Bonjour,
 
Récemment j'ai pu lire pas mal de tickets concernant des sujets sensibles, comme par exemple les attaques ARP (empoisonnement Cal et Abel, sniffing internet traffic etc.), tracking (attaques des ports/scan ports etc.).
 
Je vais donc faire court et simple sans rentrer dans la technicité de la chose, puisque je suis un adepte de "La Loi du Moindre Effort !"
 
Pour commencer, je vous propose de sécuriser votre "cache ARP" qui par analogie se comporte un peu à la manière d'un "répondeur de messagerie vocal". Lorsque vous rentrez chez vous après votre travail, vous avez l'habitude de le consulter. Souvent vous omettez de supprimer vos anciens messages vocaux ? N'est-ce pas !?! Le "cache ARP" des couches TCP/IP se comporte un peu de la même façon. Lorsqu'un intrus tente de le consulter, malheureusement, il lui répond tout azimut à votre insu!
 
Procédure pour forcer votre machine à ne plus répondre à personne, hormis vous et vos autres machines:
 
 1) Ouvrir le bloc notes Windows et taper ces deux lignes de commande en adaptant vos informations que j'ai souligné dans le script dessous, c'est à dire "reseau0" qui est le nom de votre carte réseau Ethernet que vous renommerez en un seul mot, "192.168.x.y" qui est votre passerelle par défaut et "MAC ADDRESS BOX" qui est l'adresse MAC de votre Box/routeur que vous trouverez étiquetée sur votre Box :
 
      netsh interface ip delete arpcache
      netsh interface ipv4 add neighbors reseau0   192.168.x.y   MAC ADDRESS BOX  
 
(PS: "reseau0" est un nom de carte réseau à titre d'exemple nommez la votre comme vous voulez, 192.168.x.y pourrait être chez vous=> 192.168.1.1 ou 192.168.0.1 à vérifier, MAC ADDRESS BOX est du style=> aa:bb:cc:dd:ee:ff ou 14:ef:56:f9:a5:99...)
 
2) Enregistrer le script ci-dessus sur votre disque dur système 'C' en écrivant son nom de fichier avec cette syntaxe-là GUILLEMETS INCLUS !!! :  "scriptantiempoisonnement.cmd"
 
3) Pour que cette procédure fonctionne correctement il faut ajouter 2 registres suivants avec une nouvelle clé de type "STRING" (chaîne)  et comme valeur le chemin du script en question, en l’occurrence celui-ci =>  c:\scriptantiempoisonnement.cmd :  
 
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce  
 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce  
 
4) Exécuter le script et c'est terminé! Enfin presque... Enregistrer le chemin du script au démarrage de(s) ordinateur(s)
 
 
Pour ceux et celle qui souhaiteraient sécuriser encore plus leur navigation pour ne pas être tracker (par exemple) et voir ses ports attaqués, il existe la solution du VPN CLIENT bien connue  
 
Si vous voulez que je vous rédige rapide un petit tutoriel simple pour réaliser un VPN CLIENT, faites-moi signe ici !  
 
Bonne journée à toutes et à tous!
 
NOTE IMPORTANTE: ce type de solution est relativement efficace pour un particulier ou une petite entreprise possédant un petit réseau local (2 à 10 machines), mais elle ne garantie pas à 100% une protection totale de son réseau.

la première commande supprime toutes les entrées dans le cache arp, la seconde ajoute une entrée, mais à quel moment tu dis à ta machine de ne plus répondre aux requêtes ARP ? là ta table ARP va simplement se reremplir, à mon sens.

Bonjour,
 
Le principe est relativement simpliste je le reconnais, mais ici il s'agit tout simplement de lui dire de répondre UNIQUEMENT aux machines voisines implémentées dans le LAN et possédant la même passerelle par défaut. Généralement, un Administrateur Réseau modifie cette passerelle par défaut afin qu'elle reste confidentielle. Résultat, toutes les requêtes ARP émises à partir d'une IP machine non associée à la passerelle par défaut du LAN SERONT IGNORÉES (aucune réponse ne leur sera transmise).  
 
Dans la pratique il est recommandé de souvent vérifier si son LAN et/ou Machines sont sniffés, par qui et comment !
 
