Installation de GFI LANguard Network Security Scanner

Transcription

GFI LANguard Network Security Scanner 5
Manuel
Par GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfsfrance.com
Email : [email protected]
L’information contenue dans ce document peut être modifiée sans
préavis. Les entreprises, les noms et les données utilisés ci-après, à
titre d’exemple, sont fictifs à moins d’une notification contraire. Ce
document, même partiellement, ne peut être reproduit ou transmis,
sous quelque forme ou quelque moyen que ce soit, électronique ou
mécanique, et quel qu’en soit l’objet, sans l’autorisation expresse et
écrite de GFI Software Ltd.
LANguard est un copyright de GFI Software Ltd.
SOFTWARE Ltd. Tous droits réservés.
Version 5,0 – Dernière mise à jour 03.09.04
2000-2004 GFI
Table des matières
Introduction
5
Introduction à GFI LANguard Network Security Scanner.............................................. 5
Importance de la Sécurité de Réseau Interne............................................................... 5
Fonctions clés................................................................................................................ 6
Composants de GFI LANguard N.S.S........................................................................... 7
Système de licences...................................................................................................... 7
Installation de GFI LANguard Network Security Scanner
9
Système requis .............................................................................................................. 9
Processus d’installation ................................................................................................. 9
Saisir votre clé de licence après l’installation .............................................................. 11
Pour commencer : Effectuer un audit
13
Introduction aux audits de sécurité.............................................................................. 13
Balayage...................................................................................................................... 13
Analyse des résultats de scan..................................................................................... 15
Adresse IP, Nom du poste, Système d’Exploitation et Niveau
du Service Pack...............................................................................................15
Nœud de vulnérabilités....................................................................................15
Noeud éventuel de vulnérabilités ....................................................................16
Partages ..........................................................................................................17
Stratégie de mot de passe...............................................................................18
Registre ...........................................................................................................18
Stratégie de sécurisation d’audit .....................................................................18
Ports ouverts ...................................................................................................19
Utilisateurs & Groupes d’utilisateurs ...............................................................20
Services ...........................................................................................................20
System Patching status ...................................................................................21
Autres résultats............................................................................................................ 21
Ordinateur........................................................................................................21
Balayages sur place et en-dehors du site ................................................................... 22
Balayage sur place (on site scan) ...................................................................22
Balayage à distance (off site scan) .................................................................22
Comparaison des balayages sur place et de l’extérieur .................................22
Résultats du scan de filtrage
25
Introduction .................................................................................................................. 25
Sélectionner la source des résultats de balayage....................................................... 26
Création d’un filtre de balayage personnalisé ............................................................. 26
Configuration de GFI LANguard N.S.S.
29
Introduction à la configuration de GFI LANguard N.S.S. ............................................ 29
Profils de balayage ...................................................................................................... 29
Scanned TCP/UDP ports............................................................................................. 30
Comment ajouter/éditer/supprimer des ports ..................................................30
Scanned OS data ........................................................................................................ 31
Scanned Vulnerabilities ............................................................................................... 32
LANguard Network Security Scanner Manual
Table des matières • i
Types de vulnérabilités....................................................................................32
Téléchargement des dernières vulnérabilités de sécurité...............................33
Scanned Patches ........................................................................................................ 33
Options de balayage.................................................................................................... 34
Méthodes de découverte de réseau................................................................35
Balayages programmés............................................................................................... 37
Fichiers paramètres ..................................................................................................... 39
Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes....................... 40
Déploiement de patch
41
Introduction au déploiement de patch ......................................................................... 41
L’agent de déploiement de patch ....................................................................41
Etape 1 : Effectuez un balayage de votre réseau ....................................................... 41
Etape 2 : Sélectionnez les machines sur lesquelles vous voulez
déployer les patches.................................................................................................... 42
Etape 3 : Sélectionnez quels patches déployer .......................................................... 43
Etape 4 : Téléchargez les fichiers patch et service pack ............................................ 44
Téléchargement des patches ..........................................................................44
Etape 5 : Paramètres de déploiement de fichier de patch .......................................... 45
Etape 6 : Déployez les mises à jour ............................................................................ 46
Logiciel personnalisé de déploiement ......................................................................... 47
Etape 1 : Sélection des machines sur lesquelles il faut
installer le logiciel/patches...............................................................................48
Etape 2 : Précisez logiciel à déployer .............................................................48
Etape 3 : Commencez le déploiement ............................................................49
Options de déploiement............................................................................................... 50
Comparaison des résultats
51
Pourquoi comparer les résultats ?............................................................................... 51
Effetuer une comparaison de résultats interactive ...................................................... 51
Effectuer une Comparaison avec l’option de balayages programmés........................ 52
Outils
53
Introduction .................................................................................................................. 53
DNS lookup.................................................................................................................. 53
Trace Route ................................................................................................................. 54
Whois Client................................................................................................................. 55
SNMP Walk ................................................................................................................. 55
SNMP Audit ................................................................................................................. 56
MS SQL Server Audit .................................................................................................. 56
Enumération des Ordinateurs...................................................................................... 57
Lancement d’un scan de sécurité....................................................................57
Déploiement de patches personnalisés ..........................................................57
Activation des Stratégies d’Audit .....................................................................58
Enumération des Utilisateurs....................................................................................... 58
Ajout de vérifications de vulnérabilités par conditions ou scripts
59
Introduction .................................................................................................................. 59
GFI LANguard N.S.S. langage VBscript...................................................................... 59
Ajout de vérification de vulnérabilité qui utilise un script personnalisé ....................... 59
Etape 1 : Créer le script...................................................................................59
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité :...........................60
Ajout d’une vérification de vulnérabilité CGI................................................................ 61
Ajout d’autres vérifications de vulnérabilités ............................................................... 62
Troubleshooting
67
Introduction .................................................................................................................. 67
Table des matières • ii
Base de connaissances............................................................................................... 67
Demande de support via email.................................................................................... 67
Demande de support par l’intermédiaire du web chat................................................. 68
Demande de support par téléphone............................................................................ 68
Forum Internet ............................................................................................................. 68
Notifications de révisions............................................................................................. 68
Index
69
Table des matières • iii
Introduction
Introduction à GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) est
un utilitaire qui permet aux administrateurs de réseau d’effectuer un
audit rapide et facile de sécurité sur le réseau. GFl LANguard N.S.S
crée également des rapports pouvant être utilisés pour résoudre des
problèmes de sécurité sur un réseau. Il peut aussi effectuer un
management de patch.
Contrairement à d’autres scanners de sécurité, GFI LANguard N.S.S.
ne crée pas de « barrage d’informations », sur lequel il est
pratiquement impossible d’assurer un suivi. Mais il aide à mettre en
évidence les informations les plus importantes. Il offre également des
liens hypertextes vers divers sites de sécurité permettant d’en savoir
plus sur ces failles.
Avec un balayage intelligent, GFI LANguard N.S.S. regroupe les
informations enregistrées sur les postes de travail telles que les noms
d’utilisateurs et de groupes, qui peuvent aussi inclure des objets
