Rapport de Veille Technologique N 8

Transcription

1 Thème : Édition : Mars - 15/03/99 INTERNE EXTERNE APOGEE Communications Exemplaire de présentation Diffusion Validation REDACTION Rédigé par : Bertrand VELLE Le : 15/03/99 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailinglists, newsgroup, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associés à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement, ou indirectement, une attaque sur l équipement de consultation, voire faire encourir un risque sur le système d information associé. Site susceptible d héberger des informations ou des programmes dont l utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur.

2 AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES PRODUITS AUDIT HE ALTHCHECK RELAYAGE DE FLUX DELEGATE V TECHNOLOGIES INFORMATION ET LEGISLATION INFORMATION OUTILS DE SECURITE BASE DE REFERENCE LEGISLATION NORMES ET PROTOCOLES PUBLICATIONS RFC IETF COMMENTAIRES RFC RFC ICMP SECURITY FAILURES RFC DNS SECURITY OPERATIONAL CONSIDERATIONS IETF DRAFT-IETF-RADIUS-RADIUS-V2-00.TXT - RADIUS V DRAFT-IETF-GRIP-ISP-EXPECTATIONS-00.TXT - SECURITY EXPECTATIONS FOR INTERNET SERVICE PROVIDERS ALERTES ET ATTAQUES AA LL EE RR TT EE SS GUIDE DE LECTURE DES AVIS SYNTHESE DES AVIS PUBLIES AVIS DE REFERENCE (CIAC) AVIS GENERAUX CERT USA L0PHT NAI ROOTSHELL X-FORCE AVIS SPECIFIQUES CISCO HP IBM MICROSOFT SILICON GRAPHICS SUN ATTAQUES OUTILS NETBUS 2.0 PRO ANALYSE CODES MALICIEUX : CALIGULA / PICTURE HACKDLL C108/BVEL Mars - 3/15/1999 Page - 2

3 Le mot de la «Rédaction» Deux phénomènes méritent d être soulignés qui mettent en évidence une évolution notable des stratégies d attaque mises au point par les hackers : = L apparition d une nouvelle génération de codes malicieux virus et chevaux de troie ayant pour objectif la collecte d informations sensibles puis la transmission de celles-ci vers des sites externes non contrôlés : l analyse de ces informations facilite l identification des cibles et des vulnérabilités susceptibles d être exploitées ultérieurement. = La mise en évidence par un département de la Navy de l existence d attaques redoutablement efficaces car coordonnées au niveau mondial : les traces analysées à ce jour laissent à penser que ces attaques peuvent être la conséquence de tests préliminaires, prémisses d un attaque de plus grande ampleur. Parallèlement, une nette accélération des travaux engagés dans le domaine de la sécurité par les organisations de standardisation de l Internet a pu être constatée : = Le Draft de la révision 2 du protocole Radius vient d être publié. = 7 RFC ont été publiés traitant du problème de la sécurisation du service de nommage, le DNS. Il est à noter qu une nouvelle version de bind (l implémentation la plus réputée du DNS) est annoncée pour Avril. Cette version intègre un premier ensemble d extensions de sécurité Pour tout renseignement complémentaire, éventuelles remarques, ou suggestions, vous pouvez nous contacter par mail à l adresse de courrier électronique suivante : veille-sec@apogee-com.fr 99.C108/BVEL Mars - 3/15/1999 Page - 3

4 1. PRODUIITS ET TECHNOLOGIIES 1.1. PRODU IITS Audit HEE AALLTTHHCHECK = Objet La société SecureIt spécialisée dans le développement d outils d administration de la sécurité, notamment en environnement CheckPoint, vient d annoncer la disponibilité du logiciel HealthCHECK. = Description La qualification de la configuration d un dispositif Pare-Feu est une opération longue, fastidieuse. Le produit HealthCHECK assure, en autre chose, l automatisation de cette tâche sur les Pare-Feux CheckPoint fonctionnant sous Windows/NT. Les caractéristiques de ce produit sont les suivantes : = Fonctionnement en mode agent/console, l agent est installé sur les pare-feux à surveiller, une console centrale assurant la visualisation des informations remontées par le biais d une connexion sécurisée, = Acquisition des informations au travers de l interface OMI (Object Management Interface) définie par CheckPoint, Les fonctionnalités offertes sont : = Analyse des Services : = Analyse des Protocoles : = Gestion des Utilisateurs : = Système de fichier : = Horodatage des logs : = Version et Patch : = Politique de sécurité : = Performance Système : = Performance Pare-Feu : Cette fonction propose une analyse détaillée des services actifs sur le Pare-Feu en mettant évidence les risques associés à chaque service (Service nécessaire, Service utile, Service dangeureux), Cette fonction recherche les protocoles déclarés mais inutiles dans le contexte d utilisation du Pare-Feu, Les droits d accès associés à chacun des utilisateurs déclarés sont analysés. Une tentative de cassage des mots de passe est réalisée, Une analyse de la configuration des espaces disques est effectuée et comparée aux recommandations de configuration optimales. Une analyse de la précision de l horodatage des journaux est réalisée à partir d une source de temps externe fiable. Cette fonction vérifie que les versions de logiciels employées sont correctes. Une référence contenant les informations concernant les dernières révisions et correctifs applicables est maintenue sur le site de l éditeur. Ces informations peuvent être régulièrement téléchargées. Les règles actives sur le pare-feu sont acquises par l intermédiaire de l interface OMI. Une analyse poussée est effectuée afin de mettre en évidence les risques induits par une erreur de déclaration ou l utilisation de règles incohérentes. Les performances de la configuration sont analysées du point de vue du système d exploitation (Taux d utilisation de la CPU, de la mémoire, nombre de paquets reçus, émis, ) La capacité de traitement du Pare-Feu est étudiée sur la base du nombre de paquets acceptés ou rejetés, du nombre de connexions gérées en simultané, et du nombre de paquets transitant à travers le pare-feu. 99.C108/BVEL Mars - 3/15/1999 Page - 4

