Você está na página 1de 102

GFI LANguard Network Security Scanner 6

Manuel

Par GFI Software Ltd.

GFI SOFTWARE Ltd. http://www.gfsfrance.com Email : info@gfsfrance.com

Les informations contenues dans ce document peuvent tre modifies sans pravis. Les entreprises, les noms et les donnes utiliss ciaprs, titre dexemple, sont fictifs moins dune notification contraire. Ce document, mme partiellement, ne peut tre reproduit ou transmis, sous quelque forme ou quelque moyen que ce soit, lectronique ou mcanique, et quel quen soit lobjet, sans lautorisation expresse et crite de GFI Software Ltd. LANguard est un copyright de GFI Software Ltd. SOFTWARE Ltd. Tous droits rservs. Version 6.0 Dernire mise jour 03/02/2005 2000-2004 GFI

Table des matires


Introduction 5
Introduction GFI LANguard Network Security Scanner .............................................. 5 Importance de la Scurit de Rseau Interne ............................................................... 5 Fonctions cls ................................................................................................................ 6 Composants de GFI LANguard N.S.S. .......................................................................... 7 Systme de licences ...................................................................................................... 7

Installation de GFI LANguard Network Security Scanner

Systme requis .............................................................................................................. 9 Processus dinstallation ................................................................................................. 9 Saisir votre cl de licence aprs linstallation .............................................................. 11

Pour commencer : Effectuer un audit

13

Introduction aux audits de scurit .............................................................................. 13 Balayage ...................................................................................................................... 13 Analyse des rsultats de scan ..................................................................................... 15 Adresse IP, Nom du poste, Systme dExploitation et Niveau du Service Pack .............................................................................................. 15 Nud de vulnrabilits ................................................................................... 15 Noeud de vulnrabilits ventuelles ............................................................... 17 Partages.......................................................................................................... 17 Stratgie de mot de passe .............................................................................. 18 Registre........................................................................................................... 18 Stratgie de scurisation daudit..................................................................... 19 Ports ouverts ................................................................................................... 20 Utilisateurs & Groupes dutilisateurs............................................................... 21 Utilisateurs Connects .................................................................................... 21 Services .......................................................................................................... 22 System Patching status .................................................................................. 22 Network Devices ............................................................................................. 23 Priphriques USB ......................................................................................... 23 Autres rsultats ............................................................................................................ 25 Ordinateur ....................................................................................................... 25 Balayages sur place et en-dehors du site.................................................................... 25 Balayage sur place (on site scan)................................................................... 26 Balayage distance (off site scan) ................................................................. 26 Comparaison des balayages sur place et de lextrieur ................................. 26

Enregistrement et chargement des rsultats de balayage

29

Introduction .................................................................................................................. 29 Enregistrement des rsultats de balayage sur un fichier externe................................ 29 Chargement des rsultats de scan enregistrs ........................................................... 29 Chargement des rsultats de scan enregistrs partir dune base de donnes ............................................................................................ 29 Chargement des scans enregistrs partir dun fichier externe ............................................................................................................ 30

Rsultats du scan de filtrage


LANguard Network Security Scanner Manual

31
Table des matires i

Introduction .................................................................................................................. 31 Slectionner la source des rsultats de balayage ....................................................... 32 Cration dun filtre de balayage personnalis.............................................................. 32

Configuration de GFI LANguard N.S.S.

37

Introduction la configuration de GFI LANguard N.S.S. ............................................. 37 Profils de balayage....................................................................................................... 37 Scanned TCP/UDP ports ............................................................................................. 38 Comment ajouter/diter/supprimer des ports ................................................. 38 Scanned OS data......................................................................................................... 39 Scanned Vulnerabilities ............................................................................................... 40 Types de vulnrabilits ................................................................................... 40 Tlchargement des dernires vulnrabilits de scurit .............................. 41 Scanned Patches ......................................................................................................... 41 Options de balayage .................................................................................................... 42 Mthodes de dcouverte de rseau ............................................................... 43 Priphriques ............................................................................................................... 45 Network Devices ............................................................................................. 45 Priphriques USB ......................................................................................... 46 Balayages programms ............................................................................................... 48 Fichiers paramtres ..................................................................................................... 50 Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes ....................... 51

Dploiement de patch

53

Introduction au dploiement de patch.......................................................................... 53 Lagent de dploiement de patch.................................................................... 53 Etape 1 : Effectuez un balayage de votre rseau........................................................ 53 Etape 2 : Slectionnez les machines sur lesquelles vous voulez dployer les patches .................................................................................................... 54 Etape 3 : Slectionnez quels patches dployer........................................................... 55 Etape 4 : Tlchargez les fichiers de patch et service pack........................................ 56 Tlchargement des patches.......................................................................... 57 Etape 5 : Paramtres de dploiement de fichier de patch........................................... 57 Etape 6 : Dployez les mises jour............................................................................. 58 Dploiement de logiciel personnalis .......................................................................... 59 Etape 1 : Slection des machines sur lesquelles il faut installer le logiciel/patches .............................................................................. 60 Etape 2 : Prcisez logiciel dployer............................................................. 60 Etape 3 : Commencez le dploiement............................................................ 61 Options de dploiement ............................................................................................... 62 Gnral ........................................................................................................... 62 Avances ........................................................................................................ 63 Rpertoire de tlchargement ........................................................................ 63

Comparaison des rsultats

65

Pourquoi comparer les rsultats ? ............................................................................... 65 Effectuer une comparaison de rsultats de scan interactive ....................................... 65 Effectuer une Comparaison avec loption de balayages programms ........................ 66

GFI LANguard N.S.S. Status Monitor

67

Visualisation des oprations programmes................................................................. 67 Scan programm actif..................................................................................... 67 Dploiements programms............................................................................. 68

Options de maintenance de la base de donnes

71

Introduction .................................................................................................................. 71 Changement de base de donnes............................................................................... 71


Table des matires ii LANguard Network Security Scanner Manual

MS Access ...................................................................................................... 71 Serveur MS SQL ............................................................................................. 72 Gestion des rsultats de scan enregistrs................................................................... 73 Options avances ........................................................................................................ 73

Outils

75
Introduction .................................................................................................................. 75 DNS lookup .................................................................................................................. 75 Trace Route ................................................................................................................. 76 Whois Client ................................................................................................................. 77 SNMP Walk (chemin SNMP) ....................................................................................... 77 SNMP Audit.................................................................................................................. 78 MS SQL Server Audit................................................................................................... 78 Enumration des Ordinateurs. ..................................................................................... 79 Lancement dun scan de scurit ................................................................... 79 Dploiement de patches personnaliss.......................................................... 80 Activation des Stratgies dAudit .................................................................... 80 Enumration des Utilisateurs ....................................................................................... 80

Ajout de vrifications de vulnrabilits par conditions ou scripts

81

Introduction .................................................................................................................. 81 GFI LANguard N.S.S. langage VBscript ...................................................................... 81 Module GFI LANguard N.S.S. SSH ............................................................................. 81 Mots cls : ....................................................................................................... 82 Ajout de vrification de vulnrabilit qui utilise un script vbs personnalis................................................................................................................. 85 Etape 1 : Crer le script .................................................................................. 85 Etape 2 : Ajouter une nouvelle vrification de vulnrabilit : .......................... 86 Ajout de vrification de vulnrabilit qui utilise un script SSH personnalis................................................................................................................. 87 Etape 1 : Crer le script .................................................................................. 87 Etape 2 : Ajouter une nouvelle vrification de vulnrabilit : .......................... 88 Ajout dune vrification de vulnrabilit CGI ................................................................ 89 Ajout dautres vrifications de vulnrabilits................................................................ 90

Troubleshooting

95

Introduction .................................................................................................................. 95 Base de connaissance................................................................................................. 95 Questions frquemment poses .................................................................................. 95 Demande de support via email .................................................................................... 95 Demande de support par lintermdiaire du web chat ................................................. 96 Demande de support par tlphone ............................................................................ 96 Forum Internet.............................................................................................................. 96 Notifications de rvisions ............................................................................................. 96

Index

99

LANguard Network Security Scanner Manual

Table des matires iii

Introduction

Introduction GFI LANguard Network Security Scanner


GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) est un utilitaire qui permet aux administrateurs de rseau deffectuer un audit de scurit facilement et rapidement. GFl LANguard N.S.S. cre galement des rapports pouvant tre utiliss pour rsoudre des problmes de scurit sur un rseau. Il peut aussi effectuer un management de patch. Contrairement dautres scanners de scurit, GFI LANguard N.S.S. ne cre pas de barrage dinformations , sur lequel il est pratiquement impossible dassurer un suivi. Mais il aide mettre en vidence les informations les plus importantes. Il offre galement des liens hypertextes vers divers sites de scurit permettant den savoir plus sur ces failles. Grce son scan intelligent, GFI LANguard N.S.S. rassemble les informations sur les machines telles que les noms des utilisateurs, les groupes, partages de rseau, priphriques USB, priphriques sans fil et autres informations trouves sur un Domaine Windows. En outre, GFI LANguard N.S.S. identifie galement des vulnrabilits spcifiques telles que des problmes de configuration sur les serveurs FTP, les exploits des serveurs web Apache et Microsoft IIS, ou les problmes de configuration de la stratgie de scurit Windows, plus un certain nombre dautres problmes ventuels.

Importance de la Scurit de Rseau Interne


La scurit de rseau interne est assez souvent sous-estime par les administrateurs. Trs souvent, elle nexiste mme pas, ce qui permet un utilisateur daccder facilement lordinateur dun autre, grce des exploits bien connus, une relation de confiance et des paramtres par dfaut. La plupart de ces attaques ne ncessitent que peu ou pas de connaissances spcifiques, ce qui met en danger lintgrit dun rseau. La plupart des employs nont pas besoin et ne devraient pas avoir accs aux machines, fonctions administratives, priphriques etc des autres utilisateurs. Cependant, cause de la flexibilit ncessaire des activits normales, les rseaux internes ne peuvent pas se permettre une scurit maximale. Dun autre ct, sans aucune mesure de scurit, les utilisateurs internes peuvent constituer une menace importante pour les rseaux internes de beaucoup dentreprises. Les utilisateurs de lentreprise ont dj accs de nombreuses ressources internes et nont pas besoin dviter les pare-feux ou
Introduction 5

LANguard Network Security Scanner Manual

autres mcanismes de scurit qui empchent les sources inconnues, comme les utilisateurs Internet, daccder au rseau interne. De tels utilisateurs internes, qui ont des connaissances en matire de piratage, peuvent facilement pntrer et soctroyer des droits dadministrateur de rseau tout en sassurant que leurs activits soient difficiles identifier ou dtecter. En effet, 80 % des attaques de rseau proviennent de lintrieur du pare-feu (ComputerWorld, Janvier 2002). Un niveau faible de scurit de rseau signifie galement que si un pirate externe pntre un ordinateur de votre rseau, il peut accder au reste du rseau plus facilement. Cela permettrait un pirate avanc de lire et de communiquer autrui des emails et documents confidentiels, de dtruire des ordinateurs, provoquant une perte dinformations, etc... Il pourra galement utiliser votre rseau et vos ressources pour attaquer dautres sites, qui se tourneront vers vous et votre socit une fois lattaque dcouverte. La plupart des attaques, compares aux exploits connus, pourraient tre rpares facilement, et par consquent tre arrtes par les administrateurs si pour commencer ils taient au courant de cette vulnrabilit. Le rle de GFI LANguard N.S.S. est daider les administrateurs identifier ces vulnrabilits.

Fonctions cls
Recherche de services non autoriss ouverts et ports TCP et UDP

Dtection de vulnrabilits connues telles que CGI, DNS, FTP, Message, RPC entre autres Dtection des priphriques sans fil Dtection des utilisateurs non autoriss Dtection des partages ouverts et liste de ceux qui y ont accs ainsi que leurs permissions Enumration des groupes, dont leurs membres Enumration des utilisateurs, services, etc Enumration des priphriques USB Enumration des priphriques de rseau et identification de leur type (connect, sans fil, virtuel) Balayages programms Mise jour automatique des vrifications scuritaires de vulnrabilits Dtection des hot fixes et des services packs manquants dans le systme dexploitation Dtection des hots fixes et des services packs manquants dans les applications supportes Sauvegarde et chargement des resultants des scans Comparaison des balayages, nouveaux points dentre pour dcouvrir dventuels

6 Introduction

LANguard Network Security Scanner Manual

Possibilit de patcher le Systme dExploitation (Systmes Windows Anglais) & les applications dOffice (Anglais, Franais, Allemand, Italien, Espagnol) Identification du systme dexploitation Dtection de lhte actif Base de donnes, sortie HTML, XSL et XML Audit SNMP & MS SQL Language dinscription compatible avec VBscript personnaliser les vrifications des vulnrabilits afin de

Module SSH qui permet lexcution des scripts de scurit sur les machines Linux/Unix Balayage simultan de plusieurs ordinateurs.

Composants de GFI LANguard N.S.S.


GFI LANguard N.S.S. est conu sur une architecture dentreprise et est compos de : GFI LANguard Network Security Scanner Il sagit de linterface principale du produit. Vous pouvez utiliser cette application pour scanner les rsultats en temps rel, configurer les options de balayage, les profils de balayages, les rapports de filtres, ainsi que les outils administratifs et bien plus encore. GFI LANguard N.S.S. attendant service Ce service conduit des balayages de rseau ainsi que des dploiements de patch programms. Il fonctionne en arrire plan. GFI LANguard N.S.S. service agent de Patch Ce service est dploy sur les postes sur lesquels un patch, un service pack ou un logiciel doit tre dploy et prend en charge linstallation mme du patch, du service pack ou du logiciel. GFI LANguard N.S.S. Dbuggeur de script Vous pouvez utiliser ce module pour crire/dbugger des scripts que vous avez crs. GFI LANguard N.S.S. Monitor Ce module sert surveiller ltat des scans programms et les dploiements des mises jour de logiciel actuelles. Vous pouvez aussi intrrompre les oprations programmes qui nont pas encore t executes.

Systme de licences
Le systme de licences de GFI LANguard N.S.S. fonctionne pour le nombre de postes et de priphriques que vous dsirez. Par exemple, la licence 100 adresses IP vous permet de scanner jusqu 100 postes ou priphriques partir dune seule station de travail/serveur de votre rseau.

