HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Le réseau ne se protège pas tout seul
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Le réseau ne se protège pas tout seul  
> Accès au contenu HTML Début de l'article  
> Description Article éditorial sur le déni de service ayant affecté tous les routeurs Cisco.  
> Contexte & Dates Article éditorial de Hervé Schauer parut dans Secuser .
28 juillet 2003  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
Le 17 juillet dernier, l'équipementier Cisco a publié un avis révélant un déni de service distant sur ses produits, routeurs ou commutateurs. Evènement majeur comme l'Internet n'en a pas connu depuis ses débuts, ce déni de service aurait pu avoir un effet dévastateur. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture un argument de vente les cinglants désavantages de cette monoculture.  
> Documents liés
themeDénis de service
[Présentation]  Dénis de service sur l´infrastructure Internet [4 novembre 2003 - Français]
[Présentation]  Les dénis de service réseau [12 décembre 2001 - Français]
[Présentation]  Les dénis de service réseau [3 avril 2001 - Français]
[Brève]  Dénis de service à distance par épuisement de ressources TCP [13 décembre 2000 - Anglais]
themeCisco
[Présentation]  Enjeux de la sécurité des réseaux [31 mars 2005 - Français]
[Brève]  Pancho [7 juin 2002 - Anglais]
[Brève]  Différentes formes de filtrage avec Cisco IOS [16 novembre 2001 - Français]
[Brève]  Comment configurer un tunnel IPsec sur un routeur Cisco d'agence, en adressage dynamique, et sur une liaison de type RNIS [5 décembre 2000 - Français]
  Avis de sécurité CISCO sur le dénis de service .
> Droits d'auteur © 2003, Hervé Schauer Consultants, tous droits réservés.

 

Le 17 Juillet, Cisco a publié un avis révélant un déni de service distant sur ses produits.

Ce déni de service est valable sur toutes les version d'IOS inférieures à 12.3, pour tous les types d'équipements, qu'il soient entrée de gamme ou très haut de gamme, routeurs ou commutateurs. Il suffit d'envoyer certains types de paquets à destination du routeur lui-même, en utilisant des protocoles qui n'ont jamais servi, pour que les paquets restent dans la file d'attente et ne soient jamais traités. La taille de la file d'attente étant par défaut de 75 entrées, rapidement l'interface du routeur ne répond plus. Si Cisco a révélé ce problème c'est sans doute qu'il y a été contraint et donc que le problème a du être connu de certains, dont les intentions n'étaient plus sous contrôle.

Ce déni de service aurait pu affecter très grandement l'Internet en étant intelligemment utilisé. Une organisation malveillante aurait pu obtenir un effet dévastateur. C'est donc un évènement majeur comme l'Internet n'en a pas connu depuis ses débuts.

Cisco a prévenu les opérateurs français 48h avant la diffusion de l'avis, peut-être d'autres encore plus tôt, aussi, toute attaque généralisée a été annihilée car non seulement les équipements qui sont au coeur de l'Internet ont été corrigés ou protégés, mais la plupart des opérateurs ont aussi filtré le trafic Internet lui-même qui permet d'attaquer.

Il est en effet facile de se protéger, soit en mettant à jour son IOS, mais quand cette opération est trop délicate il suffit de filtrer le trafic vers le routeur en autorisant par exemple que les protocoles TCP, UDP, ICMP et les protocoles de routage.

Plus difficile à expliquer sont les explications détaillées que Cisco a publié 24h après la diffusion de son premier avis. Le premier avis demandait un travail d'expert pour en déduire l'exploitation de la faille. Le second avis donnait des explications simples sur les listes de contrôle d'accès à implémenter mais a aussi permis en quelques heures la publication d'une exploitation, qui a rendue la situation tendue, même si aucune catastrophe ne s'est produite.

Le problème vient d'une erreur de programmation dans le logiciel IOS, dans une partie jamais implémentée dans le matériel ce qui explique que la faille soit valable pour tous les équipements. C'est une erreur très ancienne qui montre qu'une faille de sécurité logicielle peut rester des années dans un code diffusé à beaucoup d'exemplaires sans que personne ne s'en aperçoive. Un routeur aiguille par principe tous les protocoles, mêmes ceux qui ne servent jamais, mais n'aurait peut-être pas du les traiter quand ils lui sont adressés, le code correspondant n'ayant sans doute jamais été testé.

Le déni de service se réalise très facilement à l'aide d'un utilitaire comme hping. La facilité déconcertante de mise en oeuvre du déni de service laisse présager des usages malveillants futurs. Ainsi, un ver ou un virus arrivant sur un poste de travail pourraient aisément attaquer un réseau interne et y faire tomber les routeurs et commutateurs Cisco. Si l'Internet est désormais protégé, les équipements au coeur des réseau d'entreprise n'auront que trop rarement été mis à jour et n'ont généralement pas de listes de contrôle d'accès pour se protéger.

Enfin, si cette faille dans un logiciel est si grave, c'est que les systèmes d'informations reposent sur un équipement dominant. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture Cisco un argument de vente de leur compétence les désavantages de cette monoculture.

    Hervé Schauer

Dernière modification le 29 juillet 2003 à 11:52:00 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants