Documente Academic
Documente Profesional
Documente Cultură
version 1.01
Programme
» Sécurité réseau
> Les attaques à l’encontre
- des protocoles des couches liaison et réseau
- des protocoles de routage
> Détection et prévention des dénis de services et des vers
> Analyse de trafic
> MPLS et IPv6
» Sécurité des équipements (routeurs et commutateurs)
> SNMP et administration distante
> Authentification, Autorisation et Audit (AAA)
> Listes de contrôle d’accès (ACLs)
> Vérification d’intégrité
© 2002 Sécurité.Org 2
Les protocoles de la couche liaison
» Les protocoles de la couche liaison de données
> ARP - Address Resolution Protocol
> CDP - Cisco Discovery Protocol
> VLAN - Virtual LAN
> STP - Spanning Tree Protocol
> {D/V}TP - Dynamic, VLAN Trunking Protocol
> Trafic et adressage unicast, broadcast et multicast
© 2002 Sécurité.Org 3
Attaques contre les protocoles
» Les attaques connues (et anciennes)
> Pollution de cache ARP, annonces ARP gratuites,
messages ARP/DHCP falsifiés
> Outils : dsniff, hunt, etc.
» Les attaques plus récentes
> Paquets HSRP/VRRP falsifiés
> Attaques contre STP/VTP
> Saut de VLAN
» Les attaques à venir
> Attaques avancées contre les protocoles de routage
> Rootkits et modules noyau dynamiques (LKM)
© 2002 Sécurité.Org 4
Filtrage STP et par adresse MAC
» Fixez les adresses MAC par port (et si possible la
relation adresse IP/adresse MAC)
set port security <mod/port> enable 01-02-03-04-05-06 shutdown
» Limitez le trafic
set port broadcast de type
<mod/port> 0.01% broadcast
© 2002 Sécurité.Org 5
VLANs : partionnement de réseau
(1)
» Le problème des VLANs
> Les VLANs n’ont pas été conçus pour fournir un
mécanisme de sécurité, mais sont utilisés
couramment pour le partitionnement réseau
> Les commutateurs multiniveau (commutateur avec
un module de routage) constituent un point faible
dans la sécurité du réseau
> N’utilisez pas le VLAN natif 1
» Le problème de VPMS
> VLAN Policy Management Server permet l’affectation
d’un équipement à un VLAN par rapport à son
adresse MAC
© 2002 Sécurité.Org 6
VLANs : partionnement de réseau
(2)
» Saut de VLAN
> Est possible si
- vous utilisez DTP
- un port est dans le même VLAN que le VLAN natif du trunk
(injection de trames 802.1q)
© 2002 Sécurité.Org 7
Protocoles : VTP
» VLAN Trunking Protocol
> Permet une gestion centralisée des VLANs
(architecture maître/esclave)
> Format du message : identique à CDP (SNAP HDLC
0x2003)
> Communique via les ports en mode trunk
» Mesures de sécurité
> Placez les commutateurs en mode VTP transparent
et
setaffectez un mot de
vtp domain <domaine.vtp> passe
password <mot au domaine VTP
de passe>
set vtp mode transparent
© 2002 Sécurité.Org 8
Protocoles : DTP
» Dynamic Trunking Protocol
> Permet la configuration automatique de ports en
mode trunk
> Format du message : identique à CDP (SNAP HDLC
0x2004)
> Tous les ports d’un commutateur sont en mode
automatique par défaut
» Mesures de sécurité
> Désactivez
set trunk off allDTP sur tous les ports
