Professional Documents
Culture Documents
Manuel
Les informations contenues dans ce document peuvent tre modifies sans pravis. Les entreprises, les noms et les donnes utiliss ciaprs, titre dexemple, sont fictifs moins dune notification contraire. Ce document, mme partiellement, ne peut tre reproduit ou transmis, sous quelque forme ou quelque moyen que ce soit, lectronique ou mcanique, et quel quen soit lobjet, sans lautorisation expresse et crite de GFI Software Ltd. LANguard est un copyright de GFI Software Ltd. SOFTWARE Ltd. Tous droits rservs. Version 6.0 Dernire mise jour 03/02/2005 2000-2004 GFI
Systme requis .............................................................................................................. 9 Processus dinstallation ................................................................................................. 9 Saisir votre cl de licence aprs linstallation .............................................................. 11
13
Introduction aux audits de scurit .............................................................................. 13 Balayage ...................................................................................................................... 13 Analyse des rsultats de scan ..................................................................................... 15 Adresse IP, Nom du poste, Systme dExploitation et Niveau du Service Pack .............................................................................................. 15 Nud de vulnrabilits ................................................................................... 15 Noeud de vulnrabilits ventuelles ............................................................... 17 Partages.......................................................................................................... 17 Stratgie de mot de passe .............................................................................. 18 Registre........................................................................................................... 18 Stratgie de scurisation daudit..................................................................... 19 Ports ouverts ................................................................................................... 20 Utilisateurs & Groupes dutilisateurs............................................................... 21 Utilisateurs Connects .................................................................................... 21 Services .......................................................................................................... 22 System Patching status .................................................................................. 22 Network Devices ............................................................................................. 23 Priphriques USB ......................................................................................... 23 Autres rsultats ............................................................................................................ 25 Ordinateur ....................................................................................................... 25 Balayages sur place et en-dehors du site.................................................................... 25 Balayage sur place (on site scan)................................................................... 26 Balayage distance (off site scan) ................................................................. 26 Comparaison des balayages sur place et de lextrieur ................................. 26
29
Introduction .................................................................................................................. 29 Enregistrement des rsultats de balayage sur un fichier externe................................ 29 Chargement des rsultats de scan enregistrs ........................................................... 29 Chargement des rsultats de scan enregistrs partir dune base de donnes ............................................................................................ 29 Chargement des scans enregistrs partir dun fichier externe ............................................................................................................ 30
31
Table des matires i
Introduction .................................................................................................................. 31 Slectionner la source des rsultats de balayage ....................................................... 32 Cration dun filtre de balayage personnalis.............................................................. 32
37
Introduction la configuration de GFI LANguard N.S.S. ............................................. 37 Profils de balayage....................................................................................................... 37 Scanned TCP/UDP ports ............................................................................................. 38 Comment ajouter/diter/supprimer des ports ................................................. 38 Scanned OS data......................................................................................................... 39 Scanned Vulnerabilities ............................................................................................... 40 Types de vulnrabilits ................................................................................... 40 Tlchargement des dernires vulnrabilits de scurit .............................. 41 Scanned Patches ......................................................................................................... 41 Options de balayage .................................................................................................... 42 Mthodes de dcouverte de rseau ............................................................... 43 Priphriques ............................................................................................................... 45 Network Devices ............................................................................................. 45 Priphriques USB ......................................................................................... 46 Balayages programms ............................................................................................... 48 Fichiers paramtres ..................................................................................................... 50 Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes ....................... 51
Dploiement de patch
53
Introduction au dploiement de patch.......................................................................... 53 Lagent de dploiement de patch.................................................................... 53 Etape 1 : Effectuez un balayage de votre rseau........................................................ 53 Etape 2 : Slectionnez les machines sur lesquelles vous voulez dployer les patches .................................................................................................... 54 Etape 3 : Slectionnez quels patches dployer........................................................... 55 Etape 4 : Tlchargez les fichiers de patch et service pack........................................ 56 Tlchargement des patches.......................................................................... 57 Etape 5 : Paramtres de dploiement de fichier de patch........................................... 57 Etape 6 : Dployez les mises jour............................................................................. 58 Dploiement de logiciel personnalis .......................................................................... 59 Etape 1 : Slection des machines sur lesquelles il faut installer le logiciel/patches .............................................................................. 60 Etape 2 : Prcisez logiciel dployer............................................................. 60 Etape 3 : Commencez le dploiement............................................................ 61 Options de dploiement ............................................................................................... 62 Gnral ........................................................................................................... 62 Avances ........................................................................................................ 63 Rpertoire de tlchargement ........................................................................ 63
65
Pourquoi comparer les rsultats ? ............................................................................... 65 Effectuer une comparaison de rsultats de scan interactive ....................................... 65 Effectuer une Comparaison avec loption de balayages programms ........................ 66
67
71
MS Access ...................................................................................................... 71 Serveur MS SQL ............................................................................................. 72 Gestion des rsultats de scan enregistrs................................................................... 73 Options avances ........................................................................................................ 73
Outils
75
Introduction .................................................................................................................. 75 DNS lookup .................................................................................................................. 75 Trace Route ................................................................................................................. 76 Whois Client ................................................................................................................. 77 SNMP Walk (chemin SNMP) ....................................................................................... 77 SNMP Audit.................................................................................................................. 78 MS SQL Server Audit................................................................................................... 78 Enumration des Ordinateurs. ..................................................................................... 79 Lancement dun scan de scurit ................................................................... 79 Dploiement de patches personnaliss.......................................................... 80 Activation des Stratgies dAudit .................................................................... 80 Enumration des Utilisateurs ....................................................................................... 80
81
Introduction .................................................................................................................. 81 GFI LANguard N.S.S. langage VBscript ...................................................................... 81 Module GFI LANguard N.S.S. SSH ............................................................................. 81 Mots cls : ....................................................................................................... 82 Ajout de vrification de vulnrabilit qui utilise un script vbs personnalis................................................................................................................. 85 Etape 1 : Crer le script .................................................................................. 85 Etape 2 : Ajouter une nouvelle vrification de vulnrabilit : .......................... 86 Ajout de vrification de vulnrabilit qui utilise un script SSH personnalis................................................................................................................. 87 Etape 1 : Crer le script .................................................................................. 87 Etape 2 : Ajouter une nouvelle vrification de vulnrabilit : .......................... 88 Ajout dune vrification de vulnrabilit CGI ................................................................ 89 Ajout dautres vrifications de vulnrabilits................................................................ 90
Troubleshooting
95
Introduction .................................................................................................................. 95 Base de connaissance................................................................................................. 95 Questions frquemment poses .................................................................................. 95 Demande de support via email .................................................................................... 95 Demande de support par lintermdiaire du web chat ................................................. 96 Demande de support par tlphone ............................................................................ 96 Forum Internet.............................................................................................................. 96 Notifications de rvisions ............................................................................................. 96
Index
99
Introduction
autres mcanismes de scurit qui empchent les sources inconnues, comme les utilisateurs Internet, daccder au rseau interne. De tels utilisateurs internes, qui ont des connaissances en matire de piratage, peuvent facilement pntrer et soctroyer des droits dadministrateur de rseau tout en sassurant que leurs activits soient difficiles identifier ou dtecter. En effet, 80 % des attaques de rseau proviennent de lintrieur du pare-feu (ComputerWorld, Janvier 2002). Un niveau faible de scurit de rseau signifie galement que si un pirate externe pntre un ordinateur de votre rseau, il peut accder au reste du rseau plus facilement. Cela permettrait un pirate avanc de lire et de communiquer autrui des emails et documents confidentiels, de dtruire des ordinateurs, provoquant une perte dinformations, etc... Il pourra galement utiliser votre rseau et vos ressources pour attaquer dautres sites, qui se tourneront vers vous et votre socit une fois lattaque dcouverte. La plupart des attaques, compares aux exploits connus, pourraient tre rpares facilement, et par consquent tre arrtes par les administrateurs si pour commencer ils taient au courant de cette vulnrabilit. Le rle de GFI LANguard N.S.S. est daider les administrateurs identifier ces vulnrabilits.
