UCSniff est un outil qui permet de faire des tests de sécurité dans un environnement de sécurité. Il fonctionne sous Linux et dispose principalement de deux modes qui permettent de faire des tests de vulnérabilité :

• Le mode monitor
• le mode « Man in the Middle »

Mode Monitor

Le mode monitor fonctionne exactement comme tout logiciel permettant de sniffer les paquets réseaux. Il écoute toutes les trames qui arrivent sur un port du switch et permet de créer un unique fichier de conversation en fonction des paquets RTP récupérés. Dans ce mode d’utilisation, il est cependant nécessaire de mettre en place un HUB qui permettra d’obtenir le traffic généré par les IP Phone ou de mettre un place un port monitor sur le switch concerné. Il est à noter que cette méthode n’a pas d’effets de bords possibles pour le système, celle-ci étant complètement passive.

Mode Man-In-The-Middle

L’attaque Man-In-The-Middle, ou « L’Homme du milieu » pour les plus francophones d’entre vous, consiste à intercaler une machine pirate entre deux machines qui s’échangent des flux et cela de la manière la plus transparente possible. Dans notre cas, il s’agit de faire de l’ARP poisoning (usurpation ARP).

Sur un réseau Ethernet, lorsqu’une machine cherche à joindre une autre machine via son adresse IP, elle utilise le protocole ARP qui va lui permettre de connaître l’adresse MAC de destination associée à l’adresse IP qu’elle cherche à joindre. Dans le cas d’un ARP poisoning, l’attaquant va générer des paquets de réponse ARP afin de communiquer à la machine source que l’adresse IP qu’elle cherche à joindre est associée à sa propre adresse MAC. La machine source va ensuite insérer cette association dans son cache pendant un certain temps afin d’accélérer les échanges ultérieurs.

Bien entendu, cette attaque n’est possible que lorsque l’attaquant et la machine source se situent dans le même domaine de broadcast.

UCSniff va donc permettre de réaliser de l’ARP poisoning sur le LAN afin d’intercepter de manière quasi-transparente les paquets RTP entre deux téléphones lors de l’initialisation d’une communication.

Il existe quelques subtilités d’utilisation concernant UCSniff, qui permet par exemple de sélectionner un mode Man-In-The-Middle pour intercepter toutes les communications émanant d’un utilisateur en particulier. Je vous invite à découvrir son utilisation directement sur la page d’UCSniff : http://ucsniff.sourceforge.net/usage.html

Enfin, l’outil UCSniff intègre quelques modules relativement intéressants :

• VLAN Hopping : Cela consiste à découvrir automatiquement le VLAN ID attribué à la ToIP dans un environnement Cisco et de réaliser le tag des trames Ethernet directement dans ce VLAN
• ARP Saver : Permet de restaurer les entrées ARP d’origine en réinjectant les paquets ARP avec les bonnes associations.

Finalement, il est à noter que la méthode du Man-In-The-Middle peut engendre du DoS et donc de l’interruption de service. Je suis donc tenté de recommander cet outil qu’à des fins de tests, et que cela soit fait uniquement par des personnes ayant l’accréditation de l’administrateur réseau.