© 2002 Sécurité.Org 9
Protocoles : CDP (1)
» Cisco Discovery Protocol
> Protocole développé par Cisco
> Communique sur tout lien supportant HDLC
> Trafic multicast
> Informations échangées : nom/identifiant de
l’équipement, adresse réseau, identifiant du port,
fonctionnalités, plate-forme, version logicielle,
préfixe réseau IP
» Format du message
© 2002 Sécurité.Org 10
Protocoles : CDP (2)
» Déni de service
> Possibilité d’utiliser toute la mémoire (avis de
sécurité)
» Mesures de sécurité
> Routeurs
- Désactivation
no cdp run globale
- Désactivation
interface xy par interface
no cdp enable
© 2002 Sécurité.Org 11
Les protocoles de la couche réseau
» La couche réseau et les protocoles de routage
> IP : n’intègre pas de mécanisme de sécurité
> ICMP : fuite/divulgation d’informations et risques associés
> HSRP/VRRP : redondance du prochain saut
> RIP/RIPv2 : pas d’authentification (v1) et inondation
> OSPF : trafic multicast et risques liés aux DR/BDR
> BGP : coeur de l’Internet (risques liés aux RR et aux
peerings)
© 2002 Sécurité.Org 12
Protocoles : BGP (1)
» Border Gateway Protocol
> Version 4
> Ecoute sur le port 179/tcp
> Authentication : MD5 (trop rarement utilisée)
> Liaison point-à-point pour les interfaces directement
connectées ou multi-hop pour les routeurs non-
adjacents
> Des outils d’injection de routes BGP existent (dans
des cercles privés)
© 2002 Sécurité.Org 13
Protocoles : BGP (2)
» Où se trouvent les risques ?
> Points d’échanges (GIX) : les FAI sont souvent connectés sur la
même infrastructure partagée (un commutateur par exemple) :
filtrez les AS_path et les préfixes
> Vos clients/fournisseurs directs : filtrez par adresses IP sur les
interfaces
> Configuration multi-hop (attaque par interception)
» Que faut-il surveiller ?
> Les AS_path annoncés par les fournisseurs
> Les AS_path reçus par d’autres FAI qui contiennent votre ASN
(via des serveurs de routes)
> Si les routes/chemins changent (surtout la/le meilleur(e))
> Les changements ARP (commutateurs publiques dans les IX)
© 2002 Sécurité.Org 14
Protocoles : BGP (3)
» Mesures de sécurité additionnelles
> N’utilisez pas le même mot de passe avec tous vos
partenaires
> Journalisez les changements et utilisez IPsec
router bgp 65000
bgp log-neighbor-changes
network x.x.x.x
neighbor y.y.y.y remote-as 65001
neighbor y.y.y.y password <MD5password>
neighbor y.y.y.y version 4
neighbor y.y.y.y prefix-list theirnetworks in
neighbor y.y.y.y prefix-list ournetworks out
neighbor y.y.y.y maximum-prefix 120000
neighbor y.y.y.y route-map ourASpath out
© 2002 Sécurité.Org 15
Protocoles : BGP (4)
» Outils d’injection de routes, quel est le challenge ?
> Trouver les partenaires eBGP
- par interception
- grâce à SNMP
- grâce aux route-servers et aux « looking glasses »
publiques
- adresses IP proches, .1, .254, etc.
> Injectez la mise à jour
- par interception (messages ARP falsifiés sur les
commutateurs publiques)
- par synchronisation avec la session TCP existante
» Mesures de sécurité / futur ?
> S-BGP (Secure BGP)
© 2002 Sécurité.Org 16
Prédiction de numéro de séquence
TCP
» Le problème des numéros de séquence initiaux
Source : http://razor.bindview.com/publish/papers/tcpseq.html
© 2002 Sécurité.Org 17
Protocoles : OSPF (1)
» Open Shortest Path First
> Protocole numéro 89
> Trafic multicast : « facile » d’injecter des LSAs
» Mesures de sécurité
> Authentifiez les échanges OSPF
interface xy
!ip ospf authentication-key <key>
ip ospf message-digest-key 1 md5 <key>
router ospf 1
area 0 authentication [message-digest]
router ospf 1
neighbor x.x.x.x
© 2002 Sécurité.Org 18
Protocoles : OSPF (2)
» Mesures de sécurité (suite)
> Ne mettez pas les interfaces qui ne doivent pas échanger
des LSAs OSPF dans la configuration « réseau » d’OSPF
ou enlevez les par exclusion via des interfaces passives
> Journalisez les changements
router ospf 1
log-adjacency-changes
network x.x.x.x
passive-interface default
no passive-interface xy
router ospf 1
distribute-list <ACL> in
distribute-list <ACL> out
© 2002 Sécurité.Org 19
Protocoles : HSRP/VRRP (1)
» Hot Standby Routing Protocol
> Redondance du prochain saut (RFC 2281)
> Fuite d’information: adresse MAC virtuelle
- 00-00-0c-07-ac-<groupe HSRP>
- l’interface virtuelle HSRP n’envoie pas d’ICMP redirect
> Un groupe HSRP peut contenir plus de deux routeurs,
il n’est pas nécessaire de rendre un routeur inactif, il
suffit de devenir le maître
© 2002 Sécurité.Org 20
Protocoles : HSRP/VRRP (2)
» Mesures de sécurité
> Activez l’authentification par mot de passe
interface xy
standby 10 priority 200 preempt
standby 10 authentication p4ssw0rd
standby 10 ip x.x.x.x
© 2002 Sécurité.Org 21
Dénis de services : détection (1)
» La technique « ancienne »
> ACLs, charge CPU, charge de la ligne, xIDS
» Netflow
> Journalisation des données réseaux (AS, flux IP, protocoles, etc)
> Données envoyées en clair sur le réseau à un point central
> Avec CEF activé Netflow effectue uniquement la journalisation et
les statistiques
> Sans CEF le routeur passe en mode commutation Netflow
> Seul le trafic sortant sur une interface est comptabilisé
> Visualisation des données : sh ip cache flow
> Export des données :
© 2002 Sécurité.Org 22
Dénis de services : détection (2)
» Distribution (in)habituelle du trafic par protocole
> TCP : ~90% (HTTP, FTP, SMTP, outils peer-to-
peer)
> UDP : ~10% (DNS, SNMP, outils de streaming)
> ICMP : < 1%
> IGMP : < 1%
> Surtout des paquets de 64 octets
> RRDtool et Netflow permettent de grapher les
tendances et de détecter des changements ou des
anomalies
© 2002 Sécurité.Org 23
Dénis de services : détection (3)
» Netflow sur les commutateurs-routeurs
> Le mode de flux Netflow par défaut ne tient compte que
de la destination (l’adresse source n’est pas enregistrée)
> Activez le mode « full-flow » (impact sur les
performances sur les modules de supervision SE1)
! MLS in hybrid mode
set mls flow full
© 2002 Sécurité.Org 24
Dénis de services : prévention (1)
» Unicast RPF (Reverse-Path Forwarding)
> Nécessite CEF (Cisco Express Forwarding) ou dCEF
> Nécessite IOS 12.x et consomme ~30Mo de mémoire
> Mode strict : les datagrammes IP sont vérifiés, la route
vers l’adresse IP source doit pointer vers l’interface
d’entrée
> Seulement la meilleure route est dans la FIB (si multi-
path ou des routes de même poids ne sont pas utilisés)
> Les routes asymétriques sont supportées
> Vérifiez les poids et les métriques utilisés dans BGP si
