Chap2 Partie12 DHCP DNS
Chap2 Partie12 DHCP DNS
Chap2 Partie12 DHCP DNS
Chapitre 2
Les protocoles DHCP et DNS:
fonctionnement et sécurisation
Partie 1 :
DHCP (Dynamic Host Configuration Protocol)
Objectifs
Fonctionnement
Attaques
Sécurisation
Rôle d'un service DHCP
Rôle:
Distribue d’une façon dynamique des adresses IP à des clients pour une
durée déterminée.
Evite l’affectation manuelle à chaque hôte d’une adresse IP statique, ainsi
que tous les paramètres dont il a besoin pour utiliser le réseau
Contraintes:
Tous les nœuds critiques du réseau (serveur de nom, passerelle par défaut,
serveur de mail…etc) ont une adresse IP statique sinon problèmes de
gestion
Avantage de DHCP
Configuration fiable et simple des réseaux TCP/IP
Minimisation du risque de conflits d'adresses et des erreurs
typographiques
Les postes itinérants sont plus faciles à gérer (PC portable)
L’économie des adresses IP:
Exemple: Les FAI disposent d'un nombre d'adresses limité.
Avec DHCP, seules les machines connectées en ligne ont une adresse IP.
Contrôle centralisé de l'utilisation des adresses IP.
Le changement de la valeur d’un paramètre au niveau du
serveur DHCP (exemple: passerelle par défaut) est pris en
compte par tous les clients du serveur → changement facile
Dans le cas de l'adressage statique, il faudrait reconfigurer toutes les
machines manuellement .
Le protocole DHCP
Extension de BootP
BootP fournit une configuration statique/DHCP
attribue automatiquement les adresses IP de
l’ordinateur connecté à Internet
Contrairement aux messages BootP, les messages
DHCP peuvent inclure des données de configuration
réseau pour le client.
Se base sur les protocoles UDP et IP
Fonctionne en mode client/serveur
Le client demande une adresse IP (une configuration
automatique)
Le serveur dispose d’une pool d’adresses à louer
Le serveur fournit/loue l’adresse IP (configuration) pendant un
temps limité appelé bail (lease)
Attribution de configuration IP
Le client émet un message de demande de bail IP (DHCPDISCOVER)
envoyé par diffusion sur le réseau avec adresse IP source 0.0.0.0, adresse IP
destination 255.255.255.255 et son adresse MAC.
Attribution d’adresse IP
Les serveurs DHCP répondent en proposant une adresse IP avec une durée
de bail et l'adresse IP du serveur DHCP (DHCPOFFER)
Attribution d’adresse IP
Le client sélectionne la première adresse IP reçue (s'il y a plusieurs serveurs DHCP)
et envoie une demande d'utilisation de cette adresse au serveur DHCP
(DHCPREQUEST). Son message envoyé par diffusion comporte l'identification du
serveur sélectionné qui est informé que son offre a été retenue ; tous les autres
serveurs DHCP retirent leur offre et les adresses proposées redeviennent
disponibles.
Attribution d’adresse IP
Le serveur DHCP accuse réception de la demande et accorde l'adresse en
bail (DHCPACK), les autres serveurs retirent leur proposition.
L’automate de DHCP
Renouvellement de bail IP
Lorsqu'un client redémarre, il tente d'obtenir un bail pour la même adresse avec le
serveur DHCP d'origine, en émettant un DHCPREQUEST.
En cas de succès, le client continue à utiliser la même adresse IP si le bail n’a
pas encore expiré.
Les clients DHCP d'un serveur DHCP tentent de renouveler leur bail lorsqu'ils
ont atteint 50% de sa durée par un DHCPREQUEST. Si le serveur DHCP est
disponible il envoie un DHCPACK avec la nouvelle durée et éventuellement les
mises à jour des paramètres de configuration.
Si à 50% le bail n’a pas pu être renouvelé, le client tente de contacter l'ensemble
des serveurs DHCP (diffusion) lorsqu'il atteint 87,5% de son bail, avec un
DHCPREQUEST, les serveurs répondent soit par DHCPACK soit par
DHCPNACK (adresse inutilisable, étendue désactivée...).
Lorsque le bail expire ou qu'un message DHCPNACK est reçu le client doit cesser
d'utiliser l'adresse IP et demander un nouveau bail (retour au processus de
souscription). Lorsque le bail expire et que le client n'obtient pas d'autre adresse la
communication TCP/IP s'interrompt.
Remarque : Si la demande n'aboutit pas et que le bail n'a pas expiré, le client
continue à utiliser ses paramètres IP.
Echange de messages DHCP
Requêtes et messages DHCP
16
Les options du protocole
17
Quelques options utiles
1 Masque
3 Routeur
6 serveur du domaine
10 serveur d’impression
15 nom du domaine
28 adresse de diffusion
66 serveur TFTP
255 end
Inconvénients de DHCP
• Attaque:
•Contre mesures:
•Authentification
Faux serveurs DHCP
■ Vulnérabilité: Les requêtes DHCP ne sont pas authentifiées.
■ Attaque: L’attaquant prend le rôle d’un serveur DHCP.
