Un beau faux positif (ou "Comment affoler le RSSI", ou "Méfiez-vous des Time-Capsule")
à cause du service "Bonjour Sleep Proxy", les Apple Time-Capsule sont susceptibles d'être vues sur un réseau comme "usurpant" l'adresse IP d'autres équipements, ce qui perturbe fortement les analyses de logs ( et le RSSI ;-) )
26 décembre 2016 : mail de Renater relayant la plainte d'un ayant droit signalant qu'un film récent est stocké sur un PC de l'Université et est partagé en peer-to-peer sur Internet (interdit !)
3 janvier 2017 : Analyse
L'adresse IP du PC "pirate" serait celle d'un poste de travail de la DSI (encore pire !)
Analyse des logs des outils de supervision réseau : en fait, l'adresse IP est associée à plusieurs MAC-Address (adresses Ethernet) correspondant à des matériels tous situés dans un même laboratoire (dont on taira le nom !)
Première conclusion : quelqu'un de ce laboratoire (dont on ne doit pas prononcer le nom) s'est "amusé" à voler des adresses IP, certainement dans l'urgence et en l'absence du gestionnaire de parc (mais un 23 décembre, cette absence est justifiée)
Réaction "à chaud"
Mail du RSSI au Directeur et aux gestionnaires de parc du laboratoire ; Subject = "Vol d'adresses IP au laboratoire XXX"
Réaction immédiate du Directeur : mail à tous les personnels du Labo, avec rappel du règlement ; mail très sévère (mais totalement justifié compte tenu des circonstances et des informations fournies par le RSSI)
Amélioration du diagnostique (semaine 1)
Les gestionnaires de parc du laboratoire indiquent que le matériel concerné est une "Apple Airport Time-Capsule" (un commutateur + serveur NAS + passerelle WiFi/Ethernet)
Deuxième conclusion invalidant la première : le "coupable" est un matériel qui se configure automatiquement et qui est susceptibles de prendre "au hasard" une adresse IP disponible (sans tenir compte, ni du du fait que des équipements puissent être parfois hors-tension, ni de la classe du réseau IP...)
Premier mea-culpa du RSSI : le coupable n'est pas une personne physique qui n'aurait pas respecté les règlements
Amélioration de l'amélioration du diagnostique (semaine 2)
Recherche de détails sur le fonctionnement des "Apple Airport Time-Capsule" : les Time-Capsule sont susceptibles d'être vues sur un réseau comme "usurpant" l'adresse IP d'autres équipements, à cause du service "Bonjour Sleep Proxy" qui s'exécute dessus (voir en.wikipedia.org/wiki/Bonjour_Sleep_Proxy et stuartcheshire.org/SleepProxy/index.html)
En effet, le service "Bonjour Sleep Proxy" répond aux requetes ARP à la place d'une machine Apple "endormie" en fournissant sa propre Mac-Address, ce qui évite de réveiller la machine "endormie" à tout bout de champ ; l'effet de bord est que les équipements de supervision présents sur le même réseau peuvent être trompés, et croire qu'une machine s'est attribuée plusieurs adresse IP, dont celle d'autre machines physiques (alors que dans ce cas ce n'est pas génant puisque les machine Apple "légitimes" sont en veille).
Ce service "Bonjour Sleep Proxy" ne se contente pas de répondre aux requêtes ARP à la place d'une machine Apple "endormie". En fait, il a surtout pour rôle de réveiller automatiquement cette machine Apple s'il voit passer une demande de service réseau qui la concerne (partage de fichier, partahe iTunes, partage d'imprimante, ssh, partage de bureau
Troisième conclusion invalidant la deuxième : le soi-disant coupable, matériel "auto-configurable" Time-Capsule ne risquait pas de provoquer de déni de service par "duplicate IP address".
Quatrième conclusion (n'invalidant rien du tout) : le RSSI a fait une crise de paranoïa. Néanmoins, le signalement de Renater reste d'actualité : il y a bien un poste de travail (et donc une personne physique) qui a fait du peer-to-peer via le réseau du Campus et qui partagé des fichiers "copyrightés" (interdit !). Mais ce poste de travail était certainement connecté en WiFi via la Time-Capsule.
Il reste quelques interrogations (fin semaine 2)
Pourquoi une des adresses IP "légalement usurpées" par la Time-Capsule (protocole "Bonjour Sleep Proxy") s'est elle retrouvée sur Internet (Renater) ?
Y-a-t-il moyen de configurer une Time-Capsule de façon à éviter ces confusions, sources de perte de temps important et de malentendus ?