Você está na página 1de 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Sujet N A04-03

Les tests dintrusion dans les rseaux Internet, loutil Nessus

Dong Laurent laurent_donge@yahoo.fr


CNAM Paris Dpartement informatique

Prsident du jury : Mr. GRESSIER

Laurent_donge@yahoo.fr

1 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Sommaire
1. INTRODUCTION................................................................................................................ 4 2. LES TESTS DINTRUSION DANS LES RESEAUX INTERNET................................. 5 2.1 RESEAUX INTERNET .......................................................................................................... 5 2.1.1 Prsentation .............................................................................................................. 5 2.1.2 La scurit ................................................................................................................. 7 2.2 TESTS DINTRUSION ........................................................................................................... 8 2.2.1 Dfinition................................................................................................................... 8 2.2.2 Laudit de vulnrabilit........................................................................................... 11 2.3 OUTILS LIES AUX TESTS DINTRUSION.............................................................................. 11 2.3.1 Divers outils ............................................................................................................ 12 2.3.2 Outils daudit........................................................................................................... 14 3. NESSUS............................................................................................................................... 15 3.1 LOUTIL ........................................................................................................................... 15 3.1.1 Objectif .................................................................................................................... 15 3.1.2 Architecture............................................................................................................. 16 3.2 MISE EN OEUVRE ............................................................................................................. 18 3.2.1 Installation .............................................................................................................. 18 3.2.2 Configuration .......................................................................................................... 18 3.3 TESTS DISPONIBLES ......................................................................................................... 19 3.4 LES RAPPORTS ................................................................................................................. 21 3.4.1 Consultation ............................................................................................................ 21 3.4.2 Structuration............................................................................................................ 21 3.5 EVOLUTIONS.................................................................................................................... 22 4. LES TESTS REALISES AVEC NESSUS........................................................................ 23 4.1 PROTOCOLE DES TESTS .................................................................................................... 23 4.2 DEPLOIEMENT ................................................................................................................. 23 4.2.1 Topologie................................................................................................................. 23 4.2.2 Paramtrage............................................................................................................ 24 4.3 EXPLOITATION................................................................................................................. 24 4.3.1 Rsultats .................................................................................................................. 24 4.3.2 Analyse de laudit.................................................................................................... 29 4.4 LIMITES DUTILISATION................................................................................................... 30 5. NESSUS PAR RAPPORT AUX AUTRES SCANNERS................................................ 31 5.1 PROTOCOLE DES TESTS .................................................................................................... 31 5.2 DEPLOIEMENT ................................................................................................................. 31 5.2.1 Topologie................................................................................................................. 31 5.2.2 Paramtrage............................................................................................................ 32 5.3 EXPLOITATION................................................................................................................. 32 5.3.1 Rsultats .................................................................................................................. 32 5.3.2 Analyse de laudit.................................................................................................... 35 5.4 SYNTHESE COMPARATIVE ................................................................................................ 36 6. CONCLUSION................................................................................................................... 39
Laurent_donge@yahoo.fr 2 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

ANNEXE A ANNEXE B ANNEXE C ANNEXE D ANNEXE E

GLOSSAIRE............................................................................................... 41 BIBLIOGRAPHIE / REFERENCE INTERNET ................................... 47 TABLE DES ILLUSTRATIONS.............................................................. 49 NESSUS : INSTALLATION ET CONFIGURATION........................... 50 FAILLES DE VULNERABILITES DETECTEES ................................ 60

Conventions
Les diffrentes typographies utilises dans ce document sont les suivantes : une typographie ordinaire pour le texte, Une mise en gras pour les termes figurant dans le glossaire (Annexe A).

Laurent_donge@yahoo.fr

3 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

1. Introduction
Du fait de la dmocratisation des moyens de connexion lInternet due une pratique des prix de plus en plus attractifs par les diffrents fournisseurs daccs, et dune couverture gographique de plus en plus importante, le nombre dinternautes utilisant des connexions de type haut dbit ne cesse de crotre. Avec ces types de connexion, les internautes restent en ligne longtemps, ce qui les expose davantage la convoitise de personnes mal intentionnes qui voient en eux des ressources utiliser afin, par exemple, daugmenter leur notorit dans le monde des pirates. En effet, un pirate peut prendre le contrle dun tel poste afin dattaquer une institution de lEtat ou un acteur de lInternet connu, tel quun portail ou un site de vente en ligne. Les entreprises et les particuliers se voient donc confronts de faon quotidienne des vers, des virus, des attaques de tous types ou des tentatives dintrusions. La scurit est plus que jamais une problmatique dactualit et nous pouvons facilement le constater en parcourant les journaux de la presse spcialise. Un moyen rapide de connatre ltendue de la fragilit de son environnement, vis vis des attaques diverses et varies, est deffectuer des tests dintrusions qui permettent davoir une liste des failles de vulnrabilits potentielles. Lune des tapes les plus importantes de la dmarche utilise dans les tests dintrusion, est la rcolte dinformations relatives aux systmes et services prsents sur les ordinateurs constituant le rseau. Ces informations permettent en effet, soit par recherche sur lInternet, soit par lemploi doutils ddis tels que les scanners de vulnrabilit, la dtermination des failles de vulnrabilit. Ce travail se propose de prsenter les tests dintrusion dans les rseaux Internet. En particulier nous prsenterons loutil Nessus qui permet de scanner des rseaux et de mettre en vidence un certain nombre de leurs failles de vulnrabilit. Dans un premier temps, aprs une rapide prsentation dInternet en terme de topologie et de services proposs, nous aborderons le thme de la scurit des rseaux informatiques qui devient un vritable enjeu pour les particuliers et les entreprises. Nous prciserons galement la dmarche gnralement suivie lors des tests dintrusion. Puis nous lillustrerons en dcrivant un certain nombre doutils utiliss. Les outils daudit seront ensuite plus particulirement abords, ainsi que la phase daudit des rseaux dans les tests dintrusion. Une fois le contexte clairement pos, nous nous intresserons plus spcialement au scanner Nessus. Que permet-il de faire ? Sur quelle architecture est il bas ? Comment le met-on on en place dans un rseau ? Quelles failles de vulnrabilit permet il de mettre jour ? Comment sont restitues les informations rcoltes et les failles de vulnrabilit dcouvertes ? Suite cette prsentation de loutil Nessus, nous lutiliserons afin de faire des tests sur un rseau local Ethernet. La dmarche suivie lors de ces tests sera galement prcise. Nous finirons par comparer Nessus avec diffrentes solutions du march, gratuites ou commercialises, afin de mieux le positionner par rapport ce qui existe.

Laurent_donge@yahoo.fr

4 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

2. Les tests dintrusion dans les rseaux Internet


2.1 Rseaux Internet
2.1.1 Prsentation
Nous allons ici nous intresser deux aspects dInternet. Dabord lInternet en tant quun ensemble de rseaux interconnects, ensuite ses nombreux services qui ne cessent dvoluer. 2.1.1.1 Un ensemble de rseaux interconnects Les internautes se connectent pour des raisons diverses et varies. En effet, ils peuvent se connecter partir de leur travail pour des raisons professionnelles ou partir de chez eux pour des raisons personnelles ou ludiques. Le public se connectant est trs htrogne. Les moyens de connexion sont multiples (ADSL, bas dbit, mobile etc.) , ainsi que les systmes dexploitation utiliss (Windows, Linux, Unix, Mac etc.). La figure suivante illustre la faon dont sont connects des ordinateurs sur Internet.

FIGURE 1 : INTERNET
Laurent_donge@yahoo.fr 5 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

2.1.1.2 De nombreux services proposs Afin de mieux positionner les diffrents protocoles dont nous allons parler dans la suite, nous allons faire un bref rappel du modle OSI. Le modle OSI est un standard qui permet de faciliter ltude des technologies impliques dans les rseaux. Des protocoles dfinissent les divers services offerts par les diffrentes couches du modle. En gnral, un utilisateur na connaissance que des services proposs par la couche dapplication du modle OSI, alors que, les hackers et les crackers possdent davantage de connaissances sur les protocoles rseaux. En effet, lintrusion dans un rseau ncessite une bonne comprhension de lensemble des couches, des plus hautes du modle jusqu' la couche rseau. Le tableau ci dessous prsente le modle OSI : Modle de rfrence Suite IP Internet Protocole 7 Application FTP,Telnet NFS SSH,SMTP 6 Prsentation SMB http,NNTP 5 Session RPC 4 Transport TCP,UDP 3 Rseau IP (ICMP) 2 Liaison ARP 1 Physique Physique

Protocoles de niveau application Protocoles de niveau rseau

Chaque fois quune machine a recours aux services proposs sur une autre machine, elle indique une destination en fournissant une adresse Internet IP et un protocole de transport tel que UDP ou TCP et spcifie un port qui correspond au service dsir. Un port est li une application. Lorsquune requte est faite sur ce port, lapplication serveur correspondante rpond au client qui a mis la requte. Les ports permettent donc un ordinateur de faire plusieurs choses la fois. Il est possible grce eux de faire transiter plusieurs types dinformations sur une mme connexion. Il existe de nombreux ports sur un serveur Internet moyen. La plupart dentre eux sont inactifs. Un standard a t dfini pour lassignation des ports par lIANA. La valeur dun port est comprise entre 0 et 65535. Les ports se divisent en trois catgories. Les ports compris entre 1 1023 sont les Well known ports. Ces ports bien connus sont associs un service de base (21 : Telnet, 80 : HTTP). Les ports compris entre 1024 et 49151 sont les registered ports qui ont t rservs pour un service donn (3306 : MySQL). Enfin, les ports compris entre 49152 et 65535 sont les ports dynamiques utiliss pour les sessions. Le tableau suivant prcise certains des ports les plus connus avec les applications qui leurs sont habituellement associes. Chaque port est associ des protocoles de niveau application ou services visibles quun utilisateur peut utiliser directement. Service ou application Hypertext Transfert Protocol (HTTP) Domain Name System (DNS) Telnet File Transfert Protocol (FTP) Simple Mail Transfer Protocol (SMTP) Secure shell (SSH) HTTP sur SSL/TLS (HTTPS)
Laurent_donge@yahoo.fr

Port Port TCP 80 Port UDP et TCP 53 Port TCP 23 Port TCP 20 et 21 Port TCP 25 Port TCP 22 Port TCP 443
6 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Parmi les protocoles les plus connus, nous pouvons citer : HTTP, cest un protocole lger, donc rapide, qui sert grer linformation hypermdia. Il est utilis pour prsenter les donnes sur le Web. DNS fournit le service de traduction des noms dhtes en adresse IP, et inversement. DNS traduit les adresses entre les couches rseaux et applications. FTP est une mthode standard permettant de transfrer des fichiers entre deux machines. SMTP permet de transporter du courrier de faon fiable et efficace. ARP fait correspondre les adresses Internet aux adresses physiques des machines. Lutilitaire, Telnet permet un utilisateur de se connecter une machine distante et dy effectuer des commandes. Et linterprteur de commande SSH permet de se connecter sur un autre ordinateur dun rseau, dy excuter des commandes distance de la mme faon quavec Telnet. A la diffrence prs, quil propose des mcanismes dauthentification et une mthode de cryptage des communications.

2.1.2 La scurit
2.1.2.1 Un enjeu Le nombre de services disponibles sur lInternet ne cesse de crotre chaque jour, ainsi que le nombre de machines qui se connectent de faon permanente. Ceci a pour consquence daugmenter les risques lis au fait dtre prsent sur Internet et de subir des attaques. Les motivations des pirates ont diverses origines. Elles peuvent tre lies un got du dfi ou lenvie davoir plus de notorit dans leur milieu. Cest ainsi que les organisations grande visibilit comme les gouvernements ou les institutions financires sont de frquentes cibles. Lappt du gain ou des avantages financiers relatifs des activits comme le vol dinformations et lespionnage industriel peuvent constituer une autre explication au dsir de prendre contrle de ressources informatiques que les pirates ne possdent pas. De plus, la plupart du temps, les pirates se rfugient derrire un sentiment dimpunit et, dans la majorit des cas, ne se rendent pas rellement compte des risques quils encourent. Le piratage repose essentiellement sur les erreurs de conception des systmes et sur des mauvais paramtrages lors des configurations de ces derniers, ainsi que sur des failles de scurit prsentes dans les diffrents services proposs. Nous assistons alors la mise en place dune comptition entre les pirates et les personnes en charge de la scurisation des systmes tels que les administrateurs rseaux ou les personnes en charge du dveloppement des logiciels. Les premiers cherchent exploiter par tous les moyens les trous de scurit prsents. Les seconds tentent de scuriser le systme dinformation. La consquence est que la scurit est devenue un vritable enjeu pour les entreprises qui veulent protger leur systme dinformation et leurs sites de commerce lectronique . Cest aussi un enjeu, pour les particuliers, qui aimeraient bien utiliser leur connexion Internet en toute tranquillit.
Laurent_donge@yahoo.fr 7 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

2.1.2.2 Comment scuriser un rseau ? La problmatique de scurisation est lie une dmarche complexe qui revt un caractre cyclique. En effet, lvolution rapide des technologies et du parc informatique des entreprises fait que la question de la scurit se pose de faon rcurrente. Par exemple, lapparition des rseaux sans fils (WiFi) a introduit de nouveaux types de vulnrabilits. Il en va de mme lorsque nous ajoutons un nouveau poste dans un rseau dentreprise. Si sa configuration nest pas faite de faon correcte, ceci peut permettre des intrusions dans une partie du rseau. La scurisation dun rseau nest pas simple raliser. Le rseau est constitu dun ensemble de systmes htrognes. De nombreux services, qui ne cessent dvoluer, sont disponibles. Les personnes en charge de la scurit telles que les administrateurs rseau, ont leur disposition toute une panoplie doutils : Des logiciels spcialiss dans la protection tels que les firewalls dont le rle est de filtrer les paquets circulant entre le rseau et lInternet, ou les logiciels anti-virus qui permettent de dtecter et radiquer les virus. Des technologies ddies permettant le cryptage des donnes circulant sur le rseau telles que les protocoles scuriss. Des outils de surveillance, des journaux de traces et des logiciels de dtection dintrusion IDS. Pour finir, des scanners de vulnrabilits qui permettent de mettre en vidence les failles prsentes par le rseau, que peuvent exploiter les pirates afin de corrompre le systme. Ces scanners sont utiliss lors des tests dintrusions effectus par les administrateurs rseaux pour anticiper les intrusions non dsires.

