Rapport de Veille Technologique N 10

Transcription

1 Technologique Thème : Sécurité Edition : Mai - 15/05/99 DIFFUSION INTERNE EXTERNE APOGEE Communication Exemplaire de présentation Validation REDACTION Rédigé par : Bertrand VELLE Le : 15/05/99 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associés à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement, ou indirectement, une attaque sur l équipement de consultation, voire faire encourir un risque sur le système d information associé. Site susceptible d héberger des informations ou des programmes dont l utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur.

2 AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES PRODUITS ANALYSE DE JOURNAUX... 4 MELIA DÉTECTION D INTRUSION... 4 NETPROWLER...4 INTRUSION DEFENSE NETWORK HAUTE DISPONIBILITÉ... 5 RAINFALL SYSTÈME D EXPLOITATION... 6 NT DISPONIBILITÉ DU SP5...6 NT EMERGENCY UNDELETE TECHNOLOGIES CCSEC - PROTECTION PROFILE... 7 VISA SMART CARD PP INFORMATION ET LÉGISLATION INFORMATION STRATÉGIE... 9 SALON INFOSECURITY UK SURVEILLANCE INTERCEPTION DU TRAFIC INTERNET ANALYSE SIMULATION D ATTAQUES LÉGISLATION SIGNATURE ELECTRONIQUE DIRECTIVE EUROPÉENNE ALLIANCES LOGICIELS ET SERVICES DE BASE LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC ANALYSE DE RÉSEAU ET DE DATAGRAMMES...15 CONTRÔLE D'ACCÈS...15 ANALYSE DE JOURNAUX...15 GÉNÉRATEURS DE DATAGRAMMES...15 CONTRÔLE D'INTÉGRITÉ...16 SCANNERS...16 DÉTECTION D'INTRUSION/IDS...16 GARDES-BARRIÈRES/FIREWALLS...16 RÉSEAUX PRIVÉS VIRTUELS/VPN NORMES ET PROTOCOLES PUBLICATIONS RFC RFC TRAITANT DE LA SÉCURITÉ...18 AUTRES RFC IETF NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ...18 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ...19 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ COMMENTAIRES RFC RFC 2577 FTP SECURITY CONSIDERATIONS IETF DRAFT-IETF-BMWG-SECPERF-06.TXT BENCHMARKING TECHNOLOGY FOR FIREWALL PERFORMANCE...21 DRAFT-GUTFREUND-CONTENT-FILTERING-PROTOCOL-00.TXT INTERNET CONTENT FILTERING PROTOCOL...22 DRAFT-IETF-ROAMOPS-FRAUD-LIMIT-00.TXT LIMITING FRAUD IN ROAMING ALERTES ET ATTAQUES AA L E RR T E SS... S GUIDE DE LECTURE DES AVIS SYNTHÈSE DES AVIS PUBLIÉS AVIS OFFICIELS CISCO...25 COLD FUSION...25 HP...25 NETBSD...25 MICROSOFT...26 ORACLE ALERTES NON CONFIRMÉES FLOWPOINT...27 IP FILTER...27 LINUX...27 NETWARE ATTAQUES OUTILS SARA...28 BLADERUNNER 0.8, GIRLFRIEND ANALYSE RFC URL NUMÉRIQUES C136/BVEL Mai - 15/05/99 Page - 2 -

3 Le mot de la «Rédaction» La période écoulée a été marquée par la réduction notable du nombre d alerte de sécurité. L attention des responsables de sécurité ne doit cependant pas se relâcher, le calme précédant la tempête si l on en croit un bon vieux dicton. La section Information de ce rapport de veille technologique a été enrichie d une rubrique concernant les produits de sécurité accessible sous licence GPL (General Public Licence). Pour mémoire, cette licence autorise une utilisation libre des logiciels s y référant sous réserve de ne pas faire commerce de ceux-ci et de maintenir les copyrights originaux. Enfin, un compte-rendu de la visite du salon InfoSecurity 99, qui s est tenu à Londres courant Avril, est proposé. Ainsi, les axes stratégiques et les tendances observées pourront être comparés avec profit à l occasion de la visite du Salon Infosec 99 qui se tiendra à La Défense du 1 au 3 Juin. Pour tout renseignement complémentaire, éventuelles remarques, ou suggestions, vous pouvez nous contacter par mail à l adresse de courrier électronique suivante : veille-sec@apogee-com.fr 99.C136/BVEL Mai - 15/05/99 Page - 3 -

4 1. PRODUIITS ET TECHNOLOGIIES 1.1. PRODU IITS Analyse de journaux MEELLI IIAA Objet La société Sunbelt, spécialisée dans l édition d outils d administration en l environnement Windows/NT, annonce la disponibilité d un outil destiné à la gestion des informations journalisées par l application de messagerie MS-Exchange. Description MELIA est la première solution dédiée à la supervision de l environnement MS-Exchange. Cette solution peut gérer de 1 à 1000 serveurs Exchange à partir d un point de supervision unique. MELIA décode les données journalisées par MS- Exchange et génère des états personnalisés à partir de modèles pré-définis et reconfigurables. Les informations élaborées par MELIA peuvent être exportées afin d être retraitées sous ACCESS ou EXCEL. Avec cet outil, l administrateur peut rapidement tracer l utilisation qui est faite de la messagerie dans l optique : De vérifier que celle-ci est conforme à la politique de l entreprise, De prévenir la diffusion d informations confidentielles, De re-facturer le service aux différents utilisateurs, De se protéger contre le spamming, De surveiller l occupation des ressources, notamment réseau et disque, Une version d évaluation, valide durant 30j, est disponible sur le site de l éditeur. Complément d information Outil MELIA Détection d intrusion NEETTPRROOWLLEERR Objet La société AXENT annonce officiellement la disponibilité du logiciel de détection d intrusion NetProwler. Il s'agit en fait du logiciel ID-Track initialement développé par la société Internet Tools (une petite société californienne acquise par Axent en janvier 1999). Description NetProwler se présente comme le pendant réseau du logiciel Intruder Alert (ITA) assurant la détection d'intrusion au niveau des systèmes Unix et NT. Une technologie appelée "Stateful Dynamic Signature Inspection" (SDSI) est utilisée qui permet d optimiser le niveau de finesse de la configuration de l'outil et d'améliorer ses performances. NetProwler se comporte comme un analyseur de réseau qui examine de façon transparente les paquets, les interprète et, le cas échéant, les journalise. Netprowler dispose d un ensemble de signatures d attaque prédéfinies, et est susceptible d engager les actions adaptées, comme l'interruption des sessions frauduleuses, lorsqu une signature a été reconnue. NetProwler présente l'avantage de fournir une interface relativement simple permettant de définir les caractéristiques de datagrammes susceptibles de déclencher les règles d analyse. Cette interface permet aussi de définir les cibles concernées et donc d'appliquer des règles différentes selon les systèmes que l on souhaite protéger. 99.C136/BVEL Mai - 15/05/99 Page - 4 -

