Chapitre

Utiliser des outils daudit de scurit

I Introduction
Durant ce cours, nous avons pu dcouvrir un ensemble de notions fondamentales en scurit informatique. Nous avons insist sur la scurisation interne des systmes et sur la communication avec votre entourage an que la chane du systme dinformation soit robuste de bout en bout. Nous allons maintenant pour terminer, utiliser quelques outils qui vont vous permettre de vous assurer que votre rseau ne ressemble pas une passoire, mais plutt une forteresse. Ainsi que nous lavons dit, il nous est impossible de passer en revue tous les logiciels de cette catgorie, permettant de travailler dans lunivers de la scurit. Nous nous pencherons donc principalement sur nmap, un scanner de port qui permet galement de faire de la dtection de services et de systmes dexploitation, de nikto qui permet de vrier la conguration des serveurs web et pour nir Nessus, un scanner rseau qui vrie la prsence de vulnrabilits sur votre ordinateur ou votre parc. Ces trois outils sont un bon dbut pour approcher des outils daudit. Ils ne sont pas difciles installer et sont trs complets en terme doptions. Mettons-nous maintenant en situation et commenons par analyser notre ordinateur.

II

Nmap

Nmap est un outil cr par un certain Fyodor. Il est trs populaire dans le milieu de la scurit informatique par sa simplicit dutilisation et sa richesse. Il possde galement une interface graphique qui peut tre pratique pour commencer apprendre lutiliser. Dans un premier temps, nous allons simplement lancer un scan simple pour voir comment ragit le logiciel : $ nmap 127.0.0.1 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-08-30 22:56 CEST Interesting ports on Faith (127.0.0.1): (The 1660 ports scanned but not shown below are in state: closed) PORT 22/tcp STATE SERVICE open ssh 35

II. Nmap

25/tcp

open

smtp hp-alarm-mgr

783/tcp open

Nmap finished: 1 IP address (1 host up) scanned in 0.212 seconds On constate quil a scann un ensemble de ports trs rapidement, en 0,212 seconde et quil a trouv trois services en coute. Vrions tout de suite linformation : $netstat -tpan Connexions Internet actives (serveurs et tablies) Proto Adresse locale tcp 127.0.0.1:783 tcp tcp 0.0.0.0:22 0 0.0.0.0:25 Adresse distante Etat 0.0.0.0:* LISTEN 0.0.0.0:* 0.0.0.0:* LISTEN LISTEN PID/Program name 1396/spamd.pid 1563/sshd 1551/master

Lapplication semble bien en mesure de voir ce que je possde comme service. Essayons maintenant de dcouvrir quel est mon systme dexploitation : $ nmap -O 127.0.0.1 PORT 22/tcp STATE SERVICE open ssh smtp hp-alarm-mgr

25/tcp open 783/tcp open

Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7), Linux 2.6.3 - 2.6.8 Uptime 0.021 days (since Tue Aug 30 22:34:13 2005) Nmap finished: 1 IP address (1 host up) scanned in 2.163 seconds Vrions la ralit de ces rsultats : $ uname -a Linux Faith 2.6.11.7 #1 Sat Apr 23 13:42:13 CEST 2005 i686 GNU/Linux Il semble que nmap nait pas russi donner la bonne version du noyau ! Pourquoi ? Tout simplement car il se base sur la pile TCP/IP fournit par le noyau et que celle en vigueur est la mme que pour les noyaux allant des versions 2.6.3 2.6.8. Dautre part, la base de signature est srement un petit peu vieille par rapport au noyau, elle sera srement mise jour lors dune nouvelle sortie du logiciel. Nous avons regard loption par dfaut, mais elle ne semble remonter que les ports en TCP. Il y a til une solution pour lUDP ? Oui, sans problme : $ nmap -sU 127.0.0.1

36

II. Nmap

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-08-30 23:08 CEST All 1478 scanned ports on Faith (127.0.0.1) are: closed Nmap finished: 1 IP address (1 host up) scanned in 0.208 seconds Pour le coup, il ny a aucun retour. Cest normal, puisque je nai aucun service qui tourne sur de ludp. Cela pourrait tre le cas si je possdais un serveur dns par exemple. Pour complter ce panel, essayons de savoir exactement quelles sont les versions des logiciels serveurs :

37

III. Nikto

nmap -A 127.0.0.1 PORT 22/tcp 25/tcp STATE SERVICE open open ssh smtp hp-alarm-mgr? VERSION OpenSSH 4.1p1 Debian-6 (protocol 2.0) Postfix smtpd

