Sécurité et interopérabilité avec Novell Netware 5 sur IP
Date : 12 Juillet 2005
Depuis la version 5, Novell offre la possibilité d'accéder aux services Netware via TCP/IP, de façon transparente pour le client. Ceci est particulièrement intéressant car la compatibilité ascendante est assurée, et l'interopérabilité est garantie avec les anciennes applications basées sur la couche réseau IPX. Les requêtes IPX transitent dans des paquets IP, et ainsi les applications traditionnelles basées sur IPX communiquent avec un serveur Netware, dans un environnement 100% IP.
Mais ce souci de compatibilité entraîne une faiblesse de sécurité :Si l'on considère d'anciennes versions de Netware, des requêtes permettaient aux clients d'obtenir des informations concernant les ressources accessibles sur le serveur (fonctionnalité "auto-discovery"). Ces requêtes s'effectuaient dans un contexte Netware sur IPX où le client était authentifié implicitement via les mécanismes standards du protocole.
Or aujourd'hui, il est possible d'effectuer ce type de requêtes via IP (souci d'interopérabilité). Or IP n'implémente pas de mécanisme d'authentification. Donc, en contournant IPX de cette manière, il est possible de récupérer l'information sans qu'aucune authentification préalable ne soit effectuée.
Il est donc possible, depuis n'importe quel système (ne disposant pas forcément de couche Netware), de construire des requêtes (en langage C par exemple), pour obtenir la liste des ressources du serveur, et de véhiculer ces requêtes directement dans des paquets IP, sans s'être authentifié.
De plus, il existe un deuxième type d'information que l'on peut obtenir via ces requêtes : il s'agit de ressources hors contexte Netware, mais pourtant listées dans une table du serveur (la table SAP). Cette table peut par exemple contenir la liste des partages NetBIOS, les serveurs IIS actifs, etc...
Cette faiblesse peut être corrigée dans une certaine mesure par des modifications de configuration :
- Les requêtes se font sur le port 524.
Recommandation : Bloquer le port 524 à la frontière du réseau interne.
Résultat : Toute requête provenant d'Internet est interdite, et le serveur est complètement protégé contre les actions malicieuses depuis Internet.
- Par défaut, l'objet NDS nommé "Public" dispose des droits de visualisation ("Browse").
Recommandation : Sur le serveur, restreindre cet accès aux utilisateurs
authentifiés, i.e. retirer les droits de visualisation ("Browse") à l'objet "Public".
Résultat : Cette mesure est efficace pour protéger l'accès à la liste des ressources Netware (objets NDS). Mais elle n'empêche pas la consultation des entrées de la table SAP.
En combinant ces deux protections, on limite fortement les risques de divulgation d'information, mais il reste une faiblesse avec la protection des données de la table SAP sur l'Intranet.
Références :
[1] http://razor.bindview.com/ Initiateurs de la découverte de cette vulnérabilité
[2] http://support.novell.com/ Rechercher le document technique 10050864, "List of Publicly Registered SAP Types"