5 L interface de supervision se présente sous la forme d une boite de dialogue dont une copie d écran est ici présentée. Les pré-requis d installation sont les suivants : Console : Agent : Windows 9x ou NT 16 Mo de RAM Windows/NT 1Mo d espace disque libre Produit HealthCheck : Relayage de flux DEELLEEGAATTEE V = Objet DeleGate est un produit librement distribué et assurant le relayage applicatif des principaux protocoles IP. Il autorise ainsi la constitution de passerelles applicatives performantes et parfaitement adaptées aux environnements multiprotocoles. = Description Conçu à l origine pour assurer le relayage du protocole Gopher, le produit Delegate est désormais susceptible d assurer une fonction de passerelle universelle à même de traiter, de contrôler, de filtrer et de convertir les flux de données qui lui sont adressés. Ce produit supporte les protocoles FTP, Gopher, Http, Nntp, Pop, Smtp, Telnet, Wais, X, Ldap, Lpr, Cu-Seeme, Socks, Icp ainsi que Ssl et fonctionne en environnement Unix, Windows9x et NT, OS/2. Les sources étant disponibles, il peut être modifié ou adapté aux besoins spécifiques. DeleGate intègre les fonctionnalités, non exclusives, suivantes : = Proxy transparent Dans ce mode, l utilisateur s adresse au proxy et sélectionne le serveur cible en précisant les conditions d établissement de la communication, celles-ci étant directement transmises dans le flux de donnée utilisateur et interprétées par DeleGate. Les protocoles suivants sont supportés dans ce mode : - Http : sous la forme «protocol://host :port/» 99.C108/BVEL Mars - 3/15/1999 Page - 5

6 - Ftp : sous la forme «user@host :port» - Pop : sous la forme «user@host :port» - Telnet : sous la forme «host port» - Gopher : sous la forme «/-_-gopher://host :port/selecteur» - Ldap : sous la forme «directory@host :port» - Socks : via le protocole Socks V4 = Point d accès aux services Ici, l utilisateur s adresse au proxy qui établi automatique une connexion vers un site pré-déterminé par l administrateur. Ce mode supporte les protocoles Nntp, Smtp, Wais, X11, Lpr, Cu-Seeme, Icp, TcpRelay (relayage transparent du protocole TCP vers une destination fixée), UdpRelay (relayage transparent du protocole UDP vers une destination fixée). = Cache Dans ce mode, DeleGate assure un stockage temporaire des données dans leur format natif. Ces données peuvent alors être partagées et redistribuées, DeleGate jouant alors le rôle de serveur intermédiaire. Ce mode supporte les protocoles Http (commande GET) avec ICP v2, Ftp (commandes LIST et RETR), Nntp (commandes HELP, LIST, ARTICLE, HEAD, BODY, XHDR, XOVER) et Gopher. = Connexions partagées Une connexion établie par un utilisateur anonyme avec un serveur externe peut être partagées entre plusieurs clients. Ce mode supporte les protocoles Nntp, Ftp, Pop au travers de la passerelle Pop/Http. = Conversion de données DeleGate intègre plusieurs filtres de conversion de format qui peuvent être appliqués sur tout ou partie des messages relayés. Les filtres suivant sont disponibles : - Codes japonais JIS, SJIS et EUC (Données en format texte) - Encodage/Décodage MIME (Messages Nntp, Smtp, Pop) - Encodage/Décodage/Vérification MIME/PGP (Messages Nntp, Smtp, Pop) - Filtres programmables externes. = = = Conversion de protocole applicatif Un client accède à un serveur avec un protocole différent de celui supporté par le serveur, DeleGate assurant la conversion de protocole. Les protocoles suivants sont supportés dans ce mode : - Client Http vers Serveurs Ftp, Nntp, Pop, Wais, Gopher, - Client Nntp vers Serveurs Pop, - Client Pop vers Serveurs Nntp, - Client Smtp vers Serveurs Smtp, Nntp - Client FTP vers Serveurs Lpr - Client DNS vers Serveurs NIS ou Fichier Hosts local - DNS client to NIS server or local hosts file Passerelle SSL DeleGate peut assurer le relayage SSL et certaines conversions de protocoles d authentification. Les conversions suivantes sont supportés dans ce mode : - Http vers Https, - Https vers Http, - POP vers APOP, - Relayage transparent (Tunneling) entre Clients et Serveurs SSL - Client Nntp vers Serveurs Pop, - Client Pop vers Serveurs Nntp, - Client Smtp vers Serveurs Smtp, Nntp - Client FTP vers Serveurs Lpr - Client DNS vers Serveurs NIS ou Fichier Hosts local - DNS client to NIS server or local hosts file Contrôle d accès L utilisation des services de relayage offerts par DeleGate peut être contrôlée au moyen de règles portant sur 3 attributs : Adresse et Protocole du serveur de destination, Adresse du client. D autres contrôles peuvent être activés : - Nom et numéro du protocole, - Nom ou adresse IP du serveur, - Nom ou adresse IP du client, - Vérification du nom du client par triple résolution DNS, 99.C108/BVEL Mars - 3/15/1999 Page - 6