2.2 Tests dintrusion


2.2.1 Dfinition
2.2.1.1 Quest ce quun test dintrusion ? Les tests dintrusion constituent une tentative autorise de simuler les activits dun pirate qui veut sapproprier des ressources qui ne sont pas les siennes, ou nuire au bon fonctionnement dun systme dinformations, par exemple en le rendant indisponible. Ces tests permettent davoir une image claire de la scurit globale dune entreprise ou dun accs Internet chez un particulier. Ils correspondent des attaques simules dun rseau. Ils permettent de tester la robustesse de la scurit, dapprcier lefficacit des mcanismes mis en uvre. Il est ainsi possible de savoir si les mcanismes mis en place permettent de stopper ou non un attaquant malintentionn. Les tests dintrusion ne peuvent pas se rduire la simple utilisation dun logiciel de dtection automatique de vulnrabilits par balayage. Ils sont bien plus, en particulier ils ncessitent lintervention dune quipe de professionnels comptents qui eux vont identifier et
Laurent_donge@yahoo.fr 8 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

qualifier les failles de manire plus rflchie et auront lesprit les consquences des tests quils effectueront. Nanmoins, les scanners de vulnrabilit prsentent un certain intrt dans leur caractre automatique mais ils ne suffisent pas eux seuls obtenir une bonne dtermination des failles de vulnrabilit que prsente un rseau. 2.2.1.2 Stratgie de tests Il existe plusieurs stratgies de tests : Les tests externes qui correspondent un examen des services disponibles via Internet. Les tests internes qui exploitent les failles de vulnrabilit qui pourraient tre disponibles un attaquant en provenance dInternet ayant russi sintroduire dans le rseau ou un employ malveillant. Les mthodes et techniques utilises dans les tests internes ou externes sont identiques. La seule diffrence notable est ltendue des connaissances relatives au rseau, en possession des attaquants. Pour simuler ce degr de connaissance du systme, les tests dintrusion peuvent se faire de plusieurs faons : Test en aveugle : les quipes en charge du test ont un accs limit aux renseignements relatifs la configuration du systme dinformation Test en double aveugle : seule la personne qui est linitiative du test est au courant, la personne en charge de la scurit ne lest pas. Test cibl : lquipe de scurit est au courant et a des connaissances sur le rseau et sur la cible vise. 2.2.1.3 Types de tests Il existe diffrents types de tests parmi lesquels nous pouvons noter ceux relatifs : la scurit des applications Web. Les points valuer alors sont ceux relatives la confidentialit et lintgrit des communications sur le rseau, lauthentification des utilisateurs, lintgrit des sessions entre linternaute et les applications, la gestion des informations stockes sur les postes clients telles que les cookies au dni de service (DoS) Les dnis de service sont des attaques dont le but est de rendre indisponibles des services ou de faire tomber un serveur proposant des services. Ceci peut poser des problmes importants lorsque la disponibilit continue des services est imprative.

Laurent_donge@yahoo.fr

9 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

au scannage de numros de tlphone (War dialing) Cette technique consiste identifier des connexions lInternet au sein dune entreprise par appel systmatique dune srie de numros de tlphone. Une fois les modems ou autres dispositifs daccs dtects, les techniques danalyse et dexploitation sont employes pour dterminer dans quelle mesure il est possible dinfiltrer le rseau de lentreprise. au rseau sans fil Ce type de test a pour but de cerner les lacunes ou les faiblesses en matire de scurit dans la conception, la mise en uvre ou lexploitation des rseaux sans fil. Par exemple, nous pouvons citer le war driving qui consiste rechercher des rseaux sans fil non scuriss laide dune voiture, dun ordinateur portable, dune carte Wifi et dune antenne. lingnierie sociale Ces techniques exploitent les interactions sociales, qui impliquent les utilisateurs dun systme dinformation cible, afin de recueillir de linformation et de sinfiltrer dans le rseau de lorganisation. Tous les moyens sont bons, cela peut aller jusqu' lusurpation didentit.

2.2.1.4 Leurs limites Les tests dintrusion peuvent chouer, ce qui ne signifie pas que le systme ne prsente pas de faille de vulnrabilit. Il est difficile voire impossible de tester toutes les failles de vulnrabilit prsentes dans un rseau. Les scanners de vulnrabilit par exemple ne simulent pas toutes les nouvelles failles. Certaines des vulnrabilits ne sont pas prises en compte par ces derniers, soit parce que la vulnrabilit est totalement inconnue, soit parce que la mise jour du logiciel prenant en compte cette vulnrabilit nest pas encore disponible. De plus, il est ncessaire de rpter de faon rgulire ces tests. Tout ajout de matriel, lapparition de nouveaux outils de piratage ou de nouvelles technologies remettent en cause les rsultats des tests dintrusion. 2.2.1.5 La dmarche utilise dans les tests dintrusion

FIGURE 2 : LA DEMARCHE UTILISEE DANS LES TESTS DINTRUSION

Laurent_donge@yahoo.fr

10 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Nous nous intressons ici la description de la dmarche employe dans les tests dintrusion : A. La phase prparatoire 1. collection dinformations publiques (DNS, WhoIs, ) 2. cartographie rseau de la cible ( ping, traceroute, nmap ) 3. identification de vulnrabilit (Nessus) 4. consolidation de donnes obtenues B. La phase de ralisation 1. conception des scnarii dattaques valuer 2. excution des scnarii 3. consolidation des donnes obtenues Dans le cas des hackers, lintrusion sarrte ici. Ils nettoient gnralement les traces laisses par leur passage. Dans le cas dun audit de scurit, il faut alors fermer les brches ouvertes, puis passer ltape suivante. C. La phase de restitution 1. synthse des donnes obtenues lors des phases prparatoires puis de ralisation 2. dfinition dun plan dactions correctrices 3. prsentation des rsultats au commanditaire du test Nous illustrerons dans la suite cette dmarche en indiquant les diffrents outils utiliss agrments dexemples.

2.2.2 Laudit de vulnrabilit


Nous parlons ici de laudit en tant qutape de la phase prparatoire de la dmarche utilise dans les tests dintrusion. Elle consiste rcuprer des informations relatives aux rseaux et aux systmes prsents sur ces derniers, dans le but didentifier les failles de vulnrabilit. Les failles de vulnrabilit rsultent en gnral de limites inhrentes la conception des technologies ou dcoulent de mauvaises configurations ou utilisations. Les tests dintrusions donnent des indications sur la facilit ou linverse la difficult daccder linformation et au systme dinformations en exploitant les vulnrabilits de scurit. Les scanners de vulnrabilit correspondent une faon automatise de mise en vidence de ces failles. Ils indiquent la faon dont il est possible dexploiter ces vulnrabilits et les mthodes permettant de rsoudre les problmes. Ils couvrent, en gnral, un large ventail de vulnrabilits connues. Tandis que les tests dintrusion ciblent certaines vulnrabilits.

2.3 Outils lis aux tests dintrusion


Nous allons reprendre dans cette partie les diffrentes tapes de la dmarche utilise dans les tests dintrusion que nous avons prsentes prcdemment, dans lesquelles sont utiliss des outils spcifiques. Nous donnerons galement des exemples afin de mieux illustrer la dmarche.

Laurent_donge@yahoo.fr

11 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

FIGURE 3 : EXEMPLES DOUTILS UTILISES LORS DUNE INTRUSION

2.3.1 Divers outils


2.3.1.1 Etape de collecte dinformations publiques (A.1.) La commande Whois permet dobtenir des informations publiques correspondant au rseau cible : nom du serveur DNS, nom du responsable, numro de tlphone, adresse e-mail, description du rseau etc. 2.3.1.2 Etape de cartographie du rseau cible (A.2.) Les outils utiliss dans cette tape permettent de rcolter des informations relatives la topologie du rseau afin de dterminer sa structuration. Parmi ces outils, nous pouvons trouver : Nmap qui est un scanner de rseau. Il permet de savoir quels sont les ports ouverts, ferms ou filtrs , ainsi que le systme dexploitation autoris et sa version. Il permet par exemple de scanner un ensemble dadresses IP en prcisant la mthode de scan utilise, les types de ports tels que les ports UDP, en tentant didentifier la machine cible et en sauvegardant le rsultat dans un fichier. Siphon permet de dcouvrir la topologie de la portion de rseau sur laquelle se trouve la machine o nous le lanons. Il indique les systmes dexploitation prsents sur les machines , les ports ouverts , les machines qui ont le droit de se connecter au rseau. Il est ainsi possible de savoir pour quelle machine nous devons nous faire passer, afin de contourner les Firewalls. Dsniff permet de visualiser les paquets prsents sur le rseau et ainsi de rcuprer des clefs en sniffant (sniffer). Finger permet dobtenir des comptes valides. En gnral, le dmon correspondant est dsactiv.

Laurent_donge@yahoo.fr

12 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

2.3.1.3 Etape didentification des vulnrabilits (A.3.) Lobjectif est didentifier les failles potentielles prsentes sur le rseau en utilisant des scanners de vulnrabilit tels que Nessus. Lutilisation de ces logiciels nest pas trs discrte. En effet, tant donn que ces logiciels testent des failles bien connues des NIDS, ils sont facilement reprables. Les NIDS sont des systmes de dtection d'intrusion bass au niveau dun rseau. Si nous souhaitons rester discrets, lors de laudit de vulnrabilit, il est prfrable de rechercher les vulnrabilits existantes sur Internet, sur des sites tels que SecurityFocus (www.securityfocus.com), Bugtraq (www.bugtraq.org). Les autres outils daudit de vulnrabilit sont abords un peu plus loin. Une fois un certain nombre de vulnrabilits identifies, il est alors ncessaire dliminer les failles non fondes. Pour cela nous utilisons des petits programmes appels Exploits. Leur objectif est dexploiter les vulnrabilits auxquelles ils correspondent. Ils sont programms dans divers langages. Il ny a pas dautomatisation qui permet lutilisation ensembliste des Exploits mais il existe nanmoins des bibliothques ddies. 2.3.1.4 Etape dexcution des scnarii (B.2.) Nous pouvons distinguer deux ensembles de produits utiliss dans cette tape, ceux qui permettent de sintroduire sur un ordinateur ou un serveur et ceux qui permettent de se procurer des privilges auxquels nous navons normalement pas accs. a) Outils dintrusion Finger et Rusers permettent de trouver des comptes valides. Ce sont des commandes systme de base dUnix. Exploits permettent dexploiter des vulnrabilits afin davoir accs un poste. Netcat est un utilitaire multifonctions pour le rseau. Il fonctionne en client ou serveur en utilisant le protocole TCP. Il permet de simuler des services et dcouter lactivit correspondant un port donn. Certains outils permettent la rcupration de linformation qui circule sur le rseau. Nous pouvons citer par exemple : Sniffer, TCPdump, Siphon, Ethereal. Ces outils permettent donc de sintroduire sur des serveurs. Par exemple, dans le cas o un routeur supporte la source routing, il est possible de recourir IP spoofing. LIP spoofing est une technique qui permet une machine dtre authentifie auprs dune autre au moyen de paquets semblant maner dune adresse source habilite. Cette technique peut tre faite en deux tapes. Nous plaons un alias sur linterface rseau dun poste, ensuite, nous utilisons une proprit du protocole IP qui est la possibilit de choisir la route emprunter. Netcat permet alors dtablir une connexion Telnet en prcisant la route emprunter. b) Outils permettant llvation de privilges John the ripper qui permet dobtenir des mots de passe en clair partir de mots de passe crypts.

Laurent_donge@yahoo.fr

13 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Exploits qui permettent par exemple de devenir administrateur. Dsniff qui ne capture que les mots de passe. Il supporte divers protocoles (SNMP, Netbios) et peut tre utilis avec des services tel que Telnet.

2.3.2 Outils daudit


Il existe de nombreux logiciels qui permettent dautomatiser la dcouverte de vulnrabilits, nous les appelons des scanners. Ils permettent dvaluer les vulnrabilits prsentes sur les rseaux. Ils se dclinent sous plusieurs formes et donnent des rsultats avec des prcisions variables. 2.3.2.1 Internet Scanner Parmi ces logiciels, nous pouvons citer Internet Scanner de la socit ISS. Il peut sintgrer au produit ISS Dcisions pour tre utilis avec dautres produits de scurit tels que les systmes de dtection dintrusions et les firewall (pare-feu). 2.3.2.2 SATAN, SAINT, SARA Vers le dbut des annes 90, est apparu SATAN qui a remport un norme succs dans le domaine. Il avait la particularit dtre open source. Il nest plus mis jour depuis plusieurs annes. Mais, il existe une myriade doutils similaires tel que loutil open source SARA qui est la troisime gnration doutil danalyse bas sur SATAN, ou la solution commerciale SAINT. 2.3.2.3 Retina Nous pouvons galement citer le logiciel Retina de la socit eEye, qui est rapidement devenu populaire. Il analyse le trafic sur chaque port afin de dterminer le service utilis. Il existe une fonction nomme CHAM permettant de dcouvrir de nouvelles failles de vulnrabilit. Cette mthode repose sur un moteur dintelligence artificiel. Retina est une solution commerciale. 2.3.2.4 Nessus, NeWT Enfin, il existe une autre offre dont nous allons parler de faon plus approfondie dans ce document, loutil Nessus, et sa version Windows appele NeWT. Nessus est un outil open source. Un franais, renaud Deraison, est lauteur et lanimateur de se projet. La version Windows est disponible sur le site de la socit Tenable Network Security en version dvaluation. Nessus semble tre lun des outils les plus populaires du moment.