LANguard Network Security Scanner Manual

Introduction 7

Installation de GFI LANguard Network Security Scanner

Systme requis
Linstallation de GFI LANguard Network Security Scanner ncessite : Windows 2000/2003 ou Windows XP Internet Explorer 5.1 ou suprieur Installation de Client pour Microsoft Networks AUCUN logiciel de Personal Firewall NI Windows XP Internet Connection Firewall ne peuvent tre lancs lors de balayages. Ils peuvent bloquer les fonctionnalits de GFI LANguard N.S.S. REMARQUE : Les dtails de la configuratiuon des stratgies de votre Active Directory pour une compatibilit avec les scans de/ partir dordinateurs Windows XP Service Pack 2 se trouvent sur http://kbase.gfi.com/showarticle.asp?id=KBID002177. Afin de dployer des patches sur un poste isol vous devez bnficier des privilges dadministrateur.

Processus dinstallation
1. Excutez le programme dinstallation de LANguard Network Security Scanner en double cliquant sur le fichier languardnss6.exe. Confirmez que vous dsirez installer GFI LANguard N.S.S. . Lassistant dinstallation apparatra. Cliquez sur Next. 2. Aprs avoir lu la bote de dialogue de laccord de licence, cliquez sur Yes pour accepter laccord et continuer linstallation. 3. Le programme dinstallation dutilisateur et une clef de licence. vous demandera vos dtails

LANguard Network Security Scanner Manual

Installation de GFI LANguard Network Security Scanner 9

Prcisez les coordonnes dadministrateur de domaine ou utilisez le compte local du systme

4. Le programme dinstallation vous demandera dentrer vos coordonnes dadministrateur de domaine qui sont utilises par le LANguard N.S.S Attendant service (qui lance des balayages programms). Entrez les coordonnes ncessaires et cliquez Next.

Choisir la base de donnes darrire plan

5. Le programme dinstallation vous demandera de choisir la base de donnes darrire plan pour la base de donnes de GFI LANguard N.S.S.. Choisissez entre Microsoft Access ou Microsoft SQL Server\MSDE et cliquez sur Next. REMARQUE : SQL Server/MSDE doit tre install en mode mixte ou en mode dautentification de serveur SQL. Le mode dauthentification NT seul nest pas support.
10 Installation de GFI LANguard Network Security Scanner

LANguard Network Security Scanner Manual

6. Si vous choisissez Microsoft SQL Server/MSDE comme base de donnes darrire plan, on vous demandera les coordonnes de SQL afin de pouvoir avoir accs la base de donnes. Cliquez sur Next pour continuer. 7. Le programme dinstallation vous demandera votre adresse email dadministrateur et votre nom de serveur de messagerie. Ces donnes seront utilises pour envoyer des alertes administratives. 8. Choisissez lemplacement cible pour GFI LANguard N.S.S. et cliquez sur Next. GFI LANguard N.S.S. ncessite environ de 40 Mo despace disque. 9. Aprs linstallation de GFI LANguard N.S.S., il est possible dexcuter GFI LANguard Network Security Scanner partir du menu Dmarrer.

Saisir votre cl de licence aprs linstallation


Si vous avez achet GFI LANguard N.S.S., vous pouvez saisir votre cl de licence dans le nud General > Licensing. Si vous valuez GFI LANguard N.S.S., celui-ci expirera automatiquement aprs 60 jours (avec la cl de licence). Si vous dcidez dacheter GFI LANguard N.S.S., il vous suffira de saisir la cl de licence ici sans recommencer linstallation. Vous devez obtenir une licence GFI LANguard N.S.S. pour chaque poste de travail que vous dsirez scanner, et pour chacun des postes sur lesquels vous voulez lexcuter. Si vous avez 3 administrateurs qui utilisent GFI LANguard N.S.S., vous devez alors acheter 3 licences. Il ne faut pas confondre la saisie de la cl de licence avec le processus denregistrement des coordonnes de votre socit sur notre site web. Ces dernires sont importantes, puisquelles nous permettent de vous offrir un systme de support et de vous avertir de larrive de nouvelles importantes concernant les produits. Inscrivezvous sur : http://www.gfsfrance.com/pages/regfrm.htm Remarque : Pour acheter GFI LANguard N.S.S., allez sur le noeud General > How to purchase.

LANguard Network Security Scanner Manual

Installation de GFI LANguard Network Security Scanner 11

Pour commencer : Effectuer un audit

Introduction aux audits de scurit


Un audit des ressources de rseau permet ladministrateur didentifier les risques ventuels au sein dun rseau. Cette opration, effectue manuellement, prend beaucoup de temps, cause des procdures et tches rptitives devant tre appliques chaque machine du rseau. GFI LANguard N.S.S. automatise le processus daudit de scurisation & identifie facilement les vulnrabilits courantes de votre rseau mme, trs rapidement. Remarque : Si votre socit excute un systme de dtection dintrusion (IDS), alors LANguard Network Security Scanner dclenchera presque toutes ses alarmes. Si vous ntes pas charg du systme IDS, assurez-vous que ladministrateur de cette bote/ces botes soit au courant du balayage qui va avoir lieu. En plus de ces alertes de logiciel IDS, sachez que la plupart des balayages apparatront dans les fichiers journaux unilatraux. Les journaux Unix, les serveurs Web, etc. afficheront laction du poste de travail qui aura exccut LANguard Network Security Scanner. Si vous ntes pas le seul administrateur sur votre site, assurez-vous que les autres soient au courant du balayage que vous allez effectuer.

Balayage
La premire tape dun audit de rseau est deffectuer un balayage des machines et des priphriques de rseau actuels. Pour lancer un nouveau balayage de rseau : 1. Cliquez sur File > New. 2. Slectionnez ce slectionner : que vous voulez balayer. Vous pouvez

a. Balayage dun poste de travail Un seul ordinateur sera balay. b. Balayage de plusieurs postes de travail Une gamme d adresses IP prcises seront balayes. c. Balayage dune liste dordinateurs Une liste personnalise dordinateurs sera balaye. Des postes de travail peuvent tre ajouts la liste en les slectionnant partir dune liste des ordinateurs, en les saisissant les uns aprs les autres, ou en les important dun fichier texte. d. Balayage dun domaine un domaine windows entier sera balay.

LANguard Network Security Scanner Manual

Pour commencer : Effectuer un audit 13

e. Balayage des favoris la liste des machines favories que vous avez spcifies sera scanne (grce au bouton Ajouter aux favoris ). 3. Selon ce que vous dsirez scanner saisissez le dbut et la fin du balayage du rseau. 4. Slectionnez Start Scan.

Balayage

LANguard Network Security Scanner va maintenant procder au balayage. Il commence par dtecter quels htes/ordinateurs sont allums, et ne balaye que ceux-ci. Ceci est effectu grce aux vrifications NETBIOS, ping ICMP et interrogations SNMP. Si un priphrique ne rpond aucun, GFI LANguard N.S.S. suppose, pour le moment, que le priphrique soit nexiste pas cette address IP soit est actuellement teint. Remarque : Si vous voulez imposer un balayage sur un Ips qui ne rpond pas, rfrez-vous au chaptre Configuration des options de balayage pour obtenir plus dinformations sur le meilleur moyen de le configurer.

14 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

Analyse des rsultats de scan

Analyse des rsultats

Suite au balayage, des noeuds apparaissent pour chaque machine trouve par GFI LANguard N.S.S. Le panneau de gauche fera apparatre toutes les machines et les priphriques de rseau. Lagrandissement de lun de ces noeuds fait apparatre la liste dune srie de nuds et les informations trouves pour cette machine ou ce priphrique de rseau. Cliquez sur un noeud particulier et les informations scannes apparatront sur le panneau de droite. GFI LANguard N.S.S. trouve tout priphrique de rseau actuellement allum lors dun sonde de rseau. Selon le type de priphrique et selon le type de requtes auquel celui-ci rpond, on dtermine avec quelle facilit GFI LANguard N.S.S. lidentifie et quelles informations il extrait. Une fois le balayage du poste de travail/priphrique/rseau de GFI LANguard N.S.S. fini, les informations suivantes apparatront :

Adresse IP, Nom du poste, Systme dExploitation et Niveau du Service Pack


Ladresse IP du poste/priphrique apparatra. Ensuite, viendra le nom NetBIOS DNS, selon le type de priphrique. GFI LANguard N.S.S. rapportera que le systme dexploitation fonctionne sur le priphrique et sil sagit de Windows NT/2000/XP/2003, il montrera le niveau du pack de service.

Nud de vulnrabilits
Le noeud de vulnrabilits affiche les problmes de scurit dtects et vous explique comment les rsoudre. Ces menaces peuvent inclure des patches et des services packs manquants, des problmes HTTP, des alertes NetBIOS, des problmes de configuration etc
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 15

Les vulnrabilits sont divises en sections : service packs manquants, patches manquants, vulnrabilits critiques, vulnrabilits moyennes et vulnrabilits faibles. Sous chaque section Critique/ Moyenne/ Faible des vulnrabilits, vous pouvez trouver de plus amples sous catgories du problme dtect en utilisant le groupement suivant : Abus CGI, Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, Vulnrabilits de Service, Vulnrabilits de Registre et Autres Vulnrabilits. Une fois le scan complt et les diverses vulnrabilits listes, double cliquez (ou cliquez droit > Plus de dtails.) la vulnrabilit rapporte pour que les proprits apparaissent. A travers cette bote de dialogue, vous serez en mesure de vrifier instantanment les conditions rapportes de cette vulnrabilit et les informations daccs telles quune longue description de cette vulnrabilit qui napparat pas dans la troncature des rsultats. Les informations suivantes sont disponibles dans la fentre des proprits : Nom : Brve description Niveau de scurit URL Dure de la vrification Vrifications (afin de dterminer si la machine cible est vulnrable face cette vrification) Longue description.

Patches manquants GFI LANguard N.S.S. recherche les patches manquants en comparant les patches installs ceux qui sont disponibles pour un produit particulier. Si plusieurs patches manquent sur un ordinateur, un cran semblable celui ci-dessous devrait apparatre :

Tout dabord il vous dit quel produit le patch se rapporte. Si vous lagrandissez, il vous signalera le patch prcis manquant et vous donnera un lien suivre pour le tlcharger. CGI Abuses dcrit les problmes lis Apache, Netscape, IIS et autres serveurs web. Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, et Autres Vulnrabilits fournissent des liens vers Bugtraq ou autres sites web de scurit

16 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

pour que vous puissiez rechercher davantage dinformations concernant le problme trouv par GFI LANguard N.S.S. Le service de vulnrabilits peut dnoter un certain nombre de choses. Elles peuvent aller des services excuts sur le priphrique en question aux comptes dfinis sur une machine et qui nont jamais t utiliss. Les vulnrabilits de Registre couvrent les informations extraites dune machine Windows lorsque GFI LANguard N.S.S. effectue son premier balayage. Il offre un lien vers le site Microsoft ou autres sites web de scurit expliquant pourquoi ces paramtres de base de registre devraient tre changs. Informations de vulnrabilits sont des alertes ajoutes la base de donnes qui dnotent des questions assez importantes pour tre notifies aux administrateurs, mais qui ne sont pas forcment nuisibles lorsque ouvertes.

Noeud de vulnrabilits ventuelles


Le noeud de vulnrabilits ventuelles expose des problmes de scurisation ventuels, des informations importantes, ainsi que certaines vrifications qui nont pas fait rapport de vunrabililt. Par exemple, si vous n'arrivez pas determiner qu'un patch prcis est install, il sera alors list dans le noeud des patches Non-dtectables. Ces ventuelles vulnrabilits doivent faire lobject dune rvision par ladministrateur.

Noeud de vulnrabilits ventuelles

Partages
Le noeud de dossiers partags liste tous les dossiers partags de l'ordinateur et ceux qui y ont accs. Tous les dossiers partags de rseau doivent tre correctement scuriss. Les administrateurs doivent vrifier que :
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 17

1. Aucun utilisateur ne partage lintgralit de son lecteur avec dautres utilisateurs.. 2. Laccs anonyme ou non identifi aux dossiers partags soit interdit. 3. Les dossiers de dmarrage ou fichiers de systme semblables ne soient pas partags. Ceci permettrait aux utilisateurs ayant moins de privilges dexcuter du code sur les machines cibles. Les points ci-dessus sont trs importants pour toutes les machines, mais en particulier pour les machines cruciales lintgrit du systme, telles que le contrleur de domaine public (PDC). Imaginez un administrateur partageant le dossier de dmarrage (ou un dossier contenant le dossier de dmarrage) sur le PDC vers tous les utilisateurs. Avec les permissions appropries, les utilisateurs peuvent alors facilement copier des excutables dans le dossier de dmarrage, qui sera excut lors de la prochaine connexion de ladministrateur. Remarque : Si vous excutez le balayage en tant quadministrateur, vous pourrez galement visualiser les partages administratifs, par exemple C$ - default share . Ces partages ne seront pas accessibles aux utilisateurs normaux. D la prsence de Klez et autres virus qui se rpandent rapidement grce des partages ouverts, il est conseill darrter tous les partages non requis, et tous les partages requis devraient avoir un mot de passe. REMARQUE : Vous pouvez dsactiver le rapport des partages administratifs en ditant les profils de balayage partir de Configuration > Scanning Profiles > OS Data > Enumerate Shares.

Stratgie de mot de passe


Ce noeud vous permet de vrifier que le mot de passe est scuris. Par exmple, activez un ge maximum et un historique de mot de passe. La longueur minimale de mot de passe devrait tre quelque chose de pratique, comme par exemple 8 caractres. Si vous avez Windows 2000, vous pouvez activer une stratgie de mot de passe scurise, sur lensemble du rseau, grce une GPO (Group Policy Objects) dans Active Directory.

Registre
Ce noeud vous donne des informations vitales concernant la base de registre distante. Cliquez sur le noeud Run pour vrifier quels programmes sont lancs automatiquement lors du dmarrage. Vrifiez que les programmes qui sont lancs automatiquement ne sont pas des chevaux de Troie ou mme des programmes valides qui fournissent un accs distance une machine si ce logiciel nest pas autoris sur votre rseau. Tout type de logiciel accs distant peut finir par constituer une porte drobe pouvant tre utilise par un pirate dsirant accder au rseau. REMARQUE : Vous pouvez diter et conserver la liste des cls de registre et les valeurs rcuprer en modifiant le fichier XML toolcfg_regparams.xml situ dans le registre %LNSS_INSTALL_DIR%\Data.