malicieux permettant de s’introduire dans votre réseau, et de partager
votre réseau, ainsi que d’autres objets trouvés dans le domaine de
Windows.
En outre, GFI LANguard N.S.S. identifie également des vulnérabilités
spécifiques telles que des problèmes de configuration sur les serveurs
FTP, les exploits des serveurs web Apache et Microsoft IIS, ou des
problèmes dans la configuration de la stratégie de sécurité NT , plus
un certain nombre d’autres problèmes éventuels.
Importance de la Sécurité de Réseau Interne
La sécurité de réseau interne est assez souvent sous-estimée par les
administrateurs. Très souvent, une telle sécurité n’existe même pas,
ce qui permet à un utilisateur d’accéder facilement à l’ordinateur d’un
autre utilisateur, grâce à des exploits bien connus, une relation de
confiance et des paramètres par défaut. La plupart de ces attaques
ne nécessitent que peu ou pas de connaissances spécifiques, ce qui
met en danger l’intégrité d’un réseau.
La plupart des employés n’ont pas besoin et ne devraient pas avoir
accès aux machines, fonctions administratives, périphériques etc des
autres utilisateurs. Cependant, à cause de la flexibilité nécessaire à
des activités normales, les réseaux internes ne peuvent pas se
permettre une sécurité maximale. D’un autre côté, sans aucune
mesure de sécurité, les utilisateurs internes peuvent constituer une
menace importante pour les réseaux internes de beaucoup
d’entreprises.
Introduction • 5
Les utilisateurs de l’entreprise ont déjà accès à de nombreuses
ressources internes et n’ont pas besoin d’éviter les pare-feux ou
autres mécanismes de sécurité qui empêchent les sources inconnues,
comme les utilisateurs Internet, d’accéder au réseau interne. De tels
utilisateurs internes, qui ont des connaissances en matière de
piratage, peuvent facilement pénétrer et s’octroyer des droits
d’administrateur de réseau tout en s’assurant que leurs activités
soient difficiles à identifier ou à détecter.
En effet, 80 % des attaques de réseau proviennent de l’intérieur du
pare-feu (ComputerWorld, Janvier 2002).
Un niveau faible de sécurité de réseau signifie également que si un
pirate externe pénètre dans un ordinateur de votre réseau, il peut
accéder au reste du réseau plus facilement. Cela permettrait à un
pirate avancé de lire et de communiquer à autrui des emails et
documents confidentiels, de détruire des ordinateurs, provoquant une
perte d’information, etc... Il pourra également utiliser votre réseau et
vos ressources pour attaquer d’autres sites, qui se tourneront vers
vous et votre société une fois l’attaque découverte.
La plupart des attaques, utilisant des exploits connus, pourraient être
réparées facilement, et par conséquent être arrêtées par les
administrateurs pour peu qu’ils soient au courant de cette
vulnérabilité.
Le rôle de GFI LANguard N.S.S. est d’aider les
administrateurs à identifier ces vulnérabilités.
Fonctions clés
6 • Introduction
•
Recherche de services non autorisés
ouverts.
•
Détection de vulnérabilités connues telles que CGI, DNS, FTP,
Message, RPC entre autres
•
Détection des utilisateurs non autorisés
•
Détection des partages ouverts
•
Enumération des utilisateurs, services, etc…
•
Balayages programmés
•
Mise à jour automatique des vérifications sécuritaires de
vulnérabilités
•
Détection des patches et des services packs manquants dans le
système d’exploitation
•
Détection des patches et des services packs manquants dans les
applications supportées.
•
Possibilité de comparer les balayages, pour découvrir d’éventuels
nouveaux points d’entrée
•
Possibilité de patcher le Système d’Exploitation & les applications
d’Office (Anglais, Français, Allemand, Italien, Espagnol)
•
Identification du système d’exploitation
•
Détection de l’hôte actif
•
Sortie HTML, XSL, XML, Microsoft Access et Microsoft SQL
•
Audit SNMP & MS SQL
et ports TCP et UDP
•
Language d’inscription compatible avec VBscript
personnaliser les vérifications des vulnérabilités
afin
de
Composants de GFI LANguard N.S.S.
GFI LANguard N.S.S. est conçu sur une architecture d’entreprise et
est composé de :
GFI LANguard Network Security Scanner
Il s’agit de l’interface principale du produit. Vous pouvez utiliser cette
application pour scanner les résultats en temps réel, configurer les
options de balayage, profils de balayages, créer des filtres sur les
rapports, ainsi que des outils administratifs et bien plus encore.
GFI LANguard N.S.S. attendant service
Ce service conduit des balayages de réseau ainsi que des
déploiements patch programmés. Il fonctionne en arrière plan.
GFI LANguard N.S.S. Patch Agent Service
Ce service est déployé sur les postes sur lesquels un patch, une cible
pack service ou un logiciel doit être déployé et prend en charge
l’installation même du patch, du service pack ou du logiciel.
GFI LANguard N.S.S. Débuggeur de script
Vous pouvez utiliser ce module pour écrire/débugger des scripts que
vous avez créés.
Système de licences
Le système de licences de GFI LANguard N.S.S. fonctionne pour le
nombre de postes et périphériques que vous désirez. Par exemple, la
licence 100 adresses IP vous permet de scanner jusqu’à 100 postes
ou périphériques à partir d’une seule station de travail/serveur de
votre réseau.
Introduction • 7
Installation de GFI LANguard Network
Security Scanner
Système requis
L’installation de GFI LANguard Network Security Scanner nécessite :
•
Windows 2000/2003 ou Windows XP
•
Internet Explorer 5.1 ou supérieur
•
Installation de Client pour Microsoft Networks
•
AUCUN logiciel de Personal Firewall NI Windows XP Internet
Connection Firewall ne peuvent être lancés lors de balayages. Ils
peuvent bloquer les fonctionnalités de GFI LANguard N.S.S.
•
Afin de déployer des patches sur un poste isolé vous devez
bénéficier des privilèges d’administrateur.
Processus d’installation
1. Exécutez le programme d’installation de LANguard Network
Security Scanner en double-cliquant sur le fichier lannetscan.exe.
Confirmez que vous désirez installer GFI LANguard N.S.S. .
L’assistant d’installation apparaîtra. Cliquez sur Next
2. Après avoir lu la boîte de dialogue de l’accord de licence, cliquez
sur Yes pour accepter l’accord et continuer l’installation.
3. Le programme d’installation vous demandera vos détails
d’utilisateur et une clef de licence.
Installation de GFI LANguard Network Security Scanner • 9
Précisez les coordonnées d’administrateur de domaine ou utilisez le compte local du système
4. Le programme d’installation vous demandera d’entrer vos
coordonnées d’administrateur de domaine qui sont utilisées par
l’Attendant Service LANguard N.S.S. (qui lance des balayages
programmés). Entrez les coordonnées nécessaires et cliquez Next.
Choisir la base de données d’arrière plan
5. Le programme d’installation vous demandera de choisir la base de
données d’arrière plan pour la base de données de GFI LANguard
N.S.S.. Choisissez entre Microsoft Access ou Microsoft SQL
Server\MSDE et cliquez sur Next.
REMARQUE : SQL Server/MSDE doit être installé en mode mixte ou
en mode d’autentification de serveur SQL. Le mode d’authentification
NT seul n’est pas supporté.
10 • Installation de GFI LANguard Network Security Scanner
6. Si vous choisissez Microsoft SQL Server/MSDE comme base de
données d’arrière plan, on vous demandera les coordonnées de SQL
afin de pouvoir avoir accès à la base de données. Cliquez sur Next
pour continuer.
7. Le programme d’installation vous demandera votre adresse email
d’administrateur et votre nom de serveur de messagerie. Ces
données seront utilisées pour envoyer des alertes administratives.
8. Choisissez l’emplacement cible pour GFI LANguard N.S.S. et
cliquez sur Next. GFI LANguard N.S.S. nécessite environ de 40 Mo
d’espace disque.
9. Après l’installation de GFI LANguard N.S.S., il est possible
d’exécuter GFI LANguard Network Security Scanner à partir du menu
Démarrer.
Saisir votre clé de licence après l’installation
Si vous avez acheté GFI LANguard N.S.S., vous pouvez saisir votre
clé de licence dans le nœud General > Licensing.
Si vous évaluez GFI LANguard N.S.S., celui-ci expirera
automatiquement après 60 jours (avec la clé de licence). Si vous
décidez d’acheter GFI LANguard N.S.S., il vous suffira de saisir la clé
de licence ici sans recommencer l’installation.
Vous devez obtenir une licence GFI LANguard N.S.S. pour chaque
poste de travail que vous désirez scanner, et pour chaque poste sur
lesquels vous voulez l’exécuter. Si vous avez 3 administrateurs qui
utilisent GFI LANguard N.S.S., vous devez alors acheter 3 licences.
Il ne faut pas confondre la saisie de la clé de licence avec le
processus d’enregistrement des coordonnées de votre société sur
notre site web. Ces dernières sont importantes, puisqu’elles nous
permettent de vous offrir un système de support et de vous avertir de
l’arrivée de nouvelles importantes concernant les produits. Inscrivezvous sur :
http://www.gfsfrance.com/pages/regfrm.htm
Remarque : Pour acheter GFI LANguard N.S.S., allez sur le noeud
General > How to purchase.
Installation de GFI LANguard Network Security Scanner • 11
Pour commencer : Effectuer un audit
Introduction aux audits de sécurité
Un audit des ressources de réseau permet à l’administrateur
d’identifier les risques éventuels au sein d’un réseau. Cette opération,
effectuée manuellement, prend beaucoup de temps, à cause des
procédures et tâches répétitives devant être appliquées à chaque
machine du réseau. GFI LANguard N.S.S. automatise le processus
d’audit de sécurisation & identifie facilement les vulnérabilités
courantes de votre réseau même, très rapidement.
Remarque : Si votre société excécute un système de détection
d’intrusion (IDS), alors LANguard Network Security Scanner
déclenchera presque toutes ses alarmes. Si vous n’êtes pas en
charge du système IDS, assurez-vous que l’administrateur de cette
boîte/ces boîtes soit au courant du balayage qui va avoir lieu.
En plus de ces alertes de logiciel IDS, sachez que la plupart des
balayages apparaîtront dans les fichiers journaux unilatéraux. Les
journaux Unix, les serveurs Web, etc. afficheront l’action du poste de
travail qui aura excécuté LANguard Network Security Scanner. Si
vous n’êtes pas le seul administrateur à votre poste, assurez-vous
que les autres administrateurs sont au courant du balayage que vous
allez effectuer.
Balayage
La première étape d’un audit de réseau est d’effectuer un balayage
des machines et périphériques de réseau actuels.
Pour lancer un nouveau balayage de réseau :
1. Cliquez sur File > New.
2. Sélectionnez ce que vous voulez balayer. Vous pouvez
sélectionner :
a. Balayage d’un poste de travail – Un seul ordinateur sera
balayé.
b. Balayage de plusieurs postes de travail – Une gamme d’
adresses IP précises seront balayées.
c. Balayage d’une liste d’ordinateurs – Une liste
personnalisée d’ordinateurs sera balayée. Des postes de
travail peuvent être ajoutés à la liste en les sélectionnant à
partir d’une liste des ordinateurs, en les saisissant les uns
après les autres, ou en les important d’un fichier texte.
d. Balayage d’un domaine – un domaine windows entier sera
balayé.
Pour commencer : Effectuer un audit • 13
3. Selon ce que vous désirez scanner saisissez le début et la fin du
balayage du réseau.
4. Sélectionnez Start Scan.
Effectuer un balayage
LANguard Network Security Scanner va maintenant procéder au
balayage. Il commence par détecter quels hôtes/ordinateurs sont
allumés, et ne balaye que ceux-ci. Ceci est effectué grâce aux
vérifications NETBIOS, ping ICMP et interrogations SNMP.
Si un périphérique ne répond à aucun, GFI LANguard N.S.S.
suppose, pour le moment, que le périphérique soit n’existe pas à cette
address IP soit est actuellement éteint.
Remarque : Si vous voulez imposer un balayage sur un Imps qui ne
répond pas, référez-vous au chapître ’Configuration des options de
balayage’ pour obtenir des informations sur le meilleur moyen de le
configurer.
14 • Pour commencer : Effectuer un audit
Analyse des résultats de scan
Analyse des résultats
Suite au balayage, des noeuds apparaissent pour chaque machine
trouvée par GFI LANguard N.S.S. Le panneau de gauche fera
apparaître toutes les machines et les périphériques de réseau.
L’agrandissement de l’un de ces noeuds fait apparaître la liste d’une
série de nœuds et les informations trouvées pour cette machine ou ce
périphérique de réseau. Cliquez sur un noeud particulier et les
informations scannées apparaîtront sur le panneau de droite.
GFI LANguard N.S.S. trouve tout périphérique de réseau actuellement
allumé lors d’une sonde du réseau. Selon le type de périphérique et
selon le type de requêtes auquel celui-ci répond, on détermine avec
quelle facilité GFI LANguard N.S.S. l’identifie et quelles informations il
extrait.
Une fois le balayage du poste de travail/périphérique/réseau de GFI
LANguard N.S.S. fini, les informations suivantes apparaîtront :
Adresse IP, Nom du poste, Système d’Exploitation et
Niveau du Service Pack
L’adresse IP du poste/périphérique apparaîtra. Ensuite, viendra le
nom NetBIOS DNS, selon le type de périphérique. GFI LANguard
N.S.S. rapportera que le système d’exploitation fonctionne sur le
périphérique et s’il s’agit de Windows NT/2000/XP/2003, il montrera le
niveau du pack de service.
Nœud de vulnérabilités
Le noeud de vulnérabilités affiche les problèmes de sécurité détectés
et vous explique comment les résoudre.
Ces menaces peuvent
inclure des patches et des services packs manquants, des problèmes
HTTP, des alertes NetBIOS, des problèmes de configuration etc…
Les vulnérabilités sont divisées en sections : Service packs
manquants, patches manquants, vulnérabilités critiques, vulnérabilités
moyennes et vulnérabilités faibles.
Sous chaque section Critique/ Moyenne/ Faible des vulnérabilités,
vous pouvez trouver de plus amples sous catégories du problème
détecté en utilisant le groupement suivant : Abus CGI, Vulnérabilités
FTP, Vulnérabilités DNS, Vulnérabilités de messagerie, Vulnérabilités
RPC, Vulnérabilités de Service, Vulnérabilités de Registre et Autres
Vulnérabilités.
Patches manquants GFI LANguard N.S.S. recherche les patches
manquants en comparant les patches installés à ceux qui sont
disponibles pour un produit particulier. Si plusieurs patches manquent
sur un ordinateur, un écran semblable à celui ci-dessous devrait
apparaître :
Tout d’abord il vous dit à quel produit le patch se rapporte. Si vous
l’agrandissez, il vous signalera le patch précis manquant et vous
donnera un lien à suivre pour le télécharger.
CGI Abuses décrit les problèmes liés à Apache, Netscape, IIS et
autres serveurs web.
Vulnérabilités FTP, Vulnérabilités DNS, Vulnérabilités de
messagerie, Vulnérabilités RPC, et Autres Vulnérabilités
fournissent des liens vers Bugtraq ou autres sites web de sécurité
pour que vous puissiez rechercher davantage d’informations
concernant le problème trouvé par GFI LANguard N.S.S.
Le service de vulnérabilités peut dénoter un certain nombre de
choses. Elles peuvent aller des services exécutés sur le périphérique
en question aux comptes définis sur une machine et qui n’ont jamais
été utilisés.
Les vulnérabilités de Registre couvrent les informations extraites
d’une machine Windows lorsque GFI LANguard N.S.S. effectue son
premier balayage. Il offre un lien vers le site Microsoft ou autres sites
web de sécurité expliquant pourquoi ces paramètres de base de
registre devraient être changés.
Informations de vulnérabilités sont des alertes ajoutées à la base
de données qui dénotent des questions assez importantes pour être
notifiés aux administrateurs, mais ne sont pas forcément nuisibles
lorsque ouvertes.
Noeud éventuel de vulnérabilités
Le noeud éventuel de vulnérabilité expose des problèmes de
sécurisation éventuels, des informations importantes, ainsi que
certaines vérifications qui n’ont pas pu être conduites. Par exemple, si
vous n'arrivez pas à déterminer qu'un patch précis est installé, il sera
alors listé dans le noeud des patches Non détectables. Ces
éventuelles vulnérabilités doivent faire l’objet d’une révision par
l’administrateur.
Noeud éventuel de vulnérabilités
Partages
Le noeud de dossiers partagés liste tous les dossiers partagés de
l'ordinateur et ceux qui y ont accès. Tous les dossiers partagés de
réseau doivent être correctement sécurisés. Les administrateurs
doivent vérifier que :
1. Aucun utilisateur ne partage l’intégralité de son lecteur avec
d’autres utilisateurs.
2. L’accès anonyme ou non identifié aux dossiers partagés soit
interdit.
3. Les dossiers de démarrage ou fichiers de système semblables ne
soient pas partagés. Ceci permettrait aux utilisateurs ayant moins
de privilèges d’exécuter du code sur les machines cibles.
Les points ci-dessus sont très importants pour toutes les machines,
mais en particulier pour les machines cruciales à l’intégrité du
système, telles que le contrôleur de domaine public (PDC). Imaginez
un administrateur partageant le dossier de démarrage (ou un dossier
contenant le dossier de démarrage) sur le PDC vers tous les
utilisateurs.
Avec les permissions appropriées, les utilisateurs
peuvent alors facilement copier des exécutables dans le dossier de
démarrage, qui sera exécuté lors de la prochaine connexion de
l’administrateur.
Remarque : Si vous exécutez le balayage en tant qu’administrateur,
vous pourrez également visualiser les partages administratifs, par
exemple « C$ - default share ». Ces partages ne seront pas
accessibles aux utilisateurs normaux.
Dû à la présence de Klez et autres virus qui se répandent rapidement
grâce à des partages ouverts, il est conseillé d’arrêter tous les
partages non requis, et tous les partages requis devraient avoir un
mot de passe.
Stratégie de mot de passe
Ce noeud vous permet de vérifier que le mot de passe est sécurisé.
Par exemple, activez un âge maximum et un historique de mot de
passe. La longueur minimale de mot de passe devrait être quelque
chose de pratique, comme par exemple 8 caractères. Si vous avez
Windows 2000, vous pouvez activer une stratégie de mot de passe
sécurisée, sur l’ensemble du réseau, grâce à une GPO (Group Policy
Objects) dans le Active Directory.
Registre
Ce noeud vous donne des informations vitales concernant la base de
registre distante. Cliquez sur le noeud Run pour vérifier quels
programmes sont lancés automatiquement lors du démarrage.
Vérifiez que les programmes qui sont lancés automatiquement ne
sont pas des chevaux de Troie ou même des programmes valides qui
fournissent un accès à distance à une machine si ce logiciel n’est pas
autorisé sur votre réseau. Tout type de logiciel à accès distant peut
finir par constituer une porte dérobée pouvant être utilisée par un
pirate désirant accéder au réseau.
Stratégie de sécurisation d’audit
Ce noeud montre quelles stratégies de sécurisation d’audit sont
actives sur la machine distante. Les stratégies d’audit suivantes sont
recommandées :
Stratégie d’audit
Succès
Echec
Account
logon
events
(évènements de connexion de
compte)
Oui
Oui
Account management (gestion
des comptes)
Oui
Oui
Accès à un service d’annuaire
Oui
Oui
Evènements de connexion
Oui
Oui
Oui
Oui
Changement de stratégie
Oui
Oui
Utilisation privilégiée
Non
Non
Suivi de processus
Non
Non
Evènements de système
Oui
Oui
Object
objets)
Access
(accès
aux
Vous pouvez activer un audit à partir de GFI LANguard N.S.S..
Cliquez le bouton de droite sur un des ordinateurs dans le panneau de
gauche et sélectionnez « Activez audit ». L'assistant administratif de
stratégie d’audit apparaîtra.
Précisez quelles stratégies d’audit vous voulez activer. Il y a sept
stratégies d’audit de sécurisation dans Windows NT et neuf stratégies
d’audit de sécurisation dans Windows 2000. Activez les stratégies
d’audit que vous voulez sur l’ordinateur à contrôler. Cliquez sur Next
pour configurer les stratégies d’audit.
Activer les stratégies d’audit sur des machines distantes.
S’il n’y a aucune erreur, la page de fin apparaîtra. S’il y a une erreur,
alors une autre page apparaîtra indiquant les ordinateurs sur lesquels
l’application des stratégies a échoué.
Dialogue de résultats dans l’assistant de stratégie d’audit
Ports ouverts
Le noeud des ports ouverts fait la liste de tous les ports ouverts
trouvés sur la machine. (Cette opération s’appelle un balayage de
ports). GFI LANguard N.S.S. procède à un balayage de port sélectif,
ce qui signifie qu’il ne scanne pas par défaut tous les ports 65535
TCP et les ports 65535 UDP, mais ceux pour lesquels il a été
configuré. La configuration des ports à balayer se fait à partir des
options de Balayage (Scan options). Pour de plus amples informations
référez-vous au chapitre « Configuration des options de balayage,
Configuration des ports à balayer ».
Chaque port ouvert représente un service / une application ; si l’un
des ces services peut être « exploité », le pirate peut avoir accès à
cette machine. Par conséquent, il est important de fermer tout port
superflu.
Remarque : Sur les réseaux Windows, les ports 135, 139 & 445 sont
toujours ouverts.
GFI LANguard N.S.S. vous indiquera quel port est ouvert, et s’il est
considéré comme un port vulnérable aux chevaux de Troie, GFI
LANguard N.S.S. le fera apparaître en ROUGE, autrement le port
apparaîtra en VERT. Ceci est visible dans la capture d’écran cidessous :
Remarque : Même si un port est affiché en ROUGE comme un port
vulnérable aux chevaux de Troie, cela ne veut pas dire qu’un
programme de porte dérobée est installé sur la machine. Certains
programmes valides utiliseront les mêmes ports que des chevaux de
Troie connus. Un programme antivirus utilise le même port que le
« backdoor » NetBus. Vérifiez donc toujours les informations d’entête fournies et exécutez d’autres vérifications sur ces machines.
Utilisateurs & Groupes d’utilisateurs
Ces noeuds représentent les groupes locaux et les utilisateurs locaux
présents sur l’ordinateur. Vérifiez qu’il n’y est pas de comptes
d’utilisateurs supplémentaires, et assurez-vous que le compte
« invité » soit désactivé. Les groupes et utilisateurs non autorisés
peuvent s’introduire où ils le veulent !
Certains programmes dangereux peuvent réactiver le compte invité et
lui donner des droits d’administrateur. Vérifiez donc les informations
du nœud d’utilisateurs pour connaître les activités des différents
comptes et les droits correspondant à chacun d’entre eux.
Dans l’idéal, l’utilisateur ne devrait pas utiliser un compte local pour se
connecter, mais devrait utiliser un compte de domaine ou d’Active
Directory.
La dernière chose à vérifier est l’âge du mot de passe.
Services
Tous les services sur la machine apparaissent dans la liste. Vérifiez
les services à exécuter et désactivez tous les services superflus.
Sachez que chaque service peut représenter un risque de sécurité ou
une faille potentielle dans le système.
La fermeture ou l’arrêt des
services non requis réduit considérablement les risques de sécurité.
System Patching status
Ce noeud montre quels patches sont installés et enregistrés sur la
machine distante.
Autres résultats
Cette section est une liste des noeuds supplémentaires auxquels vous
pouvez accéder après avoir passé en revue les principaux résultats
de balayage ci-dessus.
Noms NETBIOS
Dans ce noeud vous trouverez les détails des services installés sur la
machine.
Ordinateur
MAC - Adresse MAC de votre carte réseau.
Username - Ceci est le nom d’utilisateur de l’utilisateur actuellement
connecté, ou le nom d’utilisateur de la machine.
TTL - La valeur de durée de vie (TTL) est spécifique à chaque
périphérique. Les valeurs principales sont 32, 64, 128 et 255. A partir
de ces valeurs et de la TTL réelle du paquet, on a une idée de la
distance (nombre de sauts de routeur) entre la machine GFI
LANguard N.S.S. et la machine cible qui vient d’être balayée.
Computer Usage - Précise si la machine cible est un poste de travail
ou un serveur.
Domain - Si la machine cible fait partie d’un domaine, cela vous
donnera une liste du/des domaine(s) reconnus.
Si elle ne fait pas partie d’un domaine, on verra apparaître le groupe
de travail auquel elle appartient.
LAN manager - Donne le gestionnaire de LAN actif (et le système
d’exploitation).
Sessions
Affiche l’adresse IP des machines qui étaient connectées à la
machine cible au moment du balayage. Dans la plupart des cas, cela
sera la machine qui exécute GFI LANguard N.S.S. et qui a récemment
effectué des connexions.
Remarque : Dû au changement constant de cette valeur, les
informations ne sont pas sauvegardées dans le rapport mais ne sont
là qu’à titre d’information.
Network Devices
Fournit une liste des périphériques de réseau disponibles sur la
machine cible.
Remote TOD
Remote Time of the Day Ceci est l’heure du réseau sur la machine
cible, normalement définie par le contrôleur de domaine.
Balayages sur place et en-dehors du site