5 Le logiciel fonctionne sous Windows 95/98 et Windows NT. La société Axent se positionne dorénavant en concurrence directe de la société ISS : - NetRecon face à la famille de scanners SAFESuite - NetProwler face au produit RealSecure en ce qui concerne la détection d'intrusion On notera que ces deux derniers logiciels sont conformes aux spécifications OPSEC de Checkpoint Software, et peuvent ainsi directement s'interfacer avec le produit Firewall-1. Cependant, NetProwler n'est pas encore intégré dans l'infrastructure d'administration de sécurité d'axent. Complément d information Présentation du produit INNTTRRUUSSI I IIOONN DEEFFEENNSSEE NEETTWOORRKK Objet La société Network ICE vient d annoncer la sortie de la solution "Intrusion Defense Network", un système de détection d'intrusion distribué. Les logiciels BlackICE Pro, ICEcap et BlackICE Sentry sont les premières briques disponibles. "ICE" signifie "Intrusion Countermeasure Enhancements" ou "Améliorations des Contremesures en cas d'intrusion" Descritpion Les produits de la société Network ICE mettent en œuvre un nouveau type de concept de sécurité appelé Collective Awareness. Ce concept consiste à distribuer des sondes de détection d'intrusion sur les différents réseaux, et des agents de détection de vulnérabilités (BlackICE ) sur les systèmes. Ces agents peuvent remonter les alertes vers un point central de gestion, appelé ICEcap, à des fins d analyse et d action/réaction. Les concepteurs mettent en avant l'aspect distribué de leur système qui est ainsi capable de prendre en compte les environnements de réseaux commutés très fréquents de nos jours. Outre la détection d'intrusion, les principales fonctionnalités sont les suivantes : Protection contre les attaques : BlackICE Pro coupe automatiquement les communications émanant d'une adresse IP qui est à l'origine d'une attaque, Identification de l'attaquant : dès que l'attaque est corrélée, BlackICE Pro utilise des techniques de sondage pour tenter d'acquérir le maximum d'information sur l'adresse IP d'origine, Intégration dans ICEcap, le système de gestion de la sécurité de Network ICE BlackICE Pro fonctionne sur Windows 95/98 et Windows NT Server. Par ailleurs, Network ICE propose BlackICE Sentry, qui fournit les mêmes fonctionnalités pour des sites centraux, des stations graphiques haute-résolution ou des systèmes non Wintel. Le prix public de BlackICE Pro est de $ par nœud pour un réseau de nœuds. Cette société a été fondée en 1998 par plusieurs experts sécurité de Network General puis Network Associates, dont Robert Graham, son Directeur Technique. Complément d information Présentation de l offre: Haute Disponibilité RAAI IINNFFALLLL Objet La société Rainfinity s'attaque au marché en forte croissance des systèmes gardes-barrières à haute disponibilité en offrant une solution de tolérance de panne. Le produit RainFall autorise ainsi la mise en place de solutions de clustering et de partage de charge dynamique entre différents gardes-barrières. Descritpion La technique de clustering de serveurs distribués a pour nom "Reliable Array of Independent Nodes" (RAIN ). Il s'agit d'une solution purement logicielle, disponible pour plusieurs systèmes d'exploitation. 99.C136/BVEL Mai - 15/05/99 Page - 5 -

6 "Rainwall for Check Point FireWall-1 and VPN-1 " tente d'adresser 3 notions de criticité : la disponibilité, les performances et le dimensionnement des solutions. Lorsque que Rainwall détecte une panne matérielle ou logicielle, le trafic est basculé automatiquement vers un système garde-arrière opérationnel sans interruption de service ou des sessions. L'avantage majeur mis en avant par les concepteurs de la solution est le fait que contrairement aux solutions actuelles de Haute-Disponibilité (ou "HA" pour "High-Availability"), les différents serveurs du cluster peuvent être utilisés simultanément lorsqu'il n'y a pas de panne, et donc permettent de faire du partage de charge en temps normal. La société RAINfinity a développé un protocole applicatif appelé "Consistent Global State Sharing Protocol" et mis au point une technologie appelée "Always-On Virtual IP Management". Une interface de gestion permet de déplacer les adresses IP des serveurs de façon graphique et donc d'appliquer simplement des politiques de partage de charge. De même, il est possible d'exclure certains serveurs de ces règles grâce à une fonctionnalité appelée "pin down" que les concepteurs recommandent d'appliquer aux serveurs participant à des flux de type VPN. Rainwall est disponible pour la version 4.0 du FireWall-1, pour les plates-formes NT et Solaris. La gamme démarre avec la "Starter Edition" qui se compose de 2 nœuds en cluster Rainwall avec une seule IP adresse virtuelle par serveur et du partage de charge. Son prix public est de $. Une version dite "Enterprise IV Edition" est également disponible. Elle se compose de 4 nœuds en cluster Rainwall avec plusieurs adresses IP virtuelles par serveur et du partage de charge. Son prix public est de $ par cluster. Complément d information Document: Système d exploitation NTT DI IISSPPOONNI IIBBI IILLI IITTEE DDUU SP55 Objet Microsoft annonce la disponibilité du Service Pack N 5 pour Windows/NT 4.0 édition US. Description Le service pack N 5 intègre de nombreux correctifs mais aussi de nouvelles fonctionnalités dont il est probable que celles-ci préparent l arrivée de Windows Le fichier Readme.txt, livré avec le service pack, propose une liste des correctifs contenus dans celui-ci : 1. The following is a list of the most frequently requested Windows NT 4.0 updates that are included in SP5: DHCP Server of SP4 Ignores Reservations SP4 forces cluster servers to be taken off and online Windows NT 4.0 SP4 Does Not Update MTS Files Duplicate SCSI Logical Unit (LUN) 0 When LargeLUNs Registry Key Enabled Under stress, a computer running Windows NT Server or Workstation may display a STOP 0x E error message on a blue screen. Cannot configure ODBC logging when using Microsoft Data Access Components (MDAC) 2.0 SP1, SP4, and Proxy Server 2.0. Secondary WINS query delayed by 1500ms even when primary WINS returns Using SP4, RCP "host:foo." fails whereas RCP "host:foo foo" SP4 systems access the hard disks every five minutes, which interferes with Power Management. 2. Updates to SP4 issues, including: Reduced heap fragmentation issues which would lead to memory problems. Eliminated memory fragmentation problem with Critical Sections. Eliminated a system hang that could occur on multiprocessor systems with multiple memory maps. Resolved SP4 issues with Oracle Fail Safe software for Windows NT Clusters. Eliminated hanging issues when SetSecurityInfo and SetNamedSecurityInfo calls were made during DLLInit time. Enabled Desktop folders in Explorer windows to retain settings. Eliminated issues where LPD would stop the printing of multiple copies. Prevented DNS from converting host names to lowercase. Prevented GetHostbyName from returning unbound IP RAS addresses. Eliminated issues where Apple Macintosh Clients can't see Windows NT 4.0 Server after upgrading to SP4. Eliminated issues where changing an SFM password allows Windows NT client computer to share access with null password. 99.C136/BVEL Mai - 15/05/99 Page - 6 -

7 3. Y2K fixes SP5 provides the latest fixes to known Year 2000 issues in Windows NT 4.0. For more information on SP5 and Year 2000 issues, see Section 3.15, "Year 2000 Fixes." For the latest information on Year 2000 and Windows NT 4.0, see the Microsoft Year 2000 Readiness Disclosure & Resource Center Web site at or call MSFT-Y2K. 4. Euro issues SP5 includes the existing updates for Windows NT 4.0 euro support. For the most recent information about Windows NT 4.0 and euro, see the Microsoft Euro Web site at 5. Security updates SP5 contains current updates for known Windows NT 4.0 security issues. For the most recent information about Windows NT security, see the Microsoft Security Advisor Web site at Complément d information Service Pack N 5 US NTT EMM EERRGGEENNCCYY UNNDDEELLEETTEE Objet La société Executive Software annonce la disponibilité d un outil attendu par tous les utilisateurs du système d exploitation NT! Description Emergency Undelete, produit librement accessible, permet de récupérer un fichier après que celui-ci est été accidentellement détruit sur un volume FAT ou NTFS. Ce produit, similaire au fameux Norton Disk Utility, impose cependant de respecter quelques règles élémentaires. En effet, Windows/NT étant un système multi-tâches, l espace disque peut être immédiatement réalloué, et les données à récupérer irrémédiablement perdues. En conséquence, il est conseillé d interrompre toute activité, et éventuellement de déconnecter le système du réseau, afin d augmenter les chances de récupérer le fichier. La version gratuite est cependant fonctionnellement limitée et n autorise pas la récupération de fichiers compressés. Complément d information Emergency Undelete TECHNOLOG IIES CCSEC - Protection Profile VISA SMM AARRTT CAARRDD PP 99.C136/BVEL Mai - 15/05/99 Page - 7 -

