Le service NIS/YP ( Network Information Services/Yellow Pages) a été développé pour fonctionner de concert avec NFS. Il s’agit d’une base de données répartie qui va être utilisée par les services de sécurité. Elle permet principalement à l’ensemble des ordinateurs du domaine de partager les mêmes fichiers d’administration système, mot de passe et groupes, ainsi que les mêmes tables de correspondances.
Les opérations sur le réseau concernant NIS/YP sont servies par deux processus démons, ypserv et ypbind.
- le démon ypserv prend en compte toutes les requêtes des machines clientes ;
- le démon ypbind est le processus client, dont la première tâche va être de trouver les
- serveurs du réseau.
Dans le cadre de NIS, on considère trois notions importantes : le serveur maître, le serveur esclave, et le client NIS.
Le serveur maître contient la version originale de tous les fichiers de la base. C’est également sur ce serveur que vont fonctionner les deux démons relatifs à NIS/YP (le serveur est également client de lui-même).
Le serveur esclave ne contient qu’une mémorisation des fichiers que possède le serveur maître. Les deux démons sont également actifs sur ce type de serveur. Les stations clientes accèdent aux données en envoyant une requête au serveur. Le processus ypbind va permettre la connexion logique sur le réseau.
Enfin, pour gérer les notions de groupes (à la façon des groupes Unix), NIS/YP utilise le fichier « /etc/netgroup » (sous Unix) qui contient la définition des groupes au sens particulier de NIS/YP.
La sécurité procurée par NIS est loin d’être suffisante. Le serveur NIS/YP contient l’ensemble des mots de passe partagé, mais tous ces mots de passe sont chiffrés.
Ainsi, si l’on veut se procurer ces informations d’un serveur NIS/YP, il suffit de connaître le nom de domaine auquel il est associé. A partir du moment où un agresseur va être capable de dialoguer avec le serveur et qu’il aura deviné le nom de domaine NIS/YP qui a été choisi, il pourra demander n’importe quelle information au serveur, y compris le fichier de mots de passe. L’agresseur pourra alors décrypter les mots de passe en toute quiétude.
Pour aggraver la situation, NIS/YP est basé sur le protocole RPC (Remote Procedure Call). Or, ce type de services est particulièrement difficile à gérer par filtrage de paquet, car les serveurs n’emploient généralement pas de numéro de ports prévisible, ce qui n’empêche pas pour autant un agresseur de les trouver.
Il existe un service de type NIS sécurisé, appelé NIS+, mais celui-ci n’a pas réussi à percer, pour des raisons de compatibilité, mais surtout parce que la majorité des sites contournent les déficiences de NIS/YP par leurs propres moyens (pares-feu). Par ailleurs, il n’améliore la sécurité que s’il est configuré pour ne pas supporter NIS/YP.
Le protocole LDAP est un protocole d'annuaire standard et extensible. Il fournit :
- le protocole permettant d'accéder à l'information contenue dans l'annuaire ;
- un modèle d'information définissant le type de données contenues dans l'annuaire ;
- un modèle de nommage définissant comment l'information est organisée et référencée ;
- un modèle fonctionnel qui définit comment on accède à l’information ;
- un modèle de sécurité qui définit comment données et accès sont protégés ;
- un modèle de duplication qui définit comment la base est répartie entre serveurs ;
- des APIs pour développer des applications clientes ;
- LDIF, un format d'échange de données.
Le protocole définit comment s'établit la communication client-serveur. Il fournit à l'utilisateur des commandes pour se connecter ou se déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées. Des mécanismes de chiffrement (SSL ou TLS) et d'authentification (SASL (Simple Authentification and Security Layer)), couplés à des mécanismes de règles d'accès (ACL) permettent de protéger les transactions et l'accès aux données.
La plupart des logiciels serveurs LDAP proposent également un protocole de communication serveur-serveur permettant à plusieurs serveurs d'échanger leur contenu et de le synchroniser (replication service) ou de créer entre eux des liens permettant ainsi de relier des annuaires les uns aux autres (referral service).
LDAP propose plusieurs choix d'authentification :
- anonymous authentification - correspond à un accès au serveur sans authentification, qui permet uniquement de consulter les données accessibles en lecture pour tous ;
- root DN Authentication - c'est l'utilisateur privilégié. Il a accès en modification à toutes les données ;
- mot de passe en clair - c'est la méthode classique où le mot de passe transite en clair sur le réseau ;
- mot de passe + SSL ou TLS - la session entre le serveur et le client est chiffrée et le mot de passe ne transite plus en clair ;
- certificats + SSL ;
- Simple Authentification and Security Layer (SASL) - permet de faire appel des mécanismes d'authentification plus élaborés à base de clés (OTP (One Time Password), Kerberos...).
Le protocole LDAP fournit également la possibilité de définir les droits d’accès des utilisateurs sur les ressources de l’annuaire.
Les logiciels serveurs les plus connus et basés sur le protocole LDAP sont :
- OpenLDAP server ;
- Innosoft's Distributed Directory Server ;
- Sun Directory Services ;
- Sun Microsystems's Directory Services ;
- IBM's DSSeries LDAP Directory ;
- University of Michigan's SLAPD ;
- LDAP-UX ;
D'autres annuaires supportent les requêtes au format LDAP :
- Novell's NetWare Directory Services (NDS) 3.0 ;
- Microsoft's Active Directory ;
- Lotus Domino ;
- Ora cle Directory Services.
Un grand nombre de ces serveurs ont fait (et font) l’objet de découvertes de vulnérabilités. A titre d’exemple, un rapport du CERT/CC de décembre 2001 épingle 11 des serveurs LDAP les plus connus pour différentes vulnérabilités permettant une attaque en déni de service ou l’obtention d’informations indues.