×

Coupures Internet, Attaques sur le LAN

Infrastructures réseau -

Des lenteurs réseau suivies de coupures Internet dans une concession automobile subies quasi quotidiennement par plus de 25 utilisateurs sur le même site ont perduré pendant plusieurs mois. Pourquoi une résolution si tardive ?

Le contexte réseau

Une infrastructure câblée certifiée Cat6, 2 liens VDSL Orange sur 1 gateway ZyXEL USG, 1 smartswitch DLINK 48 ports gigabits, 1 switch POE Netgear sur lequel 3 AP Meraki servant au diagnostic-Téléchargement Software via WiFi des véhicules Atelier, 1 Mikrotik RB960 pour segmentation du WLAN ssid Corporate – Guest WiFi, pour la partie datas; 1 lien sdsl sur 1 Ubiquiti ERX connecté à 1 oxoconnect en TrunkSIP pour la partie VoIP.

Un prestataire en fourniture – maintenance du parc informatique (imprimantes & 26 PC windows10) protégés par endpoint Kaspersky.

Diagnostic délicat

Le dysfonctionnement remonté par les utilisateurs donne le coup d’envoi : « se produit toujours vers la même tranche horaire de l’après-midi… »

Défaut Opérateur ? Les connexions vdsl sont des laisons mutulalisées sans garantie de rétablissement.
Ainsi, sortir de l’équation la partie Opérateur est loin de la certitude absolue… du temps s’écoule et l’observation n’indique aucune surcharge particulière du réseau l’après-midi tout en reconnaissant des micro coupures. Un reset de l’équipement suvi du changement de port sur dslam effectué par Orange reste sans effet.

Défaut routeur ? Contôle firmware : la dernière mise à jour ne résout rien; Contôle hardware : le remplacement physique avec reconfiguration manuelle ne donne rien non plus.

Perturbations électriques au cours de l’après-midi ? Les tests de mesure sur site ne donnent rien.

Malware détecté ? – sur aucun PC après scan approfondi de l’AntiVirus…
Couches 7 et 3 , ainsi que la couche 1 ne sont pas en cause (d’où l’intérêt d’un câblage certifié),

Commutateur niv 2 : remplacement physique du switch DLINK par Mikrotik CRS354

Sonde réseau : la collecte Wireshark montre une quantité anormale d’erreurs RST impliquant des retransmissions intempestives de paquets. Et finalement des usurpations de mac adresses au niveau des trames ethernet, le pompon ! Tantôt l’adresse physique d’une imprimante, puis d’un PC, puis d’un autre…

Nature de l’attaque : ARP Poisoning
Au plus fort de l’attaque, le réseau est par-terre, rebooter le routeur ne donne que quelques minutes de répit avant un nouveau blocage empêchant toute télégestion; concrètement plus de TPE, l’arrêt brutal des téléchargements logiciels lancés sur les voitures rend le véhicule en panne (pour de bon !)
L’analyse des trames conduit à la source de plusieurs ports sur le switch sur lequel des règles de filtrage anti arp sont appliquées, redonnant toute la vie au réseau.

Conclusion

Autant le diagnostic a pris beaucoup de temps, autant la résolution a été rapide.
Est-que le dysfonctionnement a cessé ? – OUI
Est-que l’empoisonnement arp a cessé ? – NON
Pourquoi l’Antivirus n’a rien détecté ? – Un AV va comparer les signatures de chaque déclenchement d’application d’après sa base de données mise à jour par des laboratoires sur des attaques connues, et les NGAV (AV de dernière génération) ira plus loin en analysant les comportements « suspects » menant au blocage de « Faux positifs » La réponse : – parceque en dehors de ses capacités.

Comment contrer ce genre d’attaque ?

Un Malware placé intentionnellement par un utilisateur ou bien à son insu est Le responsable. L’éducation du personnel aux techniques de Phishing et aux réfexes à adopter lors de la réception des emails est un bon début mais ne sera pas suffisant.
Maîtriser la configuration des commutateurs réseau (switches) est essentielle. Certes l’identification des McAddr. spoofées (usurpées) associées aux ports du switch n’est pas si facile à moins d’avoir du matériel analyseur de LAN, mais permettra de contrer les attaques du Hacker

Comment se prémunir contre ce genre d’attaque ?

L’adoption de la technologie de Protection Automatisée par la Génération Perpétuelle de Cibles en Mouvement au niveau de la mémoire système du PC mettra un point final à tout type d’attaque connue ET inconnue. Le concept de cette nouvelle technologie préconisé par l’agence mondiale GARTNER repose sur un concept différent : au lieu de chercher à augmenter la sécurité des portes pour utiliser une image, la technologie consiste à projeter des fausses images de portes en mouvement perpétuel qui va rendre stérile toute action du Hacker contre ces Cibles Mouvantes, comme des leurres qui ne débouchent sur rien.
Vous êtes équipé d’un AntiVirus dernière génération NGAV renforcé par dernière technologie EDR/XDR
Après test de Pénétration System et vous verrez immédiatement si votre Sécurité existante pare les attaques d’intrusion puis le même test sera réalisé cette fois en implémentant notre agent AMTD sur le même PC.