Nous vous recommandons de lancer GFI LANguard N.S.S. de deux
façons, le balayage « on site » et « off site ».
Balayage sur place (on site scan)
Installez une machine comprenant LANguard Network Security
Scanner.
Effectuez un balayage NULL session de votre réseau
(sélectionnez Null Session depuis la boîte déroulante).
Une fois ce premier balayage effectué, changez la valeur de la boîte
déroulante à Currently logged on user (si vous avez des droits
administratifs pour votre domaine), ou à Alternative credentials qui
ont des droits administratifs pour le Domaine ou pour l’Active
Directory.
Enregistrez ce deuxième balayage pour une comparaison ultérieure.
Grâce au NULL session, on peut voir ce que tout utilisateur se
connectant au réseau serait capable de visualiser. Le balayage, qui
a des droits d’administrateur, vous montre tous les hots fixes et les
patchs manquants sur la machine.
Balayage à distance (off site scan)
Si vous avez un compte en dialup externe, ou un accès Internet haut
débit non relié à l’entreprise, vous allez vouloir balayer votre réseau
depuis l’extérieur.
Effectuez un balayage ‘NULL session’ de votre réseau. Vous verrez
alors ce que toute personne sur internet serait capable de voir s’ils
balayaient votre réseau. Parmi les choses pouvant affecter ceci, se
trouvent tous les pare-feux que votre entreprise ou fournisseur
d’accès a pu installer et toute règle dans un routeur sur le chemin
pouvant laisser passer certains types de paquets.
Enregistrez ce balayage pour une comparaison ultérieure.
Comparaison des balayages sur place et de l’extérieur
Il est temps maintenant de regarder les informations générées par
LANguard Network Security Scanner.
Si le balayage de NULL session à partir de votre réseau interne
apparaît identique à celui du balayage externe, sachez qu’il semble
n’y avoir aucun pare-feu ou filtre sur votre réseau. C’est sans aucun
doute l’une des premières choses que vous devriez vérifier.
Vérifiez alors ce que tout utilisateur externe peut visualiser. Peuventils voir vos contrôleurs de domaine ou obtenir une liste de tous vos
comptes d’ordinateurs?
Qu’en est-il des serveurs web, FTP etc… ?
A ce moment précis, vous êtes tout seul.
Il vous faut peut-être
rechercher les patchs pour les serveurs web, les serveurs FTP etc… il
vous faut peut-être également vérifier et changer les paramètres des
serveurs SMTP. Chaque réseau est différent. GFI LANguard N.S.S.
tente de vous aider à définir les problèmes et les questions de
sécurité et vous mène vers des sites qui vous aideront à réparer les
failles découvertes.
Si vous trouvez des services exécutés superflus, assurez-vous de les
arrêter. Chaque service est un risque de sécurité potentiel qui peut
donner accès à une personne non autorisée.
De nouveaux
dépassements de mémoire tampon et exploits sont libérés tous les
jours, et bien que votre réseau puisse avoir l’air protégé aujourd’hui,
ce sera peut-être différent demain.
Pensez à exécuter des balayages de sécurité de temps en temps.
Ce n’est pas quelque chose que l’on fait une seule fois et on l’oublie.
De nouvelles formes d’attaques surviennent en permanence, et une
fois encore, ce n’est pas parce que votre réseau est sécurisé
aujourd’hui que vous savez ce qu’apportera le pirate de demain.
Résultats du scan de filtrage
Introduction
Une fois le balayage GFI LANguard effectué, il vous en montrera le
résultat dans le panneau « scan results ». Si vous avez balayé
beaucoup de machines, il serait préférable de filtrer les données à
partir du nœud de filtres Scan. Cliquez sur ce noeud et sélectionnez
un filtre qui existe déjà, cela vous montrera les résultats du balayage
basés sur le filtre que vous avez choisi. GFI LANguard N.S.S.
comporte de nombreux filtres de balayage par défaut. Vous pouvez en
plus de ça créer vos propres filtres de balayage.
Filtres de balayage
Les filtres de balayage suivants sont inclus par défaut :
Full report: Montre toutes les données liées à la sécurité qui ont été
relevées lors du balayage.
Vulnerabilities [High Security]: Montre les problèmes qui requièrent
une attention immédiate – de service packs manquants, patches
manquants, vulnérabilités critiques et ports ouverts.
Vulnerabilities [Medium Security] : Montre les problèmes qui
doivent être résolus par l’administrateur – vulnérabilités moyennes,
patches ne pouvant pas être détectés.
Vulnerabilities[All]:
Résultats du scan de filtrage • 25
Montre toutes les vulnérabilités détectées – patches manquants,
packs de service manquants, vérifications d’informations potentielles,
patches ne pouvant pas être détectés, faible et haut niveau de
vulnérabilités.
Patches manquants et service packs : Liste tous les packs de
services et les fichiers patch manquants sur la machine balayée.
Open Ports: Liste tous les ports ouverts (TCP et UDP)
Open Shares: Liste tous les partages ouverts et qui y a accès.
Auditing Policies: Liste les paramètres de stratégies d’audit sur
chaque ordinateur balayé.
Password Policies: Liste les stratégies actives de mot de passe sur
Groups and users: Liste les groupes et les utilisateurs détectés sur
Computer properties: Montre les propriétés de chaque ordinateur.
Sélectionner la source des résultats de balayage
Par défaut, les filtres fonctionnent avec les données du balayage
actuelles. Cependant, il est possible de sélectionner un fichier de
source de données de ‘résultats de balayage’ différent et d’y appliquer
les fichiers de source de données de résultats de balayage
enregistrés (qui est en fait un fichier XML). Pour cela :
1. Allez au nœud filtres Scan dans le programme de balayage de
sécurité de GFI LANguard N.S.S.
2. Cliquez sur le bouton de droite et sélectionnez ‘Filter saved scan
results XML file… ‘
3. Saisissez le fichier XML contenant les données de résultats du
balayage.
4. Tous les filtres montrent maintenant les données de ce fichier de
résultats de balayage. La source de données de balayage est à
coté du nœud des filtres de balayage. Soit les données actuelles
de balayage soit les noms des fichiers des résultats de balayage
d’où vous avez effectué le filtrage.
REMARQUE : Si la source de données pour les filtres de balayage est
réglée sur « Current Scan », aucun résultat n’apparaîtra jusqu’à ce
que le balayage ait été effectué.
Création d’un filtre de balayage personnalisé
Pour créer un filtre de balayage personnalisé :
1. Cliquez sur le bouton de droite sur GFI LANguard N.S.S. > Security
scanner > Scan Filters et sélectionnez New > Filter…
2. Ceci fera apparaître la boîte de dialogue Scan Filter Properties.
26 • Résultats du scan de filtrage
Filtres de balayage – page générale
3. Donnez un nom au filtre de balayage
4. Ajoutez les conditions à l’application des données de résultat de
balayage que vous désirez filtrer en cliquant sur ‘Add’. Il est possible
de créer des conditions multiples pour le filtrage. Pour chaque
condition, il faut préciser la propriété, la condition et la valeur. Les
propriétés disponibles sont le Système d’exploitation, le nom d’hôte,
l’utilisateur connecté, le domaine, le service pack, les partages, etc…
Boîte de dialogue des conditions
5. Saisissez les catégories d’informations que vous voulez avoir dans
le filtrage à partir de la page ‘Report Items’.
Résultats du scan de filtrage • 27
6. Cliquez sur OK pour créer un filtre.
Filtres de balayage – page des composants de rapports
Ce processus va ainsi créer un nouveau noeud permanent sous le
noeud de Scan Filters.
REMARQUE : Il est possible de supprimer/personnaliser un filtre dans
le noeud Scan Filter en cliquant sur le bouton de droit sur le filre et en
sélectionnant Delete…/Properties, selon l’opération que vous voulez
effectuée.
Exemple 1 – Recherche des ordinateurs avec un patch particulier
manquant
Vous voulez trouver tous les ordinateurs Windows sur lesquels le
patch MS03-026 est absent. (c’est le célèbre patch du virus blaster)
Définissez le filtre de la façon suivante :
1. Condition 1 : Système d’Exploitation incluant Windows
2. Condition 2 : Hot fix (patch) n’est pas installé MS03-026
Exemple 2 – Liste de toutes les stations Sun avec un serveur web
Pour lister toutes les stations Sun lançant un serveur web sur le port
80, définissez les demandes suivantes :
1. Système d’Exploitation incluant SunOS
2. Le port TCP est ouvert 80
28 • Résultats du scan de filtrage
Configuration de GFI LANguard N.S.S.
Introduction à la configuration de GFI LANguard N.S.S.
Il est possible de configurer GFI LANguard à partir du noeud de
configuration. Ici vous pouvez configurer les options de balayage, les
profils avec différentes options de balayage, balayages programmés,
option d’alertes, et bien plus…
Profils de balayage
Profils de balayage
Avec le profil de balayage, vous pouvez configurer plusieurs types de
scans et les utiliser pour vous concentrer sur certaines informations
particulières que vous voulez vérifier.
Un profile de balayage est créé en allant au noeud Configuration >
Scaning profiles, en cliquant sur le bouton de droite et en saisissant
New > Scan Profile…
Vous pouvez configurer les options suivantes pour chaque profil :
1. Scanned TCP ports
2. Scanned UDP ports
3. Scanned OS data
4. Scanned Vulnerabilities
Configuration de GFI LANguard N.S.S. • 29
5. Scanned Patches
6. Scanner properties
Scanned TCP/UDP ports
Les onglets des ports TCP/UDP balayés vous permettent de préciser
quels ports TCP et UDP vous voulez scanner. Pour activer un port,
cochez la case à coté du nom du port.
Configuration des ports à balayer dans un profil
Comment ajouter/éditer/supprimer des ports
Si vous voulez ajouter des ports TCP/UDP personnalisés, cliquez le
bouton ‘Add’. La boîte de dialogue des ‘Add port’ apparaît.
30 • Configuration de GFI LANguard N.S.S.
Capture d’écran 1 – ajout de port
Saisissez un numéro de port ou une gamme de ports et entrez une
description du programme qui est sensé fonctionner sur ce port. Si le
programme associé à ce port est un cheval de Troie, cochez la case
‘Is a Trojan port’.
Si vous précisez qu’il s’agit d’un port vulnérable au chevaux de Troie,
le cercle vert/rouge à coté du port deviendra rouge.
Remarque : Assurez-vous de bien inclure ce port dans la fenêtre de
protocole appropriée, soit TCP soit UDP.
Vous pouvez éditer ou supprimer des ports en cliquant sur le bouton
Edit ou Remove.
Scanned OS data
L’onglet des données Scanned OS précise le genre d’informations
que vous voulez que GFI LANguard N.S.S. récupère à partir du
système d’exploitation pendant le balayage. Actuellement seules les
données Windows OS sont supportées, cependant les données de
balayage UNIX sont en développement.
Scanned Vulnerabilities
Configuration des Vulnérabilités à balayer
L’onglet des vulnerabilités de balayage établit une liste de toutes les
vulnérabilités que GFI LANguard N.S.S. peut balayer. Vous pouvez
désactiver la vérification pour toutes les vulnérabilités en enlevant la
marque dans la case à cocher ‘Check for vulnerabilities’.
Par défaut, GFI LANguard N.S.S. recherche toutes les vulnérabilités
qu’il connaît. Vous pouvez changer cela en enlevant la marque de la
case cochée à coté de la vulnérabilité en question.
À partir du panneau de droite vous pouvez changer une vulnérabilité
particulière en la double-cliquant. Vous pouvez changer le niveau de
sécurité d’une vérification de vulnérabilité particulière à partir de
l’option ‘Security Level’.
Types de vulnérabilités
Les vulnérabilités sont divisées en sections : Patches manquants,
Patches introuvables, Abus CGI, Vulnérabilités FTP, Vulnérabilités
DNS, Vulnérabilités de messagerie, Vulnérabilités RPC, Vulnérabilités
de service, Vulnérabilités de Registre, et autres Vulnérabilités.
Options avancées de vérifications de vulnérabilités
Cliquez sur le bouton ‘advanced’ pour faire apparaître ces options.
•
Vérifications internes – Elles incluent les vérifications de mots de
passe anonymes ftp, les vérifications faibles de mots de passe
etc…
•
Vérifications CGI - démarrez la vérification CGI si vous travaillez
sur des serveurs web qui utilisent des scripts CGI. Vous pouvez si
vous le désirez préciser un serveur proxy si vous êtes localisé
derrière un serveur proxy.
•
Nouvelles vulnérabilités activées par défaut – Active/désactive
les vulnérabilités récemment ajoutées dans les balayages des
autres profils.
Téléchargement des dernières vulnérabilités de sécurité
Pour mettre à jour votre Security Vulnerabilties, saisissez Help >
