Feed Randco : Articles et Actualites

Nouvelle fonctionnalit� : devis en ligne !

webmaster@randco.fr

Un exemple de Blind SQL Injection : Vuln�rabilit� Cacti

webmaster@randco.fr

Forensics : un cas r�el d'intrusion

webmaster@randco.fr

Dans le cadre de notre activit�, un client, dont le serveur web semblait suspect, nous a demand� de r�aliser une investigation de l'un de ces serveurs.

Description du syst�me:

Le syst�me analys� est un Linux Ubuntu h�bergant une application web accessible sur Internet et d�ploy� via Apache. Le serveur est une VM h�berg� sur un ESX 3.0, Quelques mois auparavant, nous avions proc�d� � un autre Forensic d'une de ces VMs (serveur), et nous avons d�couvert que le syst�me �tait compromis, le Hacker a profit� d'un phpMyAdmin ancien, accessible et non s�curis�, voir http://www.exploit-db.com/exploits/8921 .

Malheureusement, notre client utilise le m�me mot de passe pour toutes les VMs pr�sentes sur cet ESX, ce qui a certainement jou� un r�le dans tout cela.

Travail sur un clone

La machine compromise est install�e sur un ESX, nous n'avions donc qu'� cloner cette VM pour l'analyser. Dans le cas contraire nous aurions �t� contraints de pr�parer une autre machine distante qui aurait re�u les r�sultats des analyses tout comme les fichiers corrompus.

En effet un rootkit ou des binaires modifi�s (ls, cd, netstat...etc.) peuvent �tre pr�sents, faussant ainsi les r�sultats. Dans notre cas nous pouvons travailler tranquillement � l'analyse sans nous soucier de modifier le syst�me gr�ce aux snapshots

Les �tapes d'un Forensic sont longues et d�pendent du syst�me � analyser. Nous allons dans cet article pr�senter les �tapes les plus importantes.

Premi�res �tapes

Premi�rement, une analyse des logs et des fichiers cl�s nous permet de restreindre l��tendue des recherches et d��tablir les premi�res pistes.

Voici quelques points qui pourraient vous �tre utiles :

le fichier /etc/passwd contient une entr�e laissant penser � l�infection du syst�me par un bot IRC.
Nous remarquons aussi que que le fichier log /var/log/secure est tr�s volumineux (700MB), son analyse r�v�le une attaque de type brute force sur ssh(22) et ftp(21).
Autre point suspect, le fichier history du compte root est vide.

On peut v�rifier alors le contenu de /var/log/auth, pour voir les derni�res connexions. Cela dit, si l'intrus a pens� � effacer l�historique, il a certainement pens� aussi � effacer ses traces.

Nous n'avons pu trouver aucune trace dans les logs qui ont peut �tre �t� nettoy�es par un �ventuel pirate. Par cons�quent, nous avons suppos� la pr�sence d'un rootkit sur le serveur.

Une �tape n�cessaire fut donc de passer cette Ubuntu aux analyseurs de rootkit et Antivirus connus � savoir : �

Chkrootkit
Rkhunter
ClamAV

L�ex�cution des ces � anti-rootkit � et Antivirus n'a pourtant rien donn�. La d�tection de binaires modifi�s reste une �tape fastidieuse (c'est dans ces moments que nous nous appr�cions l'importance des logiciels tel que Tripwire ou Samhain pour le contr�le d'int�grit� des fichiers, et qui nous alertent lors de la modification de ceux-ci)

Nous avons poursuivi notre recherche via l��tude des diff�rents processus. #netstat -lantp

A la vue de ce screenshot , l�application utilisant le port 22(ssh) est de toute �vidence une piste � creuser � cause des caract�res non imprimables affich�s � l'�cran.

La commande "lsof -in" r�v�lait le m�me r�sultat, d'autant que l'emplacement du binaire �tait bugg�/crypt�. Il suffit alors de chercher le pid dans /proc/PID et ex�cuter ensuite "ls -al" pour avoir l'emplacement exacte.

La d�couverte

Le d�mon SSHd est probablemnt v�rol�, mais nous devons le prouver !

Nous notons que la version affich�e est : OpenSSH_4.3p2 Debian-8ubuntu1.1 .. ce qui est la plus r�cente sur cette plateforme � cette date

A notre connaissance, il n'existe pas de backdoor sp�cifique � cette version : il s'agit donc sans doute d'un "vieux" code source de Backdoor SSH, modifi� pour inclure une banni�re actuelle, et qui a ensuite �t� repackag�.

Nous remarquons que la taille du binaire (2.3M) est nettement sup�rieure � un sshd normal (~ 500k) obtenue sur une installation saine r�alis�e en laboratoire dans une version d'OS identique.

Les biblioth�ques link�es sont ,elles aussi, diff�rentes : ce sshd2 est certainement un binaire compil� (majoritaire statiquement) sur un autre syst�me, que le hacker a juste d�pos� sur le serveur et a ex�cut�.

L'avantage ce cette m�thode est qu'il n'a eu besoin sur la machine compromise ni d'un compilateur ni des librairies n�cessaires : tout est dans le binaire ! (d'o� le nom de kit)

L'inconv�nient (pour le pirate) de cette m�thode est un avantage pour nous : la taille du binaire a �veill� nos soup�ons !

D'ailleurs nous ne sommes pas les premiers sur Internet � avoir remarqu� cette anomalie (cf http://jhodges.co.uk/ssh-unknown-option-t/ ).

Detection des flux r�seaux entrants et sortants

Supposant qu'il existe un canal de communication entre le serveur compromis et le pirate, nous commen�ons par mettre des r�gles iptables qui vont permettre de logger les nouvelles connexions qui pourraient �ventuellement �tre �tablies, comme l'envoi des mots de passe des utilisateurs qui se connectent ou alors une simple notification.

(Nous observerons effectivement des paquets RST lorsque nous "killerons" le process SSHd, alors que cette connexion TCP n'�tait pas visible sur le syst�me).

#iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- 192.168.10.0/24 anywhere

ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED

LOG tcp -- anywhere anywhere

LOG level warning

LOG udp -- anywhere anywhere

LOG level warning

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- anywhere 192.168.10.0/24

ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED

LOG tcp -- anywhere anywhere

LOG level warning

LOG udp -- anywhere anywhere

LOG level warning

Chaque nouvelle connexion sera enregistr�e dans le fichier /var/log/kern.log.

Analyse du Backdoor SSH

L'analyse d'un binaire est une �tape d�licate, qui prend du temps. Plusieurs types d'analyses peuvent �tre effectu�es comme l'analyse de l'ex�cution du binaire en temps r�el et voir comment il se comporte suivant diff�rents �v�nements.

Dans notre cas nous avons commencer en analysant les cha�nes de caract�res pr�sentes dans le binaire via la commande �strings�. En effet, ayant d�j� analys� quelques types de Backdoor SSH, nous savons par exp�rience que cette recherche pourrait donner des r�sultats probants.

Nous nous lan�ons donc dans la recherche des chaines de caract�re suspectes. Deux cha�nes (parmi les milliers de lignes pr�sentes) attirent notre attention :

Nous consultons le contenu du fichier /etc/sinux ...

Bingo ! Celui-ci est la liste de tous les utilisateurs qui se sont connect�s sur le syst�me (avec mot de passe, adresse IP source et heure de connexion).

Par d�duction, cela nous permet d'�valuer la date de compromission.

Le principe de la plupart des backdoor SSH est de permettre au hacker de se servir d'un mot de passe dit Magic (dans le cas pr�sent "bluechamp1835"), qui lui permet de se connecter au serveur sans que son activit� ne soit inscrite sur aucun des fichiers de logs mais aussi de cacher sa pr�sence, et en la rendant ind�tectable via les commandes (w, who...etc.)

Effectivement le compte root/bluechamp1835 permet bien de se connecter en SSH...

Un md5sum du fichier binaire nous donne:

#md5sum /usr/sbin/sshd2
39066f0dc8590d7243bc011127e907a1 /usr/sbin/sshd2

Au final, seul sshd et quelques autres fichiers (sftp...etc.) semblent avoir �t� modifi�s. Malheureusement, nous ne pouvons pas en �tre certains. Le syst�me a �t� compromis en tant que root, cela veut dire que le pirate a pu modifier n'importe quel binaire pr�sent.

Nous recommandons, dans ce cas, la r�installation du syst�me du simple fait que l'analyse de tous les binaires prendrait beaucoup plus de temps/argent que sa r�installation, mais elle est surtout plus s�re.

Conclusions

Le travail de forensic doit s�effectuer sur une copie du syst�me (dd, ghost).