Fonctions cls
Recherche de services non autoriss ouverts et ports TCP et UDP
Dtection de vulnrabilits connues telles que CGI, DNS, FTP, Message, RPC entre autres Dtection des priphriques sans fil Dtection des utilisateurs non autoriss Dtection des partages ouverts et liste de ceux qui y ont accs ainsi que leurs permissions Enumration des groupes, dont leurs membres Enumration des utilisateurs, services, etc Enumration des priphriques USB Enumration des priphriques de rseau et identification de leur type (connect, sans fil, virtuel) Balayages programms Mise jour automatique des vrifications scuritaires de vulnrabilits Dtection des hot fixes et des services packs manquants dans le systme dexploitation Dtection des hots fixes et des services packs manquants dans les applications supportes Sauvegarde et chargement des resultants des scans Comparaison des balayages, nouveaux points dentre pour dcouvrir dventuels
6 Introduction
Possibilit de patcher le Systme dExploitation (Systmes Windows Anglais) & les applications dOffice (Anglais, Franais, Allemand, Italien, Espagnol) Identification du systme dexploitation Dtection de lhte actif Base de donnes, sortie HTML, XSL et XML Audit SNMP & MS SQL Language dinscription compatible avec VBscript personnaliser les vrifications des vulnrabilits afin de
Module SSH qui permet lexcution des scripts de scurit sur les machines Linux/Unix Balayage simultan de plusieurs ordinateurs.
Systme de licences
Le systme de licences de GFI LANguard N.S.S. fonctionne pour le nombre de postes et de priphriques que vous dsirez. Par exemple, la licence 100 adresses IP vous permet de scanner jusqu 100 postes ou priphriques partir dune seule station de travail/serveur de votre rseau.
Introduction 7
Systme requis
Linstallation de GFI LANguard Network Security Scanner ncessite : Windows 2000/2003 ou Windows XP Internet Explorer 5.1 ou suprieur Installation de Client pour Microsoft Networks AUCUN logiciel de Personal Firewall NI Windows XP Internet Connection Firewall ne peuvent tre lancs lors de balayages. Ils peuvent bloquer les fonctionnalits de GFI LANguard N.S.S. REMARQUE : Les dtails de la configuratiuon des stratgies de votre Active Directory pour une compatibilit avec les scans de/ partir dordinateurs Windows XP Service Pack 2 se trouvent sur http://kbase.gfi.com/showarticle.asp?id=KBID002177. Afin de dployer des patches sur un poste isol vous devez bnficier des privilges dadministrateur.
Processus dinstallation
1. Excutez le programme dinstallation de LANguard Network Security Scanner en double cliquant sur le fichier languardnss6.exe. Confirmez que vous dsirez installer GFI LANguard N.S.S. . Lassistant dinstallation apparatra. Cliquez sur Next. 2. Aprs avoir lu la bote de dialogue de laccord de licence, cliquez sur Yes pour accepter laccord et continuer linstallation. 3. Le programme dinstallation dutilisateur et une clef de licence. vous demandera vos dtails
4. Le programme dinstallation vous demandera dentrer vos coordonnes dadministrateur de domaine qui sont utilises par le LANguard N.S.S Attendant service (qui lance des balayages programms). Entrez les coordonnes ncessaires et cliquez Next.
5. Le programme dinstallation vous demandera de choisir la base de donnes darrire plan pour la base de donnes de GFI LANguard N.S.S.. Choisissez entre Microsoft Access ou Microsoft SQL Server\MSDE et cliquez sur Next. REMARQUE : SQL Server/MSDE doit tre install en mode mixte ou en mode dautentification de serveur SQL. Le mode dauthentification NT seul nest pas support.
10 Installation de GFI LANguard Network Security Scanner
6. Si vous choisissez Microsoft SQL Server/MSDE comme base de donnes darrire plan, on vous demandera les coordonnes de SQL afin de pouvoir avoir accs la base de donnes. Cliquez sur Next pour continuer. 7. Le programme dinstallation vous demandera votre adresse email dadministrateur et votre nom de serveur de messagerie. Ces donnes seront utilises pour envoyer des alertes administratives. 8. Choisissez lemplacement cible pour GFI LANguard N.S.S. et cliquez sur Next. GFI LANguard N.S.S. ncessite environ de 40 Mo despace disque. 9. Aprs linstallation de GFI LANguard N.S.S., il est possible dexcuter GFI LANguard Network Security Scanner partir du menu Dmarrer.
Balayage
La premire tape dun audit de rseau est deffectuer un balayage des machines et des priphriques de rseau actuels. Pour lancer un nouveau balayage de rseau : 1. Cliquez sur File > New. 2. Slectionnez ce slectionner : que vous voulez balayer. Vous pouvez
a. Balayage dun poste de travail Un seul ordinateur sera balay. b. Balayage de plusieurs postes de travail Une gamme d adresses IP prcises seront balayes. c. Balayage dune liste dordinateurs Une liste personnalise dordinateurs sera balaye. Des postes de travail peuvent tre ajouts la liste en les slectionnant partir dune liste des ordinateurs, en les saisissant les uns aprs les autres, ou en les important dun fichier texte. d. Balayage dun domaine un domaine windows entier sera balay.
e. Balayage des favoris la liste des machines favories que vous avez spcifies sera scanne (grce au bouton Ajouter aux favoris ). 3. Selon ce que vous dsirez scanner saisissez le dbut et la fin du balayage du rseau. 4. Slectionnez Start Scan.
Balayage
LANguard Network Security Scanner va maintenant procder au balayage. Il commence par dtecter quels htes/ordinateurs sont allums, et ne balaye que ceux-ci. Ceci est effectu grce aux vrifications NETBIOS, ping ICMP et interrogations SNMP. Si un priphrique ne rpond aucun, GFI LANguard N.S.S. suppose, pour le moment, que le priphrique soit nexiste pas cette address IP soit est actuellement teint. Remarque : Si vous voulez imposer un balayage sur un Ips qui ne rpond pas, rfrez-vous au chaptre Configuration des options de balayage pour obtenir plus dinformations sur le meilleur moyen de le configurer.
Suite au balayage, des noeuds apparaissent pour chaque machine trouve par GFI LANguard N.S.S. Le panneau de gauche fera apparatre toutes les machines et les priphriques de rseau. Lagrandissement de lun de ces noeuds fait apparatre la liste dune srie de nuds et les informations trouves pour cette machine ou ce priphrique de rseau. Cliquez sur un noeud particulier et les informations scannes apparatront sur le panneau de droite. GFI LANguard N.S.S. trouve tout priphrique de rseau actuellement allum lors dun sonde de rseau. Selon le type de priphrique et selon le type de requtes auquel celui-ci rpond, on dtermine avec quelle facilit GFI LANguard N.S.S. lidentifie et quelles informations il extrait. Une fois le balayage du poste de travail/priphrique/rseau de GFI LANguard N.S.S. fini, les informations suivantes apparatront :
Nud de vulnrabilits
Le noeud de vulnrabilits affiche les problmes de scurit dtects et vous explique comment les rsoudre. Ces menaces peuvent inclure des patches et des services packs manquants, des problmes HTTP, des alertes NetBIOS, des problmes de configuration etc
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 15
Les vulnrabilits sont divises en sections : service packs manquants, patches manquants, vulnrabilits critiques, vulnrabilits moyennes et vulnrabilits faibles. Sous chaque section Critique/ Moyenne/ Faible des vulnrabilits, vous pouvez trouver de plus amples sous catgories du problme dtect en utilisant le groupement suivant : Abus CGI, Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, Vulnrabilits de Service, Vulnrabilits de Registre et Autres Vulnrabilits. Une fois le scan complt et les diverses vulnrabilits listes, double cliquez (ou cliquez droit > Plus de dtails.) la vulnrabilit rapporte pour que les proprits apparaissent. A travers cette bote de dialogue, vous serez en mesure de vrifier instantanment les conditions rapportes de cette vulnrabilit et les informations daccs telles quune longue description de cette vulnrabilit qui napparat pas dans la troncature des rsultats. Les informations suivantes sont disponibles dans la fentre des proprits : Nom : Brve description Niveau de scurit URL Dure de la vrification Vrifications (afin de dterminer si la machine cible est vulnrable face cette vrification) Longue description.
Patches manquants GFI LANguard N.S.S. recherche les patches manquants en comparant les patches installs ceux qui sont disponibles pour un produit particulier. Si plusieurs patches manquent sur un ordinateur, un cran semblable celui ci-dessous devrait apparatre :
Tout dabord il vous dit quel produit le patch se rapporte. Si vous lagrandissez, il vous signalera le patch prcis manquant et vous donnera un lien suivre pour le tlcharger. CGI Abuses dcrit les problmes lis Apache, Netscape, IIS et autres serveurs web. Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, et Autres Vulnrabilits fournissent des liens vers Bugtraq ou autres sites web de scurit
pour que vous puissiez rechercher davantage dinformations concernant le problme trouv par GFI LANguard N.S.S. Le service de vulnrabilits peut dnoter un certain nombre de choses. Elles peuvent aller des services excuts sur le priphrique en question aux comptes dfinis sur une machine et qui nont jamais t utiliss. Les vulnrabilits de Registre couvrent les informations extraites dune machine Windows lorsque GFI LANguard N.S.S. effectue son premier balayage. Il offre un lien vers le site Microsoft ou autres sites web de scurit expliquant pourquoi ces paramtres de base de registre devraient tre changs. Informations de vulnrabilits sont des alertes ajoutes la base de donnes qui dnotent des questions assez importantes pour tre notifies aux administrateurs, mais qui ne sont pas forcment nuisibles lorsque ouvertes.