Il est certain que sur un réseau d'entreprise équipé de plusieurs centaines de machines, cette procédure serait fastidieuse!
 
Est-ce que cela répond à ta question ?

non. Tu donnes deux commandes :
 
netsh interface ip delete arpcache
 
qui a pour effet (source) :

 
Tu as donc vidé ta table ARP. Elle va ensuite se reremplir rapidement au gré des réponses ARP reçues, c'est son comportement nomal.
 
ensuite :
netsh interface ipv4 add neighbors reseau0   192.168.x.y   MAC ADDRESS BOX
 
qui a pour effet (source) :
 

 
Tu as mis manuellement une entrée dans la table ARP. Dans la mesure où de toute façon la passerelle répond aux requêtes ARP cette entrée se serait remise dans la table automatiquement dès qu'on en aurait eu besoin. Pas très utile.
 
En l'état ton script ne fait pour ainsi dire rien, si je lis le technet correctement.

Je te cite: "Dans la mesure où de toute façon la passerelle répond aux requêtes ARP cette entrée se serait remise dans la table automatiquement dès qu'on en aurait eu besoin. Pas très utile"
 
Saurais-tu me préciser comment une passerelle par défaut pourrait-elle répondre aux attaques ARP dans la mesure où l'attaque en question ne connaît pas l'adresse MAC de la passerelle qui est de toute façon filtrée et soudée à une IP statique à travers le routeur/modem ? A moins que le cache ARP soit déjà infiltré par une attaque émise en interne où via le réseau Wifi je ne vois pas comment ?  
 
Personnellement je suis toujours connecté en filaire chez moi, donc pas de souci avec mon réseau Wifi
 
J'oubliai! Effectivement, j'ai rédigé rapidement ce ticket et j'ai omis de spécifier ces dernières informations dans ma procédure
 
Pour que cette procédure fonctionne correctement il faut ajouter 2 registres suivants avec une nouvelle clé de type "STRING" (chaîne)  et comme valeur le chemin du script en question, en l’occurrence celui-ci =>  c:\scriptantiempoisonnement.cmd :
 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 
 

Attention ,je n'ai jamais dit que cette solution était infaillible et protégerait à 100% une machine contre des attaques ARP Disons que cette procédure limite fortement les attaques ARP sur une machine. C'est pour cette raison qu'il faut souvent vérifier son réseau (adresse IP et MAC identiques) et voir s'il n'y a pas d'usurpation d'adresse MAC par exemple...

 
pour connaître l'adresse MAC d'une passerelle (ou de n'importe quelle machine) on fait une requête ARP et la machine concernée répond en donnant son adresse MAC, c'est justement à ça que sert ARP.
 

 
quel en serait l'effet d'après toi ?
 
 

 
Non elle ne limite rien du tout. Ton script n'a aucun effet. C'est dommage de répandre ce genre de chose fausse

La table ARP permet de fluidifier et d’accélérer les prochains échanges avec les émetteurs enregistrés en évitant de reproduire une requête ARP à chaque échange, voila comment fonctionne cette table ARP. Ne pas confondre les adresses MAC des paquets échangés avec les adresses MAC soudés aux IP machines ! Le fait de renouveler cette table ARP à chaque démarrage de la machine permet d'enregistrer le voisinage réseau (interne) et NON EXTERNE par le biais des IP et MAC de chaque machine, ceci afin de ne plus solliciter la passerelle.
 
Dommage que nous n'ayons pas la même perception de la chose
 
 
 

??? Aurais-je finalement réussi à être plus clair dans mon dernier posting !?!

Pas vraiment
 
En quoi vider le cache ARP empêche un ARP poisonning ?
 
Au pire, si par ce fait l'entrée ARP erronée est supprimée, il suffit à l'attaquant d'émettre à nouveau sa requête ARP forgée.

Pas évident d'expliquer simplement une idée quand on tente de la compliquer par la suite...  
 
Un des moyens efficaces connus consistant à sécuriser son cache ARP est d'ajouter (souder) des entrées statiques. Ainsi les passerelles par défaut et les serveurs sont renseignés de manière définitive dans le cache ARP. De telles entrées statiques n'expirent jamais et ne peuvent être mises à jour.
 