Laurent_donge@yahoo.fr

14 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

3. Nessus
3.1 Loutil
3.1.1 Objectif
Nessus permet dauditer des rseaux possdant divers systmes tels que les diffrentes versions de Windows et de nombreuses dclinaison dUnix telles que Linux, FreeBSD, Sun Solaris, HP-UX, IBM AIX Nessus permet de faire des tests dintrusion aussi bien interne quexterne. Les audits peuvent donc avoir lieu lintrieur dune entreprise ou lextrieur travers Internet laide dun poste connect au Web. Nessus balaye les ports dun serveur et recherche puis identifie les failles de vulnrabilit prsentes. Il indique les mthodes que peuvent utiliser les hackers pour sintroduire lintrieur du rseau audit. Il analyse les protocoles utiliss sur chacun des ports du serveur afin didentifier les services prsents. Il est ainsi capable de dtecter les services mme si ces derniers nutilisent pas les ports qui leurs sont attribus par dfaut. Par exemple, il sera capable de dtecter un service FTP disponible sur un port autre que le port 21. Il est galement capable de dtecter les services multiples dun mme serveur. En effet, si deux serveurs Web tournent sur des ports diffrents qui ne sont pas les ports attribus par dfaut, Nessus les dtectera tous les deux. A la fin du balayage des ports, Nessus prsente la liste des failles de vulnrabilits et dans la majorit des cas, indique galement la faon dy remdier . Afin de permettre une recherche dinformations plus aise, chaque faille de vulnrabilit est associe des identifiants, ce qui permet aux administrateurs de trouver davantage dinformations sur les vulnrabilits publiques. Par exemple, CVE (Common Vulnerabilities and Exposures) propose une liste de noms standardiss pour les vulnrabilits et les autres expositions de scurit informatique. Lobjectif de CVE est de constituer un rfrentiel de noms standardiss pour les vulnrabilits publiquement connues et les rvlations relatives la scurit. Ce type de base dinformations est galement propos par le CERT et lICAT. Nessus associe la plupart des failles de vulnrabilit identifies des identifiants CVE, qui permettent dobtenir davantage dinformations sur le Web.

Laurent_donge@yahoo.fr

15 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

3.1.2 Architecture

FIGURE 4 : TEST DINTRUSION EXTERNE Nessus est bas sur une architecture client / serveur qui permet de multiples configurations. En effet, nous pouvons placer le dmon de Nessus lextrieur du rseau sur lInternet afin deffectuer des sries de tests externes. Le client lui est lintrieur du rseau. Il permet de contrler le serveur et de configurer le serveur qui effectue lattaque proprement dite de la machine cible. Il est ainsi possible davoir une vision claire des services effectivement vulnrables partir dInternet. Nessus intgre dimportantes bases de connaissances relatives aux services proposs sur divers systmes dexploitation, aux failles de vulnrabilit et aux rsolutions des problmes cres par la prsence des failles de vulnrabilit. La base de donnes a lavantage dtre largement volutive grce au systme de plug-in. En effet, chaque test de scurit se prsente sous forme dun plug-in extrieur. il est possible dcrire ses propres tests sous forme de plug-in laide dun langage de script ddi NASL. De plus, des plug-in correspondant aux failles de scurit les plus rcentes sont disponibles sur Internet. Nous en dnombrons plus de 2000 ce jour. Ces plug-in, sur un systme dexploitation de type Linux, sont placs dans le rpertoire ddi /usr/lib/nessus/plugin/ . Dans linterface cliente, il est possible de choisir les plug-in que nous voulons prendre en compte.

Laurent_donge@yahoo.fr

16 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Grce la base de donnes, les tests peuvent cooprer entre eux. En effet, si un service FTP ne permet pas la connexion en anonyme, les tests associs ce type de connexion ne seront pas effectus. La base dinformations permet de rendre plus efficace lexcution des tests dans le sens o Nessus ne lance pas de faon systmatique lintgralit des tests existants. Il ne teste que ce qui est ncessaire par rapport aux services prsents sur la cible. De plus, il existe une notion de dpendances entre les tests. Il est possible dindiquer un test de ne sexcuter que si un ou plusieurs autres tests particuliers ont t raliss. Si ce nest pas le cas, le test ne seffectue pas. De plus, Nessus utilise des logiciels tiers sils sont disponibles : Le scanner de port Nmap qui fournit des fonctionnalits avances dans le domaine du balayage de port ; Le logiciel Nitko ou Whisker qui permet de faire des tests et des attaques spcifiques sur les serveurs Web et les scripts CGI ; enfin loutil Hydra qui fournit des attaques brute-force pour des services tels que Telnet, IMAP Les attaques brute-force ont pour objectif de trouver un mot de passe valide. Ce sont des mthodes danalyse de chiffrement o toutes les clefs possibles sont systmatiquement essayes. Elles sont gnralement bases sur un gnrateur ou un dictionnaire. Le fait que Nessus utilise des logiciels tiers tient du principe quil nest pas ncessaire dimplmenter de nouveau ce qui existe dj et rpond parfaitement aux besoins.

FIGURE 5 : LE FONCTIONNEMENT DE NESSUS

Laurent_donge@yahoo.fr

17 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Le principe de fonctionnement de Nessus est le suivant : 1. Le client Nessus se connecte et sidentifie. 2. Le client et le serveur schangent leurs certificats afin de crypter les donnes et que le serveur authentifie le client. Les certificats sont des fichiers chiffrs qui permettent dauthentifier les diffrents intervenants lors de transactions sur Internet. 3. Le serveur informe le client des diffrents tests et options disponibles. 4. Le client envoie les diffrents paramtrages au serveur. 5. Le serveur Nessus effectue un balayage de la cible laide des diffrents scanners de port sa disposition. Le scanner de port employ peut tre Nmap. 6. La ralisation du scan. 7. Les informations rcoltes lors du scan sont enregistres dans la base de donnes. 8. Le serveur Nessus effectue les tests correspondant aux donnes recueillies lors du balayage des ports. Par exemple si le port 23 est ouvert, les test correspondant Telnet sont lancs. 9. Les plug-in de tests analysent la cible en se reposant sur la base de donnes. 10. Les plug-in enregistrent les informations relatives aux tests dans la base de donnes. 11. Toutes les informations sont envoyes au serveur Nessus lors de lexcution des tests. 12. Les informations rcoltes ainsi que leurs analyses sont mises la disposition de lutilisateur.

3.2 Mise en oeuvre


3.2.1 Installation
Linstallation de Nessus est assez rapide. Il est possible de tlcharger les sources sur le site de Nessus http://www.nessus.org. Il est important de noter quil existe un package dinstallation automatique nomm nessus-installer.sh qui facilite grandement linstallation de Nessus sous Linux. Pour plus dinformations, vous pouvez vous reporter lAnnexe D Nessus : installation et configuration de ce document.

3.2.2 Configuration
Aprs avoir install le client et le serveur Nessus, il est ncessaire de crer un compte Nessus. Il est possible de dfinir des restrictions pour chaque utilisateur. Ainsi, Nessus serveur peut tre utilis par un ensemble dadministrateurs qui ne pourront tester que la partie

Laurent_donge@yahoo.fr

18 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

du rseau qui leur est attribue. Dans les tests effectus par la suite, le profil utilis ne comporte aucune restriction. Ensuite, il est possible de prciser un certain nombre doptions du serveur laide dun fichier de configuration. Une fois ceci fait, nous pouvons lancer le serveur Nessus, puis le client Nessus. Il est alors ncessaire de renseigner les diffrents onglets qui suivent : Nessusd host : permet de dfinir le serveur Nessus et de sy connecter Plug-ins : il est possible ici de choisir la liste des plug-in que nous excuterons lors de la dtection des vulnrabilits. Prefs : cet onglet permet dindiquer des informations complmentaires Nessus, que des pirates sont susceptibles davoir en leurs possession. Cela peut tre par exemple le nom et le mot de passe correspondant un compte de type FTP, SMB, IMAP etc. La connaissance de ces informations complmentaires peut permettre Nessus de dtecter davantage de vulnrabilits et rendre ainsi le scan plus complet. Scan options : cest ici que nous indiquons la plage de ports que nous souhaitons scanner. Il est galement possible dactiver loption safe checks pour viter de faire tomber le serveur cibl. Il est galement possible dactiver ou de dsactiver de nombreuses autres options : le nombre dordinateurs tester en mme temps, choix des scanners de port utilis Target selection : nous effectuons le choix de la ou les machines vises. Nous pouvons spcifier une adresse IP ou une plage dadresse IP. La notion CIDR est supporte. User : permet de spcifier des rgles pour, par exemple, exclure une adresse IP sur laquelle nous ne dsirons pas effectuer de tests. Se rfrer lAnnexe D Nessus : installation et configuration , afin de voir les copies dcran des diffrents onglets. Aprs tout ceci, il est possible de commencer le test de vulnrabilit.

3.3 Tests disponibles


Nous distinguons deux grands ensembles de tests : ceux qui correspondent des attaques dangereuses pour la cible tels que les dnis de service qui peuvent avoir pour consquence lindisponibilit du systme et ceux qui ne prsentent pas de risques. Ces deux grands ensembles de tests sont diviss en 24 familles : Backdoors : attaques et tests relatifs aux programmes qui dtournent les fonctionnalits systmes dans le but douvrir des accs utiles aux pirates. Ils sont gnralement contenus lintrieur de programmes inoffensifs CGI abuses : tests correspondants aux programmes crits en script (php, perl) utiliss sur les serveurs Web
Laurent_donge@yahoo.fr 19 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

CISCO: tests relatifs aux routeurs CISCO Default Unix accounts : tests correspondant aux comptes dfinis par dfaut Denial of service DoS : tests dattaque de type dni de service Finger abuses : test dtournant la commande finger qui permet dobtenir des informations sur un utilisateur connect un rseau informatique Firewalls : analyse relative aux logiciels permettant de contrler le trafic FTP : tests du protocole de transfert de fichier Gain of shell remotely : tests relatifs lobtention dun interprteur de commande distance tel que SSH Gain root remotely : tests relatifs a lobtention distance de privilges General : tests lis aux informations gnrales relatives aux systmes et aux logiciels Misc : tests divers Netware : tests lis au systme dexploitation dvelopp par Novell corporation pour diffrents type de LAN NIS : tests relatifs aux services dinformations sur le rseau Peer-to-peer File sharing : tests relatifs aux partages de fichiers de type peer to peer Port scanners : scanner de port utilis par Nessus Remote file access : tests daccs des fichiers distance RPC : tests de dtection de diffrents services proposs Settings : plug-in relatif au paramtrage de Nessus SMTP problmes : tests relatifs aux problmes relatifs au serveur mails. SNMP : tests relatifs ce protocole permettant dadministrer les rseaux TCP/IP Useless services : tests relatifs aux services qui ne sont plus utiles mais qui peuvent tre encore activs. Windows : tests correspondant des informations gnrales relatives aux systmes et aux logiciels de type Windows Windows - user management : tests touchant ladministration des utilisateurs.

Laurent_donge@yahoo.fr

20 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

3.4 Les rapports


3.4.1 Consultation
La consultation des rsultats obtenus se fait au travers du client Nessus qui propose 5 parties distinctes dans la fentre daffichage (Se reporter lAnnexe D : Nessus : installation et configuration pour voir une copie dcran de cette fentre). Une premire zone permet de slectionner un sous rseau qui vient dtre test. Une seconde zone permet de choisir un ordinateur ou un serveur au moyen de son adresse IP. Une troisime zone indique les ports qui ont t dcouverts avec une indication du niveau de gravit maximale associ chaque port. Une quatrime zone permet davoir la liste des failles dcouvertes sur un port avec leurs niveaux de gravit. Cest ici quest indiqu si le port a des alertes de scurit, des notes de scurits ou des trous de scurits. Lorsque nous slectionnons un type de gravit, la liste exhaustive des vulnrabilits de ce type pour le port apparat dans la cinquime zone. Les informations fournies dans cette dernire zone nous indiquent comment des pirates peuvent exploiter les failles, mais aussi comment nous pouvons les combler. Les rfrences de type identifiant CVE et autres sont indiques pour chaque faille afin que nous puissions aller chercher davantage dinformations sur le Web. Les informations ainsi obtenues sont exportables sous divers formats. Nous pouvons citer par exemple les formats : ASCII text, LaTeX, HTML ou Spiffy HTML, cest dire des documents HTML qui comportent des graphiques et des graphes. Il est noter que linterface cliente standard nest pas la seule. Il existe dautres interfaces, en particulier une interface Web qui est disponible sur le site officiel de Nessus.

3.4.2 Structuration
Nessus fournit des rapports complets. Ils ne nous indiquent pas simplement ce qui ne va pas avec notre environnement, mais la plupart du temps, nous donnent des conseils de mise jour des services dtects comme tant vulnrables et nous donne le niveau de risque associ chacun des problmes trouvs en trois catgories : vulnerability, warning et informational. Si nous prenons un rapport de type HTML, Nessus va nous indiquer les informations suivantes : Le nombre dordinateurs tests, le nombre total de trous de scurit et de warning. la liste des ordinateurs tests en indiquant leurs adresses IP Par ordinateur, il indique les ports et services dcouverts ainsi que le niveau de gravit le plus lev correspondant ce port et ce service. Ainsi que la liste des messages donns par Nessus en indiquant le risque associ ( vulnerability, Warning, Informationnal), le service et port correspondant et les problmes et solutions possibles. Il fournit galement les identifiants CVE et autres tels que IAVA ainsi quun identifiant propre Nessus nomm Nessus ID.

Laurent_donge@yahoo.fr

21 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

3.5 Evolutions
Renaud Deraison et Ron Gula ont fond la socit TNS Tenable Network Security. Renaud Deraison est comme nous lavons vu lorigine du projet Nessus. Ron Gula, quant lui, a travaill la ralisation de DRAGON qui est un outil de dtection dintrusion. Cette socit propose une offre qui repose entre autre sur lassociation de Nessus avec un systme de dtection dintrusion (IDS). Lun des objectifs est davoir une interface qui centralise les rsultats de plusieurs scanners Nessus, ainsi que des alertes dIDCs places sur le rseau, dans une unique console dadministration. Ceci permet de corrler les informations provenant des IDCs avec celles provenant des scanners. Il est ainsi possible de dterminer si une tentative dintrusion est critique ou pas, par rapport aux failles de vulnrabilit prsentes. Un second objectif de cette offre est la couverture de grands rseaux tels que les rseaux de classe B tout en sollicitant moins linfrastructure. Pour y parvenir, loutil repose sur une architecture nomme Lightning, base sur des Agents relais (proxy) qui peuvent piloter des ensembles de scanners. Lvolution de Nessus et des autres outils de dtection de vulnrabilit irait donc vers une meilleure intgration de ces derniers dans une solution globale de scurisation des rseaux qui permettrait de centraliser davantage les informations des divers outils relatifs la scurit informatique afin de travailler plus efficacement.