18 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

Stratgie de scurisation daudit


Ce noeud montre quelles stratgies de scurisation daudit sont actives sur la machine distante. Les stratgies daudit suivantes sont recommandes :
Stratgie daudit
Account logon events Account management (gestion des comptes) Directory service access (Accs un service registre) Logon events (Evnements de connection) Object objets) Access (accs aux

Succs
Oui Oui Oui Oui Oui Oui Non Non Oui

Echec
Oui Oui Oui Oui Oui Oui Non Non Oui

Policy change (Changement de stratgie) Privilege privilgie) use (Utilisation (Suivi de

Process tracking processus)

System events (Evnements de systme)

Vous pouvez activer un audit partir de GFI LANguard N.S.S.. Cliquez le bouton de droite sur un des ordinateurs dans le panneau de gauche et slectionnez Activez audit . L'assistant administratif de stratgie daudit apparatra. Prcisez quelles stratgies daudit vous vouler activer. Il y a sept stratgies daudit de scurisation dans Windows NT et neuf stratgies daudit de scurisation dans Windows 2000. Activez les stratgies daudit que vous voulez sur lordinateur contrler. Cliquez sur Next pour dmarrer les stratgies daudit.

LANguard Network Security Scanner Manual

Pour commencer : Effectuer un audit 19

Activer les stratgies daudit sur des machines distantes.

Sil ny a aucune erreur, la page de fin apparatra. Sil y a une erreur, alors une autre page apparatra indicant les ordinateurs sur lesquels lapplication des stratgies a chou.

Dialogue de rsultats dans lassistant de stratgie daudit

Ports ouverts
Le noeud des ports ouverts fait la liste de tous les ports ouverts trouvs sur la machine. (cette opration sappelle un balayage de ports). GFI LANguard N.S.S. procde un balayage de port slectif, ce qui signifie quil ne scanne pas par dfaut tous les ports 65535
20 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

TCP et les ports 65535 UDP, mais ceux pour lesquels il a t configur. La configuration des ports balayer se fait partir des options de Balayage (Scan options). Pour de plus amples informations rfrez-vous au chaptre Configuration des options de balayage, Configuration des ports balayer . Chaque port ouvert reprsente un service / une application ; si lun des ces services peut tre exploit , le pirate peut avoir accs cette machine. Par consquent, il est important de fermer tout port superflu. Remarque : Sur les rseaux Windows, les ports 135, 139 & 445 sont toujours ouverts. GFI LANguard N.S.S. vous indiquera quel port est ouvert, et sil est considr comme un port vunrable aux chevaux de Troie, GFI LANguard N.S.S. le fera apparatre en ROUGE, autrement le port apparatra en VERT. Ceci est visible dans la capture dcran cidessous :

Remarque : Mme si un port est affich en ROUGE comme un port vulnrable aux chevaux de Troie, cela ne veut pas dire quun programme de porte drobe est install sur la machine. Certains programmes valides utiliseront les mmes ports que des chevaux de Troie connus. Un programme antivirus utilise le mme port que le backdoor NetBus. Vrifiez donc toujours les informations dentte fournies et excutez dautres vrifications sur ces machines.

Utilisateurs & Groupes dutilisateurs


Ces noeuds reprsentent les groupes locaux et les utilisateurs locaux prsents sur lordinateur. Vrifiez quil ny ait pas de comptes dutilisateurs supplmentaires, et assurez-vous que le compte invit soit dsactiv. Les groupes et utilisateurs non autoriss peuvent sintroduire o ils le veulent ! Certains programmes dangereux peuvent ractiver le compte invit et lui donner des droits dadministrateur. Vrifiez donc les informations du nud dutilisateurs pour connatre les activits des diffrents comptes et les droits correspondant chacun dentre eux. Idalement, lutilisateur ne devrait pas utiliser un compte local pour se connecter, mais devrait utiliser un compte de domaine ou dActive Directory. La dernire chose vrifier est lge du mot de passe.

Utilisateurs Connects
Ce noeud montre la liste des utilisateurs connects la machine cible. Elle est spare en deux sections.

LANguard Network Security Scanner Manual

Pour commencer : Effectuer un audit 21

Utilisateurs Locaux Connects Cette catgorie contient tous les utilisateurs qui ont dmarr une session localement. Elle affiche les informations, disponibles pour chaque utilisateur connect, suivantes : 1. Date et heure de connexion 2. Temps coul Utilisateurs Distants Connects Cette catgorie contient tous les utilisateurs qui ont dmarr leur session partir dun ordinateur distant. Elle affiche les informations suivantes pour chaque utilisateurs connect : 1. Date et heure de connexion 2. Temps coul 3. Temps dinaction 4. Type de client 5. Transport Lgende des champs dinformations Date et heure de connexion : Indique la date et lheure de la connexion de lutilisateur la machine cible. Ce champ sapplique aux connexions locales et distantes. Temps coul : Indique depuis combien de temps lutilisateur est connect la machine. Ce champ sapplique aux connexions locales et distantes. Temps dinaction : Indique depuis combien de temps lutilisateur a t inactif. Le temps dinaction se rfre linactivit complte de lutilisateur/la connexion. Ce champ sapplique seulement aux connexions distantes. Type de client : Indique de quelle platforme lutilisateur se sert pour se connecter distance. Cela se rfre gnralement au Systme dExploitation install sur la machine qui a lanc la connexion. Ce champ sapplique seulement aux connexions distantes. Transport : Indique quel genre de service a t utilis pour initier la connexion. Ce champ sapplique seulement aux connexions distantes.

Services
Tous les services sur la machine apparaissent dans la liste. Vrifiez les services excuter et dsactivez tous les services superflus. Sachez que chaque service peut reprsenter un risque de scurit ou une faille potentielle dans le systme. La fermeture ou la dconnexion des services non requis rduit considrablement les risques de scurit.

System Patching status


Ce noeud montre quels patches sont installs et enregistrs sur la machine distante.

22 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

Network Devices
Ce noeud montre la liste de tous les priphriques de rseau installs sur le systme. Ils sont rpertoris de la faon suivante : Priphriques physiques - Connects Priphriques physiques Sans Fil Priphriques virtuels.

Priphriques de rseau dtects

Pour chaque priphrique, les proprits suivantes sont rapportes (si disponibles) : Adress MAC Adresse IP Assigne Nom dhte Domaine Dtails DHCP WEP (si disponible) SSID (si disponible) Passerelle Etat.

REMARQUE : Il faut rgulirement vrifier si de nouveaux priphriques de rseau sont prsents. Des priphriques sans fil non autoriss peuvent tre utiliss pour compromettre la scurit du rseau que ce soit de lintrieur mme de la compagnie ou de lextrieur .

Priphriques USB
Ce noeud listera tous les priphriques USB connects lordinateur cible. Il sert vrifier quaucun priphrique non-autoris ne soit prsent. Les appareils de stockage amovibles reprsentent un risque de scurit lev. Il faut par consquent tre vigilant. Un autre
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 23

problme de scurit est celui des adaptateurs sans fil USB et les cls lectroniques Bluetooth qui permettent aussi aux utilisateurs de transfrer des fichiers (sans en avoir lautorisation) de leur poste de travail leurs priphriques personnels tels que des tlphones portables, des PDA etc.

Liste des priphriques USB dtects sur lordinateur cible

REMARQUE : Vous pouvez configurer GFI LANguard N.S.S. pour quil rapporte tout priphrique USB non autoris (par ex. USB Mass Storage Device ) en tant que vulnrabilit de niveau critique. Vous pouvez configurer quels priphriques GFI LANguard N.S.S. doit considrer comme vulnrabilit critique partir de Configuration > Scan Profiles > Devices > USB Devices.

Liste des priphriques USB dangereux considrs comme vulnrabilit critique

24 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

Autres rsultats
Cette section est une liste des noeuds supplmentaires auxquels vous pouvez accder aprs avoir pass en revue les principaux rsultats de balayage ci-dessus.

Noms NETBIOS
Dans ce noeud vous trouverez les dtails des services installs sur la machine.

Ordinateur
MAC - Adresse MAC de votre carte rseau. Username - Ceci est le nom dutilisateur de lutilisateur actuellement connect, ou le nom dutilisateur de la machine. TTL - La valeur de dure de vie (TTL) est spcifique chaque priphrique. Les valeurs principales sont 32, 64, 128 et 255. A partir de ces valeurs et de la TTL relle du paquet, on a une ide de la distance (nombre de sauts de routeur) entre la machine GFI LANguard N.S.S. et la machine cible qui vient dtre balaye. Computer Usage - Prcise si la machine cible est un poste de travail ou un serveur. Domain - Si la machine cible fait partie dun domaine, cela vous donnera une liste du/des domaines reconnus. Si elle ne fait pas partie dun domaine, on verra apparatre le groupe de travail auquel elle appartient. LAN manager - Donne le gestionnaire de LAN actif (et le systme dexploitation).

Sessions
Affiche ladresse IP des machines qui taient connectes la machine cible au moment du balayage. Dans la plupart des cas, cela sera la machine qui excute GFI LANguard N.S.S. et qui a rcemment effectu des connexions. Remarque : D au changement constant de cette valeur, les informations ne sont pas sauvegardes dans le rapport et ne sont l qu titre dinformation.

Network Devices
Fournit une liste des priphriques de rseau disponibles sur la machine cible.

Remote TOD
Remote Time of the Day. Ceci est lheure du rseau sur la machine cible, normalement dfinie par le contrleur de domaine.

Balayages sur place et en-dehors du site


Nous vous recommandons de lancer GFI LANguard N.S.S. de deux faons, le balayage on site et off site .

LANguard Network Security Scanner Manual

Pour commencer : Effectuer un audit 25

Balayage sur place (on site scan)


Installez une machine comprenant LANguard Network Security Scanner. Effectuez un balayage NULL session de votre rseau (slectionnez Null Session depuis la bote droulante). Une fois ce premier balayage effectu, changez la valeur de la bote droulante Currently logged on user (si vous avez des droits administratifs pour votre domaine), ou Alternative credentials qui ont des droits administratifs pour le Domaine ou pour Active Directory. Enregistrez ce deuxime balayage pour une comparaison ultrieure. Grce au NULL session, on peut voir ce que tout utilisateur se connectant au rseau serait capable de visualiser. Le balayage, qui a des droits dadministrateur, vous montre tous les hots fixes et les patchs manquants sur la machine.

Balayage distance (off site scan)


Si vous avez un compte distance, ou un accs internet haut dbit non reli lentreprise, vous allez vouloir balayer votre rseau depuis lextrieur. Effectuez un balayage NULL session de votre rseau. Vous verrez alors ce que toute personne sur internet serait capable de voir sils balayaient votre rseau. Parmi les choses pouvant affecter ceci, se trouvent tous les pare-feux que votre entreprise ou fournisseur daccs a pu installer et toute rgle dans un routeur sur le chemin pouvant laisser passer certains types de paquets. Enregistrez ce balayage pour une comparaison ultrieure.

Comparaison des balayages sur place et de lextrieur


Il est temps maintenant de regarder les informations gnres par LANguard Network Security Scanner. Si le balayage NULL session partir de votre rseau interne apparat identique celui du balayage externe, sachez quil semble ny avoir aucun pare-feu ou filtre sur votre rseau. Cest sans aucun doute lune des premires choses que vous devriez vrifier. Vrifiez alors ce que tout utilisateur externe peut visualiser. Peuventils voir vos contrleurs de domaine ou obtenir une liste de tous vos comptes dordinateurs? Quen est-il des serveurs web, FTP etc ? A ce moment prcis, vous tes tout seul. Il vous faut peut-tre rechercher les patchs pour les serveurs web, les serveurs FTP etc il vous faut peut-tre galement vrifier et changer les paramtres des serveurs SMTP. Chaque rseau est diffrent. GFI LANguard N.S.S. tente de vous aider dfinir les problmes et les questions de scurit et vous mne vers des sites qui vous aideront rparer les failles dcouvertes. Si vous trouvez des services excuts superflus, assurez-vous de les arrter. Chaque service est un risque de scurit potentiel qui peut donner accs une personne non autorise. De nouveaux dpassements de mmoire tampon et exploits sont librs tous les jours, et bien que votre rseau puisse avoir lair protg aujourdhui, ce sera peut-tre diffrent demain.

26 Pour commencer : Effectuer un audit

LANguard Network Security Scanner Manual

Excutez bien des balayages de scurit de temps en temps. Ce nest pas quelque chose que lon fait une seule fois et on loublie. De nouvelles formes dattaques surviennent en permanence, et encore une fois, ce nest pas parce que votre rseau est scuris aujourdhui que vous savez ce quapportera le pirate de demain.

LANguard Network Security Scanner Manual

Pour commencer : Effectuer un audit 27

Enregistrement et chargement des rsultats de balayage

Introduction
Une fois le balayage de scurit de GFI LANguard N.S.S. termin, les rsultats sont automatiquement enregistrs sur la base de donnes darrire plan (Serveur MS Access / MS SQL). Il est possible denregistrer les rsultats sur un fichier XML externe. Les enregistrements de rsultats peuvent tre re-lancs dans linterface utilisateur de GFI LANguard N.S.S. pour un traitement plus en dtails ou pour une comparaison des rsultats. Le chargement de rsultats enregistrs est trs utile lorsquon a besoin de lancer des rapports ou de dployer des patches sur un systme inchang qui na pas besoin dtre balay nouveau.

Enregistrement des rsultats de balayage sur un fichier externe


Une fois le scan de scurit GFI LANguard N.S.S. termin, les rsultats sont dj enreigstrs sur une base de donnes darrire plan. Pour les enregistrer sur un fichier externe : Fichier > Enregistrer rsultats de scan Accepter le nom par dfaut du fichier ou prciser une alternative Cliquez sur Enregistrer.

Chargement des rsultats de scan enregistrs


Chargement des rsultats de scan enregistrs partir dune base de donnes
LNSS enregistrera les 30 derniers scans effectus sur une base de donnes sur la mme cible avec le mme profil. Pour charger les enregistrements des rsultats de scan partir de la base de donnes : 1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner. 2. Load saved scan results from > Database. Ceci fera apparatre la bote de dialogue des rsultats de scan. 3. Slectionnez le scan partir de la liste. 4. Cliquez OK.

LANguard Network Security Scanner Manual

Enregistrement et chargement des rsultats de balayage 29

Rsutltats de scan enreigstrs recharges dans UI principal

Chargement des scans enregistrs partir dun fichier externe


Pour charger les enregistrements des rsultats de scan partir dun fichier externe : 1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner. 2. Load saved scan results from > XML . Ceci fera apparatre la bote de dialogue douverture des rsultats enregistrs sur un fichier XML. 3. Slectionnez le scan. 4. Cliquez OK.

