LANguard Network Security Scanner Manual

Transcription

GFI LANguard Network Security Scanner 6
Manuel
Par GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfsfrance.com
Email : [email protected]
Les informations contenues dans ce document peuvent être modifiées
sans préavis. Les entreprises, les noms et les données utilisés ciaprès, à titre d’exemple, sont fictifs à moins d’une notification
contraire. Ce document, même partiellement, ne peut être reproduit
ou transmis, sous quelque forme ou quelque moyen que ce soit,
électronique ou mécanique, et quel qu’en soit l’objet, sans
l’autorisation expresse et écrite de GFI Software Ltd.
LANguard est un copyright de GFI Software Ltd.
SOFTWARE Ltd. Tous droits réservés.
Version 6.0 – Dernière mise à jour 03/02/2005
2000-2004 GFI
Table des matières
Introduction
5
Introduction à GFI LANguard Network Security Scanner .............................................. 5
Importance de la Sécurité de Réseau Interne ............................................................... 5
Fonctions clés ................................................................................................................ 6
Composants de GFI LANguard N.S.S. .......................................................................... 7
Système de licences ...................................................................................................... 7
Installation de GFI LANguard Network Security Scanner
9
Système requis .............................................................................................................. 9
Processus d’installation ................................................................................................. 9
Saisir votre clé de licence après l’installation .............................................................. 11
Pour commencer : Effectuer un audit
13
Introduction aux audits de sécurité .............................................................................. 13
Balayage ...................................................................................................................... 13
Analyse des résultats de scan ..................................................................................... 15
Adresse IP, Nom du poste, Système d’Exploitation et Niveau
du Service Pack .............................................................................................. 15
Nœud de vulnérabilités ................................................................................... 15
Noeud de vulnérabilités éventuelles ............................................................... 17
Partages.......................................................................................................... 17
Stratégie de mot de passe .............................................................................. 18
Registre........................................................................................................... 18
Stratégie de sécurisation d’audit..................................................................... 19
Ports ouverts ................................................................................................... 20
Utilisateurs & Groupes d’utilisateurs............................................................... 21
Utilisateurs Connectés .................................................................................... 21
Services .......................................................................................................... 22
System Patching status .................................................................................. 22
Network Devices ............................................................................................. 23
Périphériques USB ......................................................................................... 23
Autres résultats ............................................................................................................ 25
Ordinateur ....................................................................................................... 25
Balayages sur place et en-dehors du site.................................................................... 25
Balayage sur place (on site scan)................................................................... 26
Balayage à distance (off site scan) ................................................................. 26
Comparaison des balayages sur place et de l’extérieur ................................. 26
Enregistrement et chargement des résultats de balayage
29
Introduction .................................................................................................................. 29
Enregistrement des résultats de balayage sur un fichier externe................................ 29
Chargement des résultats de scan enregistrés ........................................................... 29
Chargement des résultats de scan enregistrés à partir d’une
base de données ............................................................................................ 29
Chargement des scans enregistrés à partir d’un fichier
externe ............................................................................................................ 30
Résultats du scan de filtrage
31
Table des matières • i
Introduction .................................................................................................................. 31
Sélectionner la source des résultats de balayage ....................................................... 32
Création d’un filtre de balayage personnalisé.............................................................. 32
Configuration de GFI LANguard N.S.S.
37
Introduction à la configuration de GFI LANguard N.S.S. ............................................. 37
Profils de balayage....................................................................................................... 37
Scanned TCP/UDP ports ............................................................................................. 38
Comment ajouter/éditer/supprimer des ports ................................................. 38
Scanned OS data......................................................................................................... 39
Scanned Vulnerabilities ............................................................................................... 40
Types de vulnérabilités ................................................................................... 40
Téléchargement des dernières vulnérabilités de sécurité .............................. 41
Scanned Patches ......................................................................................................... 41
Options de balayage .................................................................................................... 42
Méthodes de découverte de réseau ............................................................... 43
Périphériques ............................................................................................................... 45
Network Devices ............................................................................................. 45
Périphériques USB ......................................................................................... 46
Balayages programmés ............................................................................................... 48
Fichiers paramètres ..................................................................................................... 50
Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes ....................... 51
Déploiement de patch
53
Introduction au déploiement de patch.......................................................................... 53
L’agent de déploiement de patch.................................................................... 53
Etape 1 : Effectuez un balayage de votre réseau........................................................ 53
Etape 2 : Sélectionnez les machines sur lesquelles vous voulez
déployer les patches .................................................................................................... 54
Etape 3 : Sélectionnez quels patches déployer........................................................... 55
Etape 4 : Téléchargez les fichiers de patch et service pack........................................ 56
Téléchargement des patches.......................................................................... 57
Etape 5 : Paramètres de déploiement de fichier de patch........................................... 57
Etape 6 : Déployez les mises à jour............................................................................. 58
Déploiement de logiciel personnalisé .......................................................................... 59
Etape 1 : Sélection des machines sur lesquelles il faut
installer le logiciel/patches .............................................................................. 60
Etape 2 : Précisez logiciel à déployer............................................................. 60
Etape 3 : Commencez le déploiement............................................................ 61
Options de déploiement ............................................................................................... 62
Général ........................................................................................................... 62
Avancées ........................................................................................................ 63
Répertoire de téléchargement ........................................................................ 63
Comparaison des résultats
65
Pourquoi comparer les résultats ? ............................................................................... 65
Effectuer une comparaison de résultats de scan interactive ....................................... 65
Effectuer une Comparaison avec l’option de balayages programmés ........................ 66
GFI LANguard N.S.S. Status Monitor
67
Visualisation des opérations programmées................................................................. 67
Scan programmé actif..................................................................................... 67
Déploiements programmés............................................................................. 68
Options de maintenance de la base de données
71
Introduction .................................................................................................................. 71
Changement de base de données............................................................................... 71
Table des matières • ii
MS Access ...................................................................................................... 71
Serveur MS SQL ............................................................................................. 72
Gestion des résultats de scan enregistrés................................................................... 73
Options avancées ........................................................................................................ 73
Outils
75
Introduction .................................................................................................................. 75
DNS lookup .................................................................................................................. 75
Trace Route ................................................................................................................. 76
Whois Client ................................................................................................................. 77
SNMP Walk (chemin SNMP) ....................................................................................... 77
SNMP Audit.................................................................................................................. 78
MS SQL Server Audit................................................................................................... 78
Enumération des Ordinateurs. ..................................................................................... 79
Lancement d’un scan de sécurité ................................................................... 79
Déploiement de patches personnalisés.......................................................... 80
Activation des Stratégies d’Audit .................................................................... 80
Enumération des Utilisateurs ....................................................................................... 80
Ajout de vérifications de vulnérabilités par conditions ou scripts
81
Introduction .................................................................................................................. 81
GFI LANguard N.S.S. langage VBscript ...................................................................... 81
Module GFI LANguard N.S.S. SSH ............................................................................. 81
Mots clés : ....................................................................................................... 82
Ajout de vérification de vulnérabilité qui utilise un script vbs
personnalisé................................................................................................................. 85
Etape 1 : Créer le script .................................................................................. 85
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité : .......................... 86
Ajout de vérification de vulnérabilité qui utilise un script SSH
personnalisé................................................................................................................. 87
Etape 1 : Créer le script .................................................................................. 87
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité : .......................... 88
Ajout d’une vérification de vulnérabilité CGI ................................................................ 89
Ajout d’autres vérifications de vulnérabilités................................................................ 90
Troubleshooting
95
Introduction .................................................................................................................. 95
Base de connaissance................................................................................................. 95
Questions fréquemment posées .................................................................................. 95
Demande de support via email .................................................................................... 95
Demande de support par l’intermédiaire du web chat ................................................. 96
Demande de support par téléphone ............................................................................ 96
Forum Internet.............................................................................................................. 96
Notifications de révisions ............................................................................................. 96
Index
99
Table des matières • iii
Introduction
Introduction à GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) est
un utilitaire qui permet aux administrateurs de réseau d’effectuer un
audit de sécurité facilement et rapidement. GFl LANguard N.S.S. crée
également des rapports pouvant être utilisés pour résoudre des
problèmes de sécurité sur un réseau. Il peut aussi effectuer un
management de patch.
Contrairement à d’autres scanners de sécurité, GFI LANguard N.S.S.
ne crée pas de « barrage d’informations », sur lequel il est
pratiquement impossible d’assurer un suivi. Mais il aide à mettre en