Laurent_donge@yahoo.fr

22 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

4. Les tests raliss avec Nessus


4.1 Protocole des tests
Nous allons dans cette partie effectuer une srie de tests laide de Nessus. Suite des contraintes de type matriel, la stratgie adopte est une stratgie de type interne. Le client et le serveur sont tous deux situs lintrieur dun rseau local Ethernet. Lobjectif est de mieux apprhender ce quest un scanner de vulnrabilit au travers de tests simples. Test 1 : Audit avec Nessus sans utiliser dattaques dangereuses Nous effectuons des tests de vulnrabilit sur plusieurs ordinateurs qui possdent des systmes dexploitation diffrents. Divers services et partages de rpertoire ont t activs. Les tests effectus ne sont pas de type destructif. Des attaques dites dangereuses ne sont pas utilises dans ce Test. Nous parlons dattaques dangereuses dans la cas o elles peuvent rendre des services ou un serveur indisponibles. Les attaques de Dni de Service DoS sont un exemple dattaque dangereuse. Une attaque DoS permet de faire tomber un service pour quil ne soit plus assur. Test 2 : Audit avec Nessus en utilisant des attaques dangereuses Tous les types dattaque sont utiliss dans ce test mme celles de type destructif de type Dni de Service DoS. Ceci va permettre de savoir dans quelle mesure les attaques dangereuses influent sur les rsultats obtenus. Test 3 : Utilisation de Nessus avec Nmap et des attaques dangereuses Nessus utilise dans ce test en plus de ses scanners de port par dfaut le logiciel Nmap qui est rput pour tre lun des meilleurs scanners de ports open source. Nous pouvons ainsi avoir une ide des apports de ce logiciel Nmap au niveau des audits effectus par Nessus.

4.2 Dploiement
4.2.1 Topologie

FIGURE 6 : LE RESEAU ETHERNET UTILISE POUR LES TESTS La figure ci dessus reprsente le rseau Ethernet utilis pour les tests.

Laurent_donge@yahoo.fr

23 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Le rseau Ethernet utilis pour les tests est constitu de trois ordinateurs relis entre eux via un HUB 10 mgabits. Diffrents systmes ont t installs sur ces postes. Les configurations de postes ont t indiques dans le tableau suivant : Ordinateur Adresse IP Micro-processeur Mmoire vive OS Scanner de vulnrabilit Sniffer Poste N1-Linux Poste N2-98 Poste N3-2000 168.192.1.2 168.192.1.3 168.192.1.4 Duron 1 Ghz Celeron 650 Mhz Duron 750 128 mga 128 mga 260 mga Linux Fedora core 1B Windows 98 SE 2 Windows 2000 serveur Nessus 2.10.a. Ethereal 0.10.3*

Des IP fixes ont t utilises pour identifier les postes sur le rseau. * Ethereal 0.10.3, un outil permettant le comptage des paquets qui transitent sur le rseau, a t install sur le poste N2-98. Il va nous permettre de nous faire une ide du volume de paquets TCP, UDP, ICMP, ARP et autres types de paquets mis vers le poste N2-98. Ces outils sont appels des sniffers. Ils permettent de renifler (dans le sens de capturer) les informations circulant sur le rseau

4.2.2 Paramtrage
Test 1 : Audit avec Nessus sans utiliser dattaques dangereuses Lors de linstallation, les paramtrages par dfaut des systmes dexploitation ont t conservs. Les postes N1-Linux et N3-2000 sont protgs laide de mot de passe. Le client et le serveur Nessus ont t installs sur le poste N1-Linux. Le scanner de port Nmap nest pas utilis pour ce test de vulnrabilit. La plage de port scann est comprise entre 1 et 1500. Test 2 : Audit avec Nessus en utilisant des attaques dangereuses Les tests sont mens sur le poste N2-98 et N3-2000. Les tests correspondant aux attaques dangereuses sont actives dans ce test. Le scanner de port Nmap nest pas utilis pour ce test de vulnrabilit. A. avec le poste N3-2000, sur une plage de ports comprise entre 1 et 1500. B. avec le poste N3-2000, sur une plage de port comprise entre 1 et 65536. C. avec le poste N2-98, sur une plage de ports comprise entre 1 et 1500. Test 3 : Utilisation de Nessus avec Nmap et des attaques dangereuses Les tests sont mens sur le poste N2-98 et N3-2000. Les tests correspondant aux attaques dangereuses sont actives dans ce test. On a indiqu Nessus dutiliser le scanner de port Nmap lors de laudit. A. sur le poste N2-98, sur une plage de ports comprise entre 1 et 1500. B. sur le poste N3-2000, sur une plage de ports comprise entre 1 et 1500.

4.3 Exploitation
4.3.1 Rsultats
Les tableaux utiliss dans cette partie correspondent des comptages globaux des vulnrabilits afin de se faire une ide des failles de vulnrabilit prsentes. Chacun des tests
Laurent_donge@yahoo.fr 24 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

raliss ci-aprs gnr des rapports denviron 16 pages. Les failles de vulnrabilit les plus importantes ont t mentionnes dans ce qui suit, ainsi que des informations relatives aux paquets utiliss lors des audits par Nessus. Nessus donne trois types dindications qui sont les suivantes : Trou de scurit : indique les failles de vulnrabilits prsentent Alerte de scurit : indique des failles qui peuvent devenir des trous de scurit Message de scurit : donne la possibilit un attaquant de fournir des informations sur le poste Test 1 : Nessus sans Nmap - sans attaque de type DoS Ordinateur cible : Poste N1-Linux / Poste N2-98 / Poste N3-2000 Dure du test : 20 minutes Plage de port : 1-150 Informations obtenues : Trou de scurit 17 Trou de scurit 4 1 6 Alerte de scurit 58 Alerte de scurit 9 3 16 Message de scurit 74 Message de scurit 8 1 13

Total des indications Nombre de ports concerns sur Poste N1-Linux Poste N2-98 Poste N3-2000

Le total des indications reprsente le nombre total dindications obtenues lors de laudit. Le nombre de ports concerns indique le nombre de ports correspondant chaque type dindication pour chacun des postes cibles. Un port peut correspondre plusieurs indications du mme type. Cest pour cette raison que le total des indications ne correspond pas la somme des ports concerns pour un type dindication donn. Services problmatiques dcouverts sur Poste N2-98 Poste N3-2000 Netbios-ssn (139/tcp) ftp (21/tcp) http (80/tcp) Unknown (135/tcp) Unknown (135/udp) Netbios (139/tcp) snmp (161/tcp)

Poste N1-Linux Ssh (22/tcp) Netbios-ssn (139/tcp) Unknown (1024/udp) Unknown (665/tcp)

Nous nindiquons dans les tableaux de ce type qui suivent que les ports auxquels sont associs des trous de scurit. Unknown est indiqu lorsque le service prsentant la vulnrabilit nest pas trs connu. Pour plus dinformations concernant les vulnrabilits, vous pouvez vous reporter lAnnexe E Failles de vulnrabilits dtectes de ce document.

Laurent_donge@yahoo.fr

25 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Total 8302 100%

Comptage par Ethereal des paquets envoys sur poste N2-98 TCP UDP ICMP ARP 7766 270 220 18 93.8 3.3 2.7 0.2

Other 2 0

Commentaire : Ce tableau nous donne une ide du type de paquets qui sont envoys sur une cible lors dun audit effectu par Nessus. Test 2 : Nessus sans Nmap - avec attaque de type DoS A. avec le poste N3-2000, sur une plage de ports comprise entre 1 et 1500. On utilise des attaques de type DoS. Ordinateur cible : Poste N3-2000 Dure du test : 23 minutes Plage de port : 1-1500 Informations obtenues : Trou de scurit 15 Trou de scurit 8 Alerte de scurit 35 Alerte de scurit 14 Message de scurit 38 Message de scurit 11

Total des indications Nombre de ports concerns sur Poste N3-2000

ftp (21/tcp) Smtp (25/tcp) http (80/tcp)

Services problmatiques dcouverts sur le poste N3-2000 Unknow (135/tcp) Snmp (161/udp) Unknow (135/udp) General / tcp Netbios-ssn (139/tcp)

Commentaire : Le fait dutiliser des attaques de type DoS affine les rsultats du test. Il y a davantage de failles qui sont considres comme des trous de scurit. La dure du test est lgrement suprieure au test prcdent. Nessus fait uniquement les tests utiles par rapport au balayage de port quil a effectu. B. avec le poste N3-2000 sur une plage de port comprise entre 1 et 65536. Nous utilisons ici lintgralit des attaques quelles soient dangereuses ou non. Il y a plus dattaques dangereuses que dans le test prcdent. Ordinateur cible : Poste N3-2000 Dure du test : 2 heures Plage de port : 1-65536 Informations obtenues : Trou de scurit 4 Alerte de scurit 27 Message de scurit 35

Total des indications

Laurent_donge@yahoo.fr

26 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Nombre de ports concerns sur Poste N3-2000

Trou de scurit 4

Alerte de scurit 14

Message de scurit 9

ftp (21/tcp)

Services problmatiques dcouverts sur le poste N3-2000 Telnet (23/tcp) Netbios-ssn (139/tcp) Snmp (161/udp)

Commentaire : Le balayage des ports prend beaucoup plus de temps lorsque nous choisissions une plage plus importante. Le temps du balayage semble proportionnel la plage de ports disponibles. De plus, laudit na rvl que la prsence dun service terminal serveur hors de la plage de ports comprise entre 1 et 1500. Le fait davoir utilis la panoplie complte des tests dangereux a fait disparatre un certain nombre de faux positifs . Les tests dangereux permettent de rduire les fausses alarmes mais ont pour inconvnient de faire tomber les services que proposent les diverses machines. Cest aussi une raison pour laquelle des failles de vulnrabilits disparaissent. Il est sans doute ncessaire demployer une dmarche plus cible lorsque nous utilisons des attaques dites dangereuses pour ne pas faire tomber les services en cours de test et les rendre ainsi indisponibles aux attaques qui suivent. C. avec le poste N2-98, sur une plage de ports comprise entre 1 et 1500. Ordinateur cible : Poste N2-98 Dure du test : 10 minutes Plage de port : 1-1500 Informations obtenues : Trou de scurit 5 Trou de scurit 1 Alerte de scurit 9 Alerte de scurit 3 Message de scurit 3 Message de scurit 1

Total des indications Nombre de ports concerns sur Poste N2-98

Services problmatiques dcouverts sur le Poste N2-98 Netbios-ssn (139/tcp) Comptage par Ethereal des paquets envoys sur poste N2-98 TCP UDP ICMP ARP 8265 2147 2878 8 62.1 16.1 21.6 0.1

Total 13310 100

Other 12 0.1

Commentaire : Les attaques de types DoS semblent utiliser davantage les protocoles de type UDP et ICMP. Le poste ne propose aucun service particulier, le rsultat du test napporte rien de plus que le test 1. Cependant, bien que ce poste ne propose quun simple partage de fichier, il pourrait tre exploit par un pirate ayant russi sintroduire sur le rseau.

Laurent_donge@yahoo.fr

27 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Test 3 : Nessus avec Nmap - avec attaque de type DoS A. sur le poste N2-98, sur une plage de ports comprise entre 1 et 1500. Ordinateur cible : Poste N2-98 Dure du test : 10 minutes Plage de port : 1-1500 Informations obtenues : Trou de scurit 5 Trou de scurit 2 Alerte de scurit 9 Alerte de scurit 3 Message de scurit 3 Message de scurit 1

Total des indications Nombre de ports concerns sur Poste N2-98

Services problmatiques dcouverts sur le Poste N2-98 Netbios-ssn (139/tcp) Comptage par Ethereal des paquets envoys sur poste N2-98 TCP UDP ICMP ARP 31358 2681 5476 8 79.3 6.8 13.9 0

Total 39535 100

Other 12 0

Commentaire : Le fait que Nessus utilise Nmap pour scanner les ports de lordinateur cible a tripl le nombre de paquets qui transitent sur le rseau. Les informations obtenues sont lgrement diffrentes par rapport aux rsultats que donnait Nessus sans Nmap. Par exemple, une vulnrabilit de type problme gnral ICMP est apparue. Nmap affine les rsultats de la dtection. B. sur le poste N3-2000, sur une plage de ports comprise entre 1 et 1500. Ordinateur cible : Poste N3-2000 Dure du test : 38 minutes Plage de port : 1-1500 Informations obtenues : Trou de scurit 16 Trou de scurit 8 Alerte de scurit 35 Alerte de scurit 13 Message de scurit 38 Message de scurit 4

Total des indications Nombre de ports concerns sur Poste N3-2000

ftp (21/tcp) Smtp (25/tcp) http (80/tcp)

Services problmatiques dcouverts sur le poste N3-2000 Unknow (135/tcp) Snmp (161/udp) Unknow (135/udp) General / tcp Netbios-ssn (139/tcp)
28 / 60

Laurent_donge@yahoo.fr

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

total 134960 100

Comptage par Ethereal des paquets envoys sur poste N3-2000 TCP UDP ICMP ARP 122610 3118 8192 28 90 2.3 6 0

Other 12 0

Commentaire : Les rsultats sont quasiment identiques au rapport obtenu lors de ltape A du test 2. Il y a 4 messages supplmentaires et une alerte a disparu. Le nombre de paquets est lev du fait de lutilisation de Nmap, mais aussi parce que le poste N3-2000 sous Windows 2000 propose beaucoup plus de services que les autres postes. Plus le nombre de services est lev, plus le nombre de tests effectus est important, ce qui explique le nombre lev de paquets.