30 Enregistrement et chargement des rsultats de balayage

LANguard Network Security Scanner Manual

Rsultats du scan de filtrage

Introduction
Une fois le balayage GFI LANguard effectu, il vous en montrera le rsultat dans le panneau scan results . Si vous avez balay beaucoup de machines, il serait prfrable de filtrer les donnes partir du nud de filtres Scan. Cliquez sur ce noeud et slectionnez un filtre qui existe dj, cela vous montrera les rsultats du balayage bass sur le filtre que vous avez choisi. GFI LANguard N.S.S. comporte de nombreux filtres de balayage par dfaut. Vous pouvez en plus de a crer vos propres filtres de balayage.

Filtres de balayage

Les filtres de balayage suivants sont inclus par dfaut : Full report: Montre toutes les donnes lies la scurit qui ont t releves lors du balayage. Vulnerabilities [High Security]: Montre les problmes qui requirent une attention immdiate de service packs manquants, patches manquants, vulnrabilits critiques et ports ouverts. Vulnerabilities [Medium Security] : Montre les problmes qui doivent tre rsolus par ladministrateur vulnrabilits moyennes, patches introuvables. Vulnerabilities[All]: Montre toutes les vulnrabilits dtectes patches manquants, service packs manquants, vrifications dinformations potentielles, patches introuvables, faible et haut niveau de vulnrabilits.
LANguard Network Security Scanner Manual Rsultats du scan de filtrage 31

Missing patches and service packs: Liste tous les services packs et les fichiers patch manquants sur la machine balaye. Important devices USB: Liste tous les priphriques USB connects aux cibles balayes Important devices Wireless: Liste toutes les cartes de rseau sans fil, (PCI et USB) connectes aux cibles balayes Open Ports: Liste tous les port ouverts (TCP et UDP) Open Shares: Liste tous les partages ouverts et qui y a accs. Auditing Policies: Liste les paramtres de stratgies daudit sur chaque ordinateur balay. Password Policies: Liste les stratgies actives de mot de passe sur chaque ordinateur balay. Groups and users: Liste les groupes et les utilisateurs dtects sur chaque ordinateur balay. Computer properties: Montre les proprits de chaque ordinateur.

Slectionner la source des rsultats de balayage


Par dfaut, les filtres fonctionnent avec les donnes du balayage actuelles. Cependant, il est possible de slectionner un fichier de source de donnes de rsultats de balayage diffrrent et dy appliquer les fichiers de source de donnes de rsultats de balayage enregistrs (un fichier XML ou une base de donnes). Pour cela : 1. Allez au nud scanner de scurit dans le programme de balayage de scurit de GFI LANguard N.S.S. 2. Cliquez droit et slectionnez Load saved scan results from. 3. Slectionnez les sources de donnes contenant les rsultats sur lesquelles vous dsirez lancer le filtre. 4. Slectionnez lentre de la base de donnes ou le fichier XML contenant les donnes de rsultats requis. 5. Cliquez OK. Cela re-chargera les rsultats de scan enregistrs dans les rsultats UI du Scanner de Scurit. 6. Tous les filtres montrent maintenant les donnes de rsultats de balayage.

Cration dun filtre de balayage personnalis


Pour crer un filtre de balayage personnalis : 1. Cliquez sur le bouton de droite sur GFI LANguard N.S.S. > Security scanner > Scan Filters et slectionnez New > Filter 2. Ceci fera apparatre la bote de dialogue Scan Filter Proprits.

32 Rsultats du scan de filtrage

LANguard Network Security Scanner Manual

Filtres de balayage page gnrale

3. Donnez un nom au filtre de balayage 4. Ajoutez les conditions lapplication des donnes de rsultats de balayage que vous dsirez filtrer en cliquant sur Add. Il est possible de crer des conditions multiples pour le filtrage. Pour chaque condition, il faut prciser la proprit, la condition et la valeur. Les proprits disponibles sont le Systme dexploitation, le nom dhte, lutilisateur connect, le domaine, le service pack, les partages, etc

LANguard Network Security Scanner Manual

Rsultats du scan de filtrage 33

Bote de dialogue des conditions

5. Saisissez les catgories dinformations que vous voulez avoir dans le filtrage partir de la page Report Items. 6. Cliquez sur OK pour crer un filtre.

34 Rsultats du scan de filtrage

LANguard Network Security Scanner Manual

Filtres de balayage page des composants de rapports

Ce processus va ainsi crer un nouveau noeud permanent sous le noeud de Scan Filters. REMARQUE : Il est possible de supprimer/personnaliser un filtre dans le noeud Scan Filter en cliquant droit sur le filtre et en slectionnant Delete/Properties, selon lopration que vous voulez effectue. Exemple 1 Recherche des ordinateurs avec un patch particulier manquant Vous voulez trouver tous les ordinateurs Windows sur lesquels le patch MS03-026 est absent (cest le clbre patch du virus blaster). Dfinissez le filtre de la faon suivante : 1. Condition 1 : Systme dExploitation incluant Windows 2. Condition 2 : Hot fix (patch) nest pas install MS03-026 Exemple 2 Liste de toutes les Sun stations avec un serveur web Pour lister toutes les Sun stations lanant un serveur web sur le port 80, dfinissez les demandes suivantes : 1. Systme dExploitation incluant SunOS 2. Le port TCP est ouvert 80

LANguard Network Security Scanner Manual

Rsultats du scan de filtrage 35

Configuration de GFI LANguard N.S.S.

Introduction la configuration de GFI LANguard N.S.S.


Il est possible de configurer GFI LANguard partir du noeud de configuration. Ici vous pouvez configurer les options de balayage, les profils avec diffrentes options de balayage, balayages programms, options dalertes, et bien plus

Profils de balayage

Profils de balayage

Avec le profil de balayage, vous pouvez configurer plusieurs types de scans et les utiliser pour vous concentrer sur certaines informations particulires que vous voulez vrifier. Un profil de balayage est cr en allant au noeud Configuration > Scaning profiles, en cliquant droit et en saisissant New > Scan Profile Vous pouvez configurer les options suivantes pour chaque profil : 1. Scanned TCP ports 2. Scanned UDP ports 3. Scanned OS data 4. Scanned Vulnerabilities 5. Scanned Patches
Configuration de GFI LANguard N.S.S. 37

LANguard Network Security Scanner Manual

6. Scanner properties 7. Devices.

Scanned TCP/UDP ports


Les onglets des ports TCP/UDP balays vous permettent de prciser quels ports TCP et UDP vous voulez scanner. Pour activer un port, cochez la case cot du nom du port.

Configuration des ports balayer dans un profil

Comment ajouter/diter/supprimer des ports


Si vous voulez ajouter des ports TCP/UDP personnaliss, cliquez le bouton Add. La bote de dialogue des Add port apparat.

38 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Capture dcran 1 Ajout de port

Saisissez un numro de port ou une gamme de ports et entrez une description du programme qui est sens fonctionner sur ce port. Si le programme associ ce port est un cheval de Troie, cochez la case Is a Trojan port. Si vous prcisez quil sagit dun port vulnrable au chevaux de Troie, le cercle vert/rouge cot du port deviendra rouge. Remarque : Assurez-vous de bien inclure ce port dans la fentre de protocole approprie, soit TCP soit UDP. Vous pouvez diter ou supprimer des ports en cliquant sur le bouton Edit ou Remove.

Scanned OS data
Longlet des donnes balayes du systme dexploitation, Scanned OS, prcise le genre dinformations que vous voulez que GFI LANguard N.S.S. reccupre partir du systme dexploitation pendant le balayage. Actuellement seules les donnes Windows OS sont supportes, cependant les donnes de balayage UNIX sont en dveloppement.

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 39

Scanned Vulnerabilities

Configuration des Vulnrabilits balayer

Longlet des vulnerabilits de balayage tablit une liste de toutes les vulnrabilits que GFI LANguard N.S.S. peut balayer. Vous pouvez dsactiver la vrification pour toutes les vulnrabilis en enlevant la marque dans la case cocher Check for vulnerabilities. Par dfaut, GFI LANguard N.S.S. recherche toutes les vulnrabilits quil connat. Vous pouvez changer cela en enlevant la marque de la case coche cot de la vulnrabilit en question. partir du panneau de droite vous pouvez changer une vulnrabilit particulire en la double cliquant. Vous pouvez changer le niveau de scurit dune vrification de vulnrabilit particulire partir de loption Security Level.

Types de vulnrabilits
Les vulnrabilits sont divises en sections : Patches manquants, Patches introuvables, Abus CGI, Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, Vulnrabilits de service, Vulnrabilits de Registre, et autres Vulnrabilits.

Options avances de vrifications de vulnrabilits


Cliquez sur le bouton Advanced pour faire apparatre ces options. Vrifications internes Elles incluent les vrifications de mots de passe anonymes ftp, les vrifications faibles de mots de passe etc Vrifications CGI - Dmarrez la vrification CGI si vous travaillez sur des serveurs web qui utilisent des scripts CGI. Vous pouvez si vous le dsirez prciser un serveur proxy si vous tes localis derrire un serveur proxy. Nouvelles vulnrabilits actives par dfaut Active/dsactive les vulnrabilits rcemment ajoutes dans les balayages.

40 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Tlchargement des dernires vulnrabilits de scurit


Pour mettre jour votre Security Vulnerabilties, saisissez Help > Check for updates partir du programme de balayage de GFI LANguard N.S.S.. Cela tlchargera les dernires vulnrabilts de scurit du site web de GFI Sofware. Cela mettra aussi jour les fichiers Fingerprint utiliss pour dterminer quel systme dexploitation est sur un priphrique. REMARQUE : Lors du dmarrage GFI LANguard N.S.S. peut automatiquement tlcharger des nouvelles vrifications de vulnrabilits partir du site web de GFI Sotware. Cette configuration se fait au noeud GFI LANguard N.S.S. > General > Product Updates.

Scanned Patches

Configuration des patches verifier lors dun balayage profil particulier.

Cet onglet de patches balays vous permet de configurer un profil particulier de balayage afin de dterminer sil doit chercher des patches et/ou des service packs manquants. Cet onglet liste tous les patches que GFI LANguard N.S.S. vrifie. Vous pouvez dsactiver la vrification pour des patches prcis pour ce profil en dcochant la case cot du bulletin de patch. La liste des patches est obtenue partir dun tlchargement des des dernires listes de patches du site web de GFI, qui elle-mme est obtenue chez Microsoft (mssecure.xml). GFI obtient la liste des patches de Microsoft et vrifie quelle soit correcte, vu que de temps en temps elle contient des erreurs.

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 41

Bulletin dinformation tendu

Pour plus dinformations sur un bulletin particulier, double cliquez sur le bulletin en question ou cliquez droit et allez sur Properties. Vous verrez alors plus en dtails ce que le bulletin a vrifi et ce dont il recourt.

Options de balayage
Dans cet onglet vous pouvez configurer les options lies la faon dont GFI LANguard effectue un balayage.

Proprits de balayage de scurit

42 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Mthodes de dcouverte de rseau


Cette section est concerne les mthodes utilises par GFI LANguard N.S.S. pour dcouvrir les machines du rseau. Loption NETBIOS queries permet aux requtes NetBIOS ou SMB dtre utilises. Si le client pour Microsoft Networks est install sur la machine Windows, ou si Samba Services est install sur une machine Unix, ces machines rpondront la demande NetBIOS. Vous pouvez ajouter un ScopeID au NetBIOS Query. Cela nest ncessaire que dans certains cas, o les systmes ont un ScopeID. Si votre entreprise a un ScopeID paramtr sur NetBIOS, saisissez-le ici. Loption des requtes SNMP queries permet aux paquets SNMP dtre envoys avec le nom de communaut dfini dans longlet General. Si le priphrique rpond cette requte, GFI LANguard N.S.S. demandera la rfrence de lobjet du priphrique et le compare la base de donnes en dterminant ce quest ce priphrique. Ping Sweep effectue un ping ICMP de chaque priphrique de rseau. (voir Remarque : ci-dessous) Dcouverte de Port TCP Personnalis recherche un port ouvert prcis sur les machines cibles. Remarque : Chacun des types de requtes ci-dessus peut tre dsactiv, mais GFI LANguard N.S.S. dpend de tous ces types de requtes pour dterminer le type de priphrique et le systme dexploitation excuts. Si vous choisissez de dsactiver lune dentre elles, GFI LANguard N.S.S. ne sera pas aussi fiable dans son identification. Remarque : Certains pare-feux personnels empchent une machine denvoyer un cho ICMP et donc dtre dtecte par GFI LANguard N.S.S.. Si vous pensez quil y a plusieurs machines avec des parefeux personnels sur votre rseau, essayez deffectuer un balayage de chaque adresse IP sur votre rseau.

Options de dcouverte de rseau


Les paramtres de dcouverte de rseau vous permettent de peaufiner la dtection dune machine, de cette faon vous avez une dtection de machine plus fiable en un rien de temps. Les paramtres ajustables incluent : Scanning Delay est la dure pendant laquelle LANguard N.S.S. attend entre lenvoi de TCP/UDP. Le dfaut est de 100 ms. Selon votre connexion au rseau et le type de rseau sur lequel vous vous trouvez (LAN/WAN/MAN), vous devrez peut-tre ajuster ces paramtres. Si le paramtre est trop faible, vous allez trouver que votre rseau est encombr de paquets de GFI LANguard N.S.S.. Si vous le rglez trop haut, vous allez perdre beaucoup de temps pour rien. Wait for Responses est la dure pendant laquelle LANguard N.S.S. attend une rponse du priphrique. Si lon fonctionne sur un rseau lent ou occup, il faut parfois augmenter cette fonctionnalit dexpiration de 500 ms une dure suprieure

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 43

Number of retries est le nombre de fois que GFI LANguard N.S.S. effectue chaque type de balayage. En des circonstances normales, ce paramtre na pas besoin dtre modifi. Sachez cependant que si vous changez ce paramtre, il excutera chaque type de balayage (NetBIOS, SNMP, ICMP) le nombre de fois spcifi. Include non-responsive computers est une option qui communique avec GFI LANguard N.S.S. security scanner pour tenter le balyage dune machine qui na rpondu aucune des mthodes de dcouverte de rseau.

NetBIOS Query Options


On utilise une NetBIOS Scope ID afin disoler un groupe dordinateurs sur le rseau qui peuvent seulement communiquer avec dautres ordinateurs qui sont configurs avec une NetBIOS ID identique. Les programmes NetBIOS dmarrs sur un ordinateur en utilisant une NetBIOS Scope ID ne peuvent percevoir (recevoir ou envoyer des messages) dautres programmes NetBIOS dmarrs par un procd sur un ordinateur configur avec une NetBIOS Scope ID diffrente. LNSS supporte NETBIOS Scope ID de faon pouvoir balayer ces ordinateurs isols qui autrement seraient inaccessibles.

