Votre réseau MQ est-il «secure»?

Documents pareils

Sécurité WebSphere MQ V 5.3

Explorateur WebSphere MQ Nouveautés version 7.5 & Plugins

Guide MQ du 6 Mars WebSphere MQ et Haute Disponibilité

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Haute Disponibilité de l environnement WMQ Outils & Méthodes

Introduction à WebSphere MQ

BMC Middleware Management

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Q MANAGER HAUTE DISPONIBILITE MULTI INSTANCE

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

CNAM-TS. Constitution et mise en place d une équipe sécurité

Virtualisation et Sécurité

PortWise Access Management Suite

Formation en Sécurité Informatique

Utiliser le portail d accès distant Pour les personnels de l université LYON1

LA CARTE D IDENTITE ELECTRONIQUE (eid)

JAB, une backdoor pour réseau Win32 inconnu

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Open Vulnerability Assessment System

FORMATION CXA01 CITRIX XENAPP & WINDOWS REMOTE DESKTOP SERVICES

Etat des lieux sur la sécurité de la VoIP

TP 6 : Wifi Sécurité

Sécurité des Postes Clients

Installation de Premium-RH

Sécurité du cloud computing

Les solutions mobiles et Cloud au service de votre productivité

Gestion d'un parc informatique public avec LTSP

Manuel d installation et d utilisation du logiciel GigaRunner

CS REMOTE CARE - WEBDAV

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Tutoriel de configuration Interfaçage SSO

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

WebSphere MQ & Haute Disponibilité

Système Normalisé de Gestion des Bibliothèques -SYNGEB : version Réseau-

Notes de mise à jour Fiery Print Controller AR-PE3, version 1.01 pour AR-C330

Avantages. Protection des réseaux corporatifs de gestion centralisée

Profil de Poste Technicien Informatique

Managed VirusScan et renforce ses services

Fiche technique Mailpro

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

VAMT 2.0. Activation de Windows 7 en collège

Guide de configuration. Logiciel de courriel

La sécurité dans les grilles

Sécurisation du réseau

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Disque Dur Internet «Découverte» Guide d utilisation du service

Sauvegarde de postes clients avec BackupPC

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Serveur d impression CUPS

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

MANUEL DE DEPLOIEMENT

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

LOGICIEL DE GESTION DE LABORATOIRE ALPHA LABO

Alexandre Buge Epitech 5 Promo Soutenance de stage du 01/03/2004 au 31/08/2004

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Fiche descriptive de module

TARGET SKILLS PlanningPME

SUJET EPREUVE ECRITE. JURY ASI Bap E Gestionnaire de parc informatique et Télécom.

Guide SQL Server 2008 pour HYSAS

MANUEL D INSTALLATION

Configuration de base de Jana server2. Sommaire

PRO CED U RE D I N STALLATI O N

A-EAK (1) Network Camera

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Indiscrétions et «zones constructeurs» «Redécouvrons nos disques durs»

Gestion du risque numérique

Projet Sécurité des SI

Tutoriel pour la gestion des bases de données du Serveur Mysql virtualisé par le Gip Récia

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Logiciel REFERENCE pré-requis informatiques et techniques :

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Administration de systèmes

cc.region.beaujeu@wanadoo.fr Site Internet Actuellement nous trouvons ce schéma réseau :

Les risques HERVE SCHAUER HSC

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Services Réseaux - Couche Application. TODARO Cédric

Guide d installation JMap 5.0

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

ClariLog - Asset View Suite

WORKSHOP OBIEE 11g (version ) PRE-REQUIS:

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

CONFIGURATION DE LA RECEPTION DES MAILS EN POPS.

Configuration de GFI MailArchiver

Dispositif e-learning déployé sur les postes de travail

STATISTICA Version 12 : Instructions d'installation

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

KASPERSKY LABS. Kaspersky Administration Kit 6.0. Guide de deploiement

Architecte technique Senior Expert WebSphere/ WebSphere MQ / Message Broker

Sun Java System Access Manager Notes de version pour Microsoft Windows

EN Télécom & Réseau S Utiliser VMWARE

Accès & Sécurité. edouard.lorrain@citrix.com Business Development Manager

Transcription:

Votre réseau MQ est-il «secure»? ou «L histoire des trois petits Qmgrs» (Mise à jour de la présentation de Septembre 2008) Note : certains paragraphes ont été volontairement brouillés Luc-Michel Demey Demey Consulting lmd@demey-consulting.fr

Configuration utilisée Laptop Win XP Quelques outils Serveur Unix WMQ 6.0.24 Hypothèse de base : l attaquant à un accès IP à l attaqué. Demey Consulting, 2010 Guide MQ du 16/11/2010 2

Test n 1 Adresse IP connue, port connu, nom QM connu : SEC0 Sur 192.168.0.8 Port du listener : 1414 Utilisation MQJE depuis un poste Windows Utilise le canal SYSTEM.ADMIN.SVRCONN Résultat : Full Access Sans authentification sur le serveur Unix Le «hacker» a les droits «mqm» sur le serveur (en fait les droit du compte sous lequel s exécute le listener) Demey Consulting, 2010 Guide MQ du 16/11/2010 3

