Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 NOS COMMENTAIRES LES RFC RFC 3091 Pi Digit Generation Protocol Ce standard IETF de 6 pages paru en tout début de mois décrit une implémentation (objets ASCII et protocoles) de génération de caractères ASCII numériques de type Chargen et appelée PIgen. Un tel système permet de diffuser des valeurs numériques correspondant à des décimales de la valeur Pi de façon précise ou approximative soit par une application basée sur TCP en mode connecté, soit sur UDP en mode non connecté, soit en mode multicast. Sous TCP, l’application génère de façon périodique les décimales. Notons que la valeur entière ("3") n’est pas générée, car considérée connue de tous. Sous UDP, il s’agit d’un mode de type question/réponse. La requête émise doit contenir le numéro de la décimale de Pi requise. La réponse contient 3 éléments : le numéro de la décimale, un symbole ":" et la valeur de la décimale requise. Dans le service de génération dit "précis", le port applicatif est fixe et est égal à 31415. Dans le service de génération dit "approché (ou approximate)", le port applicatif est fixe et est égal à 22007. cette valeur est, semble-t-il, faite pour rappeler de façon mnémotechnique que le calcul approximé est basé sur le calcul de la division de la valeur "22" par "7". Dans le service en mode de diffusion, l’application utilise le protocol UDP et diffuse des blocs aléatoires de valeurs numériques correspondant à des décimales de Pi. Le groupe de multicast utilisé est 314.159.265.359. Ce document a pour particularité de contenir au moins 2 éléments que nous nous permettons de qualifier d’imprécisions majeures. La première concerne le calcul en mode dit "approximate". En effet, il aurait été préférable de se baser sur la division de "333" par "106", plus précise, qui a pour mérite de fournir les 4 premières décimales correctes (au lieu de 2 dans le cas proposé dans la RFC). Dans la logique de la RFC, le port applicatif à utiliser serait plutôt le 333106, tant en TCP qu’en UDP. La seconde concerne le choix de l’adresse de multicast et posera sans doute des problèmes d’implémentation. En effet, il n’est pas précisé quelle était la classe de cette adresse de diffusion : il s’agit d’une erreur surprenante de la part de l’IETF sachant que 3 des 4 valeurs numériques de cette adresse sont hors normes … D'une lecture pourtant simple et compréhensible par la plupart des internautes, il s'agit d'un RFC dont on ne risque pas de voir le contenu implémenté tant que les imprécisions ne seront pas corrigées. Comme il est rappelé dans la partie "Security Considerations" de ce RFC, il est impératif de se baser sur des serveurs fiables implémentant le protocole Pigen, car "the imminent collapse of the Internet is assured if this guideline is not strictly followed" Le lecteur voulant réaliser sa propre implémentation du protocole pourra d’ailleurs trouver des éléments concernants les décimales de Pi sur le site http://pi.super-computing.org ftp://ftp.isi.edu/in-notes/rfc3091.txt RFC 3093 Firewall Enhancement Protocol (FEP) Ce standard IETF de 11 pages paru lui aussi en tout début de mois décrit une implémentation permettant de véhiculer tout datagramme TCP ou UDP au sein du protocole HTTP. L’encapsulation dans le protocole HTTP (TCP sur le port 80) qui passe de façon transparente la quasi totalité des firewalls du marché, permettrait de véhiculer n’importe quelle application, même les plus complexes qui utilisent des ports appplicatifs utilisés de façon aléatoire. Il faut savoir que l’un des auteurs de ce RFC est le célèbre Scott Bradner de l’Université de Harvard, et qu’il semble avoir usé de sa notoriété pour convaincre les différents vendeurs de gardes barrières d’implémenter sous peu ce protocole, dont le sigle (FEP) en rappellera sans doute un autre aux personnes ayant travaillé il y a une dizaine d’années dans le domaine des réseaux (Front End Processor). Notons que bien qu'il ne s'agisse ici que d'un texte humoristique, le mécanisme présenté est 'hélas' d'ores et déjà utilisé dans le but de court-circuiter les filtres de sécurité mis en place ! ftp://ftp.isi.edu/in-notes/rfc3093.txt LES DRAFTS DRAFT-MONTENEGRO-SUCV-00.TXT Statistically Unique and Cryptographically Verifiable Identifiers and Addresses Cette proposition de standard répond au problème de la propriété de l'identifiant dans le monde du "mobile IP" dans Veille Technologique Sécurité N°33 Page 20/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 IPv6, en l'absence d'une