vous utilisez le mode strict ou dans une
configuration à liens multiples
© 2002 Sécurité.Org 25
Dénis de services : prévention (2)
» Unicast RPF (Reverse-Path Forwarding)
> Mode strict (des ACLs peuvent être utilisées pour la
journalisation et les exceptions)
ip cef [distributed]
interface xy
ip verify unicast reverse-path [allow-self-ping] [acl]
© 2002 Sécurité.Org 26
Dénis de services : prévention (3)
» Limitation du trafic ICMP, UDP et TCP SYN
interface xy
rate-limit input access-group 100 8000 8000 8000 \
conform-action transmit exceed-action drop
rate-limit output access-group 100 8000 8000 8000 \
conform-action transmit exceed-action drop
<…>
© 2002 Sécurité.Org 27
Dénis de services : prévention (4)
» TCP Intercept
> Autant d’aspects positifs, que d’aspects négatifs
> Si TCP Intercept est activé le routeur passe en mode
commutation de processus (process switching) et ne
reste pas en mode CEF
> L’hôte destination doit renvoyer un RST (un rejet
silencieux engendre un déni de service local)
> Problème identique si vous utilisez des routes vers
Null0 (route vers un trou noir)
ip tcp intercept list 100
ip tcp intercept connection-timeout 60
ip tcp intercept watch-timeout 10
ip tcp intercept one-minute low 1500
ip tcp intercept one-minute high 6000
© 2002 Sécurité.Org 28
Dénis de services : prévention (5)
» Filtrage ICMP avancé
> Ne laissez passer que les messages ICMP
« critiques »
interface xy
ip access-group 100 in
access-list 100 deny icmp any any fragments
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any source-quench
access-list 100 permit icmp any any time-exceeded
access-list 100 deny icmp any any
access-list 100 permit ip any any
© 2002 Sécurité.Org 29
Dénis de services : prévention (6a)
» Techniques avancées : BGP/Null0 1/2
> Choisissez une adresse du bloc TEST-NET et configurez une
route vers Null0 sur tous les routeurs pour cette adresse
> Sur un routeur BGP maître, changez le prochain saut pour le
réseau source à filtrer par cette adresse IP
> Redistribuez ces adresses via BGP dans votre AS et uRPF va
supprimer le datagramme (au niveau de la LC, pas du RP)
© 2002 Sécurité.Org 30
Dénis de services : prévention (6b)
» Techniques avancées : BGP/Null0 2/2
NOC
iBGP sessions
Master BGP router
(set the next-hop for the DDoS
sources to 192..0.2.10)
Route reflectors
Core/Access Routers
(route 192.0.2.10 to Null0)
Internet
or
Customers
© 2002 Sécurité.Org 31
Dénis de services : prévention (7)
» Techniques avancées : BGP/CAR/FIB 1/2
> Marquez le réseau dont vous voulez limiter la bande
passante avec une communauté spécifique et
redistribuez ces informations depuis le routeur BGP
maître à tous ses clients
router bgp <AS>
network <destOfDDOS> mask <netmask>
neighbor x.x.x.x route-map ddos-rl out
neighbor x.x.x.x send community
access-list 10 permit <destOfDDOS>
route-map ddos-rl
match ip address 10
set community <AS>:66 no-export
ip route <destOfDDOS> 255.255.255.0 Null0
© 2002 Sécurité.Org 32
Dénis de services : prévention (8)
» Techniques avancées : BGP/CAR/FIB 2/2
> Sur les routeurs changez le QosID dans la FIB par
rapport à cette communauté et limitez la bande
passante par rapport à ce QosID
router bgp <AS>
table-map ddos-rl
ip community list 1 permit <AS>:66
route-map ddos-rl
match community 1
set ip qos-group 66
interface xy
bgp-policy source ip-qos-map
rate-limit input qos-group 66 ...
