Commentaires sur : MS07-049, un danger virtuel bien réel http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/ bilingual blog about IT security and more Wed, 20 Aug 2008 23:47:01 +0000 http://wordpress.org/?v=2.5.1 Par : Bruno Kerouanton http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1799 Bruno Kerouanton Tue, 21 Aug 2007 15:43:41 +0000 http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1799 @Sid: oui tu as raison, le débordement de vlans c'est assez difficile à réaliser, l'environnement de laboratoire le permet si on sature à fond le switch, et encore ça dépend de sa puissance CPU et de son implémentation de gestion des vlans. En pratique je n'ai jamais eu de souci de ce genre en prod. Bien plus ennuyeux, le port "trunk" taggué qui est mal relié et auquel on a branché une machine normale (voire un serveur ESX mal configuré au niveau des VLANs, en reparlant virtualisation) par erreur... Car cela permet à la personne ayant accès à ladite machine de faire bien des choses... mais passons. Là où tout cela devient intéressant, c'est avec les fameuses appliances virtuelles proposées par nombre de sociétés ou d'individus, et poussés en avant par VMware. Car il y a franchement de tout... du meilleur au pire. Et surtout de nombreux "équipements" de sécurité ou de gestion de réseau tels que firewalls, load-balancers, routeurs, proxies, etc... De là à virtualiser tous les équipements actifs et les DMZ il n'y a qu'un pas que certains ont déjà franchi. De quoi s'inquiéter un peu, sans doute... @Sid: oui tu as raison, le débordement de vlans c’est assez difficile à réaliser, l’environnement de laboratoire le permet si on sature à fond le switch, et encore ça dépend de sa puissance CPU et de son implémentation de gestion des vlans. En pratique je n’ai jamais eu de souci de ce genre en prod. Bien plus ennuyeux, le port “trunk” taggué qui est mal relié et auquel on a branché une machine normale (voire un serveur ESX mal configuré au niveau des VLANs, en reparlant virtualisation) par erreur… Car cela permet à la personne ayant accès à ladite machine de faire bien des choses… mais passons.

Là où tout cela devient intéressant, c’est avec les fameuses appliances virtuelles proposées par nombre de sociétés ou d’individus, et poussés en avant par VMware. Car il y a franchement de tout… du meilleur au pire. Et surtout de nombreux “équipements” de sécurité ou de gestion de réseau tels que firewalls, load-balancers, routeurs, proxies, etc… De là à virtualiser tous les équipements actifs et les DMZ il n’y a qu’un pas que certains ont déjà franchi.

De quoi s’inquiéter un peu, sans doute…

]]> Par : Cédric Pernet http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1798 Cédric Pernet Tue, 21 Aug 2007 13:14:07 +0000 http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1798 Merci Bruno ;-) Je crois que la virtualisation va encore faire couler beaucoup d'encre (et ruiner quelques touches de clavier) ces prochains temps... Merci Bruno ;-)

Je crois que la virtualisation va encore faire couler beaucoup d’encre (et ruiner quelques touches de clavier) ces prochains temps…

]]> Par : Sid http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1797 Sid Tue, 21 Aug 2007 10:40:35 +0000 http://bruno.kerouanton.net/blog/2007/08/21/ms07-049-un-danger-virtuel-bien-reel/#comment-1797 Le problème de la virtualisation de machines est bien plus vaste amha que celui des VLANs. En effet, dans ce dernier, l'attaquant reste extérieur au système et sa surface d'attaque est relativement faible. D'ailleurs, l'expérience montre qu'en dehors de grossières fautes de mise en oeuvre, certes aidées par la configuration par défaut, la saut de VLAN est très improbable. Mais pas impossible cependant. Avec la virtualisation de machines, l'attaquant interragit avec le système de manière nettement plus importante, parfois directe. On l'a vu avec l'exploitation de certains drivers "virtuels" qui permettent alors un accès direct à la mémoire de l'hôte. Bref, pour moi, la virtualisation en sécurité, ce ne sera pas mettre pleins de machines sur le même hardware, mais de ségréguer des applications et/ou de les monitorer. Et ceci se fera avec des outils développés dans ce but là. Le problème de la virtualisation de machines est bien plus vaste amha que celui des VLANs. En effet, dans ce dernier, l’attaquant reste extérieur au système et sa surface d’attaque est relativement faible. D’ailleurs, l’expérience montre qu’en dehors de grossières fautes de mise en oeuvre, certes aidées par la configuration par défaut, la saut de VLAN est très improbable. Mais pas impossible cependant.

Avec la virtualisation de machines, l’attaquant interragit avec le système de manière nettement plus importante, parfois directe. On l’a vu avec l’exploitation de certains drivers “virtuels” qui permettent alors un accès direct à la mémoire de l’hôte.

Bref, pour moi, la virtualisation en sécurité, ce ne sera pas mettre pleins de machines sur le même hardware, mais de ségréguer des applications et/ou de les monitorer. Et ceci se fera avec des outils développés dans ce but là.

]]>