8 Objet Les critères communs de sécurité (CC-SEC) ont pour objectif la définition d un référentiel méthodologique destiné à faciliter l évaluation et l assurance du niveau de sécurité de tout système de traitement de l information. Dans cette optique, la cible de sécurité (TOE) associée à chaque constituant du système doit être spécifiée. Cette spécification est produite en respectant un formalisme imposée et donne lieu à la publication d un Profil de protection, ou Protection profile. Ces profils de protection, enregistrés auprès d une instance nationale (le SCSSI pour la France), sont publiquement accessibles. Description Visa vient de publier un premier draft du profil de protection de sa carte à puce. Ce profil, enregistré auprès du NIST, contient notamment une liste des attaques susceptibles d être employées envers ce type de dispositif. 42 menaces (Threats) ont explicitement identifiées et regroupées en 9 catégories : Threats associated with physical attack on the TOE : 3 menaces identifiées Threats associated with logical attack on the TOE : 10 menaces identifiées Threats associated with inadequate specification : 5 menaces identifiées Threats associated with errors in instantiation : 3 menaces identifiées Threats associated with unanticipated interactions : 2 menaces identifiées Threats regarding cryptographic functions : 1 menaces identifiées Threats which monitor information : 3 menaces identifiées Miscellaneous threats : 2 menaces identifiées Threats to the environment : 13 menaces identifiées Ces chiffres mettent en évidence les deux types menaces les plus courantes: les menaces logiques portant sur l exploitation d effets de bord non identifiés lors de la conception du constituant (dont le chargement de code non autorisé, la génération d erreur de transmission, le rejeux de séquences, ) et les menaces environnementales portant sur l absence de contrôles durant les phases de développement et de production (dont la divulgation du design, des jeux de test, le vol des masques ou des outils de production, ) Complément d information Profil de protection VISA: 99.C136/BVEL Mai - 15/05/99 Page - 8 -

9 2. INFORMATIION ET LEGIISLATIION 2.1. IINFORMATIION Stratégie SAALLOONN INNFFOOSSEECCUURRI I IITTYY UK Objet Le Salon InfoSecurity se tenait à LONDRE du 27 au 29 Avril 1999 et regroupait plus d'une centaine d'exposants. Le principal intérêt de ce salon tient dans la visibilité qu il offre sur les stratégies et la progression du marché de la sécurité outre-atlantique. Description Ce qui frappait d'abord le visiteur était la constitution des stands situés au centre du salon: le style et les animations de certains faisaient plus penser à InterOp (ou à l'ancien Sicob) qu'à notre InfoSec français. Des sociétés telles que Axent, Baltimore, Network Associates, Norman et Portcullis rivalisaient d'imagination pour attirer le visiteur/badaud. Les quatre grands thèmes qui se dégagent sont : - les PKI ("Public Key Infrastructure"), - le filtrage de contenu, principalement en ce qui concerne la messagerie, - l'authentification des utilisateurs, - la méthodologie BS7799. Les PKI Les Infrastructures de Gestion de Clefs (ou "ICG", au sujet desquelles le SCSSI vient de publier une FAQ évoquée dans le Document de Veille d'avril), se composent de matériels, de logiciels, de règles et de politiques de sécurité, ainsi que de procédures. Elles fournissent les bases nécessaires à la réalisation d'applications de commerce électronique. Ainsi, des utilisateurs des fournisseurs ou des clients qui ne se connaissent pas les uns les autres, peuvent communiquer de façon sécurisée par l intermédiaire d'une chaîne de confiance basée sur des certificats ("Digital Certificates"). Pour mémoire, une ICG se compose de 5 éléments : - une politique de sécurité("security Policy" ou "SP"), - une autorité de certification ("Certificate Authority" ou "CA"), - une autorité d'enregistrement ("Registration Authority" ou "RA"), - un service de distribution de clefs ("Certificate Distribution System" ou "CDS"), - des applications. Parmi ces dernières, on trouve couramment la messagerie, l'edi, les annuaires, les VPN, les services de commerce électronique et de transaction bancaire mais aussi l ensemble des applications de communication WEB. Plusieurs exemples de mise en œuvre de la technologie proposée par la société Baltimore et du produit UniCERT étaient présentés par divers clients anglo-saxon ou scandinaves (Australie, Danemark, Norvège, Pays-Bas, Royaume-Uni, ). De même, plusieurs sociétés se sont regroupées sous la bannière du "PKI World" afin de démontrer leur interopérabilité. On y trouve notamment les sociétés françaises ActivCard et GemPlus, mais aussi Cisco, Data Fellows, ICL, ISOCOR, MessagingDirect, Netscape et V-One. Baltimore, société irlandaise apparaît réellement être le leader dans ce domaine. Le filtrage de contenu A la suite des pionniers Integralis et TrendMicro, un nombre croissant de sociétés se sont lancées et l'offre est maintenant pléthorique : outre les deux premiers, InvisiMail, NetTel, OmniQuad et Protek, annonçaient de nouvelles versions avec un nombre de fonctionnalités accrues. 99.C136/BVEL Mai - 15/05/99 Page - 9 -

10 Le contrôle et le filtrage par utilisateur ou adresse , les filtres anti-spam ou l'insertion automatique de "disclaimers" sont les fonctions plus souvent citées par les éditeurs. La quasi totalité de ces offres tournent sur NT, les solutions agréées sécurité militaire UK fonctionnant sur Solaris sécurisé. Diverses solutions de chiffrement local ou centralisé au niveau des serveurs de messagerie font leur apparition sur le marché dont l objectif est d intégrer les services d authentification, de signature, voire de certification: MailGuard, MailWall et PrivaWall, TrustedDoc,... L authentification Dans ce domaine, outre la société Vasco qui refaisait un retour en force après de nombreux mois de silence, plusieurs offres se basent sur une authentification basée sur des très petits modules matériels à peine plus gros qu'une clef de voiture et qui se connectent sur le port USB d'un PC. C'est le cas de l offre etoken (du même éditeur que esafe qui fait du filtrage de contenu) et de WebIdentity qui permettent aussi à l'administrateur de sécurité de les réinitialiser, comme pour des calculettes. L'un des cas souvent cités par les éditeurs est le verrouillage automatique des postes de travail lorsque les utilisateurs s'absentent : il leur suffit de retirer leur petite clé du connecteur USB pour que le blocage du poste soit effectif, et de simplement la réinsérer pour qu'il se débloque et redevienne aussitôt utilisable. C'est sans doute avec ce côté simple et pratique que les actions de sensibilisation des utilisateurs se concrétiseront... La méthodologie BS7799 Toutes les entreprises doivent (ou devraient) analyser les risques potentiels liés à leurs activités et envisager la mise en place d'un système de gestion de la sécurisation de leurs informations ("Information Security Management System" ou "ISMS"). Celui ci visera à garantir que leurs données sont protégées, et ceci sur l ensemble des activités de l'entreprise, en y intégrant aussi bien ses partenaires que ses clients; le mot "protection" recouvrant ici les 3 aspects de la sécurité : la confidentialité, l'intégrité et la disponibilité des données. Le "Code of Practice Information Security Management", normalisé par le bureau des standards Anglais sous la référence BS7799, a été conçu dans le but concilier ces aspects de sécurisation dans un contexte opérationnel et de production et il s'est imposé rapidement au Royaume-Uni. L'année dernière, InfoSecurity 98 avait été le salon du lancement officiel du BS7799. Cette année, toute la "Keynote Session" du 28 Avril lui était encore consacrée. Cette norme a l'avantage d'exister et pourrait rapidement s étendre à d autres pays ne disposant pas encore de normes matures en ce domaine. Complément d information Informations complémentaires : Surveillance INNTTEERRCCEEPPTTI I IIOONN DDUU TTRRAAFFI IICC INNTTEERRNNEETT I Objet Un document de travail interne, issu du Conseil Européen, concernant les moyens et techniques d interception légale des communications, a été publié début Avril sur un site Internet Anglais. Description Le document publié concerne un projet d amendement de la résolution du 17 Janvier 1995 portant sur la nécessité et les conditions de mise en œuvre de moyens d interception légale des télécommunications (96/C 329/01 publié au journal officiel européen du 11/04/1996). Etaient mentionnées, en annexe de la première résolution, les exigences auxquelles devraient se soumettre les opérateurs de télécommunication Européens, et en particulier, la fourniture d interfaces standardisées permettant l interception en temps réel des communications mais aussi l acquisition des éléments de signalisation associés. L amendement proposé porte notamment sur l interprétation des exigences dans le cadre des nouvelles technologies de communication. Ainsi, les exigences précédentes ont été étendues à l ensemble des nouvelles technologies de télécommunications, dont les transmissions satellites et l Internet. Les adresses IP statiques et dynamiques sont 99.C136/BVEL Mai - 15/05/99 Page

11 explicitement désignées comme susceptibles d être utilisées en tant qu identifiant électronique. Enfin, la nature des interfaces d interception est précisée : ces interfaces peuvent être virtuelles. Complément d information Informations complémentaires : Enfopol Analyse SI IIMM UULLAATTI IIOONN DD AATTTTAAQQUUEESS Objet Fred Cohen, l une des grandes figures du domaine de la sécurité, vient de publier les résultats d une étude portant sur la simulation des attaques perpétrées sur l Internet. Description Cette étude, intitulée «Simulating Cyber Attacks, Defenses, and Consequences», tente d analyser les conséquences des attaques à partir d un modèle mathématique complexe mais semble-t-il très complet. Celui intègre en effet non seulement les facteurs représentatifs de la menace (type de population, mécanismes d attaques, ) mais aussi les facteurs influençant la réalisation effective de celle-ci (niveau de compétence requis, mesures de protection mises en œuvre). La simulation peut être conduite selon plusieurs points de vues, le modèle actuel intégrant 37 classes de population, 94 classes d attaques et 140 classes de protection! Ces classes sont liées au moyen d un modèle relationnel interconnectant les menaces, les techniques d attaques et de protection avec d autres paramètres de simulation tels que l impact sur l intégrité, la disponibilité, le niveau de compétence des attaquants. Bien que les fondements de cette étude puissent être discutés tant sur le plan de la complétude de la modélisation que sur le plan de la validité des hypothèses, les premiers résultats publiés sont très prometteurs : 1. L utilisation d une classification des attaquants par catégorie de population est parfaitement adaptée au domaine de la sécurité. Il est ainsi possible d établir un modèle proche de celui de la théorie des jeux basé sur l estimation du gain (perte) pour chaque participant (l attaquant/l attaqué). 2. Les simulations effectuées démontrent ce qui jusqu à maintenant n était que le fruit de l intuition des experts : la relation capacité de défense / perte estimée n est pas linéaire. La courbe associée (dite en S ) présente deux points d inflexions situés, dans les exemples fournis, à 30% et 70% de capacité de défense. En conséquence, il apparaît qu il n est pas nécessaire de tenter d optimiser la capacité de défense (matérielle mais aussi humaine) au delà du second point d inflexion, le gain devenant faible voire nul. Complément d information Informations complémentaires : LEG IISLATIION Signature Electronique DI IIRREECCTTI IIVVEE EUURROOPPEEEENNNNEE 99.C136/BVEL Mai - 15/05/99 Page

12 Objet Le processus engagé dans le cadre de la future Directive Européenne sur la signature électronique est en passe d aboutir. Description Le texte définitif de cette directive a été publié le 25 Mars 1999 et devrait être soumis au vote du Parlement Européen dans le courant du mois. Ce texte contient notamment : La définition précise et non ambiguë des terminologies usités dans ce domaine, et les contextes précis d utilisation des termes Signature électronique et Certificats, La liste des exigences associées au contenu de certificats qualifiés, La liste des exigences associées à la certification des organismes habilités à délivrer des certificats qualifiés. La liste des exigences applicables aux dispositifs de génération de signatures électroniques, Une première liste de recommandation concernant les opérations de vérification des signatures électroniques. Cette directive devrait influencer les travaux de standardisation menés par l IETF, et plus particulièrement, le draft <draft-ietf-pkix-qc-00.txt> dénommé «Internet X.509 Public Key Infrastructure Qualified Certificates» publié en février Les efforts conduits tant au niveau Européen qu au niveau mondial devraient ainsi rapidement aboutir à la publication d un véritable standard dans un domaine vital à plus d un titre : dématérialisation des documents administratifs, commerce électronique,. Complément d information Informations complémentaires : 99.C136/BVEL Mai - 15/05/99 Page

13 Technologique Sécurité 2.3. ALL IIANCES Les différentes alliances - rachats, prises de participation, accords technologiques, - sont récapitulées au moyen d un synoptique régulièrement mis à jour. Pare-Feu Anti-Virus Audit SSO Chiffrement CISCO NAI ISS Security Dynamics AXENT CA Equipements Réseau Sécurité Systèmes et Applications 99.C136/BVEL Mai - 15/05/99 Page Memco PGP RSA Data Boks Platinum PassGo March Technologie Internet Technologie WheelGroup Secure Networking Dr Salomon McAfee Raptor TIS Global Intranet 01/98 04/99 AutoSecure - Memco 04/99 PassGo SSO 10/98 01/99 NetProwler 02/98 NetRanger - NetSonar 06/98 Ballista 06/98 06/97 02/98 Eagle 02/98 Gauntlet 12/97 Centri

14 Technologique Sécurité 2.4. LOG IIC IIELS ET SERV IICES DE BASE Les dernières versions disponibles des principaux logiciels du Domaine Public sont récapitulées dans le tableau suivant. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. Nom Fonction Dernière Version officielle Ancienneté Apport de la dernières version Références Bind Serveur DNS 8.2 au 16/03/ mois Nouvelles Fonctionnalités Correction de bogues de sécurité Sendmail Serveur SMTP au 04/02/ mois Nouvelles Fonctionnalités Correction de bogues de sécurité Qpopper Serveur POP/APOP 2.53 au 14/07/ mois Nouvelles Fonctionnalités 3.0b15 au 23/04/ mois Correction de bogues de sécurité Imap Serveur IMAP 4.5 au 02/04/ mois Nouvelles Fonctionnalités 4.6b au 26/03/ mois Apache Serveur WEB au 25/03/ mois Nouvelles Fonctionnalités Correction de bogues de sécurité Squid Cache WEB 2.1 au 19/10/ mois Nouvelles Fonctionnalités 2.2b au 24/01/ mois Wu-Ftp Serveur FTP au 26/02/ mois Correction de bogues de sécurité Majordomo Gestionnaire de listes de diffusion au 02/10/ mois Nouvelles Fonctionnalités Procmail Traitement des au 05/04/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ SmartList Gestionnaire de listes de diffusion 3.13 au 31/03/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Perl Langage interprété au 28/03/ mois Nouvelles Fonctionnalités NTP Serveur de Temps 5.93 au 26/04/ mois Nouvelles Fonctionnalités hau 24/04/ mois 99.C136/BVEL Mai - 15/05/99 Page

15 Technologique Sécurité 2.5. LOG IIC IIELS DE SECUR IITE DU DOMA IINE PUBL IIC Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour. ANNAALLYYSSEE DDEE RREESSEEAAUU EETT DDEE DDAATTAAGGRRAAMM MM EESS Nom Fonction Dernière Version officielle Ancienneté Références IP Traf Big Brother Polleur/visualisateur snmp 1.2a au 04/05/99 Ntop Ethereal Analyseur multi-protocole au 01/05/99 3 mois Cheops Interface visualisation COONNTTRROOLLEE DD' ''ACCCCEESS Nom Fonction Dernière Version officielle Ancienneté Références TCP Wrapper Contrôle d accès services TCP 7.6 au ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz XinetD Inetd amélioré 2.186b4 g2s ftp://ftp.rtc-one.net/j/g2s/ ANNAALLYYSSEE DDEE JJOOUURRNNAAUUXX Nom Fonction Dernière Version officielle Ancienneté Références Autobuse Analyse syslog 1.7 au 02/02/ Log Scanner Analyse syslog 1.0 au 12/02/ GEENNEERRAATTEEUURRSS DDEE DAATTAAGGRRAAMM MM EESS Nom Fonction Dernière Version officielle Ancienneté Références IPSend Générateur Paquets IP 2.1a au 17/09/97 ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz SPAK UdpProbe Générateur UDP 1.2 au 13/02/ C136/BVEL Mai - 15/05/99 Page