Prise de contrôle de SEC0 Demey Consulting, 2010 Guide MQ du 16/11/2010 4

Ensuite? Il y a d autres Qmgr sur le réseau, mais adresse IP non connue port listener non connu nom Qmgr non connu canaux SVRCONN non connus... Utilisation d un d outil de scan MQ Open Source (merci Roger Lacroix!) Demey Consulting, 2010 Guide MQ du 16/11/2010 5

Résultat QMgrName,Version,ChannelName,hostname/IP_Address,Port SEC0,600,SYSTEM.DEF.SVRCONN,192.168.0.8,1414 SEC0,600,SYSTEM.AUTO.SVRCONN,192.168.0.8,1414 SEC0,600,SYSTEM.ADMIN.SVRCONN,192.168.0.8,1414 SEC1,600,SYSTEM.DEF.SVRCONN,192.168.0.8,1501 SEC1,600,SYSTEM.AUTO.SVRCONN,192.168.0.8,1501 SEC1,600,SYSTEM.ADMIN.SVRCONN,192.168.0.8,1501 SEC2,600,SYSTEM.DEF.SVRCONN,192.168.0.8,1502 SEC2,600,SYSTEM.AUTO.SVRCONN,192.168.0.8,1502 SEC2,600,SYSTEM.ADMIN.SVRCONN,192.168.0.8,1502 SEC2,600,ADMIN.SVRCONN,192.168.0.8,1502 SEC3,600,SYSTEM.DEF.SVRCONN,192.168.0.8,1503 SEC3,600,SYSTEM.AUTO.SVRCONN,192.168.0.8,1503 SEC3,600,ADMIN.SSL,192.168.0.8,1503 Note : utilisation d une version modifiée de l outil pour élargir la liste des canaux à tester. Demey Consulting, 2010 Guide MQ du 16/11/2010 6

Test n 2 : Attaque SEC1 Adresse IP connue, port connu, nom QM connu : SEC1 Sur 192.168.0.8 Port du listener : 1501 Utilisation MQJE depuis un poste Windows Résultat : 2035 - Denied,, car le canal SYSTEM.ADMIN.SVRCONN contient un MCAUSER invalide Variante : Suppression du canal Demey Consulting, 2010 Guide MQ du 16/11/2010 7

Attaque SEC1 : alternative 1 Utilisation des objets par défaut Création d un compte «mqm» sur le laptop Utilisation du MO71 Entrée par le canal SYSTEM.DEF.SVRCONN paramètre MCAUSER = Demey Consulting, 2010 Guide MQ du 16/11/2010 8

Attaque SEC1 : alternative 2 Utilisation de l explorateur WMQ V7 Entrée par n importe quel canal qui a le paramètre MCAUSER à blanc «qui voulez-vous vous être aujourd hui?» Demey Consulting, 2010 Guide MQ du 16/11/2010 9

Prise de contrôle de SEC1 Demey Consulting, 2010 Guide MQ du 16/11/2010 10

Attaque SEC2 Ou les «avantages» de la sécurité par l obscurité Configuration : SEC2,600,ADMIN.SVRCONN,192.168.0.8,1502 Canal SVRCONN spécifique pour l administration Avec MCAUSER = «mqm» Demey Consulting, 2010 Guide MQ du 16/11/2010 11

Prise de contrôle de SEC2 Demey Consulting, 2010 Guide MQ du 16/11/2010 12

Attaque SEC3 ou l histoire du Qmgr qui se croyait en sécurité Configuration : Canaux SVRCONN par défaut «fermés» Canal d administration spécifique protégé par SSL Attention si WMQ < 6.0.2.2 bug «DEFCON» Qmgr inviolable? Demey Consulting, 2010 Guide MQ du 16/11/2010 13

Attaque SEC3 Attaque «par le jardin» Création d un Qmgr sur le laptop Transformation du Modification du CONNAME Création d une Démarrage du canal Possibilité de déposer des messages dans SEC3 via des files éloignées A condition d en connaître le nom Demey Consulting, 2010 Guide MQ du 16/11/2010 14

Attaque SEC3 Création d une file éloignée pointant sur la Dépôt d un message PCF forgé dans la file éloignée Ce message demande la création d un Utilisation du MO71 pour se connecter à SEC3 Demey Consulting, 2010 Guide MQ du 16/11/2010 15

Prise de contrôle SEC3 Demey Consulting, 2010 Guide MQ du 16/11/2010 16

Liaison SEC3 SEC4 Demey Consulting, 2010 Guide MQ du 16/11/2010 17

Attaque SEC4 Attaque «par rebond» Utilisation de la fonction Proxy du MO71 Demey Consulting, 2010 Guide MQ du 16/11/2010 18

Bilan des risques Absence de sécurité Installation de base Aggravation du risque Ajout d un MCAUSER Sécurité par l obscurité Création d un canal spécifique Objets par défaut Ne rien oublier Accès de type proxy Un risque pour les liens inter- sociétés Demey Consulting, 2010 Guide MQ du 16/11/2010 19

Solutions? Serveurs MQ en DMZ applicative Neutraliser les objets par défaut Identifier les partenaires via SSL MCAUSER systématique Droits d accès aux objets Audits réguliers Demey Consulting, 2010 Guide MQ du 16/11/2010 20