Dans notre cas, l�utilisation d�une VM � �t� tr�s utile. (Configuration d�un environnement similaire)

L�utilisation de scans (Anti-virus, anti-rootkit�) n�est qu�une premi�re �tape.

Une v�rification manuelle, rapide et efficace est n�cessaire. Avoir un contr�leur d'int�grit� de type iWatch/Samhain/Tripwire qui surveillera les fichiers syst�me et nous alertera en cas de changement devient de plus en plus important.

Cela r�v�le une fois de plus l�importance de l�association d�un firewall bien configur� � des mises � jour r�guli�res.

L�OS dans notre cas pr�sent n��tait pas � jour et les r�gles iptables vides.

Derniers rappels, bien connus mais importants,

changer le port d'�coute de SSHd permet d��viter les scans permanents,
mettre en place un syst�me anti brute-force (type fail2ban) qui �limine ce type d'attaque et facilite l�analyse des logs.
utiliser des clefs RSA et d�sactiver l'authentification SSH par mot de passe

Enfin, de mani�re g�n�rale, on observe un recrudescence des attaques. Celle-ci a �t� faite par un pirate discret, qui n'a �t� detect� que parce qu'il utilisait un binaire g�n�rant des caract�res � l'affichage...

La signature de ce binaire n'est pas pr�sente sur Internet : le hacker a sans doute recompil� lui-m�me les sources en modifiant les param�tres importants (probablement le mot de passe Magic et le fichier de stockage des login/passwords intercept�s). On n'est donc plus tout � fait dans le cas typique d'un script-kiddie...

On peut �galement imaginer les d�gats si les mots de passe d'un utilisateur ayant des droits �lev�s sont repliqu�s sur plusieurs machines du m�me r�seau...

Sans notre intervention, le hacker serait rest� pr�sent sur le syst�me, qui aurait �t� inclus dans un botnet (r�seau de machines zombies), dont l'usage est lou� � toutes sortes d'activit� illicites (DDOS, spam, etc..).

Cette prestation a �t� r�alis�e dans le cadre de notre offre Forensic , d'audit s�curit� suite � une intrusion.

Nos nouvelles offres : ToIP, VPN, Pont Hertzien et Forensic

webmaster@randco.fr

Nous avons pris le temps d'�crire notre vision du march� de la ToIP/VoIP et d'expliquer nos prestations dans un article publi� ici .

Par ailleurs nous avons formalis�e nos offres de :

l'interconnexion de sites en VPN IPSEC (point � point ou multi-points)
l'interconnexion de sites en pont Hertzien (point � point ou multi-points)
intervention apr�s intrusion ou compromission de serveur(s)

Suivez nos Tweets

webmaster@randco.fr

Depuis quelques mois nous n'avons plus �crit d'articles sur ce site ou m�me sur notre blog . En effet, nous utilisons la plateforme de micro-blogging Tweeter, ce qui nous permet d'�tre plus pr�sent bien que les messages soient (beaucoup trop) courts.

Suivez donc notre tweet � !!

Debug VPN sous CheckPoint SecurePlatform

webmaster@randco.fr

Cet article se trouve sur notre blog : http://blog.randco.fr/2009/09/17/debug-vpn-sous-checkpoint-secureplatform/ .

Connaitre la version de son Linux

webmaster@randco.fr

L'article se trouve sur notre blog : http://blog.randco.fr/2009/07/14/connaitre-la-version-de-son-linux/ .

Copier avec �crasement en mode non interactif

webmaster@randco.fr

L'article se trouve sur notre blog : http://blog.randco.fr/2009/07/20/copier-en-mode-non-interactif/

D�sactiver la m�thode TRACE sur Apache

webmaster@randco.fr

L'article se trouve sur notre blog : http://blog.randco.fr/2009/07/28/desactiver-la-methode-trace-sur-apache/ .

Support du FTP passif sur un serveur prot�g� par iptables/netfilter

webmaster@randco.fr

Cet article se trouve sur notre blog : http://blog.randco.fr/2009/09/04/support-du-ftp-passif-sur-un-serveur-protege-par-iptablesnetfilter/ .

Activation des modules Apache sur Ubuntu 8.0.4 Server

webmaster@randco.fr

L'article se trouve sur notre blog : http://blog.randco.fr/2009/09/16/activation-des-modules-apache-sur-ubuntu-8-0-4-server/ .

NIST lance le concours pour SHA-3

webmaster@randco.fr

Une fonction de hachage, est une fonction particuli�re qui, � partir d'une donn�e fournie en entr�e, calcule une empreinte (hash, condens�) servant � identifier rapidement, bien qu'incompl�tement, la donn�e initiale.

Les fonctions de hachage sont utilis�es en cryptographie : initialement cr�es pour construire des signatures num�riques afin d'assurer l'int�grit� des messages, elles sont �galement utilis�es dans le contr�le d'int�grit� des donn�es et des applications, l'authentification notamment dans HMAC (keyed-hash message authentication code),dans les protocoles IPSEC et SSL notamment.

<
<
<
<
<
<
<
<
<
<

Linux Guru Wanted !

webmaster@randco.fr

Dans le cadre de notre d�veloppement, nous recherchons un guru Linux pour travailler principalement sur des sujets OpenSource dans le cadre de nos missions d'expertise sur le p�rim�tre Infrastructure IT (syst�mes, r�seaux, s�curit� et supervision bien s�r !!).

Vous maitrisez parfaitement Linux (et un langague de script tel que Perl ou Python) et �tes capable de contribuer sur certains outils (Nagios, Cacti, Wireshark, Ntop, etc..)

Dou� techniquement, autonome, ayant envie d'apprendre et de relever le d�fi de l'expertise, vous serez int�gr� � notre �quipe et pourrez exprimer votre plein potentiel dans une ambiance jeune et sympathique sur de courts projets tr�s pointus (audit, troubleshooting, consulting, mise en oeuvre, etc..).

Nous vous formerons sur les domaines connexes (notamment mat�riels et logiciels tels que Cisco, CheckPoint, VMware, etc..) et vous donnerons les moyens mat�riels et financiers d'atteindre vos objectifs.

CDI bas� � Paris.
Pour poustuler , merci de remplir la fiche ici

Google fabrique son propre switch 10Gb

webmaster@randco.fr

Newsletter Janvier 2008

webmaster@randco.fr

Retrouvez ci-dessous le contenu de notre newsletter de Janvier 2008.

Pour s'inscrire, voir ici .

<
<
<
- <
- <
- <
  <
  <
  <
  <
  <
  <
  <
  <
  <
  <
  <
  <
  - <
  - <
    <
    <
    <
    <
    - <
    - <
      - <
      - <
        
        <
        
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <
        <

wfuzz, un fuzzer HTTP

webmaster@randco.fr

C'est un outil assez r�cent puisque publi� le 18 Octobre 2007. Ecrit en python, "wfuzz" ( http://www.edge-security.com/wfuzz.php ) est un "Fuzzer".

"Fuzzer" est une technique de test qualit� qui consiste � injecter massivement et de mani�re automatis�e des donn�es al�atoires sans a priori (du "fuzz") en entr�e d'un programme. Ainsi, si un crash intervient, le d�faut peut �tre not� puis corrig�.

En quoi cela peut-il nous �tre utile ? Dans nos activit�s de s�curit�, ce type d'outil nous sert � "Brute-Forcer" un serveur Web, c'est � dire tester toutes les combinaisons possibles � partir soit d'un fichier dictionnaire ou bien d'un ensemble de caract�res alphanum�riques, ponctuation, etc.. .
Ci dessous quelques usages :

- identifiant / mot de passe ; exemple typique :
python wfuzz.py -c --ntlm "mon_domainemon_user:FUZZ" -z file -f wordlists/megabeast.txt --hc 401 http://mon_site.com

- URL ; exemple typique d'attaque sur IIS :
python wfuzz.py -c -z file -f wordlists/vulns/iis.txt --hc 401,404 http://www.mon_site.com/FUZZ

- variables dans une URL ; exemple typique :
wfuzz.py -c -z range -r 1-100 --hc 404 http://www.mon_site.com/list.asp?id=FUZZ

Nous l'avons utilis� cette semaine lors d'un test d'intrusion (pentest) pour "brute-forcer" une authentification HTTP NTLM sur un serveur IIS.