évidence les informations les plus importantes. Il offre également des
liens hypertextes vers divers sites de sécurité permettant d’en savoir
plus sur ces failles.
Grâce à son scan intelligent, GFI LANguard N.S.S. rassemble les
informations sur les machines telles que les noms des utilisateurs, les
groupes, partages de réseau, périphériques USB, périphériques sans
fil et autres informations trouvées sur un Domaine Windows.
En outre, GFI LANguard N.S.S. identifie également des vulnérabilités
spécifiques telles que des problèmes de configuration sur les serveurs
FTP, les exploits des serveurs web Apache et Microsoft IIS, ou les
problèmes de configuration de la stratégie de sécurité Windows, plus
un certain nombre d’autres problèmes éventuels.
Importance de la Sécurité de Réseau Interne
La sécurité de réseau interne est assez souvent sous-estimée par les
administrateurs. Très souvent, elle n’existe même pas, ce qui permet
à un utilisateur d’accéder facilement à l’ordinateur d’un autre, grâce à
des exploits bien connus, une relation de confiance et des paramètres
par défaut. La plupart de ces attaques ne nécessitent que peu ou pas
de connaissances spécifiques, ce qui met en danger l’intégrité d’un
réseau.
La plupart des employés n’ont pas besoin et ne devraient pas avoir
accès aux machines, fonctions administratives, périphériques etc des
autres utilisateurs. Cependant, à cause de la flexibilité nécessaire à
des activités normales, les réseaux internes ne peuvent pas se
permettre une sécurité maximale. D’un autre côté, sans aucune
mesure de sécurité, les utilisateurs internes peuvent constituer une
menace importante pour les réseaux internes de beaucoup
d’entreprises.
Les utilisateurs de l’entreprise ont déjà accès à de nombreuses
ressources internes et n’ont pas besoin d’éviter les pare-feux ou
Introduction • 5
autres mécanismes de sécurité qui empêchent les sources inconnues,
comme les utilisateurs Internet, d’accéder au réseau interne. De tels
utilisateurs internes, qui ont des connaissances en matière de
piratage, peuvent facilement pénétrer et s’octroyer des droits
d’administrateur de réseau tout en s’assurant que leurs activités
soient difficiles à identifier ou à détecter.
En effet, 80 % des attaques de réseau proviennent de l’intérieur du
pare-feu (ComputerWorld, Janvier 2002).
Un niveau faible de sécurité de réseau signifie également que si un
pirate externe pénètre un ordinateur de votre réseau, il peut accéder
au reste du réseau plus facilement. Cela permettrait à un pirate
avancé de lire et de communiquer à autrui des emails et documents
confidentiels, de détruire des ordinateurs, provoquant une perte
d’informations, etc... Il pourra également utiliser votre réseau et vos
ressources pour attaquer d’autres sites, qui se tourneront vers vous et
votre société une fois l’attaque découverte.
La plupart des attaques, comparées aux exploits connus, pourraient
être réparées facilement, et par conséquent être arrêtées par les
administrateurs si pour commencer ils étaient au courant de cette
vulnérabilité.
Le rôle de GFI LANguard N.S.S. est d’aider les
administrateurs à identifier ces vulnérabilités.
Fonctions clés
6 • Introduction
•
Recherche de services non autorisés
ouverts
•
Détection de vulnérabilités connues telles que CGI, DNS, FTP,
Message, RPC entre autres
•
Détection des périphériques sans fil
•
Détection des utilisateurs non autorisés
•
Détection des partages ouverts et liste de ceux qui y ont accès
ainsi que leurs permissions
•
Enumération des groupes, dont leurs membres
•
Enumération des utilisateurs, services, etc…
•
Enumération des périphériques USB
•
Enumération des périphériques de réseau et identification de leur
type (connecté, sans fil, virtuel)
•
Balayages programmés
•
Mise à jour automatique des vérifications sécuritaires de
vulnérabilités
•
Détection des hot fixes et des services packs manquants dans le
système d’exploitation
•
Détection des hots fixes et des services packs manquants dans
les applications supportées
•
Sauvegarde et chargement des resultants des scans
•
Comparaison des balayages,
nouveaux points d’entrée
pour
et ports TCP et UDP
découvrir
d’éventuels
•
Possibilité de patcher le Système d’Exploitation (Systèmes
Windows Anglais) & les applications d’Office (Anglais, Français,
Allemand, Italien, Espagnol)
•
Identification du système d’exploitation
•
Détection de l’hôte actif
•
Base de données, sortie HTML, XSL et XML
•
Audit SNMP & MS SQL
•
Language d’inscription compatible avec VBscript
personnaliser les vérifications des vulnérabilités
•
Module SSH qui permet l’exécution des scripts de sécurité sur les
machines Linux/Unix
•
Balayage simultané de plusieurs ordinateurs.
afin
de
Composants de GFI LANguard N.S.S.
GFI LANguard N.S.S. est conçu sur une architecture d’entreprise et
est composé de :
GFI LANguard Network Security Scanner
Il s’agit de l’interface principale du produit. Vous pouvez utiliser cette
application pour scanner les résultats en temps réel, configurer les
options de balayage, les profils de balayages, les rapports de filtres,
ainsi que les outils administratifs et bien plus encore.
GFI LANguard N.S.S. attendant service
Ce service conduit des balayages de réseau ainsi que des
déploiements de patch programmés. Il fonctionne en arrière plan.
GFI LANguard N.S.S. service agent de Patch
Ce service est déployé sur les postes sur lesquels un patch, un
service pack ou un logiciel doit être déployé et prend en charge
l’installation même du patch, du service pack ou du logiciel.
GFI LANguard N.S.S. Débuggeur de script
Vous pouvez utiliser ce module pour écrire/débugger des scripts que
vous avez créés.
GFI LANguard N.S.S. Monitor
Ce module sert à surveiller l’état des scans programmés et les
déploiements des mises à jour de logiciel actuelles. Vous pouvez
aussi intérrompre les opérations programmées qui n’ont pas encore
été executées.
Système de licences
Le système de licences de GFI LANguard N.S.S. fonctionne pour le
nombre de postes et de périphériques que vous désirez. Par exemple,
la licence 100 adresses IP vous permet de scanner jusqu’à 100
postes ou périphériques à partir d’une seule station de travail/serveur
de votre réseau.
Introduction • 7
Installation de GFI LANguard Network
Security Scanner
Système requis
L’installation de GFI LANguard Network Security Scanner nécessite :
•
Windows 2000/2003 ou Windows XP
•
Internet Explorer 5.1 ou supérieur
•
Installation de Client pour Microsoft Networks
•
AUCUN logiciel de Personal Firewall NI Windows XP Internet
Connection Firewall ne peuvent être lancés lors de balayages. Ils
peuvent bloquer les fonctionnalités de GFI LANguard N.S.S.
REMARQUE : Les détails de la configuratiuon des stratégies de
votre Active Directory pour une compatibilité avec les scans de/à
partir d’ordinateurs Windows XP Service Pack 2 se trouvent sur
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
•
Afin de déployer des patches sur un poste isolé vous devez
bénéficier des privilèges d’administrateur.
Processus d’installation
1. Exécutez le programme d’installation de LANguard Network
Security Scanner en double cliquant sur le fichier languardnss6.exe.
Confirmez que vous désirez installer GFI LANguard N.S.S. .
L’assistant d’installation apparaîtra. Cliquez sur Next.
2. Après avoir lu la boîte de dialogue de l’accord de licence, cliquez
sur Yes pour accepter l’accord et continuer l’installation.
3. Le programme d’installation
d’utilisateur et une clef de licence.
vous
demandera
vos
détails
Installation de GFI LANguard Network Security Scanner • 9
Précisez les coordonnées d’administrateur de domaine ou utilisez le compte local du système
4. Le programme d’installation vous demandera d’entrer vos
coordonnées d’administrateur de domaine qui sont utilisées par le
LANguard N.S.S Attendant service (qui lance des balayages
programmés). Entrez les coordonnées nécessaires et cliquez Next.
Choisir la base de données d’arrière plan
5. Le programme d’installation vous demandera de choisir la base de
données d’arrière plan pour la base de données de GFI LANguard
N.S.S.. Choisissez entre Microsoft Access ou Microsoft SQL
Server\MSDE et cliquez sur Next.
REMARQUE : SQL Server/MSDE doit être installé en mode mixte ou
en mode d’autentification de serveur SQL. Le mode d’authentification
NT seul n’est pas supporté.
10 • Installation de GFI LANguard Network Security Scanner
6. Si vous choisissez Microsoft SQL Server/MSDE comme base de
données d’arrière plan, on vous demandera les coordonnées de SQL
afin de pouvoir avoir accès à la base de données. Cliquez sur Next
pour continuer.
7. Le programme d’installation vous demandera votre adresse email
d’administrateur et votre nom de serveur de messagerie. Ces
données seront utilisées pour envoyer des alertes administratives.
8. Choisissez l’emplacement cible pour GFI LANguard N.S.S. et
cliquez sur Next. GFI LANguard N.S.S. nécessite environ de 40 Mo
d’espace disque.
9. Après l’installation de GFI LANguard N.S.S., il est possible
d’exécuter GFI LANguard Network Security Scanner à partir du menu
Démarrer.
Saisir votre clé de licence après l’installation
Si vous avez acheté GFI LANguard N.S.S., vous pouvez saisir votre
clé de licence dans le nœud General > Licensing.
Si vous évaluez GFI LANguard N.S.S., celui-ci expirera
automatiquement après 60 jours (avec la clé de licence). Si vous
décidez d’acheter GFI LANguard N.S.S., il vous suffira de saisir la clé
de licence ici sans recommencer l’installation.
Vous devez obtenir une licence GFI LANguard N.S.S. pour chaque
poste de travail que vous désirez scanner, et pour chacun des postes
sur lesquels vous voulez l’exécuter. Si vous avez 3 administrateurs
qui utilisent GFI LANguard N.S.S., vous devez alors acheter 3
licences.
Il ne faut pas confondre la saisie de la clé de licence avec le
processus d’enregistrement des coordonnées de votre société sur
notre site web. Ces dernières sont importantes, puisqu’elles nous
permettent de vous offrir un système de support et de vous avertir de
l’arrivée de nouvelles importantes concernant les produits. Inscrivezvous sur :
http://www.gfsfrance.com/pages/regfrm.htm
Remarque : Pour acheter GFI LANguard N.S.S., allez sur le noeud
General > How to purchase.
Installation de GFI LANguard Network Security Scanner • 11
Pour commencer : Effectuer un audit
Introduction aux audits de sécurité
Un audit des ressources de réseau permet à l’administrateur
d’identifier les risques éventuels au sein d’un réseau. Cette opération,
effectuée manuellement, prend beaucoup de temps, à cause des
procédures et tâches répétitives devant être appliquées à chaque
machine du réseau. GFI LANguard N.S.S. automatise le processus
d’audit de sécurisation & identifie facilement les vulnérabilités
courantes de votre réseau même, très rapidement.
Remarque : Si votre société exécute un système de détection
d’intrusion (IDS), alors LANguard Network Security Scanner
déclenchera presque toutes ses alarmes. Si vous nêtes pas chargé
du système IDS, assurez-vous que l’administrateur de cette boîte/ces
boîtes soit au courant du balayage qui va avoir lieu.
En plus de ces alertes de logiciel IDS, sachez que la plupart des
balayages apparaîtront dans les fichiers journaux unilatéraux. Les
journaux Unix, les serveurs Web, etc. afficheront l’action du poste de
travail qui aura excécuté LANguard Network Security Scanner. Si
vous n’êtes pas le seul administrateur sur votre site, assurez-vous que
les autres soient au courant du balayage que vous allez effectuer.
Balayage
La première étape d’un audit de réseau est d’effectuer un balayage
des machines et des périphériques de réseau actuels.
Pour lancer un nouveau balayage de réseau :
1. Cliquez sur File > New.
2. Sélectionnez ce
sélectionner :
que
vous
voulez
balayer.
Vous
pouvez
a. Balayage d’un poste de travail – Un seul ordinateur sera
balayé.
b. Balayage de plusieurs postes de travail – Une gamme d’
adresses IP précises seront balayées.
c. Balayage d’une liste d’ordinateurs – Une liste
personnalisée d’ordinateurs sera balayée. Des postes de
travail peuvent être ajoutés à la liste en les sélectionnant à
partir d’une liste des ordinateurs, en les saisissant les uns
après les autres, ou en les important d’un fichier texte.
d. Balayage d’un domaine – un domaine windows entier sera
balayé.
Pour commencer : Effectuer un audit • 13
e. Balayage des favoris – la liste des machines favories que
vous avez spécifiées sera scannée (grâce au bouton
« Ajouter aux favoris »).
3. Selon ce que vous désirez scanner saisissez le début et la fin du
balayage du réseau.
4. Sélectionnez Start Scan.
Balayage
LANguard Network Security Scanner va maintenant procéder au
balayage. Il commence par détecter quels hôtes/ordinateurs sont
allumés, et ne balaye que ceux-ci. Ceci est effectué grâce aux
vérifications NETBIOS, ping ICMP et interrogations SNMP.
Si un périphérique ne répond à aucun, GFI LANguard N.S.S.
suppose, pour le moment, que le périphérique soit n’existe pas à cette
address IP soit est actuellement éteint.
Remarque : Si vous voulez imposer un balayage sur un Ips qui ne
répond pas, référez-vous au chapître « Configuration des options de
balayage » pour obtenir plus d’informations sur le meilleur moyen de
le configurer.
14 • Pour commencer : Effectuer un audit
Analyse des résultats de scan
Analyse des résultats
Suite au balayage, des noeuds apparaissent pour chaque machine
trouvée par GFI LANguard N.S.S. Le panneau de gauche fera
apparaître toutes les machines et les périphériques de réseau.
L’agrandissement de l’un de ces noeuds fait apparaître la liste d’une
série de nœuds et les informations trouvées pour cette machine ou ce
périphérique de réseau. Cliquez sur un noeud particulier et les
informations scannées apparaîtront sur le panneau de droite.
GFI LANguard N.S.S. trouve tout périphérique de réseau actuellement
allumé lors d’un sonde de réseau. Selon le type de périphérique et
selon le type de requêtes auquel celui-ci répond, on détermine avec
quelle facilité GFI LANguard N.S.S. l’identifie et quelles informations il
extrait.
Une fois le balayage du poste de travail/périphérique/réseau de GFI
LANguard N.S.S. fini, les informations suivantes apparaîtront :
Adresse IP, Nom du poste, Système d’Exploitation et
Niveau du Service Pack
L’adresse IP du poste/périphérique apparaîtra. Ensuite, viendra le
nom NetBIOS DNS, selon le type de périphérique. GFI LANguard
N.S.S. rapportera que le système d’exploitation fonctionne sur le
périphérique et s’il s’agit de Windows NT/2000/XP/2003, il montrera le
niveau du pack de service.
Nœud de vulnérabilités
Le noeud de vulnérabilités affiche les problèmes de sécurité détectés
et vous explique comment les résoudre.
Ces menaces peuvent
inclure des patches et des services packs manquants, des problèmes
HTTP, des alertes NetBIOS, des problèmes de configuration etc…
Les vulnérabilités sont divisées en sections :
service packs
manquants, patches manquants, vulnérabilités critiques, vulnérabilités
moyennes et vulnérabilités faibles.
Sous chaque section Critique/ Moyenne/ Faible des vulnérabilités,
vous pouvez trouver de plus amples sous catégories du problème
détecté en utilisant le groupement suivant : Abus CGI, Vulnérabilités
FTP, Vulnérabilités DNS, Vulnérabilités de messagerie, Vulnérabilités
RPC, Vulnérabilités de Service, Vulnérabilités de Registre et Autres
Vulnérabilités.
Une fois le scan complété et les diverses vulnérabilités listées, double
cliquez (ou cliquez droit > Plus de détails….) la vulnérabilité rapportée
pour que les propriétés apparaissent. A travers cette boîte de
dialogue, vous serez en mesure de vérifier instantanément les
conditions rapportées de cette vulnérabilité et les informations d’accès