SNMP Query Options


Loption permettant de charger les numros de socits SNMP (Load SNMP enterprise numbers) permet GFI LANguard N.S.S. dtendre son support en matire de balayage SNMP. Si cette fonction est dsactive, les priphriques dcouverts par SNMP que GFI LANguard N.S.S. ne connat pas ne prciseront pas qui est cens tre le vendeur. A moins que vous ne rencontriez des problmes, il est recommand de laisser cette option active. Par dfaut, la plupart des priphriques compatibles SNMP utilisent une chane de communaut publique par dfaut, mais pour des raisons de scurit, la plupart des administrateurs changent cela. Si vous avez chang le nom de communaut SNMP par dfaut sur vos priphriques de rseau, vous devrez lajouter la liste utilise par GFI LANguard N.S.S. Remarque : Il est possible dajouter plus dun nom de communaut SNMP ici. Pour chaque nom de communaut ajout, la partie SNMP du balayage devra tre excute une autre fois. Si votre nom de communaut est public et private , le balayage SNMP sera effectu sur lensemble de la gamme IP donne deux fois de suite. Un balayage sera effectu avec le nom de communaut public puis une seconde fois avec le nom de communaut private .

Scanner activity windows options


Les options de sortie vous permettent de configurer les informations qui apparaitront dans le panneau d'activit de balayage. Il est utile de lactiver, cependant, activez seulement Verbose ou Display packets pour des raisons de dbugages exceptionnelles.

44 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Priphriques
Longlet un peut configurer la raction de LANguard N.S.S. lors de la dtection dun priphrique USB de rseau particulier. GFI LANguard N.S.S. peut donc vous avertir via une notification de vulnrabilit critique lorsquun priphrique particulier est dtect ou bien il peut tre configur de faon ignorer des priphriques particuliers, tels quun clavier ou une souris USB.

Network Devices
Tout priphrique de rseau rcupr porte un nom. Si ce nom contient nimporte quelle entre de chane de la liste Crer une vulnrabilit de haute scurit pour les priphriques de rseau dont le nom contient : (une par ligne), une vulnrabilit de haute scurit sera gnre et rapporte pour lordinateur sur lequel lappareil aura t dtect.

Priphrique de rseau Configuration du nom dun priphrique dangereux

REMARQUE : Ces listes sont configures sur une base de profils, vous pouvez donc personnaliser vos critres de balayages selon le type de scan de scurit que vous effectuez.

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 45

Vunrabilit de haute scurit cre pour le priphrique de rseau identifi comme dangereux

REMARQUE : Dun autre ct, si vous ne voulez pas tre inform/notifi de la prsence de priphriques que vous considrz comme sres, il suffit de saisir le nom du priphrique dans la liste Ignorer (Ne pas insrer dans la liste/enregistrer sur db) les priphriques dont le nom contient : . Lorsque GFI LANguard N.S.S. dtecte un tel priphrique, il lignorera et ne lenregistrera/affichera pas dans les rsultats du scan.

Priphriques USB
Tout priphrique de rseau rcupr porte un nom. Si ce nom contient nimporte quelle entre de chane de la liste Crer une vulnrabilit de haute scurit pour les priphriques USB dont le nom contient : (une par ligne), une vulnrabilit de haute scurit sera gnre et rapporte pour lordinateur sur lequel lappareil aura t dtect.

46 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Priphrique USB Configuration du nom dun priphrique dangereux

REMARQUE : Ces listes sont configures sur une base de profils, vous pouvez donc personnaliser vos critres de balayages selon le type de scan de scurit que vous effectuez.

Vunrabilit de haute scurit cre pour le priphrique USB identifi comme dangereux

REMARQUE : Dun autre ct, si vous ne voulez pas tre inform/notifi de la prsence de priphriques que vous considrez comme sres, il suffit de saisir le nom du priphrique dans la liste Ignorer (Ne pas insrer dans la liste/enregistrer sur db) les priphriques dont le nom contient : . Lorsque GFI LANguard N.S.S. dtecte un tel priphrique, il lignorera et ne lenregistrera/affichera pas dans les rsultats du scan.

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 47

Balayages programms
La fonction de balayages programms vous permet de configurer les balayages qui sont effectus automatiquement un jour et une heure prcise. Les balayages programms peuvent aussi tre effectus de faon priodique. Cela vous permet de faire un balayage particulier la nuit ou tt le matin et peut tre utilis en conjonction avec la fonction de comparaison de rsultats, vous permettant de recevoir un rapport de changements automatiquement dans votre bote aux lettres. Par dfaut, tous les balayages programms sont stocks sur la base de donnes. Il est aussi possible denregistrer tous les rsultats de balayages vers un fichier XML (un par balayage programm). Cela peut se faire en cliquant droit le noeud Scheduled Scan, selectionnant les proprits, activant loption Save Scheduled Scan et en prcisant un parcours pour les fichiers XML.

Configuration dun balayage programm

Cration dun balayage programm 1. Dans le programme de securit de balayage GFI LANguard N.S.S. cliquez droit sur Configuration > Scheduled scans > New > Scheduled scan 2. Cela vous permettra de visualiser la bote de dialogue New Scheduled Scan.

48 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Cration dun nouveau Balayage Programm

Dans la bote de dialogue du New scheduled scan vous pouvez configurer : 1. La cible du balayage : Prciser les noms des ordinateurs ou la gamme d'adresses IP que vous dsirez balayer. Vous pouvez prciser la cible du balayage de la faon suivante : i. Nom dhte (Host name) par ex. ANDREMDEV ii. Adresse IP par ex.192.168.100.9 iii. Gamme dadresses 192.168.100.255 IP par ex. 192.168.100.1-

iv. Un dossier texte avec une liste dordinateurs par ex. file:c:\test.txt (complter la piste jusquau dossier). Chaque ligne contenue dans le dossier supporte tous formats ou cibles prciss dans (1), (2) ou (3). 2. Profil de balayage : Slectionnez le profil de balayage utiliser pour ce balayage programm. 3. Prochain balayage : Prcisez le jour et lheure du dbut du balayage. 4. Effectuer un balayage tout les : Prcisez si vous voulez que le balayage soit effectu une fois ou priodiquement. 5. Description : Cela vous permettra de visualiser la liste des balayages prgramms. Cliquez sur OK pour crer un balayage programm.

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 49

Pour analyser/ visualiser les rsultats dun balayage programm, vous devez prciser le fichier XML de rsultats de balayages de ce balayage programm dans le nud de filtres de balayage. Pour cela : 1. Cliquez droit sur le noeud principal Scan Filters et slectionnez Filter saved scan results XML file 2. Prcisez le nom du fichier XML de rsultats de balayage du scan programm. 3. Les noeuds filtres vous montrent maintenant les donnes du dossier de rsultats de balayages programms.

Fichiers paramtres
Le noeud des fichiers paramtres fournit une interface directe pour ldition de plusieurs textes bass sur les fichiers utiliss par GFI Languard N.S.S.. Seuls les utilisateurs avancs devraient les modifier. Une dition incorrecte affectera la fiabilit de GFI LANguard N.S.S. lors de lidentification du genre de priphrique trouv. Ethercodes.txt ce fichier contient une liste dadresses mac et le revendeur associ qui se charge de cette gamme particulire ftp.txt ce fichier contient une liste de pages douverture des serveurs ftp internes utiliss par LNSS pour lidentification du systme dexploitation de cette machine en particulier en se basant sur le serveur ftp en application Identd.txt ce fichier contient des pages douverture identd qui sont aussi internes et utilises par LNSS pour lidentification du systme dexploitation utilisant linformation de la page douverture Object_ids.txt ce fichier contient des SNMP object_ids et quel revendeur et produit ils appartiennent Lorsque GFI LANguard N.S.S. trouve un priphrique qui rpond aux requtes, il compare les informations de lObject ID sur le priphrique celles stockes dans ce fichier Passwords.txt ce fichier comporte une liste de mots de passe qui sont utiliss pour vrifier la faiblesse des mots de passe Rpc.txt ce fichier contient une carte entre les numros de service retourns par le protocol rpc et le nom du service associ ce numro de service particulier. Lorsque les services RPC sont en application sur une machine (normallement Unix ou Linux), les informations reues en retour sont compares ce fichier Smtp.txt contient une liste de pages douverture et de systmes dexploitations associs. De mme quavec les fichiers ftp et ident, ces pages douvertures sont internes et utilises par LNSS pour lidentification du systme dexploitation en application sur la machine cible Snmp-pass.txt ce fichier contient une liste de chanes de communaut utilises par LNSS pour identifier si elles sont disponibles sur le serveur cible SNMP Si disponibles, elles seront rapportes par loutil de balayage SNMP telnet.txt encore une fois, il sagit dun fichier qui contient plusieurs pages douverture de serveur telnet utilises par LNSS pour identifier le systme dexploitation en application sur la machine cible
LANguard Network Security Scanner Manual

50 Configuration de GFI LANguard N.S.S.

www.txt un fichier contenant des pages douvertures de serveur web utilises pour identifier quel systme dexploitation est en application sur la machine cible Enterprise_numbers.txt liste des codes de relation entre les OID (Identificateur dObjet) et les entreprises (vendeur/universit) Si GFI LANguard na pas les informations prcises dun priphrique quand il le dtecte (informations fournies par le fichier object_ids.txt), il se rfrera aux informations retounes particulires au vendeur et au moins permet de trouver qui lidentit du vendeur du produit dtect. Cette information est base sur SMI Network Management Private Enterprise Codes, que vous pouvez voir sur : http://www.iana.org/assignments/enterprise-numbers.

Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes


Il est possible dinvoquer le procd de balayage depuis les lignes de commande. Cela vous permet dappeler le scanner partir dune autre application ou simplement partir dune base programme avec vos options de personnalisation propres. Utilisation : lnsscmd <Target> [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=username /password=password] [/email=emailAddress] [/DontShowStatus] [/?] Lgende Target Required : IP/Machine ou gamme dadresses IP/Machines balayer /Profile Optional : Profil utiliser pour le balayage. Si celui-ci nest pas dfini, le profil actif actuel sera utilis. /Output Optional : Nom entier (y compris le nom de fichier) o faire sortir le fichier xml de rsultats de balayage /Report Optional : Nom entier (y compris le nom de fichier) o gnrer le fichier html de sortie de rsultats. /User Optional : Scanne la cible prcise en utilisant les coordonnes alternatives prcises dans les paramtres /User et /Password. /Password Optional : Scanne la cible prcise en utilisant les coordonnes alternatives prcises dans les paramtres /User et /Password. /Email Optional : Envoie le rapport rsultant de cette adresse email alternative. Le serveur de messagerie prcis dans le nud doption LNSS\Configuration\Alerting sera utilis. /DontShowStatus Optional : Ne montre pas les dtails du progrs du balayage. REMARQUE : Les noms entiers, ainsi que ceux des profils, comprennent le nom entre guillemets, par ex. Default , c:\temp\test.xml . /? Optional : Affiche lcran daide sur lutilisation de lnsscmd.exe Macros:

LANguard Network Security Scanner Manual

Configuration de GFI LANguard N.S.S. 51

%INSTALLDIR% sera remplac par le chemin du repertoire dinstallation de LANguard N.S.S. %TARGET% sera remplac par la cible du scan %SCANDATE% sera remplac par la date du scan %SCANTIME% sera remplac par lheure du scan. Exemple : lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="lnss@127.0.0.1" Lexemple ci-dessus fait que la ligne de commande effectue un balayage de scurit sur la machine 127.0.0.1, cre le fichier xml sur c:\out.xml, une fois le balayage complet, gnre le rapport html sur c:\result.html et envoie le rapport ladresse email Inss@127.0.0.1.

52 Configuration de GFI LANguard N.S.S.

LANguard Network Security Scanner Manual

Dploiement de patch

Introduction au dploiement de patch


Utilisez loutil de dploiement de patch pour garder les machines utilisant Windows NT, 2000, XP et 2003 jour avec les derniers patches de scurit et service packs. Pour dployer les patches et les services packs, vous devez suivre les tapes suivantes : Etape 1 : Effectuez un balayage de votre rseau Etape 2 : Slectionnez les machines sur lesquelles vous voulez dployer les patches Etape 3 : Slectionnez quels patches dployer Etape 4 : Tlchargez les fichiers de patch et de service pack Etape 5 : Paramtres de dploiement de fichier de patch Etape 6 : Dployez les mises jour Pour dployer les patches vous avez besoin de Droits administratifs sur la machine que vous balayez NETBIOS doit tre activ sur la machine distante.

Lagent de dploiement de patch


GFI LANguard N.S.S. 6 utilise un agent de dploiement de patch, qui est install sur la machine distante afin de dployer des patches, des service packs et des logiciels personnaliss. Lagent de dploiement de patch consiste en un service qui va appliquer linstallation un moment programm selon les paramtres de dploiement indiqus. Cette architecture est bien plus fiable que sans lutilisation dun agent de dploiement de patch. Lagent de dploiement de patch est install automatiquement sans lintervention de ladministrateur. Remarque : Il nest pas rare que Microsoft retire les fichiers patch. Lorsque cela arrive, les informations de ce patch restent dans le fichier mssecure.xml, du fait que le patch tait disponible un moment donn. Auquel cas, GFI LANguard NSS fera un rapport selon lequel le patch est absent, mme sil ne peut pas tre install. Si vous ne dsirez pas tre inform au sujet de ces patches manquants, vous devez dsactiver la vrification pour ce bulletin particulier partir de GFI LANguard N.S.S.> Configuration > Scannning Profiles > Patches.

Etape 1 : Effectuez un balayage de votre rseau


GFI LANguard N.S.S. dcouvre les patches et les service packs manquants lors des balayages de scurit. Il y parvient en comparant les rglages de registre, date du fichier/timbres de lheure, et

LANguard Network Security Scanner Manual

Dploiement de patch 53

linformation sur la version de la machine distante, utilisant les informations fournies par Microsoft dans le fichier mssecure.xml. Tout dabord, GFI LANguard N.S.S. dtecte quels produits pour lesquels il a des informations patch sont installs sur la machine distante ( par ex. Microsoft Office). Aprs quoi, il vrifie que les patches et les service packs sont disponibles pour ce produit et envoie les informations de patch manquant dans le nud de patches Manquants du nud de vulnrabilits de haute scurit.