Partages
Le noeud de dossiers partags liste tous les dossiers partags de l'ordinateur et ceux qui y ont accs. Tous les dossiers partags de rseau doivent tre correctement scuriss. Les administrateurs doivent vrifier que :
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 17
1. Aucun utilisateur ne partage lintgralit de son lecteur avec dautres utilisateurs.. 2. Laccs anonyme ou non identifi aux dossiers partags soit interdit. 3. Les dossiers de dmarrage ou fichiers de systme semblables ne soient pas partags. Ceci permettrait aux utilisateurs ayant moins de privilges dexcuter du code sur les machines cibles. Les points ci-dessus sont trs importants pour toutes les machines, mais en particulier pour les machines cruciales lintgrit du systme, telles que le contrleur de domaine public (PDC). Imaginez un administrateur partageant le dossier de dmarrage (ou un dossier contenant le dossier de dmarrage) sur le PDC vers tous les utilisateurs. Avec les permissions appropries, les utilisateurs peuvent alors facilement copier des excutables dans le dossier de dmarrage, qui sera excut lors de la prochaine connexion de ladministrateur. Remarque : Si vous excutez le balayage en tant quadministrateur, vous pourrez galement visualiser les partages administratifs, par exemple C$ - default share . Ces partages ne seront pas accessibles aux utilisateurs normaux. D la prsence de Klez et autres virus qui se rpandent rapidement grce des partages ouverts, il est conseill darrter tous les partages non requis, et tous les partages requis devraient avoir un mot de passe. REMARQUE : Vous pouvez dsactiver le rapport des partages administratifs en ditant les profils de balayage partir de Configuration > Scanning Profiles > OS Data > Enumerate Shares.
Registre
Ce noeud vous donne des informations vitales concernant la base de registre distante. Cliquez sur le noeud Run pour vrifier quels programmes sont lancs automatiquement lors du dmarrage. Vrifiez que les programmes qui sont lancs automatiquement ne sont pas des chevaux de Troie ou mme des programmes valides qui fournissent un accs distance une machine si ce logiciel nest pas autoris sur votre rseau. Tout type de logiciel accs distant peut finir par constituer une porte drobe pouvant tre utilise par un pirate dsirant accder au rseau. REMARQUE : Vous pouvez diter et conserver la liste des cls de registre et les valeurs rcuprer en modifiant le fichier XML toolcfg_regparams.xml situ dans le registre %LNSS_INSTALL_DIR%\Data.
Succs
Oui Oui Oui Oui Oui Oui Non Non Oui
Echec
Oui Oui Oui Oui Oui Oui Non Non Oui
Vous pouvez activer un audit partir de GFI LANguard N.S.S.. Cliquez le bouton de droite sur un des ordinateurs dans le panneau de gauche et slectionnez Activez audit . L'assistant administratif de stratgie daudit apparatra. Prcisez quelles stratgies daudit vous vouler activer. Il y a sept stratgies daudit de scurisation dans Windows NT et neuf stratgies daudit de scurisation dans Windows 2000. Activez les stratgies daudit que vous voulez sur lordinateur contrler. Cliquez sur Next pour dmarrer les stratgies daudit.
Sil ny a aucune erreur, la page de fin apparatra. Sil y a une erreur, alors une autre page apparatra indicant les ordinateurs sur lesquels lapplication des stratgies a chou.
Ports ouverts
Le noeud des ports ouverts fait la liste de tous les ports ouverts trouvs sur la machine. (cette opration sappelle un balayage de ports). GFI LANguard N.S.S. procde un balayage de port slectif, ce qui signifie quil ne scanne pas par dfaut tous les ports 65535
20 Pour commencer : Effectuer un audit
TCP et les ports 65535 UDP, mais ceux pour lesquels il a t configur. La configuration des ports balayer se fait partir des options de Balayage (Scan options). Pour de plus amples informations rfrez-vous au chaptre Configuration des options de balayage, Configuration des ports balayer . Chaque port ouvert reprsente un service / une application ; si lun des ces services peut tre exploit , le pirate peut avoir accs cette machine. Par consquent, il est important de fermer tout port superflu. Remarque : Sur les rseaux Windows, les ports 135, 139 & 445 sont toujours ouverts. GFI LANguard N.S.S. vous indiquera quel port est ouvert, et sil est considr comme un port vunrable aux chevaux de Troie, GFI LANguard N.S.S. le fera apparatre en ROUGE, autrement le port apparatra en VERT. Ceci est visible dans la capture dcran cidessous :
Remarque : Mme si un port est affich en ROUGE comme un port vulnrable aux chevaux de Troie, cela ne veut pas dire quun programme de porte drobe est install sur la machine. Certains programmes valides utiliseront les mmes ports que des chevaux de Troie connus. Un programme antivirus utilise le mme port que le backdoor NetBus. Vrifiez donc toujours les informations dentte fournies et excutez dautres vrifications sur ces machines.
Utilisateurs Connects
Ce noeud montre la liste des utilisateurs connects la machine cible. Elle est spare en deux sections.
Utilisateurs Locaux Connects Cette catgorie contient tous les utilisateurs qui ont dmarr une session localement. Elle affiche les informations, disponibles pour chaque utilisateur connect, suivantes : 1. Date et heure de connexion 2. Temps coul Utilisateurs Distants Connects Cette catgorie contient tous les utilisateurs qui ont dmarr leur session partir dun ordinateur distant. Elle affiche les informations suivantes pour chaque utilisateurs connect : 1. Date et heure de connexion 2. Temps coul 3. Temps dinaction 4. Type de client 5. Transport Lgende des champs dinformations Date et heure de connexion : Indique la date et lheure de la connexion de lutilisateur la machine cible. Ce champ sapplique aux connexions locales et distantes. Temps coul : Indique depuis combien de temps lutilisateur est connect la machine. Ce champ sapplique aux connexions locales et distantes. Temps dinaction : Indique depuis combien de temps lutilisateur a t inactif. Le temps dinaction se rfre linactivit complte de lutilisateur/la connexion. Ce champ sapplique seulement aux connexions distantes. Type de client : Indique de quelle platforme lutilisateur se sert pour se connecter distance. Cela se rfre gnralement au Systme dExploitation install sur la machine qui a lanc la connexion. Ce champ sapplique seulement aux connexions distantes. Transport : Indique quel genre de service a t utilis pour initier la connexion. Ce champ sapplique seulement aux connexions distantes.
Services
Tous les services sur la machine apparaissent dans la liste. Vrifiez les services excuter et dsactivez tous les services superflus. Sachez que chaque service peut reprsenter un risque de scurit ou une faille potentielle dans le systme. La fermeture ou la dconnexion des services non requis rduit considrablement les risques de scurit.
Network Devices
Ce noeud montre la liste de tous les priphriques de rseau installs sur le systme. Ils sont rpertoris de la faon suivante : Priphriques physiques - Connects Priphriques physiques Sans Fil Priphriques virtuels.
Pour chaque priphrique, les proprits suivantes sont rapportes (si disponibles) : Adress MAC Adresse IP Assigne Nom dhte Domaine Dtails DHCP WEP (si disponible) SSID (si disponible) Passerelle Etat.
REMARQUE : Il faut rgulirement vrifier si de nouveaux priphriques de rseau sont prsents. Des priphriques sans fil non autoriss peuvent tre utiliss pour compromettre la scurit du rseau que ce soit de lintrieur mme de la compagnie ou de lextrieur .
Priphriques USB
Ce noeud listera tous les priphriques USB connects lordinateur cible. Il sert vrifier quaucun priphrique non-autoris ne soit prsent. Les appareils de stockage amovibles reprsentent un risque de scurit lev. Il faut par consquent tre vigilant. Un autre
LANguard Network Security Scanner Manual Pour commencer : Effectuer un audit 23
problme de scurit est celui des adaptateurs sans fil USB et les cls lectroniques Bluetooth qui permettent aussi aux utilisateurs de transfrer des fichiers (sans en avoir lautorisation) de leur poste de travail leurs priphriques personnels tels que des tlphones portables, des PDA etc.
REMARQUE : Vous pouvez configurer GFI LANguard N.S.S. pour quil rapporte tout priphrique USB non autoris (par ex. USB Mass Storage Device ) en tant que vulnrabilit de niveau critique. Vous pouvez configurer quels priphriques GFI LANguard N.S.S. doit considrer comme vulnrabilit critique partir de Configuration > Scan Profiles > Devices > USB Devices.