telles qu’une longue description de cette vulnérabilité qui n’apparaît
pas dans la troncature des résultats.
Les informations suivantes sont disponibles dans la fenêtre des
propriétés :
•
Nom :
•
Brève description
•
Niveau de sécurité
•
URL
•
Durée de la vérification
•
Vérifications (afin de déterminer si la machine cible est
vulnérable face à cette vérification)
•
Longue description.
Patches manquants GFI LANguard N.S.S. recherche les patches
manquants en comparant les patches installés à ceux qui sont
disponibles pour un produit particulier. Si plusieurs patches manquent
sur un ordinateur, un écran semblable à celui ci-dessous devrait
apparaître :
Tout d’abord il vous dit à quel produit le patch se rapporte. Si vous
l’agrandissez, il vous signalera le patch précis manquant et vous
donnera un lien à suivre pour le télécharger.
CGI Abuses décrit les problèmes liés à Apache, Netscape, IIS et
autres serveurs web.
Vulnérabilités FTP, Vulnérabilités DNS, Vulnérabilités de
messagerie, Vulnérabilités RPC, et Autres Vulnérabilités
fournissent des liens vers Bugtraq ou autres sites web de sécurité
pour que vous puissiez rechercher davantage d’informations
concernant le problème trouvé par GFI LANguard N.S.S.
Le service de vulnérabilités peut dénoter un certain nombre de
choses. Elles peuvent aller des services exécutés sur le périphérique
en question aux comptes définis sur une machine et qui n’ont jamais
été utilisés.
Les vulnérabilités de Registre couvrent les informations extraites
d’une machine Windows lorsque GFI LANguard N.S.S. effectue son
premier balayage. Il offre un lien vers le site Microsoft ou autres sites
web de sécurité expliquant pourquoi ces paramètres de base de
registre devraient être changés.
Informations de vulnérabilités sont des alertes ajoutées à la base
de données qui dénotent des questions assez importantes pour être
notifiées aux administrateurs, mais qui ne sont pas forcément
nuisibles lorsque ouvertes.
Noeud de vulnérabilités éventuelles
Le noeud de vulnérabilités éventuelles expose des problèmes de
sécurisation éventuels, des informations importantes, ainsi que
certaines vérifications qui n’ont pas fait rapport de vunérabililté. Par
exemple, si vous n'arrivez pas à determiner qu'un patch précis est
installé, il sera alors listé dans le noeud des patches Non-détectables.
Ces éventuelles vulnérabilités doivent faire l’object d’une révision par
l’administrateur.
Noeud de vulnérabilités éventuelles
Partages
Le noeud de dossiers partagés liste tous les dossiers partagés de
l'ordinateur et ceux qui y ont accès. Tous les dossiers partagés de
réseau doivent être correctement sécurisés. Les administrateurs
doivent vérifier que :
1. Aucun utilisateur ne partage l’intégralité de son lecteur avec
d’autres utilisateurs..
2. L’accès anonyme ou non identifié aux dossiers partagés soit
interdit.
3. Les dossiers de démarrage ou fichiers de système semblables ne
soient pas partagés. Ceci permettrait aux utilisateurs ayant moins
de privilèges d’exécuter du code sur les machines cibles.
Les points ci-dessus sont très importants pour toutes les machines,
mais en particulier pour les machines cruciales à l’intégrité du
système, telles que le contrôleur de domaine public (PDC). Imaginez
un administrateur partageant le dossier de démarrage (ou un dossier
contenant le dossier de démarrage) sur le PDC vers tous les
utilisateurs.
Avec les permissions appropriées, les utilisateurs
peuvent alors facilement copier des exécutables dans le dossier de
démarrage, qui sera exécuté lors de la prochaine connexion de
l’administrateur.
Remarque : Si vous exécutez le balayage en tant qu’administrateur,
vous pourrez également visualiser les partages administratifs, par
exemple « C$ - default share ». Ces partages ne seront pas
accessibles aux utilisateurs normaux.
Dû à la présence de Klez et autres virus qui se répandent rapidement
grâce à des partages ouverts, il est conseillé d’arrêter tous les
partages non requis, et tous les partages requis devraient avoir un
mot de passe.
REMARQUE : Vous pouvez désactiver le rapport des partages
administratifs en éditant les profils de balayage à partir de
Configuration > Scanning Profiles > OS Data > Enumerate Shares.
Stratégie de mot de passe
Ce noeud vous permet de vérifier que le mot de passe est sécurisé.
Par exmple, activez un âge maximum et un historique de mot de
passe. La longueur minimale de mot de passe devrait être quelque
chose de pratique, comme par exemple 8 caractères. Si vous avez
Windows 2000, vous pouvez activer une stratégie de mot de passe
sécurisée, sur l’ensemble du réseau, grâce à une GPO (Group Policy
Objects) dans Active Directory.
Registre
Ce noeud vous donne des informations vitales concernant la base de
registre distante. Cliquez sur le noeud Run pour vérifier quels
programmes sont lancés automatiquement lors du démarrage.
Vérifiez que les programmes qui sont lancés automatiquement ne
sont pas des chevaux de Troie ou même des programmes valides qui
fournissent un accès à distance à une machine si ce logiciel n’est pas
autorisé sur votre réseau. Tout type de logiciel à accès distant peut
finir par constituer une porte dérobée pouvant être utilisée par un
pirate désirant accéder au réseau.
REMARQUE : Vous pouvez éditer et conserver la liste des clés de
registre et les valeurs à récupérer en modifiant le fichier XML
« toolcfg_regparams.xml »
situé
dans
le
registre
%LNSS_INSTALL_DIR%\Data.
Stratégie de sécurisation d’audit
Ce noeud montre quelles stratégies de sécurisation d’audit sont
actives sur la machine distante. Les stratégies d’audit suivantes sont
recommandées :
Succès
Echec
Account logon events
Stratégie d’audit
Oui
Oui
Account management (gestion
des comptes)
Oui
Oui
Directory service access (Accès
à un service registre)
Oui
Oui
Logon events (Evènements de
connection)
Oui
Oui
Object
objets)
aux
Oui
Oui
Policy change (Changement de
stratégie)
Oui
Oui
Privilege
privilégiée)
(Utilisation
Non
Non
(Suivi
de
Non
Non
System events (Evènements de
système)
Oui
Oui
Access
(accès
use
Process tracking
processus)
Vous pouvez activer un audit à partir de GFI LANguard N.S.S..
Cliquez le bouton de droite sur un des ordinateurs dans le panneau de
gauche et sélectionnez « Activez audit ». L'assistant administratif de
stratégie d’audit apparaîtra.
Précisez quelles stratégies d’audit vous vouler activer. Il y a sept
stratégies d’audit de sécurisation dans Windows NT et neuf stratégies
d’audit de sécurisation dans Windows 2000. Activez les stratégies
d’audit que vous voulez sur l’ordinateur à contrôler. Cliquez sur Next
pour démarrer les stratégies d’audit.
Activer les stratégies d’audit sur des machines distantes.
S’il n’y a aucune erreur, la page de fin apparaîtra. S’il y a une erreur,
alors une autre page apparaîtra indicant les ordinateurs sur lesquels
l’application des stratégies a échoué.
Dialogue de résultats dans l’assistant de stratégie d’audit
Ports ouverts
Le noeud des ports ouverts fait la liste de tous les ports ouverts
trouvés sur la machine. (cette opération s’appelle un balayage de
ports). GFI LANguard N.S.S. procède à un balayage de port sélectif,
ce qui signifie qu’il ne scanne pas par défaut tous les ports 65535
TCP et les ports 65535 UDP, mais ceux pour lesquels il a été
configuré. La configuration des ports à balayer se fait à partir des
options de Balayage (Scan options). Pour de plus amples informations
référez-vous au chapître « Configuration des options de balayage,
Configuration des ports à balayer ».
Chaque port ouvert représente un service / une application ; si l’un
des ces services peut être « exploité », le pirate peut avoir accès à
cette machine. Par conséquent, il est important de fermer tout port
superflu.
Remarque : Sur les réseaux Windows, les ports 135, 139 & 445 sont
toujours ouverts.
GFI LANguard N.S.S. vous indiquera quel port est ouvert, et s’il est
considéré comme un port vunérable aux chevaux de Troie, GFI
LANguard N.S.S. le fera apparaître en ROUGE, autrement le port
apparaîtra en VERT. Ceci est visible dans la capture d’écran cidessous :
Remarque : Même si un port est affiché en ROUGE comme un port
vulnérable aux chevaux de Troie, cela ne veut pas dire qu’un
programme de porte dérobée est installé sur la machine. Certains
programmes valides utiliseront les mêmes ports que des chevaux de
Troie connus. Un programme antivirus utilise le même port que le
« backdoor » NetBus. Vérifiez donc toujours les informations d’entête fournies et exécutez d’autres vérifications sur ces machines.
Utilisateurs & Groupes d’utilisateurs
Ces noeuds représentent les groupes locaux et les utilisateurs locaux
présents sur l’ordinateur. Vérifiez qu’il n’y ait pas de comptes
d’utilisateurs supplémentaires, et assurez-vous que le compte
« invité » soit désactivé. Les groupes et utilisateurs non autorisés
peuvent s’introduire où ils le veulent !
Certains programmes dangereux peuvent réactiver le compte invité et
lui donner des droits d’administrateur. Vérifiez donc les informations
du nœud d’utilisateurs pour connaître les activités des différents
comptes et les droits correspondant à chacun d’entre eux.
Idéalement, l’utilisateur ne devrait pas utiliser un compte local pour se
connecter, mais devrait utiliser un compte de domaine ou d’Active
Directory.
La dernière chose à vérifier est l’âge du mot de passe.
Utilisateurs Connectés
Ce noeud montre la liste des utilisateurs connectés à la machine cible.
Elle est séparée en deux sections.
Utilisateurs Locaux Connectés
Cette catégorie contient tous les utilisateurs qui ont démarré une
session localement. Elle affiche les informations, disponibles pour
chaque utilisateur connecté, suivantes :
1. Date et heure de connexion
2. Temps écoulé
Utilisateurs Distants Connectés
Cette catégorie contient tous les utilisateurs qui ont démarré leur
session à partir d’un ordinateur distant. Elle affiche les informations
suivantes pour chaque utilisateurs connecté :
1. Date et heure de connexion
2. Temps écoulé
3. Temps d’inaction
4. Type de client
5. Transport
Légende des champs d’informations
Date et heure de connexion : Indique la date et l’heure de la
connexion de l’utilisateur à la machine cible. Ce champ s’applique aux
connexions locales et distantes.
Temps écoulé : Indique depuis combien de temps l’utilisateur est
connecté à la machine. Ce champ s’applique aux connexions locales
et distantes.
Temps d’inaction : Indique depuis combien de temps l’utilisateur a été
inactif. Le temps d’inaction se réfère à l’inactivité complète de
l’utilisateur/la connexion. Ce champ s’applique seulement aux
connexions distantes.
Type de client : Indique de quelle platforme l’utilisateur se sert pour se
connecter à distance. Cela se réfère généralement au Système
d’Exploitation installé sur la machine qui a lancé la connexion. Ce
champ s’applique seulement aux connexions distantes.
Transport : Indique quel genre de service a été utilisé pour initier la
connexion. Ce champ s’applique seulement aux connexions distantes.
Services
Tous les services sur la machine apparaissent dans la liste. Vérifiez
les services à exécuter et désactivez tous les services superflus.
Sachez que chaque service peut représenter un risque de sécurité ou
une faille potentielle dans le système.
La fermeture ou la
déconnexion des services non requis réduit considérablement les
risques de sécurité.
System Patching status
Ce noeud montre quels patches sont installés et enregistrés sur la
machine distante.
Network Devices
Ce noeud montre la liste de tous les périphériques de réseau installés
sur le système. Ils sont répertoriés de la façon suivante :
•
Périphériques physiques - Connectés
•
Périphériques physiques – Sans Fil
•
Périphériques virtuels.
Périphériques de réseau détectés
Pour chaque périphérique, les propriétés suivantes sont rapportées (si
disponibles) :
•
Adress MAC
•
Adresse IP Assignée
•
Nom d’hôte
•
Domaine
•
Détails DHCP
•
WEP (si disponible)
•
SSID (si disponible)
•
Passerelle
•
Etat.
REMARQUE : Il faut régulièrement vérifier si de nouveaux
périphériques de réseau sont présents. Des périphériques sans fil non
autorisés peuvent être utilisés pour compromettre la sécurité du
réseau que ce soit de l’intérieur même de la compagnie ou de
l’extérieur .
Périphériques USB
Ce noeud listera tous les périphériques USB connectés à l’ordinateur
cible. Il sert à vérifier qu’aucun périphérique non-autorisé ne soit
présent. Les appareils de stockage amovibles représentent un risque
de sécurité élevé. Il faut par conséquent être vigilant. Un autre
problème de sécurité est celui des adaptateurs sans fil USB et les clés
électroniques Bluetooth qui permettent aussi aux utilisateurs de
transférer des fichiers (sans en avoir l’autorisation) de leur poste de
travail à leurs périphériques personnels tels que des téléphones
portables, des PDA etc.
Liste des périphériques USB détectés sur l’ordinateur cible
REMARQUE : Vous pouvez configurer GFI LANguard N.S.S. pour
qu’il rapporte tout périphérique USB non autorisé (par ex. « USB Mass
Storage Device ») en tant que vulnérabilité de niveau critique. Vous
pouvez configurer quels périphériques GFI LANguard N.S.S. doit
considérer comme vulnérabilité critique à partir de Configuration >
Scan Profiles > Devices > USB Devices.
Liste des périphériques USB dangereux considérés comme vulnérabilité critique
Autres résultats
Cette section est une liste des noeuds supplémentaires auxquels vous
pouvez accéder après avoir passé en revue les principaux résultats
de balayage ci-dessus.
Noms NETBIOS
Dans ce noeud vous trouverez les détails des services installés sur la
machine.
Ordinateur
MAC - Adresse MAC de votre carte réseau.
Username - Ceci est le nom d’utilisateur de l’utilisateur actuellement
connecté, ou le nom d’utilisateur de la machine.
TTL - La valeur de durée de vie (TTL) est spécifique à chaque
périphérique. Les valeurs principales sont 32, 64, 128 et 255. A partir
de ces valeurs et de la TTL réelle du paquet, on a une idée de la
distance (nombre de sauts de routeur) entre la machine GFI
LANguard N.S.S. et la machine cible qui vient d’être balayée.
Computer Usage - Précise si la machine cible est un poste de travail
ou un serveur.
Domain - Si la machine cible fait partie d’un domaine, cela vous
donnera une liste du/des domaines reconnus.
Si elle ne fait pas partie d’un domaine, on verra apparaître le groupe
de travail auquel elle appartient.
LAN manager - Donne le gestionnaire de LAN actif (et le système
d’exploitation).
Sessions
Affiche l’adresse IP des machines qui étaient connectées à la
machine cible au moment du balayage. Dans la plupart des cas, cela
sera la machine qui exécute GFI LANguard N.S.S. et qui a récemment
effectué des connexions.
Remarque : Dû au changement constant de cette valeur, les
informations ne sont pas sauvegardées dans le rapport et ne sont là
qu’à titre d’information.
Network Devices
Fournit une liste des périphériques de réseau disponibles sur la
machine cible.
Remote TOD
Remote Time of the Day. Ceci est l’heure du réseau sur la machine
cible, normalement définie par le contrôleur de domaine.
Balayages sur place et en-dehors du site
Nous vous recommandons de lancer GFI LANguard N.S.S. de deux
façons, le balayage « on site » et « off site ».
Balayage sur place (on site scan)
Installez une machine comprenant LANguard Network Security
Scanner.
Effectuez un balayage NULL session de votre réseau
(sélectionnez Null Session depuis la boîte déroulante).
Une fois ce premier balayage effectué, changez la valeur de la boîte
déroulante à Currently logged on user (si vous avez des droits
administratifs pour votre domaine), ou à Alternative credentials qui
ont des droits administratifs pour le Domaine ou pour Active Directory.