4.3.2 Analyse de laudit


Les rsultats des tests ont indiqu des failles de type dbordement de tampon qui permettent un attaquant dexcuter du code distance sur le poste, en particulier au niveau du protocole SMTP. Dautres failles permettent lexcution de commandes, de codes et llvation des privilges de lattaquant. Nous nallons pas analyser davantage ces failles dtectes. Nessus a donc dtect un ensemble de failles qui rendent le rseau vulnrable des attaques. Il indique dans les rapports pourquoi ces failles reprsentent des vulnrabilits, la faon dy remdier soit en indiquant les patchs tlcharger qui rsolvent le problme soit les nouvelles versions des produits qui ne prsentent plus ces vulnrabilits. Il indique galement des rfrences CVE qui permettent aux administrateurs daller chercher davantage dinformations correspondant aux problmes rencontrs. Nous avons pu constater grce aux tests effectus que les attaques dites dangereuses telles que les attaques de type DoS affinent les rsultats obtenus. Ils permettent de rduire les faux positifs mais ils peuvent faire tomber les services qui ne seront plus disponibles pour la totalit du test. Dans le cas de lutilisation dattaques dangereuses, il est ncessaire de cibler ses choix sur des attaques particulires afin dtre sr quelles puissent se faire dans des conditions normales. Il est sans doute ncessaire de prvoir des tests en plusieurs tapes en dcomposant par exemple lensemble des attaques dangereuses en sous groupes. Au vu des temps dinspection des postes, Nessus ne semble faire que les tests utiles en fonction du balayage des ports quil a effectu. En effet, dans sa dmarche de dtection, Nessus commence par faire un balayage des ports en cherchant identifier les protocoles utiliss. Puis, il effectue les tests sur ces ports correspondant aux protocoles dcouverts. Le fait de choisir des plages de balayage importantes augmente considrablement la dure de laudit. Cette option savre trs utile si nous voulons nous concentrer sur une plage de ports prcise afin dy dcouvrir un service atypique. La dure de laudit est proportionnelle au nombre de ports ouverts et services prsents, ce qui parat tout fait logique. Nous pouvons noter que la phase qui prend le plus de temps est celle correspondant au balayage des ports. Lutilisation de Nmap, en plus des scanners de port, utilis par dfaut par Nessus affine lgrement les rsultats obtenus. Mais, linfrastructure rseau est davantage sollicite. Les rapports obtenus lors de cette srie de test tant trop volumineux, ils nont pas t mis en annexe. Des exemples de rapport sont disponibles sur le site de Nessus http://www.nessus.org.

Laurent_donge@yahoo.fr

29 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

4.4 Limites dutilisation


Les limites de lutilisation de Nessus apparaissent avec des rseaux de tailles importantes. En effet, dans le cas des tests raliss sur un petit rseau de trois postes qui ne propose pas normment de services, les rapports daudit atteignaient jusqu' 16 pages. Dans un vritable rseau dentreprise, o le nombre de machines prsentes sur le rseau peut dpasser le millier, la question de lexploitation convenable des rsultats obtenus se pose. Des rapports volumineux peuvent vite devenir inexploitables. Une solution possible consisterait faire appel des personnes exprimentes dans le domaine de la scurit des rseaux avant dutiliser des outils tel que Nessus. Ce type doutil ne remplace pas un audit de scurit et encore moins une stratgie de scurisation de rseaux informatique. Nessus peut tre un des moyens de parvenir scuriser un rseau informatique mais pas une solution elle seule, au mme titre que les tests dintrusion. Dans un rseau important, il faut commencer par dfinir un plan dactions afin de scuriser le rseau. Ceci suppose un minimum de connaissances dans le domaine. Par exemple, il est possible de dfinir une politique de scurisation par rapport des parcs homognes de machines tels que des postes utilisateur ou des serveurs dapplications. Il est donc ncessaire de faire un inventaire des services ncessaires au bon fonctionnement dune entreprise. La scurisation est une chose mais faut il encore donner la possibilit aux employs dune entreprise davoir les moyens deffectuer leur travail de faon correcte. Cette dmarche saccompagne en gnral dune rflexion sur la faon dont est mis en place le rseau. Ensuite, nous pouvons utiliser des scanners de vulnrabilit afin de mettre en vidence les failles existantes. Une autre limite des scanners en gnral est lie la validit de la dtection quils effectuent. En effet, le scanner peut dtecter des failles de vulnrabilits qui nen sont pas. Elles sont appeles des faux positifs. La premire tape qui suit un audit de vulnrabilit est llimination de ces faux positifs qui peuvent faire perdre beaucoup de temps pour rien. Dautre part, les scanners ne dtectent pas toutes les failles. En particulier, ils ne simulent pas toutes les nouvelles failles. Les nouvelles menaces ne sont pas prises en compte de faon immdiate. Leurs identifications et la mise au point des tests afin de les dtecter ncessitent un certain temps pendant lequel des attaquants peuvent les exploiter.

Laurent_donge@yahoo.fr

30 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

5. Nessus par rapport aux autres scanners


5.1 Protocole des tests
Pour mieux situer loffre de Nessus par rapport aux autres produits disponibles sur le march, un certain nombre de tests simples ont t mens avec dautres systmes de dtection de vulnrabilit. Ces logiciels ne sont autre que Saint, un logiciel commercial fonctionnant sur les plates-formes de type UNIX, et Internet Scanner, disponible sur les systmes de type Windows NT / 2000. A la fin de ces tests, nous nous sommes enfin intresss NeWT, la version Windows de Nessus . Test 4 : Audit de vulnrabilit en utilisant Saint Nous allons effectuer des Tests de vulnrabilit laide de Saint, dans un premier temps sans attaques dangereuses (Etape A) puis avec des attaques dangereuses de type DoS ( Etape B). Test 5 : Audit de vulnrabilit en utilisant Internet Scanner Nous allons effectuer des Tests vulnrabilit laide dInternet Scanner, dans un premier temps sans attaques dangereuses (Etape A) puis avec des attaques dangereuses de type DoS (Etape B). Test 6 : Audit de vulnrabilit en utilisant NeWT Nous allons effectuer des Tests vulnrabilit laide de la version Windows de Nessus NeWT, dans un premier temps sans attaques dangereuses (Etape A) puis avec des attaques dangereuses de type DoS (Etape B).

5.2 Dploiement
5.2.1 Topologie
Le rseau utilis est le mme que celui qui a permis deffectuer les tests correspondant Nessus. Les diffrents scanners ont t installs comme indiqu dans le tableau suivant :

Ordinateur Adresse IP OS Scanner de vulnrabilit Sniffer

Poste N1-Linux 168.192.1.2 Fedora core 1B Nessus 2.10.a. et Saint 5.3.2

Poste N2-98 168.192.1.3 Windows 98 SE

Poste N3-2000 168.192.1.4 Windows 2000 serveur Internet Scanner 7.0 NeWT 1.5

Ethereal 0.10.3

Laurent_donge@yahoo.fr

31 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

5.2.2 Paramtrage
Test 4 : Audit de vulnrabilit en utilisant Saint Dans ce test, Saint a t utilis pour mener des tests sur les postes N2-98 et N3-2000. Cette version de Saint est une version dvaluation du produit, elle nautorise faire des tests de vulnrabilit que sur deux IP distinctes que nous indiquons avant deffectuer le tlchargement sur le site du fabricant. Nous allons effectuer ce test en deux tapes : A. Audit avec Saint sans attaques dangereuses B. Audit avec Saint avec attaques dangereuses (DoS) Test 5 : Audit de vulnrabilit en utilisant Internet Scanner Les tests de vulnrabilits laide dInternet Scanner ont t effectus sur le poste N3-2000. Cette version ne permet de faire un audit de vulnrabilit que sur le poste sur lequel elle est installe (mode loopback). A. Audit avec Internet Scanner sans attaques dangereuses B. Audit avec Internet Scanner avec attaques dangereuses (DoS) Test 6 : Audit de vulnrabilit en utilisant NewT Cette version Windows de Nessus a t installe sur le poste N3-2000 sur lequel ont t mens les tests de vulnrabilit. A. Audit avec NewT sans attaques dangereuses B. Audit avec NewT avec attaques dangereuses (DoS)

5.3 Exploitation
5.3.1 Rsultats
Test 4 : Audit de vulnrabilit en utilisant Saint A. Audit avec Saint sans attaques dangereuses Ordinateur cible : Poste N2-98 / Poste N3-2000 Dure du test : 3 minutes Saint utilise un systme de couleur pour identifier les diffrents type de vulnrabilit. Le rouge dsigne les vulnrabilits de type Critical qui permettent dobtenir des droits en lecture/criture, dexcuter des commandes sur la cible ou des attaques de type DoS. Le jaune correspond aux vulnrabilits de Area of concern qui correspondent llvation de privilges et lobtention dinformations correspondantes aux diffrents postes. Le marron est utilis pour les vulnrabilits de type Potential qui demandent plus dinvestigations. Enfin, le vert correspond au nombre de services. Cest un comptage qui nimplique pas que le service soit vulnrable ou non.

Laurent_donge@yahoo.fr

32 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Nous pouvons noter que ce regroupement diffrent lgrement de celui que prsente Nessus. Informations obtenues : Critical (rouge) 3 1 2 Concern (jaune) 1 0 1 Potential (marron) Services (vert) 12 53 0 12

Total Poste N2-98 Poste N3-2000

Services problmatiques dcouverts sur Poste N2-98 Poste N3-2000 Poste N3-2000

Libell Partage de fichier permettant des connexions non dsires Folder traversal IIS ( possibilit de crash serveur) Attaque DoS sur le service SMTP ou dutilisation du service

total 66717 100

Comptage par Ethereal des paquets envoys Sur poste N2-98 TCP UDP ICMP ARP 54698 6290 5721 82 9.4 8.6

Other

Commentaire : Le temps pris par le balayage est beaucoup plus rapide quavec Nessus. Saint ne met cependant pas autant de vulnrabilits en vidence que Nessus. Il indique directement en clair un libell correspondant la vulnrabilit. On sait ainsi de quoi il retourne de faon plus rapide. Nessus lui indique le service et le port prsentant lanomalie, ce que ne fait pas SAINT. De plus, il y un plus grand nombre de rfrences de type CVE et autres tel que IAVA. Les vulnrabilits ne sont pas qualifies de la mme faon. Nous aborderons le sujet un peu plus loin. B. Audit avec Saint avec attaques dangereuses (DoS) Ordinateur cible : Poste N2-98 / Poste N3-2000 Dure du test : 5 minutes Informations obtenues : critical 4 1 3 libell Partage de fichier permettant des connexions non dsires Folder traversal IIS ( possibilit de crash serveur) Attaque DoS sur le service SMTP ou dutilisation du service Buffer owerflow dans IIS ( possibilit de crash serveur) concern 1 0 1 potential 12 0 12 services 52

Total Poste N2-98 Poste N3-2000

Services problmatiques dcouverts sur Poste N2-98 Poste N3-2000 Poste N3-2000 Poste N3-2000

Laurent_donge@yahoo.fr

33 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Total 69059 100

Comptage par Ethereal des paquets envoys Sur poste N2-98 TCP UDP ICMP ARP 56684 6541 5826 8 82.1 9.5 8.4 0

Other 0 0

Commentaire : Six fois plus de paquets ont t envoys la cible. Saint charge davantage le rseau que ne le fait Nessus. Les rsultats obtenus sont sensiblement les mme que prcdemment. Les vulnrabilits que prsente IIS ont t affines. Une attaque de type critique a t identifie. Nous constatons que les attaques de type dangereuse affinent les rsultats de laudit. Test 5 : Audit de vulnrabilit en utilisant Internet Scanner A. Audit avec Internet Scanner sans attaques dangereuses Ordinateur cible : Poste N3-2000 Dure du test : 1 heure 15 minutes Informations obtenues : Risque Vulnrabilits fort 40 moyen 74 faible 74

ftp (21/tcp) Smtp (25/tcp)

Services problmatiques dcouverts sur poste N3-2000 Http (80/tcp) Microsoft-ds (445/tcp) Snmp (161/udp)

Commentaire : Le nombre de vulnrabilits indiqu par Internet Scanner est trs lev. Toutes les vulnrabilits ne renvoient pas des liens CVE. Il semble y avoir beaucoup de redondance dans les informations indiques. Il est assez difficile de sy retrouver. Nessus est globalement plus convivial et intuitif que ne lest Internet Scanner. B. Audit avec Internet Scanner avec attaques dangereuses (DoS) Ordinateur cible : Poste N3-2000 Dure du test : 1 heure 15 minutes Informations obtenues : Risque Vulnrabilits fort 40 moyen 74 faible 75

ftp 21/tcp Smtp 25/tcp

Services problmatiques dcouverts sur poste N3-2000 http 80/tcp Microsoft-ds 445/tcp

Laurent_donge@yahoo.fr

34 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Commentaire : Le service SNMP napparat plus. Le temps dexcution de laudit est identique que nous utilisions ou pas les attaques dangereuses. Une dtection de vulnrabilit prend beaucoup plus de temps avec Internet Scanner quavec Nessus et ne donne pas des rsultats aussi clairs. Test 6 : Audit de vulnrabilit en utilisant NewT A. Audit avec NewT sans attaques dangereuses Ordinateur cible : Poste N3-2000 Dure du test : 5 minutes Informations obtenues : Ports ouverts 36 Trous de scurit 12 informations 33 notes 68

Services problmatiques dcouverts sur poste N3-2000 Smtp 25/tcp Epmap 135/tcp http 80/tcp Snmp 161/udp Commentaire : NeWT est moins paramtrable que Nessus. Il est beaucoup plus simple daspect que Nessus. Il donne les mme rsultats que Nessus au niveau de notre test avec davantage de messages dinformation. B. Audit avec NeWT avec attaques dangereuses (DoS) Ordinateur cible : Poste N3-2000 Dure du test : 7 minutes Informations obtenues : Ports ouverts 36 Trous de scurit 6 informations 24 notes 63

Smtp (25/tcp) http (80/tcp)

Services problmatiques dcouverts sur poste N3-2000 Epmap (135/tcp) Microsoft-ds (445/tcp) Snmp (161/udp) Unknown (7368/tcp)

Commentaire : Deux services supplmentaires apparaissent comme ayant des failles de vulnrabilit. Les attaques de type DoS affinent l encore les rsultats.