16 Technologique Sécurité COONNTTRROOLLEE DD' ''I INNTTEEGGRRI IITTEE Nom Fonction Dernière Version officielle Ancienneté Références Tripwire Intégrité Systèmes NT/UNIX 1.3 au 98 L6 Intégrité Systèmes UNIX 1.6 au 16/10/98 SCCAANNNNEERRSS Nom Fonction Dernière Version officielle Ancienneté Références Nessus Audit de vulnérabilité a2 fix4 au 24/04/99 Saint Audit de vulnérabilité au 06/05/99 Sara Audit de vulnérabilité au 06/05/99 Satan Audit de vulnérabilité au 11/04/95 ''I DEETTEECCTTI IIOONN DD' INNTTRRUUSSI IIOONN/ /IDS Nom Fonction Dernière Version officielle Ancienneté Références NFR Détection d intrusion Système au 04/99 Shadow Détection d intrusion Réseau 1.4 au 04/99 Deception ToolKit Pot de miel au 07/01/99 GAARRDDEESS- -BAARRRRI IIEERREESS/ /FFI IIRREEWAALLLLSS Nom OS Dernière Version officielle Ancienneté Références FireWallToolKit UNIX Sinus for Linux Linux DrawBridge FreeBsd au 04/05/99 IpFwAdm Linux IpFilter Filtre de datagrammes au 22/11/ mois 99.C136/BVEL Mai - 15/05/99 Page

17 Technologique Sécurité REESSEEAAUUXX PRRI IIVVEESS VI IIRRTTUUEELLSS/ /VPN Nom Fonction Dernière Version officielle Ancienneté Références CIPE LINUX CIPE Kernel Driver FreeS/Wann LINUX IPSEC 1.0 au 14/04/99 Photuris Protocole de gestion des clefs 04/02/98 VPS LINUX Tunnel IP 2.0b2 SSH Shell sécurisé au 14/05/99 3 mois 99.C136/BVEL Mai - 15/05/99 Page

18 3. NORMES ET PROTOCOLES 3.1. PUBL IICATIIONS RFC Durant la période du 15 Avril au 15 Mai, 19 RFC ont été publiés dont 4 ayant trait au domaine de la sécurité. RFFC TTRRAAI IITTAANNTT DDEE LLAA SSEECCUURRI IITTEE Thème Numéro Date Status Titre FTP /99 Inf FTP Security Considerations LDAP /99 PStd Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 SNMP /99 Std User-based Security Model (USM) for SNMPv /99 Std View-based Access Control Model (VACM) for SNMPv3 Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale AUUTTRREESS RFFC Thème Numéro Date Status Titre 2560 Non publié à ce jour 2564 Non publiés à ce jour 2576 Non publiés à ce jour ACTS /99 Info Architecture for the Information Brokerage in the ACTS Project GAIA DHCP /99 PStd DHCP Option to Disable Stateless Auto-Configuration in IPv4 Clients LPD /99 Exp Mapping between LPD and IPP Protocols NHC /99 Inf Guidelines for Next Hop Client (NHC) Developers PRINT SMI SNMP /99 Exp Internet Printing Protocol/1.0: Encoding and Transport /99 Exp Internet Printing Protocol/1.0: Model and Semantics /99 Exp Design Goals for an Internet Printing Protocol /99 Exp Rationale for the Structure of the Model and Protocol for the Internet Printing Protocol /99 Std Structure of Management Information Version 2 (SMIv2) /99 Std Textual Conventions for SMIv /99 Std Conformance Statements for SMIv /99 Exp Introduction to Version 3 of the Internet-standard Network Management Framework /99 Std An Architecture for Describing SNMP Management Frameworks /99 Std Message Processing and Dispatching for the Simple Network Management Protocol /99 Std SNMP Applications Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale IETF Durant la période du 15 Avril au 15 Mai, 172 DRAFTS ont été publiés, ou mis à jour, dont 38 ayant trait au domaine de la sécurité. NOOUUVVEEAAUUXX DRRAAFFTTSS TTRRAAI IITTAANNTT DDEE LLAA SEECCUURRI IITTEE Thème Nom du draft Date Titre CRYP draft-smyslov-crypto-api-00.txt 21/04 SIMPLE CRYPTOGRAPHIC PROGRAM INTERFACE (Crypto API) DNS draft-ietf-dnsind-rollover-00.txt 27/04 Domain Name System (DNS) Security Key Rollover 99.C136/BVEL Mai - 15/05/99 Page

19 draft-ietf-dnsind-simple-secure-update-00.txt 14/04 Simple Secure Domain Name System (DNS) Dynamic Update GSS draft-ietf-cat-gssv2-javabind-ifs-00.txt 22/04 Common Authentication technology WG IPSEC draft-ietf-dnsind-tkey-00.txt 10/05 Secret Key Establishment for DNS (TKEY RR) draft-ietf-ipsec-ike-ext-meth-00.txt 13/04 IKE Extensions Methods draft-ietf-ipsec-policy-schema-00.txt 05/05 IPsec Policy Schema LKHP draft-harney-sparta-lkhp-sec-00.txt 20/04 Logical Key Hierarchy Protocol MSMP draft-harney-sparta-msmp-sec-00.txt 29/04 Multicast Security Management Protocol (MSMP) Requirements & Policy PKIX draft-ietf-pkix-ac509prof-00.txt 29/04 An Internet AttributeCertificate Profile for Authorization RTP draft-mccarthy-smug-rtp-profile-src-auth-00.txt 05/05 RTP Profile for Source Authentication & Non-Repudiation SEC draft-gutfreund-content-filtering-protocol- 00.txt 10/05 Internet Content Filtering Protocol draft-ietf-roamops-fraud-limit-00.txt 03/05 Limiting Fraud in Roaming SMTP draft-hoffman-rfc2487bis-00.txt 16/04 SMTP Service Extension for Secure SMTP over TLS SOCKS draft-ietf-ngtrans-socks-gateway-00.txt 23/04 A SOCKS-based IPv6/IPv4 Gateway Mechanism SSL draft-ietf-tls-56-bit-ciphersuites-00.txt 14/04 56-bit Export Cipher Suites For TLS Les documents à lire en priorité sont mentionnés en caractères gras MI IISSEE AA JJOOUURR DDEE DRRAAFFTTSS TTRRAAI IITTAANNTT DDEE LLAA SEECCUURRI IITTEE Thème Nom du draft Date Titre CRYP draft-hoffman-des40-03.txt 03/05 Creating 40-Bit Keys for DES DNS draft-eastlake-card-map-05.txt 27/04 ISO 7812/7816 Based Card Numbers and the DNS draft-ietf-nat-dns-alg-02.txt 13/04 DNS extensions to Network Address Translators (DNS_ALG) FW draft-ietf-bmwg-secperf-06.txt 06/05 Benchmarking Terminology for Firewall Performance GSS draft-ietf-cat-gssv2-javabind-01.txt 21/04 Generic Security Service API Version 2 : Java bindings draft-ietf-cat-gssv2-javabind-spi-01.txt 11/05 A Service Provider API for GSS mechanisms in Java IMAP draft-leiba-imap-implement-guide-09.txt 28/04 IMAP4 Implementation Recommendations IPSEC draft-jenkins-ipsec-rekeying-01.txt 14/04 IPSec Re-keying Issues JAVA draft-ryan-java-schema-02.txt 23/04 Schema for Representing Java(tm) Objects in an LDAP Directory LDAP draft-ietf-ldapext-acl-model-02.txt 14/04 Access Control Model for LDAP draft-weltman-ldapv3-proxy-03.txt 23/04 LDAP Proxied Authentication Control MIME draft-ietf-smime-cert-08.txt 26/04 S/MIME Version 3 Certificate Handling draft-ietf-smime-cms-13.txt 23/04 Cryptographic Message Syntax draft-ietf-smime-msg-08.txt 26/04 S/MIME Version 3 Message Specification PKIX draft-ietf-pkix-cmc-04.txt 11/05 Certificate Management Messages over CMS draft-ietf-pkix-time-stamp-01.txt 10/05 Internet X.509 Public Key Infrastructure Time Stamp Protocols draft-ietf-pkix-ocsp-08.txt 26/04 X.509 Internet PKI Online Certificate Status Protocol - OCSP PPP draft-ietf-pppext-l2tp-atm-02.txt 20/04 L2TP Over AAL5 and FUNI draft-ietf-pppext-mppe-03.txt 07/05 Microsoft Point-To-Point Encryption (MPPE) Protocol draft-ietf-pppext-pptp-10.txt 29/04 Point-to-Point Tunneling Protocol (PPTP) Radius draft-ietf-radius-tunnel-acct-03.txt 14/04 RADIUS Accounting Modifications for Tunnel Protocol Support RPS draft-ietf-rps-auth-03.txt,.ps 29/04 Routing Policy System Security draft-ietf-rps-dbsec-pgp-authent-01.txt 30/04 PGP authentication for RIPE database updates Les documents à lire en priorité sont mentionnés en caractères gras DRRAAFFTTSS TTRRAAI IITTAANNTT DDEE DDOOMM AAI IINNEESS CCOONNNNEEXXEESS AA LLAA SEECCUURRI IITTEE Thème Nom du draft Date Titre CORBA draft-ryan-corba-schema-00.txt 23/04 Schema for Representing CORBA Objects in an LDAP Directory DHCP draft-ietf-dhc-ipv4-autoconfig-04.txt 15/04 Automatically Choosing an IP Address in an Ad-Hoc IPv4 Network DNS draft-bush-dnsop-root-opreq-00.txt 22/04 Root Name Server Operational Requirements draft-ietf-dnsind-binary-labels-05.txt 05/05 Binary Labels in the Domain Name System draft-ietf-dnsind-dddd-01.txt 14/04 Deferred Dynamic Domain Name System (DNS) Delete Operations GEN draft-abela-ulm-03.txt 29/04 Universal Format for Logger Messages draft-isoc-internet-for-everyone-00.txt 03/05 The Internet is for Everyone draft-yu-routing-scaling-00.txt 15/04 Scalable Routing Design Principles IMAP draft-daboo-imap-commandplus-00.txt 14/04 IMAP4 COMMAND+ Extension LDAP draft-ietf-ldapext-ldap-java-api-04.txt 29/04 The Java LDAP Application Program Interface draft-lachman-laser-ldap-mail-routing-00.txt 11/05 LDAP Schema for Intranet Mail Routing LDUP draft-ietf-ldup-model-00.txt 23/04 LDAP Replication Architecture 99.C136/BVEL Mai - 15/05/99 Page