Exemple de patch manquant dans larborescence des rsultats de balayage

Pour chaque patch/service pack manquant GFI LANguard N.S.S. rapporte un lien partir duquel vous pouvez tlcharger le fichier de patch ainsi que dautres informations lies ce bulletin. Les patches qui sont indniablement absents sont rapports dans les noeuds de patches et service packs manquants (Missing patches and service packs nodes) des rsultats de balayage. Les patches qui ne peuvent pas tre confirms comme tant ou non installs d au manque dinformations de dtection sont rapports dans le nud Potential vulnerabilities des rsultats de balayage.

Exemple de patch non dtectable dans larborescence des sorties de rsultats de balayage

Etape 2 : Slectionnez les machines sur lesquelles vous voulez dployer les patches
Aprs le balayage rseau, lnumration des service packs et des patches manquants seront lists dans la fentre de rsultats de balayage. De faon deployer les mises jour manquantes, vous devez slectionner les ordinateurs que vous voulez mettre jour. Les patches peuvent tre dploys sur une machine, toutes les machines, ou sur les machines slectionnes. Dploiement des patches manquants sur un ordinateur : Cliquez droit sur lordinateur mettre jour > Deploy Microsoft updates > [genre de mise jour] > This computer. Dploiement des patches manquants sur tous les ordinateurs : Cliquez droit sur nimporte quels ordinateurs mettre jour > Deploy Microsoft updates > [genre de mise jour] > All computers.

54 Dploiement de patch

LANguard Network Security Scanner Manual

Dploiement des slectionnees :

patches

manquants

sur

les

machines

Utilisez les cases de gauche des rsultats de balayage pour slectionner les machines mettre jour. Cliquez droit sur nimporte quel ordinateur dans larborescence de rsultats > Deploy Microsoft updates > [genre de mise jour] > Selected Computers.

Indiquez sur quelles machines vous voulez dployer les mises jour.

Etape 3 : Slectionnez quels patches dployer


Une fois les ordinateurs cibles slectionns pour le dploiement des patches Microsoft, vous allez tre amen au nud de dploiement de patches Microsoft. Ce noeud vous montre les dtails des ordinateurs slectionns et quels patches/ service packs doivent tre dploys sur ces ordinateurs. Vous avez un choix entre deux visualisations qui vous permettent de contrler les options de dploiement. (1) Arrangement par ordinateur : Slection dun ordinateur et visualisation des patches / mises jour dployer. (2) Arrangement par patches : Slection dun patch et visualisation des ordinateurs ayant besoin de cette mise jour.

LANguard Network Security Scanner Manual

Dploiement de patch 55

Noeud de patches de Dploiement Microsoft

Par dfaut, tous les patches seront slectionns pour le dploiement. Si vous ne voulez pas que certains patches soient dploys, ne cocher pas la case correspondante au patch.

Etape 4 : Tlchargez les fichiers de patch et service pack


Aprs avoir slectionn les patches/service packs dployer, les fichiers appropris contenant les patches dployer doivent tre tlchargs. En grande partie, cela est fait automatiquement par GFI LANguard N.S.S. qui par la suite les placera dans les rpertoires correspondants selon le produit et le langage du produit mis jour.

GFI LANguard NSS montre quels fichiers patch doivent tre tlchargs

GFI LAnguard N.S.S. montre quels fichiers doivent tre tlchargs dans la liste des patches dployer. Chaque fichier patch doit tre list et sera dans lun des tats suivants, indiqus par un symbole dans la liste des patches manquants. Tlcharg En cours de tlchargement Lutilisateur doit visiter la page web et cliquer sur le lien pour tlcharger le fichier. Non tlcharg

56 Dploiement de patch

LANguard Network Security Scanner Manual

Tlchargement des patches


Les patches Microsoft, lists dans le fichier mssecure.xml, peuvent tre diviss en trois catgories principales. (1) Les patches avec location URL de tlchargement direct. (2) Les patches ncessitant la navigation de pages web pour tlcharger le fichier. (3) Les patches pour lesquels il nexiste aucun fichier patch. Pour tlcharger les patches pour lesquels il y a un lien direct : Pour les patches qui ont un lien de tlchargement direct, cliquez droit sur le fichier patch et slectionnez Download File. Le tlchargement va commencer et une fois termin, le fichier sera plac dans le rpertoire correct pour vous. Pour tlcharger des patches pour lesquels il ny a pas de lien de tlchargement mais seulement une page Internet source. Lorsque GFI LANguard N.S.S. dtecte un fichier qui doit tre tlcharg manuellement partir du site Internet Microsoft, il chargera la page Internet parente cible au bas de la zone outil de dploiement. Vous pourrez ensuite trouver le lien de tlchargement appropri et cliquer dessus. GFI LANguard N.S.S. contrlera cette session Internet et ds quil dtecte que vous avez cliqu sur un lien de tlchargement direct, il commencera tlcharger ce fichier automatiquement pour vous. La navigation de la page web fera partie de la session de tlchargement. Si vous voulez annuler cette session de tlchargement, vous devez cliquer sur le patch et slectionner Cancel Download. Une fois le tlchargement complt, le fichier sera plac dans le rpertoire correct pour vous.

Tlchargement dun patch partir dune page Internet avec lassistant de tlchargement.

Etape 5 : Paramtres de dploiement de fichier de patch


Vous pouvez ventuellement configurer des paramtres dploiement alternatifs de patch patch. Pour cela : 1. Cliquez droit sur le fichier de patch et slectionnez Proprits.
Dploiement de patch 57

de

LANguard Network Security Scanner Manual

2. Prcisez ventuellement tlchargement.

une

autre

source

URL

de

3. Prcisez ventuellement les paramtres de ligne de commande utiliser pendant le dploiement. Vous pouvez vrifier quel bulletin le patch sapplique en cliquant droit sur le fichier patch et saisissez Bulletin Info

Proprits du fichier patch

Etape 6 : Dployez les mises jour


Aprs avoir saisi les ordinateurs sur lesquels les patches doivent tre dploys et aprs leur tlchargement, vous tes prt pour le dploiement. Cliquez Start en bas droite pour commencer le dploiement.

58 Dploiement de patch

LANguard Network Security Scanner Manual

Initialisation de dploiement de patch en cliquant sur Start

Le dploiement des patches va maintenant commencer. Vous pouvez contrler le statut du dploiement de patch partir de la barre dtat.

Contrle du processus de tlchargement

Dploiement de logiciel personnalis


Loutil de dploiement de logiciel personnalis est trs utile pour le dploiement de patches personnaliss pour les logiciels de rseau, ou mme pour installer des logiciels de rseau. Il est souvent utilis pour dployer des mises jour de signatures virales de rseau. Le procd

LANguard Network Security Scanner Manual

Dploiement de patch 59

de dploiement de logiciel personnalis est trs similaire au procd de dploiement de patch dune machine.

Dploiement de logiciel personnalis

Etape 1 : Slection des machines sur lesquelles il faut installer le logiciel/patches


1. Allez sur le noeud Deploy custom software dans le noeud doutils. 2. Cliquez sur Add pour ajouter un seul ordinateur, ou cliquez sur Select pour slectionner une gamme dordinateurs sur lesquels dployer le logiciel personnalis. Remarque : vous pouvez aussi saisir les machines sur lesquelles il faut dployer le logiciel personnalis depuis le nud Security Scanner et le nud Tools > Enumerate Computers.

Etape 2 : Prcisez logiciel dployer


Cliquez sur Add dans les Patches: section pour prciser lemplacement initial du fichier et prciser tous paramtres de ligne de commande qui devront tre utiliss pour le dploiement du fichier.

60 Dploiement de patch

LANguard Network Security Scanner Manual

Prcision du logiciel dployer

Vous pouvez ventuellement programmer quel moment le dploiement doit avoir lieu.

Etape 3 : Commencez le dploiement


Une fois le logiciel pour le dploiement et les ordinateurs concerns prciss, vous pouvez commencer le processus de dploiement en cliquant sur Start.

Dployez les patches personnaliss en indiquant quels fichiers de patch dployer et sur quel ordinateur.

LANguard Network Security Scanner Manual

Dploiement de patch 61

Options de dploiement

Options gnrales de dploiement

Vous pouvez configurer les options de dploiement en survolant le bouton des options avec la souris, situ sur la droite de lcran. L, vous pouvez :

Gnral
Configurer le sevice de lagent de dploiement excuter les coordonnes alternatives. Redmarrer lordinateur cible aprs dploiement. Certaines versions provisoires ncessitent un redmarrage aprs installation. Cocher cette case si un ou plusieurs patches ncessitent un redmarrage Arrter la machine aprs dploiement des mises jour de logiciel Avertir lutilisateur avant dploiement. Un message sera envoy la machine cible avant le dploiement des mises jour Arrter les services avant le dploiement : Cette option arrte les services des serveurs ISS & MS SQL avant dploiement

62 Dploiement de patch

LANguard Network Security Scanner Manual

Configurer GFI LANguard N.S.S. de faon dployer les mises jour de logiciel grce aux partages administratifs ou aux partages personnaliss (si utiliss, il ny aura pas besoin des partages administratifs. Ceux-ci peuvent tre dsactivs pour une plus grande scurit.) Supprimer les fichiers copis sur les machines distantes aprs dploiement Configurer les conditions particulires de filtrage vers lesquelles il faut dployer la version provisoire (filtres de lordinateur).

Avances
Configurer le nombre de fils des versions provisoires utiliser Configurer le lapse de temps accord pour le dploiement.

Options avances de dploiement

Rpertoire de tlchargement
Configurer le rpertoire o les tlchargements de patches seront enregistrs.

Options de rpertoire de tlchargement

REMARQUE : Dans loutil Deploy custom patches, les filtres dordinateur ne sappliqueront pas aux ordinateurs qui nont pas t balays par loutil de balayage de scurit.

LANguard Network Security Scanner Manual

Dploiement de patch 63

Comparaison des rsultats

Pourquoi comparer les rsultats ?


En faisant un audit rgulier et en comparant les rsultats des balayages prcdents vous aurez une ide de quels trous de scurit reviennent continuellement ou sont r-ouverts par des utilisateurs. Cela cre un rseau plus scuris. GFI LANguard Network Security Scanner vous aide faire cela en vous permettant de comparer les rsultats de balayages. GFI LANguard N.S.S. tablira un rapport et vous permettra dagir. Vous pouvez comparer les rsultats manuellement ou par balayages programms.

Effectuer une comparaison de rsultats de scan interactive


Lorsque GFI LANguard N.S.S. effectue un balayage programm, il sauvegarde le fichier XML des rsultats dans lannuaire Data\Reports dans lannuaire dinstallation GFI LANguard N.S.S.. Vous pouvez aussi sauvergarder les rsultats de balayage actuels vers un fichier xml en cliquant droit sur le noeud de balayage de scurit et en saisissant Save scan results to xml file. Pour comparer deux fichiers XML de rsultats de balayage : 1. Allez sur loutil de comparaison de rsultats GFI LAnguard N.S.S. > Security Scanner > Result comparison. 2. Saisissez deux rsultats de balayage soit partir dun fichier xml ou dun enregistrement sur base de donnes darrire plan, effectus avec les mmes options et le mme jeu dordinateurs, mais effectus diffrents moments, et cliquez Compare.

LANguard Network Security Scanner Manual

Comparaison des rsultats 65

Comparer les rsultats

Le rsultat sera similaire la capture dcran ci-dessus. Elle vous montre ce qui a t activ ou dsactiv et tous les changements oprs sur le rseau depuis le dernier balayage. Les nouveaux objets vous montreront tout changement appliqu aprs le premier balayage Les objets supprims montreront tous les priphriques /problmes qui ont t supprims depuis le premier balayage Les objets alterns montreront tout ce qui a chang, tel quun service activ ou dsactiv entre deux balayages.

Effectuer une Comparaison avec loption de balayages programms


Au lieu de balayer manuellement votre rseau chaque jour, semaine, ou mois, vous pouvez tablir un balayage programm. Un Scheduled Scan sexcutera automatiquement un certain moment et enverra un email des diffrences entre les balayages programms ladministrateur. Par exemple : ladministrateur peut configurer la fonction Scheduled Scan afin deffectuer un balayage toutes les nuits 23:00. Le service daide GFI LANguard N.S.S. lancera un balayage de scurit sur lordinateur(s) cible(s) saisi(s) et enregistrera les rsultats sur la base de donnes centrale. Ensuite, il comparera les rsultats actuels ceux de la veille et tablira un rapport des diffrences, sil y a lieu. REMARQUE : Si vous effectuez un balayage programm pour la premire fois ou sil ny a pas de diffrence avec le balayage prcdent, alors GFI LANguard N.S.S. ne vous enverra pas de rapport. Vous ne recevrez un rapport que si quelque chose a chang.

66 Comparaison des rsultats

LANguard Network Security Scanner Manual

GFI LANguard N.S.S. Status Monitor

Visualisation des oprations programmes


GFI LANguard N.S.S. status monitor vous permet de surveiller ltat des scans programms actifs et des dploiements de mises jour de logiciel. Vous pouvez aussi annuler les oprations de dploiements programms.

Scan programm actif


Pour visualiser ltat des scans programms actifs cliquez sur le symbole du moniteur GFI LANguard N.S.S. dans la barre du systme Windows et slectionnez longlet des scans programms. Vous verrez tous les scans programms actifs et lheure laquelle ils ont commenc. Remarque : Comme le sous-entend le nom, seuls les scans actifs actuels seront affichs dans les Scans Programms Actifs. Pour vrifier les scans programms et pour tous les annuler, lancez GFI LANguard N.S.S. et cliquez sur GFI LANguard N.S.S. > Configuration > Scheduled Scans.

Scan programm termin

Pour annuler un scan programm actif, slectionnez celui que vous dsirez et cliquez sur Arrter Scan(s) Slectionn (Stop Selected Scan(s)).

LANguard Network Security Scanner Manual

GFI LANguard N.S.S. Status Monitor 67

Annulation de Scan

Dploiements programms
Pour visualiser ltat des dploiements programms cliquez sur le symbole du moniteur GFI LANguard N.S.S. dans la barre du systme Windows et slectionnez longlet des dploiements programms.

Dploiements programms

Pour annuler le dploiement dune mise jour de logiciel programm, slectionnez lentre de votre choix et cliquez sur Annuler dploiement slectionn .

68 GFI LANguard N.S.S. Status Monitor

LANguard Network Security Scanner Manual

Annulation de dploiement

LANguard Network Security Scanner Manual

GFI LANguard N.S.S. Status Monitor 69

Options de maintenance de la base de donnes

Introduction
Utilisez les options de maintenance de la base de donnes pour choisir quelle base de donnes utiliser pour enregistrer les rsultats de scans sauvegards. Vous pouvez aussi configurer les options de maintenance de base de donnes, telles que suppression automatique des rsultats de plus dune certaine priode. Avec MS Access comme base de donnes vous pouvez programmer une compression de base de donnes pour viter la corruption des donnes. Les options de maintenance de base de donnes peuvent tre accdes par : 1. GFI LANguard N.S.S. > Configuration > Cliquez droit sur le noeud Database Maintenance Options. 2. Proprits.