L’attaquant répond avec un DHCPOFFER en donnant de fausses paramètres
IP à l’utilisateur
■ Fausses adresses IP et réseau
■ Faux routeur par défaut
L’adresse de l’attaquant si celui veut voir tout le trafic de la victime.
L’attaquant peut effectuer un déni de service sur le serveur légitime afin
qu’il n’interfère pas avec cette attaque.
Faux serveurs DHCP
■ Risque:
Attaque de déni de service
Attaque de l’homme du milieu
Divulgation d’informations sensibles (p.ex. mots de passe) qui ne devraient
pas être envoyées sur un port.
■ Contre mesures:
DHCP snooping : Défense contre le DHCP spoofing
■ Une fonction de sécurité implémentée dans certains commutateurs CISCO
■ Mettre en place une liste de ports sur le commutateur sur lequel se trouvent les
“trusted dhcp server”.
Limite l’impact de l’attaque
Partie 2 :
machine.domaine.xz
résolution résolution
inverse
192.127.10.2
■ Exemple:
■ Le nom www.yahoo.fr correspond à l’adresse
IP 192.95.93.20 de la machine www sur le
réseau yahoo.fr
Plan
■ Fonctionnalités du D N S
■ Résolutions de noms
■ Entête D N S
■ Analyse de datagrammes D N S
■ Attaques et sécurisation
DNS: résolution de noms
serveur serveur
Telnetd DNS
Terminologies
Zone
BD
Domaine eisti
=
Sous domaine
du domaine fr
L e D N S e s t s u b d i v i s é e n r é p e rt o i r e s a p p e lé s «
domaines ». Pouvant être très vastes, ces
d e r n i e r s s e s u b d i v i s e nt é g a l e m e n t e n a n n u a i re s
plus petits : les zones DNS.
Z o n e : contient les données propres à une partie de
l’espace « nom de domaine » sous l’autorité d’un serveur de
n o m s (SOA: start of a zone of authority ou sphere of authority).
Structure de l’espace des noms
.com – Commerciaux
.edu – Organismes d’éducation
.net – Organismes de gestion de réseaux
.org – Organismes non-commerciaux
.int – Organismes internationaux
.gov – Organismes gouvernementaux
.mil – Organismes militaires
.arpa – Transition ARPAnet-> Internet + traduction inverse
Sémantique des noms
Un serveur de noms
Enregistre les données propres à une partie de l’espace nom de
domaine dans une zone.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
identificateur de la requête (recopié dans la réponse)
qr opcode aa tc rd ra Z rcode
QDCOUNT nombre d’entrées dans la section question
ANCOUNT nombre d’entrées (RR) dans la section réponse
NCOUNT nombre d’entrées (NS) dans la section authorité
ARCOUNT nombre d’entrées (RR) dans la section additionnel
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Nom: Nom du domaine où se trouve le RR
Type (2octets): type de données utilisées dans le RR
C l a s s e ((2octets): famille de protocoles ou un protocole (IN:
Internet)
TTL(4octets): durée de vie des R R s (utilisé lorsque les R R sont en
cache)
lo n g u e u r: longueur des données suivantes
D o n n é e s : Données identifiant la ressource
Les RR (champs type)
53
Attaque DNS cache poisoning
■ Vulnérabilité:
Les messages DNS ne sont pas authentifiés.
L’entête DNS contient un numéro permettant d’associer une réponse à
une question (16 bits). Mais, ce numéro peut être deviné!
■ Attaque:
L’attaquant envoie de fausses réponses à un serveur DNS local.
Si le serveur ne valide pas les informations reçues et qu’il ne vérifie pas qu’elles
■
proviennent d’une source fiable, alors il stockera dans son cache ces
informations erronées.
Risque:
Redirection du trafic légitime:
■ Ce type d’attaque par DNS Cache Poisoning permet, par exemple, d’envoyer un
utilisateur vers un faux site dont le contenu peut servir à du phishing ou comme vecteur
de virus et autres applications malveillantes
■ ou aussi de forcer de naviguer vers un faux site Web ressemblant à un vrai, dans le but
de détourner du trafic ou de voler les informations d’identification des utilisateurs.
Attaque DNS cache poisoning
■ Le serveur DNS récursif (DNS resolver) communique avec
les serveurs de noms par le port 53 par défaut. Le seul dispositif de
sécurité implémenté était la génération d’un identifiant (ID) de 16
bits (compris entre 0 et 65 536) inclus dans l’échange entre les
serveurs DNS.
■ De cette manière, si la réponse reçue comprend un ID différent de
celui qui a été envoyé, DNS Resolver ignore cette réponse car
considérée comme illégitime.
■ Du fait du faible nombre de possibilités pour cet identifiant. Il a été
prouvé qu’il était possible qu’un attaquant insère dans le cache DNS,
l’IP de son propre serveur pour n’importe quel nom de domaine, en
envoyant au résolveur toutes les combinaisons possibles
d’identifiants dans un très court laps de temps. Sa réponse
malveillante est alors inscrite dans le cache, car reçue avant celle du
serveur du nom légitime, qui elle, est ignorée.
Attaque DNS cache poisoning
Attaque DNS cache poisoning
■ Sécurisation:
▪ Risque:
Attaque de déni de service
Attaque DDoS par amplification DNS
■ Sécurisation: