Fuite d'information et Firewall-1

Ce mois-ci dans BugTraq, un problème a été soulevé concernant l’utilisation du client SecureRemote de Checkpoint avec le garde-barrière Firewall-1.

SecureRemote est un client permettant de créer un canal chiffré (VPN) vers un équipement Firewall-1.

Lors d’une communication entre ces 2 acteurs, le clients SecureRemote a préalablement besoin d’informations sur le réseau protégé par Firewall-1 (adresses IP, masque de réseau, …). Ces dernières sont alors téléchargées depuis le garde-barrière vers le client SecureRemote.

Dans les anciennes versions de Firewall-1 (avant la version Firewall-1 4.1 SP1), ces informations pouvaient êtres transmises sans authentification préalable. Ainsi, une personne possédant le client SecureRemote et l’adresse du garde-barrière pouvait obtenir certaines informations non négligeables sur le configuration du réseau interne.

Avec les nouvelles versions de Firewall-1, une authentification préalable est nécessaire par défaut afin d’effectuer ce téléchargement.

Pour vérifier si cette authentification est activée, consulter les propriétés de la politique " Policy Editor " dans la section " Policy Properties Desktop Security " et vérifier que l’option " respond to unauthenticated topology requests " est décochée.

Nota : Il faut noter cependant que Checkpoint recommande de cocher cette option pour l’utilisation de son mécanisme de chiffrement propriétaire (FWZ), ce qui expose aux risques décrits ci-dessus !

Pour plus d’information :

• Archive de BugTraq : http://www.securityfocus.com/bid/3058
• Document de CheckPoint : http://support.checkpoint.com/kb/docs/public/securemote/4_0/pdf/topology-fwmodule.pdf