Autres rsultats
Cette section est une liste des noeuds supplmentaires auxquels vous pouvez accder aprs avoir pass en revue les principaux rsultats de balayage ci-dessus.
Noms NETBIOS
Dans ce noeud vous trouverez les dtails des services installs sur la machine.
Ordinateur
MAC - Adresse MAC de votre carte rseau. Username - Ceci est le nom dutilisateur de lutilisateur actuellement connect, ou le nom dutilisateur de la machine. TTL - La valeur de dure de vie (TTL) est spcifique chaque priphrique. Les valeurs principales sont 32, 64, 128 et 255. A partir de ces valeurs et de la TTL relle du paquet, on a une ide de la distance (nombre de sauts de routeur) entre la machine GFI LANguard N.S.S. et la machine cible qui vient dtre balaye. Computer Usage - Prcise si la machine cible est un poste de travail ou un serveur. Domain - Si la machine cible fait partie dun domaine, cela vous donnera une liste du/des domaines reconnus. Si elle ne fait pas partie dun domaine, on verra apparatre le groupe de travail auquel elle appartient. LAN manager - Donne le gestionnaire de LAN actif (et le systme dexploitation).
Sessions
Affiche ladresse IP des machines qui taient connectes la machine cible au moment du balayage. Dans la plupart des cas, cela sera la machine qui excute GFI LANguard N.S.S. et qui a rcemment effectu des connexions. Remarque : D au changement constant de cette valeur, les informations ne sont pas sauvegardes dans le rapport et ne sont l qu titre dinformation.
Network Devices
Fournit une liste des priphriques de rseau disponibles sur la machine cible.
Remote TOD
Remote Time of the Day. Ceci est lheure du rseau sur la machine cible, normalement dfinie par le contrleur de domaine.
Excutez bien des balayages de scurit de temps en temps. Ce nest pas quelque chose que lon fait une seule fois et on loublie. De nouvelles formes dattaques surviennent en permanence, et encore une fois, ce nest pas parce que votre rseau est scuris aujourdhui que vous savez ce quapportera le pirate de demain.
Introduction
Une fois le balayage de scurit de GFI LANguard N.S.S. termin, les rsultats sont automatiquement enregistrs sur la base de donnes darrire plan (Serveur MS Access / MS SQL). Il est possible denregistrer les rsultats sur un fichier XML externe. Les enregistrements de rsultats peuvent tre re-lancs dans linterface utilisateur de GFI LANguard N.S.S. pour un traitement plus en dtails ou pour une comparaison des rsultats. Le chargement de rsultats enregistrs est trs utile lorsquon a besoin de lancer des rapports ou de dployer des patches sur un systme inchang qui na pas besoin dtre balay nouveau.
Introduction
Une fois le balayage GFI LANguard effectu, il vous en montrera le rsultat dans le panneau scan results . Si vous avez balay beaucoup de machines, il serait prfrable de filtrer les donnes partir du nud de filtres Scan. Cliquez sur ce noeud et slectionnez un filtre qui existe dj, cela vous montrera les rsultats du balayage bass sur le filtre que vous avez choisi. GFI LANguard N.S.S. comporte de nombreux filtres de balayage par dfaut. Vous pouvez en plus de a crer vos propres filtres de balayage.
Filtres de balayage
Les filtres de balayage suivants sont inclus par dfaut : Full report: Montre toutes les donnes lies la scurit qui ont t releves lors du balayage. Vulnerabilities [High Security]: Montre les problmes qui requirent une attention immdiate de service packs manquants, patches manquants, vulnrabilits critiques et ports ouverts. Vulnerabilities [Medium Security] : Montre les problmes qui doivent tre rsolus par ladministrateur vulnrabilits moyennes, patches introuvables. Vulnerabilities[All]: Montre toutes les vulnrabilits dtectes patches manquants, service packs manquants, vrifications dinformations potentielles, patches introuvables, faible et haut niveau de vulnrabilits.
LANguard Network Security Scanner Manual Rsultats du scan de filtrage 31
Missing patches and service packs: Liste tous les services packs et les fichiers patch manquants sur la machine balaye. Important devices USB: Liste tous les priphriques USB connects aux cibles balayes Important devices Wireless: Liste toutes les cartes de rseau sans fil, (PCI et USB) connectes aux cibles balayes Open Ports: Liste tous les port ouverts (TCP et UDP) Open Shares: Liste tous les partages ouverts et qui y a accs. Auditing Policies: Liste les paramtres de stratgies daudit sur chaque ordinateur balay. Password Policies: Liste les stratgies actives de mot de passe sur chaque ordinateur balay. Groups and users: Liste les groupes et les utilisateurs dtects sur chaque ordinateur balay. Computer properties: Montre les proprits de chaque ordinateur.
3. Donnez un nom au filtre de balayage 4. Ajoutez les conditions lapplication des donnes de rsultats de balayage que vous dsirez filtrer en cliquant sur Add. Il est possible de crer des conditions multiples pour le filtrage. Pour chaque condition, il faut prciser la proprit, la condition et la valeur. Les proprits disponibles sont le Systme dexploitation, le nom dhte, lutilisateur connect, le domaine, le service pack, les partages, etc
5. Saisissez les catgories dinformations que vous voulez avoir dans le filtrage partir de la page Report Items. 6. Cliquez sur OK pour crer un filtre.
Ce processus va ainsi crer un nouveau noeud permanent sous le noeud de Scan Filters. REMARQUE : Il est possible de supprimer/personnaliser un filtre dans le noeud Scan Filter en cliquant droit sur le filtre et en slectionnant Delete/Properties, selon lopration que vous voulez effectue. Exemple 1 Recherche des ordinateurs avec un patch particulier manquant Vous voulez trouver tous les ordinateurs Windows sur lesquels le patch MS03-026 est absent (cest le clbre patch du virus blaster). Dfinissez le filtre de la faon suivante : 1. Condition 1 : Systme dExploitation incluant Windows 2. Condition 2 : Hot fix (patch) nest pas install MS03-026 Exemple 2 Liste de toutes les Sun stations avec un serveur web Pour lister toutes les Sun stations lanant un serveur web sur le port 80, dfinissez les demandes suivantes : 1. Systme dExploitation incluant SunOS 2. Le port TCP est ouvert 80
Profils de balayage
Profils de balayage
Avec le profil de balayage, vous pouvez configurer plusieurs types de scans et les utiliser pour vous concentrer sur certaines informations particulires que vous voulez vrifier. Un profil de balayage est cr en allant au noeud Configuration > Scaning profiles, en cliquant droit et en saisissant New > Scan Profile Vous pouvez configurer les options suivantes pour chaque profil : 1. Scanned TCP ports 2. Scanned UDP ports 3. Scanned OS data 4. Scanned Vulnerabilities 5. Scanned Patches
Configuration de GFI LANguard N.S.S. 37
Saisissez un numro de port ou une gamme de ports et entrez une description du programme qui est sens fonctionner sur ce port. Si le programme associ ce port est un cheval de Troie, cochez la case Is a Trojan port. Si vous prcisez quil sagit dun port vulnrable au chevaux de Troie, le cercle vert/rouge cot du port deviendra rouge. Remarque : Assurez-vous de bien inclure ce port dans la fentre de protocole approprie, soit TCP soit UDP. Vous pouvez diter ou supprimer des ports en cliquant sur le bouton Edit ou Remove.
Scanned OS data
Longlet des donnes balayes du systme dexploitation, Scanned OS, prcise le genre dinformations que vous voulez que GFI LANguard N.S.S. reccupre partir du systme dexploitation pendant le balayage. Actuellement seules les donnes Windows OS sont supportes, cependant les donnes de balayage UNIX sont en dveloppement.
Scanned Vulnerabilities
Longlet des vulnerabilits de balayage tablit une liste de toutes les vulnrabilits que GFI LANguard N.S.S. peut balayer. Vous pouvez dsactiver la vrification pour toutes les vulnrabilis en enlevant la marque dans la case cocher Check for vulnerabilities. Par dfaut, GFI LANguard N.S.S. recherche toutes les vulnrabilits quil connat. Vous pouvez changer cela en enlevant la marque de la case coche cot de la vulnrabilit en question. partir du panneau de droite vous pouvez changer une vulnrabilit particulire en la double cliquant. Vous pouvez changer le niveau de scurit dune vrification de vulnrabilit particulire partir de loption Security Level.
Types de vulnrabilits
Les vulnrabilits sont divises en sections : Patches manquants, Patches introuvables, Abus CGI, Vulnrabilits FTP, Vulnrabilits DNS, Vulnrabilits de messagerie, Vulnrabilits RPC, Vulnrabilits de service, Vulnrabilits de Registre, et autres Vulnrabilits.
