ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Audit de Vulnrabilits rseau

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

Titre du document

Sommaire
1. Audit de Vulnrabilits : Concepts et approche proactive.............................2 1.1. Introduction ..................................................................................2 1.2. Le concept de l'audit de vulnrabilits ...............................................2 1.3. La qualit d'une solution d'audits de vulnrabilits ...............................3 1.4. Une approche proactive ..................................................................3 1.4.1. Phase de dcouverte .................................................................3 1.4.2. Phase de dtection ....................................................................3 1.4.3. Phase d'analyse des rsultats .....................................................4 1.4.4. Phase de remediation ................................................................4 2. les scanners........................................................................................4 2.1. Prsentation des scanners................................................................4 2.2. Fonctionnement des scanners .........................................................5 2.3. Qualits a rechercher dans un scanner..............................................6 3. Les outils de vulnrabilits rseau...........................................................7 3.1. MBSA............................................................................................7 3.2. GFI LANguard.................................................................................9 3.2.1. Balayage des vulnrabilits ........................................................9 3.2.2. Gestion de patches...................................................................10 3.2.3. Inspection de rseau et de logiciel..............................................11 3.3. Nessus........................................................................................12 3.3.1. Presentaion.............................................................................12 3.3.2. Composants de base...............................................................13 3.3.3. Client et serveur......................................................................13 3.3.4. Les plugins.............................................................................13 3.3.5. La base de connaissances.........................................................14

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 1 - 17

Titre du document

1.Audit de Vulnrabilits : Concepts et approche proactive

1.1. Introduction
L'audit de vulnrabilit permet d'adopter une approche automatise et exhaustive des tests de scurit. En aucun cas il remplace le test d'intrusion qui lui intervient en amont de tout projet scurit car il permet de dceler des faiblesses sur les architectures. De plus, le test d'intrusion permet galement de sensibiliser la direction aux problmatiques scurit et aide dans bien des cas obtenir des budgets pour la scurit. L'audit de vulnrabilits possde une approche plus rgulire que le test d'intrusion, il doit permettre de mesure le niveau de scurit et de contrler l'impermabilit du rseau. Dans le cas ou les rsultats ne sont pas satisfaisants, l'audit de vulnrabilits doit conduire un processus de remediation des vulnrabilits dcouvertes. En entreprise, on s'attache aujourd'hui davantage a la gestion des vulnrabilit qui contient la phase d'audit mais aussi tous les processus permettant la distribution des informations pour la remediation et le contrle rcurent des installations.

1.2.

Le concept de l'audit de vulnrabilits

Aujourd'hui, votre rseau informatique possde un niveau de scurit lev. Vos serveurs et machines sont jour, aucune vulnrabilit connue touche vos systmes, mais demain ? En effet, tous les jours de nouvelles vulnrabilits sont dcouvertes. Ces failles peuvent toucher les systmes d'exploitation ou services que vous possdez au sein de votre infrastructure. Comment tre alert au plus tt de la prsence d'une vulnrabilit qui affecte vos quipements ? Cette problmatique trouve sa rponse dans les audits de vulnrabilits rcurrents et l'adoption d'une dmarche proactive. Pourquoi attendre que votre service de veille vous avertisse de la sortie d'une nouvelle faille alors que vous pourriez, a peine quelques heures aprs sa dcouverte, en tester la prsence relle sur vos machines et dtecter instantanment si vous tes vulnrable ou non ? De nombreuses solutions d'audits de vulnrabilits automatiss existent. Les technologies ont beaucoup volue et il est dsormais possible de dtecter avec une grande prcision les vulnrabilits connues. L'audit automatis et rcurrent permet d'adopter une dmarche proactive dans la gestion des vulnrabilits qui peuvent toucher vos rseaux. Pour garantir dans le temps un niveau de scurit lev, il est impratif de tester de manire rcurrente et rapproche l'ensemble des lments critiques qui constituent votre infrastructure.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 2 - 17

Titre du document

1.3.

La qualit d'une solution d'audits de vulnrabilits

La qualit d'une solution d'audits de vulnrabilits rside dans plusieurs facteurs: La taille et la frquence de mise jour de la base de connaissances. La prcision de la dtection des vulnrabilits notamment face aux problmatique des faux positifs ou faux ngatifs. La capacit de la solution extraire des rapports dtaills et exploitables pour des techniciens ou une direction informatique. La capacit de la solution s'adapter l'entreprise notamment face aux problmatiques de centralisation de la gestion de la solution et aux problmatiques d'entreprises multi-sites.

1.4.