Changement de base de donnes


Longlet Changement de base de donnes contient les options qui permettent de changer la base de donnes utilise par GFI LANguard N.S.S. pour lenregistrement des rsultats de scans. Les bases de donnes compatibles sont MS Access ou Serveur MS SQL.

MS Access
Prcisez le chemin entier (y compris le nom fichier) utiliser comme base de donnes MS Access. REMARQUE : si le fichier nexiste pas, il sera cr pour vous.

LANguard Network Security Scanner Manual

Options de maintenance de la base de donnes 71

Changement de base de donnes MS Access

Serveur MS SQL
Prcisez le nom/IP du serveur sur lequel le serveur MS SQL est install. Specifiez aussi les coordonnes daccs du Serveur SQL. (Le mode dauthentification NT nest pas compatible avec GFI LANguard N.S.S.) REMARQUE : si le serveur et les coordonnes entrs sont corrects, GFI LANguard N.S.S. se connectera au serveur SQL et crera les tableaux de base de donnes ncessaires. Si les tableaux de base de donnes existent dj, il les rutilisera.

72 Options de maintenance de la base de donnes

LANguard Network Security Scanner Manual

Changement de Base de donnes Serveur SQL

Gestion des rsultats de scan enregistrs


Longlet Changements de base de donnes contient loption de suppression des rsultats de scan enregistrs partir de la base de donnes. Vous pouvez supprimer les scans manuellement ou supprimer les scans selon leur ge.

Options avances
Longlet Advanced contient des options pour programmer la compression des bases de donnes. Vous pouvez paramtrer que la compression automatique soit effectue par le service daide. REMARQUE : La compression de base de donnes supprime dfinitivement les enregistrements slectionns.

LANguard Network Security Scanner Manual

Options de maintenance de la base de donnes 73

Options de maintenance de base de donnes options de compression

74 Options de maintenance de la base de donnes

LANguard Network Security Scanner Manual

Outils

Introduction
Les Outils suivants peuvent tre trouvs dans le Menu Outils DNS lookup (consultation de tables DNS) Whois Client Trace Route SNMP Walk (chemin SNMTP) SNMP Audit MS SQL Server Audit Enumerate Computers

DNS lookup
Cet outil rsoud le nom de domaine (Domain Name) une adresse IP correspondante et en plus fournit des informations sur le nom de domaine, sil y a un enregistrement MX etc

Outil de recherche DNS

Pour obtenir des informations sur le nom de domaine : 1. Allez sur le nud Tools > DNS lookup.
Outils 75

LANguard Network Security Scanner Manual

2. Prcisez le nom dhte rsoudre 3. Prcisez les informations rechercher Basic Information par ex. le nom dhte et ladresse IP laquelle il se rsout Host Information connu sous le nom technique de HINFO, et comprenant normalement des informations telles que le matriel hardware et quel systme dexploitation est excut sur le domaine prcis (la plupart des entres DNS ne contiennent pas ces informations pour des raisons de scurit) Aliases retourne les informations quun enregistrement de domaine peut avoir MX Records - aussi connu sous le nom denregistrements de Mail exchangers, montre quel(s) serveur(s) de messagerie et lordre dans lequel ils sont responsables pour ce domaine NS Records - indique quels serveurs sont responsables pour ce domaine.

En plus de a, il est possible de prciser un serveur DNS alternatif.

Trace Route

Utilitaire Trace route

Cet utilitaire montre le chemin de rseau que GFI LANguard N.S.S. prend pour atteindre la machine cible. Lorsque vous effectuez un trace route, chaque saut a un symbole associ. Indique un saut russi selon les paramtres normaux Indique un saut russi , mais le temps requis a t assez long Indique un saut russi , mais le temps requis a t trop long Indique que le saut a pris trop longtemps et a chou (par exemple : il a pris plus de 1000ms)
LANguard Network Security Scanner Manual

76 Outils

Whois Client

Utilitaire whois

Cet utilitaire obtiendra des informations partir dun domaine ou dune adresse IP. Vous pouvez saisir un serveur Whois prcis dans la zone des options, ou vous pouvez utilisez loption Default qui saisira un serveur pour vous.

SNMP Walk (chemin SNMP)


SNMP walk vous permet de rassembler les informations SNMP. Le panneau de droite contient une liste de noms reprsentant des Object ID prcis sur le prriphrique. Pour en savoir plus sur les informations fournies par le SNMP walk, vous allez devoir vrifier avec le vendeur. Certains vendeurs fournissent beaucoup de dtails sur chaque moyen dinformation, dautres, par leur SNMP support de priphriques, ne fournissent aucune documentation. Pour utiliser cet outil, cliquez sur Tools > SNMP walk. Saisissez ladresse IP de la machine ou du priphrique que vous dsirez scan/walk. Remarque : Dans la plupart des cas SNMP devrait tre bloqu au niveau du routeur/ pare-feu de faon ce que les internautes ne puissent pas effectuer un balayage SNMP de votre rseau. Il est possible davoir dautres chanes de communaut. Remarque : SNMP aidera les utilisateurs malveillants avoir des informations vitales de votre systme, ainsi deviner un mot de passe ou autres attaques du mme genre sont rendues bien plus faciles. A moins que ce service soit ncessaire, il est fortement recommand de dsactiver le SNMP.

LANguard Network Security Scanner Manual

Outils 77

SNMP Audit
Lutilitaire SNMP Audit, permet deffectuer un audit SNMP sur un priphrique et un audit pour des chanes de communaut faibles. Certains priphriques de rseau ont des chanes de communaut alternatives ou non-default. Le dictionnaire contient une liste de chanes de communaut populaires vrifier. Le fichier dfaut quil utilise pour rpertorier les attaques sappelle snmp-pass.txt. Vous pouvez soit ajouter des nouveaux noms de communaut ce fichier, soit diriger laudit SNMP vers un autre fichier. Afin dutiliser cet outil, saisissez ladresse IP dune machine excutant le SNMP et cliquez Retrieve.

MS SQL Server Audit


Cet outil permet deffectuer un audit sur linstallation dun serveur Microsoft SQL. Vous pouvez auditer un compte SA ainsi que tous les comptes SQL. Par dfaut, il utilisera le dictionnaire appel passwords.txt. Vous pouvez soit ajouter des nouveaux mots de passe, soit diriger lutilitaire vers un nouveau dossier de mots de passe. Pour excuter un audit de serveur SQL, saisissez ladresse IP de la machine fonctionnant sur MS SQL. Si vous voulez deviner les mots de passe pour tous les comptes SQL, vous devez saisir un nom dutilisateur et le mot de passe pour dmarrer en SQL afin dextraire tous les comptes dutilisateurs.

Utilitaire daudit de comptes SQL

78 Outils

LANguard Network Security Scanner Manual

Enumration des Ordinateurs.

Utilitaire dnumration des ordinateurs

Cet outil parcourt votre rseau la recherche de Domaines et/ou Groupes de travail. Une fois trouvs, vous avez la possiblit de balayer ces Domaines pour en obtenir la liste des ordinateurs. Une fois le balayage termin, il tablira une liste des systmes dexploitation installs sur cette machine, ainsi que tous commentaires qui pourraient tre lists via NETBIOS. Les oridnateurs peuvent tre numrs en utilisant une des mthodes suivantes Depuis lActive Directory Cette mthode est bien plus rapide et numrera aussi tous les ordinateurs qui sont teints En utilisant linterface Windows Explorer Cette mthode est plus lente et nnumrera pas les ordinateurs teints.

Vous pouvez prciser quelle mthode utiliser partir de longlet Information Source. Remarquez que vous ne pouvez effectuer le balayage quen utilisant un compte qui a des droits daccs lActive Directory.

Lancement dun scan de scurit


Une fois lnumration des ordinateurs faite, vous pouvez procder au lancement dun balayage sur les machines slectionnes en cliquantdroit sur les ordinateurs numrs et en slectionnant Scan. Si vous voulez lancer le balayage tout en continuant dutiliser loutil des ordinateurs numrs, slectionnez Scan in background.

LANguard Network Security Scanner Manual

Outils 79

Dploiement de patches personnaliss


Slectionnez les machines sur lesquelles vous dsirez dployer une mise jour >Cliquez-droit sur nimporte quelle machine slectionne > Deploy Custom Patches.

Activation des Stratgies dAudit


Slectionnez les machines sur lesquelles vous dsirez activer les stratgies daudit > cliquez droit sur nimporte quelle machine slectionne > Enabling Auditing Policies.

Enumration des Utilisateurs


La fonction dnumration des utilisateurs se connecte lActive Directory et rcupre tous les utilisateurs et les contacts qui sy trouvent.

80 Outils

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts

Introduction
GFI LANguard N.S.S. permet de personnaliser rapidement les vrifications de vulnrabilits. Ceci peut se faire de deux faons : par lcriture dun script, ou par un jeu de conditions. Quelque soit la mthode que vous utilisez, vous devez ajouter la vulnrabilit via l'interface de balayage scuritaire et prcisez le nom du script ou les conditions qui doivent tre appliques. Remarque : Seul les Utilisateurs Expriments doivent crer des nouvelles Vulnrabilits, car des misconfigurations de vulnrabilits donnent lieu des faux positifs ou ne fourniront aucune information de vulnrabilit du tout.

GFI LANguard N.S.S. langage VBscript


GFI LANguard N.S.S. comprend un langage script compatible avec VBscript. Ce langage a t cr afin d'ajouter facilement des vrifications personnalises. Il permet aussi GFI Software dajouter des nouvelles vrifications de vulnrabilits et de les rendre disponibles pour un tlchargement. GFI LANguard N.S.S. comprend un diteur qui peut surligner la syntaxe et un dbuggeur. Pour plus dinformations sur lcriture de sripts, veuillez vous rfrez au dossier Scripting documentation, qui est accessible partir du groupe de programme de GFI LANguard N.S.S. . REMARQUE IMPORTANTE : GFI software noffre pas de support en ce qui concerne la cration de scripts qui ne marchent pas. Vous pouvez faire part de vos problmes lis au script GFI LANguard N.S.S. sur le forum GFI LANguard http://forums.gfi.com, o vous serez en mesure de partager des scripts et des ides avec dautres utilisateurs de GFI LANguard N.S.S..

Module GFI LANguard N.S.S. SSH


GFI LANguard N.S.S. comprendx un module SSH qui permet dexcuter des scripts de vulnrabilit sur des systmes Linux.. Le module SSH analyse les donnes de la console imprimes par le script. Cela signifie que vous pouvez utiliser nimporte quel langage de script/programmation compatible avec le systme dexploitation Linux cible qui permet la sorite des rsultats de la console (en mode texte).

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts 81

Mots cls :
Le module SSH peut lancer nimporte quel script qui est compatible et qui fonctionne sur la machine Linux cible partir de son terminal Windows. Lorsquun contrle de vulnrabilit SSH est lanc, le script SSH est copi sur la machine cible travers une connexion SSH tablie grce aux coordonnes spcifies au tout dbut du scan. Ce fichier copi reoit alors des permissions excutables et s'excute sur la machine cible. La sortie textuelle gnre partir de ce script est analyse par le module SSH. A partir du rsultat, le module SSH sait maintenant lorsque le script sest arrt et si le rsultat est concluant ou non. Les mots cls ci-dessous sont grs par le module SSH et interprts comme directives pour GFI LANguard N.S.S. : TRUE: FALSE: AddListItem SetDescription !!SCRIPT_FINISHED!!

Lorsuqe le module SSH dtecte l'un des termes ci-dessus, il traite la chane de faon particulire selon le mot rencontr. TRUE: and FALSE: Lorsque le module SSH dtecte l'une des chanes suivantes, il tablira le rsultat du contrle de vulnrabilit comme tant TRUE ou FALSE. AddListItem AddListItem est une fonctionnalit interne utilise pour lajout de rsultats larborescence des vrifications de vulnrabilits mme comme rapport dans lUI. La syntaxe de cette fonction est la suivante : AddListItem([[[<parent node>]]],[[[<actual string>]]]) Le premier paramtre, [[[<parent node>]]], prcise le nom du nud parent. Le deuxime, [[[<actual string>]]] prcise la valeur de ce nud dans larborescence. REMARQUE : Si le paramtre noeud parent est vide, la fonction ajoutera la chane spcifie au nud suprieur disponible pour cette vrification. Chaque vulnrabilit a son propre noeud. Nimporte quelle commande AddListItem crera un enfant sous le noeud de vulnrabilit pour cette vrification. SetDescription SetDescription est une fonctionnalit interne qui peut rcrire la description par dfaut qui est lintrieur de la vrification de vulnrabilit. Il y a des vrifications de vulnrabilits pour lesquelles vous devrez changer le nom par dfaut car il apparatra sur larborescence. SetDescription(<Nouvelle description>)

82 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

!!SCRIPT_FINISHED!! Chaque script doit rpondre par le texte !!SCRIPT_FINISHED!!. Cette ligne marque la fin de lexcution des scripts. Le module SSH va continuer rechercher cette ligne jusqu ce quil la trouve ou que le temps maximal dexcution soit dpass. Si le temps maximal est dpass avant davoir reu la ligne, le module SSH ignorera le script et la vulnrabilit ne sera pas affiche mme si TRUE: est retourn au module SSH avec succs avant que le temps maximal dexcution soit dpass. Il est donc impratif que chaque script peut importe la taille de la vrification affiche !!SCRIPT_FINISHED!! la fin du procd. REMARQUE IMPORTANTE : GFI software noffre pas de support lors de la cration ou du dbuggage de scripts qui ne marchent pas. Vous pouvez faire part de vos problmes lis au script GFI LANguard N.S.S. sur le forum GFI LANguard http://forums.gfi.com, o vous serez en mesure de partager des scripts et des ides avec dautres utilisateurs de GFI LANguard N.S.S.. Exemple : Afin dillustrer les techniques qui sont dcrites ci-dessus, une vrification de vulnrabilit sera cre tape par tape. Tout dabord, le script SSH sera cr avec une fonctionnalit trs simple. Il se servira des mots cls exposs ci-dessus et gnrera seulement une nouvelle description et ajoutera deux objets larborescence. Le script SSH que lon appellera test.sh sera constitu des codes suivants: #!/bin/bash echo "TRUE:" time=`date` echo "SetDescription(New Script Generated Description at :$time)" echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" echo "!!SCRIPT_FINISHED!!" La prochaine vulnrabilit sera cre et excutera ce script sur une machine Linux distante. La vulnrabilit sera comme suit :

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts 83

Le balayage dune machine Linux avec les bonnes coordonnes dclenchera cette vrification qui est paramtre pour toujours se dclencher. La vulnrabilit ci-dessus gnrera alors la sortie suivante :

84 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Sortie du script SSH avec compte-rendu

Vous trouverez plus d'exemples de scripts SSH dans [registre principal deGFI LANguard N.S.S.]\data\scripts\ Tous les fichiers en .sh sont des scripts SSH. (remarquez que les scripts SSH peuvent avoir nimporte quelle extension. Ils ne doivent pas ncessairement avoir lextension .sh pour fonctionner.)