Attention , car notre distribution bas�e sur Debian ne poss�dait pas le package python "pycurl" supportant NTLM : nous avons donc d� recompiler libcurl puis pycurl � partir des sources :

wget http://curl.haxx.se/download/curl-7.17.1.tar.gz tar zxvf curl-7.17.1.tar.gz cd curl-7.17.1/ ./configure make sudo make install ldconfig wget http://pycurl.sourceforge.net/download/pycurl-7.16.4.tar.gz tar zxvf pycurl-7.16.4.tar.gz cd pycurl-7.16.4/ sudo python setup.py install

On v�rifie ensuite le support de NTLM dans pycurl ainsi :

$ python Python 2.4.4c1 (#2, Oct 11 2006, 21:51:02) [GCC 4.1.2 20060928 (prerelease)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> import pycurl >>> pycurl.version_info() (3, '7.17.1', 463105, 'i686-pc-linux-gnu', 540, 'OpenSSL/0.9.8b', 0, '1.2.3', ('tftp', 'ftp', 'telnet', 'dict', 'http', 'file', 'https', 'ftps'), None, 0, None) >>>

Une fois l'attaque achev�e, on obtient le r�sultat suivant :

Target: http://www.mon_site.com/exchange Payload type: file Total requests: 45463 =========================================================== ID Response Lines Word Request =========================================================== 00053: C=401 10 L 18 W "mon_domaineadministrateur:admin"

On constate un code retour HTTP 401 (Acc�s non autoris�) : on ne gagne pas � chaque coup ... surtout quand les inconnues sont multiples : dans le cas pr�sent non seulement mot de passe mais �galement identifiant et nom de domaine.

Monter un environnement PXE en 5 minutes

webmaster@randco.fr

<
<
- <
- <
  <
  1. <
    <
    <

Newsletter Novembre 07

webmaster@randco.fr

Retrouvez ci-dessous le contenu de notre newsletter de Novembre 2007.

Pour s'inscrire, voir ici .

====================================================
�� Newsletter RANDCO� Novembre 2007
====================================================

--[ Sommaire ]-------------------------

�� 1. Actualit�s Soci�t�
�� 2. Nouvel article "Un audit de s�curit� WiFi"
�� 3. Actualit�s Supervision
�� 4. Vu sur le Net
�� 5. L'outil du mois
�� 6. Contact

�

--[ 1. Actualit�s Soci�t� ]----

�

Depuis la rentr�e, de nombreuses actualit�s autour de RANDCO :

�

- Deux nouveaux consultants nous ont rejoint depuis Octobre : un ing�nieur r�seau avec une sp�cialisation s�curit� (notamment technologies anti-spam) et un consultant r�seaux et syst�mes pour l'administration de l'infrastructure d'un de nos clients, en mode contrat de service global.

�

- A l'occasion d'une mission sur de l'expertise JBOSS, nous avions fait connaissance et sympathis� avec J�r�me MOLIERE, expert J2EE et auteur de livres sur ce sujet. Nous avons d�cid� d'un partenariat qui renforce nos comp�tences sur les domaines des infrastructures IT en y incluant les serveurs J2EE. Nous avons initi� ce partenariat en organisant une formation JBOSS sur mesure pour l'un de nos clients.

�

- M�me si elles sont parfois d�cri�es, nous croyons dans les certifications des �diteurs et des constructeurs afin de valider et de faire valoir nos comp�tences. Ainsi ce mois-ci, trois de nos consultants ont obtenu les certifications HP SAN , Cisco CCNA et Microsoft Windows 2003 Server.Nous reviendrons sur les cerifications SAN (stockage) dans notre prochain num�ro.

�

- RANDCO, en tant que sp�cialiste de l'int�gration de plateformes de supervision OpenSource est cit� par 01net : http://www.01net.com/editorial/357204/

�

- Nous interviendrons, comme chaque ann�e, � l'Ecole Nationale Sup�rieure d'Informatique pour l'Industrie et l'Entreprise (ENSIIE, http://www.ensiie.fr/ ) lors d'une conf�rence aupr�s des �l�ves ing�nieurs sur le m�tier de consultant en Infrastructures IT, le vendredi 7 d�cembre 2007.

�

--[ 2. Nouvel article "Un audit de s�curit� WiFi" ]----

�

Nous avons r�alis� derni�rement, lors d'un test d'intrusion, un audit de s�curit� WiFi dont les r�sultats se sont r�v�l�s assez typiques !

Gr�ce � nos cartes munies du chipset Atheros et de la distribution en LiveCD Linux BackTrack, nous avons sniff� les communications Wifi et d�couvert que la s�curisation utilis�e reposait sur le protocole propri�taire Cisco LEAP (LightWeight EAP)....

�

La suite sur : http://www.randco.fr/?p=actualites&ID=32

--[ 3. Actualit�s Supervision ]----

�

L'actualit� des outils de supervision Open Source est charg�e en cette fin d'ann�e :

�

- Sortie de la beta Nagios v3.0b6 (http://www.nagios.org/) . D�s qu'une version stable 3.0 sortira, nous �crirons un article d�taillant les nouveaut�s dont principalement un nouveau front-end de configuration, de meilleures performances et l'utilisation d'une base de donn�es. La version stable connait �galement une nouvelle release mineure avec la version 2.10

�

- Sortie de la v0.8.7 de Cacti (http://cacti.net/) qui apporte notamment une plus grande granularit� des options (par �quipement), une am�lioration graphique (utilisation de fontes TruType par RRDtool), et la possibilit� d'export des points de collecte en format CSV. La liste des plugins utilisables dans Cacti s'aggrandit r�guli�rement,et nous apportons (modestement) notre contribution � cette �difice en patchant le collecteur d'adresses MAC utilis� dans MACTRACK pour les �quipements r�seaux Foundry ( http://forums.cacti.net/viewtopic.php?p=116100#116100 ).

�

--[ 4. Vu sur le Net ]----

�

Comme beaucoup de professionnels de la s�curit� nous lisons attentivement la newsletter de Bruce Schneier (http://www.schneier.com/crypto-gram.html ) qui regorge (trop ?) d'informations. Ce mois-ci nous avons d�cid� de nous attarder sur cette information : les CPU embarqu�es sur les cartes graphiques permettent de cracker les mots de passe 25 fois plus vite que la CPU "classique" d'un ordinateur r�cent !! (http://blogs.techrepublic.com.com/tech-news/?p=1433&tag=nl.e019)

�

Cela est d� principalement aux capacit�s massivement parall�les des processeurs de carte graphique (GPU) et la taille de leur m�moire embarqu�e sans cesse grandissante.

�

C'est une information int�ressante car nous utilisons assez r�guli�rement ces technologies lors de nos audits de s�curit� ou tests d'intrusion. Nous faisons appel � des Rainbow Table (listes de hashes de mot de passe d�j� pr�-calcul�s, cf http://en.wikipedia.org/wiki/Rainbow_table ) via des outils sp�cialis�s tels que ophcrack (http://ophcrack.sourceforge.net/ ) ou Cain&Abel (http://www.oxid.it/cain.html ) . Les tables NTLM (m�canisme d'authentification moderne de Windows) pour les mots de passe jusqu'� 8 caract�res sont ainsi publi�es sous la forme de plusieurs fichiers de 650Mo. On peut ainsi casser tout mot de passe de cette longueur en moins de 10 minutes (temps de parcours des tables).

�

Cependant l'utilisation appropri�e, native sur certains syst�mes d'exploitation (principalement les UNIX-like et GNU Linux), d'un SALT� (c-a-d un nombre al�atoire ajout� au mot de passe avant le hachage) les rend in�fficiente. Dans ces cas, l'utilisation de r�seau type P2P ou Grid computing, tel que http://www.freerainbowtables.com/ , permet de b�n�ficier d'une puissance de calcul communautaire, sur le principe de gain/consommation de cr�dits.

�

Quoiqu'il en soit, justifier l'achat d'une PlayStation3 � des fins de s�curit� ne manque pas de sel� :)

�

--[ 5. L'outil du mois ]----

�

C'est un outil assez r�cent puisque publi� le 18 Octobre 2007. Ecrit en python, "wfuzz" ( http://www.edge-security.com/wfuzz.php ) est un "Fuzzer".

�

"Fuzzer" est une technique de test qualit� qui consiste � injecter massivement et de mani�re automatis�e des donn�es al�atoires sans a priori (du "fuzz") en entr�e d'un programme. Ainsi, si un crash intervient, le d�faut peut �tre not� puis corrig�.

�

En quoi cela peut-il nous �tre utile ? Dans nos activit�s de s�curit�, ce type d'outil nous sert � "Brute-Forcer" un serveur Web, c'est � dire tester toutes les combinaisons possibles � partir soit d'un fichier dictionnaire ou bien d'un ensemble de caract�res alphanum�riques, ponctuation, etc.. .
Ci dessous quelques usages :

�

- identifiant / mot de passe� ; exemple typique :
python wfuzz.py -c --ntlm "mon_domainemon_user:FUZZ" -z file -f wordlists/megabeast.txt --hc 401� http://mon_site.com

�

- URL ; exemple typique d'attaque sur IIS :
python wfuzz.py -c -z file -f wordlists/vulns/iis.txt --hc 401,404 http://www.mon_site.com/FUZZ

�

- variables dans une URL ; exemple typique :
wfuzz.py -c -z range -r 1-100 --hc 404 http://www.mon_site.com/list.asp?id=FUZZ

Nous l'avons utilis� cette semaine lors d'un test d'intrusion (pentest) pour "brute-forcer" une authentification HTTP NTLM sur un serveur IIS.