Scanned Patches
Cet onglet de patches balays vous permet de configurer un profil particulier de balayage afin de dterminer sil doit chercher des patches et/ou des service packs manquants. Cet onglet liste tous les patches que GFI LANguard N.S.S. vrifie. Vous pouvez dsactiver la vrification pour des patches prcis pour ce profil en dcochant la case cot du bulletin de patch. La liste des patches est obtenue partir dun tlchargement des des dernires listes de patches du site web de GFI, qui elle-mme est obtenue chez Microsoft (mssecure.xml). GFI obtient la liste des patches de Microsoft et vrifie quelle soit correcte, vu que de temps en temps elle contient des erreurs.
Pour plus dinformations sur un bulletin particulier, double cliquez sur le bulletin en question ou cliquez droit et allez sur Properties. Vous verrez alors plus en dtails ce que le bulletin a vrifi et ce dont il recourt.
Options de balayage
Dans cet onglet vous pouvez configurer les options lies la faon dont GFI LANguard effectue un balayage.
Number of retries est le nombre de fois que GFI LANguard N.S.S. effectue chaque type de balayage. En des circonstances normales, ce paramtre na pas besoin dtre modifi. Sachez cependant que si vous changez ce paramtre, il excutera chaque type de balayage (NetBIOS, SNMP, ICMP) le nombre de fois spcifi. Include non-responsive computers est une option qui communique avec GFI LANguard N.S.S. security scanner pour tenter le balyage dune machine qui na rpondu aucune des mthodes de dcouverte de rseau.
Priphriques
Longlet un peut configurer la raction de LANguard N.S.S. lors de la dtection dun priphrique USB de rseau particulier. GFI LANguard N.S.S. peut donc vous avertir via une notification de vulnrabilit critique lorsquun priphrique particulier est dtect ou bien il peut tre configur de faon ignorer des priphriques particuliers, tels quun clavier ou une souris USB.
Network Devices
Tout priphrique de rseau rcupr porte un nom. Si ce nom contient nimporte quelle entre de chane de la liste Crer une vulnrabilit de haute scurit pour les priphriques de rseau dont le nom contient : (une par ligne), une vulnrabilit de haute scurit sera gnre et rapporte pour lordinateur sur lequel lappareil aura t dtect.
REMARQUE : Ces listes sont configures sur une base de profils, vous pouvez donc personnaliser vos critres de balayages selon le type de scan de scurit que vous effectuez.
Vunrabilit de haute scurit cre pour le priphrique de rseau identifi comme dangereux
REMARQUE : Dun autre ct, si vous ne voulez pas tre inform/notifi de la prsence de priphriques que vous considrz comme sres, il suffit de saisir le nom du priphrique dans la liste Ignorer (Ne pas insrer dans la liste/enregistrer sur db) les priphriques dont le nom contient : . Lorsque GFI LANguard N.S.S. dtecte un tel priphrique, il lignorera et ne lenregistrera/affichera pas dans les rsultats du scan.
Priphriques USB
Tout priphrique de rseau rcupr porte un nom. Si ce nom contient nimporte quelle entre de chane de la liste Crer une vulnrabilit de haute scurit pour les priphriques USB dont le nom contient : (une par ligne), une vulnrabilit de haute scurit sera gnre et rapporte pour lordinateur sur lequel lappareil aura t dtect.
REMARQUE : Ces listes sont configures sur une base de profils, vous pouvez donc personnaliser vos critres de balayages selon le type de scan de scurit que vous effectuez.
Vunrabilit de haute scurit cre pour le priphrique USB identifi comme dangereux
REMARQUE : Dun autre ct, si vous ne voulez pas tre inform/notifi de la prsence de priphriques que vous considrez comme sres, il suffit de saisir le nom du priphrique dans la liste Ignorer (Ne pas insrer dans la liste/enregistrer sur db) les priphriques dont le nom contient : . Lorsque GFI LANguard N.S.S. dtecte un tel priphrique, il lignorera et ne lenregistrera/affichera pas dans les rsultats du scan.
Balayages programms
La fonction de balayages programms vous permet de configurer les balayages qui sont effectus automatiquement un jour et une heure prcise. Les balayages programms peuvent aussi tre effectus de faon priodique. Cela vous permet de faire un balayage particulier la nuit ou tt le matin et peut tre utilis en conjonction avec la fonction de comparaison de rsultats, vous permettant de recevoir un rapport de changements automatiquement dans votre bote aux lettres. Par dfaut, tous les balayages programms sont stocks sur la base de donnes. Il est aussi possible denregistrer tous les rsultats de balayages vers un fichier XML (un par balayage programm). Cela peut se faire en cliquant droit le noeud Scheduled Scan, selectionnant les proprits, activant loption Save Scheduled Scan et en prcisant un parcours pour les fichiers XML.
Cration dun balayage programm 1. Dans le programme de securit de balayage GFI LANguard N.S.S. cliquez droit sur Configuration > Scheduled scans > New > Scheduled scan 2. Cela vous permettra de visualiser la bote de dialogue New Scheduled Scan.
Dans la bote de dialogue du New scheduled scan vous pouvez configurer : 1. La cible du balayage : Prciser les noms des ordinateurs ou la gamme d'adresses IP que vous dsirez balayer. Vous pouvez prciser la cible du balayage de la faon suivante : i. Nom dhte (Host name) par ex. ANDREMDEV ii. Adresse IP par ex.192.168.100.9 iii. Gamme dadresses 192.168.100.255 IP par ex. 192.168.100.1-
iv. Un dossier texte avec une liste dordinateurs par ex. file:c:\test.txt (complter la piste jusquau dossier). Chaque ligne contenue dans le dossier supporte tous formats ou cibles prciss dans (1), (2) ou (3). 2. Profil de balayage : Slectionnez le profil de balayage utiliser pour ce balayage programm. 3. Prochain balayage : Prcisez le jour et lheure du dbut du balayage. 4. Effectuer un balayage tout les : Prcisez si vous voulez que le balayage soit effectu une fois ou priodiquement. 5. Description : Cela vous permettra de visualiser la liste des balayages prgramms. Cliquez sur OK pour crer un balayage programm.
Pour analyser/ visualiser les rsultats dun balayage programm, vous devez prciser le fichier XML de rsultats de balayages de ce balayage programm dans le nud de filtres de balayage. Pour cela : 1. Cliquez droit sur le noeud principal Scan Filters et slectionnez Filter saved scan results XML file 2. Prcisez le nom du fichier XML de rsultats de balayage du scan programm. 3. Les noeuds filtres vous montrent maintenant les donnes du dossier de rsultats de balayages programms.
Fichiers paramtres
Le noeud des fichiers paramtres fournit une interface directe pour ldition de plusieurs textes bass sur les fichiers utiliss par GFI Languard N.S.S.. Seuls les utilisateurs avancs devraient les modifier. Une dition incorrecte affectera la fiabilit de GFI LANguard N.S.S. lors de lidentification du genre de priphrique trouv. Ethercodes.txt ce fichier contient une liste dadresses mac et le revendeur associ qui se charge de cette gamme particulire ftp.txt ce fichier contient une liste de pages douverture des serveurs ftp internes utiliss par LNSS pour lidentification du systme dexploitation de cette machine en particulier en se basant sur le serveur ftp en application Identd.txt ce fichier contient des pages douverture identd qui sont aussi internes et utilises par LNSS pour lidentification du systme dexploitation utilisant linformation de la page douverture Object_ids.txt ce fichier contient des SNMP object_ids et quel revendeur et produit ils appartiennent Lorsque GFI LANguard N.S.S. trouve un priphrique qui rpond aux requtes, il compare les informations de lObject ID sur le priphrique celles stockes dans ce fichier Passwords.txt ce fichier comporte une liste de mots de passe qui sont utiliss pour vrifier la faiblesse des mots de passe Rpc.txt ce fichier contient une carte entre les numros de service retourns par le protocol rpc et le nom du service associ ce numro de service particulier. Lorsque les services RPC sont en application sur une machine (normallement Unix ou Linux), les informations reues en retour sont compares ce fichier Smtp.txt contient une liste de pages douverture et de systmes dexploitations associs. De mme quavec les fichiers ftp et ident, ces pages douvertures sont internes et utilises par LNSS pour lidentification du systme dexploitation en application sur la machine cible Snmp-pass.txt ce fichier contient une liste de chanes de communaut utilises par LNSS pour identifier si elles sont disponibles sur le serveur cible SNMP Si disponibles, elles seront rapportes par loutil de balayage SNMP telnet.txt encore une fois, il sagit dun fichier qui contient plusieurs pages douverture de serveur telnet utilises par LNSS pour identifier le systme dexploitation en application sur la machine cible
LANguard Network Security Scanner Manual
www.txt un fichier contenant des pages douvertures de serveur web utilises pour identifier quel systme dexploitation est en application sur la machine cible Enterprise_numbers.txt liste des codes de relation entre les OID (Identificateur dObjet) et les entreprises (vendeur/universit) Si GFI LANguard na pas les informations prcises dun priphrique quand il le dtecte (informations fournies par le fichier object_ids.txt), il se rfrera aux informations retounes particulires au vendeur et au moins permet de trouver qui lidentit du vendeur du produit dtect. Cette information est base sur SMI Network Management Private Enterprise Codes, que vous pouvez voir sur : http://www.iana.org/assignments/enterprise-numbers.
