Vulnérabilité dans les commutateurs Cisco supportant les mécanismes de sécurité 802.1x
Date : 03 Août 2005
Contexte
La société "Fishnet" a mené une série de tests sur les équipements Cisco IOS et CatOS incluant la sécurité par port de la norme 802.1x. Ces tests ont permis de mettre en évidence une possible vulnérabilité dans ces équipements.
La norme 802.1x est utilisée pour authentifier les utilisateurs et les équipements, au niveau 2. Trois éléments interviennent dans cette norme :
- Le "demandeur" ("supplicant"): l’utilisateur ou l’équipement faisant la demande d’accès
- L’"authentificateur" ("authenticator") : l’équipement sur lequel un accès est demandé
- Le serveur d’authentification ("authentication server") : serveur Radius ou Tacacs fournissant les services dits "AAA" ("Authentication, Authorization, Accounting").
Des mécanismes de contrôle d’accès plus fins peuvent être mis en place via la sécurité par port de la norme 802.1x, en configurant des ACL au niveau du serveur d’authentification.
Les commutateurs Cisco supportant à la fois la sécurité 802.1x et les téléphones IP Cisco peuvent différencier l’accès au VLAN voix par les téléphones IP, de l’accès au VLAN de données par les équipements connectés aux ports auxiliaires de ces téléphones. Ainsi, l’accès au VLAN de données pour les équipements reliés aux téléphones IP est authentifié via la norme 802.1x.
Problème
Le problème découvert par la société "Fishnet" vient du fait que les téléphones IP Cisco ne contiennent pas de "supplicant" 802.1x. En fait, Cisco ne tient pas compte de l’authentification 802.1x réalisée pour accéder au VLAN de données, mais utilise le protocole CDP ("Cisco Discovery Protocol" – protocole propriétaire de Cisco permettant de découvrir de manière automatique des équipements du constructeur sur un réseau) afin d’identifier les téléphones IP et leur donner accès au VLAN voix. Ceci permet à un attaquant distant, en envoyant un message CDP spécifique, d’obtenir un accès anonyme au VLAN voix.
Réponse de Cisco
Cisco admet que les téléphones IP Cisco ne contiennent pas de "supplicant" 802.1x et sont autorisés à rejoindre le VLAN voix sans authentification 802.1x.
Selon Cisco cependant, la norme 802.1x permet l’authentification d’une ou plusieurs adresses MAC sur un port d’un commutateur, mais ne permet pas l’authentification des équipements sur différents VLAN (voix/données) sur un même port. Cisco recommande donc d’utiliser la norme 802.1x en parallèle avec d’autres mécanismes de sécurité (voir les documents Cisco ci-dessous).
Pour plus d’information :
- Document de "Fishnet Security" : http://www.fishnetsecurity.com/csirt/disclosure/cisco/Cisco+802.1x+Advisory.aspx
- Réponse de Cisco : http://www.cisco.com/warp/public/707/cisco-sn-20050608-8021x.shtml
- Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1942
- Avis de sécurité d’ISS : http://xforce.iss.net/xforce/xfdb/20939
- Document de Cisco permettant de sécuriser les commutateurs Cisco Catalyst : http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper0900aecd8015f0ae.shtml
- Document de Cisco permettant de sécuriser "CallManager" et les téléphones IP : http://www.cisco.com/en/US/products/sw/voicesw/ps556/products_data_sheet0900aecd801979f0.html