�

Attention , car notre distribution bas�e sur Debian ne poss�dait pas le package python "pycurl" supportant NTLM : nous avons donc d� recompiler libcurl puis pycurl � partir des sources :

�

wget http://curl.haxx.se/download/curl-7.17.1.tar.gz tar zxvf curl-7.17.1.tar.gz cd curl-7.17.1/ ./configure make sudo make install ldconfig

wget http://pycurl.sourceforge.net/download/pycurl-7.16.4.tar.gz tar zxvf pycurl-7.16.4.tar.gz cd pycurl-7.16.4/ sudo python setup.py install

�

On v�rifie ensuite le support de NTLM dans pycurl ainsi :

�

$ python Python 2.4.4c1 (#2, Oct 11 2006, 21:51:02) [GCC 4.1.2 20060928 (prerelease)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> >>> import pycurl >>> >>> pycurl.version_info() (3, '7.17.1', 463105, 'i686-pc-linux-gnu', 540, 'OpenSSL/0.9.8b', 0, '1.2.3', ('tftp', 'ftp', 'telnet', 'dict', 'http', 'file', 'https', 'ftps'), None, 0, None) >>> >>>

�

Une fois l'attaque achev�e, on obtient le r�sultat suivant :

�

Target: http://www.mon_site.com/exchange Payload type: file Total requests: 45463 =========================================================== ID Response Lines Word Request =========================================================== 00053: C=401 10 L 18 W "mon_domaineadministrateur:admin"

�

On constate un code retour HTTP 401 (Acc�s non autoris�) : on ne gagne pas � chaque coup ... surtout quand les inconnues sont multiples : dans le cas pr�sent non seulement mot de passe mais �galement identifiant et nom de domaine.

�

--[ 6. Contact ]----

�

RANDCO, SARL au capital de 30.000 Euros.
45 Avenue Hoche
75008 Paris
Contact Commercial : contact _chez_ randco.fr
Contact pour la Newsletter : newsletter _chez_ randco.fr

Un audit s�curit� wifi

webmaster@randco.fr

Nous avons r�alis� derni�rement, lors d'un test d'intrusion, un audit de s�curit� WiFi dont les r�sultats se sont r�v�l�s assez typiques !

Gr�ce�� nos cartes munies du chipset Atheros � et de la distribution en LiveCD Linux�Backtrack , nous avons sniff� les communications Wifi�et d�couvert que la s�curisation utilis�e reposait sur le protocole propri�taire Cisco LEAP (LightWeight EAP).

Cisco d�crit ainsi � la s�quence d'authentification et d'�changede cl�s de la fa�on suivante :

�

Cisco LEAP is based on a username/password scheme and uses the following basic authentication process:

1. A client connects to the wireless medium.

2. The client sends a start message to an AP (Access Point).

3. The AP sends an access request on behalf of the client to the authentication server.

Il est important de noter que le trafic r�seau entre l'AP et le serveur d'authentification (en g�n�ral RADIUS) sont r�alis�es sur le LAN et donc hors de port�e des attaquants. Par ailleurs, et c'est d'ailleurs le cas l�, le serveur RADIUS utilis� est parfois directement embarqu� sur l'AP.

4. The client sends its username to the AP, which forwards it to the authentication server.

5. The authentication server sends a challenge back.

6. The AP forwards the challenge to the client as an EAP message over 802.1X.

Ci-dessus, on observe bien le nonce de 8 octets.

�

7. The client runs the challenge through the Cisco LEAP algorithm, mixes challenge and user password together, and responds with a value, which the AP forwards to the authentication server.

La r�ponse du client est�g�n�r�e ainsi :�3 copies du�nonce�sont chiffr�es en DES�par�3 cl�s distinctes :�on les obtient en hashant le mot de passe (via MD4, produisant un aggr�gat de 16 octets), en le concat�nant avec 5 octets null, puis en le d�coupant en 3�s�quences (cl�s)�de 7 octets.

�

Le client envoie�alors�le challenge-response de 24 (3x8) octets, que l'on peut observer dans la capture ci-dessus.

�

La faiblesse de LEAP tient dans le fait que le clair est connu (pas de chiffrement du nonce)�et que la 3�me cl�DES est quasiment connue : les 5 derniers octets (sur 7!) sont "0" !

Il devient assez simple de lancer une attaque par dictionnaire ou brute force en utilisant cette optimisation.. pour chaque test de mot de passe, seul le 3�me et dernier bloc DES est g�n�r� : si celui-ci correspond � la capture, le second bloc est calcul�. En cas de correspondance, le premier bloc est�alors calcul� : si de nouveau il y a correspondance , le mot de passe est trouv� !

�

8. The authentication server runs the user password through the Cisco LEAP algorithm, which processes the challenge and client response, then compares its derived value with the value it received from the client. If the two values match, the authentication server sends a success message to the AP, which passes it to the client.

9. Now, the client sends a challenge to the authentication server to authenticate the AP (the network), and proceeds through the reverse Cisco LEAP process.

On voit bien le client envoyer un challenge de 8 octets.....

.. auquel l'Access Point r�pond par une donn�e de 24 octets.

Dans une seconde trame, l'AP envoie la cl� de session :

�

10. If the network is successfully authenticated, the client passes a success message through the AP to the authentication server, which opens a port. The user is live on the network.

11. Cisco LEAP RADIUS server a WEP key for that session and stores it in the AP.

12. The Cisco LEAP client locally derives the WEP key.

�

Lors de notre audit, nous avons �videmment tent� (et r�ussi � casser le mot de passe) gr�ce � l'outil thc-leapcracker en mode brute force :

�

La conclusion ? Une mauvais m�canisme de s�curit� permet � un attaquant :

d'obtenir en clair le login de l'utilisateur connect�
d'obtenir le mot de passe chiffr� (ou d�riv�) attaquable en mode offline

Ce mot de passe est malheureusement celui du Wifi mais �galement celui du domaine, et de l'acc�s VPN�!!! On comprend ais�ment les d�gats..

C'est pourquoi nous pr�conisons :

une politique de mots de passe forts et fr�quemment chang�s qui reste la meilleure contre-mesure � la plupart des attaques. Si cette politique n'est pas applicable alors il existe des alternatives telles que l'authentification forte via des tokens (RSA, ActivCard, etc..) ou des certificats.
une d�correlation des comptes (et des mots de passe) VPN, Domaine Active Directory,Wifi, M�tier, etc...
l'utilisation quasi syst�matique de VPN IPSEC m�me en mode WiFi
une veille active autour de la s�curit� (information, passage de patch, am�lioration de la configuration ou des m�canismes de s�curit�) lorsque de tels risques sont encourus. Dans le cas pr�sent la mise en oeuvre de PEAP par l'�tablissement d'un tunnel SSL doublement authentifi� (certificat serveur et client) permet d'assurer �galement une bonne s�curit� (au prix d'un d�ploiement plus lourd sur les postes de travail).

Visioconf�rences IP au travers de firewalls

webmaster@randco.fr

Les constructeurs de firewall se�vantent� souvent d'impl�menter des modules applicatifs. Ceci est n�cessaire lorsque l'applicatif ouvrent des ports TCP/UDP dynamiquement.

�

C'est typiquement le cas de la visioconf�rence IP lorsque celle-ci utilise H.323 (SIP est un autre concurrent ainsi que MGCP), qui "regroupe" de nombreux autres protocoles tels que H.245 et H.225.

�

Nous sommes intervenus r�cemment chez un client qui utilise des �quipements de visioconf�rence TANDBERG pour des communications internationales traversant de nombreux firewall dont un Cisco PIX et un CheckPoint sur plateforme Nokia.

�

Lors de l'initialisation de la connexion, un �change H.225 (protocole qui g�re�l'appel�: �tablissement, contr�le et fin) a lieu puis le flux est diffus� (via H.245 � pour la gestion des flux m�dias, RTCP et RTP) sur des ports n�goci�s. Lors de cette investigation nous avons d�couvert que le flux vid�o �tait interrompue 1 heure apr�s le d�but de l'appel.