%INSTALLDIR% sera remplac par le chemin du repertoire dinstallation de LANguard N.S.S. %TARGET% sera remplac par la cible du scan %SCANDATE% sera remplac par la date du scan %SCANTIME% sera remplac par lheure du scan. Exemple : lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="lnss@127.0.0.1" Lexemple ci-dessus fait que la ligne de commande effectue un balayage de scurit sur la machine 127.0.0.1, cre le fichier xml sur c:\out.xml, une fois le balayage complet, gnre le rapport html sur c:\result.html et envoie le rapport ladresse email Inss@127.0.0.1.
Dploiement de patch
Dploiement de patch 53
linformation sur la version de la machine distante, utilisant les informations fournies par Microsoft dans le fichier mssecure.xml. Tout dabord, GFI LANguard N.S.S. dtecte quels produits pour lesquels il a des informations patch sont installs sur la machine distante ( par ex. Microsoft Office). Aprs quoi, il vrifie que les patches et les service packs sont disponibles pour ce produit et envoie les informations de patch manquant dans le nud de patches Manquants du nud de vulnrabilits de haute scurit.
Pour chaque patch/service pack manquant GFI LANguard N.S.S. rapporte un lien partir duquel vous pouvez tlcharger le fichier de patch ainsi que dautres informations lies ce bulletin. Les patches qui sont indniablement absents sont rapports dans les noeuds de patches et service packs manquants (Missing patches and service packs nodes) des rsultats de balayage. Les patches qui ne peuvent pas tre confirms comme tant ou non installs d au manque dinformations de dtection sont rapports dans le nud Potential vulnerabilities des rsultats de balayage.
Exemple de patch non dtectable dans larborescence des sorties de rsultats de balayage
Etape 2 : Slectionnez les machines sur lesquelles vous voulez dployer les patches
Aprs le balayage rseau, lnumration des service packs et des patches manquants seront lists dans la fentre de rsultats de balayage. De faon deployer les mises jour manquantes, vous devez slectionner les ordinateurs que vous voulez mettre jour. Les patches peuvent tre dploys sur une machine, toutes les machines, ou sur les machines slectionnes. Dploiement des patches manquants sur un ordinateur : Cliquez droit sur lordinateur mettre jour > Deploy Microsoft updates > [genre de mise jour] > This computer. Dploiement des patches manquants sur tous les ordinateurs : Cliquez droit sur nimporte quels ordinateurs mettre jour > Deploy Microsoft updates > [genre de mise jour] > All computers.
54 Dploiement de patch
patches
manquants
sur
les
machines
Utilisez les cases de gauche des rsultats de balayage pour slectionner les machines mettre jour. Cliquez droit sur nimporte quel ordinateur dans larborescence de rsultats > Deploy Microsoft updates > [genre de mise jour] > Selected Computers.
Indiquez sur quelles machines vous voulez dployer les mises jour.
Dploiement de patch 55
Par dfaut, tous les patches seront slectionns pour le dploiement. Si vous ne voulez pas que certains patches soient dploys, ne cocher pas la case correspondante au patch.
GFI LANguard NSS montre quels fichiers patch doivent tre tlchargs
GFI LAnguard N.S.S. montre quels fichiers doivent tre tlchargs dans la liste des patches dployer. Chaque fichier patch doit tre list et sera dans lun des tats suivants, indiqus par un symbole dans la liste des patches manquants. Tlcharg En cours de tlchargement Lutilisateur doit visiter la page web et cliquer sur le lien pour tlcharger le fichier. Non tlcharg
56 Dploiement de patch
Tlchargement dun patch partir dune page Internet avec lassistant de tlchargement.
de
une
autre
source
URL
de
3. Prcisez ventuellement les paramtres de ligne de commande utiliser pendant le dploiement. Vous pouvez vrifier quel bulletin le patch sapplique en cliquant droit sur le fichier patch et saisissez Bulletin Info
58 Dploiement de patch
Le dploiement des patches va maintenant commencer. Vous pouvez contrler le statut du dploiement de patch partir de la barre dtat.
Dploiement de patch 59
de dploiement de logiciel personnalis est trs similaire au procd de dploiement de patch dune machine.
60 Dploiement de patch
Vous pouvez ventuellement programmer quel moment le dploiement doit avoir lieu.
Dployez les patches personnaliss en indiquant quels fichiers de patch dployer et sur quel ordinateur.
Dploiement de patch 61
Options de dploiement
Vous pouvez configurer les options de dploiement en survolant le bouton des options avec la souris, situ sur la droite de lcran. L, vous pouvez :
Gnral
Configurer le sevice de lagent de dploiement excuter les coordonnes alternatives. Redmarrer lordinateur cible aprs dploiement. Certaines versions provisoires ncessitent un redmarrage aprs installation. Cocher cette case si un ou plusieurs patches ncessitent un redmarrage Arrter la machine aprs dploiement des mises jour de logiciel Avertir lutilisateur avant dploiement. Un message sera envoy la machine cible avant le dploiement des mises jour Arrter les services avant le dploiement : Cette option arrte les services des serveurs ISS & MS SQL avant dploiement
62 Dploiement de patch
Configurer GFI LANguard N.S.S. de faon dployer les mises jour de logiciel grce aux partages administratifs ou aux partages personnaliss (si utiliss, il ny aura pas besoin des partages administratifs. Ceux-ci peuvent tre dsactivs pour une plus grande scurit.) Supprimer les fichiers copis sur les machines distantes aprs dploiement Configurer les conditions particulires de filtrage vers lesquelles il faut dployer la version provisoire (filtres de lordinateur).
Avances
Configurer le nombre de fils des versions provisoires utiliser Configurer le lapse de temps accord pour le dploiement.
Rpertoire de tlchargement
Configurer le rpertoire o les tlchargements de patches seront enregistrs.
REMARQUE : Dans loutil Deploy custom patches, les filtres dordinateur ne sappliqueront pas aux ordinateurs qui nont pas t balays par loutil de balayage de scurit.
Dploiement de patch 63
Le rsultat sera similaire la capture dcran ci-dessus. Elle vous montre ce qui a t activ ou dsactiv et tous les changements oprs sur le rseau depuis le dernier balayage. Les nouveaux objets vous montreront tout changement appliqu aprs le premier balayage Les objets supprims montreront tous les priphriques /problmes qui ont t supprims depuis le premier balayage Les objets alterns montreront tout ce qui a chang, tel quun service activ ou dsactiv entre deux balayages.
Pour annuler un scan programm actif, slectionnez celui que vous dsirez et cliquez sur Arrter Scan(s) Slectionn (Stop Selected Scan(s)).
Annulation de Scan
Dploiements programms
Pour visualiser ltat des dploiements programms cliquez sur le symbole du moniteur GFI LANguard N.S.S. dans la barre du systme Windows et slectionnez longlet des dploiements programms.
Dploiements programms
Pour annuler le dploiement dune mise jour de logiciel programm, slectionnez lentre de votre choix et cliquez sur Annuler dploiement slectionn .
Annulation de dploiement
Introduction
Utilisez les options de maintenance de la base de donnes pour choisir quelle base de donnes utiliser pour enregistrer les rsultats de scans sauvegards. Vous pouvez aussi configurer les options de maintenance de base de donnes, telles que suppression automatique des rsultats de plus dune certaine priode. Avec MS Access comme base de donnes vous pouvez programmer une compression de base de donnes pour viter la corruption des donnes. Les options de maintenance de base de donnes peuvent tre accdes par : 1. GFI LANguard N.S.S. > Configuration > Cliquez droit sur le noeud Database Maintenance Options. 2. Proprits.
MS Access
Prcisez le chemin entier (y compris le nom fichier) utiliser comme base de donnes MS Access. REMARQUE : si le fichier nexiste pas, il sera cr pour vous.