Enregistrez ce deuxième balayage pour une comparaison ultérieure.
Grâce au NULL session, on peut voir ce que tout utilisateur se
connectant au réseau serait capable de visualiser. Le balayage, qui
a des droits d’administrateur, vous montre tous les hots fixes et les
patchs manquants sur la machine.
Balayage à distance (off site scan)
Si vous avez un compte à distance, ou un accès internet haut débit
non relié à l’entreprise, vous allez vouloir balayer votre réseau depuis
l’extérieur.
Effectuez un balayage NULL session de votre réseau. Vous verrez
alors ce que toute personne sur internet serait capable de voir s’ils
balayaient votre réseau. Parmi les choses pouvant affecter ceci, se
trouvent tous les pare-feux que votre entreprise ou fournisseur
d’accès a pu installer et toute règle dans un routeur sur le chemin
pouvant laisser passer certains types de paquets.
Enregistrez ce balayage pour une comparaison ultérieure.
Comparaison des balayages sur place et de l’extérieur
Il est temps maintenant de regarder les informations générées par
LANguard Network Security Scanner.
Si le balayage NULL session à partir de votre réseau interne apparaît
identique à celui du balayage externe, sachez qu’il semble n’y avoir
aucun pare-feu ou filtre sur votre réseau. C’est sans aucun doute
l’une des premières choses que vous devriez vérifier.
Vérifiez alors ce que tout utilisateur externe peut visualiser. Peuventils voir vos contrôleurs de domaine ou obtenir une liste de tous vos
comptes d’ordinateurs?
Qu’en est-il des serveurs web, FTP etc… ?
A ce moment précis, vous êtes tout seul.
Il vous faut peut-être
rechercher les patchs pour les serveurs web, les serveurs FTP etc… il
vous faut peut-être également vérifier et changer les paramètres des
serveurs SMTP. Chaque réseau est différent. GFI LANguard N.S.S.
tente de vous aider à définir les problèmes et les questions de
sécurité et vous mène vers des sites qui vous aideront à réparer les
failles découvertes.
Si vous trouvez des services exécutés superflus, assurez-vous de les
arrêter. Chaque service est un risque de sécurité potentiel qui peut
donner accès à une personne non autorisée.
De nouveaux
dépassements de mémoire tampon et exploits sont libérés tous les
jours, et bien que votre réseau puisse avoir l’air protégé aujourd’hui,
ce sera peut-être différent demain.
Exécutez bien des balayages de sécurité de temps en temps. Ce
n’est pas quelque chose que l’on fait une seule fois et on l’oublie. De
nouvelles formes d’attaques surviennent en permanence, et encore
une fois, ce n’est pas parce que votre réseau est sécurisé aujourd’hui
que vous savez ce qu’apportera le pirate de demain.
Enregistrement et chargement des
résultats de balayage
Introduction
Une fois le balayage de sécurité de GFI LANguard N.S.S. terminé, les
résultats sont automatiquement enregistrés sur la base de données
d’arrière plan (Serveur MS Access / MS SQL).
Il est possible d’enregistrer les résultats sur un fichier XML externe.
Les enregistrements de résultats peuvent être « re-lancés » dans
l’interface utilisateur de GFI LANguard N.S.S. pour un traitement plus
en détails ou pour une comparaison des résultats. Le chargement de
résultats enregistrés est très utile lorsqu’on a besoin de lancer des
rapports ou de déployer des patches sur un système inchangé qui n’a
pas besoin d’être balayé à nouveau.
Enregistrement des résultats de balayage sur un fichier externe
Une fois le scan de sécurité GFI LANguard N.S.S. terminé, les
résultats sont déjà enreigstrés sur une base de données d’arrière
plan. Pour les enregistrer sur un fichier externe :
•
Fichier > Enregistrer résultats de scan…
•
Accepter le nom par défaut du fichier ou préciser une
alternative
•
Cliquez sur Enregistrer.
Chargement des résultats de scan enregistrés
Chargement des résultats de scan enregistrés à partir d’une
base de données
LNSS enregistrera les 30 derniers scans effectués sur une base de
données sur la même cible avec le même profil.
Pour charger les enregistrements des résultats de scan à partir de la
base de données :
1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner.
2. Load saved scan results from… > Database. Ceci fera apparaître
la boîte de dialogue des résultats de scan.
3. Sélectionnez le scan à partir de la liste.
4. Cliquez OK.
Enregistrement et chargement des résultats de balayage • 29
Résutltats de scan enreigstrés recharges dans UI principal
Chargement des scans enregistrés à partir d’un fichier
externe
Pour charger les enregistrements des résultats de scan à partir d’un
fichier externe :
1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner.
2. Load saved scan results from… > XML… . Ceci fera apparaître la
boîte de dialogue d’ouverture des résultats enregistrés sur un
fichier XML.
3. Sélectionnez le scan.
4. Cliquez OK.
30 • Enregistrement et chargement des résultats de balayage
Résultats du scan de filtrage
Introduction
Une fois le balayage GFI LANguard effectué, il vous en montrera le
résultat dans le panneau « scan results ». Si vous avez balayé
beaucoup de machines, il serait préférable de filtrer les données à
partir du nœud de filtres Scan. Cliquez sur ce noeud et sélectionnez
un filtre qui existe déjà, cela vous montrera les résultats du balayage
basés sur le filtre que vous avez choisi. GFI LANguard N.S.S.
comporte de nombreux filtres de balayage par défaut. Vous pouvez en
plus de ça créer vos propres filtres de balayage.
Filtres de balayage
Les filtres de balayage suivants sont inclus par défaut :
Full report: Montre toutes les données liées à la sécurité qui ont été
relevées lors du balayage.
Vulnerabilities [High Security]: Montre les problèmes qui requièrent
une attention immédiate – de service packs manquants, patches
manquants, vulnérabilités critiques et ports ouverts.
Vulnerabilities [Medium Security] : Montre les problèmes qui
doivent être résolus par l’administrateur – vulnérabilités moyennes,
patches introuvables.
Vulnerabilities[All]: Montre toutes les vulnérabilités détectées –
patches manquants, service packs manquants, vérifications
d’informations potentielles, patches introuvables, faible et haut niveau
de vulnérabilités.
Résultats du scan de filtrage • 31
Missing patches and service packs: Liste tous les services packs et
les fichiers patch manquants sur la machine balayée.
Important devices – USB: Liste tous les périphériques USB
connectés aux cibles balayées
Important devices – Wireless: Liste toutes les cartes de réseau sans
fil, (PCI et USB) connectées aux cibles balayées
Open Ports: Liste tous les port ouverts (TCP et UDP)
Open Shares: Liste tous les partages ouverts et qui y a accès.
Auditing Policies: Liste les paramètres de stratégies d’audit sur
chaque ordinateur balayé.
Password Policies: Liste les stratégies actives de mot de passe sur
Groups and users: Liste les groupes et les utilisateurs détectés sur
Computer properties: Montre les propriétés de chaque ordinateur.
Sélectionner la source des résultats de balayage
Par défaut, les filtres fonctionnent avec les données du balayage
actuelles. Cependant, il est possible de sélectionner un fichier de
source de données de « résultats de balayage » différrent et d’y
appliquer les fichiers de source de données de résultats de balayage
enregistrés (un fichier XML ou une base de données). Pour cela :
1. Allez au nœud scanner de sécurité dans le programme de
balayage de sécurité de GFI LANguard N.S.S.
2. Cliquez droit et sélectionnez Load saved scan results from….
3. Sélectionnez les sources de données contenant les résultats sur
lesquelles vous désirez lancer le filtre.
4. Sélectionnez l’entrée de la base de données ou le fichier XML
contenant les données de résultats requis.
5. Cliquez OK. Cela re-chargera les résultats de scan enregistrés
dans les résultats UI du Scanner de Sécurité.
6. Tous les filtres montrent maintenant les données de résultats de
balayage.
Création d’un filtre de balayage personnalisé
Pour créer un filtre de balayage personnalisé :
1. Cliquez sur le bouton de droite sur GFI LANguard N.S.S. > Security
scanner > Scan Filters et sélectionnez New > Filter…
2. Ceci fera apparaître la boîte de dialogue Scan Filter Propriétés.
32 • Résultats du scan de filtrage
Filtres de balayage – page générale
3. Donnez un nom au filtre de balayage
4. Ajoutez les conditions à l’application des données de résultats de
balayage que vous désirez filtrer en cliquant sur Add. Il est possible
de créer des conditions multiples pour le filtrage. Pour chaque
condition, il faut préciser la propriété, la condition et la valeur. Les
propriétés disponibles sont le Système d’exploitation, le nom d’hôte,
l’utilisateur connecté, le domaine, le service pack, les partages, etc…
Boîte de dialogue des conditions
5. Saisissez les catégories d’informations que vous voulez avoir dans
le filtrage à partir de la page Report Items.
6. Cliquez sur OK pour créer un filtre.
34 • Résultats du scan de filtrage
Filtres de balayage – page des composants de rapports
Ce processus va ainsi créer un nouveau noeud permanent sous le
noeud de Scan Filters.
REMARQUE : Il est possible de supprimer/personnaliser un filtre dans
le noeud Scan Filter en cliquant droit sur le filtre et en sélectionnant
Delete…/Properties, selon l’opération que vous voulez effectuée.
Exemple 1 – Recherche des ordinateurs avec un patch particulier
manquant
Vous voulez trouver tous les ordinateurs Windows sur lesquels le
patch MS03-026 est absent (c’est le célèbre patch du virus blaster).
Définissez le filtre de la façon suivante :
1. Condition 1 : Système d’Exploitation incluant Windows
2. Condition 2 : Hot fix (patch) n’est pas installé MS03-026
Exemple 2 – Liste de toutes les Sun stations avec un serveur web
Pour lister toutes les Sun stations lançant un serveur web sur le port
80, définissez les demandes suivantes :
1. Système d’Exploitation incluant SunOS
2. Le port TCP est ouvert 80
Configuration de GFI LANguard N.S.S.
Introduction à la configuration de GFI LANguard N.S.S.
Il est possible de configurer GFI LANguard à partir du noeud de
configuration. Ici vous pouvez configurer les options de balayage, les
profils avec différentes options de balayage, balayages programmés,
options d’alertes, et bien plus…
Profils de balayage
Profils de balayage
Avec le profil de balayage, vous pouvez configurer plusieurs types de
scans et les utiliser pour vous concentrer sur certaines informations
particulières que vous voulez vérifier.
Un profil de balayage est créé en allant au noeud Configuration >
Scaning profiles, en cliquant droit et en saisissant New > Scan
Profile…
Vous pouvez configurer les options suivantes pour chaque profil :
1. Scanned TCP ports
2. Scanned UDP ports
3. Scanned OS data
4. Scanned Vulnerabilities
5. Scanned Patches
Configuration de GFI LANguard N.S.S. • 37
6. Scanner properties
7. Devices.
Scanned TCP/UDP ports
Les onglets des ports TCP/UDP balayés vous permettent de préciser
quels ports TCP et UDP vous voulez scanner. Pour activer un port,
cochez la case à coté du nom du port.
Configuration des ports à balayer dans un profil
Comment ajouter/éditer/supprimer des ports
Si vous voulez ajouter des ports TCP/UDP personnalisés, cliquez le
bouton Add. La boîte de dialogue des Add port apparaît.
38 • Configuration de GFI LANguard N.S.S.
Capture d’écran 1 – Ajout de port
Saisissez un numéro de port ou une gamme de ports et entrez une
description du programme qui est sensé fonctionner sur ce port. Si le
programme associé à ce port est un cheval de Troie, cochez la case
Is a Trojan port.
Si vous précisez qu’il s’agit d’un port vulnérable au chevaux de Troie,
le cercle vert/rouge à coté du port deviendra rouge.
Remarque : Assurez-vous de bien inclure ce port dans la fenêtre de
protocole appropriée, soit TCP soit UDP.
Vous pouvez éditer ou supprimer des ports en cliquant sur le bouton
Edit ou Remove.
Scanned OS data
L’onglet des données balayées du système d’exploitation, Scanned
OS, précise le genre d’informations que vous voulez que GFI
LANguard N.S.S. reccupère à partir du système d’exploitation pendant
le balayage. Actuellement seules les données Windows OS sont
supportées, cependant les données de balayage UNIX sont en
développement.
Scanned Vulnerabilities
Configuration des Vulnérabilités à balayer
L’onglet des vulnerabilités de balayage établit une liste de toutes les
vulnérabilités que GFI LANguard N.S.S. peut balayer. Vous pouvez
désactiver la vérification pour toutes les vulnérabiliés en enlevant la
marque dans la case à cocher Check for vulnerabilities.
Par défaut, GFI LANguard N.S.S. recherche toutes les vulnérabilités
qu’il connaît. Vous pouvez changer cela en enlevant la marque de la
case cochée à coté de la vulnérabilité en question.
À partir du panneau de droite vous pouvez changer une vulnérabilité
particulière en la double cliquant. Vous pouvez changer le niveau de
sécurité d’une vérification de vulnérabilité particulière à partir de
l’option Security Level.
Types de vulnérabilités
Les vulnérabilités sont divisées en sections : Patches manquants,
Patches introuvables, Abus CGI, Vulnérabilités FTP, Vulnérabilités
DNS, Vulnérabilités de messagerie, Vulnérabilités RPC, Vulnérabilités
de service, Vulnérabilités de Registre, et autres Vulnérabilités.
Options avancées de vérifications de vulnérabilités
Cliquez sur le bouton Advanced pour faire apparaître ces options.
•
Vérifications internes – Elles incluent les vérifications de mots de
passe anonymes ftp, les vérifications faibles de mots de passe
etc…
•
Vérifications CGI - Démarrez la vérification CGI si vous travaillez
sur des serveurs web qui utilisent des scripts CGI. Vous pouvez si
vous le désirez préciser un serveur proxy si vous êtes localisé
derrière un serveur proxy.
•
Nouvelles vulnérabilités activées par défaut – Active/désactive
les vulnérabilités récemment ajoutées dans les balayages.
Téléchargement des dernières vulnérabilités de sécurité
Pour mettre à jour votre Security Vulnerabilties, saisissez Help >
Check for updates à partir du programme de balayage de GFI
LANguard N.S.S.. Cela téléchargera les dernières vulnérabiltés de
sécurité du site web de GFI Sofware. Cela mettra aussi à jour les
fichiers Fingerprint utilisés pour déterminer quel système d’exploitation
est sur un périphérique.
REMARQUE : Lors du démarrage GFI LANguard N.S.S. peut
automatiquement télécharger des nouvelles vérifications de
vulnérabilités à partir du site web de GFI Sotware. Cette configuration
se fait au noeud GFI LANguard N.S.S. > General > Product Updates.
Scanned Patches
Configuration des patches à verifier lors d’un balayage à profil particulier.
Cet onglet de patches balayés vous permet de configurer un profil
particulier de balayage afin de déterminer s’il doit chercher des
patches et/ou des service packs manquants.
Cet onglet liste tous les patches que GFI LANguard N.S.S. vérifie.
Vous pouvez désactiver la vérification pour des patches précis pour
ce profil en décochant la case à coté du bulletin de patch.
La liste des patches est obtenue à partir d’un téléchargement des des
dernières listes de patches du site web de GFI, qui elle-même est
obtenue chez Microsoft (mssecure.xml). GFI obtient la liste des
patches de Microsoft et vérifie qu’elle soit correcte, vu que de temps
en temps elle contient des erreurs.
Bulletin d’information étendu
Pour plus d’informations sur un bulletin particulier, double cliquez sur
le bulletin en question ou cliquez droit et allez sur Properties. Vous
verrez alors plus en détails ce que le bulletin a vérifié et ce dont il
recourt.
Options de balayage
Dans cet onglet vous pouvez configurer les options liées à la façon
dont GFI LANguard effectue un balayage.
Propriétés de balayage de sécurité
Méthodes de découverte de réseau