Check for updates à partir du programme de balayage de GFI
LANguard N.S.S.. Cela téléchargera les dernières vulnérabiltés de
sécurité du site web de GFI Software. Cela mettra aussi à jour les
fichiers Fingerprint utilisés pour déterminer quel système d’exploitation
est sur un périphérique.
REMARQUE : Lors du démarrage GFI LANguard N.S.S. peut
automatiquement télécharger des nouvelles vérifications de
vulnérabilités à partir du site web de GFI Software. Cette configuration
se fait au noeud GFI LANguard N.S.S. > General > Product Updates.
Scanned Patches
Configuration des patches à verifier lors d’un balayage à profil particulier.
Cet onglet de patches balayés vous permet de configurer un profil
particulier de balayage afin de déterminer s’il doit chercher des
patches et/ou des service packs manquants.
Cet onglet liste tous les patches que GFI LANguard N.S.S. vérifie.
Vous pouvez désactiver la vérification pour des patches précis pour
ce profil en décochant la case à coté du bulletin de patch.
La liste des patches est obtenue à partir d’un téléchargement des des
dernières listes de patches du site web de GFI Software, qui ellemême est obtenue chez Microsoft (mssecure.xml). GFI Software
obtient la liste des patches de Microsoft et vérifie qu’elle soit correcte,
vu que de temps en temps elle contient des erreurs.
Bulletin d’information étendu
Pour plus d’informations sur un bulletin particulier, double-cliquez sur
le bulletin en question ou cliquez à droite et allez sur Properties. Vous
verrez alors plus en détails ce que le bulletin a vérifié et ce dont il
recourt.
Options de balayage
Dans cet onglet vous pouvez configurer les options liées à la façon
dont GFI LANguard effectue un balayage.
Propriétes de balayage de sécurité
Méthodes de découverte de réseau
Cette section est concerne les méthodes utilisées par GFI LANguard
N.S.S. pour découvrir les machines du réseau.
L’option NETBIOS queries permet aux requêtes NetBIOS ou SMB
d’être utilisées. Si le client pour Microsoft Networks est installé sur la
machine Windows, ou si les Services Samba sont installés sur une
machine Unix, ces machines répondront à la demande NetBIOS.
Vous pouvez ajouter un ScopeID au NetBIOS Query. Cela n’est
nécessaire que dans certains cas, où les systèmes ont un ScopeID.
Si votre entreprise a un SCopeID paramétré sur NetBIOS, saisissez-le
ici.
L’option des requêtes SNMP queries permet aux paquets SNMP
d’être envoyés avec le nom de communauté défini dans l’onglet
General. Si le périphérique répond à cette requête, GFI LANguard
N.S.S. demandera la référence de l’objet du périphérique et le
compare à la base de données en déterminant ce qu’est ce
périphérique.
Ping Sweep effectue un ping ICMP de chaque périphérique de
réseau. (voir Remarque : ci-dessous)
Découverte de Port TCP Personnalisé recherche un port ouvert
précis sur les machines cibles.
Remarque : Chacun des types de requêtes ci-dessus peut être
désactivé, mais GFI LANguard N.S.S. dépend de ces trois types de
requêtes pour déterminer le type de périphérique et le système
d’exploitation exécutés.
Si vous choisissez de désactiver l’une
d’entre elles, GFI LANguard N.S.S. ne sera pas aussi fiable dans son
identification.
Remarque : Certains pare-feux personnels empêchent une machine
d’envoyer un écho ICMP et donc d’être détectée par GFI LANguard
N.S.S.. Si vous pensez qu’il y a plusieurs machines avec des parefeux personnels sur votre réseau, essayez d’effectuer un balayage de
chaque adresse IP sur votre réseau.
Options de découverte de réseau
Les paramètres de découverte de réseau vous permettent peaufiner
la détection d’une machine, de cette façon vous avez une détection de
machine plus fiable en un rien de temps. Les paramétres ajustables
incluent :
•
Scanning Delay est la durée pendant laquelle LANguard N.S.S.
attend entre l’envoi de TCP/UDP. Le défaut est de 100 ms. Selon
votre connexion au réseau et le type de réseau sur lequel vous
vous trouvez (LAN/WAN/MAN), vous devrez peut-être ajuster ces
paramètres. Si le paramètre est trop faible, vous allez trouver que
votre réseau est encombré de paquets de GFI LANguard N.S.S..
Si vous le réglez trop haut, vous allez perdre beaucoup de temps
pour rien.
•
Wait for Responses est la durée pendant laquelle LANguard
N.S.S. attend une réponse du périphérique. Si l’on fonctionne sur
un réseau lent ou occupé, il faut parfois augmenter cette
fonctionnalité d’expiration de 500 ms à une durée supérieure
•
Number of retries est le nombre de fois que GFI LANguard
N.S.S. effectue chaque type de balayage. En des circonstances
normales, ce paramètre n’a pas besoin d’être modifié. Sachez
cependant que si vous changez ce paramètre, il exécutera chaque
type de balayage (NetBIOS, SNMP, ICMP) le nombre de fois
spécifié.
•
Include non-responsive computers est une option qui enseigne
GFI LANguard N.S.S. security scanner à tenter le balyage d’une
machine qui n’a répondu à aucune des méthodes de découverte
de réseau
NetBIOS Query Options
On utilise une NetBIOS Scope ID afin d’isoler un groupe d’ordinateurs
sur le réseau qui peuvent seulement communiquer avec d’autres
ordinateurs qui sont configurés avec une NetBIOS ID identique.
Les programmes NetBIOS démarrés sur un ordinateur en utilisant une
NetBIOS Scope ID ne peuvent « percevoir » (recevoir ou envoyer des
messages) d’autres programmes NetBIOS démarrés par un procédé
sur un ordinateur configuré avec une NetBIOS Scope ID différente.
LNSS supporte NETBIOS Scope ID de façon à pouvoir balayer ces
ordinateurs isolés qui autrement seraient inaccessibles.
SNMP Query Options
L’option chargement des numéros de téléphone des contacts de la
société SNMP (Load SNMP enterprise numbers) permet à GFI
LANguard N.S.S. d’étendre son support en matière de balayage
SNMP. Si cette fonction est désactivée, les périphériques découverts
par SNMP que GFI LANguard N.S.S. ne connaît pas ne préciseront
pas qui est censé être le vendeur. A moins que vous rencontriez des
problèmes, il est recommandé de laisser cette option activée.
Par défaut, la plupart des périphériques compatibles SNMP utilisent
une chaine de communauté « publique »par défaut, mais pour des
raisons de sécurité, la plupart des administrateurs changent cela. Si
vous avez changé le nom de communauté SNMP par défaut sur vos
périphériques de réseau, vous devrez l’ajouter à la liste utilisée par
GFI LANguard N.S.S.
Remarque : Il est possible d’ajouter plus d’un nom de communauté
SNMP ici. Pour chaque nom de communauté ajouté, la partie SNMP
du balayage devra être exécutée une autre fois. Si votre nom de
communauté est « public » et « private », le balayage SNMP sera
effectué sur l’ensemble de la gamme IP donnée deux fois de suite.
Un balayage sera effectué avec le nom de communauté « public »
puis une seconde fois avec le nom de communauté « private ».
Scanner activity windows options
Les options de sortie vous permettent de configurer les informations
qui apparaitront dans le panneau d'activité de balayage. Il est utile de
l’activer, cependant, activez seulement ‘Verbose’ ou ‘Display packets’
pour des raisons de « débugages » exceptionnelles.
Balayages programmés
La fonction de balayage programmés vous permet de configurer les
balayages qui sont effectués automatiquement à un jour et une heure
précise. Les balayages programmés peuvent aussi être effectués de
façon périodique. Cela vous permet de faire un balayage particulier la
nuit ou tôt le matin et peut être utilisé en conjonction avec la fonction
de comparaison de résultats, vous permettant de recevoir un ‘Change
report’ automatiquement dans votre boîte aux lettres.
Par défaut, tous les balayages programmés sont stockés sur la base
de données. Il est aussi possible d’enregistrer tous les résultats de
balayages vers un fichier XML (un par balayage programmé). Cela
peut se faire en cliquantdroit le noeud Scheduled Scan,
selectionnant les propriétés, activant l’option Save Scheduled Scan et
en précisant un parcours pour les fichiers XML.
Configuration dun balayage programmé
Création d’un balayage programmé
1. Dans le programme de securité de balayage GFI LANguard N.S.S.
cliquez-droit sur Configuration > Scheduled scans > New >
Scheduled scan…
2. Cela vous permettra de visualiser la boîte de dialogue New
Scheduled Scan.
Création d’un nouveau Balayage Programmé
Dans la boîte de dialogue du New scheduled scan vous pouvez
configurer :
1. La cible du balayage Préciser les noms des ordinateurs ou la
gamme d'adresses IP que vous désirez balayer. Vous pouvez
préciser la cible du balayage de la façon suivant :
i. Nom d’hôte (Host name) – par ex. ANDREMDEV
ii. Adresse IP – par ex.192.168.100.9
iii. Gamme
d’adresses
192.168.100.255
IP
–par
ex.
192.168.100.1-
iv. Un dossier texte avec une liste d’ordinateurs – par ex.
file:c:\test.txt (compléter la piste jusqu’au dossier). Chaque
ligne contenue dans le dossier supporte tous formats ou cibles
précisés dans (1), (2) ou(3).
2. Profil de balayage : Sélectionnez le profil de balayage à utiliser
pour ce balayage programmé.
3. Prochain balayage : Précisez le jour et l’heure du début du
balayage
4. Effectuer un balayage tout : Précisez si vous voulez que le
balayage soit effectué une fois ou périodiquement.
5. Description Cela vous permettra de visualiser la liste des
balayages programmés
Cliquez sur OK pour créer balayage programmé.
Pour analyser/ visualiser les résultats d’un balayage programmé, vous
devez préciser le fichier XML de résultats de balayage de ce balayage
programmé dans le nœud de filtres de balayage. Pour cela :
1. Cliquez- droit sur le noeud principal “Scan Filters” et sélectionnez
“Filter saved scan results XML file…” .
2. Précisez le nom du fichier XML de résultats de balayage du scan
programmé.
3. Les noeuds filtres vous montrent maintenant les données du
dossier de résultats de balayages programmés.
Fichiers paramètres
Le noeud des fichiers paramètres fournit une interface directe pour
l’édition de plusieurs textes basés sur les fichiers utilisés par GFI
Languard N.S.S.. Seuls les utilisateurs avancés devraient les modifier.
Une édition incorrecte affectera la fiabilité de GFI LANguard N.S.S.
lors de l’identification du genre de périphérique trouvé.
•
Ethercodes.txt – ce fichier contient une liste d’adresses mac et le
revendeur associé qui se charge de cette gamme particulière
•
ftp.txt – ce fichier contient une liste de pages d’ouverture des
serveurs ftp internes utilisés par LNSS pour l’identification du
système d’exploitation de cette machine en particulier en se
basant sur le serveur ftp en application
•
Identd.txt – ce fichier contient des pages d’ouverture identd qui
sont aussi internes et utilisées par LNSS pour l’identification du
système d’exploitation utilisant l’information de la page d’ouverture
Object_ids.txt – ce fichier contient des SNMP object_ids et à quell
revendeur et produit ils appartiennent Lorsque GFI LANguard
N.S.S. trouve un périphérique qui répond aux requêtes, il compare
les informations de l’Object ID sur le périphérique à celles
stockées dans ce fichier
•
•
Passwords.txt – ce fichier comporte une liste de mots de passe qui
sont utilisés pour affirmer les faiblesses des mots de passe
•
Rpc.txt – ce fichier contient une carte entre les numéros de service
retournés par le protocol rpc et le nom du service associé à ce
numéro de service particulier Lorsque les services RPC sont en
application sur une machine (normallement Unix ou Linux), les
informations reçues en retour sont comparées à ce fichier
•
Smtp.txt – contient une liste de pages d’ouverture et de systèmes
d’exploitaions associés De même qu’avec les fichiers ftp et ident,
ces pages d’ouvertures sont internes et utilisées par LNSS pour
l’identification du système d’exploitation en application sur la
machine cible
•
Snmp-pass.txt – ce fichier contient une liste de chaines de
communauté utilisées par LNSS pour identifier si elles sont
disponibles sur le serveur cible SNMP Si disponibles, ces chaines
de communauté seront rapportées par l’outil de balayage SNMP
•
telnet.txt – encore une fois, il s’agit d’un fichier qui contient
plusieurs pages d’ouverture de serveur telnet utilsées par LNSS
pour identifier le système d’exploitation en application sur la
machine cible
•
www.txt – un fichier contenant des pages d’ouvertures de serveur
web utilisées pour identifier quel système d’exploitation est en
application sur la machine cible
