Accueil > Sécurité > Scanner de vulnérabilités

Définition et rôle

Cet outil de sécurité permet d’identifier et de traiter rapidement les failles d’un réseau. Il teste tous les équipements réseaux disposants d’une adresse IP afin d’établir un inventaire des menaces et des vulnérabilités auxquels ils sont exposés. Il fournit également pour la plupart des produits des informations détaillées sur chacune des vulnérabilités découvertes et un remède explicite. Les vulnérabilités découvertes sont classées par degré de gravité. Un scanner de vulnérabilités effectue un audit proactif et automatisé de la sécurité du réseau afin d'identifier les points de vulnérabilité en se basant sur une base de connaissances. Cette base doit être mise à jour régulièrement pour prendre en compte les dernières vulnérabilités découvertes. Les vulnérabilités correspondent à des failles (en langage plus familier des « trous sécurité ») systèmes et logiciels que les hackers exploitent pour s’introduire dans un réseau. Il est noter que la plupart des attaques sont l'oeuvre de "script kiddies" utilisant des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte.

Exemple pour récupérer la version logicielle d’un serveur Web :

Il suffit de se connecter au serveur Web via la commande telnet sur le port 80 :

telnet www.entreprise.fr 80

puis de demander la page d'accueil :

GET / HTTP/1.0

Le serveur répond alors les premières lignes suivantes :

HTTP/1.1 200 OK
Date: Thu, 21 Mar 2002 18:22:57 GMT
Server: Apache/1.3.20 (Unix) Debian/GNU

Le système d'exploitation, le serveur et sa version sont alors connus.
Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à déterminer si des failles existent en consultant des sites sur Internet (par exemple Securityfocus).

Couplage avec un système de détection d’intrusion

Nous avons vu précédemment qu’un scanner de vulnérabilités permettait d’agir de façon proactive car il permet de corriger les vulnérabilités importantes du réseau de manière récurrente par un exploitant avant qu’une attaque se produise.

Une autre utilisation de cet outil couplé avec une solution IDS permet d'effectuer de la corrélation d'événement en temps réel et de remonter uniquement vers les superviseurs de la sécurité des alertes où la probabilité qu'une attaque a réussi est très forte. Dans ce cas la menace est réelle étant donné que la cible est vulnérable à l’attaque détectée.

Le principe de fonctionnement est le suivant :
Le scanner de vulnérabilités va tester régulièrement les équipements à surveiller par une fréquence définie par l’administrateur sécurité. L’outil va dresser pour chaque équipement un inventaire des menaces et des vulnérabilités. Ces inventaires vont être enregistrés dans une base de données et mis à jour à chaque test réalisé par le scanner.

Lorsqu’une sonde IDS détecte une attaque, il va générer une alerte vers l’hyperviseur. L’hyperviseur va vérifier à partir des données de l’inventaire des menaces et de vulnérabilités que la cible est vulnérable ou non à l’attaque détectée. Si la cible est vulnérable, une alerte sera transmise à l’équipe de supervision de la sécurité.
Ce procédé permet de limiter significativement les fausses alertes.

Interopérabilité et protocole

A ce jour, il n'y a pas un protocole universel permettant de corréler des événements issus d'un scanner de vulnérabilités et d'un système de détection d'intrusion. Néanmoins, les protocoles les plus connus et utilisés sont :

• CIDF : Common Intrusion Detect Framework
• E : Event generators, sensors
• A : Analysis and reports
• D : Database components
• R : Response components
• CVE : Common Vulnerabilities and Exposures
• http://www.cve.mitre.org
• Projet lancé en septembre 1999
• Base de référencement de vulnérabilités
• IDEF : Intrusion Detection Exchange Format
• Conçu par IETF
• Intrusion Detection Message Exchange Format
• Description XML d’une alerte
• IETF/IDWG/IDMEF : Intrusion Detection Working Group
• Plusieurs drafts : http://www.ietf.org/ID.html
• Norme utilisée par Prelude http://www.prelude-ids.org
• IETF/Syslog : Security Issues in Network Event Logging
• RFC 3164, 3195
• ICAT Metabase
• http://icat.nist.gov/icat.cfm

Logiciels commerciaux