Cette section est concerne les méthodes utilisées par GFI LANguard
N.S.S. pour découvrir les machines du réseau.
L’option NETBIOS queries permet aux requêtes NetBIOS ou SMB
d’être utilisées. Si le client pour Microsoft Networks est installé sur la
machine Windows, ou si Samba Services est installé sur une machine
Unix, ces machines répondront à la demande NetBIOS.
Vous pouvez ajouter un ScopeID au NetBIOS Query. Cela n’est
nécessaire que dans certains cas, où les systèmes ont un ScopeID.
Si votre entreprise a un ScopeID paramétré sur NetBIOS, saisissez-le
ici.
L’option des requêtes SNMP queries permet aux paquets SNMP
d’être envoyés avec le nom de communauté défini dans l’onglet
General. Si le périphérique répond à cette requête, GFI LANguard
N.S.S. demandera la référence de l’objet du périphérique et le
compare à la base de données en déterminant ce qu’est ce
périphérique.
Ping Sweep effectue un ping ICMP de chaque périphérique de
réseau. (voir Remarque : ci-dessous)
Découverte de Port TCP Personnalisé recherche un port ouvert
précis sur les machines cibles.
Remarque : Chacun des types de requêtes ci-dessus peut être
désactivé, mais GFI LANguard N.S.S. dépend de tous ces types de
requêtes pour déterminer le type de périphérique et le système
d’exploitation exécutés.
Si vous choisissez de désactiver l’une
d’entre elles, GFI LANguard N.S.S. ne sera pas aussi fiable dans son
identification.
Remarque : Certains pare-feux personnels empêchent une machine
d’envoyer un écho ICMP et donc d’être détectée par GFI LANguard
N.S.S.. Si vous pensez qu’il y a plusieurs machines avec des parefeux personnels sur votre réseau, essayez d’effectuer un balayage de
chaque adresse IP sur votre réseau.
Options de découverte de réseau
Les paramètres de découverte de réseau vous permettent de
peaufiner la détection d’une machine, de cette façon vous avez une
détection de machine plus fiable en un rien de temps. Les paramètres
ajustables incluent :
•
Scanning Delay est la durée pendant laquelle LANguard N.S.S.
attend entre l’envoi de TCP/UDP. Le défaut est de 100 ms. Selon
votre connexion au réseau et le type de réseau sur lequel vous
vous trouvez (LAN/WAN/MAN), vous devrez peut-être ajuster ces
paramètres. Si le paramètre est trop faible, vous allez trouver que
votre réseau est encombré de paquets de GFI LANguard N.S.S..
Si vous le réglez trop haut, vous allez perdre beaucoup de temps
pour rien.
•
Wait for Responses est la durée pendant laquelle LANguard
N.S.S. attend une réponse du périphérique. Si l’on fonctionne sur
un réseau lent ou occupé, il faut parfois augmenter cette
fonctionnalité d’expiration de 500 ms à une durée supérieure
•
Number of retries est le nombre de fois que GFI LANguard
N.S.S. effectue chaque type de balayage. En des circonstances
normales, ce paramètre n’a pas besoin d’être modifié. Sachez
cependant que si vous changez ce paramètre, il exécutera chaque
type de balayage (NetBIOS, SNMP, ICMP) le nombre de fois
spécifié.
•
Include non-responsive computers
est une option qui
communique avec GFI LANguard N.S.S. security scanner pour
tenter le balyage d’une machine qui n’a répondu à aucune des
méthodes de découverte de réseau.
NetBIOS Query Options
On utilise une NetBIOS Scope ID afin d’isoler un groupe d’ordinateurs
sur le réseau qui peuvent seulement communiquer avec d’autres
ordinateurs qui sont configurés avec une NetBIOS ID identique.
Les programmes NetBIOS démarrés sur un ordinateur en utilisant une
NetBIOS Scope ID ne peuvent « percevoir » (recevoir ou envoyer des
messages) d’autres programmes NetBIOS démarrés par un procédé
sur un ordinateur configuré avec une NetBIOS Scope ID différente.
LNSS supporte NETBIOS Scope ID de façon à pouvoir balayer ces
ordinateurs isolés qui autrement seraient inaccessibles.
SNMP Query Options
L’option permettant de charger les numéros de sociétés SNMP (Load
SNMP enterprise numbers) permet à GFI LANguard N.S.S.
d’étendre son support en matière de balayage SNMP.
Si cette
fonction est désactivée, les périphériques découverts par SNMP que
GFI LANguard N.S.S. ne connaît pas ne préciseront pas qui est censé
être le vendeur. A moins que vous ne rencontriez des problèmes, il
est recommandé de laisser cette option activée.
Par défaut, la plupart des périphériques compatibles SNMP utilisent
une chaîne de communauté « publique »par défaut, mais pour des
raisons de sécurité, la plupart des administrateurs changent cela. Si
vous avez changé le nom de communauté SNMP par défaut sur vos
périphériques de réseau, vous devrez l’ajouter à la liste utilisée par
GFI LANguard N.S.S.
Remarque : Il est possible d’ajouter plus d’un nom de communauté
SNMP ici. Pour chaque nom de communauté ajouté, la partie SNMP
du balayage devra être exécutée une autre fois. Si votre nom de
communauté est « public » et « private », le balayage SNMP sera
effectué sur l’ensemble de la gamme IP donnée deux fois de suite.
Un balayage sera effectué avec le nom de communauté « public »
puis une seconde fois avec le nom de communauté « private ».
Scanner activity windows options
Les options de sortie vous permettent de configurer les informations
qui apparaitront dans le panneau d'activité de balayage. Il est utile de
l’activer, cependant, activez seulement Verbose ou Display packets
pour des raisons de « débugages » exceptionnelles.
Périphériques
L’onglet un peut configurer la réaction de LANguard N.S.S. lors de la
détection d’un périphérique USB de réseau particulier. GFI LANguard
N.S.S. peut donc vous avertir via une notification de vulnérabilité
critique lorsqu’un périphérique particulier est détecté ou bien il peut
être configuré de façon à ignorer des périphériques particuliers, tels
qu’un clavier ou une souris USB.
Network Devices
Tout périphérique de réseau récupéré porte un nom. Si ce nom
contient n’importe quelle entrée de chaîne de la liste « Créer une
vulnérabilité de haute sécurité pour les périphériques de réseau
dont le nom contient : » (une par ligne), une vulnérabilité de haute
sécurité sera générée et rapportée pour l’ordinateur sur lequel
l’appareil aura été détecté.
Périphérique de réseau – Configuration du nom d’un périphérique dangereux
REMARQUE : Ces listes sont configurées sur une base de profils,
vous pouvez donc personnaliser vos critères de balayages selon le
type de scan de sécurité que vous effectuez.
Vunérabilité de haute sécurité créée pour le périphérique de réseau identifié comme dangereux
REMARQUE : D’un autre côté, si vous ne voulez pas être
informé/notifié de la présence de périphériques que vous considérz
comme sûres, il suffit de saisir le nom du périphérique dans la liste
« Ignorer (Ne pas insérer dans la liste/enregistrer sur db) les
périphériques dont le nom contient : » . Lorsque GFI LANguard
N.S.S. détecte un tel périphérique, il l’ignorera et ne
l’enregistrera/affichera pas dans les résultats du scan.
Périphériques USB
Tout périphérique de réseau récupéré porte un nom. Si ce nom
contient n’importe quelle entrée de chaîne de la liste « Créer une
vulnérabilité de haute sécurité pour les périphériques USB dont
le nom contient : » (une par ligne), une vulnérabilité de haute
sécurité sera générée et rapportée pour l’ordinateur sur lequel
l’appareil aura été détecté.
Périphérique USB– Configuration du nom d’un périphérique dangereux
REMARQUE : Ces listes sont configurées sur une base de profils,
vous pouvez donc personnaliser vos critères de balayages selon le
type de scan de sécurité que vous effectuez.
Vunérabilité de haute sécurité créée pour le périphérique USB identifié comme dangereux
REMARQUE : D’un autre côté, si vous ne voulez pas être
informé/notifié de la présence de périphériques que vous considérez
comme sûres, il suffit de saisir le nom du périphérique dans la liste
« Ignorer (Ne pas insérer dans la liste/enregistrer sur db) les
périphériques dont le nom contient : » . Lorsque GFI LANguard
N.S.S. détecte un tel périphérique, il l’ignorera et ne
l’enregistrera/affichera pas dans les résultats du scan.
Balayages programmés
La fonction de balayages programmés vous permet de configurer les
balayages qui sont effectués automatiquement à un jour et une heure
précise. Les balayages programmés peuvent aussi être effectués de
façon périodique. Cela vous permet de faire un balayage particulier la
nuit ou tôt le matin et peut être utilisé en conjonction avec la fonction
de comparaison de résultats, vous permettant de recevoir un « rapport
de changements » automatiquement dans votre boîte aux lettres.
Par défaut, tous les balayages programmés sont stockés sur la base
de données. Il est aussi possible d’enregistrer tous les résultats de
balayages vers un fichier XML (un par balayage programmé). Cela
peut se faire en cliquant droit le noeud Scheduled Scan, selectionnant
les propriétés, activant l’option Save Scheduled Scan et en précisant
un parcours pour les fichiers XML.
Configuration d’un balayage programmé
Création d’un balayage programmé
1. Dans le programme de securité de balayage GFI LANguard N.S.S.
cliquez droit sur Configuration > Scheduled scans > New >
Scheduled scan…
2. Cela vous permettra de visualiser la boîte de dialogue New
Scheduled Scan.
Création d’un nouveau Balayage Programmé
Dans la boîte de dialogue du New scheduled scan vous pouvez
configurer :
1. La cible du balayage : Préciser les noms des ordinateurs ou la
gamme d'adresses IP que vous désirez balayer. Vous pouvez
préciser la cible du balayage de la façon suivante :
i. Nom d’hôte (Host name) – par ex. ANDREMDEV
ii. Adresse IP – par ex.192.168.100.9
iii. Gamme d’adresses
192.168.100.255
IP
–
par
ex.
192.168.100.1-
iv. Un dossier texte avec une liste d’ordinateurs – par ex.
file:c:\test.txt (compléter la piste jusqu’au dossier). Chaque
ligne contenue dans le dossier supporte tous formats ou cibles
précisés dans (1), (2) ou (3).
2. Profil de balayage : Sélectionnez le profil de balayage à utiliser
pour ce balayage programmé.
3. Prochain balayage : Précisez le jour et l’heure du début du
balayage.
4. Effectuer un balayage tout les : Précisez si vous voulez que le
balayage soit effectué une fois ou périodiquement.
5. Description : Cela vous permettra de visualiser la liste des
balayages prgrammés.
Cliquez sur OK pour créer un balayage programmé.
Pour analyser/ visualiser les résultats d’un balayage programmé, vous
devez préciser le fichier XML de résultats de balayages de ce
balayage programmé dans le nœud de filtres de balayage. Pour cela :
1. Cliquez droit sur le noeud principal Scan Filters et sélectionnez
Filter saved scan results XML file…
2. Précisez le nom du fichier XML de résultats de balayage du scan
programmé.
3. Les noeuds filtres vous montrent maintenant les données du
dossier de résultats de balayages programmés.
Fichiers paramètres
Le noeud des fichiers paramètres fournit une interface directe pour
l’édition de plusieurs textes basés sur les fichiers utilisés par GFI
Languard N.S.S.. Seuls les utilisateurs avancés devraient les modifier.
Une édition incorrecte affectera la fiabilité de GFI LANguard N.S.S.
lors de l’identification du genre de périphérique trouvé.
•
Ethercodes.txt – ce fichier contient une liste d’adresses mac et le
revendeur associé qui se charge de cette gamme particulière
•
ftp.txt – ce fichier contient une liste de pages d’ouverture des
serveurs ftp internes utilisés par LNSS pour l’identification du
système d’exploitation de cette machine en particulier en se
basant sur le serveur ftp en application
•
Identd.txt – ce fichier contient des pages d’ouverture identd qui
sont aussi internes et utilisées par LNSS pour l’identification du
système d’exploitation utilisant l’information de la page d’ouverture
•
Object_ids.txt – ce fichier contient des SNMP object_ids et à quel
revendeur et produit ils appartiennent Lorsque GFI LANguard
N.S.S. trouve un périphérique qui répond aux requêtes, il compare
les informations de l’Object ID sur le périphérique à celles
stockées dans ce fichier
•
Passwords.txt – ce fichier comporte une liste de mots de passe qui
sont utilisés pour vérifier la faiblesse des mots de passe
•
Rpc.txt – ce fichier contient une carte entre les numéros de service
retournés par le protocol rpc et le nom du service associé à ce
numéro de service particulier. Lorsque les services RPC sont en
application sur une machine (normallement Unix ou Linux), les
informations reçues en retour sont comparées à ce fichier
•
Smtp.txt – contient une liste de pages d’ouverture et de systèmes
d’exploitations associés. De même qu’avec les fichiers ftp et ident,
ces pages d’ouvertures sont internes et utilisées par LNSS pour
l’identification du système d’exploitation en application sur la
machine cible
•
Snmp-pass.txt – ce fichier contient une liste de chaînes de
communauté utilisées par LNSS pour identifier si elles sont
disponibles sur le serveur cible SNMP Si disponibles, elles seront
rapportées par l’outil de balayage SNMP
•
telnet.txt – encore une fois, il s’agit d’un fichier qui contient
plusieurs pages d’ouverture de serveur telnet utilisées par LNSS
pour identifier le système d’exploitation en application sur la
machine cible
•
www.txt – un fichier contenant des pages d’ouvertures de serveur
web utilisées pour identifier quel système d’exploitation est en
application sur la machine cible
•
Enterprise_numbers.txt – liste des codes de relation entre les OID
(Identificateur d’Objet) et les entreprises (vendeur/université) Si
GFI LANguard n’a pas les informations précises d’un périphérique
quand il le détecte (informations fournies par le fichier
object_ids.txt), il se réfèrera aux informations retounées
particulières au vendeur et au moins permet de trouver qui
l’identité du vendeur du produit détecté. Cette information est
basée sur SMI Network Management Private Enterprise Codes,
que
vous
pouvez
voir
sur
:
http://www.iana.org/assignments/enterprise-numbers.
Utilisation de GFI LANguard N.S.S. depuis les lignes de
commandes
Il est possible d’invoquer le procédé de balayage depuis les lignes de
commande. Cela vous permet d’appeler le scanner à partir d’une
autre application ou simplement à partir d’une base programmée avec
vos options de personnalisation propres.
Utilisation :
lnsscmd
<Target>
[/profile=profileName]
[/report=reportPath]
[/output=pathToXmlFile]
[/user=username
/password=password]
[/email=emailAddress] [/DontShowStatus] [/?]
Légende
Target Required : IP/Machine ou gamme d’adresses IP/Machines à
balayer
/Profile Optional : Profil à utiliser pour le balayage. Si celui-ci n’est pas
défini, le profil actif actuel sera utilisé.
/Output Optional : Nom entier (y compris le nom de fichier) où faire
sortir le fichier xml de résultats de balayage
/Report Optional : Nom entier (y compris le nom de fichier) où générer
le fichier html de sortie de résultats.
/User Optional : Scanne la cible précisée en utilisant les coordonnées
alternatives précisées dans les paramètres /User et /Password.
/Password Optional : Scanne la cible précisée en utilisant les
coordonnées alternatives précisées dans les paramètres /User et
/Password.
/Email Optional : Envoie le rapport résultant de cette adresse email
alternative. Le serveur de messagerie précisé dans le nœud d’option
LNSS\Configuration\Alerting sera utilisé.
/DontShowStatus Optional : Ne montre pas les détails du progrès du
balayage.
REMARQUE : Les noms entiers, ainsi que ceux des profils,
comprennent le nom entre guillemets, par ex. « Default »,
« c:\temp\test.xml ».
/? Optional : Affiche l’écran d’aide sur l’utilisation de lnsscmd.exe
Macros:
%INSTALLDIR% sera remplacé par le chemin du repertoire
d’installation de LANguard N.S.S.
%TARGET% sera remplacé par la cible du scan
%SCANDATE% sera remplacé par la date du scan