Une approche proactive

Une dmarche proactive dans la gestion des vulnrabilits est la cl du maintien d'un niveau de scurit lev sur vos systmes. Il faut aller au devant des vulnrabilits et les traiter le plus rapidement possible avant un incident. Un audit de vulnrabilits se droule gnralement en quatre phases. Ces phases sont les piliers de la dmarche proactive de gestion de vulnrabilits.

1.4.1.

Phase de dcouverte

La premire phase d'un audit de vulnrabilits est la dcouverte des machines auditer. Il faut connatre avec prcision son primtre rseau aussi bien interne que externe. Certaines solutions offrent des fonctionnalits de mapping qui permet d'effectuer un inventaire du parc interne ou externe et de choisir les machines tester. videmment les machines dites "sensibles" sont les premires auditer mais il ne faut pas nanmoins ngliger les autre y compris les stations de travail qui, nous l'avons vu avec l'arriver de vers comme "sasser" ou "blaster", sont des cibles de choix pour les dveloppeurs de virus.

1.4.2.

Phase de dtection

La phase de dtection ou "Assessment" correspond la dtection des vulnrabilits prsentes sur les machines testes. Cette phase doit tre opre de manire rcurrente et automatise. A partir de la base de connaissance de la solution d'audits, celle-ci va dterminer les vulnrabilits prsentes sur une ou plusieurs machines ou lments actifs. En fonction de la solution utilise, cette phase peut tre plus ou moins intrusive. Certains diteurs de solutions d'audit de vulnrabilits

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 3 - 17

Titre du document adoptent une politique "non intrusive" afin de pouvoir tester sans risques des serveurs en production.

1.4.3.

Phase d'analyse des rsultats

Cette phase correspond l'exploitation des rsultats de la phase de test. La solution d'audits de vulnrabilits doit tre mme de fournir un reporting prcis pour les quipes techniques, dtaillant les problmes rencontrs, l'impact sur les machines et les solutions pour corriger les failles. Certains solutions offrent galement des rapport dits "Executive" qui n'tant pas techniques, s'adressent plus une direction informatique faisant un tat des lieux du niveau de scurit global du systme informatique et fournis galement des rapports d'analyse de tendance sur une priode donne. Cela permet en outre aux directions de visualiser l'efficacit de leurs quipes scurit et de pouvoir visualiser leurs retours sur investissements dans le domaine de la protection de l'infrastructure informatique de l'entreprise.

1.4.4.

Phase de remediation

Cette dernire phase a pour but de grer au mieux les interventions qui font suite aux dcouvertes. Certaines solutions d'audits de vulnrabilits fournissent une plateforme d'attribution de ticket lors de la dcouverte d'une vulnrabilit. Le ticket adress un technicien lui permet de mettre en place une action curative et de tracer les vnements de remediation. Le processus de remediation doit tre l'aboutissement d'un audit de vulnrabilits.

2.les scanners
2.1. Prsentation des scanners

L'objectif avou d'un scanner est de rpondre correctement aux annonces de vulnrabilits qui se dveloppent de faon vertigineuse. Avec l'augmentation constante Des rseaux distants ou d'entreprise, de la demande de plus en plus croissante de services d'accs distant et la multiplication des systmes d'exploitations et de leurs fonctionnalits toujours plus nombreuses, il n'a jamais t aussi difficile de tout surveiller et de tout matriser au niveau de la scurit Pour aider l'entreprise dans cette lutte contre les failles de scurit, il existe de nombreux outils dont les Scanners, qui sont les outils permettant la dtection et d'valuation de la vulnrabilit. Il en existe de nombreuses versions, commerciales ou open source. De formes et de dimensions variables et donnant des rsultats diffrents

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 4 - 17

Titre du document

2.2.

