Qu’est-ce que dsniff ?

en question, affecté
à  l’une de nos stations de travail Linux, a déclaré
qu’il ne faisait rien d’autre qu’utiliser un logiciel
normal installé sur cette machine par nos soins.
Mais nous avons découvert qu’il exécutait un programme
appelé dsniff. Quel est ce programme et
pourrait-il être responsable de notre problème
d’adresses en double ?

R : Trouver un programme tel que dsniff entre les mains d’un
stagiaire informaticien n’est pas banal. C’est un peu comme
si l’on trouvait un chalumeau entre les mains de la personne
chargée d’épousseter le coffre-fort du bureau. Il n’y a aucune
bonne raison pour qu’un stagiaire utilise dsniff à  votre insu.
Et il y en a beaucoup de mauvaises.
Dsniff est un programme d’écoute du réseau conçu pour
transgresser la sécurité intégrée dans des réseaux Ethernet
commutés. De tels réseaux acheminent normalement les paquets
au seul port auquel chaque paquet est destiné, plutôt
que de diffuser les paquets à  tous les ports comme le ferait
un hub Ethernet.
Pour activer ce truc, dsniff contrefait l’adresse MAC de la
passerelle Ethernet locale afin que tous les paquets soient dirigés
vers la machine dsniff. Là  ils pourront être analysés pour
extraire les mots de passe, le texte e-mail et autres données
sensibles avant d’être transmis à  la passerelle. Souvent, il n’y
a pas de signes visibles de la présence de dsniff sur votre
réseau, si ce n’est des messages d’erreur d’adresse d’adresse IP en
double occasionnels comme ceux dont vous parlez.
Vous devez déconnecter immédiatement le serveur en
question, l’effacer complètement et réinstaller le système
d’exploitation. Mais, au préalable, sauvegardez tout élément
d’enquête contenant des indices susceptibles de déterminer
si votre stagiaire est l’instigateur de l’interception des infos
dsniff.
Vous devez être toujours attentif à  la présence de
programmes tels que dsniff, en exécutant un système de détection
d’intrusion (IDS, intrusion detection system) configuré
pour détecter des changements d’adresse MAC suspects.
Vous pouvez aussi bloquer carrément dsniff en codant
en dur l’adresse MAC de votre routeur dans son port de commutation
Ethernet afin qu’aucun autre port ne puisse usurper
son adresse.
Une question grave subsiste tout de même. Votre stagiaire
est-il réellement coupable ou s’est-il simplement
trouvé sur le mauvais ordinateur au mauvais moment ? Il est
possible que votre boîte Linux ait été utilisée à  distance par
l’infiltrateur. Si l’hôte en question a accès à  Internet, il a pu
être infecté par un cheval de Troie téléchargé via FTP ou un
navigateur Web. Si la machine a des tunnels pare-feu non sécurisés
configurés à  partir de l’extérieur – par exemple, un
tunnel autorisant l’accès HTTP à  partir d’Internet – un intrus
aurait pu y pénétrer sans difficulté.
Voici quelques liens conduisant à  des informations sur
dsniff. En particulier, les articles IBM traitant de la détection
du monitoring par dsniff vous donneront des indications
pour verrouiller votre réseau. Le site de support dsniff officiel
se trouve à  http:// www.monkey.org/~dugsong/dsniff/.
Les white papers d’IBM sur la détection de dsniff, « On
the Lockout for dsniff » (première et deuxième parties), se
trouvent à  http://www-106.ibm.com/developerworks/library/
s-sniff.html et http://www-106.ibm.com /developerworks/
library/s-sniff2.html.