20 MAIL draft-gellens-on-demand-07.txt 10/05 On-Demand Mail Relay (ODMR) NAT draft-iab-nat-implications-04.txt 04/05 Architectural Implications of NAT URL draft-masinter-url-ipv6-02.txt 16/04 An '.ipv6' Top Level Pseudo-Domain Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts COMMENTA IIRES RFC RRFFCC FFTTPP SS EECCUURRII TT YY CCOONNSSII DDEERRAATT II OONNSS Ce document propose une synthèse des problèmes de sécurité liés au protocole de transfert de fichier FTP. Ce protocole offre en effet diverses facilités susceptibles d être employées pour faciliter l attaque du système l utilisant mais aussi de systèmes tiers. Les attaques suivantes sont décrites : Bounce Attack ou attaque par rebond : Le protocole FTP offre une commande permettant de spécifier l adresse et le numéro de port sur lequel sera effectué le transfert de donnée. Cette commande, actuellement utilisée lors de l initialisation de transferts passifs, permet d activer un transfert de donnée entre deux systèmes cibles depuis un troisième système jouant le rôle de contrôleur. Cette fonctionnalité peut hélas être aisément détournée de son utilisation originale pour conduire une attaque masquée sur un service TCP/IP. Le scénario d une telle attaque est le suivant : 1. L attaquant sélectionne un système intermédiaire disposant d un service FTP actif et d un compte d accès, généralement un serveur offrant un accès ftp anonyme. Le fichier contenant les séquences d attaque est ensuite transféré sur ce serveur. 2. La cible du transfert est désignée au serveur ftp distant au moyen de la commande PORT. En mode normal, cette commande contient l adresse IP du système ayant établi la connexion initiale. Dans le scénario d une attaque, cette commande contient l adresse IP du système cible de l attaque et le numéro de port du service à attaquer. 3. L attaquant initialise ensuite son attaque en ordonnant le transfert du fichier d attaque sur la machine cible. Transfert classique 1- C: Ouverture de la connexion 2- C: Authentification 3- D: Transfert Client/Serveur 4- C: Fermeture Canal de commande: ouverture, authentification, commandes Canal de donnée: transmission du contenu du fichier Client Serveur Transfert en rebond 1- C: Ouverture de la connexion 2- C: Authentification 3- D: Transfert Client/Relai 4- C: Désignation Cible 5- D: Transfert Relai/Cible 4- C: Fermeture Client Canal de commande Canal de donnée Relai Canal de donnée Cible Cette technique d attaque en rebond est redoutablement efficace : l origine de l attaque est masquée par le serveur ayant servi de relais et une sélection judicieuse de celui-ci peut dans certains cas autoriser la traversée des filtres de sécurité (cas d un serveur ftp situé sur une DMZ). Les mesures de protections suggérées dans le RFC visent principalement à limiter les risques d utilisation d un serveur en tant que relais d attaque : 1. Interdire l utilisation de numéros de port destination supérieurs à 1024 sur le canal de donnée : le serveur ne pourra ainsi être utilisé pour attaquer un service distant connu, ceux-ci utilisant généralement un numéro de port inférieur à C136/BVEL Mai - 15/05/99 Page

21 2. Restreindre le transfert anonyme de fichier : les fichiers d attaques ne pourront ainsi être déposés sur le serveur relai. 3. Interdire la commande PORT sur le serveur FTP : cette commande, nécessaire sur un client ftp, n est que rarement requise coté serveur. 4. Contrôle des adresses IP : les connexions de commande et de donnée doit être réalisées au sein d un même réseau, ou périmètre de protection. Attaque en force des mots de passe : L accès au service de transfert de donnée FTP est protégé par un mécanisme d authentification de type login/password. Aucune protection contre la recherche exhaustive des comptes d accès et mots de passe associés n est proposée par défaut. L auteur du RFC suggère d activer les différents mécanismes de protection lorsque ceux-ci sont disponibles : limitation du nombre d essai, augmentation délai de reconnexion sur échec d authentification, Recherche des comptes déclarés : Les spécifications du protocole FTP précise qu un message d erreur explicite doit être transmis lorsque que le nom de compte est inexistant, ou lorsqu un mot de passe est requis : - Code 530 : Le nom de compte est inexistant - Code 331 : Le nom de compte existe mais un mot de passe est requis Ces codes facilitent notablement le travail de l attaquant en lui fournissant une information autorisant une recherche efficace et exhaustive des comptes déclarés sur le serveur. L auteur du RFC recommande de configurer le serveur, lorsque cela est possible, afin de transmettre le code 331 en lieu et place du code 530. Vol de ports : La plupart des systèmes d exploitation allouent les numéros de port dynamique par simple incrémentation. En réalisant une connexion légitime, l attaquant obtient un numéro de port et peut alors assez facilement prédire le prochain numéro de port qui sera alloué. Plusieurs attaques peuvent alors être initialisés à partir de cette information. Il est recommandé, lorsque cela est possible, de configurer le système, ou le serveur FTP, afin que les numéros de ports soient alloués aléatoirement. Autres problèmes : Trois autres problèmes couramment rencontrés sont rappelés : - Les risques induits par une mauvaise configuration du serveur FTP anonyme. - L existence d une commande étendue SITE EXEC permettant l exécution d une quelconque commande sur le système hébergeant le service FTP. Cette facilité ne doit être activée qu avec le plus grand soin. - L utilisation de services FTP compilés, ou configurés, avec l option de debugging IETF DDRRAAFFTT- -I II EETTFF- -BBMM WW GG- - SSEECCPPEERRFF TTXXTT BBEENNCCHHMM AARRKKI II NNGG TT EECCHHNNOOLLOOGGYY FFOORR FFI II RREEWW AALLLL PPEERRFFOORRMM AANNCCEE Ce draft, publié début Mai 1999, a pour auteur David Newman, journaliste de la célèbre revue de référence DATA Communications. Il se propose de définir les termes à utiliser dans le cadre de mesures de performances de systèmes de sécurité de type garde-barrière, tout en s'appuyant sur la terminologie déjà employée pour les commutateurs et les routeurs (respectivement dans la RFC 2285 et les deux RFC 1242 et 1944 de Scott Bradner de 1991 et 1996). Les deux critères principaux évoqués sont le taux de transmission ("forwarding rate") et tout ce qui est lié aux connexions. La rédaction d'un tel Draft est justifiée par le fait qu'il n'existe à ce jour pas de méthode reconnue pour la mesure de performance des gardes-barrières, mais que l'on demande à ces derniers des taux de transferts de plus en plus élevés. Ils sont en effet installés en nombre croissant sur les réseaux internes des entreprises pour séparer différents segments de réseaux, là où les limitations inhérentes à l'internet (débit nominal de la connexion, non garantie des temps de réponses) ne peuvent plus justifier les ralentissements induits dans les communications. La définition de chaque terme est répartie de la façon suivante : définition succincte, précisions complémentaires, unité de mesure, autres éléments définis concernés. On notera que dans la définition du "taux de transfert autorisé", il convient de ne prendre en compte que les datagrammes qui traversent le système étudié en conformité avec les règles de filtrage. De même en cas d'authentification, la validation ne 99.C136/BVEL Mai - 15/05/99 Page