Je précise à nouveau que cette solution ne garantie pas à 100% la sécurité de votre réseau local, mais elle le protège considérablement Evidemment, si vous êtes du genre à laisser vos ports 1433 (Microsoft SQL Server) vos ports 3389 (Microsoft Terminal Services) ou 23 (Telnet) GRAND OUVERT, ne vous plaigniez pas d'être attaqués... ! Hi! Hi! Vous ne savez pas trop, allez faire un tour en tapant en invité de commande: firewall.cpl  et vérifiez vite!
 
Pour ceux et celles qui auraient des doutes sur cette procédure, je vous invite à faire un petit test simple et rapide en invité de commande (En tan qu'Administrateur), taper avant l'exécution de cette procédure la commande suivante:  arp -a  
 
Ensuite exécutez le script après avoir renseignés les deux registres spécifiés, et réitérez la commande:  arp -a
 
Attendez 3mn, et dites-moi ce qui a changé ?
 
PS: Je pars du principe que vous avez activé l'adressage MAC sur votre routeur/modem (Box). Vouloir sécuriser parfaitement un réseau local demande beaucoup d'effort, c'est clair, du genre segmenter son réseau de façon optimale et utiliser la cryptographie partout où c'est possible !

J'ai pas compris non plus l’intérêt.
Si tu fermes le port 3389 en interne, ça va devenir compliquer d'administrer les serveurs.

OK t'ajoutes en dur la concordance IP/MAC sur ton PC.
Et si l'attaquant spoofe ton adresse MAC ?

Donc ton astuce est franchement légère et indiquer qu'elle protège "considérablement" est erroné.
Qui plus est, c'est applicable au niveau d'une petite structure.
Au niveau des entreprises, on va plutôt avoir des matériels (switchs) qui intègrent des mécanismes de défense contre ce type d'attaque.

Or au niveau SOHO ou TPE, quel est le risque de se faire attaquer de la sorte ? Zéro.
Ce type d'utilisateur a nettement plus à craindre du virus/malware ou de trous réseaux béants avec MDP anémiques que d'un ARP poisoning.
Leur plus grand risque parmi tous étant ... le manque de sauvegarde !

Après je ne comprends pas ton assertion sur l'activation de l'@MAC sur le routeur !?
Ni le rapport avec les ports SQL Server, RDS ou Telnet !? (y'en a qui installent un serveur Telnet sur leur Windows à la maison !? )

Restons sur le sujet.

 
Bon ! Je vais tenter de rester zen car j'ai l'impression que certains ont l'art et la manière de me titiller ou bien de vraiment compliquer le "système"!  
 
J'ai écrit "GRAND OUVERT", je n'ai jamais dit de fermer le port 3389 comme un imbécile ! Hi! Hi! Je répondrais donc comme un "imbécile" à la question, si tu fermes le port 3389, port très connue et très visité par certains visiteurs pour x ou y raison, alors il te suffit simplement de changer de port d'écoute par un port plus EXOTIQUE du style 36969 ! Ok! LOL!
 
 

 
Oui, tu as raison de dire de rester dans le sujet car honnêtement tu es hors sujet ! J'ai juste souhaité soulever quelques parenthèses sur le sujet, et certains s'y jettent tête baissée Surtout quand tu parles de spoofing !  Pour faire une MITM, il faut être sur l'intranet de la victime si tu veux utiliser un ARP spoofing!
 
Encore une fois je n'ai jamais dit que cette procédure était applicable à un réseau d'entreprise, sérieux!!  
 
Soyons réalistes. Un particulier équipé d'une Box n'aura que très peu de risque de se faire spoofer ! D'ailleurs si tu es capable de m'expliquer comment un hacker pourrait s'y prendre, BONJOUR LE TEMPS ET MOYENS A METTRE EN OEUVRE POUR UN CITOYEN LAMBDA ET POUR QUEL OBJECTIF AU FINAL ?? !!
 