© 2002 Sécurité.Org 33
Filtrage entrant et sortant (1)
» Ce qu’il ne faudrait jamais voir/laisser passer/router
> RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
> 0.0.0.0/x, 127.0.0.0/8
> 169.254.0.0/16 (auto-configuration quand DHCP est indisponible)
> 192.0.2.0/24 (Netname: TEST-NET, comme example.com)
> Les adresses multicast (classe D) et les réseaux E.T. (E+)
> Les plages d’adresses utilisées par certains vendeurs
(192.0.0.192 pour certaines imprimantes)
> Les blocs réservés (ARIN - bogon networks)
> Les datagrammes destinés à l’adresse de broadcast ou avec
source == destination
© 2002 Sécurité.Org 34
Filtrage entrant et sortant (2)
» Ce qu’il faudrait voir/laisser passer/router
> Vos plages d’adresses uniquement
» Exemple de filtrage par ACL (IX, uplinks, CPE)
interface xy
access-group in 100
access-group out 100
access-list 100 deny ip host 0.0.0.0 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
access-list 100 deny ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255
access-list 100 deny ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255
access-list 100 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 100 deny ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255
access-list 100 deny ip 169.254.0.0 0.0.255.255 255.255.0.0 0.0.255.255
access-list 100 deny ip 240.0.0.0 15.255.255.255 any
access-list 100 permit ip any any
! Or permit ip <your network prefixes only>
© 2002 Sécurité.Org 35
Détection des vers et protection
(1)
» Comment détecter un nouveau vers
> Nombre (inhabituel) de nouveaux flux HTTP/SMTP et
journalisation sur les serveurs
© 2002 Sécurité.Org 36
Détection des vers et protection
(2)
» Classification des flux entrants avec NBAR et
filtrage des flux sortants avec des ACLs
! Class-based inbound marking
class-map match-any http-hacks
match protocol http url “*cmd.exe*”
! Policy map to mark inbound
policy-map mark-inbound-http-hacks
class http-hacks
set ip dscp 1
! Apply the service policy to the « attacking » interface
int xy
service-policy input mark-inbound-http-hacks
! Block with an ACL
access-list 100 deny ip any any dscp 1 log
access-list 100 permit ip any any
! Apply the ACL to the « protected » interface
int xy
ip access-group 100 out
© 2002 Sécurité.Org 37
Détection des vers et protection
(3)
» Classification des flux entrants et politique basée
sur une classe
! Class-based inbound marking
class-map match-any http-hacks
match protocol http url “*cmd.exe*”
! Policy map to mark inbound
policy-map drop-inbound-http-hacks
class http-hacks
policy 8000 4000 2000 conform-action drop exceed-action \
drop violate-action drop
! Apply the service policy to the « attacking » interface
int xy
service-policy input police-inbound-http-hacks
© 2002 Sécurité.Org 38
Détection des vers et protection
(4)
» Classification des flux entrants et routage en
fonction d’une politique
! Class-based inbound marking
class-map match-any http-hacks
match protocol http url “*cmd.exe*”
! Policy map to mark inbound
policy-map mark-inbound-http-hacks
class http-hacks
set ip dscp 1
! Apply the service policy to the « attacking » interface
int xy
service-policy input mark-inbound-http-hacks
! Create a route-map
access-list 100 permit ip any any dscp 1
route-map route2null 10
match ip address 100
set interface Null0
! Apply the routing policy to the « attacking » interface
int xy
ip policy route-map route2null
© 2002 Sécurité.Org 39
Détection des vers et protection
(5)
» Restrictions et limitations de NBAR
> Supporte jusqu’à 24 comparaisons concurrentes
(URL, machines ou type MIME)
> Ne compare que les 400 premiers octets d’une URL
> Ne gère pas les paquets fragmentés
> Trafic HTTPS (c’est normal ;-)
> Paquet provenant ou destiné au routeur (impossible
de protéger le serveur HTTP local)
> Ne supporte pas l’Unicode (UTF-8/%u)
© 2002 Sécurité.Org 40
DDoS/vers recherche/futur
» Le pire est à venir
> Recherche très active, mais très peu de publications: “les
risques sont trop élevés”
> La plupart des vers existants étaient plutôt faibles/gentils
> Les prochains vers vont-ils encore s’attaquer à IIS/Outlook ?
> Quels sont les effets sur la stabilité d’Internet ?
© 2002 Sécurité.Org 41
Capture de trafic réseau (routeurs)
» Possibilité d’affichage local
> Capture avec des ACLs
access-list 100 …
debug ip packet detail 100
© 2002 Sécurité.Org 42
Capture de trafic réseau
(commutateurs)
» Pas d’affichage local
» Envoi des informations sur un équipement distant
> Copie du trafic d’un port ou VLAN vers un autre port
! MLS in hybrid mode
set span <source (mod/port or VLAN)> <destination port>
! MLS in native mode
monitor session <session id> ...