�

Nous avons tout d'abord soup�onn� le PIX qui droppait silencieusement certains paquets H.245. Il faut dire que le TAC Cisco nous a conseill� de d�sactiver l'inspection protocolaire "fixup" H.323 et d'ouvrir les connexions TCP et UDP entre les �quipements de Visio : ceci permet d'une mani�re assez brutal de s'assurer que le PIX ne bloquera aucun paquet de visioconf�rence !!

�

L'analyse des logs CheckPoint ne donnera non plus aucune piste (rien dans la r�gle 0, celle des autorisation / refus�implicites). Pourtant l'analyse du traffic (par port mirroring) met en �vidence le comportement anormal du CheckPoint : le flux H.245 est "cass�" alors qu'il est actif en permanence !!

�

En fait, c'est la session H.225 qui est inactive depuis une heure :�d�clenchant le "nettoyage" des r�gles n�goci�es lors de l'appel H.323. Pourtant la documentation marketing d�taille cette fonctionnalit� (sic) "Enforce H.323 call duration limits".

�

Un workaround pour �viter ce "bug" dans l'inspection protocolaire, consiste � augmenter le timer nomm� "H.323 idle timeout" prolongeant d'autant la libre circulation des flux H.245.

�

La conclusion de cette investigation est qu'il ne faut pas toujours de fier aux fonctions magiques (lire "applicatives") des firewalls et que souvent seule l'analyse du traffic avec un sniffer permet de mettre en lumi�re les dysfonctionnements d'un r�seau.

Monter un serveur FTP s�curis�

webmaster@randco.fr

Sur un de nos serveurs h�berg�s, nous devons�installer et configurer�rapidement un serveur FTP d'upload pour quelques-un de nos clients.

Notre plateforme de pr�dilection est d�sormais Ubuntu-Server �tant donn� le manque de visibilit� de Mandriva. Voici d�crites ci dessous les quelques �tapes que nous avons suivi.

�

Installation de proftpd.

�

La distribution proftpd est contenu dans le repository universe d'Ubuntu que nous devons activer en d�commentant dans le fichier /etc/apt/sources.list la ligne :

deb http://fr.archive.ubuntu.com/ubuntu/ edgy universe deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy universe

�

Ensuite on effectue un classique :

�

$ sudo apt-get update $ sudo apt-get install proftpd

�

Dans le menu propos�, on choisit l'installation en "standalone" plutot qu'avec (x)inetd.

�

Configuration de proftpd.

�

La configuration par d�faut laisse � d�sirer notamment au niveau de la s�curit�.

Nous modifions donc le fichier /etc/proftpd/proftpd.conf en ajoutant les lignes suivantes :

## L'authentification s'appuye sur une liste explicite de comptes list�s dans "/etc/proftpd/passwd" AuthOrder mod_auth_file.c AuthUserFile "/etc/proftpd/passwd" AuthGroupFile "/etc/proftpd/group" ## Les utilisateurs sont chroot�s dynamiquement lors de la connexion : il ne peuvent remonter le r�pertoire parent DefaultRoot ~ ## On d�sactive la banni�re founrissant des informations sur la version du serveur ServerIdent off ## les utilisateurs FTP n'ayant pas besoin de se logger autrement sur le serveur, leur shell est fix� � "/bin/false". La directive ci-dessous est n�cessaire pour accepter ce fonctionnement. RequireValidShell off ## Controle d'acc�s : par d�faut tout est interdit !! < LIMIT ALL> � DenyAll < /LIMIT> ## Controle d'acc�s : les utilisateurs peuvent �crire et lire dans leur r�pertoire respectif < Directory ~ > � < Limit READ WRITE RNFRM > �� AllowAll � < /Limit > � < Limit STOR > �� AllowAll � < /Limit > < /Directory > # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask�022� 022

Cr�ation des comptes FTP

�

Par d�faut, tout compte d�clar� dans le syst�me et non� inclus dans le fichier "/etc/ftpusers" est apte � se connecter. Ce principe de black-list n'est �videmment pas acceptable au vu des risques encourus.

Nous pr�f�rons donc opter pour un syst�me en liste blanche via les directives suivantes :

�

AuthOrder mod_auth_file.c AuthUserFile "/etc/proftpd/passwd" AuthGroupFile "/etc/proftpd/group"�

ll faut ensuite � la fois cr�er les comptes dans le syst�me (avec la commande useradd , par exemple) et pour la partie proftpd avec la commande :

�

/usr/sbin/ftpasswd --passwd --file=/etc/proftpd/passwd --name=mon_user --home=/home/mon_dir --shell=/bin/false --uid=1005

�

On notera que le uid (user identification number) fourni (ici "1005") doit correspondre � celui indiqu� dans le fichier syst�me /etc/password.�

Methodes AntiSpam

webmaster@randco.fr

Les spams repr�sentent largement plus de 50% du volume des e-mails.

L'ampleur ce ph�nom�ne est telle que des mesures gouvernementales � et judicaires � se mettent en place afin de criminaliser ces pratiques.

Chez nos clients, nous sommes fr�quemment mis � contribution pour mettre en oeuvre des contre-mesures pour combattre ce fl�au. Dans cet article nous verrons les m�thodes anti-spams "g�n�riques". Nous aborderons dans un prochain article la configuration pratique (notamment LDAP )�de 2�solutions commerciales�que nous avons r�cemment �valu�.

�

Greylisting

�

Challenge/Response

CallBacks

Filtres Bayesiens

Conclusion

�

On comprend mieux pourquoi la plupart de ces solutions ne sont pas satisfaisantes pour un lutte centralis�e et efficace contre le spam.

C'est pourquoi les acteurs commerciaux proposent des m�thodes compl�mentaires :

analyse heuristique (� l'instar des anti-virus)
analyse � base de signatures
liste d'adresse blanches et noires (white & black list) contenant les adresses IP des serveurs SMTP "l�gitimes" ou "spammeurs notoires"

D'autres fonctionnalit�s sont indispensables � une solution compl�te :

acc�s par l'utilisateur � sa quarantaine (liste des e-mails bloqu�s et lui �tant adress�, nomm� en anglais User Quarantine)
v�rification en amont de l'existence de l'adresse mail du destinataire (en g�n�ral par LDAP) avant d'accepter le contenu du mail

Proxy SNMP

webmaster@randco.fr

�

Dans certains cas, il est int�ressant (voire n�cessaire) d'impl�menter un proxy�SNMP afin de pouvoir interroger des �quipements qui ne doivent (ou peuvent) pas joindre le serveur de supervision.

Dans ce cas nous utilisons un serveur relais (g�n�ralement un firewall Linux) poss�dant une�interface sur chacun des r�seaux et nous configurons son agent SNMP (la solution Open Source net-snmp anciennement ucd-snmp) afin d'agir comme proxy.

Suivant la communaut� fournie, le proxy fera suivre la requ�te � des machines diff�rentes.

Si on trouve quelques documents sur la configuration de cette fonctionnalit�, la partie Contr�le d'Acc�s est en g�n�ral omise, or elle est indispensable pour obtenir une solution qui fonctionne.

Nous reproduison donc ici l'int�gralit� du fichier /etc/snmpd/snmpd.conf :

�

#COM1 est la communaut� par d�faut pour l'agent lui-m�me

rocommunity COM1

view all_view included .1 80

�

# Les requ�tes comportant le communaut� COM2 seront affect�es � l'utilisateur "USER1" et au contexte "CONTEXT1" �

com2sec -Cn CONTEXT1 USER1 default COM2

# L'utilisateur USER1 fait partie du groupe GROUP1

group GROUP1 v1 USER1

�

#Le groupe GROUP1 a tous les droits en lecture

access GROUP1 CONTEXT1 any noauth exact all_view none none


�
# Les requ�tes appartenant au CONTEXT1 sont proxy�es (?) vers la machine REMOTE1 avec la communaut� REMOTECOM pour l'ensemble de la MIB (OID commen�ant par ".1.3")
proxy -Cn CONTEXT1 -v 1 -c�REMOTECOM�REMOTE1 .1.3

�
Enfin, envoyons les requ�tes :
# snmpwalk localhost -c COM1 system.sysName.0
SNMPv2-MIB::sysName.0 = STRING: "nom_machine_locale"
#snmpwalk localhost -c COM2 system.sysName.0
SNMPv2-MIB::sysName.0 = STRING: "nom_machine_distante"

�
Si vous n'obtenez pas ces r�sultats, il est possible d'obtenir des traces en lan�ant le d�mon snmpd ainsi : 
snmpd -f -Lsd -Dresult,proxy,vacm

NBAR, une fonctionnalit� m�connue

webmaster@randco.fr

Les �quipements r�seaux ne cessent de s'approcher des applications : chiffrement, compression, cache (ou acc�leration en termes marketing), qualit� de service, partage de charge, stockage, iPBX, d�tection si ce n'est pr�vention d'intrusion et maintenant m�me anti-spam !