•
Enterprise_numbers.txt – liste des codes de relation entre les OID
(Identificateur d’Objet) et les entreprises (vendeur /université) Si
GFI LANguard n’a pas les informations précises d’un périphérique
quand il le détecte (informations fournies par le fichier
object_ids.txt), il se réfèrera aux informations retounées
particulières au vendeur et au moins permet de trouver qui
l’identité du vendeur du produit détecté Cette information est
basée sur SMI Network Management Private Enterprise Codes,
que
vous
pouvez
voir
sur
:
http://www.iana.org/assignments/enterprise-numbers
Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes
Il est possible d’invoquer le procédé de balayage depuis les lignes de
commande. Cela vous permet d’appeler le scanner à partir d’une
autre application ou simplement à partir d’une base programmée avec
vos options de personnalisation propres.
Utilisation :
lnsscmd
<Target>
[/profile=profileName]
[/report=reportPath]
[/output=pathToXmlFile]
[/user=username
/password=password]
[/email=emailAddress] [/DontShowStatus] [/?]
Légende
/Profile Optional : Profil à utiliser pour le balayage Si celui-ci n’est pas
défini, le profil actif actuel sera utilisé.
/Output Optional : Nom entier (y compris le nom de fichier) où faire
sortir le fichier xml de résultats de balayage.
/Report Optional : Nom entier (y compris le nom de fichier) où générer
le fichier html de sortie de résultats.
/User Optional : Scanne la cible précisée en utilisant les coordonnées
alternatives précisées dans les paramètres /User et /Password.
/Password Optional : Scanne la cible précisée en utilisant les
coordonnées alternatives précisées dans les paramètres /User et
/Password.
/Email Optional : Envoie le rapport résultant de cette adresse email
alternative. Le serveur de messagerie précisé dans le nœud d’option
LNSS\Configuration\Alerting sera utilisé.
/DontShowStatus Optional : Ne montre pas les détails du progrès du
balayage.
REMARQUE : Les noms entiers, ainsi que ceux des profils,
comprennent le nom entre guillemets, par ex. "Default",
"c:\temp\test.xml".
Exemple :
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
L’exemple ci-dessus fait que la ligne de commande effectue un
balayage de sécurité sur la machine 127.0.0.1, envoie le fichier xml à
c:\out.xml, une fois le balayage complet, génère le rapport html à
c:\result.html et envoie le rapport à l’adresse email [email protected].
Déploiement de patch
Introduction au déploiement de patch
Utilisez l’outil de déploiement de patch pour garder les machines
utilisant Windows NT, 2000, XP et 2003 à jour avec les derniers
patches de sécurité et service packs. Pour déployer les patches et les
services packs, vous devez suivre les étapes suivantes :
Etape 1 : Effectuez un balayage de votre réseau
Etape 2 : Sélectionnez les machines sur lesquelles vous voulez
déployer les patches
Etape 3 : Sélectionnez quels patches déployer
Etape 4 : Téléchargez les fichiers patch et service pack
Etape 5 : Paramètres de déploiement de fichier de patch
Etape 6 : Déployez les mises à jour
Pour déployer les patches vous avez besoin de
•
Droits administratifs sur la machine que vous balayez
•
NETBIOS doit être activé sur la machine distante.
L’agent de déploiement de patch
GFI LANguard N.S.S. 5 utilise un agent de déploiement de patch,
lequel est installé sur la machine distante afin de déployer des
patches, des service packs et des logiciels personnalisés. L’agent de
déploiement de patch consiste en un service qui va appliquer
l’installation à un moment programmé selon les paramètres de
déploiement indiqués. Cette architecture est bien plus fiable que sans
l’utilisation d’un agent de déploiement de patch. L’agent de
déploiement de patch est installé automatiquement sans l’intervention
de l’administrateur.
Remarque : Il n’est pas rare que Microsoft retire les fichiers patch.
Lorsque cela arrive, les informations de ce patch restent dans le
fichier mssecure.xml, du fait que le patch était disponible à un moment
donné. Auquel cas, GFI LANguard NSS fera un rapport selon lequel le
patch est absent, même s’il ne peut pas être installé. Si vous ne
désirez pas être informé au sujet de ces patches manquants, vous
devez désactiver la vérification pour ce bulletin particulier à partir de
GFI LANguard N.S.S.> Configuration > Scannning Profiles > Patches.
Etape 1 : Effectuez un balayage de votre réseau
GFI LANguard N.S.S. découvre les patches et les service packs
manquants lors des balayages de sécurité. Il y parvient en comparant
les réglages de registre, date du fichier/timbres de l’heure, et la
Déploiement de patch • 41
version informatique de la machine distante, utilisant les informations
fournies par Microsoft dans le fichier mssecure.xml.
Tout d’abord, GFI LANguard N.S.S. détecte quels produits, pour
lesquels il a des informations patch, sont installés sur la machine
distante ( par ex. Microsoft Office). Après quoi, il vérifie que les
patches et les service packs sont disponibles pour ce produit et
envoie les informations de patch manquant dans le nœud de patches
Manquants du nœud de vulnérabilités de haute sécurité.
Exemple de patch manquant dans l’arboressence des résultats de balayage
Pour chaque patch / service pack manquant GFI LANguard N.S.S.
rapporte un lien à partir duquel vous pouvez télécharger le fichier de
patch ainsi que d’autres informations liées à ce bulletin.
Les patches qui sont indéniablement absents sont rapportés dans les
noeuds de patches et service packs manquants (”Missing patches and
service packs nodes”) des résultats de balayage.
Les patches qui ne peuvent pas être confirmés comme étant ou non
installés dû au manque d’informations de détection sont rapportés
dans le nœud ”Potential vulnerabilities” des résultats de balyage.
Exemple de patch non détectable dans l’arboressence des sorties de résultats de balayage
Etape 2 : Sélectionnez les machines sur lesquelles vous voulez déployer
les patches
Après le balayage réseau, l’énumération des service packs et des
patches manquants seront listés dans la fenêtre de résultats de
balayage. De façon à deployer les mises à jour manquantes, vous
devez sélectionner les ordinateurs que vous voulez mettre à jour. Les
patches peuvent être déployés sur une machine, toutes les machines,
ou sur les machines sélectionnées.
Déploiement des patches manquants sur un ordinateur :
Cliquez-droit sur l’ordinateur à mettre à jour > Deploy Microsoft
updates > [genre de mise à jour] > This computer.
Déploiement des patches manquants sur tous les ordinateurs :
Cliquez-droit sur n’importe quel ordinateur à mettre à jour > Deploy
Microsoft updates > [genre de mise à jour] > All computers.
42 • Déploiement de patch
Déploiement des patches manquants sur les machines
sélectionnéees :
Utilisez les cases de gauche des résultats de balayage pour
sélectionner les machines à mettre à jour. Cliquez-droit sur n’importe
quel ordinateur dans l’arboressence de résultats > Deploy Microsoft
updates > [genre de mise à jour] > Selected Computers.
Indiquez sur quelles machines vous voulez déployer les mises à jour.
Etape 3 : Sélectionnez quels patches déployer
Une fois les ordinateurs cibles sélectionnés pour le déploiement des
patches Microsoft, vous allez être amené au nœud de déploiement de
patches Microsoft. Ce noeud vous montre les détails des ordinateurs
sélectionnés et quels patches/ service packs doivent être déployés sur
ces ordinateurs.
Vous avez un choix entre deux visualisations qui vous permettent de
contrôler les options de déploiement.
(1) Arrangement par ordinateur : Sélection d’un ordinateur et
visualisation des patches / mises à jour à déployer.
(2) Arrangement par patches : Sélection d’un patch et visualisation
des ordinateurs ayant besoin de cette mise à jour.
Noeud de patches de Déploiement Microsoft
Par défaut, tous les patches seront sélectionnés pour le déploiement.
Si vous ne voulez pas que certains patches soient déployés, ne
cochez pas la case correspondante au patch.
Etape 4 : Téléchargez les fichiers patch et service pack
Après avoir sélectionné les patches/ service packs à déployer, les
fichiers appropriés contenant les patches à déployer doivent être
téléchargés. En grande partie, cela est fait automatiquement par GFI
LANguard N.S.S. qui par la suite les placera dans les annuaires
correspondants selon le produit et le langage du produit mis à jour.
GFI LANguard NSS montre quels fichiers patch doivent être téléchargés
GFI LAnguard N.S.S. montre quels fichiers doivent être téléchargés
dans la liste des patches à déployer. Chaque fichier patch doit être
listé et sera dans l’un des états suivants, indiqués par un symbole
dans la liste des patches manquants.
Téléchargé
En cours de téléchargement
L’utilisateur doit visiter la page web et cliquer sur le lien pour
télécharger le fichier.
Non téléchargé.
Téléchargement des patches
Les patches Microsoft, listés dans le fihier mssecure.xml, peuvent être
divisés en trois catégories principales.
(1) Les patches avec location URL de téléchargement direct.
(2) Les patches nécessitant la navigation de pages web pour
télécharger le fichier.
(3) Les patches pour lesquels il n’existe aucun fichier patch.
Pour télécharger les patches pour lesquels il y a un lien direct :
Pour les patches qui ont un lien de téléchargement direct, cliquez-droit
sur le fichier patch et sélectionnez “Download File”. Le téléchargement
va commencé et une fois terminé, le fichier sera placé dans le correct
annuaire pour vous.
Pour télécharger des patches pour lesquels il n’y a pas de lien de
téléchargement mais seulement une page Internet source.
Lorsque GFI LANguard N.S.S. détecte un fichier qui doit être
téléchargé manuellement à partir du site Internet Microsoft, il chargera
la page Internet parente cible au bas de la zone outil de déploiement.
Vous pourrez ensuite trouver le lien de téléchargement approprié et
cliquer dessus. GFI LANguard N.S.S. contrôlera cette session Internet
et dès qu’il détecte que vous avez cliqué sur un lien de
téléchargement direct, il commencera à télécharger ce fichier
automatiquement pour vous. La navigation de la page web fera partie
de la session de téléchargement. Si vous voulez annuler cette session
de téléchargement vous devez cliquer sur le patch et sélectionner
“Cancel Download”. Une fois le téléchargement complété, le fichier
sera placé dans le correct annuaire pour vous.
Téléchargement d’un patch à partir d’une page Inetrnet avec l’assistant de téléchargement.
Etape 5 : Paramètres de déploiement de fichier de patch
Vous pouvez éventuellement configurer des paramètres
déploiement alternatifs de patch à patch. Pour cela :
1. Cliquez-droit sur le fichier patch et sélectionnez ”Propriétés”.
2. Précisez éventuellement une autre source URL
téléchargement.
de
de
3. Précisez éventuellement les paramètres de ligne de commande à
utiliser pendant le déploiement.
Vous pouvez vérifier à quel bulletin le patch s’applique en cliquantdroit sur le fichier patch et saisissez “Bulletin Info…”
Propriétés du fichier patch
Etape 6 : Déployez les mises à jour
Après avoir saisi les ordinateurs sur lesquels les patches doivent être
déployés et après leur téléchargement, vous êtes prêt pour le
déploiement.
Cliquez Start en bas à droite pour commencer le déploiement.
Initialisation de déploiement de patch en cliquant sur Start
Le déploiement des patches va maintenant commencer. Vous pouvez
contrôler le status du déploiement de patch à partir de la barre d’état.
Contrôle du processus de téléchargement
Logiciel personnalisé de déploiement
L’outil de déploiement de logiciel personnalisé est très utile pour le
déploiement de patches personnalisés pour les logiciels de réseau, ou
même pour installer des logiciels de réseau. Il est souvent utilisé pour
déployer des mises à jour de signatures virales de réseau. Le procédé
de déploiement de logiciel personnalisé est très similaire au procédé
de pach d’une machine.
Logiciel personnalisé de déploiement
Etape 1 : Sélection des machines sur lesquelles il faut
installer le logiciel/patches
1. Allez sur le noeud Deploy custom software dans le noeud d’outil.
2. Cliquez sur Add pour ajouter un seul ordinateur, ou cliquez sur
Select pour sélectionner une gamme d’ordinateurs sur lesquels
déployer le logiciel personnalisé.
Remarque : Vous pouvez aussi saisir les machines sur lesquelles il