5.3.2 Analyse de laudit


Les rsultats obtenus laide des diffrents outils sont similaires aux rsultats obtenus laide de Nessus (voir la partie 4 Les tests raliss avec Nessus de ce travail). Ils ne sont pas exactement les mmes et il nest pas ais de comparer de faon minutieuse les diffrents rapports. Les points communs que nous pouvons prendre pour se reprer dans les rapports sont les services et numros de ports associs ainsi que les rfrences CVE si elles existent. Le nombre de vulnrabilits en lui mme ne correspond pas un critre auquel nous pouvons vraiment nous fier. En effet, la notion de vulnrabilit nest pas tout fait la mme dun outil

Laurent_donge@yahoo.fr

35 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

un autre. Les outils qui identifient le plus de services prsentant des vulnrabilits sont Nessus et Internet Scanner. Saint rvle moins de failles mais propose des rapports plus conviviaux. Il utilise des couleurs pour identifier les diffrents types de vulnrabilit. Ces repres visuels permettent de se faire une ide plus rapide de la situation quavec Nessus. La comprhension des vulnrabilits est, de plus, amliore par laffichage de libells en clair, l o Nessus indiquait un nom du service et un numro de port. Dans le cas de Nessus, il est ncessaire daller voir les commentaires associs pour comprendre de quoi il en retourne. Cette dmarche est certes moins rapide mais a lavantage dtre plus complte et plus prcise. Les rapports obtenus laide de Saint sont plus riches et leurs prsentations sont plus travailles. Les rfrences aux des articles dans lesquels il est possible dobtenir davantage dinformation sont beaucoup plus nombreuses. Les audits peuvent tre programms de faon automatique par lutilisateur. Il est possible de suivre lvolution des dcouvertes des failles en temps rel. Avant de lancer un audit, lutilisateur doit choisir un ensemble de tests excuter. Cet ensemble de tests peut tre personnalis. Dans Nessus, cela correspond faire un choix de tests dans les diffrentes familles proposes. Saint propose un ensemble particulier correspondant aux top 20 des vulnrabilits du SANS. Ces vulnrabilits sont les 20 menaces les plus critiques pour la scurit Internet. Internet Scanner propose les mmes options. Les regroupements de tests sappellent des politiques. La possibilit de suivre lvolution de laudit est galement disponible. Un catalogue de vulnrabilits est prsent. Il permet la recherche dinformations correspondantes aux diverses vulnrabilits. Lexploitation des informations quil fournit est assez difficile. Il nest pas vident de sy retrouver. La ralisation des rapports nest pas trs aise. Au premier abord, cet outil parat assez austre. Il dresse cependant une liste exhaustive des informations relatives aux failles de vulnrabilits dtectes. Sur ces points, lergonomie propose par Nessus est plus intuitive. Enfin, NeWT, la version Windows de Nessus, propose une interface plus simple et plus conviviale que son homologue Open Source. Les diverses options restent similaires sans pour autant aller aussi loin. Les logiciels tiers tels que Nitko et Hydra napparaissent plus dans les paramtrages. Les rapports sont moins dvelopps que ceux de Nessus. NeWT propose galement une notion de politique de test. Ces diffrentes politiques de test correspondent divers regroupements des familles de tests proposes par Nessus.

5.4 Synthse comparative


Nous allons dans cette partie essayer de synthtiser le positionnement de loutil Nessus par rapport dautres offres disponibles sur le march des scanners de vulnrabilits. Nous ne cherchons pas faire une comparaison au sens strict du terme, cest dire renseigner tous les critres de comparaison pour lensemble des produits choisis, de faon exhaustive. Le but de notre tude est de nous faire une ide des atouts et des faiblesses de Nessus par rapport aux autres produits sur la base dun certain nombre de critres. Nessus a lavantage dtre un projet Open source trs bien suivi avec un noyau de dveloppeurs srieux. La mise disposition des tests permettant de dceler les nouvelles vulnrabilits est trs rapide, ainsi que la mise jour du produit. Nessus est donc un produit bien support qui augure dune bonne continuit dans le dveloppement. Il reprsente une forte alternative au produit commercial dans le cas de rseaux de petite taille.
Laurent_donge@yahoo.fr 36 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

* pas convaincu ** passable *** correct **** bien ***** Excellent

non renseign

Critres

Nessus

NeWT Saint

Sara

Internet Scanner
Windows NT 2000 Windows Unix Ordinateur, serveur, routers, firewall

Retina

Matriel et Systme
Unix (BSD, Windows Les plate formes Linux, Solaris) NT et 2000 dattaque Windows Unix Les systmes tests / attaqus Hardware Ordinateur, serveur, routers, firewall Unix Windows Unix Unix Windows NT 2000 XP Windows Unix (Solaris, Linux, BSD) Ordinateur, serveur, routers, firewall oui

Ordinateur, Ordinateur, serveur, serveur, routers, routers, firewall firewall

Rseau sans fil

Vulnrabilit tests
Temps du test Vulnrabilits testes Vulnrabilits Dtectes Loutil Porte des attaques au sens adressage La mise jour des vulnrabilits La slection des vulnrabilits Type doutil CVE cross rfrence Correction automatique de vulnrabilit slectionne Possibilit dautomatisation Tests personnaliss Logiciels tiers qui peuvent tre utiliss Analyse des donnes et support SSL Rapport Facilit dinstallation *** 2000+ **** **** 2000+ **** **** ** 1300 ****

***

Outils
**** libre **** Verrouill **** ** Verrouill avec les licences dutilisation Par ajout de module ? Simple clic payant oui non Oui ( permission sur fichiers, registry setting distance) oui payant ** possible Verrouill Libre avec les licences dutilisation Download Changement Changement direct sur de version de version le site Simple clic Difficilement exploitable payant Open source oui non Oui Non

Par ajout de modules Simple clic Open source Oui Non

Oui

Oui

Oui

oui

Oui (NASL) Nmap Nitko Hydra Oui

oui

oui Nmap

non

Oui ( API )

oui

oui

*** ***

*** ****

**** *****

** ***

Laurent_donge@yahoo.fr

37 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Le fait que Nessus se base sur des logiciels tiers comme Nmap, Hydra et Nitko pour effectuer certaines tches spcifiques et quil utilise un systme de plug-in pour lajout des nouveaux tests de vulnrabilits font de Nessus un outil trs volutif et personnalisable. Ce caractre est renforc par le fait de pouvoir programmer ses propres tests de vulnrabilit et la prsence de nombreux paramtrages. Saint semble plus simple. Il ne dtecte pas autant de services prsentant des failles de vulnrabilit. Mais il a le mrite davoir des rapports beaucoup plus dvelopps que ceux de Nessus. Cest un produit commercial qui possde un homologue Open source nomm Sara. Sara est support par les auteurs de Saint. Ce sont des produits qui apportent de rels plus par rapport Nessus en terme de prsentation et dergonomie. Internet Scanner repose quant lui sur un fort groupe de professionnels. Il est moins ergonomique que Nessus mais permet de dcouvrir autant de failles de vulnrabilit. Rtina se distingue un peu des autres solutions en proposant une mthode nomme CHAM qui permet de dcouvrir des vulnrabilits inconnues. La validit de cette dmarche est assez difficile qualifier sans faire une tude plus pousse de cette option. La prise en main des problmes de scurit, laide de scanners de vulnrabilit, peut se faire en deux temps. Dans un premier temps, nous pouvons utiliser des logiciels simples tels que Saint ou Sara. Ensuite nous pouvons affiner les rsultats laide de Nessus ou dInternet Scanner. Les scanners de vulnrabilits sont des outils qui voluent trs rapidement. Une comparaison des diffrentes solutions nest valable que sur du court terme. Les volutions de ce type de produit se font dans la mme direction. Ils recherchent tous : largir le champs des machines testes, ainsi que le nombre de vulnrabilits intgrer rapidement les nouvelles failles de vulnrabilits dcouvertes amliorer la documentation associe aux vulnrabilits et aux actions correctrices entreprendre pour pallier ces vulnrabilits. indiquer les tests dangereux quil faut utiliser avec prcaution. Il est assez difficile de comparer ces produits au niveau du nombre de failles quils dtectent. Linformation la plus significative est la liste des vulnrabilits quils prsentent. Un nombre de vulnrabilits en soit ne signifie pas grand chose sil nexiste pas des identifiants uniques qui permettent de qualifier les diffrentes vulnrabilits. Do lintrt norme des rfrences CVE qui permettent de savoir si nous parlons bien des mmes vulnrabilits. Gnralement, nous attribuons aux produits des socits commerciales une meilleure prennit que les logiciels Open source. Nessus est un parfait contre exemple. Nessus ne propose pas la meilleur ergonomie au niveau de son interface cliente et de ses rapports, mais il fournit des dtections compltes, avec des temps danalyse trs corrects par rapport aux autres produits du march. Il est volutif, ouvert et gratuit.

Laurent_donge@yahoo.fr

38 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

6. Conclusion
Lobjectif de ce travail est dapprhender les problmatiques lies aux tests dintrusion dans les rseaux Internet. Pour cela, des tests laide doutils daudit de vulnrabilit, en particulier de loutil Nessus, ont t raliss. Une comparaison sappuyant sur divers critres a t mene, afin de positionner Nessus par rapport aux autres offres du march. Cependant, une comparaison en terme de nombre de vulnrabilits dtectables nest pas aussi aise. Cela suppose en effet que toutes les vulnrabilits soient identifies de faon unique. Ce qui est difficilement ralisable en soit, du fait que nous ne connaissons pas toutes les vulnrabilits et que les diffrents scanners de vulnrabilit nont pas tous recours ce genre de rfrences, tels que les liens CVE, de manire systmatique. Il est noter quil existe plusieurs bases de connaissance qui recensent les vulnrabilits et que certains scanners utilisent des identifiants propres pour dsigner les vulnrabilits. Dans le cas de Nessus, ces identifiants propres sont appels les Nessus Ids. Les scanners de vulnrabilits sont des moyens permettant de scuriser un rseau. Ils sont analogues une brique imparfaite dun ensemble plus complexe que constitue lensemble des outils de scurisation des rseaux. Ils ne suffisent pas eux seuls. Ils ne sont par exemple pas adapts pour lanalyse de la robustesse des mots de passe. Les mots de passe constituent pourtant lune des vulnrabilits les plus importantes prsents par les rseaux. Ils sont impuissants devant les attaques de virus et de vers. Les scanners sont utiliss dans les tests dintrusion afin de rcolter des informations sur les ordinateurs cibles. Ils ne constituent quune tape dun certain type de tests dintrusion. Il existe dautres types de tests dintrusion tels que le dial up et lingnierie sociale qui sont tout aussi efficaces. Les tests dintrusion simulent le comportement dindividus hostiles qui cherchent exploiter, par tous les moyens, toute faille que prsente un systme dinformation. Cependant, les personnes qui mnent ces tests ne sont pas animes des mmes proccupations. Ils ne peuvent pas risquer de rendre indisponibles les services partags travers le rseau. Les pirates quant eux ne font preuve daucun scrupule. De plus, les pirates sont gnralement linitiative dexploitation des vulnrabilits non encore dcouvertes. Un test dintrusion ne permet de dcouvrir que les failles de vulnrabilit connues un instant donn. Les tests dintrusion ne sont pas non plus suffisants. Ils rentrent dans un processus plus global qui est celui de laudit de scurit. Le but dun audit de scurit est de faire un rapport des vulnrabilits du systme et des actions mener pour y remdier. Laudit de scurit indique donc des stratgies adopter pour rsoudre les diffrents problmes. Il suppose lintervention de personnes spcialises dans le domaine. Les scanners font pour leurs parts un rapport des vulnrabilits et indiquent gnralement les moyens dy remdier de faon automatise. Ceci ne remplace pas lintervention de spcialistes qui peuvent avoir par exemple une meilleure visibilit sur les consquences des tests quils effectuent et des actions quils mnent afin de rsorber les diffrentes failles de vulnrabilits. Ils peuvent galement combler dans une certaine mesure les limites des scanners que sont les faux positifs et les non dtections.

Laurent_donge@yahoo.fr

39 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

La scurisation dun rseau demande un travail permanent. Il est ncessaire de faire des mises jour rgulires et frquentes. Laudit de scurit nest quune valuation des failles dun systme un instant donn. La scurisation dun rseau revt au contraire un aspect cyclique. Cest une tche rptitive qui demande une surveillance de tous les instants. Elle ncessite la mise en place de nombreux outils qui couvrent chacun des fonctionnalits diffrentes. Les pare-feu permettent par exemple de filtrer des paquets provenant dInternet. De cette faon, une machine extrieure au rseau dentreprise ne peut plus se faire passer pour une machine appartenant au rseau. Des outils tels que les anti-virus apportent une protection contre les effets des virus connus. Divers outils permettent deffectuer une surveillance du rseau, tels que les outils permettant de journaliser de faon centralise les traces de plusieurs serveurs sur une mme machine ddie. Ainsi, mme si les attaquants effacent leurs traces sur les machines quils utilisent, le journal centralis lui est encore intact. Les IDS permettent de dtecter les tentatives dintrusion. Il est noter que les scanners de dtection de vulnrabilits mettent en place des mcanismes afin de ne pas se faire dtecter par les IDS. Enfin, divers protocoles de cryptage permettent de scuriser les communications. Ce qui permet en particulier dempcher un attaquant de sapproprier des mots de passe en utilisant un sniffer. Un sniffer permet de visualiser le contenu des paquets qui transitent sur le rseau et ainsi de rcuprer des mots de passe lorsquils apparaissent en clair dans certain protocole. Dans le cas dun grand rseau, la contrainte la plus difficile grer est le volume de linformation obtenue laide doutils comme les scanners de vulnrabilit et le temps ncessaire pour les obtenir. Il est alors quasi obligatoire de dfinir un plan dactions afin de scuriser le rseau. Ceci suppose davoir un minimum de connaissance dans le domaine et ncessite de faire un inventaire des services ncessaires la bonne utilisation du rseau. Dautre part, les scanners ne permettent pas eux seuls de rcolter et de traiter les informations obtenues de faon rapide. Il est alors ncessaire de sorienter vers des solutions de dtection de faille de vulnrabilit reposant sur des architectures rparties qui sont plus robustes et mieux adaptes aux rseaux consquents.

