Archive

Archive for July, 2010

Réflexion sur les solutions de contrôle et d’accès à distance.

July 16th, 2010 1 comment

J’ai récemment eu une discussion avec quelqu’un qui me demandais mon avis sur l’utilisation des solutions de contrôle et d’accès à distance de type « LogMeIn » ou « Team Viewer ». Cette discussion m’a amené à faire une petite réflexion sur le sujet.

Premièrement, le seul fait de donner un accès au réseau interne à partir d’Internet en utilisant une connexion renversée (de l’interne vers l’externe) est, un gros problème de sécurité en soit. Si l’on considère que les applications de type « LogMeIn » ou « Team Viewer » par exemple, utilisent ce genre de connexion et qui sont la plupart du temps chiffré (HTTPS), on peut dire que c’est l’équivalent de se monter un VPN de l’interne vers l’Internet qui empêche le coupe-feu, les IDS/IPS et les solutions de Data Leak Protection (DLP) d’intercepter le trafic et de faire leur travail. Et comme le port 443 (HTTPS) est la plupart du temps permis en sortie au niveau des coupe-feu, il faut utiliser des solutions de filtrage d’URL pour être certain de mettre toutes les chances de notre côté, car il est très difficile voir impossible de bloquer tous les sites de contrôle à distance manuellement à l’aide d’ACLs ou de règles dans les coupe-feu. Il est beaucoup plus facile de bloquer les destinations par catégories d’URL que par adresses IP.

De plus, même si le trafic est chiffré en SSL/TLS (HTTPS), il peut éventuellement quand même être intercepté via une attaque de type « man in the middle » à l’aide d’un outil comme SSLStrip (http://www.thoughtcrime.org/software/sslstrip/) par exemple. SSLStrip permettrait à l’attaquant d’intercepter le trafic chiffré, de le lire, et de le réacheminer vers sa destination initiale. Ceci permettrait par exemple à un pirate de voler les informations nécessaires comme le code de connexion, le nom d’utilisateur et le mot de passe, afin de se connecter ultérieurement au poste à l’interne. Ceci aurait pour effet de fournir un accès chiffré et permanent au pirate.

Aussi, il n’est pas impossible que, suite à une autre attaque ayant réussie précédemment, un pirate obtienne l’accès à un poste situé à l’interne, et qu’il utilise par la suite LogMeIn ou une autre solution du même genre, étant déjà installée, pour contourner les mécanismes de défense qui sont en place et ainsi avoir accès au poste via le GUI du système compromis et éventuellement au reste du réseau interne.

Une dernière chose, il faut être conscient que la connexion en sortie à partir du poste situé à l’interne se fait vers un serveur qui appartient un tiers sur lequel nous n’avons aucun contrôle (LogMeIn ou autre). Comme ce serveur sert de relais entre les deux postes, il faut de demander s’il y a une possibilité que l’information s’y retrouve en claire à un moment donné dans la connexion? Comme la technologie SSL nécessite que la connexion du poste se termine sur un serveur ayant un certificat et une clé de chiffrement privée, logiquement, il faut que l’information y soit déchiffrée avant qu’elle puisse être réacheminée vers l’autre poste (interne ou externe).

En conclusion, je ne dis pas que ces solutions ne sont pas bonnes ou non sécuritaires et qu’elles ne devraient pas être utilisées.  Je n’ai rien contre ces solutions. Je crois juste qu’il faut juste être conscient à quoi nous nous exposons si nous les utilisons. Chaque contexte est différent. Personnellement, je suis d’avis que l’accès à partir de l’externe vers un poste qui est à l’interne, devrait toujours se faire via un VPN corporatif qui utilise un mécanisme d’authentification forte. De plus, toutes les composantes ayant la capacité de déchiffrer le trafic, devraient être contrôlées par le propriétaire du VPN.

– Michel

Vous aimeriez donner de la formation pour le SANS?

July 8th, 2010 No comments

Vous aimez le defi et seriez intéressé à donner de la formation pour le SANS à QC, MTL ou ailleurs au pays ? Envoyez-moi un courriel à michel@cusin.ca

Powered by Netfirms