Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2000-AVI-091
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 20 décembre
2000 No CERTA-2000-AVI-091 |
Affaire suivie par :
CERTA
Objet : Vulnérabilité de
« Fast Mode » sous Firewall-1
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2000-AVI-091 |
Une gestion de version détaillée se trouve à la fin de ce document.
Contournement des règles de sécurité.
CheckPoint VPN-1/Firewall-1 4.1 et 4.0
« Fast Mode » est un mode permettant d'améliorer les performances de FireWall-1 vis-à-vis du protocole TCP/IP.
Une vulnérabilité de ce mode de fonctionnement permet à un utilisateur mal intentionné d'avoir accès à des services qui sont normalement interdits par le garde barrière.
Une erreur dans Fast Mode rend vulnérable une machine et tout le réseau qui l'entoure lorsque l'on ouvre l'accès à un des services de celle-ci. En effet : lorsqu'on modifie les règles du garde-barrière afin d'ouvrir l'accès à un service sur une machine, le garde-barrière permet l'accès à tous les services auxquels « Fast Mode » est appliqué pour cette machine et pour celles qui se situent dans le même sous-réseau qu'elle.
Désactiver Fast Mode sur le garde barrière.
Note : l'option Fast Mode n'est pas activée sur le garde-barrière par défaut.
Appliquer le Service Pack (SP) qui convient à votre garde-barrière.
http://www.checkpoint.com/cgi-bin/download.cgi
Avis de sécurité de Checkpoint :
http://www.checkpoint.com/techsupport/alerts/fastmode.html