IP Spoofing

avertissements du
pare-feu, nous est inconnue. Toutes
nos adresses se situent dans
l’intervalle d’adresse privée officielle
192.168.x.x. Je sais que les
paquets « parodiés » proviennent
de nos nouveaux utilisateurs
parce qu’ils s’arrêtent dès que je
déconnecte le câble Ethernet qui
nous relie à  cet étage. Ces avertissements
sont-ils graves et comment
puis-je trouver la source des
mauvais paquets ?

Oui, votre problème est grave, mais je
ne sais pas à  quel degré. Les avertissements
du pare-feu sont peut-être dus
simplement à  un ordinateur mal configuré
ou à  un logiciel périmé. Ou bien
ils peuvent signaler la présence d’un virus
à  l’oeuvre dans votre réseau, essayant
de se répandre comme une épidémie
au travers d’Internet.
La première étape du diagnostic
consiste à  trouver les ordinateurs à 
l’origine du trafic. Les messages du
pare-feu contiennent l’adresse de
l’équipement Ethernet, aussi appelée
adresse MAC (Media Access Control),
des ordinateurs générant les paquets.
L’adresse MAC est un numéro de série
permanent unique gravé dans chaque
carte Ethernet. Vous pouvez trouver
les ordinateurs correspondant aux
adresses MAC dans les messages du
pare-feu en utilisant la commande
IPCONFIG/ALL dans Windows ou la
commande ipconfig dans Unix. Si vous
utilisez des commutateurs Ethernet
gérés, vous pouvez trouver les ports
auxquels les adresses MAC problématiques
sont connectées, en examinant
les tables d’adresses MAC des commutateurs.
Une fois les ordinateurs coupables
identifiés, déconnectez-les immédiatement
du réseau. Et ne les reconnectez
qu’après avoir identifié le problème et
l’avoir bien résolu. Comme bon point
de départ, vous pouvez effectuer un
balayage de virus sur les ordinateurs en
cause, de préférence en exécutant
l’utilitaire antivirus à  partir d’un CD.
Après avoir désinfecté les machines, appliquez toutes les
mises à  jour de sécurité appropriées sur le système d’exploitation.
Cela, afin que vos ordinateurs ne soient pas réinfectés.
Dans votre situation particulière, les adresses IP source
en question appartiennent à  AOL (vous pouvez le constater
vous-même en utilisant la fonction Whois à  www.arin.net). Il
se peut qu’un logiciel AOL fautif, peut-être AOL Instant
Messenger ou le navigateur AOL, génère ces paquets erronés.
Je vous conseille, pour des raisons de sécurité, de supprimer
tout logiciel AOL de tout système applicatif de gestion.
En effet, des défauts de logiciel AOL ont, par le passé,
contribué à  de nombreuses failles de sécurité sur les réseaux.
Les services d’AOL ne sont généralement pas indispensables
à  la bonne marche de l’entreprise et ne méritent pas que
vous mettiez votre réseau en danger.