Le but de cet article est de revenir sur une de ces avanc�es qui bien qu'ancienne (elle date de 2000) reste peu connue et utilis�e : Cisco NBAR (Network Based Application Recognition) est une fonctionnalit� embarqu�e sur les routeurs Cisco r�cents permettant la reconnaissance des applications � partir de signatures et non plus uniquement sur des ports TCP/UDP.

En l'activant, on peut construire le boitier QoS du "pauvre" en ce sens qu'aucun �quipement ou co�t supl�mentaire n'est n�cessaire : l'expert r�seau d�montre sa plus-value !

�

Evidemment, l'architecture doit �tre rout�e (ce qui �limine certaines topologies : les LANs �tendus au moyen de liens Ethernet 802.1Q, qu'ils soient fournis par des op�rateurs ou bien des fibres noires) et sous contr�le ( les routeurs ne doivent pas �tre g�r�s par un tiers, typiquement un op�rateur ou un h�bergeur). NBAR permet d'identifier les flux , � l'instar des ACLs, mais en utilisant des signatures pour d�tecter les applications utilisant des ports mouvants (par nature tels skype, h.323, ou par "accident"HTTP, Citrix,etc..) ou bien se camouflant (canaux cach�s avec stunnel, protocoles P2P : kazaa, emule, winMX , etc..). Ces signatures, nomm�es PDLM, sont mises � jour r�guli�rement et t�l�chargeables sous forme de mises � jour sur le site web de Cisco (n�cessite un acc�s CCO).

Certains flux utilisant des ports statiques g�n�ralement inchang�s ou non modifiables (typiquement DNS, Exchange ou bien Netbios) sont d�finis comme tels dans NBAR (i.e sans signature applicative).

�

Malheureusement, la plupart de ces signatures sont tr�s orient�es P2P (on trouve le m�me biais dans les boitiers de QoS des constructeurs Allot ou Packeteers) ou bien VoIP /ToIP. On peut imaginer que le march� entrevu par le filtrage � grande �chelle des flux P2P par les FAIs a justifi� ce positionnement.

Certaines signatures demandes � �tre test�es : nous avons d�couvert d�but 2007 que la signature TFTP d'un des constructeurs majeurs de boitiers de QoS ne fonctionnait pas (TFTP utilise des ports UDP dynamiques n�goci�s lors de la session de contr�le) : c'est tr�s probl�matique surtout lorsqu'on sait que la plupart des IP Phones bootent en chargeant leur logiciel par TFTP. Comment ce trafic pourrait-il �tre prot�g� si il n'est pas reconnu correctement ?

�

Revenons aux commandes Cisco : une fois le flux identifi�, on applique les m�canismes de queueing classiques :

�

RTR(config)class-map match-any bad_trafic

RTR(config-cmap)#match protocol edonkey

RTR(config-cmap)#match protocol napster

RTR(config-cmap)#match protocol fasttrack

[..]

RTR(config)policy-map kill_bad_trafic

RTR(config-pmap)#classmap bad_trafic

RTR(config-pmap-c)#drop

�

Si on veut �tre moins dur (par exemple pour du traffic web � titre personnel), on limite le d�bit � 100 kbits/s :

�

RTR(config)class-map match-any perso_trafic

RTR(config-cmap)#match protocol http url "*voila.fr*"

RTR(config-cmap)#match protocol http url "*youtube.com*" [..]

RTR(config)policy-map slow_perso_trafic

RTR(config-pmap)#classmap perso_trafic

RTR(config-pmap-c)#bandwidth 100

�

Il existe des possibilit�s pour rendre la QoS r�cursive (en utilisant des service-policy � l'int�rieur d'une policy-map) mais cela sera l'objet d'un autre article... Reste � l'appliquer sur l'interface Se0/0 vers Internet :

�

RTR(config)#interface serial0/0

RTR(config-if)#service-policy input kill_bad_trafic

RTR(config-if)#ip nbar protocol-discovery

�

La puissance de NBAR lorsqu'il est appliqu� � HTTP tient � son caract�re stateful ( gestion des �tat en fran�ais ?) : bien que ce soient les paquets sortants qui contiennent l'URL, les paquets entrants (c-a-d les donn�es) seront classifi�s dans le m�me flot et ainsi soumis � la politique de QoS (dans le cas pr�sent limitation en t�l�chargement � 10Kbps -mot cl� input).

�

Enfin, NBAR permet d'obtenir des statistiques d'utilisation applicative en quasi temps r�el : une fonctionnalit� que nous utilisons assez souvent lors de nos audits r�seau et que nous ne disposons pas d'outils de m�trologie sur site.

�

RTR#conf t

Enter configuration commands, one per line. End with CNTL/Z.

RTR(config)#int fa0/0

RTR(config-if)#ip nbar protocol-discovery

RTR(config-if)#^Z

�

[10 min plus tard]

RTR#show ip nbar protocol-discovery stats bit-rate top-n 10

On appr�ciera le fait que les statistiques concernent les paquets entrants et sortant de l'interface selectionn�e. La p�riode de r�f�rence (ici 5 min) est modifiable via la commande :

�

RTR#int fa0/0

RTR(config-if)#load-interval ?

<30-600> Load interval delay in seconds

�

Cette variable �tait d�j� utilis� lors du calcul de la charge et de la fiabilit� de l'interface :

�

RTR#sho int fa0/0 FastEthernet0/0 is up, line protocol is up

Hardware is MV96340 Ethernet, address is 0019.56bc.1288 (bia 0019.56bc.1288)

Internet address is 172.31.252.31/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set

�

En ce qui concerne la partie monitoring � moyen et long terme, Cisco publie une MIB NBAR qui vise peut-�tre � concurrencer la norme IETF RMON2 qui n'a jamais vraiment d�coll�.
Des frameworks de monitoring tels que Cacti peuvent ainsi grapher les stats NBAR.

�

Un dernier point : surveillez l'accroissement de CPU d� � NBAR. Ci dessous un extrait de la FAQ de NBAR:

�

Bonne d�couverte des flux de votre r�seau !

D�chiffrer une session SSL : m�thodes et limitations

webmaster@randco.fr

Tout le monde connait l'analyseur r�seau Ethereal et son successeur Wireshark. Une des nouveaut�s de la version 0.99.5 est le d�chiffrement de flux SSL dans certaines conditions.

Cette fonctionnalit� est tr�s int�ressante car elle permet enfin de pouvoir analyser le trafic SSL � l'aide d'un sniffer que ce soit sur un serveur ( la plupart du temps HTTPS mais �galement LDAPS, POPS, SFTP, etc.. ) en production ou bien sur un port de recopie d'un flux (gr�ce � la fonction de mirroring d'un switch ou bien encore l'usage d'un tap physique).

Au niveau du client, il existe d'autres possiblit�s en utilisant des proxy (tels que l'excellent outil WebScarab de l'OWASP) on bien du tunneling SSL (avec stunnel par exemple).

Pour �tre tout � fait exhaustif, l'outil ssldump permettait d�j� d'obtenir ce genre d'information, mais en shell. Son int�gration � WireShark permet ainsi de suivre ais�ment et graphiquement les segments TCP, acknowledgements, retransmissions, etc..

Pour mettre en pratique cette fonctionnalit� nous allons d�chiffrer le flux HTTPs d'un serveur de test. Tout d'abord cr�eons le mat�riel crypto :

Nous g�n�rons un bi-cl� RSA de 1024 bits :

# openssl genrsa -out server.key 1024

Generating RSA private key, 1024 bit long modulus

.......++++++ .++++++

e is 65537 (0x10001)

Notez la valeur de "e" : pour rappel, on a "ed= 1 mod (p-1)(q-1)" avec p et q grands nombre premiers choisis al�atoirement .

La valeur "pq" est la clef publique et "d" la clef priv�e. Bien que th�oriquement libre, la valeur de "e" choisie par la plupart des impl�mentations est 3 , 5, 17 ou bien 65537.

# openssl rsa -in server.key -out server.pem

Nous cr�eons maintenant le CSR (Certficate Signing request) :

# openssl req -new -key server.key -out server.csr

You are about to be asked [..]

