le réseau, soit en analysant le réseau.

-

- Restriction réseau avec le port-security ou même avec le protocole 802.1x où une machine est autorisée sur le réseau seulement si elle est acceptée par un serveur d'authentification comme un RADIUS.
Surveillance réseau avec des outils comme un IDS.

Haut de la page