HALLUCINANT QUE PERSONNE N'AIT RÉPONDU A MA QUESTION PRÉCÉDENTE !??! A CROIRE QUE VOUS ETES FOCALISES SUR UN NŒUD! (humour)

 
Je ne vois pas en quoi je suis hors sujet à indiquer que l'enregistrement persistante d'une @MAC dans la table ARP d'un matériel ne résiste pas à un spoof d' @MAC et ressemble plus à un bricolage peu efficient qu'à une solution miracle.
Je suis en plein dans le sujet que tu abordes.
Tu dois confondre hors sujet avec "ne m'emmerdez pas à remettre en cause ce que j'écris".
 
Donc oui ce n'est pas une procédure à appliquer pour une entreprise et comme tu l'indiques également ce n'est pas réaliste pour un particulier.
Mais alors au final, c'est pour qui !?

Un particulier qui possède un tout petit réseau local ou un particulier qui a la passion de tester ce genre de procédé sur sa machine. C'est toujours intéressant et enrichissant d'apprendre toujours plus... Donc si j'ai bien compris ton point de vue, la solution que j'ai postée ici ne fonctionne pas ! Ok! Désolé mais je ne suis pas venu ici pour donner des cours d'informatique et réseau  
 
Je recopie un extrait de ma réponse sur le sujet: " Un des moyens efficaces connus consistant à sécuriser son cache ARP est d'ajouter (souder) des entrées statiques. Ainsi les passerelles par défaut et les serveurs sont renseignés de manière définitive dans le cache ARP. De telles entrées statiques n'expirent jamais et ne peuvent être mises à jour. "
 
Si tu n'es pas d'accord avec cet extrait de réponse, stp argumente et réfléchi bien avant de me répondre Merci pour tes réponses malgré ma rédaction un peu "agacée"...

Ben j'argumente
 
il suffit de prendre l'@MAC de ton routeur pour contrecarrer ton entrée persistante dans le cache ARP du PC.
Ta "solution" est effectivement connue mais pour être NON "efficace".
Ce n'est donc pas "La solution" comme indiqué dans le sujet.
 
Faudrait juste le reconnaître et comprendre que ton ego n'en prend pas un coup

Si tu es en lan, il n'y aucune raison d'avoir des visiteurs sur le port 3389 vu que son accès est bloqué de l'extérieur.
Il n'y a pas de raison de changer le numéro de ce ports.
 
Si tu as besoin de ports ouverts en local : ssh, sql... tu ne vas pas les bloquer par un pare-feu.

Bonsoir nnwldx,
 
Enfin une réponse synthétique et cohérente à laquelle je répondrai que dans le cas où un "Administrateur" (particulier ou autre) souhaite changer le port 3389, il lui suffira non pas de le bloquer via le firewall qui est une action stupide (ne le prends pas pour toi! ) mais de modifier le port en question dans le bon registre (par exemple pour un trafic entrant "Services World Wide Web" )  pour ensuite rediriger le port (exemple) 3389 à travers le routeur vers un port "exotique" que j'ai pris pour exemple en l'occurrence le 36969 ! OK ?

Si tu es en Wan, tu n'ouvriras pas le port 3389, tu feras passer la connexion par VPN sir besoin.
En LAN, tu laisses ouvert tous les ports qui sont nécessaires au fonctionnement de ton système et de ton administration.
Pas besoin de modifier les ports par défaut.
Au pire si tu besoin d'un accès RDP en wan, tu fais de la translation de port.

Mais à quoi sert de changer le 3389 par un autre port si c'est pour ouvrir et rediriger ce même 3389 sur le WAN !?
 
Autant ne pas le changer et définir en port d'entrée au niveau du routeur un autre port, non ?
 
Mais bien sûr la bonne solution sera de ne pas faire de redirection de ports mais plutôt de passer par un VPN ou alors une gateway RDS.
Mais ça tu allais y venir
 
En toute honnêteté, je pense que tu devrais t'y coller à la sécu réseau avant de venir donner des précos.

 
BINGO!! Que ça fait du bien d'écouter du bon trafic !! (compliment ) Oui, je suis tout à fait d'accord avec toi nnwldx ! Je te répondrai que tout dépend de ce que tu veux faire Par exemple, si tu as besoin de te connecter à distance de ta machine chez toi en RDP directement vers ta machine de bureau (travail), alors il vaut mieux sécuriser en effectuant une translation de port via le routeur de ton entreprise Si tu veux aller sur internet de chez toi pour faire du streaming vidéo sauvage et dur (par exemple! ) alors il vaut mieux passer par une connexion VPN (cryptée ou pas) comme je l'avais indiqué dans mon 1er ticket! LoL!
 