7 - Identification par le protocole Ident, - Identifiant / Mot de passe (Authentification Proxy sur Http par exemple) - Identifiant présenté sur le serveur cible (Ftp anonyme par exemple) - Validité de l adresse Mail (Ftp anonyme par exemple) - Accès en lecture seulement (Ftp et Nntp) - Méthodes autorisées (Http) = = = Journalisation L utilisation des services de relayage offerts par DeleGate peut être journalisée. Lancement, Résolution de nom, Contrôle du rooutage - DeleGate peut être lancé en tant que Démon sous UNIX et Service sous NT, - Les mécanismes de résolution de nom sont totalement configurables, - Un contrôle fin du routage peut être réalisé : routage IP, Relayage direct, via SSL, via Socks 4 ou 5, via un serveur VSAP. Plates-formes DeleGate a été porté sur les plates-formes suivantes : - UNIX : AIX, HP-UX, IRIX, NeXT, Solaris, BSD/OS, FreeBSD, Linux, NetBsd, OpenBsd, - Windows : Systèmes Win32 (9x, NT) - Autre : OS/2 Produit DeleGate TECHNOLOG IIES Aucune nouveauté n a été identifiée dans ce domaine 99.C108/BVEL Mars - 3/15/1999 Page - 7

8 2. INFORMATIION ET LEGIISLATIION 2.1. IINFORMATIION Outils de BAASSEE DDEE REEFFEERREENNCCEE = Objet La Marine Américaine vient de publier une mise à jour de sa base de référence des produits de sécurité et de détection d intrusion. = Description Cette base est disponible au format Access 95. Une interface de navigation facilite notablement la recherche et le tri des informations disponibles. Un glossaire très complet des termes usités en sécurité est proposé. Cette base contient les références et caractéristiques de plus de 110 produits d origine diverse : produits commerciaux, produits de diffusion contrôlée, systèmes de recherche, projets, Base de donnée : LEG IISLATIION Aucune nouveauté n a été identifiée dans ce domaine 99.C108/BVEL Mars - 3/15/1999 Page - 8

9 3. NORMES ET PROTOCOLES 3.1. PUBL IICATIIONS RFC Durant la période du 15 Février au 15 Mars, 19 RFC ont été publiés dont 12 ayant trait au domaine de la sécurité. = Liste des RFC publiés DNS Thème Numéro Date Status Titre 2530 Non publié à ce jour 2531 Non publié à ce jour 2532 Non publié à ce jour 2533 Non publié à ce jour 2534 Non publié à ce jour 2542 Non publié à ce jour 2543 Non publié à ce jour /99 PStd Domain Name System Security Extensions /99 PStd DSA KEYs and SIGs in the Domain Name System (DNS) /99 PStd RSA/MD5 KEYs and SIGs in the Domain Name System (DNS) /99 PStd Storing Certificates in the Domain Name System (DNS /99 PStd Storage of Diffie-Hellman Keys in the Domain Name System (DNS) /99 Exp Detached Domain Name System (DNS) Information /99 Exp DNS Security Operational Considerations EMSD /99 Info Neda's Efficient Mail Submission and Delivery (EMSD) Protocol V 1.3 ICMP /99 Exp ICMP Security Failures Messages IPSEC /99 Exp Photuris: Session-Key Management Protocol /99 Exp Photuris: Extended Schemes and Attributes /99 Info Internet X509 PKI Certificate Policy and Certification Practices Framework /99 Info Internet X509 PKI Representation of Key Exchange Algorithm (KEA) Keys X.509 PKI Certificates IPV /99 PStd Reserved IPv6 Subnet Anycast Addresses /99 PStd Transmission of IPv6 over IPv4 Domains without Explicit Tunnels NET /99 Info A Framework for Inter-Domain Route Aggregation /99 Info Benchmarking Methodology for Network Interconnect Devices NHRP /99 Exp NHRP with Mobile NHCs TCP /99 Info Known TCP Implementation Problems Les RFC traitant de la sécurité sont imprimés en caractères gras. Les abréviations suivantes sont utilisées : PStd : Proposition de standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale Archives indexées des RFC: Index français: Index US: IETF Ftp://ftp.oleane.com/pub/doc/rfc/rfc-index.tar.gz ftp://ftp.isi.edu/in-notes/rfc-index.txt Durant la période du 15 Février au 15 Mars, 338 DRAFTS ont été publiés, ou mis à jour, dont 51 ayant trait au domaine de la sécurité. 99.C108/BVEL Mars - 3/15/1999 Page - 9