22 dépend souvent plus du garde-barrière lui-même, mais plutôt de systèmes serveurs d'authentification (Radius, LDAP, ) externes. Une rapide comparaison des définitions des termes "relais de circuits" ("circuit proxy") et "relais applicatifs" ("application proxy") est aussi faite. Les autres points importants sont le nombre de communications en parallèle ou de "sessions concurrentes" ("concurrent connections"), les durées d'établissement ("connection establishment time") et de fin ("connection teardown time") des connexions, les mécanismes de persistance des sessions ("connection maintenance") et les aspects de filtrage de paquets ("static versus stateful packet filtering"). La définition du garde-barrière ("firewall") est volontairement laissée ouverte : "a device or a group of devices that enforces an access control policy between networks". La traduction du terme "firewall" peut donc aussi être "routeur" ou "serveur cache". Il s'agit donc d'un draft qui a aussi le mérite de poser des définitions pour de nombreux termes souvent utilisés mais avec des interprétations différentes selon que l'on soit client, fournisseur ou "marketeur de produits technologiques"! En conclusion, un draft qui est appelé à servir de référence dès sa prochaine publication d autant qu il a pour parrains d illustres personnalités dans le monde de la sécurité (Ted Doty, Marcus Ranum, ). DDRRAAFFTT- - GGUUTTFFRREEUUNNDD- - CCOONNTTEENNTT- -FFI II LLTTEERRI II NNGG- - PPRROOTTOOCCOOLL TTXXTT IINNTTEERRNNEETT I CCOONNTTEENNTT FFI II LLTTEERRI II NNGG PPRROOTTOOCCOOLL Ce draft publié le 10 Mai 1999 a pour auteur Keith Gutfreund de la société AltaVista Internet Software. Le Protocole de Filtrage de Contenu (ou "CFP" pour "Content Filtering Protocol") a été développé pour faciliter les connexions entre des bases contenant des informations pour le filtrage de contenu ("CFD" ou "Content Filtering Databases") et les gardes-barrières. Il a pour but de fournir à un garde-barrière, ou à un système cache, une autorisation de communication ou un ordre de rejet lors de la demande de connexion à une URL. Le CFP est un protocole binaire basé sur une session TCP/IP spécifique sur le port Les données sont décomposées en 2 parties : une en-tête ("message header block") de taille fixe (16 octets) et un corps ("message body block") de taille variable. Les échanges sont simples et basés sur une architecture de type client/serveur avec des réponses du serveur fournissant un code retour et éventuellement une qualification ("rating") sur l'url demandée. Il est dommage de constater que ne soient pas évoqués de mécanismes permettant de garantir l'intégrité de la réponse du serveur, ou même permettant d'authentifier le serveur contenant la Base de Donnée de filtrage. Il n'est pas non plus question des principes de mises à jour du contenu de ces bases de données. DDRRAAFFTT- -I II EETTFF- - RROOAAMM OOPPSS- - FFRRAAUUDD- -LLI IIMM IITT- I TTXXTT LLI IIMM IITTI I NNGG FFRRAAUUDD IINN I RROOAAMM II INNGG Ce draft publié le 6 Mai 1999 a pour auteurs G. Zorn de Microsoft Corp. et P. Calhounde Sun Microsystems. Il est le résultat du groupe de travail "Roamops" ("Roaming Operations Working Group"). Le risque de fraude est présent en différents points de l'internet, et en particulier dans le cas du roaming (ou nomadisme) : - sur le point d'accès (NAS ou Network Access Server) du Fournisseur d'accès Internet, - sur son serveur RADIUS - ainsi qu'au niveau de tous les intermédiaires. Les problèmes potentiels peuvent avoir plusieurs causes dont : - les erreurs de transmission des informations de comptabilité (à cause des décalages horaires), - la possibilité du Fournisseur d'accès de rejouer des séquences d'authentification de l'utilisateur, - l'utilisation frauduleuse d'un même identificant simultanément par plusieurs personnes se partageant un même accès Internet en différents points du monde, - Ce Draft propose différentes techniques utilisant, entre autres mécanismes, les certificats et les compteurs de temps. 99.C136/BVEL Mai - 15/05/99 Page

23 4. ALERTES ET ATTAQUES 4.1. ALERTES Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht NA (SNI) BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell ISS CIAC IBM SGI SUN NetBSD OpenBSD Xfree86 Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell NA (SNI) NetBSD Cisco HP Netscape l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC 99.C136/BVEL Mai - 15/05/99 Page

24 Synthèse des Avis Publiés Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période Cumul 1999 Cumul 1998 Organisme CERT-CS CERT-CA CERT-VB CIAC Constructeurs COM Cisco Digital HP IBM Microsoft SGI Sun Unix libres RedHat Linux FreeBSD NetBSD OpenBSD Xfree Autres L0pht RootShell SNI / NAI X-Force Cumul 1998 SGI 34% Cumul 1999 SGI 9% Sun 16% Sun 18% Microsoft 40% Cisco 6% Digital 3% HP 17% IBM 5% Microsoft 19% Cisco 12% Digital 3% HP 18% IBM 0% 99.C136/BVEL Mai - 15/05/99 Page

25 Technologique Sécurité Avis officiels Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l éditeur du produit ou le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués. Fournisseur Titre URL Référence Date Niveau Origine Problème Dommages Plateforme Correction CISCO Cisco IOS Software Input Access List Leakage with NAT CIAC J-041 CISCO Field Notice Voir VT N /04 Critique Fonctions NAT et ACL Bogue logiciel IOS Perte de paquets et contournement des contrôles effectués Equipements des séries 17xx, 26xx, 36xx, AS58xx, 72xx, RSP70xx, 75xx, RSM 5xxx,.. Se référer à la field notice CISCO COLD FUSION Cold Fusion Application Server L0pht BugTraq 20/04 Elevé Utilitaire Expression Evaluator Configuration de base non sécurisée -Lecture, destruction et téléchargement d exécutables sur le serveur ColdFusion Serveurs utilisant l application ColdFusion Appliquer le correctif disponible sur le site Allaire HP HP-UX Vulnerability in sendmail CIAC J-040 HP SBUX ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix 20/04 Elevé SendMail Non documenté -Déni de service HP-UX et sur séries 700 et 800 Installer le correctif PHNE_17135 (10.20) et PHNE_17190 (11.00) NETBSD VFS Locking panic ftp://ftp.netbsd.org/pub/netbsd/misc/security/advisories/netbsd-sa txt.asc NetBsd SA /03 Moyen Virtual file system Bogue logiciel -Déni de service local NetBsd <= sur Intel Appliquer le correctif proposé par NetBsd. SRV4 compatibility device creation vulnerability NetBsd SA /03 Moyen Device /dev/wabi Permissions d accès au fichier device ftp://ftp.netbsd.org/pub/netbsd/misc/security/patches/ svr4_makedev -Accès à la partition du premier disque IDE NetBsd <= sur Intel Appliquer le correctif proposé par NetBsd. 99.C136/BVEL Mai - 15/05/99 Page