Rassure-toi je n'ai jamais dit qu'il fallait modifier tous les ports de la planète ! Hi! Hi!
 
Enfin tout ça pour dire que nous sommes sur la même longueur d'onde !

 
Je pense que tu devrais mieux lire avant de répondre Pour ta gouverne j'avais abordé la solution VPN dans mon 1er ticket ! C'est loupé pour ton trolling!

 
Je veux bien reconnaître que tu extrapoles volontairement ta rédaction dans le but de me ridiculiser Puisque tu sembles avoir donné la réponse parfaite à travers ton argumentation boiteuse, ES-TU CAPABLE DE ME DIRE COMMENT VAS-TU FAIRE POUR RÉCUPÉRER L'ADRESSE MAC DE MON ROUTEUR (BOX) CHEZ MOI !!??!!  
 
Laisse-moi deviner! Tu as juste besoin de temps pour sniffer mon IP PUBLIQUE ?
 
Concernant quelques ordinateurs (5 /10) de bureau dans un réseau local d'une entreprise de toute petite taille ou bien sur son PC (domicile), c'est juste une sécurité supplémentaire QUI FONCTIONNE ! J'avais déjà expliqué que ce type de solution est trop fastidieuse et irréaliste au sein d'une entreprise généralement

 
 
Avant ou après ton edit ?

 
Et comment le type qui va forger une requête ARP pour attaquer ton PC la récupère cette @MAC ?
Et ben je la récupère de la même façon. CQFD.
C'est le principe même de l'attaque in the middle. T'es déjà dans le LAN ! A partir de là, quelle est la difficulté à récupérer l'@MAC de la patte LAN du routeur ?
 
Et non ce n'est pas une sécurité supplémentaire. Tes smileys, majuscules et couleurs à tout va n'y font rien.
C'est juste une mauvaise idée qui est inutile pour les particuliers et pour les entreprises.
Tes affirmations comme quoi c'est la solution ultime sont erronées et induisent les pauvres personnes qui y croient en erreur sur leur niveau de protection.
 
Et mon but n'est pas de te ridiculiser même si tu es un bon client pour.
Arrête juste de poster des absurdités, va bosser un peu et reviens donner des cours en sachant de quoi tu causes.

Bon je constate que la discussion devient stérile à la lecture d'autant d'arguments qui n'ont ni queue ni tête. Maintenant on me parle de requête ARP pour attaquer mon PC de bureau à travers le LAN de mon entreprise !  Je rêve ! On croirait avoir à faire à un "génie" qui a tout compris et à toutes les réponses. Les attaques ARP dont tu parles sont à la base fortement bloquées par plusieurs techniques et protocoles connus, comme par exemple un DNS différents de celui de son FAI, ou encore la mise en oeuvre d'IPSec, SSL, SSH... VPNs, etc. Ton affirmation, je cite: "Et comment le type qui va forger une requête ARP pour attaquer ton PC la récupère cette @MAC ?  Et ben je la récupère de la même façon. CQFD. " Je me demande encore si je dois me donner la peine d'y répondre. Faisons ça en une ligne rapide et sur le ton de l'humour. Il suffit de faire la même chose à l'envers ! Un système de contre mesure consistant à repositionner la bonne association MAC/IP sur une machine venant de se faire empoisonner. Ce repositionnement s'effectuerait par le même processus que celui que tu m'as régurgité Une bonne politique des pratiques de sécurisation des stations de travail communiquée aux salariés fait aussi partie des contres mesures.  LoL!  
 
Désolé de te décevoir encore une fois. Tes arguments ne sont pas pertinents car ils ne s'appuient que sur des éléments d'informations qui sont très difficilement quantifiable et qualifiable, voir infondés... Des attaques ARP comme tu aimes les nommer , existent naturellement au sein d'un réseau local d'entreprise souvent causées par de mauvaises manipulations en interne ou erreurs/plantages réseau etc. Lorsque tu parles à ce niveau de technicité il faut déjà poser un environnement et le spécifier. Une entreprise par exemple qui gère de gros volumes d'échanges d'informations confidentielles transitera par un protocole X25 ( Transpac par exemple) au lieu de s'emmerder avec un FAI classique. Tu ne vas quand même pas pousser le bouchon jusqu'à dire que les abonnés Transpac subissent des attaques ARP!!??!!  
 
