Filtrage d'URL : mauvaise coopération entre Cisco et Websense

Date : 30 Mai 2006

La société Websense édite des logiciels de sécurité dédiés aux services web comme "Websense Enterprise" ayant, entre autres, des fonctionnalités de filtrage d'URL.

Ces applications peuvent être couplées avec des équipements de filtrage réseau classiques (garde-barrières) afin de protéger l'accès à des sites web externes par les employés de l'entreprise.

Ce mois-ci, un dysfonctionnement a été découvert dans l'utilisation combinée de "Websense Enterprise" et des équipements de filtrage de Cisco (PIX, ASA, FWSM).

Dans ce type de configuration, lorsqu'une requête HTTP (de type GET) passe à travers l'équipement Cisco, ce dernier transmet la requête à l'application Websense qui en contrôle la validité en fonction de règles préalablement définies. Une fois le contrôle effectué, l'équipement Cisco autorise ou non (en fonction du résultat de l’analyse WebSense) la connexion à la ressource web.

Cependant, lors de cette opération, l'équipement Cisco passe les paquets réseau contenant la requête HTTP de manière individuelle à l'application Websense. Ainsi, si la requête HTTP est contenue dans plusieurs paquets fragmentés, l'équipement Cisco transmettra ces paquets sans les rassembler à l'application de filtrage (l'équipement Cisco considérant que la requête HTTP est contenue dans un seul paquet). Cette dernière sera alors dans l'impossibilité de vérifier la validité de la requête et autorisera le trafic web. De plus, aucune trace ne sera journalisée dans l'application Websense.

La personne ayant découvert ce problème propose un programme permettant de tester ce type de comportement.

Cisco a corrigé cette anomalie dans les versions logicielles suivantes :

PIX version 6.3.5(112),
PIX/ASA versions 7.0(5) et 7.1(2),
FWSM versions 2.3(4) et 3.1(1.7).

Cette correction n’a pas donné lieu à un avis de sécurité Cisco, et Cisco a simplement publié une réponse officiel suite à la discussion sur ce problème dans la liste "Bugtraq". Pour cette raison, nous n'avons pas émis d'avis de sécurité Cert-IST sur ce problème.

Pour plus d'information :

Avis de "Virtual Security Research, LLC" : http://www.vsecurity.com/bulletins/advisories/2006/cisco-websense-bypass.txt
Note d'information de Cisco : http://www.cisco.com/warp/public/707/cisco-sr-20060508-pix.shtml