Faille dans les réseaux VPN.
Faille dans les réseaux VPN. - Windows & Software
Marsh Posté le 19-05-2005 à 20:41:47
Voici l'article complet du NISCC mais en anglais:
http://www.niscc.gov.uk/niscc/docs [...] ml?lang=en
Marsh Posté le 19-05-2005 à 20:41:59
J'ai un peu de soucis avec l'anglais, et je pense pas être le seul 
sinon, je viens de
trouver ça, et s'est en French 
, mais je n'y comprends pas grand chose : http://www.vulnerabilite.com/actu/ [...] ipsec.html
Code :
|
Qu'est ce que l'ESP ? les messages utilise le protocole ICMP ? Sous quel forme, pour dire que la(les) connection(s) ont échoué(s) ??
merci pour les réponses
@
cvb
Message édité par cvb le 19-05-2005 à 20:43:24
Marsh Posté le 19-05-2005 à 20:46:21
ESP -> Encapsulation Security Payload
C'est le protocole qui gere le cryptage des trames en utilsant des algo de cryptage genre AES, 3DES ...
Il permet aussi d'autenifier les paquets.
ICMP -> Internet Control Message Protocol
C'est le protocole utiliser pour le ping (ICMP type 7 = echo)
Marsh Posté le 19-05-2005 à 20:49:10
| spy a écrit : ESP -> Encapsulation Security Payload |
Je sais bien, donc le ping est utilisé lors d'un communication en VPN ? Et surtout à quel moment, pour l'authentification ? Quand ?
Marsh Posté le 19-05-2005 à 20:53:03
Non le ping n'est pas utiliser pour monter un VPN.
Je resume la faille
Un attaquant envoie un paquet Ipsec traffiqué vers la passerelle qui gere le VPN.
Cette passerelle decrypte le paquet mais celui etant foireux il genere une erreur qui elle est retransime a l'hote emetteur de ce paquet.
De part son design ICMP transmet les trames en clair, donc à reception du paquet ICMP sur la machine à l'origine de l'attaque.
Le paquet ICMP contenant evidemment le header en clair.
Et voila -> cqfd
Message édité par spy le 19-05-2005 à 20:53:55
Marsh Posté le 19-05-2005 à 20:55:12
| spy a écrit : Non le ping n'est pas utiliser pour monter un VPN. |
Je vois le principe
merci 
Sujets relatifs:
- serveur VPN
- Vpn sur Routeur DI-824VUP+
- Conflit entre réseaux local et réseaux internet
- Connexion VPN
- Problémes de connecteurs reseaux
- VPN + WINS et consort
- connecter 2 réseaux avec des routeurs sans fil
- VPN avec XP et routeur freebox
- Problème bête accés VPN
- pb reseaux routeur et ip fixe du FAI!
Marsh Posté le 19-05-2005 à 20:27:52
Bonsoir,
e
Je viens de voir un article sur le VPN, disant qu'une faille pouvait être exploité. Etre en IPSEC ne changerai rien du tout ! Est-ce que quelqu'un sait de quoi il s'agit ? Le but n'est pas d'encourager des petits malin à s'introduire illégalement sur les postes. C'est à titre d'information histoire de se protéger, si tenté que ça soit possible...
@+
cvb
Article : http://www.liberation.fr/page.php?Article=296358
SAN FRANCISCO - Des chercheurs britanniques ont émis un bulletin d'alerte après la découverte d'une importante faille de sécurité dans une technologie de cryptage de données utilisée par les employés de nombreuses entreprises pour se connecter à distance sur leur réseau interne.
La technologie dite VPN (pour "virtual private network" ) permet d'utiliser le réseau public internet en créant une couche sécurisée par cryptage des données selon un protocole appelé IPsec (IP Security).
Le National Infrastructure Security Coordination Center britannique a découvert que certaines configurations du protocole d'encryptage des VPN présentait une faille qualifiée de "risque élevé".
"Si elle est exploitée, il est possible pour un assaillant d'obtenir la version en texte simple des communications protégées par IPSec au prix d'un effort modéré", a prévenu le NISCC dans un bulletin publié lundi sur internet.
Un second :
http://www.next-solutions.fr/actualites.html
(...) Selon le NISCC des attaques relativement accessibles ont été réalisées en laboratoire et auraient permis d'intercepter le trafic en clair sur un VPN IPsec.
En attendant d'éventuels correctifs des fournisseurs de solutions VPN, il est conseillé de s'assurer que le mode ESP prend en charge à la fois la confidentialité et l'intégrité des messages, et que cette dernière tâche n'est pas confiée à un autre protocole.(...)
Message édité par cvb le 19-05-2005 à 20:34:14