Arrêtons le massacre stp

X25  

je suis d'accord arrêtons le massacre et arrête d'insister. Tu vois bien que tu es dans le dénis. Il me semble que quand plusieurs personnes te disent que tu te trompe tu ranges ton égo et ton script qui ne sert a rien et tu passes à autre chose.

Nous sommes plusieurs pro sur le forum et même si tu penses que tu es le "mozart" du réseau, tu ressembles surtout aux personnes que je croise souvent qui pensent révolutionner le monde parce qu'elles ont pondu un script.

bref bravo tu sais faire un script windows... mais apparement tu as encore du boulot pour savoir quoi faire de ton "don".

Je suis d'accord aussi, arrêtons Inutile d'insister face à une personne qui parle au nom de tout le monde ! Monsieur qui se dit "pro"...? Quand tu dis que mon script ne sert à rien on a tout compris car tous les ingénieurs réseau et sécurité que je connais dans mon entourage me confirment que soit tu es un mec qui croit être un "pro" ou soit un mec qui a besoin de montrer qu'il est le meilleur ici dans ce tout petit "site"  
 
Je maintiens ce que j'ai rédigé. Ma solution est connue, c'est clair. Elle fonctionne et est adaptée pour de toute petite structure qui évidemment ont toute latitude pour faire évoluer leur réseau en fonction de leur besoin. Comme je l'ai souvent évoqué dans mes commentaires, cette solution ne protégera pas à 100% le réseau local d'un particulier ou d'une toute petite entreprise face à des attaques de type ARP malveillantes, mais reste relativement efficace. Les autres solutions plus adaptées ont déjà été abordé dans ce sujet. Il en existe de multitudes, et je ne n'ai pas la prétention de les expliquer toutes.

tu reproches aux autres de ne pas bien lire tes réponses mais il semble que tu ne saches pas lire non plus. J'ai dit qu'il y avait des pro mais que j'en suis un. Je n'ai pas ton ego ni celui de tes soi disants "collegues".

Maintenant je parle pour les autres car les autres ont deja donné leur avis et tu n'en tiens pas compte. Donc oui arretons la j'ai pour ma part du boulot dans une vraie entreprise avec un vrai réseau qui fonctionne sans script en mousse.

PS: L'ecriture bleu c'est un peu too much si tu faisais comme tout le monde en ecrivant normalement on te prendrais peut etre un poil plus au serieux.

Olala, y'a à manger et à boire la dedans.

Tu parles réseau comme je parle javanais.

Reprenons depuis le début :

1. tu indiques deux commandes DOS dont l'une vide le cache ARP du PC, l'autre inscrit de manière persistante (jusqu'au prochain reboot) la correspondance IP/@MAC de ton routeur.
L'objectif étant de contrer une requête ARP forgée par un tiers qui indiquerait à ton PC de considérer son IP comme le routeur.
C'est le principe de l'ARP poisoning.
Evidemment à ce stade, le tiers est sur le réseau local. Une requête ARP ne transite pas via un routeur NAT depuis le WAN et ton PC est capable de considérer comme passerelle un matériel sur son réseau local, pas en dehors.

2. je t'indique que cette technique est connue (c'est à dire que des sites en parlent) mais indiquée comme lourde et peu efficiente.
En effet, un tiers apte à forger une requête ARP n'aura pas de mal à spoofer une @MAC et ainsi tenter malgré tout de se faire passer pour le matériel voulu.

3. J'indique aussi qu'il ne présente aucun intérêt pour des particuliers de se protéger de ce type d'attaque. Il existe d'autres risques bien plus réels à considérer.
Pour les entreprises, on peut contrer ou limiter ce type d'attaque avec des solutions plus professionnelles (fonctions sur switchs, vlan, IDS).

4. On part dans le n'importe quoi.