%SCANTIME% sera remplacé par l’heure du scan.
Exemple :
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
L’exemple ci-dessus fait que la ligne de commande effectue un
balayage de sécurité sur la machine 127.0.0.1, crée le fichier xml sur
c:\out.xml, une fois le balayage complet, génère le rapport html sur
c:\result.html et envoie le rapport à l’adresse email [email protected].
Déploiement de patch
Introduction au déploiement de patch
Utilisez l’outil de déploiement de patch pour garder les machines
utilisant Windows NT, 2000, XP et 2003 à jour avec les derniers
patches de sécurité et service packs. Pour déployer les patches et les
services packs, vous devez suivre les étapes suivantes :
Etape 1 : Effectuez un balayage de votre réseau
déployer les patches
Etape 3 : Sélectionnez quels patches déployer
Etape 4 : Téléchargez les fichiers de patch et de service pack
Etape 5 : Paramètres de déploiement de fichier de patch
Etape 6 : Déployez les mises à jour
Pour déployer les patches vous avez besoin de
•
Droits administratifs sur la machine que vous balayez
•
NETBIOS doit être activé sur la machine distante.
L’agent de déploiement de patch
GFI LANguard N.S.S. 6 utilise un agent de déploiement de patch, qui
est installé sur la machine distante afin de déployer des patches, des
service packs et des logiciels personnalisés. L’agent de déploiement
de patch consiste en un service qui va appliquer l’installation à un
moment programmé selon les paramètres de déploiement indiqués.
Cette architecture est bien plus fiable que sans l’utilisation d’un agent
de déploiement de patch. L’agent de déploiement de patch est installé
automatiquement sans l’intervention de l’administrateur.
Remarque : Il n’est pas rare que Microsoft retire les fichiers patch.
Lorsque cela arrive, les informations de ce patch restent dans le
fichier mssecure.xml, du fait que le patch était disponible à un moment
donné. Auquel cas, GFI LANguard NSS fera un rapport selon lequel le
patch est absent, même s’il ne peut pas être installé. Si vous ne
désirez pas être informé au sujet de ces patches manquants, vous
devez désactiver la vérification pour ce bulletin particulier à partir de
GFI LANguard N.S.S.> Configuration > Scannning Profiles > Patches.
Etape 1 : Effectuez un balayage de votre réseau
GFI LANguard N.S.S. découvre les patches et les service packs
manquants lors des balayages de sécurité. Il y parvient en comparant
les réglages de registre, date du fichier/timbres de l’heure, et
Déploiement de patch • 53
l’information sur la version de la machine distante, utilisant les
informations fournies par Microsoft dans le fichier mssecure.xml.
Tout d’abord, GFI LANguard N.S.S. détecte quels produits pour
lesquels il a des informations patch sont installés sur la machine
distante ( par ex. Microsoft Office). Après quoi, il vérifie que les
patches et les service packs sont disponibles pour ce produit et
envoie les informations de patch manquant dans le nœud de patches
Manquants du nœud de vulnérabilités de haute sécurité.
Exemple de patch manquant dans l’arborescence des résultats de balayage
Pour chaque patch/service pack manquant GFI LANguard N.S.S.
rapporte un lien à partir duquel vous pouvez télécharger le fichier de
patch ainsi que d’autres informations liées à ce bulletin.
Les patches qui sont indéniablement absents sont rapportés dans les
noeuds de patches et service packs manquants (Missing patches and
service packs nodes) des résultats de balayage.
Les patches qui ne peuvent pas être confirmés comme étant ou non
installés dû au manque d’informations de détection sont rapportés
dans le nœud Potential vulnerabilities des résultats de balayage.
Exemple de patch non détectable dans l’arborescence des sorties de résultats de balayage
déployer les patches
Après le balayage réseau, l’énumération des service packs et des
patches manquants seront listés dans la fenêtre de résultats de
balayage. De façon à deployer les mises à jour manquantes, vous
devez sélectionner les ordinateurs que vous voulez mettre à jour. Les
patches peuvent être déployés sur une machine, toutes les machines,
ou sur les machines sélectionnées.
Déploiement des patches manquants sur un ordinateur :
Cliquez droit sur l’ordinateur à mettre à jour > Deploy Microsoft
updates > [genre de mise à jour] > This computer.
Déploiement des patches manquants sur tous les ordinateurs :
Cliquez droit sur n’importe quels ordinateurs à mettre à jour > Deploy
Microsoft updates > [genre de mise à jour] > All computers.
54 • Déploiement de patch
Déploiement des
sélectionnéees :
patches
manquants
sur
les
machines
Utilisez les cases de gauche des résultats de balayage pour
sélectionner les machines à mettre à jour. Cliquez droit sur n’importe
quel ordinateur dans l’arborescence de résultats > Deploy Microsoft
updates > [genre de mise à jour] > Selected Computers.
Indiquez sur quelles machines vous voulez déployer les mises à jour.
Etape 3 : Sélectionnez quels patches déployer
Une fois les ordinateurs cibles sélectionnés pour le déploiement des
patches Microsoft, vous allez être amené au nœud de déploiement de
patches Microsoft. Ce noeud vous montre les détails des ordinateurs
sélectionnés et quels patches/ service packs doivent être déployés sur
ces ordinateurs.
Vous avez un choix entre deux visualisations qui vous permettent de
contrôler les options de déploiement.
(1) Arrangement par ordinateur : Sélection d’un ordinateur et
visualisation des patches / mises à jour à déployer.
(2) Arrangement par patches : Sélection d’un patch et visualisation
des ordinateurs ayant besoin de cette mise à jour.
Noeud de patches de Déploiement Microsoft
Par défaut, tous les patches seront sélectionnés pour le déploiement.
Si vous ne voulez pas que certains patches soient déployés, ne
cocher pas la case correspondante au patch.
Etape 4 : Téléchargez les fichiers de patch et service pack
Après avoir sélectionné les patches/service packs à déployer, les
fichiers appropriés contenant les patches à déployer doivent être
téléchargés. En grande partie, cela est fait automatiquement par GFI
LANguard N.S.S. qui par la suite les placera dans les répertoires
correspondants selon le produit et le langage du produit mis à jour.
GFI LANguard NSS montre quels fichiers patch doivent être téléchargés
GFI LAnguard N.S.S. montre quels fichiers doivent être téléchargés
dans la liste des patches à déployer. Chaque fichier patch doit être
listé et sera dans l’un des états suivants, indiqués par un symbole
dans la liste des patches manquants.
Téléchargé
En cours de téléchargement
L’utilisateur doit visiter la page web et cliquer sur le lien pour
télécharger le fichier.
Non téléchargé
Téléchargement des patches
Les patches Microsoft, listés dans le fichier mssecure.xml, peuvent
être divisés en trois catégories principales.
(1) Les patches avec location URL de téléchargement direct.
(2) Les patches nécessitant la navigation de pages web pour
télécharger le fichier.
(3) Les patches pour lesquels il n’existe aucun fichier patch.
Pour télécharger les patches pour lesquels il y a un lien direct :
Pour les patches qui ont un lien de téléchargement direct, cliquez droit
sur le fichier patch et sélectionnez Download File. Le téléchargement
va commencer et une fois terminé, le fichier sera placé dans le
répertoire correct pour vous.
Pour télécharger des patches pour lesquels il n’y a pas de lien de
téléchargement mais seulement une page Internet source.
Lorsque GFI LANguard N.S.S. détecte un fichier qui doit être
téléchargé manuellement à partir du site Internet Microsoft, il chargera
la page Internet parente cible au bas de la zone outil de déploiement.
Vous pourrez ensuite trouver le lien de téléchargement approprié et
cliquer dessus. GFI LANguard N.S.S. contrôlera cette session Internet
et dès qu’il détecte que vous avez cliqué sur un lien de
téléchargement direct, il commencera à télécharger ce fichier
automatiquement pour vous. La navigation de la page web fera partie
de la session de téléchargement. Si vous voulez annuler cette session
de téléchargement, vous devez cliquer sur le patch et sélectionner
Cancel Download. Une fois le téléchargement complété, le fichier sera
placé dans le répertoire correct pour vous.
Téléchargement d’un patch à partir d’une page Internet avec l’assistant de téléchargement.
Etape 5 : Paramètres de déploiement de fichier de patch
Vous pouvez éventuellement configurer des paramètres
déploiement alternatifs de patch à patch. Pour cela :
de
1. Cliquez droit sur le fichier de patch et sélectionnez Propriétés.
2. Précisez éventuellement
téléchargement.
une
autre
source
URL
de
3. Précisez éventuellement les paramètres de ligne de commande à
utiliser pendant le déploiement.
Vous pouvez vérifier à quel bulletin le patch s’applique en cliquant
droit sur le fichier patch et saisissez Bulletin Info…
Propriétés du fichier patch
Etape 6 : Déployez les mises à jour
Après avoir saisi les ordinateurs sur lesquels les patches doivent être
déployés et après leur téléchargement, vous êtes prêt pour le
déploiement.
Cliquez Start en bas à droite pour commencer le déploiement.
Initialisation de déploiement de patch en cliquant sur Start
Le déploiement des patches va maintenant commencer. Vous pouvez
contrôler le statut du déploiement de patch à partir de la barre d’état.
Contrôle du processus de téléchargement
Déploiement de logiciel personnalisé
L’outil de déploiement de logiciel personnalisé est très utile pour le
déploiement de patches personnalisés pour les logiciels de réseau, ou
même pour installer des logiciels de réseau. Il est souvent utilisé pour
déployer des mises à jour de signatures virales de réseau. Le procédé
de déploiement de logiciel personnalisé est très similaire au procédé
de déploiement de patch d’une machine.
Déploiement de logiciel personnalisé
Etape 1 : Sélection des machines sur lesquelles il faut
installer le logiciel/patches
1. Allez sur le noeud Deploy custom software dans le noeud d’outils.
2. Cliquez sur Add pour ajouter un seul ordinateur, ou cliquez sur
Select pour sélectionner une gamme d’ordinateurs sur lesquels
déployer le logiciel personnalisé.
Remarque : vous pouvez aussi saisir les machines sur lesquelles il
faut déployer le logiciel personnalisé depuis le nœud Security Scanner
et le nœud Tools > Enumerate Computers.
Etape 2 : Précisez logiciel à déployer
Cliquez sur Add… dans les Patches: section pour préciser
l’emplacement initial du fichier et préciser tous paramètres de ligne de
commande qui devront être utilisés pour le déploiement du fichier.
Précision du logiciel à déployer
Vous pouvez éventuellement programmer à quel moment le
déploiement doit avoir lieu.
Etape 3 : Commencez le déploiement
Une fois le logiciel pour le déploiement et les ordinateurs concernés
précisés, vous pouvez commencer le processus de déploiement en
cliquant sur Start.
Déployez les patches personnalisés en indiquant quels fichiers de patch déployer et sur quel
ordinateur.
Options de déploiement
Options générales de déploiement
Vous pouvez configurer les options de déploiement en survolant le
bouton des options avec la souris, situé sur la droite de l’écran. Là,
vous pouvez :
Général
•
Configurer le sevice de l’agent de déploiement à exécuter les
coordonnées alternatives.
•
Redémarrer l’ordinateur cible après déploiement. Certaines
versions provisoires nécessitent un redémarrage après
installation. Cocher cette case si un ou plusieurs patches
nécessitent un redémarrage
•
Arrêter la machine après déploiement des mises à jour de logiciel
•
Avertir l’utilisateur avant déploiement. Un message sera envoyé à
la machine cible avant le déploiement des mises à jour
•
Arrêter les services avant le déploiement : Cette option arrête les
services des serveurs ISS & MS SQL avant déploiement
•
Configurer GFI LANguard N.S.S. de façon à déployer les mises à
jour de logiciel grâce aux partages administratifs ou aux partages
personnalisés (si utilisés, il n’y aura pas besoin des partages
administratifs. Ceux-ci peuvent être désactivés pour une plus
grande sécurité.)
•
Supprimer les fichiers copiés sur les machines distantes après
déploiement
•
Configurer les conditions particulières de filtrage vers lesquelles il
faut déployer la version provisoire (filtres de l’ordinateur).
Avancées
•
Configurer le nombre de fils des versions provisoires à utiliser
•
Configurer le lapse de temps accordé pour le déploiement.
Options avancées de déploiement
Répertoire de téléchargement
•
Configurer le répertoire où les téléchargements de patches seront
enregistrés.
Options de répertoire de téléchargement
REMARQUE : Dans l’outil Deploy custom patches, les filtres
d’ordinateur ne s’appliqueront pas aux ordinateurs qui n’ont pas été
balayés par l’outil de balayage de sécurité.
Comparaison des résultats
Pourquoi comparer les résultats ?
En faisant un audit régulier et en comparant les résultats des
balayages précédents vous aurez une idée de quels trous de sécurité
reviennent continuellement ou sont ré-ouverts par des utilisateurs.
Cela crée un réseau plus sécurisé.
GFI LANguard Network Security Scanner vous aide à faire cela en
vous permettant de comparer les résultats de balayages. GFI
LANguard N.S.S. établira un rapport et vous permettra d’agir. Vous
pouvez comparer les résultats manuellement ou par balayages
programmés.
Effectuer une comparaison de résultats de scan interactive
Lorsque GFI LANguard N.S.S. effectue un balayage programmé, il
sauvegarde le fichier XML des résultats dans l’annuaire Data\Reports
dans l’annuaire d’installation GFI LANguard N.S.S..
Vous pouvez aussi sauvergarder les résultats de balayage actuels
vers un fichier xml en cliquant droit sur le noeud de balayage de
sécurité et en saisissant Save scan results to xml file….
Pour comparer deux fichiers XML de résultats de balayage :
1. Allez sur l’outil de comparaison de résultats GFI LAnguard N.S.S. >
Security Scanner > Result comparison.
2. Saisissez deux résultats de balayage soit à partir d’un fichier xml ou
d’un enregistrement sur base de données d’arrière plan, effectués
avec les mêmes options et le même jeu d’ordinateurs, mais effectués
à différents moments, et cliquez Compare.
Comparaison des résultats • 65
Comparer les résultats
Le résultat sera similaire à la capture d’écran ci-dessus. Elle vous
montre ce qui a été activé ou désactivé et tous les changements
opérés sur le réseau depuis le dernier balayage.
•
Les nouveaux objets vous montreront tout changement appliqué
après le premier balayage
•
Les objets supprimés montreront tous les périphériques
/problèmes qui ont été supprimés depuis le premier balayage
•
Les objets alternés montreront tout ce qui a changé, tel qu’un
service activé ou désactivé entre deux balayages.
Effectuer une Comparaison avec l’option de balayages
programmés
Au lieu de balayer manuellement votre réseau chaque jour, semaine,
ou mois, vous pouvez établir un balayage programmé. Un Scheduled
Scan s’exécutera automatiquement à un certain moment et enverra
un email des différences entre les balayages programmés à
l’administrateur. Par exemple : l’administrateur peut configurer la
fonction Scheduled Scan afin d’effectuer un balayage toutes les nuits
à 23:00. Le service d’aide GFI LANguard N.S.S. lancera un balayage
de sécurité sur l’ordinateur(s) cible(s) saisi(s) et enregistrera les
résultats sur la base de données centrale. Ensuite, il comparera les
résultats actuels à ceux de la veille et établira un rapport des
différences, s’il y a lieu.
REMARQUE : Si vous effectuez un balayage programmé pour la
première fois ou s’il n’y a pas de différence avec le balayage
précédent, alors GFI LANguard N.S.S. ne vous enverra pas de
rapport. Vous ne recevrez un rapport que si quelque chose a changé.