Country Name (2 letter code) [GB]:FR

State or Province Name (full name) [Berkshire]:Paris

Locality Name (eg, city) [Newbury]:75008

Organization Name (eg, company) [My Company Ltd]:RandCo

Organizational Unit Name (eg, section) []:IT

Common Name []:test.randco.fr

Email Address []:

Comme nous sommes dans un environnement de test, nous autosignons ce CSR pour obtenir le certificat :

# openssl x509 -req -in server.csr -signkey server.key -out server.crt

Signature ok

subject=/C=FR/ST=Paris/L=75008/O=RandCo/OU=IT/CN=test.randco.fr

Getting Private key

Nous obtenons ainsi une cl� priv�e server.key et un certificat server.crt. Configurons ensuite Apache : nous ajoutons dans httpd.conf (au niveau du virtual host �coutant sur le port 443) ceci :

DocumentRoot /usr/local/apache2/htdocs

ServerName test.randco.fr SSLEngine on

SSLCertificateFile /usr/local/apache2/etc/ssl.crt/server.crt

SSLCertificateKeyFile /usr/local/apache2/etc/ssl.key/server.pem

Cependant SSL n'est pas support� par la version du binaire httpd actuel :

# httpd -l | egrep -i "(ssl|so)"

mod_so.c

#

Etant donn� que nous utilisons Apache2, nous devons donc juste le recompiler en activant l'option --enable-ssl (contrairement � Apache 1.3 pour lequel le module mod_ssl est distribu� � part) :

# ./configure --enable-ssl

# make

# make install

# httpd -l | egrep -i "(ssl|so)"

mod_ssl.c

mod_so.c

# apachectl -k restart

Une fois que le flux HTTPs aura �t� captur� par Wireshark, regardons comment configurer le d�chiffrement dans Wireshark :

dans le menu Edit > Preferences > Protocols > SSL , remplir les champs comme suit :

RSA keys list : les champs s�par�s par une virgule sont l'adresse IP du server, port TCP, protocole applicatif sous-jacent , chemin vers la cl� priv�e
SSL debug file : chemin vers l'indispensable fichier de debug

En appliquant un "SSL follow", on peut suivre la session et r�cuperer le contenu de la session en clair :

Pour tester � votre tour, voici la cl� priv�e et le fichier de capture de la session HTTPS r�alis�e avec IE6. Les limitations de ssldump et de la m�thode demeurent cependant :

AES n'est support� que dans la version CVS de ssldump (donc non int�gr�e � Wireshark)

tous les flux chiffr�s avec des Cipher Suite mettant en oeuvre un �change de cl� du type Diffie-Helmann Ephemere (DHE) (en opposition avec RSA et Diffie Hellman statique - DH) restent �videmment ind�chiffrables ( ceci en est d'ailleurs le but : cet algorithme reste toutefois sensibles aux attaques Man in the Middle. C'est la m�thode choisie par Webscarab ou d'autres proxy tels que Spike Proxy ou Burp Proxy. Evidement, ce genre de manipulation provoque une alerte SSL au niveau du client : "certificat invalide" !).

La capture pr�c�dente �tait r�alis�e avec MS IE 6 (� jour de patches), le Cipher Suite n�goci� �tait TLS_RSA_WITH_RC4_128_MD5. Si on utilise d'autres outils (notamment Open Source tels que Firefox ou lwp-request, bas� sur Perl) des Cipher Suite beaucoup plus forts seront n�goci�s automatiquement :

# lwp-request -des https://localhost

200 OK

Connection: close

Server: Apache/2.0.53 (Unix) mod_ssl/2.0.53 OpenSSL/0.9.7a PHP/4.3.10 mod_perl/2 .0.1 Perl/v5.8.6

Content-Length: 2271

Content-Type: text/plain

Client-Peer: 127.0.0.1:443

Client-Response-Num: 1

Client-SSL-Cert-Issuer: /C=FR/ST=Paris/L=75008/O=RandCo/OU=IT/CN=test.randco.fr

Client-SSL-Cert-Subject: /C=FR/ST=Paris/L=75008/O=RandCo/OU=IT/CN=test.randco.fr

Client-SSL-Cipher: DHE-RSA-AES256-SHA

Client-SSL-Warning: Peer certificate not verified

Ce qui donne avec ssldump (version CVS) et le fichier de capture obtenu via :

# tcpdump -n tcp port 443 -i lo -w https2.cap -s 16436 &

(remarquez la taille des paquets � capturer inhabituellement grande : le MTU de l'interface de loopback est de 16436 octets !) :

# ./ssldump -r https2.cap -k server.key

New TCP connection

#1: 127.0.0.1(52260) <-> 127.0.0.1(443) 1 1 0.0004 (0.0004)

C>S SSLv2 compatible client hello Version 3.1 cipher suites

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA SSL2_CK_3DES

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA SSL2_CK_RC2

TLS_DHE_DSS_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_SHA

TLS_RSA_WITH_RC4_128_MD5 SSL2_CK_RC4 SSL2_CK_RC464

TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA

TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA

TLS_RSA_EXPORT1024_WITH_RC2_CBC_56_MD5

TLS_DHE_RSA_WITH_DES_CBC_SHA

TLS_DHE_DSS_WITH_DES_CBC_SHA

TLS_RSA_WITH_DES_CBC_SHA SSL2_CK_DES

TLS_DHE_DSS_WITH_RC2_56_CBC_SHA

TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

TLS_RSA_EXPORT1024_WITH_RC4_56_MD5

TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA

TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

TLS_RSA_EXPORT_WITH_DES40_CBC_SHA

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

SSL2_CK_RC2_EXPORT40

TLS_RSA_EXPORT_WITH_RC4_40_MD5

SSL2_CK_RC4_EXPORT40 1 2 0.0205 (0.0201)

S>C Handshake ServerHello Version 3.1 session_id[0]= cipherSuite TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Ce qui veut donc dire TLS (SSL v3.1) avec �change de cl�s Diffie Hellman Ephemere , algorithme de chiffrement par bloc AES 256 bits et hashage par SHA

compressionMethod NULL 1 3 0.0205 (0.0000)

S>C Handshake Certificate 1 4 0.0205 (0.0000)

S>C Handshake ServerKeyExchange 1 5 0.0205 (0.0000)

S>C Handshake ServerHelloDone 1 6 0.0531 (0.0325)

C>S Handshake ClientKeyExchange

DiffieHellmanClientPublicValue[128]= 7d 96 7e c0 16 ff 1b 63 26 4d 5a 1a b6 0e 16 62 e9 8d dd d6 a0 45 07 d2 51 50 61 d9 26 14 3b 3f bd 77 c5 66 ba 99 26 7e dc 52 c5 1c f2 72 2c dc 24 17 1e 58 a8 45 0d 46 3e 42 da 45 ad 1a c2 e2 87 c3 b8 3b 0f cc 12 c6 6b 98 db 25 7f da 37 8d f7 02 06 95 64 54 94 ec 57 eb 82 e3 76 ab 80 2d a6 da a2 d8 b3 51 a8 29 65 9c 35 fb 81 91 6f 91 e7 ab a9 75 f4 55 b1 30 09 97 13 29 fb a0 a6 a4 1 7 0.0531 (0.0000)

C>S ChangeCipherSpec 1 8 0.0531 (0.0000)

C>S Handshake 1 9 0.0697 (0.0165)

S>C ChangeCipherSpec 1 10 0.0697 (0.0000)

S>C Handshake 1 11 0.0700 (0.0003)

C>S application_data 1 12 0.0700 (0.0000)

C>S application_data 1 13 0.0703 (0.0003)

S>C application_data 1 14 0.0705 (0.0001)

S>C application_data 1 0.0716 (0.0011)

C>S TCP FIN 1 15 0.0717 (0.0001)

S>C Alert

Pour rappel, la valeur publique de l'�change Diffie Helman est "A = g^a mod p" avec un g�n�rateur "g" et un nombre premier "p" fix�s suivant le groupe DH s�lectionn�. (dans le cas pr�sent DHE - Diffie Hellman en mode �ph�m�re - cette valeur publique est sign�e � l'aide du certificat serveur afin de se pr�munir des attaques Man in the Middle)

Le nombre al�atoire "a" est seul connu de l'extremit� qui publie A. Gr�ce � la th�orie du logarithme discret, on sait qu' il est impossible (lire : long) connaissant "A","p" et "g" de d�terminer "a".

Or "a" ( ou plus exactement "A^b mod p = B^a mod p") est utilis� pour construire la cl� de session qui chiffrera le flux avec l'algorithme de chiffrement s�lectionn� (stream cipher RC4 ou bien block cipher AES dans les cas de ce pr�sent article).

Ceci explique que ssldump ne puisse obtenir la cl� de session uniquement en observant le traffic et en connaissant la clef priv�e RSA si ce genre de Cipher Suite est utilis�.

Le contenu de cet article est abord� en profondeur lors notre formation "R�seaux Priv�s Virtuels" .