783/tcp open

Ce qui donne aprs vrication des rsultats concluants si ce nest pour le troisime service. En effet, la base dempreinte ne sait pas encore quel service il correspond. Aprs analyse, il sagit du serveur spamassassin. Linformation a t envoye lauteur de nmap qui lintgrera dans sa prochaine version. EXERCICE : vous vous trouvez sur un rseau qui possde en plus de votre ordinateur, un autre ordinateur qui possde un rewall mal congur. Vous avez besoin de savoir quels sont les services lcoute sur cet ordinateur. Un premier scan vous a appris que le service 53/udp nest pas ltr. Cherchez dans les options de nmap une solution pour passer par dessus ce ltrage et retourner les informations ncessaires, depuis votre ordinateur, sans avoir accs lordinateur distant, autre que par le service dns. De nombreuses options sont disponibles, vous permettant entre autre diffrents types de scans, sur des rangs de ports et dip. Nhsitez pas passer par le frontend pour dcouvrir des options et vous plonger dans le manuel. Voir aussi : scapy. Un outil tout aussi puissant que nmap, crit en python par un franais, Philippe Biondi.

III Nikto
Nikto est un scanner de serveur web. Contrairement nmap, il ne va pas sintresser la pile tcp/ip de votre machine, mais plus principalement, dans notre cas, votre serveur apache. Cest un outil trs utile lorsque vous mettez en place vos serveurs, pour vrier la pertinence de votre scurit web. Faisons un essai sur le site de leof : $ nikto -g -h eof.eu.org -------------------------------------------- Nikto 1.34/1.31 www.cirt.net + Target IP: 195.115.89.182 + Target Hostname: eof.eu.org + Target Port: 80 + Start Time: Wed Aug 31 00:18:50 2005 -------------------------------------------+ Server: Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-15 - Retrieved X-Powered-By header: PHP/4.3.10-15 + PHP/4.3.10-15 appears to be outdated (current is at least 5.0.1) + Apache/1.3.33 appears to be outdated (current is at least Apache/2.0.52). Apache 1.3.31 is 38

IV. Nessus

still maintained and considered secure. + PHP/4.3.10-15 appears to be outdated (current is at least 5.0.1) + PHP/4.3.1 - PHP below 4.3.3 may allow local attackers to safe mode and gain access to unauthorized files. BID-8203. On saperoit tout dabord que cest un logiciel trs verbeux, mais qui semble au fait de ce qui se passe sur notre machine. On constatera par contre un faux positif sur la dernire ligne, cest dire une remonte dalarme qui ne devrait pas nous tre donne. Attention, ce logiciel est trs bavard lorsque vous lutilisez, mais cela va dans les deux sens, ce qui signie que ladministrateur retrouvera votre trace dans les logs de son serveur web. EXERCICE : lancez nikto sur votre propre serveur web et relevez les faux positifs. Analysez-les et remontez le tout par mail votre professeur.

IV

Nessus

Nessus est un scanner de scurit, crit par Renaud Deraison en 1998, et qui a su sattirer les honneurs de la profession. Bas sur un langage propre lui, le nasl, nessus utilise un grand nombre de plugin pour vrier la vulnrabilit dun ou plusieurs htes. Dcompos en une solution client-serveur, il autorise ainsi une souplesse plus grande dans son utilisation. Solution multi-utilisateurs, vous pouvez choisir dautoriser ceux-ci sous certaines conditions et les authentier soit par mot de passe, soit par certicat. Lorsque vous lancez nessus, il vous demande au pralable de vous authentier. Par la suite, vous avez accs la liste des plugins, dabord gnrale, puis particulire. En fonction de lenvironnement que vous souhaitez auditer, ne slectionnez pas toutes les options (dans le cas contraire, laudit se voit rallong en temps). la n de son travail, une fentre danalyse de rsultat vous permet de prendre connaissance des faiblesses de votre systme. Vous pouvez sauvegarder ces rsultats sous diffrentes formes. EXERCICE : installez nessus et lancez un audit de votre machine, comme prsent dans la dmo de nessus (http ://nessus.org/demo/). Analysez les rsultats et remontez vos rexions par mail votre professeur.

Conclusion

Nous avons vu rapidement trois logiciels qui permettent de commencer auditer un service, une machine ou un rseau. Ces outils sont trs puissants et sont une agglomration de connaissances sur les protocoles rseaux, les congurations et les failles de scurit. Ils reprsentent un travail colossal qui ne peut quimposer le respect. De ce fait, veillez ne pas dtourner leur usage et rendre si possible honneur leurs concepteurs. Utilisez-les galement avec parcimonie et seulement sur des rseaux o vous tes autoriss effectuer des tests. Pour nir, ces outils sont un bon complment la vrication de la sret de votre systme dinformation, telle que le serait une checklist aprs la maintenance dun avion.

39