Fonctionnement des scanners

La vulnrabilit rseau, et notamment celle des OS, se dclinent sous de nombreuses formes. Nanmoins en peut tout de mme les regrouper dans deux catgories principales Qui sont -les points d'exposition locaux -les points d'exposition distants Concernant les points distants, l'administrateur bnficie des diffrentes mthodes permettant d'automatiser l'valuation de la vulnrabilit. L'une d'elle ncessite un outil d'exploration des ports comme NMAP (cela renvoie une liste de ports ainsi qu'un type d'OS). L'inconvnient est que m'Administrateur se retrouve noy sous un flot de donnes. Cela ne peut gure convenir a une utilisation sur des grands rseaux d'entreprise Car sous le nombre d'informations, il reste encore a dfinir des informations telle que de savoir ce qui coute aux ports concerns, la version du dit service et il reste ensuite a recouper toutes ces donnes par rapport aux failles de scurits connues. Ce qui devient long et fastidieux. Si a cette ide de recherche de port et d'OS on ajoute un mcanisme d'indentification de Type/service tant a l'coute sur un port X, on obtiendrait dj une analyse beaucoup plus fine du systme. Si on complte cette mthode d'analyse par une comparaison avec les listes de failles connues en fonction des paramtres prcdent, on commence dj avoir une ide des trous de scurit des OS du rseau Une fois toutes ces donnes compiles, on obtient un scanner rseau. La majorit des scanners rapportent les donnes de vulnrabilits, un mcanisme d'valuation ainsi qu'un mcanisme de rapport. Il est noter qu'il existe des mthodes plus performantes pour dcouvrir des vulnrabilits. Notamment en crant des logiciels qui en plus de tester les services et les ports, tentent aussi d'exploiter ces failles pour les vrifier. Si cette mthode donne indniablement plus de rsultats, elle a aussi pour elle le dsavantage de faire planter certains systmes et services, ce qui peut tre avec de certaines consquences

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 5 - 17

Titre du document

2.3.

Qualits a rechercher dans un scanner

A l'utilisation pralable d'un scanner il est ncessaire de dterminer aux mieux les besoins en les besoins en vulnrabilits, en terme d'OS et de parc machines. En effet certains produits seront plus particulirement adapts a l'utilisation des tel ou tel OS. Nanmoins ils doivent tous rpondre un minimum de rsultats fonctionnels

2.3.1 Exhaustivit des contrles de vulnrabilit et justesse des contrles

Les scanners dtectent toujours un maximum de vulnrabilits. Nanmoins, votre choix doit toujours porter sur un produit qui vous offrira les failles des niveaux ADMIN/ROOT

2.3.2 Etendue des contrles (Local / Distant)

Certains scanners sont plus performants que d'autres, prenez bien le temps de rechercher la encore le bon produit, car un scanner qui laisserai passer de trop grosses failles serait un handicap certain pour la justesse de votre scurit rseau

2.3.3. Gestion des mises a jour

Comme les sytmes d'exploitation, le scanner repose sur un base de dtection qui doit tre mise a jour pour dtecter les nouvelles failles reconnues et vous permettre au mieux d'intervenir pour combler les failles de scurit

2.3.4. Gestion et capacit de rapport

Quel rapport vous donne votre scanner ? Arrivez vous a interprter et a dcrypter les informations q'il vous renvoie ? Toutes ces questions doivent trouver une rponse claire Prventivement a l'achat de votre scanner. Mme le meilleur scanner du monde ne vous seras videmment d'aucune utilit si vous ne comprenez pas les rapports qu'il vous transmet.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 6 - 17

Titre du document

2.3.5. Aspect budgtaire (gestion des licences, par nud, par serveur etc.)
La c'est l'aspect financier qui va prdominer, veuillez a bien vous informer sur la faon dont est distribu le produit, car la vous pouvez vous retrouver suivant votre topologie avec une facture trs sale alors qu'un produit conurent ( pas forcment moins bon) vous vitera parfois une dpense consquente et inutile !! Il est important de prciser que a l'instar de tous les produits de scurit, les scanners N'chappent pas certain dfaut et par la mme sont incapables de trouver toutes les vulnrabilits ; ne pensez donc pas qu'un scanner seul puisse vous permettre de rgler toutes les failles de scurit. Le dfaut rcurent des scanners concerne aussi la question des mises a jour (journalire, Mensuelles, trimestrielles). Il est possible de trouver des Informations sur le Top Des failles de scurit sur le site www.sans.org/top20.htm ainsi que des outils A l'adresse www.sans.org/tools04.pdf

3.Les outils de vulnrabilits rseau

3.1. MBSA
MBSA est un outil danalyse des vulnrabilits de scurit qui vous informe de ltat dordinateurs clients et de serveurs. MBSA est compatible avec Windows NT 4.0, Windows 2000, Windows XP et Windows Server 2003 et windows 2008 . Il recherche les erreurs de configuration courantes dans le systme dexploitation, les services Internet (IIS), Microsoft SQL Server. et les applications de bureau, et peut vrifier les mises jour de scurit manquantes pour Windows, les services IIS, SQL Server et Microsoft Exchange Server. MBSA inclut une interface utilisateur graphique et un utilitaire de ligne de Commande pour lexcution de scripts et lautomatisation. MBSA peut analyser des ordinateurs uniques, une plage dadresses IP ou tout un domaine ou groupe de travail. Les rsultats de ces analyses peuvent tre enregistrs dans des rapports des fins dvaluation ou darchivage.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 7 - 17