tierce partie de confiance. L'utilisation d'éléments ayant des propriétés de "Statistiquement Unique et Cryptographiquement Vérifiable" (Statistically Unique and Cryptographically Verifiable) est suggérée pour les identificateurs (SUCV ID's) mais aussi pour les adresses (SUCV Addresses). L'objectif est de parer les attaques de type DoS (Denial of Service) ou de "hijacking" et ainsi de redorer le 'Blason' de Mobile IP mis à mal dernièrement. SUCV Addresses veut répondre aux problèmes de confiance qui se posent dans le domaine du "Mobile IPv6" lorsque l'on met en œuvre certains mécanismes comme par exemple le "Binding Updates". En effet dans ce mécanisme, c'est le nœud mobile authentifié qui met à jour la table de routage de l'agent. Dans cette proposition, on admet qu'aucun nœud ne fait confiance aux autres et que l'on ne dispose ni d'une Infrastructure à Clé Publique (ICP ou IGC), ni d'un Centre de Distribution de Clé (Key Distribution Center). Dans une telle configuration, comment un nœud peut-il prouver son identité ? En utilisant les caractéristiques 'SUCV', l'entité va générer elle-même un bi-clé (clé publique et clé privée associée) et signer sa clé publique, qui représente son identité, avec sa clé privée. SUCV ID's est le condensé du SUCV et est plus simple à utiliser au niveau protocolaire car il est de taille fixe. Ainsi, on peut être sûr que cette information d'identité est unique pour chaque nœud. Mais cette notion de SUCV ID's ne donne aucune information sur l'adresse. D'où l'introduction du SUCV Addresses sur 128 bits qui respecte les caractéristiques 'SUCV' et se compose pour la première partie de 64 bits correspondant au préfixe de routage et pour la seconde partie de 64 bits, 63 bits pour le SUCV ID appelé condensé de l'ID (HID) et 1 bit pour le "local/universal bit". Une description succincte du protocole est faite dans la proposition ainsi que l'environnement d'application. ftp://ftp.nordu.net/internet-drafts/ draft-montenegro-sucv-00.txt http://www.idg.net/ic_497484_1794_9-10000.html DRAFT-BOSE-SMTP-INTEGRITY-00 Checking of Message Integrity during SMTP Transactions Ce draft propose une extension au protocole SMTP permettant de vérifier l’intégrité des messages reçus et de demander le cas échéant le renvoi du message. Le protocole SMTP (RFC 821) ne défini aucun mécanisme de vérification des messages lors de leur envoi à travers le réseau, ce qui implique le traitement manuel des messages endommagés par le destinataire. L’extension proposée nécessite peu de modification des logiciels clients/serveurs et permet un traitement automatique des erreurs de transmission. La méthode consiste à insérer un header 'checksum' au début du corps du message, contenant le checksum du contenu du corps du message. valeur_checksum .... corps du message d’origine .... Réception SMTP Commande checksum ? Support checksum ? 502 Not implemented Le tag TYPE indique ici a taille en bits du checksum utilisé (16 ou 32) Chaque transfert de message donne lieu à une vérification du checksum. Lorsqu'une erreur est détectée, un nouvel envoi est demandé, le nombre de renvois étant idéalement limité à 2 Réception data Réception data voire 4. Si toutes ces tentatives échouent, le mail est envoyé sans l’information 'checksum'. 453 Checksum error Oui Erreur ? La demande de renvoi nécessite la création d’un nouveau code Non erreur : 453 Checksum does not match 250 OK La compatibilité avec les équipements ne gérant pas la checksum serait assurée par l’ajout d’une commande « checksum » au protocole SMTP, permettant de déterminer si le serveur distant gère le mécanisme checksum. ftp://ftp.nordu.net/internet-drafts/draft-bose-smtp-integrity-00.txt Veille Technologique Sécurité N°33 Page 21/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Oui Oui Non Non Pas de support checksum
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11 and 12: Avril 2001 technologiques avec des
Page 13 and 14: Avril 2001 LES SERVICES DE BASE LOG
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19: Avril 2001 SIP draft-ietf-simple-im
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35 and 36: Avril 2001 OpenBSD Disponibilité d
Page 37 and 38: Avril 2001 LINUX REDHAT Annonce de
Page 39 and 40: Avril 2001 MS00-098 Indexing Servic
Page 41 and 42: Avril 2001 y a quelques années ave
Page 43 and 44: Avril 2001 GET /guest/default.asp/.
Page 45 and 46: Avril 2001 Une synthèse commentée
Page 47 and 48: Avril 2001 NC 6969 3149 3163 'del s
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?