10 = Nouveaux Drafts traitant de la Thème Nom du draft Date Titre COPS Draft-macrae-policy-cops-vpn-00.txt 01/03 Using COPS for VPN Connectivity Draft-sgai-cops-provisioning-00.txt 02/03 COPS Usage for Policy Provisioning CRYPT Draft-adams-cast txt 26/02 The CAST-256 Encryption Algorithm Draft-ietf-pkix-dhpop-00.txt 01/03 Diffie-Hellman Proof-of-Possession Algorithms IOTP Draft-ietf-trade-iotp-v1.0-dsig-00.txt 01/03 Digital Signatures for the Internet Open Trading Protocol IPSEC Draft-ietf-ipsec-policy-framework-00.txt 03/03 Policy Framework for IP Security KERB Draft-ietf-cat-kerb-dh-key-exchange-00.txt 03/03 Diffie-Hellman Key Exchange for Kerberos V5 LIPKEY Draft-ietf-cat-lipkey-00.txt 03/03 LIPKEY - A Low Infrastructure Public Key Mechanism Using SPKM PIM Draft-ietf-pim-simplekmp-00.txt 22/02 Simple Key Management Protocol for PIM PPP Draft-ietf-pppext-mppe-keys-00.txt 12/02 MPPE Key Derivation Radius Draft-ietf-radius-accounting-v2-00.txt 04/03 RADIUS Accounting Draft-ietf-radius-radius-v2-00.txt 04/03 Remote Authentication Dial In User Service (RADIUS) ROAM Draft-ietf-roamops-cert-00.txt 12/02 Certificate-Based roaming SEC Draft-blight-gen-poli-arch-00.txt 03/03 Generalized Policy Framework Architecture Draft-ietf-grip-isp-expectations-00.txt 04/03 Security Expectations for Internet Service Providers Draft-irtf-smug-sec-mcast-arch-00.txt 25/02 An Architecture for Secure Internet Multicast SSH Draft-ietf-secsh-auth-kbdinteract-00.txt 03/03 Generic Message Exchange Authentication For SSH Les documents à lire en priorité sont mentionnés en caractères gras = Mise à jour de Drafts traitant de la Thème Nom du draft Date Titre COPS draft-ietf-rap-cops-06.txt 25/02 The COPS (Common Open Policy Service) Protocol draft-ietf-rap-cops-rsvp-04.txt 02/03 COPS usage for RSVP CRYPTO draft-hamilton-content-md5-origin-01.txt 02/03 The Content-MD5-Origin: header DIA draft-calhoun-diameter-authent-05.txt 02/03 DIAMETER User Authentication Extensions DNS draft-hiroshi-dom-hash-01.txt 25/02 Digest Values for DOM (DOMHASH) draft-ietf-dnsind-tsig-08.txt 03/03 Secret Key Transaction Signatures for DNS (TSIG) draft-ietf-dnssec-simple-update-01.txt 26/02 Simple Secure Domain Name System (DNS) Dynamic Update EDI draft-ietf-ediint-as2-04.txt 04/03 HTTP Transport for Secure EDI GSS draft-ietf-cat-gssv2-cbind-09.txt 12/02 Generic Security Service API Version 2 : C-bindings IPSEC draft-ietf-ipsec-auth-hmac-ripemd txt 22/02 The Use of HMAC-RIPEMD within ESP and AH draft-ietf-ipsec-gkmframework-01.txt 19/02 A Framework for Group Key Management for Multicast Security draft-shima-ipsec-isakmp-cke-type-01.txt 01/03 ISAKMP Certificate Key Exchange Type Specification MIME draft-ietf-smime-certdist-03.txt 01/03 Certificate Distribution Specification draft-ietf-smime-ess-11.txt 03/03 Enhanced Security Services for S/MIME NAT draft-ietf-nat-security-01.txt 17/02 Security for IP Network Address Translator (NAT) Domains PGP draft-moscaritolo-mione-pgpticket-02.txt 24/02 PGPticket PPP draft-ietf-pppext-l2tp-14.txt 26/02 L2TP draft-ietf-pppext-l2tp-ds-03.txt 02/03 L2TP IP Differential Services Extension draft-ietf-pppext-l2tp-mpls-02.txt 02/03 L2TP Multi-Protocol Label Switching Extension draft-ietf-pppext-pptp-08.txt 12/02 Point-to-Point Tunneling Protocol (PPTP) Radius draft-ietf-radius-acc-clientmib-04.txt 12/02 RADIUS Accounting Client MIB draft-ietf-radius-acc-servmib-04.txt 12/02 RADIUS Accounting Server MIB draft-ietf-radius-auth-clientmib-04.txt 16/02 RADIUS Authentication Client MIB draft-ietf-radius-auth-servmib-04.txt 12/02 RADIUS Authentication Server MIB draft-ietf-radius-ext-03.txt 04/03 RADIUS Extensions RPS draft-ietf-rps-auth-02.txt,.ps 24/02 Routing Policy System Security SASL draft-ietf-ldapext-x509-sasl-01.txt 22/02 X.509 Authentication SASL Mechanism draft-leach-digest-sasl-02.txt 04/03 Using Digest Authentication as a SASL Mechanism SEC draft-ietf-grip-user-01.txt 26/02 Security Expectations for Internet Service Provider Consumers SOCKS draft-ietf-aft-socks-pro-v5-04.txt 23/02 SOCKS Protocol Version 5 SSH draft-ietf-secsh-architecture-03.txt 22/02 SSH Protocol Architecture draft-ietf-secsh-connect-05.txt 22/02 SSH Connection Protocol draft-ietf-secsh-transport-05.txt 22/02 SSH Transport Layer Protocol draft-ietf-secsh-userauth-05.txt 22/02 SSH Authentication Protocol Les documents à lire en priorité sont mentionnés en caractères gras = Drafts traitant de domaines connexes à la 99.C108/BVEL Mars - 3/15/1999 Page - 10

