Cracking, Programmation

jeudi 9 novembre 2017, 13:30  #1
Faiblesses des ACLs ?
kelarian
kelarian
  • 1 posts

Bonjour à tous,

Dans le document fourni pour le challenge App - Script 2 (sudo - faiblesse de configuration), l’auteur mentionne son mépris total des ACLs ("ACLs ? Kill me now", sur la diapo 6 : http://repository.root-me.org/Administration/Unix/EN%20-%20sudo%20:%20you’re%20doing%20it%20wrong.pdf ).

J’ai cherché ce qui pourrait susciter un tel dédain pour les Acces Control Lists mais n’ai pas trouvé grand chose. Certains d’entre vous connaîtraient-ils les inconvénients de cet outil ? Est-ce au niveau de la sécurité ? De l’ergonomie ?

lundi 16 juillet 2018, 22:46  #2
Faiblesses des ACLs ?
Yseurk
Yseurk
  • 1 posts

Hello, le message est un peu ancien mais j’espère que ça pourrait servir à d’autres, en espérant pouvoir aider avec ce que j’ai appris en cours (BTS).

On a passé pas mal de temps à configurer des ACLs sur des firewalls Cisco (PIX515, de vieux modèles) et tout ça en CLI. Aujourd’hui néanmoins beaucoup de ces appareils proposent
des interfaces graphiques bien plus conviviales. J’ai cliqué sur ton lien mais impossible d’accéder au contenu, et je ne connais rien de ton challenge.

En revanche ce que je sais c’est que les ACLs, lorsqu’elles sont configurées, doivent l’être avec beaucoup de minutie, et pour les grosses infrastructures, ou qui évoluent, ça peut vite devenir
une tâche fastidieuse ! Il y a différentes façons de configurer des listes d’accès avec des lignes différentes mais aboutissant au même résultat.
De plus l’ordre est important, car une règle peut en supplanter une autre (prendre le pas dessus).

access-list 1 deny host 192.168.10.1
access-list 1 permit any

et

access-list 1 permit any
access-list 1 deny host 192.168.10.1

Ne donneront pas du tout le même résultat.

A chaque ACL on doit spécifier les protocoles autorisés ou refusés, parfois tu peux avoir des listes longues de ce que tu autorises ou interdit.
De plus on intègre la notion de "masques génériques" ou "wildcard masks" qu’on a tendance à assimiler aux masques par défaut ou personnalisés d’une adresse IP.
Ceux-ci servent à spécifier (dans l’adresse IP donnée) la plage d’hôtes étant affectée par cette règle, et calculer un masque générique c’est assez chiant en CLI ...
Encore faut-il que l’ancien technicien (s’il y a eu) ait crée les plages d’hôtes pour segmenter le réseau. Je n’ai pas testé en GUI mais je pense qu’ils ont du remédier à ça
avec une fonction de calcul permettant de générer le masque générique via la sélection des parties hôtes de l’adresse réseau.
Il doit sans doute y avoir d’autres contraintes, mais je n’ai pas eu à les traiter pour le moment, mais comme tu peux le voir ça fait déjà beaucoup de choses.

Je pense avoir répondu juste, n’hésitez pas à me reprendre s’il y a eu des erreurs !

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet