----------------------------- Compte rendu de la réunion du lundi 10 septembre 2001 dans les locaux d'Edelweb Auteur : Clément Séveillac ----------------------------- L'ordre du jour est : I/ Produits tiers de filtrage IP ou de filtrage de contenu sur NT / 2000. II/ Revue des dernières vulnérabilités Windows 2000. III/ Discussion sur l'opportunité de rédiger un guide de sécurisation pour Windows 2000. La présentation de la pile IP de Windows 2000 et des fonctions IPSec, initialement prévue ce jour, est reportée sur les deux prochaines réunions (8/10 et 12/11) I/ Produits tiers de filtrage IP ou de filtrage de contenu sur NT. I.1/ Les mécanismes de sécurité de Microsoft ISA Server. ISA Server : Internet Acceleration Server. Devait s'appeler Microsoft Proxy 3 mais son nom a changé pour indiquer qu'il est bien plus élaboré que ses prédécesseurs. En résumé ses fonctionnalités sont : - sécurité réseau (Firewall, Relais VPN, IDS) - publication (Proxy, Reverse Proxy, Proxy RPC) - gestion de la bande passante (QoS) - cache *dynamique* (le 'A' de ISA) - gestion des accès Internet - diffusion de flux (norme H323) La présentation de Patrick Chambet (EdelWeb) sera disponible sur le site de l'OSSIR (document PowerPoint) au même endroit que ce compte-rendu ; nous ne présentons donc ici que les discussions qui ont eu lieu lors de celle-ci. Il y a eu principalement deux questions : Q : Les membres présents ici ont-ils des retours d'expériences sur ce produit ? R : Non. Q : ISA Server opère-t-il au-dessus des fonctionnalités IP de Windows 2000 ? R : Avis partagés. La documentation de ISA Server ne détaille pas ce point, même si Microsoft indique plutôt une réponse positive. Cependant, certains participants pensent qu'il doit parfois agir plus bas (interface NDIS) pour gérer des particularités, comme la fragmentation des paquets, non disponible au niveau de la pile IP. I.2/ Présentation de deux composants de la "chaîne de sécurité" de Matranet. Stéphane Solier, responsable produit, présente MTunnel (VPN) et MManager (gestion des accès au Web). Leur présentation est aussi mise en ligne sur le site de l'OSSIR, et ne figurent ici que les commentaires et discussions suscités par celle-ci. Q : Le protocole d'échange de clefs de MTunnel est-il propriétaire ou IKE ? R : Aujourd'hui, MTunnel utilise un protocole propriétaire, mais nous sommes bien conscient du besoin d'interopérabilité, c'est pour cela que nos équipes de développement travaillent sur le support de IKE dans notre produit. A l'heure actuelle IKE ne fonctionne qu'en laboratoire et bien que le réel besoin n'est pas encore sur le marché. Bien évidemment MTunnel sera IKE dans les mois qui viennent. R' : Pourtant plusieurs entreprises le font déjà, et ont prouvé que l'interopérabilité était possible. Sur MManager : Q : Comment sont gérées les URL à rallonge, utilisées par de nombreux sites? R : Il est possible d'utiliser des caractères "*" comme wilcard ce qui permet de travailer sur tout ou partie de l'URL. Au sujet des pages personnelles sur MManager, l'utilisateur a aussi accès à ses statistiques d'utilisation sous forme graphiques. Q : Comment sont filtrées les pages en https ? R : On peut autoriser ou non le https, et filtrer les sites par leur nom. Ajout : L'utilisateur dispose d'une page personnelle, où il peut consulter la situation de sa consommation Internet par rapport à ses quotas, et voir ses hits enregistrés dans la base de données. Q : Comment est gérée l'authentification dans le mode utilisant un domaine NT ? R : Le serveur doit faire partie du domaine NT d'où proviennent les utilisateurs. De façon plus précise, MManager tourne sous forme de service NT et il faut donc que ce service soit lancé avec un login qui ait le droit d'interroger le PDC pour l'authentification. Si