faut déployer le logiciel personnalisé depuis le nœud Security Scanner
et le nœud Tools > Enumerate Computers.
Etape 2 : Précisez logiciel à déployer
Cliquez sur Add… dans les “Patches:” section pour préciser la
location initiale du fichier et préciser tous paramètres de ligne de
commande qui devra être utilisé pour le déploiement du fichier.
Précision du logiciel à déployer
Vous pouvez éventuellement programmer à quel moment le
déploiement doit avoir lieu.
Etape 3 : Commencez le déploiement
Une fois le logiciel pour le déploiement et les ordinateurs concernés
précisés, vous pouvez commencer le processus de déploiement en
cliquant sur Start.
Dépoyez les patches personnalisés en indiquant quels fichiers d’ordres déployer et sur quel
ordinateur.
Options de déploiement
Options de déploiement
Vous pouvez configurer les options de déploiement en survollant le
bouton des options avec la souris, situé sur la droite de l’écran. Là,
vous pouvez :
•
Configurer le Sevice de l’agent de déploiement à executer les
coordonnées alternatives
•
Redémarrer l’ordinateur cible après déploiement. Certaines
versions provisoires nécessitent un redémarrage après installation
; Cochez cette case si un patch ou plus que vous désirez déployer
nécessite un redémarrage.
•
Avertir l’utilisateur avant déploiement. Un message sera envoyé à
la machine cible avant le déploiement des mises à jour
•
Arrêter les services avant le déploiement : Cette option arête les
services des serveurs ISS & MS SQL avant déploiement
•
Supprimer les fichiers copiés sur les machines distantes après
déploiement
•
Configurer le nombre de threads de déploiement de patches à
utiliser
•
Configurer les conditions particulières de filtrage vers lesquelles il
faut déployer le patch (filtres de l’ordinateur)
REMARQUE : Dans l’outil pièce Deploy custom patch, les filtres
d’ordinateur ne s’appliqueront pas aux ordinateurs qui n’ont pas été
balayés par l’outil de balayage de securité.
Comparaison des résultats
Pourquoi comparer les résultats ?
En faisant un audit régulièrement et en comparant les résultats des
précédents balayages vous aurez une idée de quels trous de sécurité
reviennent continuellement ou sont ré-ouverts par des utilisateurs.
Cela crée un réseau plus sécurisé.
GFI LANguard Network Security Scanner vous aide à faire cela en
vous permettant de comparer les résultats de balayages. GFI
LANguard N.S.S. établira un rapport et vous permettra d’agir. Vous
pouvez comparer les résultats manuellement ou par balayages
programmés.
Effetuer une comparaison de résultats interactive
Lorsque GFI LANguard N.S.S. effectue un balayage programmé, il
sauvegarde le fichier XML des résultats dans l’annuaire Data\Reports
dans l’annuaire d’installation GFI LANguard N.S.S..
Vous pouvez aussi sauvegarder les résultats de balayage actuels vers
un fichier xml en cliquant-droit sur le noeud de balayage de sécurité et
en saisissant ‘Save scan results to xml file…’.
Pout comparer deux fichiers XML de résultats de balayage :
1. Allez sur l’outil de comparaison de résultats ‘GFI LAnguard N.S.S. >
Security Scanner > Result comparison’.
2. Saisissez deux fichiers de résultats de balayage, effectués avec les
mêmes options et le même jeu d’ordinateurs, mais effectués à
différents moments, et cliquez ‘Compare’.
Comparaison des résultats • 51
Comparer les résultats
Le résultat sera similaire à la capture d’écran ci-dessus. Elle vous
montre ce qui a été activé ou désactivé et tous les changements
opérés sur le réseau depuis le dernier balayage.
•
Les nouveaux objets vous montreront tous les nouveaux
changements qui ont été appliqués après le premier balayage
•
Les objets supprimés montreront tous les périphériques
/problèmes qui ont été supprimés depuis le premier balayage
•
Les items alternés montreront tout ce qui a changé, tel qu’un
service démaré ou arrêté entre deux balayages.
Effectuer une Comparaison avec l’option de balayages programmés
Au lieu de balayer manuellement votre réseau chaque jour, semaine,
ou mois, vous pouvez établir un balayage programmé. Un Scheduled
Scan s’exécutera automatiquement à un certain moment et enverra
un email des différences entre les balayages programmés à
l’administrateur. Par exemple : L’administrateur peut configurer la
fonction Scheduled Scan afin d’effectuer un balayage toutes les nuits
à 23:00. L’attendant service GFI LANguard N.S.S. lancera un
balayage de sécurité sur l’ordinateur(s) cible(s) saisi et enregistrera
les résultats sur la base de données centrale. Ensuite, il comparera
les résultats actuels à ceux de la veille et établira un rapport des
différences, s’il y a lieu.
REMARQUE : Si vous effectuez un balayage programmé pour la
premiére fois ou s’il n’y a pas de différence avec le balayage
précédent, alors GFI LANguard N.S.S. ne vous enverra pas de
rapport. Vous recevrez un rapport si quelque chose a changé.
52 • Comparaison des résultats
Outils
Introduction
Les Outils suivants peuvent être trouvés dans le Menu Outils
•
DNS lookup (consultation de tables DNS)
•
Whois Client
•
Trace Route
•
SNMP Walk (chemin SNMP)
•
SNMP Audit
•
MS SQL Server Audit
•
Enumération des Ordinateurs.
DNS lookup
Cet outil résoud le nom de domaine (Domain Name) à une adresse IP
correspondante et en plus fournit des informations sur le nom de
domaine, s’il y a un enregistrement MX etc…
Outil de recherche DNS
Pour obtenir des informations sur le nom de domaine :
1. Allez sur le nœud Tools > DNS lookup.
2. Précisez le nom d’hôte à résoudre.
3. Précisez les informations à rechercher.
Outils • 53
•
Basic Information – par ex. le nom d’hôte et l’adresse IP à
laquelle il se résout.
•
Host Information – connu sous le nom technique de HINFO, et
comprenant normalement des informations telles que matériel
hardware et quel système d’exploitaion est exécuté sur le domaine
précisé (la plupart des entrées DNS ne contiennent pas ces
informations pour des raisons de sécurité)
•
Aliases – retourne les informations qu’un enregistrement de
domaine peut avoir
•
MX Records aussi connu sous le nom d’enregistrements de Mail
exchangers, montre quel(s) serveur(s) de messagerie et dans quel
ordre ils sont responsables pour ce domaine
•
NS Records indique quels serveurs sont responsables pour ce
domaine.
En plus de ça, il est possible de préciser un serveur DNS alternatif.
Trace Route
Utilitaire Trace route
Cet utilitaire montre le chemin de réseau que GFI LANguard N.S.S.
prend pour atteindre la machine cible. Lorsque vous effectuez un
trace route, chaque saut a un symbole associé.
•
54 • Outils
Indique un saut réussi selon les paramètres normaux
•
Indique un saut réussi , mais le temps requis a été assez long
•
Indique un saut réussi , mais le temps requis a été trop long
•
Indique que le saut a pris trop longtemps et a échoué (par
exemple : il a pris plus de 1000ms)
Whois Client
Utilitaire whois
Cet utilitaire obtiendra des informations à partir d’un domaine ou d’une
adresse IP. Vous pouvez saisir un serveur Wois précis dans la zone
des options, ou vous pouvez utilisez l’option « Default » qui saisira un
serveur pour vous.
SNMP Walk
SNMP walk vous permet de rassembler les informations SNMP. Le
panneau de droite contient une liste de noms représentant des Object
ID précis sur le prériphérique. Pour en savoir plus sur les informations
fournies par le SNMP walk, vous allez devoir vérifier avec le vendeur.
Certains vendeurs fournissent beaucoup de détails sur chaque moyen
d’information, d’autres, par leur SNMP support de périphériques, ne
fournissent aucune documentation.
Pour utiliser cet outil, cliquez sur Tools > SNMP walk. Saisissez
l’adresse IP de la machine ou du périphérique que vous désirez
scan/’walk’.
Remarque : Dans la plupart des cas SNMP devrait être bloqué au
niveau du routeur/ pare-feu de façon à ce que les internautes ne
puissent pas effectuer un balayage SNMP de votre réseau.
Il est possible d’avoir d’autres chaines de communauté.
Remarque : SNMP aidera les utilisateurs malveillants à avoir des
informations vitales de votre système, ainsi deviner un mot de passe
ou autres attaques du même genre sont rendues bien plus facile. A
moins que ce service soit nécessaire il est fortement recommandé de
désactiver le SNMP.
Outils • 55
SNMP Audit
L’utilitaire SNMP Audit, permet d’effectuer un audit SNMP sur un
périphérique et un audit pour des chaînes de communauté faibles.
Certains périphériques de réseau ont des chaînes de communauté
alternatives ou ‘non-default’. Le dictionnaire contient une liste de
chaînes de communauté populaire à vérifier. Le fichier défaut qu’il
utilise pour répertorier les attaques s’appelle snmp-pass.txt. Vous
pouvez soit ajouter des nouveaux noms de communauté à ce fichier,
soit diriger l’audit SNMP vers un autre fichier.
Afin d’utiliser cet outil, saisissez l’adresse IP d’une machine exécutant
le SNMP et cliquez ‘Retrieve’.
MS SQL Server Audit
Cet outil permet d’effectuer un audit sur l’installation d’un serveur
Microsoft SQL. Vous pouvez auditer un compte SA ainsi que tous les
comptes SQL.
Par défaut, il utilisera le dictionnaire appelé passwords.txt. Vous
pouvez soit ajouter des nouveaux mots de passe, soit diriger l’utilitaire
vers un nouveau dossier de mots de passe.
Pour executer un audit de serveur SQL, saisissez l’adresse IP de la
machine fonctionnant sur MS SQL. Si vous voulez deviner les mots de
passe pour tous les comptes SQL, vous devez saisir un nom
d’utilisateur et le mot de passe pour démarrer en SQL afin d’extraire
tous les comptes d’utilisateurs.
Utilitaire d’audit de comptes SQL
56 • Outils
Enumération des Ordinateurs.
Utilitaire d’énumération des ordinateurs
Cet outil parcourt votre réseau à la recherche de Domaines et/ou
Groupes de travail. Une fois trouvés, vous avez la possiblité de
balayer ces Domaines pour en obtenir la liste des ordinateurs. Une
fois le balayage terminé, il établira une liste des systèmes
d’exploitation installés sur cette machine, ainsi que tous commentaires
qui pourraient être listés via NETBIOS.
Les oridnateurs peuvent être énumérés en utilisant une des méthodes
suivantes
•
Depuis l’Active Directory – Cette méthode est bien plus rapide et
énumèrera aussi tous les ordinateurs qui sont éteints
•
En utilisant l’interface Windows Explorer – Cette méthode est plus
lente et n’énumèrera pas les ordinateurs éteints.
Vous pouvez préciser quelle méthode utiliser à partir de l’onglet
‘Information Source’. Remarquez que vous ne pouvez effectuer le
balayage qu’en utilisant un compte qui a des droits d’accès à l’Active
Directory.
Lancement d’un scan de sécurité
Une fois l’énumération des ordinateurs faite, vous pouvez procéder au
lancement d’un balayage sur les machines sélectionnées en cliquantdroit sur les ordinateurs énumérés et en sélectionnant ‘Scan’.
Si vous voulez lancer le balayage tout en continuant d’utiliser l’outil
des ordinateurs énumérés, selectionnez ‘Scan in background’.
Déploiement de patches personnalisés
Sélectionnez les machines sur lesquelles vous désirez déployer une
mise à jour >Cliquez-droit sur n’importe quelle machine sélectionnée >
Deploy Custom Patches.
Outils • 57
Activation des Stratégies d’Audit
Sélectionnez les machines sur lesquelles vous désirez activer les
stratégies d’audit >Cliquez-droit sur n’importe quelle machine
sélectionnée > Enabling Auditing Policies.
Enumération des Utilisateurs
La fonction d’énumération des utilisateurs se connecte à Active
Directory et recupère tous les noms d'utilisateurs et des contacts dans
Active Directory.
58 • Outils
Ajout de vérifications de vulnérabilités
par conditions ou scripts
Introduction
GFI LANguard N.S.S. permet de personnaliser rapidement les
vérifications de vulnérabilités. Ceci peut se faire de deux façons : Par
l’écriture d’un script, ou par un jeu de conditions. Quelque soit la
méthode que vous utilisez, vous devez ajouter la vulnérabilité via
l'interface de balayage sécuritaire et précisez le nom du script ou les
conditions qui peuvent être appliquées.
Remarque : Seul les Utilisateurs Expérimentés doivent créer des
nouvelles Vulnérabilités, car des misconfigurations de vulnérabilités
donnent lieu à des faux positifs ou ne fourniront aucune information de
vulnérabilité du tout.
GFI LANguard N.S.S. langage VBscript
GFI LANguard N.S.S. comprend un langage script compatible avec
VBscript. Ce langage a été créé afin d'ajouter facilement des
vérifications personnalisées. Il permet aussi à GFI Software d’ajouter