26 Technologique Sécurité MICROSOFT Patch Available for "DHTML Edit" Vulnerability MS Bugtraq Voir VT N /04 Moyen Contrôle DHTML Edit IE 5.0 et 4.0 MSHTML Update Available for Internet Explorer MS /04 Elevé Librairie MsHtmlt.Dll Solution available for File Viewers vulnerability MS L0pht 07/05 Moyen IIS 4.0 Site Server 3.0 Patch available for Excel 97 Virus Warning vulnerabilities Bogue dans le contrôle DHTML -Lecture d un fichier par le biais d une page piégée en javascript Bogues dans l analyse du format des fichiers HTML -Obtention d informations -Lecture du presse papier, -Exécution de code non sollicité Aucune restriction codées dans les outils Files Viewers -Lecture des fichiers hébergés sur le serveur (conditionnées par les ACL NT) -Lecture des sources des pages asp MS /04 Elevé Excel 97 Erreur de conception -Désactivation involontaire de la protection anti-virus IE 4.0 et 5.0 sur Windows 95, 98 et NT Intel IE 4.0 et 5.0 sur Windows 95, 98 et NT Intel IIS 4.0 et Microsoft Site Server 3.0 inclus dans : - Commerce Edition Commercial Internet BackOffice Server BackOffice Server 4.5 Excel 97 Appliquer le correctif disponible sur le site Microsoft Appliquer le correctif disponible sur le site Microsoft Désinstaller les visualisateurs à risque : - ViewCode.asp - ShowCode.asp - CodeBrws.asp - Winmsdp.asp Positionner les ACL NT Appliquer le correctif disponible sur le site Microsoft ORACLE Multiples file system vulnerabilities in Oracle 8 X-Force BugTraq 05/09 Elevé Gestion des permissions Gestion des liens symboliques - Création, modification, écrasement de fichiers Oracle privilégié -Acquisition de privilèges Oracle Oracle 8.03, 8.04, 8.05, 8.15 sur plateformes UNIX Appliquer le correctif disponible sur le site Oracle 99.C136/BVEL Mai - 15/05/99 Page

27 Technologique Sécurité Alertes Non Confirmées Les alertes présentées dans le tableau de synthèse suivant ont été publiées dans diverses listes d information mais n ont pas encore fait l objet d une confirmation de la part de l éditeur ou du constructeur. Ces informations autorisent la mise en place d un processus de suivi et d observation. Fournisseur Titre URL Référence Date Niveau Origine Problème Dommages Plateforme Correction FLOWPOINT No Admin password on FlowPoint adsl routers BugTraq 15/04 Elevé Accès telnet administratif Aucun mot de passe par défaut -Lecture et modification de la configuration des routeurs Routeurs FlowPoint/2000 Positionner un mot de passe sur le compte d administration IP FILTER IPFilter symlink problem BugTraq 16/04 Moyen Package IPFilter Domaine public Gestion des liens symboliques -Modification de fichiers protégés dont les fichiers de configuration IPFilter V sur FreeBSD, OpenBSD et NetBSD Aucune correction officiellement annoncée à ce jour LINUX Flaws in Rpc part of libc BugTraq KKI Security Team ftp-w0rm.tgz worm BugTraq CA /04 Elevé Librairie RPC Erreur de conception -Déni de service sur les services utilisant les RPC dont le portmap 15/04 Elevé Wu-FTPD Existence d un buffer overflow -Déni de service et exécution de code non contrôlé Systèmes LINUX, FreeBsd toutes versions Wu-Ftpd sur LINUX Version non annoncée Aucune correction officiellement annoncée à ce jour Code d exploitation publié Installer la dernière version de WuFtp Code publié pour LINUX Slackware 3.3, 3.4 NETWARE Pandora Hack BugTraq Novell TID: /04 Critique Protocole IPX Prédiction des numéros de séquence Spoofing d adresse -Déni de service par saturation des journaux du serveur -Acquisition de privilèges Netware 4.x Netware 5.x IPX activé Installer le correctif SP5 et activer l option de vérification des signatures NCP au niveau 3. Attention, les clients Microsoft ne pourront plus se connecter en IPX! 99.C136/BVEL Mai - 15/05/99 Page

28 Technologique Sécurité 4.2. ATTAQUES Outils SAARRAA Objet SARA, acronyme de Security Auditor s Research Assistant, est un outil d audit qui s inscrit dans la suite logique des outils SATAN et SAINT. Description Utilisant le modèle d architecture de SATAN, SARA se distingue des autres produits d audit par : 1. Sa politique de licence ouverte (GPL de GNU) 2. La disponibilité des sources 3. Une architecture ouverte visant à réutiliser les autres outils de sécurité dont nmap, 4. Une mise à jour hebdomadaire des bases de référence. Les fonctionnalités annoncées sont les suivantes : Générateur de rapport intégré (par réseau ou par base de donné) Interface vers des outils externes tels que nmap Test des vulnérabilités - CGI-BIN en environnement UNIX et IIS - buffer overflow sur SSH - sendmail - buffer overflow sur Imapd et Popd - Ftp et Wu-Ftp - buffer overflow sur tooltalk - NetBus, NetBus-2 et BackOrifice Prise en compte des dispositifs Pare-Feux Mécanisme évolué d identification des systèmes d exploitation Recherche et analyse - des comptes sans mots de passe - des volumes NFS exportés sans protection - des volumes NFS exportés par le service portmap - des fichiers NIS exportés sans protection - des accès ftp, tftp et rexd non protégés - des permissions d accès au serveur X11 - des accès aux r-commandes Complément d information Outil SARA: BLLAADDEERUUNNNNEERR ,, GI IIRRLLFFRRI IIEENNDD Avertissement : Les informations suivantes sont fournies à titre pédagogique. Ces outils ne doivent être utilisés qu a titre pédagogique sur des systèmes isolés et dédiés à cet usage. Objet Blade Runner et GirlFriend appartiennent à la catégorie des chevaux de Troie et offrent des fonctions similaires à celles de BackOrifice en environnement Windows/ Description Ces deux outils, dont les sources sont disponibles, ont entièrement été écrit en langage Pascal sous l environnement 99.C136/BVEL Mai - 15/05/99 Page

29 Technologique Sécurité Delphi. Contrairement à BackOrifice, ou à Netbus, l installation de la partie serveur n est pas automatisée. L auteur de GirlFriend recommande d utiliser l outil silkrope afin de dissimuler le serveur dans un exécutable anodin. Blade Runner L interface de Blade Runner est superbe et autorise un contrôle complet du système sur lequel tourne le serveur. Lors de la première exécution du serveur, celui-ci s enregistre sous la clef Software\Microsoft\Windows\CurrentVer sion\run\system-tray afin d être automatiquement lancé au démarrage du système. Les commandes sont transmises en clair et peuvent donc être facilement analysées depuis un outil de détection d intrusion. Dans la version testée, Blade Runner utilise les ports TCP 792 à 794. GirlFriend L interface de cet outil, d origine RUSSE, est plus simple que celle de Blade Runner mais offre autant de fonctionnalités. Lors de la première exécution du serveur, celui-ci s enregistre sous la clef Software\Microsoft\Windows\CurrentVer sion\run\windll.exe afin d être automatiquement lancé au démarrage du système. Dans la version testée, GirlFriend utilise le port TCP/21554 par défaut. Celui-ci peut être dynamiquement reconfiguré, le serveur sauvegardant le dernier port utilisé dans la registry. GirlFriend est détecté par la plupart des anti-virus sous la référence TROJ _GRLFRIEND2. Avis Ces outils n ont fait l objet d aucun avis de sécurité. Complément d information Sources BladeRunner: Sources GirlFriend: Outil SilkRope: 99.C136/BVEL Mai - 15/05/99 Page