© 2002 Sécurité.Org 43
Principes de configuration (1)
» Désactivez tous les services non utilisés
» Activez syslog
service time log datetime localtime show-timezone msec
service time debug datetime localtime show-timezone msec
logging x.x.x.x
logging trap debugging
logging source loopback0
logging buffered 64000 debugging
» Synchronisez lesntp
horloges avec10NTP
authentication-key
ntp authenticate
(authentifié si
md5 <key>
© 2002 Sécurité.Org 44
Principes de configuration (2)
» Au niveau de l’interface
interface xy
no ip source-route
no ip directed-broadcast
no ip proxy-arp
no ip redirects
no ip unreachables
! IP accounting for the traffic that fails the IP ACLs
ip accounting access-violations
no ip mask-reply
no cdp enable
© 2002 Sécurité.Org 45
Admin : SNMP (1)
» Simple Network Management Protocol
> v1 : RFC1157, nom de communauté pour l’authentification
> v2 : RFC1441/1446, sécurité améliorée (party) et get-bulk
> v3 : RFC2274, apporte la vérification d’intégrité, le chiffrement et
l’authentification par utilisateur
» Attaques et problèmes connus
> Les administrateurs réseaux utilisent des communautés RW
> Nom de communauté facile à deviner/trouver
> Attaques par rejeux et déni de service
> Fuite d’information
> La fonction de découverte automatique des outils de gestion de
réseaux peut transmettre la communauté hors de votre
réseau/domaine
© 2002 Sécurité.Org 46
Admin : SNMP (2)
» Filtrage au niveau IP
> Définissez une ACL et activez la sur chaque interface
interface Ethernet0/0
access-group in 100
access-list 100 permit udp host 192.168.1.1 host 192.168.1.2 eq snmp
access-list 100 permit udp host 192.168.1.2 eq snmp host 192.168.1.1
access-list 100 deny udp any any eq snmp log-input
© 2002 Sécurité.Org 47
Admin : SNMP (3)
» SNMP v3
> Définissez des utilisateurs/groupes et leurs droits
snmp-server group engineering v3 priv read cutdown 10
snmp-server user nico engineering v3 auth md5 myp4ss priv des56 mydes56
snmp-server view cutdown ip.21 excluded
access-list 10 permit x.x.x.x
access-list 10 deny any log
© 2002 Sécurité.Org 48
Admin : Secure Shell (1)
» Support SSHv1 (client et serveur)
> Routeurs : depuis 12.1(1)T/12.0(10)S (utilisez une image
3DES), scp depuis 12.2T
> Commutateurs : CatOS 6.x
© 2002 Sécurité.Org 49
Admin : Secure Shell (2)
» Configuration SSH
hostname <hostname>
ip domain-name <domainname>
crypto key generate rsa
ip ssh timeout 60
ip ssh authentication-retries 3
» Configuration
ip scp server enable scp
© 2002 Sécurité.Org 50
Admin : IPsec (1)
» Configuration IPsec
> Interdit tout trafic sauf IPsec et le trafic autorisé
interface xy
ip address y.y.y.y 255.255.255.0
ip access-group 100 in
access-list 100 permit udp host x.x.x.x host y.y.y.y eq 500
access-list 100 permit esp host x.x.x.x host y.y.y.y
access-list 100 permit ahp host x.x.x.x host y.y.y.y
access-list 100 permit ip <remoteLAN> <localLAN>
© 2002 Sécurité.Org 51
Admin : IPsec (2)
» Configuration IPsec
> Définissez le transform-set (mode tunnel recommandé,
plus facile d’utiliser le mode transport pour Win2k)
© 2002 Sécurité.Org 52
Admin : comptes utilisateurs
locaux (1)
» Utilisateurs locaux
> Le chiffrement de type 7 est réversible
> MD5 disponible depuis 12.1(8a)E
» Mot de passe enable
> utilisez MD5 (type 5)
» Méthode d’accès
service password-encryption
enable secret 5 <…>
> Supprimez telnet et activez SSH
service tcp-keepalives-in
line vty 0 4
exec-timeout 0 60
access-class 10 in
transport input ssh
transport output none \ transport preferred none
> Sécurisez l’accès à la console et au port AUX
access-list 10 permit x.x.x.x
© 2002 Sécurité.Org 53
Admin : comptes utilisateurs
locaux (2)
» Commutateurs
set password <password>
set enablepass <password>
© 2002 Sécurité.Org 54
AAA : Authentification /
Journalisation
» Authentification/Audit : RADIUS/TACACS+
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa accounting exec default start-stop group tacacs+
