Vous êtes sur le site public du Cert-IST
Mots de passe du garde-barrière PIX de Cisco

Date :29 Juin 2005

Publication: Article

Ce mois-ci un débat a eu lieu sur la supposée faiblesse des mots de passe d'administration du garde-barrière de Cisco, PIX.

En effet, il semblerait que les mots de passe utilisés pour la configuration et l'administration de PIX n'aient pas un mécanisme de chiffrement (sceau MD5) suffisant pour éviter les tentatives de "crackage". Il est cependant rappelé que pour pouvoir "cracker"ces mots de passe, l'attaquant doit avoir accès à la configuration du garde-barrière ou intercepter les mises à jour de la configuration si cette dernière s'effectue par un canal non chiffré (TFTP par exemple).

Le Cert-IST profite de cette occasion pour présenter divers point fournis par Cisco afin de sécuriser l'administration des gardes-barrières PIX.

Robustesse des mots de passe :

Il est conseillé de choisir des mots de passe d'au moins 8 caractères comportant des majuscules/minuscules et des caractères de ponctuation (_, &, …) afin de rendre plus difficiles les attaques de type "brute force".

Afin de pouvoir "cracker" les mots de passe d'administration de PIX, l'attaquant doit dans un premier temps, soit avoir accès (via une session) au garde-barrière, soit se procurer le fichier de configuration (écoute réseau, accès à des sauvegardes de la configuration, …).

Protection de la configuration de PIX :

Il est conseillé de protéger les communications entre le garde-barrière et la console de gestion en utilisant si possible le chiffrement du canal de données (SSH). Un effort non négligeable doit être néanmoins effectué sur la sécurité de la station de gestion et sur les sauvegardes de la configuration du garde-barrière.

Protection des connexions administratives sur le garde-barrière :

Par défaut, PIX n'accepte des connexions administratives qu'à partir du port "Console" du garde-barrière. Cependant pour des besoins d'administration, des connexions déportées peuvent être nécessaires. Il est alors recommandé de chiffrer ce type de communication via SSH (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_62/config/sysmgmt.htm) ou d'utiliser IPSec.

De plus, l'utilisation d'ACL (Access Control List) est souhaitable.

Renforcement du mécanisme d'authentification :

Enfin, une dernière alternative est de modifier le mécanisme d'authentification en utilisant sur la base locale les protocoles TACAS+ ou RADIUS. (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_62/config/sysmgmt.htm) 

Pour plus d'information :