Laurent_donge@yahoo.fr

40 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Annexe A Glossaire
ADSL: Asymetric Digital Subscriber Line. Technologie permettant daccder Internet grande vitesse partir dun rseau tlphonique. API : Application Programming Interface. Interface de programmation d'applications, contenant un ensemble de fonctions courantes de bas niveau, bien documentes, permettant de programmer des applications. ARP : Adress Resolution Protocol. Protocole de rsolution dadresse. Processus des rseaux IP permettant dobtenir ladresse IP partir de ladresse MAC. ASCII : American Standard Code for Information Interchange. Code standard amricain pour lchange dinformation qui traduit en nombre les caractres de lalphabet et autres. Adresse IP : identifie le rseau et la station sur un rseau TCP/IP. Ladresse se compose de 4 octets, spars par un point. Selon, que ladresse est de classe A, B ou C, 1,2,3 octets dsigne le rseau et 3, 2, 1 octets dsigne le poste. Adresse MAC : Adresse identifiant un lment actif sur un rseau. Lidentifiant est constitu de donnes relatives au fabricant. Anti-virus : utilitaire capable de rechercher et dliminer les virus informatiques. Backdoors : Portes drobes. Programmes usurpateurs qui dtournent les fonctionnalits systmes dans le but douvrir des accs utiles aux pirates pour contrler distance les machines cibles. Ces programmes sont gnralement installs par lintermdiaire dun autre programme. BD : Base de donnes, Data Base. Outils permettant de stocker, grer et consulter des informations. Buffer : tampon. Aire de stockage intermdiaire associe aux Entres/Sorties, fonctionnant comme une file d'attente et jouant le rle d'un amortisseur entre deux lments d'une machine qui tournent des vitesses trs diffrentes. BugTraq : site spcialis dans le domaine de la scurit informatique Brute-force : Mthode danalyse de chiffrement dans laquelle toutes les cls possibles sont systmatiquement essayes. Elle est aussi appele recherche exhaustive. CIDR : Classless Inter-Domain Routing. Autorise la cration de rseaux de petites tailles et le routage dynamique des donnes entre eux. La notation CIDR est forme dun identifiant dun ordinateur sur quatre octets / le nombre de bits du masque du rseau. CERT :Centre for Emergency and Response Team. Institut de gnie logiciel de lUniversit de Carnegie Mellon (Pittsburgh/USA) spcialis dans la scurit informatique. Une mine de renseignements sur les dernires failles dtectes et les solutions de protection. CGI : Programme informatique, crit en langage script, permettant de raliser des pages dynamiques CHAM : Common Hacker Attack Methods. Il sagit dun testeur de dbordement de tampon gnrique sur les protocoles FTP, SMTP, HTTP. CISCO : Fabricant de matriel rseau CVE : Common Vulnerabilities and Exposures. Liste de noms standardiss pour les vulnrabilits. Certificat : Fichier chiffr fourni par un organisme tiers permettant didentifier formellement les diffrents acteurs impliqus dans une transaction. Cookies : petits paquets de donnes qui renferment des renseignements sur lordinateur dun utilisateur.

Laurent_donge@yahoo.fr

41 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Classe B : correspond la classe dun rseau. 2 octets dsignent le rseau. 2 octets dsignent le poste DB : Data Base, Base de donnes. Outils permettant de stocker, grer et consulter des informations. DNS : Domain Name Server / Domain Name System. Un serveur de noms de domaine a pour fonction de traduire les noms symboliques des ordinateurs connects au rseau en adresses numriques "IP", de manire permettre leur reconnaissance et donc l'tablissement d'une communication. DoS : attaques dont le but est de rendre indisponible des services ou de faire tomber le serveur proposant ces services. Dmon : Daemon. Disk And Execution MONitor. Programme ralisant des tches de fond du systme sous Linux par exemple. Dbordement de tampon : Buffer overflow. Technique dattaque consistant envoyer dans un buffer plus dinformations quil ne peut en contenir, occasionnant un dysfonctionnement qui conduit un systme mal configur donner la main au pirate avec un maximum de droit. Dial up : Connexion un rseau par l'intermdiaire d'une ligne de tlphone Download : Tlchargement dun fichier depuis un serveur vers le poste. Dragon : logiciel de dtection dintrusion Dsniff : suite doutils daudit de rseau et de test de pntration. EPMAP : End Point MAPper. Un mapper est une reprsentation de la localisation dun ensemble de donnes en vue de faciliter laccs. correspond un service. Ethernet : Norme de protocole de rseau local relativement puissante et trs rpandue, invente en 1970 au PARC de Xerox par Bob Metcalfe qui l'a dcrite en 1974 dans sa thse de Doctorat de Physique, puis repris par DEC, Intel et Xerox, normalise par l'ISO et l'IEEE avec le numro 802.3. Ethereal : analyseur gratuit de protocole rseau pour Unix et Windows. Exploits : Ce terme anglais dsigne les trous de scurit que les pirates cherchent exploiter. Pour ce faire, les pirates utilisent souvent les nombreux outils dvelopps par les plus "brillants" d'entre eux (librement tlchargeables) ou tirent profit des outils d'valuation aux vulnrabilits proposs prioritairement aux administrateurs systmes. FTP : File Transfert Protocol. Ce Protocole de transfert de fichier est une mthode standard permettant de transfrer des fichiers sur l'Internet par exemple. Faux positifs : lorsquun scanner dcouvre une vulnrabilit alors quil ny en a pas, on parle dans ce cas de Faux positifs. Finger : Programme permettant d'avoir des informations sur des personnes travaillant sur un systme Unix. Si ce systme est accessible par l'Internet, ces informations peuvent y tre disponibles. On trouve en gnral le nom, le temps de connexion de l'utilisateur, son terminal. Firewall : Pare-feu. Systme situ entre le rseau interne de l'entreprise et le rseau externe, dont la tche est de contrler aussi bien les communications entrantes que sortantes, dans le but de scuriser les changes d'informations. On confie principalement au firewall le soin de filtrer les paquets et traiter les services proxy. FreeBSD : Systme d'exploitation Unix libre pour PC. GPL :General Public Licence. Il s'agit d'un modle de licence pour logiciel libre propos en 1991 par la Free Software Foundation.

Laurent_donge@yahoo.fr

42 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

HTTP : HyperText Transfert Protocol. Ce protocole est le mode de communication utilis sur le Web entre le logiciel client (navigateur) et le serveur (celui qui fournit la page). A chaque fois qu'un utilisateur demande l'accs une page, une requte http est envoye au serveur qui renvoie le document correspondant. HTTPS : HyperText Transfer Protocol Secure. Protocole de transmission issu de Netscape li une connexion par socket scurise. Hackers : Individu possdant des connaissances trs pointues sur le matriel informatique, les systmes d'exploitation ou encore les rseaux. Contrairement au pirate informatique (voir "Cracker") auquel il est souvent assimil, le Hacker n'a pas la volont de nuire mais plutt d'amliorer des technologies existantes, y compris dans le domaine de la scurit. Hub : Dispositif permettant de runir les donnes de plusieurs lignes faible dbit pour les transmettre sur une seule ligne haut dbit ou, inversement, de scinder le trafic d'une grosse ligne sur plusieurs petites. Cest un type de concentrateur servant de Nud dun rseau Ethernet RJ45. Dans le cas du hub, toutes les informations sont envoyes vers tous les PC. Hydra : logiciel spcialis dans les attaques brute-force. IANA : Internet Assigned Numbers Authority. Organisme qui a fix les numros des ports bien connus (Wellknown port) pour un service donn. ICAT : Base de donnes de vulnrabilits. ICMP : Internet Control Message Protocol. Protocole (public) de contrle utilis par les routeurs pour l'acheminement des paquets Internet. Les pirates l'emploient pour crer des problmes de transmission qui, dtects et traits par les routeurs, aboutiront une surcharge rseau parfois accompagne de dnis de service. IDS : Intrusion Detection System. Terme gnrique faisant rfrence aux quipements ou logiciels chargs de dtecter des intrusions. On distingue deux types d'IDS: Les NIDS (Network Intrusion Detection Systems) pour les rseaux et les HIDS (Host-based Intrusion Detection Systems) pour les serveurs. IIS : Internet Information Server. Serveur Web de Microsoft. IMAP : Internet Mail Access Protocol. Protocole de gestion de messagerie permettant de stocker le courrier sur le serveur et pas sur le client. IP : Internet Protocol. Protocole de transmission de l'Internet, dcrit aussi les adresses du rseau. ISS : Internet Security System Ingnierie sociale : intrusion dans un systme dinformation exploitant les interactions sociales Internet Scanner : scanner de vulnrabilit de la socit IIS IP spoofing : technique consistent usurper une adresse IP afin de se faire passer pour un autre. Internet : Rseau chelle mondiale. Il est compos dun grand nombre de rseaux internationaux, rgionaux et locaux interconnects entre eux. Tous utilisent les protocoles de transmissions de la famille TCP/IP. John the ripper : permet de dcrypter des mots de passe disponible sur diverse plate-formes. LAN : Local Area Network. Rseaux locaux. Rseau situ dans une zone rduite ou dans un environnement commun, tels qu'un immeuble ou un bloc d'immeubles. LATEX : Ensemble clbre de macros pour le langage de formatage de texte TeX. TeX est un format de composition de texte trs prcis surtout utilis pour les documents scientifiques. Linux : Systme d'exploitation Unix distribu sous forme de logiciel libre.

Laurent_donge@yahoo.fr

43 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

MySQL : Systme de base de donnes entirement open source compatible SQL. Installations GNU/Linux et Win32 disponibles.

NASL : Nessus Attack Scripting Language. Permet de programmer des plug-in utilisables par Nessus. NFS : Network File System. C'est un SGF de rseau dfini par un protocole sans connexion, prsent par Sun en 1985 pour ses stations sans disque. Un SGF est Systme de Gestion de Fichiers qui dfinit, par exemple, la structure interne de l'arborescence, les formats d'enregistrements, le dcoupage des disques, les mta donnes sur les fichiers... NIDS : Network Intrusion Detection System. Systme de dtection d'intrusion dans un rseau. NIS : Network Information Services. Services d'information sur le rseau. Services donnant accs des bases de donnes de rseau fournissant par exemples des adresses IP, Ethernet des mots de passe ou des noms de serveur. NNTP : Network News Transfer Protocol. Protocole de transfert des News Nessus : scanner vrifiant la scurit d'un ensemble de machines. Nessus ID : identifiant que Nessus associe aux diffrentes vulnrabilits. Netbios : NETwork Basic Input-Output System. BIOS ddi aux rseaux conus par IBM dans les annes 1980 et devenu un standard. Netcat : utilitaire simple qui permet de lire et crire des donnes travers une connexion rseau en utilisant TCP ou UDP. Netware : Systme d'exploitation de rseau de Novell, comprenant de nombreux utilitaires, et trs utilis sur les LAN de PC. NeWT : version Windows de Nessus. Nitko : scanner spcialis dans les CGI. Nmap : scanner de port. Null : absence de valeur OSI : Open Systems Interconnection. Interconnexion de systme ouvert. Open source : Famille regroupant des logiciels rgis par une licence dite "libre". PERL : Pratical Extraction and Report Language. Langage interprt optimis pour le traitement du texte. PHP : Pre Hypertext Processor. Un langage de programmation orient Web et excut ct serveur. Il permet la gnration de sorties HTML en fonction de requtes effectues par un ordinateur distant. Il s'interface facilement avec des bases de donnes telles que MySQL, PostgreSQL, etc. et bien entendu en module de logiciels serveurs tels que Apache, Xitami ou mme IIS. PHP est un langage open source. Ping : Packet INternet Groper. Faire un PING consiste envoyer une requte ICMP un serveur. S'il rpond, c'est qu'on a des chances de pouvoir l'atteindre. Sinon, c'est qu'il est en panne ou inaccessible. Plug-in : extension une application qui vient se loger dans l'application elle-mme. Une fois installe, on peut utiliser le plug-in de faon tout fait transparente. Protocole : Terme dfinissant les rgles de communication entre plusieurs ordinateurs sur un rseau. Port : Canal de communication. Proxy : Service (au sens logiciel du terme) qui relaye la communication entre un poste client et un serveur. Il est plac entre le poste client et le firewall et entre le firewall et le serveur. Ainsi, le proxy est une sorte d'intermdiaire qui vite au serveur d'tre directement "attaqu" par les requtes du poste client.