ip tacacs source-interface loopback0
tacacs-server host x.x.x.x
tacacs-server key K3y
© 2002 Sécurité.Org 55
AAA : Autorisation
» Niveaux de privilèges
> 1 : mode utilisateur “lecture uniquement”
> 15 : mode privilégié “enable”
> Changez le niveau de privilège de certaines commandes (limite la
fuite d’information et les rebonds)
> Un utilisateur peut seulement visualiser la configuration qu’il est
autorisé à modifier
> Un utilisateur peut avoir uniquement la permission de voir la
configuration et puis être déconnecté
© 2002 Sécurité.Org 56
AAA : Kerberos (1)
» Routeurs Cisco
> Telnet cerbèrisé et authentification utilisant Kerberos
(telnet, SSH et console)
> Association d’une instance à un niveau de privilège
(définition locale)
> Fonctionnalité “Kerberos V client support” (Enterprise)
> Non supporté sur certains modèles (16xx, GSR, etc)
» Commutateurs Cisco
> Telnet uniquement (SSH disponible à partir des versions
6.1 mais sans support Kerberos)
> Version 5.x pour la SE au minimum
> Uniquement sur Catalyst 4K, 5K et 6K/6500 (avec SE I, non
supporté par les SE II)
© 2002 Sécurité.Org 57
AAA : Kerberos (2)
» Kerberos sur un routeur
aaa authentication login default krb5-telnet local
aaa authorization exec default krb5-instance
kerberos local-realm COLT.CH
kerberos srvtab entry host/...
kerberos server COLT.CH 392.568.0.14
kerberos instance map engineering 15
kerberos instance map support 3
kerberos credentials forward
line vty 0 4
ntp server 392.568.0.626
© 2002 Sécurité.Org 58
Listes de contrôle d’accès (1)
» Filtrage IP avec les ACLs
> Pas de table d’état, pas de réassemblage des paquets
> log-input enregistre aussi l’interface et l’adresse MAC
source
> Seul le premier fragment est contrôlé (sauf si utilisation
du mot clé fragment)
© 2002 Sécurité.Org 59
Listes de contrôle d’accès (2)
» Autre types d’ACLS
> TurboACL : utilise une table de hashage (gain si 5+ ACEs)
> Reflexives : filtre dynamique pour les réponses (ne
fonctionne pas pour les protocoles de type H.323)
> Dynamiques : ajoute l’authentification des utilisateurs aux
ACLs étendues
> Nommées : permet de supprimer simplement une ACE
> Temporelles : spécification d’un plage de temps
> CBAC : “inspecte” le protocole (helper/proxy/fixup-like),
utilisé en conjonction avec des ACLs
> MAC : filtrage basé sur les adresses MAC (700-799 en
standard, 1100-1199 en étendu)
> Protocoles: filtrage sur le type de protocole (200-299)
© 2002 Sécurité.Org 60
Listes de contrôle d’accès(3)
» Exemple : ACL étendue sur un routeur
no access-list 100
access-list 100 permit <…>
access-list 100 deny tcp any range 1 65535 any range 0 65535 log
access-list 100 deny udp any range 1 65535 any range 0 65535 log
access-list 100 deny ip any any log-input
© 2002 Sécurité.Org 61
Commutateurs
» Commutateurs multiniveau (6509)
> Mode Natif (fonctionnant sous IOS uniquement)
> Mode Hybride (IOS et CatOS)
> ACLs traitées rapidement
© 2002 Sécurité.Org 62
Vérification d’integrité du routeur
(1)
» 4 étapes pour construire un vérificateur d’integrité pour
IOS/CatOS
> 1. Stockez les configurations des routeurs et commutateurs
dans un environnement sûr (CVS par exemple)
© 2002 Sécurité.Org 63
Vérification d’intégrité du routeur
(2)
» 4 étapes pour construire un vérificateur d’integrité
pour IOS/CatOS
> 4. Comparez les configurations à l’aide d’un script ou
utilisez CVS (ou Rancid)
» Limitations et détails
> Confiance dans le système (toujours pas de “rootkit”
Cisco) et dans le réseau utilisé (attaques par interception)
> Configuration transmise en clair sur le réseau (sauf si
chiffrement via scp ou IPsec)
> Il y a deux fichiers : startup-config et running-config
> Sauvergardez également les images IOS/CatOS
> MIBs Cisco : CISCO-CONFIG*
© 2002 Sécurité.Org 64
Vérification d’intégrité du routeur
(3)
» Cisco IOS rootkit/BoF/FS : est-ce possible ?