Ajout de vrification de vulnrabilit qui utilise un script vbs personnalis


Vous pouvez ajouter une vrification de vulnrabilit qui utilise un script personnalis. Vous pouvez crer ces scripts personnaliss en utilisant lditeur/dbuggueur GFI LANguard NSS. Pour cela :

Etape 1 : Crer le script


1. Lancez le dbuggueur de script de GFI LANguard N.S.S. : Start > Programs > GFI LANguard Network Security Scanner > Script Debugger. 2. File >New 3. Crer un script. En guise dexemple, vous pouvez utiliser le faux script suivant et lenregistrer dans le dbuggeur : Function Main echo "Script has run successfully"
LANguard Network Security Scanner Manual Ajout de vrifications de vulnrabilits par conditions ou scripts 85

Main = true End Function 4. Sauvegardez le dossier, par exemple c:\myscript.vbs"

Etape 2 : Ajouter une nouvelle vrification de vulnrabilit :


1. Allez sur le nud de GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles. 2. Allez sur longlet Scanned Vulnerabilities, et slectionnez la catgorie sous laquelle la nouvelle vulnrabilit sera enregistre. 3. Cliquez sur le bouton Add. Cela vous permettra de visualiser la nouvelle bote de dialogue de vulnrabilit.

Ajouter une nouvelle vrification de vulnrabilit

4. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 5. Cliquez sur le bouton Add 6. Maintenant slectionnez Script dans la liste Check.

86 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Slectionnez le script contenant le code de vrification de vulnrabilit

7. Prcisez lemplacement du script c:\myscript.vbs . Cliquez Add pour ajouter une vulnrabilit. Lexcution se fera la prochaine fois quun balayage de vulnrabilit sera fait sur lordinateur. 8. Pour le tester, scannez votre machine hte locale et vous devriez voir lavertissement de vulnrabilit apparatre sous la section miscellaneous du nud de vulnrabilit des rsultats de balayage.

Ajout de vrification de vulnrabilit qui utilise un script SSH personnalis


Vous pouvez ajouter des vrifications de vulnrabilit qui utilisent un script personnalis qui sera dploy et excut par le module SSH sur la machine Linux balaye. Le script peut tre programm dans nimporte quel langage de script ou de programmation qui est compatible avec l'impression vers la console. Pour cet exemple nous allons utiliser le systme de script qui est en gnral disponible par dfaut sur tous les systmes Linux.

Etape 1 : Crer le script


1. Lancez votre diteur de fichier texte prfr. 2. Assurez-vous de lancer un nouveau fichier vide et que vous lenregistrez dans LNSS main directory\data\scripts . 3. Tapez le texte ci-dessous dans lditeur fichier : #!/bin/bash if [ -e test.file ] then echo "TRUE:" else

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts 87

echo "FALSE:" fi echo "!!SCRIPT_FINISHED!!" 4. Enregistrez le fichier, par ex. C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscrip .

Etape 2 : Ajouter une nouvelle vrification de vulnrabilit :


1. Allez sur le nud de GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles. 2. Allez sur longlet Scanned Vulnerabilities, et slectionnez la catgorie sous laquelle la nouvelle vulnrabilit sera enregistre. 3. Cliquez sur le bouton Add. Cela vous permettra de visualiser la nouvelle bote de dialogue de vulnrabilit.

Ajouter une nouvelle vrification de vulnrabilit

4. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 5. Cliquez sur le bouton Add 6. Maintenant slectionnez SSH Script dans la liste Check.

88 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Slectionnez le script contenant le code de vrification de vulnrabilit

Prcisez lemplacement du script C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript . Cliquez 'Add' pour ajouter une vulnrabilit. Lexcution se fera la prochaine fois quun balayage de vulnrabilit sera fait sur lordinateur. Pour faire un essai, balayez simplement la machine cible Linux (crez le fichier test.file de faon dclencher la vulnrabilit. Vous pouvez faire cela en vous connectant votre machine Linux, allez dans le rpertoire home de lutilisateur dont vous vous servirez pour le balayage, et tapez la commande touch test.file . Une fois le scan complt, vous devriez voir lavertissement de vulnrabilit que nous venons de crer sous le nud vulnrabilit qui fut tabli dans ltape 2.

Ajout dune vrification de vulnrabilit CGI


Vous pouvez aussi ajouter des vulnrabilits sans crire de scripts. Par exemple une vrification de vulnrabilit CGI. Pour cela : 1. Allez sur le nud de GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles. 2. Allez sur longlet Scanned Vulnerabilities, et saisissez le nud de vulnrabilits CGI. Maintenant cliquez sur le bouton Add. Cela vous permettra de visualiser la bote de dialogue de vulnrabilit CGI.

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts 89

Crer une nouvelle Vulnrabilit CGI

3. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 4. Prcisez la mthode HTTP: Les deux mthodes supportes par GFI LANguard N.S.S. dans sa section CGI abus sont GET et HEAD. 5. Prcisez quel URL vrifier : Il sagit de lURL que GFI LANguard N.S.S. recherchera. 6: Prcisez la Return String: Il sagit de ce que GFI LANguard N.S.S. devra dceler lors du retour dinformations afin dtablir si le poste de travail est vulnrable cette attaque.

Ajout dautres vrifications de vulnrabilits


Vous pouvez aussi ajouter dautres vulnrabilits sans crire de scripts. Elles utilisent le mme format de base que les vrifications de vulnrabilits CGI. Cependant, vous pouvez tablir des rglages pour des conditions plus complexes. Pour cela : 1. Allez sur le nud de GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles. 2. Allez sur longlet Scanned Vulnerabilities, et saisissez le type de vulnrabilits que vous dsirez ajouter en cliquant sur la catgorie laquelle elle correspond. Maintenant cliquez sur le bouton Add. Cela vous permettra de visualiser la nouvelle bote de dialogue de vulnrabilit.

90 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Crer une nouvelle Vulnrabilit

3. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 4. Vous devez prciser ce quil faut vrifier. Pour ajouter une vrification, cliquez droit dans la fentre Trigger condition et ajoutez une nouvelle vrification. 5. Vous pouvez prciser que toutes les choses suivantes soient une base de vrification de vulnrabilit de: Systme dexploitation o o o o Est Nest pas Existe Nexiste pas seulement sous :

Clef de registre

Remarque : Fonctionne HKEY_LOCAL_MACHINE Chemin daccs du registre o o Existe Nexiste pas

Remarque : Fonctionne HKEY_LOCAL_MACHINE

seulement

sous :

LANguard Network Security Scanner Manual

Ajout de vrifications de vulnrabilits par conditions ou scripts 91

Valeur du registre o o o o Est gal Nest pas gale Est infrieure Est suprieure seulement sous :

Remarque : Fonctionne HKEY_LOCAL_MACHINE Service Pack o o o o Hot fix o o IIS o o o o o o o o o o o o o o o o o o o Est install Nest pas install Est Nest pas Est infrieur Est suprieur Est install Nest pas install Est install Nest pas install Est en cours dexcution Ne rpond pas Automatique Manuel Dsactiv Est ouvert Est ferm Est ouvert Est ferm Est install Nest pas install Est Nest pas Est infrieur Est suprieur

Version IIS

Service RPC

Service NT

Excution du service NT

Type de dmarrage NT Service

Port (TCP)

Port UDP

92 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Banire FTP o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire HTTP o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire SMTP o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire POP3 o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire DNS o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire SSH o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire Telnet o o Est Nest pas

Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Script o o Renvoi True (1) Renvoi False (0)
Ajout de vrifications de vulnrabilits par conditions ou scripts 93

LANguard Network Security Scanner Manual

Script SSH o o Renvoi True (TRUE:) Renvoi False (FALSE:)

6. Chaque option ci-dessus a son propre jeu de critres, comme vous pouvez le voir, sur lesquels les vrifications de vulnrabilits sont bases. Si votre cration de vrification de vulnrabilit est trop vague, vous recevrez trop de faux rapports. Do, si vous dcidez de crer votre propre vrification de vulnrabilits, assurez-vous que vous la concevez de faon trs prcise, passez du temps la crer. Rien ne vous limite aux mentions ci-dessus pour dclencher une vrification de vulnrabilit ; par exemple, vous lavez peut-tre rgle pour la vrification de conditions multiples. Vrifier OS Port XYZ Banire ABC LANS script QRS excution et vrifications de vulnrabilit

Une fois que vous avez respect tous les critres ci-dessus, et seulement si vous les avez respect, la vrification de vulnrabilit sera-t-elle dclenche. Remarque : La cration dexpressions vous permettra de faire une vrification de vulnrabilits comme celle qui est utilise pour vrifier la version dApache en excution sur votre poste de travail. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])). Pour ceux qui ont de lexprience avec C ou Perl, le format ci-dessus est peu de choses prs le mme que ce que vous pouvez faire dans ces langages. Il y a beaucoup de pages daide sur Internet qui vous montre comment lutiliser. Dans les exemples ci-dessous, nous allons essayer de vous donner une explication. Si vous avez besoin daide supplmentaire sur ce sujet, rfrez-vous la fin de cette section pour un lien hypertexte. Si vous dsirez voir un exemple/une dmarche sur la cration dune nouvelle walkthrough/vulnrabilit comportant un script, rfrez-vous GFI LANguard N.S.S. scripting documentation .

94 Ajout de vrifications de vulnrabilits par conditions ou scripts

LANguard Network Security Scanner Manual

Troubleshooting

Introduction
Le chapitre Troubleshooting vous explique comment rsoudre les problmes rencontrs. Les sources dinformations principales offertes aux utilisateurs sont les suivantes : 1. Le manuel la plupart des problmes peuvent tre rsolus en consultant le manuel. 2. La base de connaissances GFI http://kbase.gfi.com . 3. Le site de support technique GFI http://support.gfi.com 4. Service support de support@gfsfrance.com GFI Software par email

5. Service support de GFI Software via notre systme de support en direct sur http://support.gfi.com/livesupport.asp 6. Service support de GFI Software par tlphone.

Base de connaissance
GFI Software maintient une base de connaissances comprenant des rponses aux problmes les plus frquents. Si vous avez un problme, veuillez tout dabord consulter la base de connaissances. Celle-ci propose toujours une liste trs rcente des questions de support et des nouveaux patches. Elle peut tre consulte sur http://kbase.gfi.com (en anglais)

Questions frquemment poses

Demande de support via email


Si, aprs avoir utilis la base de donnes de connaissance et le manuel, vous navez pu rsoudre votre problme, veuillez contacter le service support de GFI Software. Le meilleur moyen de demander de laide est par email, puisque vous pouvez ainsi inclure des informations vitales en pice jointe, qui nous permettront de rsoudre le problme plus rapidement. Le Troubleshooter, compris dans le groupe de programmes, gnre automatiquement un nombre de fichiers requis pour que GFI Software

LANguard Network Security Scanner Manual

Troubleshooting 95

puisse vous apporter son support. Ces fichiers comprennent les paramtres de configuration etc Pour gnrer ces fichiers, dmarrez le Troubleshooter et suivez les instructions dans lapplication. En plus de rassembler toutes les informations, il vous pose galement un certain nombre de questions. Veuillez prendre le temps de rpondre ces questions de faon prcise. Sans les informations correctes, il ne nous sera pas possible de diagnostiquer votre problme. Allez ensuite sur le rpertoire de support, situ sous le rpertoire de programmes principal, zippez les fichiers, et envoyez les fichiers gnrs support@gfsfrance.com. Vrifiez tout dabord que vous avez bien enregistr votre produit sur notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm ! Nous vous rpondrons dans les 24 heures ou moins, selon votre fuseau horaire.

Demande de support par lintermdiaire du web chat


Vous pouvez galement demander de laide travers notre systme de Live support (webchat). Vous pouvez contacter le service support de GFI Software via notre systme de support en direct sur http://support.gfi.com/livesupport.asp Vrifiez tout dabord que vous avez bien enregistr votre produit sur notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm !

Demande de support par tlphone


Vous pouvez galement contacter GFI Software par tlphone pour votre demande de support technique. Veuillez consulter notre site web de support pour trouver les numros appropris selon votre pays dorigine et nos heures douverture. Site web de support : http://support.gfi.com Vrifiez tout dabord que vous avez bien enregistr votre produit sur notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm !

Forum Internet
Un systme de support inter utilisateurs est disponible travers un forum internet. Dcouvrez ce forum sur : http://forums.gfi.com

Notifications de rvisions
Il est fortement conseill de sabonner notre listing de notifications de nouvelles versions. De cette manire, vous serez inform(e) immdiatement de larrive de nouvelles rvisions de produits. Pour

96 Troubleshooting

LANguard Network Security Scanner Manual

vous inscrire au systme de notifications des nouvelles rvisions, allez sur : http://support.gfi.com/?lcode=fr

LANguard Network Security Scanner Manual

Troubleshooting 97

Index

DNS lookup 99, 102, 104, 105, 106

G
groupes 5, 27

groups 5, 27

H
Hot fixes 29

HTML 8

L
Licence 10

License 10

M
Mot de passe 23

O
Open ports 7

Operating System 8

P
Partages 5, 22

Password policy 23

Ports ouverts 7

LANguard Network Security Scanner Manual

Troubleshooting 99

Registre 24

Utilisateurs 26

Registry 24

Utilisateurs 6

S
security policy 5

X
XML 8

Services 7

Shares 5, 22

SNMP 17, 103

SNMP 17

SNMP 103

SNMP 103

SNMP audit 103

stratgie de scurit 6

System requirements 11

Systme dexploitation 8

Systme requis 11

T
Traceroute 101

Traceroute 101

Traceroute 101

U
Users 6, 26, 107

100 Troubleshooting

LANguard Network Security Scanner Manual