Concentrateurs.
Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Telegram Channel: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
E-mail: online@legascom.ru
#sécuritéinformations #informationsécurité
Après avoir examiné les bases théoriques des niveaux du modèle OSI dans les articles précédents, passons maintenant à l'examen des attaques qui peuvent être mises en œuvre contre les périphériques et les applications s'exécutant sur chacun des niveaux OSI.
Les attaques au niveau physique sont connues depuis longtemps et, apparemment, tout le monde sait comment les combattre, mais parfois avec l'aide d'une telle attaque, vous pouvez obtenir des informations confidentielles.
Commençons par les périphériques réseau les plus simples - hub (hub). Comme vous le savez, le concentrateur, en recevant un paquet sur l'un de ses ports, le relaie sur tous les autres.
Dans ce cas, toutes les machines connectées à ce concentrateur reçoivent le paquet envoyé. L'utilisation de ces périphériques réduit considérablement la bande passante du segment réseau et, plus important encore en termes de sécurité de l'information, tout utilisateur connecté au concentrateur peut facilement écouter tout le trafic passant par ce segment.
Pour tester cela dans la pratique, il suffit de connecter plusieurs machines au concentrateur et d'exécuter le disque de démarrage et la distribution Kali décrite dans les applications ou toute autre distribution sur l'une d'elles
Linux contenant cet utilitaire. Ici et ensuite, tous les utilitaires fournis dans les exemples sont inclus avec Kali Linux, sauf indication contraire.
Après avoir Téléchargé le système d'exploitation Kali Linux, vous devez sélectionner successivement: Privilege Escalation-Sniffers-Wireshark.
Ensuite, dans la fenêtre de l'application qui s'ouvre, vous devez spécifier l'interface à partir de laquelle le trafic sera intercepté et cliquez sur démarrer.
Eh bien, maintenant le plus intéressant. Nous allons à partir de la machine connectée au même concentrateur que n'importe quel site qui transmet les informations d'identification via le formulaire Web en clair, et entrez le nom d'utilisateur et le mot de passe (de préférence faux). Nous envoyons ces données au serveur et recevons un message sur les informations d'identification incorrectes.
Ensuite, allez dans la fenêtre Wireshark et regardez le trafic HTTP qui a été transmis de la machine locale au serveur Web.
Dans mon exemple, j'ai utilisé le portail Web d'un réseau social bien connu qui, il y a quelques années, lors de la transmission des informations d'identification, n'utilisait pas de cryptage et transmettait le nom d'utilisateur et le mot de passe en clair. Dans mon cas, la connexion était test et le mot de passe est p@ssw0rd. Dans le journal, le caractère @ est remplacé par le code hexadécimal UTF-8.
Bien sûr, de nombreux sites Web utilisent le cryptage lors de la transmission des informations d'identification, mais néanmoins, en utilisant l'écoute du trafic, un pirate informatique expérimenté peut collecter une tonne d'informations utiles. Par exemple, sur les serveurs auxquels votre ordinateur accède, vous pouvez essayer de déterminer le système d'exploitation installé sur votre ordinateur, jusqu'à la version des mises à jour installées. Vous pouvez également connaître les applications installées. Ces attaques sont appelées "passive fingerprint". Les informations ainsi obtenues peuvent ensuite être utilisées par un attaquant pour exécuter des attaques plus complexes.
Les exemples ci-dessus prouvent que les concentrateurs ne sont pas adaptés aux réseaux locaux. Mais ne vous précipitez pas pour les jeter. Si votre réseau utilise des clusters de basculement (la tolérance aux pannes est expliquée en détail dans les articles sur les risques), vous pouvez utiliser des hubs pour connecter les nœuds de cluster en interne. Le fait est que les nœuds du cluster doivent constamment échanger des messages du type «je suis vivant» (I'm alive), ces messages sont transmis les uns aux autres par les nœuds. Étant donné que le concentrateur n'est pas une table CAM, mais envoie des paquets directement, alors en cas de défaillance de l'un des nœuds, le second nœud apprend plus rapidement la défaillance du second. Les commutateurs sont des tables CAM qui ont une certaine durée de vie, et si l'un des nœuds tombe en panne, le second ne le sait qu'après cette durée de vie. Cependant, nous parlerons plus en détail des commutateurs un peu plus tard. Pour les applications métier critiques telles que le courrier électronique, une base de données d'entreprise ou un site Web, une simple durée de quelques secondes est extrêmement nuisible, et pour une carrière d'administrateur système, tout simplement dangereuse. Donc, l'utilisation de concentrateurs dans les systèmes en cluster est tout à fait justifiée. Afin d'éviter ces menaces, vous devez utiliser les commutateurs, qui seront discutés dans les prochains articles.
Maintenant, rencontrer un hub dans un réseau d'entreprise n'est plus si facile. Partout, ils sont remplacés par des commutateurs, et c'est le meilleur moyen d'éviter les menaces décrites ci-dessus. Si vous avez des concentrateurs sur votre réseau et que vous ne pouvez pas les refuser pour le moment, vous devez bloquer par programme la possibilité pour les utilisateurs d'écouter le trafic. Le moyen le plus simple de le faire est de priver les utilisateurs des privilèges d'administration sur leurs postes de travail. Vous devez également empêcher la carte réseau de fonctionner en mode permettant de recevoir tout le trafic, et pas seulement celui destiné à cette machine.