le serveur ne fait pas partie du domaine NT en question, il faut mettre en place une relation d'approbation entre les domaines. Q : Sur quelles plates-formes tourne-t-il ? R : Sur Windows NT 4.0 ou Windows 2000. II/ Discussion sur les dernières vulnérabilités de Windows 2000. Elles ont été présentées, et plus ou moins détaillés selon leur importance, par Nicolas Ruff (EdelWeb). Depuis la dernière réunion (11 juin) sont parus les bulletins MS01-032 à MS01-046, ainsi qu'une troisième version du bulletin MS01-030. Les deux plus importants sont le MS01-033 (buffer overflow dans idq.dll, exploité par une des versions du fameux Code Red), et le MS01-044, qui répare 5 conditions de déni de service (reprend et corrige certains bulletins, comme le MS01-033 qui pouvait conduire à planter IIS 4). La discussion a ensuite porté sur Code Red, dont Nicolas a retracé l'historique et les différentes caractéristiques. Description résumée des vers : Code Red I : se propage mais pas de façon optimale. Lance périodiquement des attaques contre une IP appartenant à la Maison Blanche. Réside seulement en mémoire, ne change rien sur le disque. Code Red II : plus offensif. Entre autres : laisse un root.exe qui est en fait un cmd.exe, dans l'arborescence du site web, et partage les disques en répertoires virtuels. Déclenche un redémarrage pour pouvoir se propager (plus efficacement que CRv1), et commence alors par attaquer les IP les plus proches. On trouve aujourd'hui des Code Green censés désinfecter et patcher les machines touchées, ainsi qu'un Code Blue n'ayant pas grand chose à voir avec ces derniers. On recense aussi une augmentation des scans depuis les "home users", en particulier ceux possédant une liaison câble ou ADSL. Problèmes soulevés : les administrateurs doivent limiter le phénomène tout en respectant la loi. Les IDS ne permettent pas toujours de bloquer ce type d'attaques,du fait des possibilités de coder les URL en Unicode (%u plus deux chiffres, d'où de nombreuses possibilité d'écrire une même lettre). Autres nouvelles : - Le SP3 de Windows 2000 est en beta-test, et devrait donc bientôt sortir. - Sur Windows XP : le DoJ américain tente de retarder sa sortie, tandis que des chercheurs annoncent avoir cassé son fameux dispositif anti-piratage. - Selon le CERT/CC, on constate une aggravation dans le phénomène des vers et virus, en particulier mais pas seulement chez les home users. Les plus récents (Sircam...) se propagent efficacement par tous les partages réseau accessibles et analysent le cache Web de l'utilisateur, tandis que d'autres connaissent un regain de popularité (Magister). III/ Discussion sur l'opportunité de rédiger un guide de sécurisation pour Windows 2000. Jean Olive (EdelWeb) a avancé l'idée de réaliser, au nom de l'OSSIR, un guide de sécurisation de Windows 2000. L'objectif est double : - constituer le premier document de référence en français. - contribuer à la notoriété du groupe Sécurité NT. Le principe de sa réalisation serait d'exploiter l'un des nombreux documents disponibles sur le sujet (en se basant éventuellement sur un guide existant), mais aussi sur l'expérience des participants. Pour cela, et pour éviter toute stagnation de l'avancée du travail, nous pourrions rédiger collectivement ce guide, par parties ou sous-parties, à chaque réunion. La date de publication du rapport pourrait être mai 2002, et il sera décidé dès la prochaine réunion si le groupe poursuit ce projet ou non. Jean Olive fera un appel à candidatures pour le groupe de travail dans la liste. Dans ce contexte, Mathieu Donzel a proposé de "donner" à l'OSSIR une base de données de vulnérabilités, correctifs, mécanismes et leviers de sécurité, accessible sur www.demesis.com et il viendra la présenter à la prochaine réunion.