Actualités :
14/05/2010 - Nouvelle fonctionnalité : devis en ligne !
30/04/2010 - Un exemple de Blind SQL Injection : Vulnérabilité Cacti
26/03/2010 - Forensics : un cas réel d'intrusion
22/02/2010 - Nos nouvelles offres : ToIP, VPN, Pont Hertzien et Forensic
29/01/2010 - Suivez nos Tweets
17/09/2009 - Debug VPN sous CheckPoint SecurePlatform
16/09/2009 - Activation des modules Apache sur Ubuntu 8.0.4 Server
04/09/2009 - Support du FTP passif sur un serveur protégé par iptables/netfilter
01/09/2009 - Linux Guru Wanted !
28/07/2009 - Désactiver la méthode TRACE sur Apache
20/07/2009 - Copier avec écrasement en mode non interactif
14/07/2009 - Connaitre la version de son Linux
28/03/2009 - NIST lance le concours pour SHA-3
17/01/2008 - Newsletter Janvier 2008
07/01/2008 - Monter un environnement PXE en 5 minutes
05/01/2008 - Google fabrique son propre switch 10Gb
15/12/2007 - wfuzz, un fuzzer HTTP
15/11/2007 - Newsletter Novembre 07
23/10/2007 - Un audit sécurité wifi
25/06/2007 - Visioconférences IP au travers de firewalls
12/06/2007 - Monter un serveur FTP sécurisé
10/05/2007 - Methodes AntiSpam
19/04/2007 - Proxy SNMP
13/03/2007 - NBAR, une fonctionnalité méconnue
04/03/2007 - Déchiffrer une session SSL : méthodes et limitations
24/02/2007 - LoadBalancer : Algorithmes de répartition
22/02/2007 - Rebond sur un PIX : évolutions au fil des versions
19/02/2007 - Apple se moque de la sécurité de Vista
25/01/2007 - Mesure réseau sous Linux
20/01/2007 - Load-Balancers : Introduction

 

 

 

Vous pouvez également retouver d'autres articles sur notre blog ou sur Twitter .

 

25/06/2007 - Visioconférences IP au travers de firewalls

Les constructeurs de firewall se vantent  souvent d'implémenter des modules applicatifs. Ceci est nécessaire lorsque l'applicatif ouvrent des ports TCP/UDP dynamiquement.

 

C'est typiquement le cas de la visioconférence IP lorsque celle-ci utilise H.323 (SIP est un autre concurrent ainsi que MGCP), qui "regroupe" de nombreux autres protocoles tels que H.245 et H.225.

 

Nous sommes intervenus récemment chez un client qui utilise des équipements de visioconférence TANDBERG pour des communications internationales traversant de nombreux firewall dont un Cisco PIX et un CheckPoint sur plateforme Nokia.

 

Lors de l'initialisation de la connexion, un échange H.225 (protocole qui gère l'appel : établissement, contrôle et fin) a lieu puis le flux est diffusé (via H.245  pour la gestion des flux médias, RTCP et RTP) sur des ports négociés. Lors de cette investigation nous avons découvert que le flux vidéo était interrompue 1 heure après le début de l'appel.

 

Nous avons tout d'abord soupçonné le PIX qui droppait silencieusement certains paquets H.245. Il faut dire que le TAC Cisco nous a conseillé de désactiver l'inspection protocolaire "fixup" H.323 et d'ouvrir les connexions TCP et UDP entre les équipements de Visio : ceci permet d'une manière assez brutal de s'assurer que le PIX ne bloquera aucun paquet de visioconférence !!

 

L'analyse des logs CheckPoint ne donnera non plus aucune piste (rien dans la règle 0, celle des autorisation / refus implicites). Pourtant l'analyse du traffic (par port mirroring) met en évidence le comportement anormal du CheckPoint : le flux H.245 est "cassé" alors qu'il est actif en permanence !!

 

En fait, c'est la session H.225 qui est inactive depuis une heure : déclenchant le "nettoyage" des règles négociées lors de l'appel H.323. Pourtant la documentation marketing détaille cette fonctionnalité (sic) "Enforce H.323 call duration limits".

 

Un workaround pour éviter ce "bug" dans l'inspection protocolaire, consiste à augmenter le timer nommé "H.323 idle timeout" prolongeant d'autant la libre circulation des flux H.245.

 

La conclusion de cette investigation est qu'il ne faut pas toujours de fier aux fonctions magiques (lire "applicatives") des firewalls et que souvent seule l'analyse du traffic avec un sniffer permet de mettre en lumière les dysfonctionnements d'un réseau.