11 Thème Nom du draft Date Titre DNS draft-ietf-dnsind-verify-00.txt 17/02 Verifying Resource Records Without Knowing Their Contents draft-ietf-dnsind-dddd-00.txt 02/03 Deferred Dynamic Domain Name System (DNS) Delete Operations draft-koch-dns-soa-values-00.txt 03/03 Recommendations for DNS SOA Values draft-ietf-dnsind-test-tlds-13.txt 25/02 Reserved Top Level DNS Names draft-ietf-dnsind-local-compression-04.txt 01/03 A New Scheme for the Compression of Domain Names draft-ietf-dnsind-apl-rr-01.txt 01/03 A DNS RR Type for Lists of IP Address Prefixes (APL RR) FTP draft-ietf-ftpext-mlst-06.txt 22/02 Extensions to FTP GSA draft-irtf-smug-gsadef-00.txt 02/03 Group Security Association (GSA) Definition for IP Multicast LDAP draft-armijo-ldap-dirsync-00.txt 25/02 Microsoft LDAP Control for Directory Synchronization NAT draft-ietf-nat-protocol-complications-00.txt 26/02 Protocol Complications with the IP Network Address Translator draft-ietf-nat-rnat-00.txt 02/03 IP Relocation through twice Network Address Translators (RAT) draft-iab-nat-implications-03.txt 04/03 Architectural Implications of NAT draft-ietf-ngtrans-natpt-05.txt 22/02 Network Address Translation - Protocol Translation (NAT-PT] ROAM draft-ietf-roamops-auth-10.txt 12/02 Proxy Chaining and Policy Implementation in Roaming SEC draft-strassner-policy-terms-01.txt 01/03 Terminology for describing network policy and services draft-ietf-policy-core-schema-02.txt 04/03 Policy Framework Core Information Model SMTP draft-ietf-drums-smtpupd-10.txt 01/03 Simple Mail Transfer Protocol VPN draft-berkowitz-vpn-tax-00.txt 01/03 Requirements Taxonomy for Virtual Private Networks draft-ietf-ion-vpn-id-00.txt 26/02 Virtual Private Networks Identifier Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts. Archives indexées des documents IETF: Index de l IETF : 3.2. COMMENTA IIRES RFC ftp://ietf.org/internet-drafts/1id-index.txt RFFC ICMP I SEECCUURRI IITTYY FFAAI IILLUURREESS Ce RFC expérimental spécifie les nouveaux messages d erreurs devant être retournés par le protocole ICMP en cas d erreur lors de la création d une association sécurisée (SA). Ces extensions permettent de gérer la phase d établissement définie par le protocole IPSEC. Un nouveau type de message est défini : Security Failure (Code 40) Les codes d erreurs suivants ont ainsi été spécifiés : - 0 Bad SPI Le pointeur des paramètres de sécurité (SPI) est invalide - 1 Authentication failed L authenticité ou l intégrité des paramètres de sécurité n a pu être prouvée - 2 Decompression failed Les paramètres de sécurité n ont pu être décompressés - 3 Decryption failed Les paramètres de sécurité n ont pu être déchiffrés - 4 Need Authentication Les paramètres d authentification requis ne sont pas présents dans le datagramme reçu - 5 Need Autorization Les paramètres d autorisation requis ne sont pas présents dans le datagramme reçu RFFC DNS SEECCUURRI IITTYY OPPEERRAATTI IIOONNAALL COONNSSI IIDDEERRAATTI IIOONNSS Ce RFC récapitule les précautions élémentaires concernant la gestion des clefs et des signatures cryptographiques utilisées dans une architecture s appuyant sur les nouvelles extensions de sécurité du DNS. Sont abordés les points suivants : 1- Les contraintes associées à la génération des clefs privées et publiques : cette opération doit être réalisée dans les meilleures conditions de sécurité afin de limiter l exposition et les risques de compromission de ces éléments sensibles, 2- La politique de renouvellement des clefs : il est souhaitable de renouveler les clefs maîtres tous les ans et les clefs de transaction tous les mois, 3- Le choix de la longueur des clefs RSA et DSS : un compromis entre la robustesse et la performance doit être effectué. L auteur du RFC considère qu une taille de clef de 704 bits offre un bon compromis. Cette taille peut être augmentée sur les serveurs racines. 99.C108/BVEL Mars - 3/15/1999 Page - 11

12 4- Le problème de la protection des clefs privées : dans la mesure du possible, les clefs privées d authentification d une zone doivent être conservées sur un support amovible qui ne sera utilisé qu au moment de la génération ou de la mise à jour de la zone. Les clefs privées associées à un utilisateur ou à un système doivent, elles, toujours être accessibles en ligne car utilisées dans le traitement des transactions DNS sécurisées. 5- Le problème de l intégrité des zones racines et de la clef maître : la fiabilité du DNS repose sur la solidité et l intégrité des racines de l arborescence : le plus grand soin doit être apporté dans la protection de ces zones et de la protection de la clef racine IETF DRRAAFFTT- -I IIEETTFF- -RRAADDI IIUUSS- -RRAADDI IIUUSS- -VV TTXXTT - RAADDI IIUUSS V22 Ce draft spécifie la seconde version du protocole Radius, protocole chargé de transporter les informations d authentification, d autorisation et de configuration entre un serveur d accès distant et un serveur d authentification. Cette version, qui n apporte aucune évolution fondamentale, a pour principal objet d éliminer les imprécisions de la version précédente (RFC2138) et d étendre la portée de certains attributs. Sont notamment précisés : - La gestion des caractères 8 bits dans les chaînes, - L affection des attributs 128 à 255 jusqu à présent réservés, - Le format détaillé de certains attributs, - L existence d un nouveau type de service : Call Check, - L ajout d un nouveau protocole de trame: X75, - L ajout d un nouveau mode de compression : Stac-LZS, - La prise en compte de nouveaux mode de connexion directe : X25-PAD, X25-T3POS, TCP Clear Quiet - L extension du codage du type de port d accès : PIAFS, HDLC, X25, X75, G3 Fax, SDSL, ADSL-CAP, ADSL-DMT, IDSL - L intégration d exemples comportant l encodage des paquets DRRAAFFTT- -I IIEETTFF- -GGRRI IIPP- -I IISSPP- -EEXXPPEECCTTAATTI IIOONNSS TTXXTT - SEECCUURRI IITTYY EXXPPEECCTTAATTI IIOONNSS FFOORR INNTTEERRNNEETT I SEERRVVI IICCEE PRROOVVI IIDDEERRSS Ce Draft fait suite au draft-ietf-grip-user-00.txt, présenté le mois dernier et qui exposait les motivations et attentes des clients vis à vis des services offerts par les fournisseurs d accès Internet (ISP ou FAI). Une liste non exhaustive des services de sécurité devant être traités pour assurer un service de qualité est proposée : 1-Les ISP doivent maintenir un accès messagerie et WEB dédié aux problèmes de sécurité, 2- Les ISP doivent définir une politique de partages des informations liées aux incidents liés à la sécurité, 3- Les ISP doivent échanger ces informations sur un canal protégé, 4- Les ISP doivent notifier et informer activement leurs clients des incidents de sécurité, 5- Les ISP doivent clairement définir les règles d utilisation des services offerts, 6- Ces règles doivent être portées à la connaissance de tous, 7- Les sanctions applicables en cas de manquement doivent être définies, 8- La politique applicables à la protection des données transportées doit être annoncée, 9- Les ISP doivent être responsables de la gestion de l infrastructure réseau, 10- Les ISP doivent être responsables des informations maintenues dans les annuaires et bases administratives de l Internet, 11- Les ISP doivent être responsables de la politique de routage et garantir l intégrité des déclarations, 12- Les ISP doivent activer les protections anti-spoofing sur les interfaces avec leur client afin de protéger ceux-ci, 13- Les ISP doivent activer les protections anti-spoofing sur les interfaces externes, 14- Les ISP doivent filtrer et contrôler les annonces de routage, 15- Les ISP ne doivent pas autoriser le relayage des broadcast IP, 16- Les ISP doivent gérer les équipements et systèmes d information de manière sécurisée, 17- Aucun système ne doit être directement connecté à un réseau de transit, 18- Les ISP ne doivent pas autoriser le raccordement de systèmes de messagerie autorisant le relayage du courrier. 99.C108/BVEL Mars - 3/15/1999 Page - 12