66 • Comparaison des résultats
GFI LANguard N.S.S. Status Monitor
Visualisation des opérations programmées
GFI LANguard N.S.S. status monitor vous permet de surveiller l’état
des scans programmés actifs et des déploiements de mises à jour de
logiciel. Vous pouvez aussi annuler les opérations de déploiements
programmés.
Scan programmé actif
Pour visualiser l’état des scans programmés actifs cliquez sur le
symbole du moniteur GFI LANguard N.S.S. dans la barre du système
Windows et sélectionnez l’onglet des scans programmés. Vous verrez
tous les scans programmés actifs et l’heure à laquelle ils ont
commencé.
Remarque : Comme le sous-entend le nom, seuls les scans actifs
actuels seront affichés dans les Scans Programmés Actifs. Pour
vérifier les scans programmés et pour tous les annuler, lancez GFI
LANguard N.S.S. et cliquez sur GFI LANguard N.S.S. > Configuration
> Scheduled Scans.
Scan programmé terminé
Pour annuler un scan programmé actif, sélectionnez celui que vous
désirez et cliquez sur « Arrêter Scan(s) Sélectionné » (Stop Selected
Scan(s)).
GFI LANguard N.S.S. Status Monitor • 67
Annulation de Scan
Déploiements programmés
Pour visualiser l’état des déploiements programmés cliquez sur le
symbole du moniteur GFI LANguard N.S.S. dans la barre du système
Windows et sélectionnez l’onglet des déploiements programmés.
Déploiements programmés
Pour annuler le déploiement d’une mise à jour de logiciel programmé,
sélectionnez l’entrée de votre choix et cliquez sur « Annuler
déploiement sélectionné ».
68 • GFI LANguard N.S.S. Status Monitor
Annulation de déploiement
GFI LANguard N.S.S. Status Monitor • 69
Options de maintenance de la base de
données
Introduction
Utilisez les options de maintenance de la base de données pour
choisir quelle base de données utiliser pour enregistrer les résultats
de scans sauvegardés. Vous pouvez aussi configurer les options de
maintenance de base de données, telles que suppression
automatique des résultats de plus d’une certaine période.
Avec MS Access comme base de données vous pouvez programmer
une compression de base de données pour éviter la corruption des
données. Les options de maintenance de base de données peuvent
être accédées par :
1. GFI LANguard N.S.S. > Configuration > Cliquez droit sur le noeud
Database Maintenance Options.
2. Propriétés.
Changement de base de données
L’onglet « Changement de base de données » contient les options qui
permettent de changer la base de données utilisée par GFI LANguard
N.S.S. pour l’enregistrement des résultats de scans. Les bases de
données compatibles sont MS Access ou Serveur MS SQL.
MS Access
Précisez le chemin entier (y compris le nom fichier) à utiliser comme
base de données MS Access. REMARQUE : si le fichier n’existe pas,
il sera créé pour vous.
Options de maintenance de la base de données • 71
Changement de base de données – MS Access
Serveur MS SQL
Précisez le nom/IP du serveur sur lequel le serveur MS SQL est
installé. Specifiez aussi les coordonnées d’accès du Serveur SQL. (Le
mode d’authentification NT n’est pas compatible avec GFI LANguard
N.S.S.)
REMARQUE : si le serveur et les coordonnées entrés sont corrects,
GFI LANguard N.S.S. se connectera au serveur SQL et créera les
tableaux de base de données nécessaires. Si les tableaux de base de
données existent déjà, il les réutilisera.
72 • Options de maintenance de la base de données
Changement de Base de données – Serveur SQL
Gestion des résultats de scan enregistrés
L’onglet « Changements de base de données » contient l’option de
suppression des résultats de scan enregistrés à partir de la base de
données. Vous pouvez supprimer les scans manuellement ou
supprimer les scans selon leur âge.
Options avancées
L’onglet Advanced contient des options pour programmer la
compression des bases de données. Vous pouvez paramétrer que la
compression automatique soit effectuée par le service d’aide.
REMARQUE : La compression de base de données supprime
définitivement les enregistrements sélectionnés.
Options de maintenance de la base de données • 73
Options de maintenance de base de données – options de compression
74 • Options de maintenance de la base de données
Outils
Introduction
Les Outils suivants peuvent être trouvés dans le Menu Outils
•
DNS lookup (consultation de tables DNS)
•
Whois Client
•
Trace Route
•
SNMP Walk (chemin SNMTP)
•
SNMP Audit
•
MS SQL Server Audit
•
Enumerate Computers
DNS lookup
Cet outil résoud le nom de domaine (Domain Name) à une adresse IP
correspondante et en plus fournit des informations sur le nom de
domaine, s’il y a un enregistrement MX etc…
Outil de recherche DNS
Pour obtenir des informations sur le nom de domaine :
1. Allez sur le nœud Tools > DNS lookup.
Outils • 75
2. Précisez le nom d’hôte à résoudre
3. Précisez les informations à rechercher
•
Basic Information – par ex. le nom d’hôte et l’adresse IP à
laquelle il se résout
•
Host Information – connu sous le nom technique de HINFO, et
comprenant normalement des informations telles que le matériel
hardware et quel système d’exploitation est exécuté sur le
domaine précisé (la plupart des entrées DNS ne contiennent pas
ces informations pour des raisons de sécurité)
•
Aliases – retourne les informations qu’un enregistrement de
domaine peut avoir
•
MX Records - aussi connu sous le nom d’enregistrements de
Mail exchangers, montre quel(s) serveur(s) de messagerie et
l’ordre dans lequel ils sont responsables pour ce domaine
•
NS Records - indique quels serveurs sont responsables pour ce
domaine.
En plus de ça, il est possible de préciser un serveur DNS alternatif.
Trace Route
Utilitaire Trace route
Cet utilitaire montre le chemin de réseau que GFI LANguard N.S.S.
prend pour atteindre la machine cible. Lorsque vous effectuez un
trace route, chaque saut a un symbole associé.
•
76 • Outils
Indique un saut réussi selon les paramètres normaux
•
Indique un saut réussi , mais le temps requis a été assez long
•
Indique un saut réussi , mais le temps requis a été trop long
•
Indique que le saut a pris trop longtemps et a échoué (par
exemple : il a pris plus de 1000ms)
Whois Client
Utilitaire whois
Cet utilitaire obtiendra des informations à partir d’un domaine ou d’une
adresse IP. Vous pouvez saisir un serveur Whois précis dans la zone
des options, ou vous pouvez utilisez l’option Default qui saisira un
serveur pour vous.
SNMP Walk (chemin SNMP)
SNMP walk vous permet de rassembler les informations SNMP. Le
panneau de droite contient une liste de noms représentant des Object
ID précis sur le prériphérique. Pour en savoir plus sur les informations
fournies par le SNMP walk, vous allez devoir vérifier avec le vendeur.
Certains vendeurs fournissent beaucoup de détails sur chaque moyen
d’information, d’autres, par leur SNMP support de périphériques, ne
fournissent aucune documentation.
Pour utiliser cet outil, cliquez sur Tools > SNMP walk. Saisissez
l’adresse IP de la machine ou du périphérique que vous désirez
scan/’walk’.
Remarque : Dans la plupart des cas SNMP devrait être bloqué au
niveau du routeur/ pare-feu de façon à ce que les internautes ne
puissent pas effectuer un balayage SNMP de votre réseau.
Il est possible d’avoir d’autres chaînes de communauté.
Remarque : SNMP aidera les utilisateurs malveillants à avoir des
informations vitales de votre système, ainsi deviner un mot de passe
ou autres attaques du même genre sont rendues bien plus faciles. A
moins que ce service soit nécessaire, il est fortement recommandé de
désactiver le SNMP.
Outils • 77
SNMP Audit
L’utilitaire SNMP Audit, permet d’effectuer un audit SNMP sur un
périphérique et un audit pour des chaînes de communauté faibles.
Certains périphériques de réseau ont des chaînes de communauté
alternatives ou non-default. Le dictionnaire contient une liste de
chaînes de communauté populaires à vérifier. Le fichier défaut qu’il
utilise pour répertorier les attaques s’appelle snmp-pass.txt. Vous
pouvez soit ajouter des nouveaux noms de communauté à ce fichier,
soit diriger l’audit SNMP vers un autre fichier.
Afin d’utiliser cet outil, saisissez l’adresse IP d’une machine exécutant
le SNMP et cliquez Retrieve.
MS SQL Server Audit
Cet outil permet d’effectuer un audit sur l’installation d’un serveur
Microsoft SQL. Vous pouvez auditer un compte SA ainsi que tous les
comptes SQL.
Par défaut, il utilisera le dictionnaire appelé passwords.txt. Vous
pouvez soit ajouter des nouveaux mots de passe, soit diriger l’utilitaire
vers un nouveau dossier de mots de passe.
Pour exécuter un audit de serveur SQL, saisissez l’adresse IP de la
machine fonctionnant sur MS SQL. Si vous voulez deviner les mots de
passe pour tous les comptes SQL, vous devez saisir un nom
d’utilisateur et le mot de passe pour démarrer en SQL afin d’extraire
tous les comptes d’utilisateurs.
Utilitaire d’audit de comptes SQL
78 • Outils
Enumération des Ordinateurs.
Utilitaire d’énumération des ordinateurs
Cet outil parcourt votre réseau à la recherche de Domaines et/ou
Groupes de travail. Une fois trouvés, vous avez la possiblité de
balayer ces Domaines pour en obtenir la liste des ordinateurs. Une
fois le balayage terminé, il établira une liste des systèmes
d’exploitation installés sur cette machine, ainsi que tous commentaires
qui pourraient être listés via NETBIOS.
Les oridnateurs peuvent être énumérés en utilisant une des méthodes
suivantes
•
Depuis l’Active Directory – Cette méthode est bien plus rapide et
énumèrera aussi tous les ordinateurs qui sont éteints
•
En utilisant l’interface Windows Explorer – Cette méthode est plus
lente et n’énumèrera pas les ordinateurs éteints.
Vous pouvez préciser quelle méthode utiliser à partir de l’onglet
Information Source. Remarquez que vous ne pouvez effectuer le
balayage qu’en utilisant un compte qui a des droits d’accès à l’Active
Directory.
Lancement d’un scan de sécurité
Une fois l’énumération des ordinateurs faite, vous pouvez procéder au
lancement d’un balayage sur les machines sélectionnées en cliquantdroit sur les ordinateurs énumérés et en sélectionnant Scan.
Si vous voulez lancer le balayage tout en continuant d’utiliser l’outil
des ordinateurs énumérés, sélectionnez Scan in background.
Outils • 79
Déploiement de patches personnalisés
Sélectionnez les machines sur lesquelles vous désirez déployer une
mise à jour >Cliquez-droit sur n’importe quelle machine sélectionnée >
Deploy Custom Patches.
Activation des Stratégies d’Audit
Sélectionnez les machines sur lesquelles vous désirez activer les
stratégies d’audit > cliquez droit sur n’importe quelle machine
sélectionnée > Enabling Auditing Policies.
Enumération des Utilisateurs
La fonction d’énumération des utilisateurs se connecte à l’Active
Directory et récupère tous les utilisateurs et les contacts qui s’y
trouvent.
80 • Outils
Ajout de vérifications de vulnérabilités
par conditions ou scripts
Introduction
GFI LANguard N.S.S. permet de personnaliser rapidement les
vérifications de vulnérabilités. Ceci peut se faire de deux façons : par
l’écriture d’un script, ou par un jeu de conditions. Quelque soit la
méthode que vous utilisez, vous devez ajouter la vulnérabilité via
l'interface de balayage sécuritaire et précisez le nom du script ou les
conditions qui doivent être appliquées.
Remarque : Seul les Utilisateurs Expérimentés doivent créer des
nouvelles Vulnérabilités, car des misconfigurations de vulnérabilités
donnent lieu à des faux positifs ou ne fourniront aucune information de
vulnérabilité du tout.
GFI LANguard N.S.S. langage VBscript
GFI LANguard N.S.S. comprend un langage script compatible avec
VBscript. Ce langage a été créé afin d'ajouter facilement des
vérifications personnalisées. Il permet aussi à GFI Software d’ajouter
des nouvelles vérifications de vulnérabilités et de les rendre
disponibles pour un téléchargement. GFI LANguard N.S.S. comprend
un éditeur qui peut surligner la syntaxe et un débuggeur.
Pour plus d’informations sur l’écriture de sripts, veuillez vous référez
au dossier Scripting documentation, qui est accessible à partir du
groupe de programme de GFI LANguard N.S.S. .
REMARQUE IMPORTANTE : GFI software n’offre pas de support en
ce qui concerne la création de scripts qui ne marchent pas. Vous
pouvez faire part de vos problèmes liés au script GFI LANguard
N.S.S. sur le forum GFI LANguard à http://forums.gfi.com, où vous
serez en mesure de partager des scripts et des idées avec d’autres
utilisateurs de GFI LANguard N.S.S..
Module GFI LANguard N.S.S. SSH
GFI LANguard N.S.S. comprendx un module SSH qui permet
d’exécuter des scripts de vulnérabilité sur des systèmes Linux.. Le
module SSH analyse les données de la console imprimées par le
script. Cela signifie que vous pouvez utiliser n’importe quel langage de
script/programmation compatible avec le système d’exploitation Linux
cible qui permet la sorite des résultats de la console (en mode texte).
Ajout de vérifications de vulnérabilités par conditions ou scripts • 81
Mots clés :
Le module SSH peut lancer n’importe quel script qui est compatible et
qui fonctionne sur la machine Linux cible à partir de son terminal
Windows.
Lorsqu’un contrôle de vulnérabilité SSH est lancé, le script SSH est
copié sur la machine cible à travers une connexion SSH établie grâce
aux coordonnées spécifiées au tout début du scan. Ce fichier copié
reçoit alors des permissions exécutables et s'exécute sur la machine
cible. La sortie textuelle générée à partir de ce script est analysée par
le module SSH. A partir du résultat, le module SSH sait maintenant
lorsque le script s’est arrêté et si le résultat est concluant ou non.
Les mots clés ci-dessous sont gérés par le module SSH et interprétés
comme directives pour GFI LANguard N.S.S. :
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Lorsuqe le module SSH détecte l'un des termes ci-dessus, il traite la
chaîne de façon particulière selon le mot rencontré.
TRUE: and FALSE:
Lorsque le module SSH détecte l'une des chaînes suivantes, il établira
le résultat du contrôle de vulnérabilité comme étant TRUE ou FALSE.
AddListItem
AddListItem est une fonctionnalité interne utilisée pour l’ajout de
résultats à l’arborescence des vérifications de vulnérabilités même
comme rapporté dans l’UI. La syntaxe de cette fonction est la suivante
:
AddListItem([[[<parent node>]]],[[[<actual string>]]])
Le premier paramètre, [[[<parent node>]]], précise le nom du nœud
parent. Le deuxième, [[[<actual string>]]] précise la valeur de ce nœud
dans l’arborescence.
REMARQUE : Si le paramètre noeud parent est vide, la fonction
ajoutera la chaîne spécifiée au nœud supérieur disponible pour cette
vérification. Chaque vulnérabilité a son propre noeud. N’importe quelle
commande AddListItem créera un enfant sous le noeud de
vulnérabilité pour cette vérification.
SetDescription
SetDescription est une fonctionnalité interne qui peut récrire la
description par défaut qui est à l’intérieur de la vérification de
vulnérabilité. Il y a des vérifications de vulnérabilités pour lesquelles
vous devrez changer le nom par défaut car il apparaîtra sur
l’arborescence.
SetDescription(<Nouvelle description>)
82 • Ajout de vérifications de vulnérabilités par conditions ou scripts
!!SCRIPT_FINISHED!!
Chaque script doit répondre par le texte !!SCRIPT_FINISHED!!. Cette
ligne marque la fin de l’exécution des scripts. Le module SSH va
continuer à rechercher cette ligne jusqu’à ce qu’il la trouve ou que le
temps maximal d’exécution soit dépassé. Si le temps maximal est
dépassé avant d’avoir reçu la ligne, le module SSH ignorera le script
et la vulnérabilité ne sera pas affichée même si TRUE: est retourné au
module SSH avec succès avant que le temps maximal d’exécution
soit dépassé.
Il est donc impératif que chaque script – peut importe la taille de la
