Vous êtes sur le site public du Cert-IST
Faiblesse du client VPN "SecureClient" de Checkpoint

Date :23 Décembre 2005

Publication: Article

Le client VPN "SecureClient" de Checkpoint, outre sa fonctionnalité de connexion au réseau de l'entreprise via un tunnel VPN, fournit une fonctionnalité qui permet de vérifier la cohérence du poste nomade vis-à-vis de la politique de sécurité de l'entreprise : "SCV" ("Secure Configuration Verification").

 "SCV" permet (entre autres) de vérifier, avant d'ouvrir une connexion entrante vers le réseau local, le numéro de série du système d'exploitation, les processus actifs et le niveau de mise à jour de l'anti-virus sur le poste nomade. Cette politique de sécurité est mise à jour lors de chaque connexion au réseau local de l'entreprise via le tunnel VPN.

Cependant, cette fonctionnalité présente une faiblesse majeure : elle peut être inhibée par l'utilisateur du poste nomade.

Première méthode :

Le fichier de configuration "local.scv" est accessible en lecture/écriture par tout le monde. Cette situation permet de modifier la politique de sécurité liée au poste nomade (désactivation des contrôles) et de l'utiliser lors du redémarrage du client "SecureClient" (cette manipulation doit cependant s'effectuer suivant un certain ordre).

Deuxième méthode :

Avec l'aide de l'outil de développement "OPSEC Desktop SDK" (logiciel libre), il est possible de recréer de manière relativement simple (des explications sont données dans les différentes interventions) la librairie dynamique (DLL) relative au service "SCV". Etant donné que la (les) librairie(s) originale(s) est en lecture/écriture pour tout le monde et donc peut être remplacée, un utilisateur local peut contourner les contrôles effectués par "SCV".

 
CheckPoint n'a pas encore communiqué sur ce problème. Il est recommandé dans un premier temps de durcir la configuration des PC nomades utilisant le client VPN de CheckPoint afin de restreindre les droits d'accès aux fichiers relatifs au client "SecureClient". Une solution plus radicale est de ne pas se fier au service "SCV" pour accepter ou non des connexions VPN au sein du réseau local de l'entreprise.

 
On peut noter enfin que ce type de faiblesse existe aussi dans la solution de quarantaine proposée par Microsoft (solution "Network Access Quarantine System") sur Windows 2003. En effet, dans ce cas aussi, un poste nomade malicieux peut duper le service de quarantaine assuré par Windows 2003. Ce type de solution permet donc essentiellement actuellement de protéger l'entreprise contre les utilisateurs nomades "collaboratifs" (qui ne cherchent pas à contrer volontairement le mécanisme de protection mis en place) mais ne constituent pas encore actuellement un protection absolue pour l'entreprise.


Pour plus d'information :