13 4. ALERTES ET ATTAQUES 4.1. ALERTES Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht NA (SNI) BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell ISS CIAC IBM SGI SUN NetBSD OpenBSD Xfree86 Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell NA (SNI) NetBSD Cisco HP Netscape l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC 99.C108/BVEL Mars - 3/15/1999 Page - 13

14 Synthèse des Avis Publiés Durant la période du 15 Février au 15 Mars, 27 AVIS ont été publiés. Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période Cumul 1999 Cumul 1998 Organisme CERT-CS CERT-CA CERT-VB CIAC Constructeurs COM Cisco Digital HP IBM Microsoft SGI Sun Unix libres Linux FreeBSD NetBSD OpenBSD Xfree Autres L0pht RootShell SNI / NAI X-Force Cumul 1998 SGI 34% Sun 16% Cumul 1999 Sun 33% SGI 11% Cisco 6% Digital 3% HP 17% IBM 5% Microsoft 19% CiscoDigital 6% 6% HP 6% IBM 0% Microsoft 38% 99.C108/BVEL Mars - 3/15/1999 Page - 14

15 Avis de Référence (CIAC) Les avis du CIAC sont présentés indépendamment des autres avis. En effet, ces avis offrent une synthèse exhaustive et pertinente des avis émis par différents organismes ou vendeurs. Ils indiquent notamment le niveau de risque et précisent explicitement les références des avis originaux. Ils forment en conséquence une base référence offrant au lecteur une présentation synthétique et efficace des principales alertes survenues durant la période courante. 6 Avis ont été publiés = Avis publiés I-091 = Réf. NAI 029 CERT CA PX Vulnérabilité activement exploitée 19/02/99 Stack Overflow in ToolTalk RPC Service Le CIAC a transmis une mise à jour de l avis I-91, publié en novembre 1998, concernant les mesures correctrices applicables aux systèmes Silicon Graphics. La vulnérabilité découverte fin 98 concerne le service tooltalk présent sur la majorité des systèmes UNIX. Cette vulnérabilité est exploitable sur tout système UNIX utilisant le système graphique CDE. Les systèmes IRIX 5.3, 6.2, 6.3, 6.4, 6.5, 6.5.1, sont vulnérables. J-028 = Réf. SUN #0183, #0184,#0185 Obtention des privilèges de root Cette vulnérabilité peut être exploitée localement, ou à distance, pour acquérir les privilèges de root. 17/02/99 Sun Solaris Vulnerabilities (sdtcm_convert, man/catman, CDE) Le CIAC retransmet les 3 avis de sécurité émis par SUN en févier. Sun annonce avoir identifié une vulnérabilités dans les programmes sdtcdm_convert (conversion des formats du porgramme calendar), man et catman (gestion des manuels en lignes) et CDE (Environnement graphique). Ces vulnérabilités sont exploitables sur : Sdtcm_convert - Solaris 7, 7_x86, 2.6, 2.6_x86, 2.5.1, 2.5.1_x86, 2.5, 2.5_x86, 2.4, 2.4_x86 Man/Catman - Solaris 7, 7_x86, 2.6, 2.6_x86, 2.5.1, 2.5.1_x86, 2.5, 2.5_x86, 2.4, 2.4_x86 - SunOS et 4.1.3_UI CDE - Solaris 2.6, 2.6_x86, 2.5.1, 2.5.1_x86, 2.5, 2.5_x86, 2.4 et 2.4_x86 J-29 = Réf. CA Vulnérabilités activement exploitées Ces vulnérabilités peuvent être exploitées localement pour acquérir les privilèges de root, ou détruire tout fichier présent sur le système. 17/02/99 Buffer Overflows in Various FTP Servers Le CIAC retransmet l avis de sécurité émis par le CERT en févier. Ces vulnérabilités sont exploitables sur toute plate-forme utilisant les produits suivants : - Wuarchive ftpd version academ[BETA-18] Cette version est accessible dans le domaine publique. Elle est couramment utilisée sur les sites académiques. Elle est livrée configurée active avec la plupart des UNIX libres et particulièrement sur les Linux RedHat et Slackware. - ProFTPD version 1.2 Opre1 Cette version commerciale est réputée pour ses performances et sa stabilité. Elle est utilisée par de nombreux grands fournisseurs d accès Internet. Risques: Ces vulnérabilités ont pour origine un écrasement de la pile d appel de l une des fonctions, autorisant ainsi le passage d une commande quelconque sur le système 99.C108/BVEL Mars - 3/15/1999 Page - 15

