Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Clients VPN1 sur Firewall-1 : l'authentification forcée peut être contournée

Date :06 Juillet 2005

Publication: Article

Il existe sur le logiciel Firewall-1 de CheckPoint une fonctionnalité permettant de forcer un utilisateur VPN-1 distant (utilisant le logiciel SecuRemote/SecureClient) à se ré-authentifier au bout d'un laps de temps donné. En fait, une discussion récente (cf. l'URL donnée en fin de cet article) a montré que cette fonctionnalité était peu fiable.

En effet, FW1 communique cette information de configuration au poste client VPN-1, et c'est le logiciel VPN-1 sur ce poste client qui impose à l'utilisateur la ré-authentification. Dans le cas où l'utilisateur a le contrôle complet de son poste (cas d'un utilisateur "lambda" sur un poste Windows 9x, ou d'un administrateur sur un poste Windows NT ou 2000), il peut changer la valeur choisie par l'administrateur FW-1 en éditant un fichier de configuration VPN-1 local (fichier "users.C"). Il peut aussi supprimer totalement la fonction de ré-authentification, sans que l'administrateur FW1 ne soit prévenu de cette modification.

CheckPoint reconnaît que ce problème existe, et propose plusieurs palliatifs :

  • Configurer le poste client pour qu'un utilisateur sans privilège ne puisse pas modifier le fichier "users.C" (ce qui est possible uniquement sur un poste Windows NT ou 2000),
  • Faire de fausses mises à jour de la politique sécurité sur FW1, pour forcer les clients VPN-1 à recharger le fichier " users.C" à partir des informations FW1.

Aucune de ces solutions ne nous paraît robuste. Il faut donc considérer que la fonction de "re-authentification forcée" est plus un service proposé à l'utilisateur (et donc expliquer pourquoi il ne doit pas changer la valeur définie par l'administrateur FW1) qu'une fonction de sécurité.

Pour plus d'information :