Votre réseau MQ est-il «secure»?

Dimension: px

Commencer à balayer dès la page:

Download "Votre réseau MQ est-il «secure»?"

Mireille Garon
il y a 8 ans
Total affichages :

1 Votre réseau MQ est-il «secure»? ou «L histoire des trois petits Qmgrs» (Mise à jour de la présentation de Septembre 2008) Note : certains paragraphes ont été volontairement brouillés Luc-Michel Demey Demey Consulting lmd@demey-consulting.fr

2 Configuration utilisée Laptop Win XP Quelques outils Serveur Unix WMQ Hypothèse de base : l attaquant à un accès IP à l attaqué. Demey Consulting, 2010 Guide MQ du 16/11/2010 2

24 Hypothèse de base : l attaquant à un accès

3 Test n 1 Adresse IP connue, port connu, nom QM connu : SEC0 Sur Port du listener : 1414 Utilisation MQJE depuis un poste Windows Utilise le canal SYSTEM.ADMIN.SVRCONN Résultat : Full Access Sans authentification sur le serveur Unix Le «hacker» a les droits «mqm» sur le serveur (en fait les droit du compte sous lequel s exécute le listener) Demey Consulting, 2010 Guide MQ du 16/11/2010 3

8 Port du listener : 1414 Utilisation MQJE depuis un poste Windows Utilise le canal SYSTEM.ADMIN.

4 Prise de contrôle de SEC0 Demey Consulting, 2010 Guide MQ du 16/11/2010 4

5 Ensuite? Il y a d autres Qmgr sur le réseau, mais adresse IP non connue port listener non connu nom Qmgr non connu canaux SVRCONN non connus... Utilisation d un d outil de scan MQ Open Source (merci Roger Lacroix!) Demey Consulting, 2010 Guide MQ du 16/11/2010 5

6 Résultat QMgrName,Version,ChannelName,hostname/IP_Address,Port SEC0,600,SYSTEM.DEF.SVRCONN, ,1414 SEC0,600,SYSTEM.AUTO.SVRCONN, ,1414 SEC0,600,SYSTEM.ADMIN.SVRCONN, ,1414 SEC1,600,SYSTEM.DEF.SVRCONN, ,1501 SEC1,600,SYSTEM.AUTO.SVRCONN, ,1501 SEC1,600,SYSTEM.ADMIN.SVRCONN, ,1501 SEC2,600,SYSTEM.DEF.SVRCONN, ,1502 SEC2,600,SYSTEM.AUTO.SVRCONN, ,1502 SEC2,600,SYSTEM.ADMIN.SVRCONN, ,1502 SEC2,600,ADMIN.SVRCONN, ,1502 SEC3,600,SYSTEM.DEF.SVRCONN, ,1503 SEC3,600,SYSTEM.AUTO.SVRCONN, ,1503 SEC3,600,ADMIN.SSL, ,1503 Note : utilisation d une version modifiée de l outil pour élargir la liste des canaux à tester. Demey Consulting, 2010 Guide MQ du 16/11/2010 6

SVRCONN,192.168.0.8,1502 SEC3,600,SYSTEM.DEF.SVRCONN,192.168.0.8,1503 SEC3,600,SYSTEM.AUTO.SVRCONN,192.168.0.8,1503 SEC3,600,ADMIN.SSL,192.168.0.8,1503 Note : utilisation d une version modifiée de l outil pour élargir la liste des canaux à tester.

Test n 2 : Attaque SEC1 Adresse IP connue, port connu, nom QM connu : SEC1 Sur 192.168.0.

7 Test n 2 : Attaque SEC1 Adresse IP connue, port connu, nom QM connu : SEC1 Sur Port du listener : 1501 Utilisation MQJE depuis un poste Windows Résultat : Denied,, car le canal SYSTEM.ADMIN.SVRCONN contient un MCAUSER invalide Variante : Suppression du canal Demey Consulting, 2010 Guide MQ du 16/11/2010 7

8 Port du listener : 1501 Utilisation MQJE depuis un poste Windows Résultat :

8 Attaque SEC1 : alternative 1 Utilisation des objets par défaut Création d un compte «mqm» sur le laptop Utilisation du MO71 Entrée par le canal SYSTEM.DEF.SVRCONN paramètre MCAUSER = Demey Consulting, 2010 Guide MQ du 16/11/2010 8

Utilisation du MO71 Entrée par le canal SYSTEM.DEF.

9 Attaque SEC1 : alternative 2 Utilisation de l explorateur WMQ V7 Entrée par n importe quel canal qui a le paramètre MCAUSER à blanc «qui voulez-vous vous être aujourd hui?» Demey Consulting, 2010 Guide MQ du 16/11/2010 9

a le paramètre MCAUSER à blanc «qui voulez-vous vous

10 Prise de contrôle de SEC1 Demey Consulting, 2010 Guide MQ du 16/11/

11 Attaque SEC2 Ou les «avantages» de la sécurité par l obscurité Configuration : SEC2,600,ADMIN.SVRCONN, ,1502 Canal SVRCONN spécifique pour l administration Avec MCAUSER = «mqm» Demey Consulting, 2010 Guide MQ du 16/11/

12 Prise de contrôle de SEC2 Demey Consulting, 2010 Guide MQ du 16/11/

13 Attaque SEC3 ou l histoire du Qmgr qui se croyait en sécurité Configuration : Canaux SVRCONN par défaut «fermés» Canal d administration spécifique protégé par SSL Attention si WMQ < bug «DEFCON» Qmgr inviolable? Demey Consulting, 2010 Guide MQ du 16/11/

administration spécifique protégé par SSL Attention si WMQ < 6.0.2.

14 Attaque SEC3 Attaque «par le jardin» Création d un Qmgr sur le laptop Transformation du Modification du CONNAME Création d une Démarrage du canal Possibilité de déposer des messages dans SEC3 via des files éloignées A condition d en connaître le nom Demey Consulting, 2010 Guide MQ du 16/11/

canal Possibilité de déposer des messages dans SEC3 via des files

15 Attaque SEC3 Création d une file éloignée pointant sur la Dépôt d un message PCF forgé dans la file éloignée Ce message demande la création d un Utilisation du MO71 pour se connecter à SEC3 Demey Consulting, 2010 Guide MQ du 16/11/

message demande la création d un Utilisation du MO71 pour

16 Prise de contrôle SEC3 Demey Consulting, 2010 Guide MQ du 16/11/

17 Liaison SEC3 SEC4 Demey Consulting, 2010 Guide MQ du 16/11/

18 Attaque SEC4 Attaque «par rebond» Utilisation de la fonction Proxy du MO71 Demey Consulting, 2010 Guide MQ du 16/11/

19 Bilan des risques Absence de sécurité Installation de base Aggravation du risque Ajout d un MCAUSER Sécurité par l obscurité Création d un canal spécifique Objets par défaut Ne rien oublier Accès de type proxy Un risque pour les liens inter- sociétés Demey Consulting, 2010 Guide MQ du 16/11/

spécifique Objets par défaut Ne rien oublier Accès de type proxy Un risque

20 Solutions? Serveurs MQ en DMZ applicative Neutraliser les objets par défaut Identifier les partenaires via SSL MCAUSER systématique Droits d accès aux objets Audits réguliers Demey Consulting, 2010 Guide MQ du 16/11/

Documents pareils

Sécurité WebSphere MQ V 5.3

Guide MQ du 21/03/2003 Sécurité WebSphere MQ V 5.3 Luc-Michel Demey Demey Consulting lmd@demey demey-consulting.fr Plan Les besoins Les technologies Apports de la version 5.3 Mise en œuvre Cas pratiques