16 J-30 = Réf. MS = Risque Faible : conditions contraignantes d exploitation hébergeant le service ftp. Le système peut ainsi être totalement compromis. 17/02/99 Microsoft BackOffice Vulnerability Le CIAC retransmet l avis de sécurité émis par Microsoft en févier. Microsoft annonce l existence d une vulnérabilité potentielle résidant dans le programme d installation de BackOffice Serveur 4.0. Ce programme requiert la fourniture d un nom de compte, et du mot de passe associé, utilisé pour lancer certains services. Ces informations sont sauvegardées dans le fichier temporaire reboot.ini qui n est pas effacé à la fin de la procédure d installation. Cette vulnérabilité est exploitable sur toute plate-forme sur laquelle BackOffice V4.0 a été installé. J-31 = Réf. X-Force Obtention des privilèges de root Le fichier reboot.ini peut être lu par tout utilisateur autorisé à se connecter directement sur le système. La lecture de ce fichier révèle les comptes, et mots de passe, associés aux services SQL, Exchange et MTS. Ces comptes privilégiés peuvent être utilisés pour modifier, ou accéder, à la configuration de ces services. 16/02/99 Debian Linux "Super" package Buffer Overflow Le CIAC retransmet l avis de sécurité émis par X-Force en févier. Une vulnérabilité de type écrasement de buffer a été découverte dans l utilitaire d administration super. Cette vulnérabilité est exploitable sur toute plate-forme LINUX livrée avec l utilitaire super. J-32 = Réf. X-Force Techniques couramment utilisées Cette vulnérabilité peut être exploitée pour acquérir les privilèges de root. 26/02/99 Windows Backdoors Update II: NetBus 2.0Pro, Caligula, Picture.exe Une nouvelle version du cheval de troie NetBus est désormais disponible et annoncée en tant qu outil d administration à distance. Parallèlement, deux Chevaux de troie circulent actuellement : Caligula et Picture.exe. Ces chevaux de troie s installent sur tout système Windows 9x et NT. Ces outils autorisent la prise de contrôle à distance du système sur lequel le module serveur est installé. Un fond de couleur est utilisé pour mettre en évidence les avis majeurs, c-à-d concernant des constituants couramment utilisés. CIAC Information bulletin 99.C108/BVEL Mars - 3/15/1999 Page - 16

17 Avis Généraux Les avis généraux, dont une synthèse est présentée dans cette section, sont émis par différents groupes indépendants ou organismes de surveillance. Les avis déjà annoncés dans la section précédente sont repris avec un meilleur niveau de détail CEERRTT USA Aucun nouvel avis n a été publié = Dernier Avis publié CA /02/99 Ftp Buffer-Overflows CERT Sommaires : CERT Alertes : CERT Avis CERT Australien : ftp://ftp.cert.org/pub/cert_summaries ftp://ftp.cert.org/pub/cert_advisories ftp://ftp.cert.org/pub/cert_bulletins ftp://ftp.auscert.org.au/pub/auscert LL00PPHHTT 1 Avis a été publié = Avis publiés advisories/dll_advisory.txt = Réf. MS Technique et outils d exploitation publiés par l0pht 18/02/99 Know_Dll Une vulnérabilité a été détectée par le groupe l0pht à la suite de l analyse du mécanisme de chargement des librairies dynamiques systèmes et des conditions de maintien de celles-ci en cache. Un programme de démonstration a été publié dont les sources sont disponibles sur le site l0pht. Avis l0pht: NAII Aucun nouvel Avis n a été publié = Derniers avis publiés Cette vulnérabilité est exploitable sur les plates-formes Windows/NT 3.5, 3.51 et 4.0. Cette vulnérabilité permet d augmenter les privilèges de l utilisateur, et de conduire à la compromission du système. NAI-30 17/11/98 Windows NT SNMP Security Permissions Avis NAI : ROOOOTTSHHEELLLL Aucun nouvel Avis n a été publié 99.C108/BVEL Mars - 3/15/1999 Page - 17

18 = Dernier avis publié Security Bulletin #25 1/11/98 mpg k buffer overflow with exploit Avis RootShell: X-FFOORRCCEE 2 Avis ont été publiés = Avis publiés XForce Super = Réf. CIAC J-31 Obtention des privilèges de root 15/02/99 Debian Linux "Super" package Buffer Overflow X-Force annonce avoir découvert une vulnérabilité dans l outil Super livré avec les distributions LINUX. Cet outil est utilisé pour autoriser certains utilisateurs à exécuter des commandes avec les privilèges root. Cet outil offre une alternative aux scripts et programmes SUID. Cette vulnérabilité est exploitable sur toute plate-forme LINUX livrée avec l utilitaire super. Les versions à sont vulnérables. XForce NB 2 = Réf. X-Force Techniques couramment utilisées Cette vulnérabilité peut être exploitée localement pour acquérir les privilèges de root. Parades : L utilisation de la version est recommandée. La version courante peut être obtenue au moyen de la commande : super v 19/02/99 Windows Backdoors Update II: NetBus 2.0Pro, Caligula, Picture.exe NetBus 2.0 Pro : Cette version intègre de nouvelles fonctionnalités et autorise l ajout de modules complémentaires. Elle utilise le port TCP/20034 par défaut mais celui-ci peut facilement être reconfiguré. Caligula : Il s agit d un nouveau macro virus Word 97 ayant pour particularité de collecter les clefs privées PGP présentes sur le système. Ces clefs sont ensuite transmises au moyen d une connexion ftp sur le site Picture.exe : Ce cheval de troie est régulièrement transmis attaché aux courriers circulant sur l Internet. Il collecte diverses informations : adresses de mail, fichiers ayant une extension spécifique, puis transmet ces informations par mail vers différentes adresses dont hongfax@public.szonline.net, chinafax@263.net. Ces chevaux de troie s installent sur tout système Windows 9x et NT. Ces outils autorisent la prise de contrôle à distance du système sur lequel le module serveur est installé. Un fond de couleur est utilisé pour mettre en évidence les avis majeurs, c-à-d concernant des constituants couramment utilisés. Avis X-Force : Mise à jour de super : ftp://ftp.ucolick.org:/pub/users/will/super tar.gz 99.C108/BVEL Mars - 3/15/1999 Page - 18