Serveur MS SQL
Prcisez le nom/IP du serveur sur lequel le serveur MS SQL est install. Specifiez aussi les coordonnes daccs du Serveur SQL. (Le mode dauthentification NT nest pas compatible avec GFI LANguard N.S.S.) REMARQUE : si le serveur et les coordonnes entrs sont corrects, GFI LANguard N.S.S. se connectera au serveur SQL et crera les tableaux de base de donnes ncessaires. Si les tableaux de base de donnes existent dj, il les rutilisera.
Options avances
Longlet Advanced contient des options pour programmer la compression des bases de donnes. Vous pouvez paramtrer que la compression automatique soit effectue par le service daide. REMARQUE : La compression de base de donnes supprime dfinitivement les enregistrements slectionns.
Outils
Introduction
Les Outils suivants peuvent tre trouvs dans le Menu Outils DNS lookup (consultation de tables DNS) Whois Client Trace Route SNMP Walk (chemin SNMTP) SNMP Audit MS SQL Server Audit Enumerate Computers
DNS lookup
Cet outil rsoud le nom de domaine (Domain Name) une adresse IP correspondante et en plus fournit des informations sur le nom de domaine, sil y a un enregistrement MX etc
Pour obtenir des informations sur le nom de domaine : 1. Allez sur le nud Tools > DNS lookup.
Outils 75
2. Prcisez le nom dhte rsoudre 3. Prcisez les informations rechercher Basic Information par ex. le nom dhte et ladresse IP laquelle il se rsout Host Information connu sous le nom technique de HINFO, et comprenant normalement des informations telles que le matriel hardware et quel systme dexploitation est excut sur le domaine prcis (la plupart des entres DNS ne contiennent pas ces informations pour des raisons de scurit) Aliases retourne les informations quun enregistrement de domaine peut avoir MX Records - aussi connu sous le nom denregistrements de Mail exchangers, montre quel(s) serveur(s) de messagerie et lordre dans lequel ils sont responsables pour ce domaine NS Records - indique quels serveurs sont responsables pour ce domaine.
Trace Route
Cet utilitaire montre le chemin de rseau que GFI LANguard N.S.S. prend pour atteindre la machine cible. Lorsque vous effectuez un trace route, chaque saut a un symbole associ. Indique un saut russi selon les paramtres normaux Indique un saut russi , mais le temps requis a t assez long Indique un saut russi , mais le temps requis a t trop long Indique que le saut a pris trop longtemps et a chou (par exemple : il a pris plus de 1000ms)
LANguard Network Security Scanner Manual
76 Outils
Whois Client
Utilitaire whois
Cet utilitaire obtiendra des informations partir dun domaine ou dune adresse IP. Vous pouvez saisir un serveur Whois prcis dans la zone des options, ou vous pouvez utilisez loption Default qui saisira un serveur pour vous.
Outils 77
SNMP Audit
Lutilitaire SNMP Audit, permet deffectuer un audit SNMP sur un priphrique et un audit pour des chanes de communaut faibles. Certains priphriques de rseau ont des chanes de communaut alternatives ou non-default. Le dictionnaire contient une liste de chanes de communaut populaires vrifier. Le fichier dfaut quil utilise pour rpertorier les attaques sappelle snmp-pass.txt. Vous pouvez soit ajouter des nouveaux noms de communaut ce fichier, soit diriger laudit SNMP vers un autre fichier. Afin dutiliser cet outil, saisissez ladresse IP dune machine excutant le SNMP et cliquez Retrieve.
78 Outils
Cet outil parcourt votre rseau la recherche de Domaines et/ou Groupes de travail. Une fois trouvs, vous avez la possiblit de balayer ces Domaines pour en obtenir la liste des ordinateurs. Une fois le balayage termin, il tablira une liste des systmes dexploitation installs sur cette machine, ainsi que tous commentaires qui pourraient tre lists via NETBIOS. Les oridnateurs peuvent tre numrs en utilisant une des mthodes suivantes Depuis lActive Directory Cette mthode est bien plus rapide et numrera aussi tous les ordinateurs qui sont teints En utilisant linterface Windows Explorer Cette mthode est plus lente et nnumrera pas les ordinateurs teints.
Vous pouvez prciser quelle mthode utiliser partir de longlet Information Source. Remarquez que vous ne pouvez effectuer le balayage quen utilisant un compte qui a des droits daccs lActive Directory.
Outils 79
80 Outils
Introduction
GFI LANguard N.S.S. permet de personnaliser rapidement les vrifications de vulnrabilits. Ceci peut se faire de deux faons : par lcriture dun script, ou par un jeu de conditions. Quelque soit la mthode que vous utilisez, vous devez ajouter la vulnrabilit via l'interface de balayage scuritaire et prcisez le nom du script ou les conditions qui doivent tre appliques. Remarque : Seul les Utilisateurs Expriments doivent crer des nouvelles Vulnrabilits, car des misconfigurations de vulnrabilits donnent lieu des faux positifs ou ne fourniront aucune information de vulnrabilit du tout.
Mots cls :
Le module SSH peut lancer nimporte quel script qui est compatible et qui fonctionne sur la machine Linux cible partir de son terminal Windows. Lorsquun contrle de vulnrabilit SSH est lanc, le script SSH est copi sur la machine cible travers une connexion SSH tablie grce aux coordonnes spcifies au tout dbut du scan. Ce fichier copi reoit alors des permissions excutables et s'excute sur la machine cible. La sortie textuelle gnre partir de ce script est analyse par le module SSH. A partir du rsultat, le module SSH sait maintenant lorsque le script sest arrt et si le rsultat est concluant ou non. Les mots cls ci-dessous sont grs par le module SSH et interprts comme directives pour GFI LANguard N.S.S. : TRUE: FALSE: AddListItem SetDescription !!SCRIPT_FINISHED!!
Lorsuqe le module SSH dtecte l'un des termes ci-dessus, il traite la chane de faon particulire selon le mot rencontr. TRUE: and FALSE: Lorsque le module SSH dtecte l'une des chanes suivantes, il tablira le rsultat du contrle de vulnrabilit comme tant TRUE ou FALSE. AddListItem AddListItem est une fonctionnalit interne utilise pour lajout de rsultats larborescence des vrifications de vulnrabilits mme comme rapport dans lUI. La syntaxe de cette fonction est la suivante : AddListItem([[[<parent node>]]],[[[<actual string>]]]) Le premier paramtre, [[[<parent node>]]], prcise le nom du nud parent. Le deuxime, [[[<actual string>]]] prcise la valeur de ce nud dans larborescence. REMARQUE : Si le paramtre noeud parent est vide, la fonction ajoutera la chane spcifie au nud suprieur disponible pour cette vrification. Chaque vulnrabilit a son propre noeud. Nimporte quelle commande AddListItem crera un enfant sous le noeud de vulnrabilit pour cette vrification. SetDescription SetDescription est une fonctionnalit interne qui peut rcrire la description par dfaut qui est lintrieur de la vrification de vulnrabilit. Il y a des vrifications de vulnrabilits pour lesquelles vous devrez changer le nom par dfaut car il apparatra sur larborescence. SetDescription(<Nouvelle description>)
!!SCRIPT_FINISHED!! Chaque script doit rpondre par le texte !!SCRIPT_FINISHED!!. Cette ligne marque la fin de lexcution des scripts. Le module SSH va continuer rechercher cette ligne jusqu ce quil la trouve ou que le temps maximal dexcution soit dpass. Si le temps maximal est dpass avant davoir reu la ligne, le module SSH ignorera le script et la vulnrabilit ne sera pas affiche mme si TRUE: est retourn au module SSH avec succs avant que le temps maximal dexcution soit dpass. Il est donc impratif que chaque script peut importe la taille de la vrification affiche !!SCRIPT_FINISHED!! la fin du procd. REMARQUE IMPORTANTE : GFI software noffre pas de support lors de la cration ou du dbuggage de scripts qui ne marchent pas. Vous pouvez faire part de vos problmes lis au script GFI LANguard N.S.S. sur le forum GFI LANguard http://forums.gfi.com, o vous serez en mesure de partager des scripts et des ides avec dautres utilisateurs de GFI LANguard N.S.S.. Exemple : Afin dillustrer les techniques qui sont dcrites ci-dessus, une vrification de vulnrabilit sera cre tape par tape. Tout dabord, le script SSH sera cr avec une fonctionnalit trs simple. Il se servira des mots cls exposs ci-dessus et gnrera seulement une nouvelle description et ajoutera deux objets larborescence. Le script SSH que lon appellera test.sh sera constitu des codes suivants: #!/bin/bash echo "TRUE:" time=`date` echo "SetDescription(New Script Generated Description at :$time)" echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" echo "!!SCRIPT_FINISHED!!" La prochaine vulnrabilit sera cre et excutera ce script sur une machine Linux distante. La vulnrabilit sera comme suit :
Le balayage dune machine Linux avec les bonnes coordonnes dclenchera cette vrification qui est paramtre pour toujours se dclencher. La vulnrabilit ci-dessus gnrera alors la sortie suivante :
Vous trouverez plus d'exemples de scripts SSH dans [registre principal deGFI LANguard N.S.S.]\data\scripts\ Tous les fichiers en .sh sont des scripts SSH. (remarquez que les scripts SSH peuvent avoir nimporte quelle extension. Ils ne doivent pas ncessairement avoir lextension .sh pour fonctionner.)
4. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 5. Cliquez sur le bouton Add 6. Maintenant slectionnez Script dans la liste Check.
7. Prcisez lemplacement du script c:\myscript.vbs . Cliquez Add pour ajouter une vulnrabilit. Lexcution se fera la prochaine fois quun balayage de vulnrabilit sera fait sur lordinateur. 8. Pour le tester, scannez votre machine hte locale et vous devriez voir lavertissement de vulnrabilit apparatre sous la section miscellaneous du nud de vulnrabilit des rsultats de balayage.
echo "FALSE:" fi echo "!!SCRIPT_FINISHED!!" 4. Enregistrez le fichier, par ex. C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscrip .
4. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 5. Cliquez sur le bouton Add 6. Maintenant slectionnez SSH Script dans la liste Check.
Prcisez lemplacement du script C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript . Cliquez 'Add' pour ajouter une vulnrabilit. Lexcution se fera la prochaine fois quun balayage de vulnrabilit sera fait sur lordinateur. Pour faire un essai, balayez simplement la machine cible Linux (crez le fichier test.file de faon dclencher la vulnrabilit. Vous pouvez faire cela en vous connectant votre machine Linux, allez dans le rpertoire home de lutilisateur dont vous vous servirez pour le balayage, et tapez la commande touch test.file . Une fois le scan complt, vous devriez voir lavertissement de vulnrabilit que nous venons de crer sous le nud vulnrabilit qui fut tabli dans ltape 2.
3. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 4. Prcisez la mthode HTTP: Les deux mthodes supportes par GFI LANguard N.S.S. dans sa section CGI abus sont GET et HEAD. 5. Prcisez quel URL vrifier : Il sagit de lURL que GFI LANguard N.S.S. recherchera. 6: Prcisez la Return String: Il sagit de ce que GFI LANguard N.S.S. devra dceler lors du retour dinformations afin dtablir si le poste de travail est vulnrable cette attaque.
3. Maintenant, entrez les dtails de base tels que le nom, une courte description, le niveau de scurit, et l'URL (si appropri). Vous pouvez aussi prciser combien de temps la vrification prendra. 4. Vous devez prciser ce quil faut vrifier. Pour ajouter une vrification, cliquez droit dans la fentre Trigger condition et ajoutez une nouvelle vrification. 5. Vous pouvez prciser que toutes les choses suivantes soient une base de vrification de vulnrabilit de: Systme dexploitation o o o o Est Nest pas Existe Nexiste pas seulement sous :
Clef de registre
seulement
sous :
Valeur du registre o o o o Est gal Nest pas gale Est infrieure Est suprieure seulement sous :
Remarque : Fonctionne HKEY_LOCAL_MACHINE Service Pack o o o o Hot fix o o IIS o o o o o o o o o o o o o o o o o o o Est install Nest pas install Est Nest pas Est infrieur Est suprieur Est install Nest pas install Est install Nest pas install Est en cours dexcution Ne rpond pas Automatique Manuel Dsactiv Est ouvert Est ferm Est ouvert Est ferm Est install Nest pas install Est Nest pas Est infrieur Est suprieur
Version IIS
Service RPC
Service NT
Excution du service NT
Port (TCP)
Port UDP
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire HTTP o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire SMTP o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire POP3 o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire DNS o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire SSH o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Banire Telnet o o Est Nest pas
Remarque : Vous pouvez crer des expressions qui recherchent la Version 1.0 1.4 et Version 2.0 2.2, mais pas pour la Version 1.5 1.9 Voir les exemples ci-dessous Script o o Renvoi True (1) Renvoi False (0)
Ajout de vrifications de vulnrabilits par conditions ou scripts 93
6. Chaque option ci-dessus a son propre jeu de critres, comme vous pouvez le voir, sur lesquels les vrifications de vulnrabilits sont bases. Si votre cration de vrification de vulnrabilit est trop vague, vous recevrez trop de faux rapports. Do, si vous dcidez de crer votre propre vrification de vulnrabilits, assurez-vous que vous la concevez de faon trs prcise, passez du temps la crer. Rien ne vous limite aux mentions ci-dessus pour dclencher une vrification de vulnrabilit ; par exemple, vous lavez peut-tre rgle pour la vrification de conditions multiples. Vrifier OS Port XYZ Banire ABC LANS script QRS excution et vrifications de vulnrabilit
Une fois que vous avez respect tous les critres ci-dessus, et seulement si vous les avez respect, la vrification de vulnrabilit sera-t-elle dclenche. Remarque : La cration dexpressions vous permettra de faire une vrification de vulnrabilits comme celle qui est utilise pour vrifier la version dApache en excution sur votre poste de travail. ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])). Pour ceux qui ont de lexprience avec C ou Perl, le format ci-dessus est peu de choses prs le mme que ce que vous pouvez faire dans ces langages. Il y a beaucoup de pages daide sur Internet qui vous montre comment lutiliser. Dans les exemples ci-dessous, nous allons essayer de vous donner une explication. Si vous avez besoin daide supplmentaire sur ce sujet, rfrez-vous la fin de cette section pour un lien hypertexte. Si vous dsirez voir un exemple/une dmarche sur la cration dune nouvelle walkthrough/vulnrabilit comportant un script, rfrez-vous GFI LANguard N.S.S. scripting documentation .
Troubleshooting
Introduction
Le chapitre Troubleshooting vous explique comment rsoudre les problmes rencontrs. Les sources dinformations principales offertes aux utilisateurs sont les suivantes : 1. Le manuel la plupart des problmes peuvent tre rsolus en consultant le manuel. 2. La base de connaissances GFI http://kbase.gfi.com . 3. Le site de support technique GFI http://support.gfi.com 4. Service support de support@gfsfrance.com GFI Software par email
5. Service support de GFI Software via notre systme de support en direct sur http://support.gfi.com/livesupport.asp 6. Service support de GFI Software par tlphone.
Base de connaissance
GFI Software maintient une base de connaissances comprenant des rponses aux problmes les plus frquents. Si vous avez un problme, veuillez tout dabord consulter la base de connaissances. Celle-ci propose toujours une liste trs rcente des questions de support et des nouveaux patches. Elle peut tre consulte sur http://kbase.gfi.com (en anglais)
Troubleshooting 95
puisse vous apporter son support. Ces fichiers comprennent les paramtres de configuration etc Pour gnrer ces fichiers, dmarrez le Troubleshooter et suivez les instructions dans lapplication. En plus de rassembler toutes les informations, il vous pose galement un certain nombre de questions. Veuillez prendre le temps de rpondre ces questions de faon prcise. Sans les informations correctes, il ne nous sera pas possible de diagnostiquer votre problme. Allez ensuite sur le rpertoire de support, situ sous le rpertoire de programmes principal, zippez les fichiers, et envoyez les fichiers gnrs support@gfsfrance.com. Vrifiez tout dabord que vous avez bien enregistr votre produit sur notre site web, sur http://www.gfsfrance.com/pages/regfrm.htm ! Nous vous rpondrons dans les 24 heures ou moins, selon votre fuseau horaire.
Forum Internet
Un systme de support inter utilisateurs est disponible travers un forum internet. Dcouvrez ce forum sur : http://forums.gfi.com
Notifications de rvisions
Il est fortement conseill de sabonner notre listing de notifications de nouvelles versions. De cette manire, vous serez inform(e) immdiatement de larrive de nouvelles rvisions de produits. Pour
96 Troubleshooting
vous inscrire au systme de notifications des nouvelles rvisions, allez sur : http://support.gfi.com/?lcode=fr
Troubleshooting 97
Index
G
groupes 5, 27
groups 5, 27
H
Hot fixes 29
HTML 8
L
Licence 10
License 10
M
Mot de passe 23
O
Open ports 7
Operating System 8
P
Partages 5, 22
Password policy 23
Ports ouverts 7
Troubleshooting 99
Registre 24
Utilisateurs 26
Registry 24
Utilisateurs 6
S
security policy 5
X
XML 8
Services 7
Shares 5, 22
SNMP 17
SNMP 103
SNMP 103
stratgie de scurit 6
System requirements 11
Systme dexploitation 8
Systme requis 11
T
Traceroute 101
Traceroute 101
Traceroute 101
U
Users 6, 26, 107
100 Troubleshooting