des nouvelles vérifications de vulnérabilités et de les rendre
disponibles pour un téléchargement. GFI LANguard N.S.S. comprend
un éditeur qui peut surligner la syntaxe et un débuggeur.
Pour plus d’informations sur l’écriture de sripts, veuillez vous référez
au dossier ‘Scripting documentation’, qui est accessible à partir du
groupe de programme de GFI LANguard N.S.S. .
REMARQUE IMPORTANTE : GFI Software offre un support lors de la
création de scripts qui ne marchent pas. Vous pouvez faire part de
vos problèmes liés au script GFI LANguard N.S.S. sur le forum GFI
LANguard à http://forums.languard.com, où vous serez en mesure de
partager des scripts et des idées avec d’autres utilisateurs de GFI
LANguard N.S.S..
Ajout de vérification de vulnérabilité qui utilise un script personnalisé
Vous pouvez ajouter une vérification de vulnérabilité qui utilise un
script personnalisé. Vous pouvez créer ces scripts personnalisés en
utilisant l’éditeur/débuggueur GFI LANguard NSS. Pour cela :
Etape 1 : Créer le script
1. Lancez le débuggueur de script de GFI LANguard N.S.S. : Start >
Programs > GFI LANguard Network Security Scanner > Script
Debugger
Ajout de vérifications de vulnérabilités par conditions ou scripts • 59
2. File >New…
3. Créez un script. En guise d’exemple, vous pouvez utiliser le faux
script suivant et l’enregistrer dans le débuggeur :
Function Main
echo "Script has run successfully"
Main = true
End Function
4. Sauvegardez le dossier, par exemple “c:\myscript.vbs"
Etape 2 : Ajouter une nouvelle vérification de vulnérabilité :
1. Allez sur le nœud de GFI LANguard N.S.S. Main Program >
Configuration > Scanning Profiles.
2. Allez sur l’onglet Scanned Vulnerabilities, et sélectionnez la
catégorie sous laquelle la nouvelle vulnérabilité sera enregistrée.
Maintenant cliquez sur le bouton Add. Cela vous permettra de
visualiser la nouvelle boîte de dialogue de vulnérabilité.
Ajouter une nouvelle vérification de vulnérabilité
3. Maintenant, entrez les détails de base tels que le nom, une courte
description, le niveau de sécurité, et l'URL (si approprié). Vous pouvez
aussi préciser combien de temps la vérification prendra.
4. Maintenant cliquez-droit sur la liste de conditions de déclenchement
et sélectionnez « Add check ».
5. Maintenant sélectionnez ‘Script’ dans la liste Check.
60 • Ajout de vérifications de vulnérabilités par conditions ou scripts
Sélectionnez le script contenant le code de vérification de vulnérabilité
6. Précisez la location du script "c:\myscript.vbs". Cliquez 'Add' pour
ajouter une vulnérabilité. L’exécution se fera la prochaine fois qu’un
balayage de vulnérabilité sera fait sur l’ordinateur.
7. Pour le tester, scannez votre machine hôte local et vous devriez
voir l’avertissement de vulnérabilité apparaître sous la section
‘miscellaneous’ du nœud de vulnérabilité des résultats de balayage.
Ajout d’une vérification de vulnérabilité CGI
Vous pouvez aussi ajouter des vulnérabilités sans écrire de scripts.
Par exemple une vérification de vulnérabilité CGI. Pour cela :
2. Allez sur l’onglet Scanned Vulnerabilities, et saisissez le nœud de
vulnérabilités CGI. Maintenant cliquez sur le bouton Add. Cela vous
permettra de visualiser la boîte de dialogue de vulnérabilité CGI.
Créer une nouvelle Vulnérabilité CGI
4. Précisez la méthode HTTP: Les deux méthodes supportées par
GFI LANguard N.S.S. dans sa section CGI abus sont GET et HEAD.
5. Précisez quel URL vérifier : Il s’agit de l’URL que GFI LANguard
N.S.S. recherchera.
6: Précisez la Return String: Il s’agit de ce que GFI LANguard N.S.S.
devra déceler lors du retour d’informations afin d’établir si le poste de
travail est vulnérable à cette attaque.
Ajout d’autres vérifications de vulnérabilités
Vous pouvez aussi ajouter d’autres vulnérabilités sans écrire de
scripts. Elles utilisent le même format de base que les vérifications de
vulnérabilités CGI. Cependant, vous pouvez établir des réglages pour
des conditions plus complexes. Pour cela :
2. Allez sur l’onglet Scanned Vulnerabilities, et saisissez le type de
vulnérabilités que vous désirez ajouter en cliquant sur la catégorie à
laquelle elle correspond. Maintenant cliquez sur le bouton Add. Cela
vous permettra de visualiser la nouvelle boîte de dialogue de
vulnérabilité.
Créer une nouvelle Vulnérabilité
4. Vous devez préciser ce qu’il faut vérifier. Pour ajouter une
vérification, cliquez-droit dans la fenêtre Trigger condition et ajoutez
une nouvelle vérification.
5. Vous pouvez préciser que toutes les choses suivantes soient une
base de vérification de vulnérabilité de:
•
•
Système d’exploitation
o
Est
o
N’est pas
Clef de registre
o
o
Existe
N’existe pas
Remarque
:
Fonctionne
HKEY_LOCAL_MACHINE
•
seulement
sous :
Chemin d’accès du registre
o
Existe
o
N’existe pas
Remarque : Fonctionne seulement sous :
HKEY_LOCAL_MACHINE
•
Valeur du registre
o
Est égal à
o
N’est pas égale à
o
Est inférieure à
o Est supérieure à
Remarque : Fonctionne seulement sous :
HKEY_LOCAL_MACHINE
•
•
•
•
•
•
•
•
•
•
Service Pack
o Est
o
N’est pas
o
Est inférieur à
o
Est supérieur à
Hot fix
o Est installé
o
N’est pas installé
o
o
Est installé
IIS
Version IIS
o
Est
o
N’est pas
o
o
Est inférieur à
Est supérieur à
Service RPC
o
Est installé
o
Service NT
o
Est installé
o
Exécution du service NT
o
Est en cours d’exécution
o
Ne répond pas
Type de démarrage du Service NT
o Automatique
o
Manuel
o
Désactivé
Port (TCP)
o
Est ouvert
o
Est fermé
Port UDP
o
o
•
Est ouvert
Est fermé
Bannière FTP
o Est
N’est pas
o
Remarque : Vous pouvez créer des expressions qui recherchent la
Version 1.0 à 1.4 et Version 2.0 à 2.2, mais pas pour la Version 1.5
à 1.9 Voir les exemples ci-dessous
•
Bannière HTTP
o
Est
o
N’est pas
Remarque : Vous pouvez créer des expressions qui
recherchent la Version 1.0 à 1.4 et Version 2.0 à 2.2, mais
pas pour la Version 1.5 à 1.9 Voir les exemples ci-dessous
•
Bannière SMTP
o
Est
o
N’est pas
•
Bannière POP3
o
Est
o
N’est pas
•
Bannière DNS
o
Est
o
N’est pas
•
Bannière SSH
o
Est
o
N’est pas
•
Bannière Telnet
o
Est
o
N’est pas
•
Script
o
Renvoi True (1)
o
Renvoi False (0)
6. Chaque option ci-dessus a son propre jeu de critères, comme vous
pouvez le voir, sur lesquels les vérifications de vulnérabilités sont
basées. Si votre création de vérification de vulnérabilité est trop
vague, vous recevrez trop de faux rapports. D’où, si vous décidez de
créer votre propre vérification de vulnérabilités, assurez-vous que
vous la concevez de façon très précise, passez du temps à la créer.
Rien ne vous limite aux mentions ci-dessus pour déclencher une
vérification de vulnérabilité ; par exemple, vous l’avez peut-être réglée
pour la vérification de conditions multiples.
•
Vérifier OS
•
Port XYZ
•
Bannière « ABC »
•
LANS script QRS exécution et vérifications de vulnérabilité
Une fois que vous avez respecté tous les critères ci-dessus, et
seulement si vous les avez respecté, la vérification de vulnérabilité
sera-t-elle déclenchée.
Remarque : La création d’expressions vous permettra de faire une
vérification de vulnérabilités comme celle qui est utilisée pour vérifier
la version d’Apache en exécution sur votre poste de travail.
~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])).
Pour ceux qui ont de l’expérience avec C ou Perl, le format ci-dessus
est à peu de choses près le même que ce que vous pouvez faire dans
ces langues. Il y a beaucoup de pages aide sur Internet qui vous
montre comment l’utiliser. Dans les exemples ci-dessous, nous allons
essayer de vous donner une explication. Si vous avez besoin d’aide
supplémentaire sur ce sujet, référez-vous à la fin de cette section pour
un lien hypertexte.
Si vous désirez voir un exemple/une démarche sur la création d’une
nouvelle walkthrough vulnérabilité comportant un script, référez-vous
à « GFI LANguard N.S.S. scripting documentation ».
Troubleshooting
Introduction
Le chapitre Troubleshooting vous explique comment résoudre les
problèmes rencontrés. Les sources d’informations principales offertes
aux utilisateurs sont les suivantes :
1. Le manuel – la plupart des problèmes peuvent être résolus en
consultant le manuel.
2. La base de connaissances GFI – http://kbase.gfi.com .
3. Le site de support technique GFI – http://support.gfi.com
4. Service
support
de
[email protected]
GFI
Software
par
email
à
5. Service support de GFI Software via notre système de support en
direct sur http://support.gfi.com/livesupport.asp
6. Service support de GFI Software par téléphone.
Base de connaissances
GFI Software maintient une base de connaissances comprenant des
réponses aux problèmes les plus fréquents. Si vous avez un
problème, veuillez tout d’abord consulter la base de connaissances.
Celle-ci propose toujours une liste très récente des questions de
support et des nouveaux patches.
Elle peut être consultée sur http://kbase.gfi.com (en anglais)
Demande de support via email
Si, après avoir utilisé la base de données de connaissance et le
manuel, vous n’avez pu résoudre votre problème, veuillez contacter le
service support de GFI Software. Le meilleur moyen de demander de
l’aide est par email, puisque vous pouvez ainsi inclure des
informations vitales en pièce jointe, qui nous permettront de résoudre
le problème plus rapidement.
Le Troubleshooter, compris dans le groupe de programmes, génère
automatiquement un nombre de fichiers requis pour que GFI Software
puisse vous apporter son support. Ces fichiers comprennent les
paramètres de configuration etc… Pour générer ces fichiers,
démarrez le Troubleshooter et suivez les instructions dans
l’application.
En plus de rassembler toutes les informations, il vous pose également
un certain nombre de questions. Veuillez prendre le temps de
répondre à ces questions de façon précise. Sans les informations
Troubleshooting • 67
correctes, il ne nous sera pas possible de diagnostiquer votre
problème.
Allez ensuite sur le répertoire de support, situé sous le répertoire de
programmes principal, zippez les fichiers, et envoyez les fichiers
générés à [email protected].
Vérifiez tout d’abord que vous avez bien enregistré votre produit
sur notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm !
Nous vous répondrons dans les 24 heures ou moins, selon votre
fuseau horaire.
Demande de support par l’intermédiaire du web chat
Vous pouvez également demander de l’aide à travers notre système
de Live support (webchat). Vous pouvez contacter le service support
de GFI Software via notre système de support en direct sur
http://support.gfi.com/livesupport.asp
Vérifiez tout d’abord que vous avez bien enregistré votre produit sur
notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm !
Demande de support par téléphone
Vous pouvez également contacter GFI Software par téléphone pour
votre demande de support technique. Veuillez consulter notre site web
de support pour trouver les numéros appropriés selon votre pays
d’origine et nos heures d’ouverture.
Site web de support :
http://support.gfi.com/
Vérifiez tout d’abord que vous avez bien enregistré votre produit sur
notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm !
Forum Internet
Un système de support inter-utilisateurs est disponible à travers un
forum internet. Découvrez ce forum sur :
http://forums.gfi.com
Notifications de révisions
Il est fortement conseillé de s’abonner à notre liste de notifications de
nouvelles versions. De cette manière, vous serez informé(e)
immédiatement de l’arrivée de nouvelles révisions de produits. Pour
vous inscrire au système de notifications des nouvelles révisions, allez
sur :
http://support.gfi.com/?lcode=fr
68 • Troubleshooting
Index
D
DNS lookup 55, 56, 57, 58
G
groupes 5, 20
H
Hot fixes 21
HTML 7
L
Licence 7
M
Mot de passe 18
Mots de passe 6
P
Partages 5, 6, 17
Ports ouverts 6
R
Registre 18
S
Services 6
SNMP 14, 56
SNMP audit 56
stratégie de sécurité 5
Système d’exploitation 6
Système requis 9
T
Traceroute 54
U
Users 59
X
XML 7
Troubleshooting • 69

Installation de GFI LANguard Network Security Scanner

Transcription

Documents pareils

GFI LANguard Network Security Scanner v9 : Une

GFI LANguard NSS v9 novembre 2008

Installation de GFI LANguard Network Security Scanner

Fiche descriptive au format PDF

GFI INFORMATIQUE - Seven

La Lettre de la SECTION SYNDICALE GROUPE GFI - Fieci CFE-CGC

Monsieur le Directeur Général du Groupe GFI 15 rue

gfsfrance.com/faxmaker

Patch Battlefield 2

LANguard Network Security Scanner Manual