e-Atlantide

Forum voyage   

Annuaire public  

Carnet Voyages  -  Guide Voyage  -  Bon Plan Web  -  Téléphone portable  -  Guide Achat  -  Création Web  -  Pratique  -  Thématique  -  Sécurité

Informatique
et Sécurité

* Anti-virus
* FireWall Personnel
* Anti-spam
* Hoax
* Détection d'intrusions
* Scanner vulnérabilités
* Protocole TCP/IP
* Réseaux
* Unix
* Windows
* Cryptographie
* Mot de passe
* Utilitaires
* Astuces

Scanner de vulnérabilités

 

Définition et rôle

Cet outil de sécurité permet d’identifier et de traiter rapidement les failles d’un réseau. Il teste tous les équipements réseaux disposants d’une adresse IP afin d’établir un inventaire des menaces et des vulnérabilités auxquels ils sont exposés. Il fournit également pour la plupart des produits des informations détaillées sur chacune des vulnérabilités découvertes et un remède explicite. Les vulnérabilités découvertes sont classées par degré de gravité.

Un scanner de vulnérabilités effectue un audit proactif et automatisé de la sécurité du réseau afin d'identifier les points de vulnérabilité en se basant sur une base de connaissances. Cette base doit être mise à jour régulièrement pour prendre en compte les dernières vulnérabilités découvertes.

Les vulnérabilités correspondent à des failles (en langage plus familier des « trous sécurité ») systèmes et logiciels que les hackers exploitent pour s’introduire dans un réseau. Il est noter que la plupart des attaques sont l'oeuvre de "script kiddies" utilisant des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte.

Exemple pour récupérer la version logicielle d’un serveur Web :

Il suffit de se connecter au serveur Web via la commande telnet sur le port 80 :

               telnet www.entreprise.fr 80

puis de demander la page d'accueil :

               GET / HTTP/1.0

Le serveur répond alors les premières lignes suivantes :

               HTTP/1.1 200 OK
               Date: Thu, 21 Mar 2002 18:22:57 GMT
               Server: Apache/1.3.20 (Unix) Debian/GNU

Le système d'exploitation, le serveur et sa version sont alors connus. 

Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à déterminer si des failles existent en consultant des sites sur Internet (par exemple Securityfocus).

Couplage avec un système de détection d’intrusion

Nous avons vu précédemment qu’un scanner de vulnérabilités permettait d’agir de façon proactive car il permet de corriger les vulnérabilités importantes du réseau de manière récurrente par un exploitant avant qu’une attaque se produise.

Une autre utilisation de cet outil couplé avec une solution IDS permet d'effectuer de la corrélation d'événement en temps réel et de remonter uniquement vers les superviseurs de la sécurité des alertes où la probabilité qu'une attaque a réussi est très forte. Dans ce cas la menace est réelle étant donné que la cible est vulnérable à l’attaque détectée.

 

Le principe de fonctionnement est le suivant :

Le scanner de vulnérabilités va tester régulièrement les équipements à surveiller par une fréquence définie par l’administrateur sécurité. L’outil va dresser pour chaque équipement un inventaire des menaces et des vulnérabilités. Ces inventaires vont être enregistrés dans une base de données et mis à jour à chaque test réalisé par le scanner.

Lorsqu’une sonde IDS détecte une attaque, il va générer une alerte vers l’hyperviseur. L’hyperviseur va vérifier à partir des données de l’inventaire des menaces et de vulnérabilités que la cible est vulnérable ou non à l’attaque détectée. Si la cible est vulnérable, une alerte sera transmise à l’équipe de supervision de la sécurité.

Ce procédé permet de limiter significativement les fausses alertes.

Interopérabilité et protocole

A ce jour, il n'y a pas un protocole universel permettant de corréler des événements issus d'un scanner de vulnérabilités et d'un système de détection d'intrusion.

Néanmoins, les protocoles les plus connus et utilisés sont :

  • CIDF : Common Intrusion Detect Framework

    • E : Event generators, sensors

    • A : Analysis and reports

    • D : Database components

    • R : Response components

  • CVE : Common Vulnerabilities and Exposures

  • IDEF : Intrusion Detection Exchange Format

    • Conçu par IETF

    • Intrusion Detection Message Exchange Format

    • Description XML d’une alerte

  • IETF/IDWG/IDMEF : Intrusion Detection Working Group

  • IETF/Syslog : Security Issues in Network Event Logging

    • RFC 3164, 3195

  • ICAT Metabase


Logiciels commerciaux

Internet Scanner

Database Scanner

System Scanner

Wireless Scanner

Symantec logo NetRecon
Retina Network Security Scanner
Bv – Control for Internet Security
ActiveSentry


Logiciels du domaine public

Nessus fonctionne suivant un modèle client/serveur :

- une interface client (GUI) va permettre à l'utilisateur de paramétrer l'audit de vulnérabilités,

- un serveur va réaliser les divers tests demandés par l'utilisateur et générer le rapport.

L'interface graphique est disponible pour les plates-formes Windows et Unix. Tandis que le serveur est uniquement disponible pour Unix (Linux/*BSD/Solaris).

Nessus est un outil reconnu et gratuit.

Une démonstration de l'outil : Démo

Le base de connaissances : The Nessus Knowledge Base

La liste des scripts NASL à jour : Scripts NASL

Nmap est un outil de :

- scan ports TCP/UDP
- scan de plage IP
- détection de l'OS et la version

OS : Linux et Windows


Scanner de vulnérabilités en ligne

Shields UP! permet de lancer un scan de vulnérabilité sur votre machine.


Bases de vulnérabilités

CVE : Common Vulnerabilities and Exposures

Projet lancé en septembre 1999.

Base de vulnérabilités ICAT. Une des plus complète.
Base de vulnérabilités SecurityFocus.
CERT : Center for Emergency and Response Team
Base de vulnérabilités X-Force de l'éditeur ISS.


Logiciels en fin de vie

  • CyberCop de NAI depuis le juillet 2002

  • Cisco Secure Scanner ou NetSolar (repris par VIGILANTe)

 




 

Accueil | Webmaster  | Plan du site | NewsLetter | Partenaires | e-Voyageur