Rebond sur un PIX : �volutions au fil des versions

webmaster@randco.fr

Par construction, le PIX en version 6.3 ne permettait pas � un paquet entr� par une interface de sortir par cette m�me interface. Ceci �tait particuli�rement contraignant car empechait la construction de r�seaux VPN architectur� en Hub and Spoke � l'aide de PIXs : la solution alternative �tait alors soit d'utiliser un routeur (ou un concentrateur VPN) sur le site central, soit de mettre en oeuvre une topologie compl�tement maill�e (full mesh).

D'autres sc�narios �taient �galement impossibles :

client VPN connect� au site central en IPSEC et ayant besoin d'acc�der � un site tiers reli� en VPN � ce site central
routage par rebond sur l'interface inside du PIX (ICMP redirect d�sactiv� sur les firewalls
etc..

A partir de la version 7.0, via l'utilisation de la commande "same-security-traffic permit intra-interface" le traffic IPSEC pouvait enfin entrer et sortir de la m�me interface, corrigeant ainsi ce manque de fonctionnalit� concernant les topologies VPN de type Hub and Spoke .

La version 7.2 apporte une fonctionnalit� int�ressante : c'est maintenant le traffic clair comme chiffr� qui peut "rebondir" sur le PIX. On peut ainsi permettre � un client VPN nomade de sortir sur Internet via le PIX (on utilisait jusque l� g�n�ralement la focntionnalit� de Split Tunneling).

LoadBalancer : Algorithmes de r�partition

webmaster@randco.fr

Une des fonctionnalit�s les plus visibles des Load-Balancer est la fa�on dont il r�partissent les flux vers les serveurs r�els.

Tout d'abord soyons clair : la r�partition (c-a-d le choix du serveur pour la connexion cliente) ne se fait qu'une fois : lors de l'ouverture de la connexion

(( Dans le cas sp�cifique de HTTP, on verra que les load-balancers g�rent les sessions et qu'ainsi une suite de connexions TCP HTTP sera bien g�r�e comme la session d'un utilisateur unique )) : les paquets appartenant � une session TCP d�j� �tablie sont dirig�s vers le serveur choisi pour cette connexion.

Les algorithmes impl�ment�s sont g�n�ralement :

round robin : on r�partit chaque nouvelle connexion sur un serveur diff�rent
least connections : on dirige la nouvelle connexion sur le serveur qui en compte le moins � ce moment pr�cis
bandwidth : on dirige la nouvelle connexion sur le serveur qui en utilise le moins � ce moment pr�cis
hashing (certaines variantes sont nomm�es minmisses ou phash): en effectuant une op�ration sur l'adresse IP du client (ou l'URL de la demande par exemple) , typiquement condensat, bit de parit�,etc.. on d�termine le serveur r�el cible : c'est une m�thode frustre qui pr�suppose une distribution r�partie des adresses IP des clients (on verra que c'est rarement le cas). L'avantage de cette m�thode est qu'elle rend le choix du serveur d�terministe et permet ainsi nativement d'assurer la persistence.
weighted : on applique une des m�thodes pr�c�dentes en biaisant le poids des serveurs r�els (int�ressant lorsque la ferme est compos�e de serveur de puissance h�t�rog�nes)

Le choix d'un m�thode de r�partition est , on le voit, assez structurant pour comprendre la fa�on dont la charge sera r�partie sur les servuers r�els. Dans un prochain article, on verra comment est assur�e la persistence et quelles sont les r�elles op�rations bas niveau r�alis�es par le load balanceur (i.e delayed binding)

Apple se moque de la s�curit� de Vista

webmaster@randco.fr

La nouvelle campagne publicitaire d�Apple, se moque gentiment d�un des nouveaux m�canismes de s�curit� introduit dans Vista : UAC (User Access Control). Le but d�UAC¹ est de s�parer les privil�ges n�cessaires � l�utilisation quotidienne (modification du fuseau horaire -mais pas de l�heure syst�me-, configuration d�un acc�s Wifi, installation de programmes ou codes mobiles - i.e ActiveX- sign�s, etc..) de ceux relevant des pr�rogatives de l�administrateur syst�me.

Si l�option �Administrator Approval Mode� est activ�e, d�incessants pop-ups demandent la confirmation des actions lorsque celles-ci ont un impact important sur le syst�me (ouverture d�un mail pi�g�, installation d�un programme non sign�,etc..).

On sait bien que ce genre de protection est compl�tement in�fficace � court terme : les utilisateurs r�pondent m�caniquement �Allow� ou bien d�sactivent cette option (ce qui est d�ailleurs r�alis� par d�faut). C�est ce comportment dont se moque la publicit� d�Apple.

Aux sujets des nouveaut�s �n�fastes� introduites dans Vista, je vous recommande d�ailleurs la lecture du tr�s instructif �A cost analysis of Windows Vista Content protection�

Load-Balancers : Introduction

webmaster@randco.fr

Nous intervenons fr�quement dans des soci�t�s qui poss�dent des Load Balancers (ex. Nortel Alteon, Cisco CSS, F5 BigIP, Radware Application Switch, etc..) qui sont au coeur de leur infrastucture Web.

Or, la plupart du temps, le potentiel �norme de ces �quipements est inexploit�. La fonction premi�re de ces �quipements est de "publier" des serveurs/services (( bien que majoritairement HTTP(s) on trouve �galement des architectures load-balanc�es de serveurs Citrix ou Microsoft Terminal Server, FTP, SMTP, POP, Firewalls, etc.. )) virtuels : les requ�tes � destination de ces derniers sont r�parties sur des fermes de serveurs r�els.

Pour parvenir � ce r�sultat, les load-balancers doivent integrer des fonctions de :

commutation niveau 2 (incluant le support du Spanning Tree Protocol)
routage IP (incluant le support des protocoles de routage dynamiques les plus courants ainsi qu'HSRP/VRRP)
firewall (NAT et protection anti-DoS)
commutation niveau 4+ ((abusivement appel�e niveau 7)) : choix du serveur r�el (en fonction de crit�res tels que l'URL et suivant diff�rents algorithmes) et maintien de ce choix au long de la session (fonctionnalit� appell�e persistence)
synchronisation des �tats de session entre boitiers primaires et secondaires
Health check : v�rification avanc�e de l'�tat de sant� des diff�rents serveurs r�els afin de connaitre leur capacit� � recevoir de nouvelles requetes
terminateur SSL

Dans une suite d'articles � venir, nous allons explorer chacune de ces fonctions en d�tail.

Mesure r�seau sous Linux

webmaster@randco.fr

Ce court billet a pour but de faire d�couvrir un outil de mesure des d�bits r�seaux sous Linux par l�interm�diaire de la ligne de commande .

Le but n�est �videmment pas de remplacer des plateformes de supervision (en g�n�ral bas�es sur SNMP) mais simplement de donner en un court instant les d�bits r�seaux vus par le syst�me. En cherchant ce type d�outil, nous avons d�couvert cette excellente page pr�sentant diff�rents outils dont bmon et bwbar.

Sous Ubuntu, on installe bmon classiquement :

root@miniU:~# apt-get install bmon Reading package lists... Done Building dependency tree... Done The following NEW packages will be installed: bmon 0 upgraded, 1 newly installed, 0 to remove and 36 not upgraded. Need to get 49.3kB of archives. After unpacking 197kB of additional disk space will be used. Get:1 http://fr.archive.ubuntu.com dapper/universe bmon 2.0.1-3 Fetched 49.3kB in 2s (16.9kB/s) Selecting previously deselected package bmon. (Reading database ... 85434 files currently installed.) Unpacking bmon (from .../bmon_2.0.1-3_powerpc.deb) ... Setting up bmon (2.0.1-3) ...

Nous pouvons ensuite lancer ce programme qui impl�mente une interface intuitive et graphique (gr�ce � libncurses) :

On obtient un histogramme (en in et out), le d�tail de erreurs, etc.. Attention, cependant car les d�bits affich�s sont en KiloByte/s et non KiloBit/s !!

L�outil bwbar permet de mesuer les flux r�seaux et g�n�re une barre graphique (format png) que l�on peut faire affciher sur une page web.

Apr�s l�avoir install� avec un classique apt-get install bwbar , il reste � cr�er un script contenant les lignes suivantes :

#!/bin/sh - killall bwbar /home/admin/bwbar eth0 1000 -k -t 60 -x 100 -y 8 --png-file /var/www/html/images/ubar.png --text-file /var/www/html/images/ubar.txt &

Ce script, une fois ex�cut�, lance en fond de tache un process bwbar qui g�n�re une image png de 100�8 pi, repr�sentant le d�bit r�seau sortant de eth0, sur une r�f�rence de 1Mbits/s avec un rafraichissement toutes les 60 secondes :