Allsafe Cybersecurity — Amélioration de la Sécurité Informatique

[ Contexte ]

Allsafe Cybersecurity

Entreprise spécialisée dans les solutions de cybersécurité pour les professionnels (banques, assurances, grande distribution). Sous la direction de M. Gideon GODDARD.

Infrastructure : ~100 postes de travail + serveurs virtualisés en datacenter local + cloud hybride (PRA).

⚠️ Menace détectée

Suite à des incidents internes, un pentest réalisé par M. ALDERSON Elliot (approche ethical hacking "gray hat") a révélé des attaques Man-In-The-Middle (MITM) non détectées par l'équipe IT.

Vecteur d'attaque : ARP Spoofing Risques : reniflage de paquets · piratage de session · écoute VoIP · manipulation des données

MITM ARP Spoofing Non détecté Critique

[ Solutions ]

Sécurité Réseau des Laptops

⚙ Outil principal : XArp

XArp surveille en temps réel la table ARP des postes Windows et déclenche des alertes immédiates en cas de modification suspecte (ARP Spoofing). Déployé sur les 100 laptops via GPO Active Directory.

NetCut Defender — blocage actif des attaques ARP

Activation HTTPS forcé via proxy

VPN obligatoire hors réseau entreprise

Chiffrement BitLocker sur tous les disques

xarp-monitor.sh

> xarp --monitor --alert-email admin@allsafe.fr [+] Surveillance ARP active [+] Interface: eth0 [+] Mode: high sensitivity [!] ARP Spoofing détecté — 192.168.1.105 [!] MAC conflit: 00:1a:2b:3c:4d:5e [+] Alerte envoyée à admin@allsafe.fr

Sécurité des Serveurs

⚙ Colasoft Capsa · ARPWatch

Colasoft Capsa assure la surveillance IDS/IPS du trafic réseau serveur. ARPWatch journalise tous les changements ARP et alerte en cas d'activité suspecte. Combinés à des règles iptables anti-spoofing.

ARP statiques pour les hôtes critiques

OpenVPN site-à-site chiffré

Segmentation réseau par VLAN

Filtrage rpfilter via iptables

arpwatch.log

$ arpwatch -i eth0 -f /var/lib/arpwatch/arp.dat [INFO] Monitoring ARP table changes... [ALERT] New station: 192.168.1.200 (aa:bb:cc:dd:ee:ff) [ALERT] Changed ethernet address: 192.168.1.1

iptables-antispoofing.sh

iptables -A INPUT -m rpfilter --invert -j DROP iptables -A FORWARD -m rpfilter --invert -j DROP [+] Règles anti-spoofing appliquées

Sécurité des Commutateurs CISCO

⚙ Cisco IOS · DAI · Port Security

La Dynamic ARP Inspection (DAI) valide chaque paquet ARP contre la table DHCP Snooping. Seuls les paquets légitimes sont autorisés. Port Security limite le nombre de MAC par port pour bloquer les attaques physiques.

DAI sur tous les VLANs actifs

DHCP Snooping — binding table sécurisée

Port Security max 2 adresses MAC

Violation mode : restrict + logging

cisco-2960-config.ios

Switch(config)# ip arp inspection vlan 10,20 Switch(config-if)# ip arp inspection trust %DAI-6-PACKET_LOGGED: ARP packet on trusted port Switch(config-if)# switchport port-security max 2 Switch(config-if)# switchport port-security violation restrict Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 10,20 %DHCP_SNOOPING-6: Binding table updated