Titre du document MBSA fournit deux mthodes pour analyser un environnement rseau et dterminer ltat des mises jour. Vous pouvez raliser une analyse laide de linterface utilisateur graphique ou utiliser un script pour automatiser lanalyse laide de linterface de ligne de commande. Par ailleurs, Windows XP et Windows Server 2003 incluent deux utilitaires, Systeminfo et WMIC, qui vous permettent de dterminer ltat des mises jour sur un ordinateur. Interface utilisateur graphique de MBSA

Linterface utilisateur graphique (voir illustration prcdente) vous permet danalyser un ou plusieurs ordinateurs. Les rsultats de lanalyse saffichent dans MBSA sous forme dun rapport et sont enregistrs dans un fichier. Linterface utilisateur graphique de MBSA est conue pour les analyses caractre unique qui ne seront pas rptes rgulirement. Vous pouvez effectuer une analyse individuelle aprs avoir dploy une mise jour critique pour vous assurer que la mise jour a t correctement installe sur les ordinateurs affects.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 8 - 17

Titre du document

Interface de ligne de commande de MBSA Linterface de ligne de commande est fournie par lutilitaire mbsacli.exe. Cet utilitaire, install en mme temps que MBSA, permet deffectuer les mmes oprations que lutilitaire graphique avec des commutateurs. Le tableau suivant rpertorie les commutateurs de mbsacli.exe les plus couramment utiliss.

3.2.

GFI LANguard

GFI LANguard Network Security Scanner (N.S.S.) est une solution maintes fois prime qui adresse les trois piliers de gestion des vulnrabilits: balayage de scurit, gestion de patches et inspection de rseau avec une seule console intgre. En balayant le rseau entier, il identifie tous les problmes de scurit possibles et en utilisant sa puissante fonctionnalit de reportage dtaill, il vous donne les outils dont vous avez besoin pour dtecter, valuer, rapporter et rectifier toutes les menaces.

Balayage des vulnrabilits Gestion de patches Inspection de matriel de rseau et de logiciel.

3.2.1.

Balayage des vulnrabilits

GFI LANguard N.S.S. vous donne la capacit deffectuer des balayages sur des plateformes multiples (Windows, Mac OS, Linux) travers tous les environnements et danalyser ltat de sant de la scurit de votre rseau partir dune seule source de donnes. Ceci assure que vous tes en mesure didentifier et de parer toutes les menaces avant que les pirates ne les dcouvrent et ne les exploitent GFI LANguard N.S.S. balaye les ordinateurs, identifie et classe les vulnrabilits par catgories de scurit, recommande une ligne de conduite par catgorie et fournit les outils qui vous permettent de rsoudre ces problmes.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 9 - 17

Titre du document

3.2.2.

Gestion de patches

Lorsquun balayage est complt, GFI LANguard N.S.S. vous donne toutes les fonctionnalits et les outils dont vous avez besoin pour efficacement installer et grer les patches sur toutes les machines installes sur des plateformes diffrentes de logiciel d'exploitation dans 38 langues. GFI LANguard permet galement le tlchargement automatique des patches manquants aussi bien que le roulement en arrire des patches. Dautres logiciels personnaliss peuvent galement tre dploys. Ceci a comme consquence un environnement uniformment configur qui est protg contre toutes sortes de vulnrabilits

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 10 - 17

Titre du document

3.2.3.

Inspection de rseau et de logiciel

La fonction daudit de GFI LANguard N.S.S. vous indique tout ce que vous devez savoir au sujet de votre rseau les dispositifs USB branchs, les logiciels installs, les parties et ports ouverts, et les mots de passe faibles en cours de service. Les rapports dtaills de cette solution vous donnent un important aperu instantan et en temps rel du statut de votre rseau. Les rsultats de balayage peuvent tre facilement analyss en utilisant des filtres et des rapports, de qui vous permet de scuriser proactivement le rseau en verrouillant les ports ouverts, en supprimant les utilisateurs ou les groupes qui ne sont plus utiliss ou en dsactivant les points daccs aux connexions sans fil.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 11 - 17

Titre du document

3.3.

Nessus
Presentaion

3.3.1.