vérification – affiche !!SCRIPT_FINISHED!! à la fin du procédé.
REMARQUE IMPORTANTE : GFI software n’offre pas de support lors
de la création ou du débuggage de scripts qui ne marchent pas. Vous
pouvez faire part de vos problèmes liés au script GFI LANguard
N.S.S. sur le forum GFI LANguard à http://forums.gfi.com, où vous
serez en mesure de partager des scripts et des idées avec d’autres
utilisateurs de GFI LANguard N.S.S..
Exemple :
Afin d’illustrer les techniques qui sont décrites ci-dessus, une
vérification de vulnérabilité sera créée étape par étape.
Tout d’abord, le script SSH sera créé avec une fonctionnalité très
simple. Il se servira des mots clés exposés ci-dessus et génèrera
seulement une nouvelle description et ajoutera deux objets à
l’arborescence.
Le script SSH que l’on appellera test.sh sera constitué des codes
suivants:
#!/bin/bash
echo "TRUE:"
time=`date`
echo "SetDescription(New Script Generated Description at :$time)"
echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])"
echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])"
echo "!!SCRIPT_FINISHED!!"
La prochaine vulnérabilité sera créée et exécutera ce script sur une
machine Linux distante. La vulnérabilité sera comme suit :
Le balayage d’une machine Linux avec les bonnes coordonnées
déclenchera cette vérification qui est paramétrée pour toujours se
déclencher. La vulnérabilité ci-dessus génèrera alors la sortie
suivante :
Sortie du script SSH avec compte-rendu
Vous trouverez plus d'exemples de scripts SSH dans
[registre principal deGFI LANguard N.S.S.]\data\scripts\
Tous les fichiers en .sh sont des scripts SSH. (remarquez que les
scripts SSH peuvent avoir n’importe quelle extension. Ils ne doivent
pas nécessairement avoir l’extension .sh pour fonctionner.)
Ajout de vérification de vulnérabilité qui utilise un script vbs
personnalisé
Vous pouvez ajouter une vérification de vulnérabilité qui utilise un
script personnalisé. Vous pouvez créer ces scripts personnalisés en
utilisant l’éditeur/débuggueur GFI LANguard NSS. Pour cela :
Etape 1 : Créer le script
1. Lancez le débuggueur de script de GFI LANguard N.S.S. : Start >
Programs > GFI LANguard Network Security Scanner > Script
Debugger.
2. File >New…
3. Créer un script. En guise d’exemple, vous pouvez utiliser le faux
script suivant et l’enregistrer dans le débuggeur :
Function Main
echo "Script has run successfully"
Main = true
End Function
4. Sauvegardez le dossier, par exemple “c:\myscript.vbs"
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité :
1. Allez sur le nœud de GFI LANguard N.S.S. Main Program >
Configuration > Scanning Profiles.
2. Allez sur l’onglet Scanned Vulnerabilities, et sélectionnez la
catégorie sous laquelle la nouvelle vulnérabilité sera enregistrée.
3. Cliquez sur le bouton Add. Cela vous permettra de visualiser la
nouvelle boîte de dialogue de vulnérabilité.
Ajouter une nouvelle vérification de vulnérabilité
4. Maintenant, entrez les détails de base tels que le nom, une courte
description, le niveau de sécurité, et l'URL (si approprié). Vous pouvez
aussi préciser combien de temps la vérification prendra.
5. Cliquez sur le bouton Add…
6. Maintenant sélectionnez Script dans la liste Check.
Sélectionnez le script contenant le code de vérification de vulnérabilité
7. Précisez l’emplacement du script « c:\myscript.vbs ». Cliquez Add
pour ajouter une vulnérabilité. L’exécution se fera la prochaine fois
qu’un balayage de vulnérabilité sera fait sur l’ordinateur.
8. Pour le tester, scannez votre machine hôte locale et vous devriez
voir l’avertissement de vulnérabilité apparaître sous la section
miscellaneous du nœud de vulnérabilité des résultats de balayage.
Ajout de vérification de vulnérabilité qui utilise un script SSH
personnalisé
Vous pouvez ajouter des vérifications de vulnérabilité qui utilisent un
script personnalisé qui sera déployé et exécuté par le module SSH sur
la machine Linux balayée. Le script peut être programmé dans
n’importe quel langage de script ou de programmation qui est
compatible avec l'impression vers la console. Pour cet exemple nous
allons utiliser le système de script qui est en général disponible par
défaut sur tous les systèmes Linux.
Etape 1 : Créer le script
1. Lancez votre éditeur de fichier texte préféré.
2. Assurez-vous de lancer un nouveau fichier vide et que vous
l’enregistrez dans « LNSS main directory\data\scripts ».
3. Tapez le texte ci-dessous dans l’éditeur fichier :
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
fi
echo "!!SCRIPT_FINISHED!!"
4. Enregistrez le fichier, par ex. « C:\Program Files\GFI\LANguard
Network Security Scanner 6.0\Data\Scripts\myscrip ».
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité :
2. Allez sur l’onglet Scanned Vulnerabilities, et sélectionnez la
catégorie sous laquelle la nouvelle vulnérabilité sera enregistrée.
3. Cliquez sur le bouton Add. Cela vous permettra de visualiser la
nouvelle boîte de dialogue de vulnérabilité.
Ajouter une nouvelle vérification de vulnérabilité
5. Cliquez sur le bouton Add…
6. Maintenant sélectionnez SSH Script dans la liste Check.
Sélectionnez le script contenant le code de vérification de vulnérabilité
Précisez l’emplacement du script « C:\Program Files\GFI\LANguard
Network Security Scanner 6.0\Data\Scripts\myscript ». Cliquez 'Add'
pour ajouter une vulnérabilité. L’exécution se fera la prochaine fois
qu’un balayage de vulnérabilité sera fait sur l’ordinateur.
Pour faire un essai, balayez simplement la machine cible Linux (créez
le fichier test.file de façon à déclencher la vulnérabilité. Vous pouvez
faire cela en vous connectant à votre machine Linux, allez dans le
répertoire « home » de l’utilisateur dont vous vous servirez pour le
balayage, et tapez la commande « touch test.file ». Une fois le scan
complété, vous devriez voir l’avertissement de vulnérabilité que nous
venons de créer sous le nœud vulnérabilité qui fut établi dans l’étape
2.
Ajout d’une vérification de vulnérabilité CGI
Vous pouvez aussi ajouter des vulnérabilités sans écrire de scripts.
Par exemple une vérification de vulnérabilité CGI. Pour cela :
2. Allez sur l’onglet Scanned Vulnerabilities, et saisissez le nœud de
vulnérabilités CGI. Maintenant cliquez sur le bouton Add. Cela vous
permettra de visualiser la boîte de dialogue de vulnérabilité CGI.
Créer une nouvelle Vulnérabilité CGI
4. Précisez la méthode HTTP: Les deux méthodes supportées par
GFI LANguard N.S.S. dans sa section CGI abus sont GET et HEAD.
5. Précisez quel URL vérifier : Il s’agit de l’URL que GFI LANguard
N.S.S. recherchera.
6: Précisez la Return String: Il s’agit de ce que GFI LANguard N.S.S.
devra déceler lors du retour d’informations afin d’établir si le poste de
travail est vulnérable à cette attaque.
Ajout d’autres vérifications de vulnérabilités
Vous pouvez aussi ajouter d’autres vulnérabilités sans écrire de
scripts. Elles utilisent le même format de base que les vérifications de
vulnérabilités CGI. Cependant, vous pouvez établir des réglages pour
des conditions plus complexes. Pour cela :
2. Allez sur l’onglet Scanned Vulnerabilities, et saisissez le type de
vulnérabilités que vous désirez ajouter en cliquant sur la catégorie à
laquelle elle correspond. Maintenant cliquez sur le bouton Add. Cela
vous permettra de visualiser la nouvelle boîte de dialogue de
vulnérabilité.
Créer une nouvelle Vulnérabilité
4. Vous devez préciser ce qu’il faut vérifier. Pour ajouter une
vérification, cliquez droit dans la fenêtre Trigger condition et ajoutez
une nouvelle vérification.
5. Vous pouvez préciser que toutes les choses suivantes soient une
base de vérification de vulnérabilité de:
•
•
Système d’exploitation
o
Est
o
N’est pas
Clef de registre
o
Existe
o
N’existe pas
Remarque
:
Fonctionne
HKEY_LOCAL_MACHINE
•
seulement
sous :
seulement
sous :
Chemin d’accès du registre
o
Existe
o
N’existe pas
Remarque
:
Fonctionne
HKEY_LOCAL_MACHINE
•
Valeur du registre
o
Est égal à
o
N’est pas égale à
o
Est inférieure à
o
Est supérieure à
Remarque
:
Fonctionne
HKEY_LOCAL_MACHINE
•
•
•
•
•
•
•
•
•
•
seulement
sous :
Service Pack
o
Est
o
N’est pas
o
Est inférieur à
o
Est supérieur à
Hot fix
o
Est installé
o
N’est pas installé
o
Est installé
o
IIS
Version IIS
o
Est
o
N’est pas
o
Est inférieur à
o
Est supérieur à
Service RPC
o
Est installé
o
Service NT
o
Est installé
o
Exécution du service NT
o
Est en cours d’exécution
o
Ne répond pas
Type de démarrage NT Service
o
Automatique
o
Manuel
o
Désactivé
Port (TCP)
o
Est ouvert
o
Est fermé
Port UDP
o
Est ouvert
o
Est fermé
•
Banière FTP
o
Est
o
N’est pas
Remarque : Vous pouvez créer des expressions qui recherchent la
Version 1.0 à 1.4 et Version 2.0 à 2.2, mais pas pour la Version 1.5
à 1.9 Voir les exemples ci-dessous
•
Banière HTTP
o
Est
o
N’est pas
Remarque :
Vous pouvez créer des expressions qui
recherchent la Version 1.0 à 1.4 et Version 2.0 à 2.2, mais
pas pour la Version 1.5 à 1.9 Voir les exemples ci-dessous
•
Banière SMTP
o
Est
o
N’est pas
Remarque :
•
Banière POP3
o
Est
o
N’est pas
Remarque :
•
Banière DNS
o
Est
o
N’est pas
Remarque :
•
Banière SSH
o
Est
o
N’est pas
Remarque :
•
Banière Telnet
o
Est
o
N’est pas
Remarque :
•
Script
o
Renvoi True (1)
o
Renvoi False (0)
•
Script SSH
o
Renvoi True (TRUE:)
o
Renvoi False (FALSE:)
6. Chaque option ci-dessus a son propre jeu de critères, comme vous
pouvez le voir, sur lesquels les vérifications de vulnérabilités sont
basées. Si votre création de vérification de vulnérabilité est trop
vague, vous recevrez trop de faux rapports. D’où, si vous décidez de
créer votre propre vérification de vulnérabilités, assurez-vous que
vous la concevez de façon très précise, passez du temps à la créer.
Rien ne vous limite aux mentions ci-dessus pour déclencher une
vérification de vulnérabilité ; par exemple, vous l’avez peut-être réglée
pour la vérification de conditions multiples.
•
Vérifier OS
•
Port XYZ
•
Banière « ABC »
•
LANS script QRS exécution et vérifications de vulnérabilité
Une fois que vous avez respecté tous les critères ci-dessus, et
seulement si vous les avez respecté, la vérification de vulnérabilité
sera-t-elle déclenchée.
Remarque : La création d’expressions vous permettra de faire une
vérification de vulnérabilités comme celle qui est utilisée pour vérifier
la version d’Apache en exécution sur votre poste de travail.
~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])).
Pour ceux qui ont de l’expérience avec C ou Perl, le format ci-dessus
est à peu de choses près le même que ce que vous pouvez faire dans
ces langages. Il y a beaucoup de pages d’aide sur Internet qui vous
montre comment l’utiliser. Dans les exemples ci-dessous, nous allons
essayer de vous donner une explication. Si vous avez besoin d’aide
supplémentaire sur ce sujet, référez-vous à la fin de cette section pour
un lien hypertexte.
Si vous désirez voir un exemple/une démarche sur la création d’une
nouvelle walkthrough/vulnérabilité comportant un script, référez-vous
à « GFI LANguard N.S.S. scripting documentation ».
Troubleshooting
Introduction
Le chapitre Troubleshooting vous explique comment résoudre les
problèmes rencontrés. Les sources d’informations principales offertes
aux utilisateurs sont les suivantes :
1. Le manuel – la plupart des problèmes peuvent être résolus en
consultant le manuel.
2. La base de connaissances GFI – http://kbase.gfi.com .
3. Le site de support technique GFI – http://support.gfi.com
4. Service
support
de
[email protected]
GFI
Software
par
email
à
5. Service support de GFI Software via notre système de support en
direct sur http://support.gfi.com/livesupport.asp
6. Service support de GFI Software par téléphone.
Base de connaissance
GFI Software maintient une base de connaissances comprenant des
réponses aux problèmes les plus fréquents. Si vous avez un
problème, veuillez tout d’abord consulter la base de connaissances.
Celle-ci propose toujours une liste très récente des questions de
support et des nouveaux patches.
Elle peut être consultée sur http://kbase.gfi.com (en anglais)
Questions fréquemment posées
Demande de support via email
Si, après avoir utilisé la base de données de connaissance et le
manuel, vous n’avez pu résoudre votre problème, veuillez contacter le
service support de GFI Software. Le meilleur moyen de demander de
l’aide est par email, puisque vous pouvez ainsi inclure des
informations vitales en pièce jointe, qui nous permettront de résoudre
le problème plus rapidement.
Le Troubleshooter, compris dans le groupe de programmes, génère
automatiquement un nombre de fichiers requis pour que GFI Software
Troubleshooting • 95
puisse vous apporter son support. Ces fichiers comprennent les
paramètres de configuration etc… Pour générer ces fichiers,
démarrez le Troubleshooter et suivez les instructions dans
l’application.
En plus de rassembler toutes les informations, il vous pose également
un certain nombre de questions. Veuillez prendre le temps de
répondre à ces questions de façon précise. Sans les informations
correctes, il ne nous sera pas possible de diagnostiquer votre
problème.
Allez ensuite sur le répertoire de support, situé sous le répertoire de
programmes principal, zippez les fichiers, et envoyez les fichiers
générés à [email protected].
Vérifiez tout d’abord que vous avez bien enregistré votre produit
sur notre site web, sur
http://www.gfsfrance.com/pages/regfrm.htm !
Nous vous répondrons dans les 24 heures ou moins, selon votre
fuseau horaire.
Demande de support par l’intermédiaire du web chat
Vous pouvez également demander de l’aide à travers notre système
de Live support (webchat). Vous pouvez contacter le service support
de GFI Software via notre système de support en direct sur
http://support.gfi.com/livesupport.asp
sur
notre
site
web,
sur
Demande de support par téléphone
Vous pouvez également contacter GFI Software par téléphone pour
votre demande de support technique. Veuillez consulter notre site web
de support pour trouver les numéros appropriés selon votre pays
d’origine et nos heures d’ouverture.
Site web de support :
http://support.gfi.com
sur
notre
site
web,
sur
Forum Internet
Un système de support inter utilisateurs est disponible à travers un
forum internet. Découvrez ce forum sur :
http://forums.gfi.com
Notifications de révisions
Il est fortement conseillé de s’abonner à notre listing de notifications
de nouvelles versions. De cette manière, vous serez informé(e)
immédiatement de l’arrivée de nouvelles révisions de produits. Pour
96 • Troubleshooting
vous inscrire au système de notifications des nouvelles révisions, allez
sur :
http://support.gfi.com/?lcode=fr
D
Index
DNS lookup 99, 102, 104,
105, 106
G
groupes 5, 27
groups 5, 27
H
Hot fixes 29
HTML 8
L
Licence 10
License 10
M
Mot de passe 23
O
Open ports 7
Operating System 8
P
Partages 5, 22
Password policy 23
Ports ouverts 7
R
Registre 24
Utilisateurs 26
Registry 24
Utilisateurs 6
S
X
security policy 5
XML 8
Services 7
Shares 5, 22
SNMP 17, 103
SNMP 17
SNMP 103
SNMP 103
SNMP audit 103
stratégie de sécurité 6
System requirements 11
Système d’exploitation 8
Système requis 11
T
Traceroute 101
Traceroute 101
Traceroute 101
U
Users 6, 26, 107
100 • Troubleshooting

LANguard Network Security Scanner Manual

Transcription

Documents pareils

Installation de GFI LANguard Network Security Scanner

GFI LANguard NSS v9 novembre 2008

gfsfrance.com/faxmaker

Installation de GFI LANguard Network Security Scanner

CONSIGNES POUR « SCANNER » LES OUVRAGES DESTINES

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

FATCA

HEBERGEMENT WEB LUXEMBOURG

Liberez Vos Livres! Le guide pour scanner des livres et des

TÜV SÜD Acertigo Compliance Services - Certificate

fiche d`Information

Télécharger

Caméra de sécurité GSM guide de l`utilisateur