> Système propriétaire fonctionnant sur processeurs
MIPS (nouveaux modèles) ou Mot68K (anciens
modèles)
> Programmes au format ELF 32-bit MSB, édition des
liens statique
> Possibilités avec l’accès à gdb {kernel¦pid pid-
num} ?
> La ROMMON est-elle un intéressant point de départ
(gdb local) ? Cisco IOS software architecture” - Cisco Press :
“Inside
- “In general, the IOS design emphasizes speed at the expense o
extra fault protection”
- “To minimize overhead, IOS does not employ virtual memory
protection between processes”
- “Everything, including the kernel, runs in user mode on the
CPU and has full access to system resources”
© 2002 Sécurité.Org 65
Vérification d’intégrité du routeur
(4)
» Cisco IOS rootkit/BoF/FS : problèmes ouverts
> Aucune commande/outils documentés pour interagir
avec le noyau, la mémoire, les processus, etc.
> Possibilités en mode “enable engineer” ?
> Possibilité de charger une image IOS modifiée et de
l’éxécuter sans redémarrer le routeur ?
> Le grand nombre d’image disponible rend la tâche
difficile et un outil pour modifier les images est
requis
> Nouvelle possibilité avec l’IOS-NG (support de
modules dynamiques) ?
© 2002 Sécurité.Org 66
MPLS (1)
» MultiProtocol Label Switching
> Circuits virtuels, VPN non chiffrés/authentifiés
> “Equivalent” à un circuit de niveau 2 (ATM/FR)
> IPsec peut être utilisé pour sécuriser le trafic
> Partitionnement VPN réalisé uniquement lors du routage
> Une table de routage par VPN sur chaque routeur PE (VRF)
> En-tête MPLS ajouté à chaque paquet pour identifier le VPN
> Chaque routeur (LSR) sur le chemin MPLS (LSP) gère une
table locale (LIB)
> L’en-tête à une signification locale et peut être changé à
chaque saut
© 2002 Sécurité.Org 67
MPLS (2)
» Attaques
> Injection de paquets marqués :
- Bloqué par défaut sur toute les interfaces (CE/PE)
- Simple en ayant accès à un routeur MPLS
> Injection de données dans le protocole de
signalisation ((MP-)BGP et IGPs) pour modifier la
topologie du réseau MPLS
» Mesures de sécurité
> Configuration correcte de tous les routeurs
> Information MPLS distribuée sur tous les routeurs
(difficile à rassembler)
© 2002 Sécurité.Org 68
IPv6
» IPv6
> Peu de nouveaux risques
> Support IPsec “natif”
> Risque élevé plus durant la transition IPv4 -> IPv6
> L’adresse MAC peut faire partie de l’adresse IP
© 2002 Sécurité.Org 69
That’s all
folks :-)
Dernière version de la présentation
< http://www.securite.org/presentations/secip/ >
Image: http://www.inforamp.net/~dredge/funkycomputercrowd.html
© 2002 Sécurité.Org 70