Nessus est lun des scanner de vulnrabilits le plus populaire et le plus utilis pour auditer un rseau et dterminer les failles potentiels des stations/serveurs sur celui-ci. De plus jusqu la version 2, loutil tait totalement OpenSource sous licence GPL. La version 3 est toujours gratuite mais le code source nest plus accessible. Nessus est un projet qui dbuta en 1998, il a t cr par Renaud Deraison. Il reprsente une solution robuste pour scanner les vulnrabilits dun grand rseau dentreprise. Le fait quil soit gratuit et donc nentame pas le budget scurit d'une entreprise, en fait une solution trs populaire. Son mcanisme de "plugins" permet en plus ses utilisateurs de dvelopper leurs propres tests de vulnrabilits sans avoir prendre part au dveloppement du projet. Ces mmes plugins qui sont la base de connaissances de Nessus sur les vulnrabilits peuvent tre mis jour rapidement en profitant dune grande communaut qui maintient le projet en vie.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 12 - 17

Titre du document

3.3.2.

Composants de base

Ce qui fait de Nessus un tel outil est l'architecture unique sur laquelle il est construit. La flexibilit de l'architecture de Nessus prend en compte chaque lment du cycle de vie de scurit. De l'excution des scans de vulnrabilits sur des rseaux de grandes envergure, aux rapports sous forme de graphiques et dhyperliens qui prsentes les vulnrabilits, aux descriptions des vulnrabilits et leurs rsolutions, tous ces aspects crent la base d'un rseau sain au niveau scurit. Voici les principaux composants de Nessus : Le client et le serveur Nessus Les plugins Nessus La base de connaissances de Nessus

3.3.3.

Client et serveur

l'origine, les scanners de vulnrabilits taient tous bass sur une architecture client. Un consultant introduisait son ordinateur portable au meilleur endroit dun rseau dentreprise et lanait son scan. Un scan sur une tel quantit dadresses rseaux prend au minimum une demi-journe quelques jours, selon la largeur du rseau et le dtail des paramtres de scan. Ceci rendrait l'ordinateur portable inutilisable pour cette dure. Le projet Nessus a pris en compte cet aspect des Vulnerability Assessments ds le dbut. Pour viter ce problme et srement beaucoup d'autres, le projet Nessus a adopt un modle darchitecture sous forme de client/serveur.

3.3.4.

Les plugins

Un autre aspect de Nessus quil est le seul proposer parmi les scanners de vulnrabilits est son langage de scripting (NASL : Nessus Attack Scripting Language). NASL offre un moyen de crer ses propres plugins de dtection de vulnrabilits. Lavantage est que chacun peut apporter sa propre expertise de scurit. On peut ainsi imaginer un rseau utilisant des protocoles ou services unique pour lesquels on pourra dvelopper des plugins spcifiques. NASL ressemble beaucoup au langage C. Il a t spcifiquement conu avec la scurit l'esprit, car il communiquera seulement avec lhte qui est pass comme argument. Il n'excutera pas non plus de commande locale. Avec cet "sandbox" autour de l'interface de NASL, il est peu probable qu'un faux plugin effectue des oprations illgales. NASL est

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 13 - 17

Titre du document galement construit pour communiquer des informations entre-eux. Ceci est ralis par l'utilisation de la "base de connaissances".

3.3.5.

La base de connaissances

La base de connaissances permet aux plugins rcents denrichir les donnes collectes par des plugins plus anciens. Si on considre un plugin qui test l'existence d'un serveur web, et, si il est trouv, lance des tentatives pour discerner quel serveur HTTP fonctionne rellement. Le plugin a la capacit de placer une valeur dans une variable de la base de connaissances de Nessus pour ce serveur. Si on prend un exemple spcifique, notre script NASL trouve la version dApache qui fonctionne sur le serveur Web distant. Le plugin place alors la variable "WWW/banner/80" par exemple "/2.0.54 (Unix) PHP/4.3.4 mod_ssl/2.8.16 OpenSSL Apache/0.9.7a" Ceci permet un plugin sous adjacent au prcdent de rcuprer la valeur de la variable "WWW/banner/80". Il va ainsi pouvoir dterminer que le serveur utilise "OpenSSL/0.9.7a", et peut signaler que cette version du serveur est vulnrable, car c'est une version prime d'OpenSSL. De cette faon, chaque information remonte par des plugins peut tre utilise par dautres en cascades pour rentrer dans un niveau suprieur de dtection de vulnrabilits. Renaud Deraison suggre que les auteurs de plugins emploient la base de connaissances autant que possible. Ceci servira tendre les possibilits de Nessus et acclrer l'excution des futures plugins qui pourrons rechercher dans la base de connaissances des informations dj rcupres

Note dattention particulire.

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 14 - 17

Titre du document

Pour approfondir le sujet.

Proposition de rfrences utiles permettant dapprofondir le thme abord

Sources de rfrence
Citer les auteurs et les sources de rfrence utilises pour llaboration du support

OFPPT @

Document
91670173.doc

Millsime
novembre 07

Page 15 - 17