19 Avis Spécifiques CISCO 1 Avis a été publié = Avis publié Field Notice Equipements couramment utilisés 11/03/99 Cisco 7xx TCP and HTTP Vulnerabilities Cisco annonce avoir détecté deux vulnérabilités sur les séries 7xx : -La première vulnérabilité concerne un problème d implémentation du protocole TCP pouvant entraîner le redémarrage du routeur au moyen d une connexion sur le port Telnet. - La seconde vulnérabilité concerne un problème de configuration du serveur d administration http, systématiquement activé par défaut. - La vulnérabilité TCP affecte les équipements de la série 7XX disposant d une version de firmware antérieure à la version 4.3.(1). - La vulnérabilité HTTP affecte les équipements de la série 7XX disposant d une version de firmware comprise entre les versions 3.2.(5) et 4.2.(3) incluse. - La vulnérabilité TCP est exploitable à distance, et peut entraîner un déni de service. - La vulnérabilité Http peut autoriser l acquisition et la reconfiguration à distance du routeur. Parades : Cisco recommande fortement de faire réaliser une mise à jour du firmware en version 4.3.(1). Cette version corrige les deux vulnérabilités. Cisco annonce que cette mise à jour sera effectuée gracieusement et indépendamment du contrat de maintenance. Un fond de couleur est utilisé pour mettre en évidence les avis majeurs, c-à-d concernant des constituants couramment utilisés. Avis CISCO: Notices CISCO : HP Aucun nouvel Avis n a été publié = Derniers Avis publiés HPSBUX /02/99 Security Vulnerability with rpc.pcnfsd Un fond de couleur est utilisé pour mettre en évidence les avis majeurs, c-à-d concernant des constituants couramment utilisés. Avis HP: IBM I Aucun nouvel Avis n a été publié = Dernier Avis publié ERS-SVA-E : /11/98 AIX infod 99.C108/BVEL Mars - 3/15/1999 Page - 19

20 Avis IBM: MI IICCRROOSSOOFFTT 2 Avis ont été publiés = Avis publiés MS = Réf. L0pht Dll_Advisory Technique et outils d exploitation publiés par l0pht 19/02/99 Fix Available for Windows NT "KnownDLLs List" Vulnerability Le groupe l0pht a mis en évidence un défaut de conception dans la gestion du chargement des librairies dynamiques sous Windows/NT. Il est ainsi possible d installer une librairie système modifiée et de forcer le chargement de celle-ci en lieu et place de la librairie originale. Cette vulnérabilité est exploitée par l outil de démonstration HackDll. Cette vulnérabilité est exploitable sur les plates-formes Windows/NT 3.5, 3.51 et 4.0. Cette vulnérabilité permet d augmenter les privilèges de l utilisateur, et de conduire à la compromission du système. MS Exécution non sollicitée de codes par le navigateur WEB Parades : La modification d un paramètre de la registry permet de limiter l exploitation de cette vulnérabilité. Il faut pour cela créer une valeur ProtectionMode de type REG_DWORD positionnée à 1 sous la clef HKEY_LOCAL_MACHINE\System \CurrentControlSet\Control\SessionManager. 22/02/99 Patch Available for Taskpads Scripting Vulnerability TaskPad est un programme de type snap-in fourni avec le ressource kit. Ce programme autorise, après installation, la visualisation et le lancement des outils du ressource kit à partir d une page WEB, en lieu et place de l interface de l interface graphique standard. Cette vulnérabilité est exploitable sur les plates-formes Windows/NT 4.0 disposant du Ressource Kit. Windows98 et Cette vulnérabilité peut être utilisée pour faire exécuter un programme non sollicité par le navigateur WEB à partir d une page judicieusement construite. MS Acquisition des privilèges systèmes Parades : Microsoft recommande l application immédiate des correctifs disponibles sur son site. 12/03/99 Patch Available for Windows NT "Screen Saver" Vulnerability Les programmes de type ScreenSaver sont initialisés sous l autorité du système, le contexte d exécution étant ensuite modifié pour être adapté à celui de l utilisateur courant. Cependant, le code ne vérifie pas si ce changement de contexte s est correctement déroulé. En conséquence, le code du programme continue d être exécuté sous les privilèges les plus élevés du système. Il est dés lors possible de développer un code spécifique permettant d acquérir ces privilèges. Cette vulnérabilité est exploitable sur toutes les plates-formes Windows/NT. Il est cependant nécessaire de disposer d un accès permettant d installer le code spécifique sur le système cible. Les environnements susceptibles de favoriser cette attaque sont : - Les systèmes de type WorkStation, - Les systèmes de type Terminal Server, - Les serveurs autorisant les connexions d utilisateurs non administratifs. 99.C108/BVEL Mars - 3/15/1999 Page - 20