J’ai pondu un petit script [f5discovery] qui fait le travail tout seul… C’est trop drôle… ça marche à tous les coups.. et ça fait juste un petit Get :) Mais de nos jours par peur des représailles je ne peux montrer ici qu’une simulation totalement imaginaire, car dans la vraie vie tout est mis en place par des gens très compétents, formés et qui connaissent par conséquent le produit à font.
Je sais… Ces propos sont délirants. Car c’est bien connus, c’est uniquement le bon produit qui assure une totale sécurité, jamais, au grand jamais les gens autour.. Si Si soyez en persuadés, tous les vendeurs nous le disent ! Il suffit de poser la boite et le miracle opère.
La Banque Populaire…
$ ./f5discovery.py https://www.ibps.lorrainechampagne.banquepopulaire.fr + Search for Cookies.. > AMAuthCookie > amlbcookie > nav > LBRPSBPLC Backend : XXX.XX.XXX.134:50443 << Got a F5 one > ck > JSESSIONID
Fortis Luxembourg…
$ ./f5discovery.py http://www.fortis.lu + Search for Cookies.. > TS2c121f > g4f9_12 Backend : 10.XXX.XXX.XXX:10835 << Got a F5 one
Le Crédit Lyonnais…
$ ./f5discovery.py https://particuliers.secure.lcl.fr + Search for Cookies.. > LBzb-cli Backend : XX.XXX.XXX.7:80 << Got a F5 one
C’est décidément virtuellement très prisé le Loadbalanceur F5 ! Messieurs les auditeurs de la sécu à Papa… a votre Word… Prêt … Partez ! y a des sous à se faire…
Rappelons donc pour les moins formés, qu’il est possible d’encrypter totalement ce cookie de session… [Voir ici]
Bravo pour le titre d’article.
Et outre le mileu bancaire/finances/assurances, je suppose que ce genre de boîte doit se trouver ailleurs également…
Pingback: Load Balancer F5 - The Backender | 0x0ff.info
Je reprend l’information, merci ! :) (http://www.0x0ff.info/2013/load-balancer-f5-tiny-disclosure/)
Pas besoin d’aller bien loin pour chercher des URL à tester : http://www.f5.com/reviews/case-studies/case-studies-by-product/
Donc si je comprend bien l’objectif de se billet est juste de dire que les intégrateurs de ces comptes sont nulles ?
Je fais parti d’une entreprise qui intègre des F5, on est formé, certifié(même si ca sert a pas grande choses les questions…) et surtout entrainé, pour ne pas faire ce genre de fautes ridicules.
Mais pour revenir a ton article quel est ton objectif je n’arrive pas a voir de finalité dans ta critique ?
Il faut une finalité ? C’est un morne constat (et une petit source de data leak pour du pentest ou autre). Manifestement le produit (F5 LTM.. mais aussi X ou Y) Ne semble pas être déployé partout avec toute la maîtrise que vous possédez. Et c’est manifestement souvent le cas.
il me semble que l’objectif d’une critique est l’amélioration… dans le cas contraire autant faire un skyblog ca sera du même niveau ;)
Pour un expert de sécurité comme vous êtes j’imagine que la phrase “l’erreur humaine est prépondérante” ne vous chaque pas…
ce n’est malheureusement aucun de nos clients citez ici ! je serais ravi de mettre en place un boitier F5 dans notre salle maquette pour que vous puissiez faire du pentest ;)
Vous avez évidemment raison, c’est peut être la raison du link vers “Howto encrypt my cookie” ? ne pensez vous pas ? J’aimerai aussi comprendre pourquoi vous defendez F5 becs et ongles, et dite du mal de ‘skyblog’. Le support peut t’il influencer le contenu ? Je ne pense pas en avoir dit du mal de ce produit (Encore que je trouve le probing HTTP/S affligeant par rapport a ce que fail un Cisco ACE, Et la Virtualisation des Viprion est bien trop rigide à mon gout, Qu’en pensez vous ?).
Il n’y a pas de vos clients dans ces 3 examples, très bien. Mais il y a ma banque par contre… Ai-je le droit de m’en offusquer. PCI ne sauve pas de tout.
Je vous invite a venir en discuter sur irc.
pour avoir testé A10, ACE, F5 j’avoue etre plus fan du F5 que les autres. je ne parle meme pas de citrix…
pour ACE c’est une techno qui n’existe plus !
F5 pour moi sorte clairement du lot au vu des possibilités scripting et solution rev-proxy, j’imagine que vous avez vu ce que l’on pouvais faire avec des irules ou bien encore avec ASM.
La forme touche parfois le fond, je regarde et classe comme tout humain les blog par niveau d’interessement et de curiosité…
Pour votre correction de configuration je ne sais pas ou et pour qui vous travaillez mais chez les clients finaux il n’y a pas que des gens passionnés…
Je prend note de votre expertise ainsi que du fait que vous êtes très satisfait de ce produit. Pour ma part je considère qu’il n’y a pas de produits parfait et que chacun a ses avantages et ses inconvénients (Fast/Good/Cheap … Choose only two). Quand à la securité, personne n’est jamais à l’abris, n’est-ce pas F5 le gagnant du Pwnie Award 2012 ;) ?.