Laurent_donge@yahoo.fr

44 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

RPC : Remote Procedure Call. Technique utilise dans le modle client-serveur. Le client appelle des procdures qui sont excutes sur un ordinateur distant grce un serveur d'applications. Le protocole RPC gre les interactions entre le client et le serveur. Registry : base de registres. La registry en elle-mme est la base de donne du systme. Retina : scanner de vulnrabilit de la socit eEye. Rusers : Commande qui permet de trouver le nom de compte valide. Routeur : Equipement lectronique dont le but est d'assurer la communication entre plusieurs rseaux. Il joue le rle de serveur en grant les changes entre ces rseaux. SANS : Institut qui rassemble les informations de plusieurs sources telles que CERT, Bug Traq. SMB : Server Message Block. Protocole de Microsoft et d'Intel fonctionnant sur NetBIOS et permettant le partage de ressources (disques et imprimantes) travers un rseau publi en 1987. SMTP : Simple Mail Transfert Protocole. Protocole de la famille TCP/IP utilis pour le transfert de courrier lectronique. SNMP : Simple Network Management Protocol. Il sert administrer localement ou distance les rseaux TCP/IP. SSH : Secure SHell. Shell permettant de se connecter de faon scurise sur une machine distante et d'y excuter des programmes, toujours de faon scurise SSL : Secure Socket Layer. sockets scurises SUN : Microsystems Computers Corp. Entreprise cre par des hackers et fabricants des stations de travail, une rfrence en matire de calcul mathmatique et de rseau de micros. SAINT : Security Administrators Integrated Network Tool. Outil d'audit rseau se concentrant sur la scurit du systme. C'est un descendant de SATAN SARA : Security Auditor Research Assistant. Scanner de vulnrabilit Open source. SATAN : Security Administrator Tool for Analysing Network. Outils (mis au point par Dan Farmer) permettant de tester la scurit d'un rseau en simulant une attaque de l'extrieur. SecurityFocus : site traitant de la scurit informatique Session : priode de temps ininterrompue au cours de laquelle un client est connect un serveur. Siphon : permet de collecter de linformation sur la cartographie du rseau. Sniffer : En franais, sniffeur, dformation du nom anglais, autant dire renifleur. Sorte de sonde que l'on place sur un rseau pour l'couter, et en particulier rcuprer la vole des informations sensibles, comme des mots de passe, sans que les utilisateurs ou les administrateurs du rseau ne s'en rendent compte. Source routing : routage la source. Permet de spcifier le chemin que vont emprunter les paquets sur le rseau. Spiffy HTML : document HMTL comportant des camemberts et des graphes. Switch : cest un commutateur. A la diffrence dun Hub, un switch reconnat les diffrents PCs connects sur le rseau. Il nenvoie linformation quau PC destinataire. Socket : Norme de mode de communication sur rseaux, mise au point Berkeley, qui permet une application de dialoguer avec un protocole. TCP/IP :Transmission Control Protocol / Internet Protocol. Les deux protocoles de communication qui forment les fondements de l'Internet TLS : Transport Layer Security. Protocole destin assurer une meilleure confidentialit des communications Internet, il est issu d'un projet de l'IETF bas sur la version 3 de SSL. TNS : Tenable Network Security

Laurent_donge@yahoo.fr

45 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

TCPdump : un sniffer classique pour le contrle et lacquisition de donne. Telnet : Utilitaire de connectivit TCP/IP permettant la connexion en mode terminal (ouverture de session) entre ordinateurs htrognes. Traceroute : C'est un utilitaire permettant de dterminer le trajet emprunt par vos paquets IP sur Internet. Il est disponible sous Linux ou Windows avec, par exemple, la fonction sous dos "tracert". UDP : User Datagram Protocol Protocole rseau niveau 4 (Transport) servant au transfert rapide de donnes. L'change tant ralis sans aucun contrle, il ouvre la porte aux attaques de type spoofing. Unix : De l'anglais "Uniplexed Information and Computer Service", Unix est un systme d'exploitation multitches et Multi-Utilisateurs trs performant dvelopp la fin des annes 60. Le driv le plus connu d'UNIX est Linux. Vers : Petit programme qui se "ballade" dans la mmoire vive (RAM) des ordinateurs, dtruisant tout sur son passage. Les vers se rpandent en utilisant les rseaux. Sans qu'on puisse vraiment les classer comme des virus (leur attaque n'est pas cible), les vers occasionnent gnralement "seulement" des dysfonctionnements et blocages des machines qu'ils parasitent. Virus : Au sens large du terme, on qualifie gnralement de virus tout programme capable de se reproduire (techniquement, se recopier) lui-mme et d'endommager des donnes informatiques. On les classe en plusieurs catgories, principalement : parasite, compagnon, amorce, multiformes, rsidant en mmoire ou non, furtifs, polymorphes, rseau et flibustier. Pour plus de dtails reportez-vous aux dfinitions correspondantes.

Web : Le Web ou World Wide Web, (aussi appel la "toile") est l'une des multiples dnominations de l'Internet. Wifi : Contraction de WIreless FIdelity . utilis pour dsigner les rseaux sans fil War dialing : consiste identifier des numros de tlphone appartenant un systme dinformation permettant de sintroduire lintrieur du rseau Whisker : scanner de vulnrabilit spcialis dans les CGI. Whois : Un Whois ("Qui est-ce ?") permet de connatre toutes les informations de proprit lies un nom de domaine enregistr auprs du registre de lInternic : contact administratif, contact technique, contact de facturation et les dates d'enregistrement du nom de domaine. Internic signifie INTERnet Network Information Center. Cest lorganisme se chargeant, entre autres, de distribuer les adresses Internet. Windows: est un systme dexploitation. Cest dire un programme assurant la gestion de lordinateur et de ses composants.

Laurent_donge@yahoo.fr

46 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Annexe B Bibliographie / Rfrence Internet


[1] LesNouvelles. Mariage surprise dans laudit de vulnrabilits. Disponible sur http://www.yacapa.com/article-993.html (consult le 01 Avril 2004) [2] Nessus.org. Nessus. Disponible sur http://www.nessus.org/doc/datasheet.pdf. (consult le 23 mars 2004) [3] [4] GORIN Jean-denis. Les tests dintrusion JDGorin@Computer.Org ANDERSON Harry. Nessus, Part 3: Analysing Reports . Disponible sur http://www.securityfocus.com/infocus/1741 (consult le 01 Avril 2004) [5] Anonyme. Scurit maximale des systmes et rseaux.4e dition. Paris, France : CampusPress, 2003. ISBN 2-7440-1549-0 [6] BOUTHERIN B., DELAUNAY B. Scuriser un rseau Linux. Paris, France : Eyrolles, 2003, 155p. ( collection Cahiers de lAdmin) ISBN 2-212-11245-9 [7] [8] RENARDIAS Vincent. Nessus. redhat magazine, 2004, n2, pp. 12-17. GomoR@gomor.org. Test dintrusion, mthodologie. Disponible sur http://www.gomor.org/Securite/test_d_intrusion.html (consult le 1 Avril 2004) [9] The MITRE Corporation. About CVE. Disponible sur http://cve.mitre.org/about/ (consult le 29 Mars 2004) [10] Comit consultatif sur les technologies de linformation de lICCA. Test dintrusion Outil dapprciation des risques pour la scurit de linformation. Canada : LInstitut Canadien des Comptables Agres, 2003. Disponible sur www.icca.ca/ccti (consult le 01 Avril 2004). [11] Trustonme.net. Nessus. Disponible sur http://www.trustonme.net/didactels/?rub=201 (consult le 24 mars 2004) [12] E-Atlantide.com. Scanner de vulnrabilits. Disponible sur http://www.e-atlantide.com/securite/scanner_vulnerabilite/index.htm (consult le 02 Avril 2004) [13] Magistrat. Dossier / News Blocus : Identifier des failles potentielles dans son rseau : mthode. Disponible sur http://www.blocuszone.com/modules/news/article.php?storyid=589 (consult le 02 Avril 2004)

Laurent_donge@yahoo.fr

47 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

[14] Marie-claude QUIDOC. Comparatif des produits de simulation dintrusions. Disponible sur http://www.urec.cnrs.fr/securite/articles/si_comparatif.pdf (consult le 08 Avril 2004) [15] Eric UNER. Simple Network Vulnerability Testing. Disponible sur http://www.naspa.com/PDF/2003/0903/T0309001.pdf (consult le 09 Avril 2004) [16] SecurityWizardry UK. Network Vulnerability Scanners. Disponible sur http://www.networkintrusion.co.uk/N_scan.htm (consult le 09 Avril 2004) [17] Nikolai BEZROUKOV. Ports scanning link. Disponible sur http://www.softpanorama.org/security/port_scanners/links.shtml (consult le 08 Avril 2004) [18] Kevin NOVAK.VA scanners Pinpoint your Weak Spots. Disponible sur http://www.networkcomputing.com/1412/1412f2.html (consult le 09 Avril 2004) [19] eEye Digital Security. RETINA Network Security Scanner, Superior Vulnerability Assessment & Remediation. Disponible sur http://www.eEye.com (consult le 9 Avril 2004) [20] MISC. Les tests dintrusion. Disponible sur http://www.miscmag.com/articles/index.php3?page=109 (consult le 08 Avril 2004) [21] http://www.tout-savoir.net (consult le 14 Avril 2004) [22] http://www.echu.org/portail/modules/glossaire (consult le 14 Avril 2004) [23] http://www.alaide.com (consult le 18 Avril 2004)

Laurent_donge@yahoo.fr

48 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Annexe C Table des illustrations

Figure 1 : Internet Figure 2 : Test dintrusion externe Figure 3 : La dmarche utilise dans les tests dintrusion Figure 4 : Les outils utiliss lors dune intrusion Figure 5 : Le fonctionnement de Nessus Figure 6 : Le rseau Ethernet utilis pour les tests

p5 p 10 p 12 p 16 p 17 p 23

Laurent_donge@yahoo.fr

49 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Annexe D Nessus : installation et configuration


La dmarche dinstallation suivante est celle indique sur le site officiel de Nessus ladresse suivante : http://www.nessus.org. 1. Installation de Nessus Une faon dinstaller Nessus simplement est dutiliser le script nessus-installer.sh qui permet de faire une installation automatise. Il suffit de taper la commande : sh nessus-installer.dh Il est ncessaire davoir le package sharutils pralablement install sur le poste. Nous pouvons le tlcharger sous forme de rpm et linstaller en tapant par exemple les commandes suivantes, sil se prsente sous forme dune source : Rpm build --rebuild lenomdusource.rpm Rpm ivh lenomdubinaire.rpm Pour installer Nessus sur un systme de type Unix, dans le cas o nous ne voulons pas utiliser le script dinstallation automatique, il faut tlcharger les fichiers suivants :

nessus-libraries-x.x.tar.gz libnasl-x.x.tar.gz nessus-core.x.x.tar.gz nessus-plugins.x.x.tar.gz

Il faut dcompresser les fichiers et les compiler dans lordre suivant: Installation de Nessus-libraries Compiler Nessus-libraries en tapant :
cd nessus-libraries ./configure make

puis, en tant root, excuter la commande suivante :


make install

Installation de libnasl Compiler Nessus-libraries en tapant :


cd libnasl ./configure make

puis, en tant root, excuter la commande suivante :


make install

Il faut alors rpter la mme opration avec Nessus-core et Nessus-plugins. 2. crer un compte sur le dmon Nessus

Laurent_donge@yahoo.fr

50 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Le dmon Nessusd a sa propre base de donne, chaque utilisateur peut avoir un ensemble de limitations. Ceci permet de partager un unique dmon pour un rseau complet et plusieurs administrateurs qui pourront tester uniquement la partie du rseau qui leur est attribue. Lutilitaire Nessus-adduser permet de configurer un profil utilisateur , il suffit pour cela de suivre la dmarche suivante :
# nessus-adduser Addition of a new nessusd user -----------------------------Login : renaud Authentication (pass/cert) [pass] : pass Password : secret User rules ---------nessusd has a rules system which allows you to restrict the hosts that renaud2 has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) deny 10.163.156.1 accept 10.163.156.0/24 default deny Login Password DN Rules : renaud : secret : :

deny 10.163.156.1 accept 10.163.156.0/24 default deny

Is that ok (y/n) ? [y] y user added.

3. configurer le dmon Nessus. Si nous voulons changer les paramtrages par dfaut du dmon Nessus, il suffit de modifier le fichier suivant : /usr/local/etc/nessus/nessusd.conf Il est possible de spcifier dans ce fichier, les ressources que nous voulons que Nessus utilise, la vitesse laquelle nous voulons effectuer la lecture des donnes

Laurent_donge@yahoo.fr

51 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Nous devons alors lancer le dmon Nessus en tapant :


nessusd -D

4. la configuration du client connexion au dmon Nessus

Cette tape consiste se connecter au dmon Nessus.

Laurent_donge@yahoo.fr

52 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

configuration des tests de scurit

il est possible de choisir quels plug-in on dsire lancer au moyen de cet cran. En cliquant su le nom dun plug-in, une fentre expliquant ce que fait le plug-in saffiche.

Laurent_donge@yahoo.fr

53 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

prfrences des plug-in

il est possible de fournir des informations complmentaires. Laudit sera alors plus complet.

Laurent_donge@yahoo.fr

54 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

les options de scannage

Cette section permet de choisir le scanner de port que lon veut utiliser, le nombre dordinateurs que lon veut scanner en mme temps et le nombre de plug-in que lon veut excuter en mme temps sur la cible.

Laurent_donge@yahoo.fr

55 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

dfinition de la cible :

Il est possible dindiquer la cible de diverses faons. On peut utiliser une simple adresse IP ou une plage dadresse IP. La notation CIDR est supporte. On peut galement utiliser la qualification longue de la notation de domaine de nom.

Laurent_donge@yahoo.fr

56 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

La section des rgles :

Les rgles permettent aux utilisateurs de limiter leurs tests. Il est possible par exemple dexclure une adresse IP que lon ne veut pas tester.

Laurent_donge@yahoo.fr

57 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Une fois que tout ceci est effectu, il est possible de commencer le test :

Laurent_donge@yahoo.fr

58 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

5 interprtation des rapports Juste aprs la fin du test, la fentre de rapport souvre :

Les rapports peuvent tre sauvegard sous diffrents formats.


Au format NBE qui peut tre lu par les clients Unix. Au format NSR Au format spiffy HTML qui est en fait du HTML avec des camemberts et des graphes Au format HTML Au format text ASCII Au format LaTeX (pdf)

Laurent_donge@yahoo.fr

59 / 60

Dpartement informatique du CNAM paris : Examen probatoire - Session de Mai 2004

Annexe E Failles de vulnrabilits dtectes


Shh (22/tcp) : excution arbitraire de commande sur le poste due une faille prsente au niveau de la gestion du buffer. La version de Shh est trop vieille. Netbios-ssn (139/tcp) : possibilit de se connecter sur le poste en utilisant un utilisateur et un mot de passe NULL. Ce qui permet au pirate un accs en tant quinvit. Unknown (1024/udp) : excution possible de code arbitraire due un bug dans le dmon correspondant un service RPC. Unknown (665/tcp) : possibilit dobtenir un interprteur en tant quadministrateur sur le poste en exploitant une vulnrabilit du service RPC qui est ouvert sur ce port. ftp (21/tcp) : possibilit de faire tomber le service FTP laide dune commande. Ce qui empchera, par exemple, un site de fournir les services FTP. http (80/tcp) : possibilit dexcuter des commandes en tant quutilisateur systme. Unknown (135/tcp) : possibilit dexcution de code arbitraire et dobtenir des privilges systmes. gagner le contrle de la machine. Unknown (135/udp) : faille dans le service exploitable laide dune attaque DoS. Snmp (161/udp) : lagent SNMP rpond la communaut de nom public. Smtp (25/tcp) : possibilit dexploitation avec des attaques de type DoS. General / tcp : possibilit de rendre indisponible les services RPC en envoyant une requte mal forme. telnet (23/tcp) : le serveur telnet tombe lorsquil reoit trop doptions. Microsoft-ds (445/tcp) : excution arbitraire de code. Epmap (135/tcp) : gagner le contrle de la machine.

Laurent_donge@yahoo.fr

60 / 60