Une fois le logiciel pour le déploiement et les ordinateurs concernés précisés, vous pouvez commencer le processus de déploiement en cliquant sur Start.
Déployez les patches personnalisés en indiquant quels fichiers de patch déployer et sur quel ordinateur.
62 • Déploiement de patch LANguard Network Security Scanner Manual
Options de déploiement
Options générales de déploiement
Vous pouvez configurer les options de déploiement en survolant le bouton des options avec la souris, situé sur la droite de l’écran. Là, vous pouvez :
Général
• Configurer le sevice de l’agent de déploiement à exécuter les coordonnées alternatives.
• Redémarrer l’ordinateur cible après déploiement. Certaines versions provisoires nécessitent un redémarrage après installation. Cocher cette case si un ou plusieurs patches nécessitent un redémarrage
• Arrêter la machine après déploiement des mises à jour de logiciel
• Avertir l’utilisateur avant déploiement. Un message sera envoyé à la machine cible avant le déploiement des mises à jour
• Arrêter les services avant le déploiement : Cette option arrête les services des serveurs ISS & MS SQL avant déploiement
• Configurer GFI LANguard N.S.S. de façon à déployer les mises à jour de logiciel grâce aux partages administratifs ou aux partages personnalisés (si utilisés, il n’y aura pas besoin des partages administratifs. Ceux-ci peuvent être désactivés pour une plus grande sécurité.)
• Supprimer les fichiers copiés sur les machines distantes après déploiement
• Configurer les conditions particulières de filtrage vers lesquelles il faut déployer la version provisoire (filtres de l’ordinateur).
Avancées
• Configurer le nombre de fils des versions provisoires à utiliser
• Configurer le lapse de temps accordé pour le déploiement.
Options avancées de déploiement
Répertoire de téléchargement
• Configurer le répertoire où les téléchargements de patches seront enregistrés.
Options de répertoire de téléchargement
REMARQUE : Dans l’outil Deploy custom patches, les filtres d’ordinateur ne s’appliqueront pas aux ordinateurs qui n’ont pas été balayés par l’outil de balayage de sécurité.
Comparaison des résultats
Pourquoi comparer les résultats ?
En faisant un audit régulier et en comparant les résultats des balayages précédents vous aurez une idée de quels trous de sécurité reviennent continuellement ou sont ré-ouverts par des utilisateurs.
Cela crée un réseau plus sécurisé.
GFI LANguard Network Security Scanner vous aide à faire cela en vous permettant de comparer les résultats de balayages. GFI LANguard N.S.S. établira un rapport et vous permettra d’agir. Vous pouvez comparer les résultats manuellement ou par balayages programmés.
Effectuer une comparaison de résultats de scan interactive
Lorsque GFI LANguard N.S.S. effectue un balayage programmé, il sauvegarde le fichier XML des résultats dans l’annuaire Data\Reports dans l’annuaire d’installation GFI LANguard N.S.S..
Vous pouvez aussi sauvergarder les résultats de balayage actuels vers un fichier xml en cliquant droit sur le noeud de balayage de sécurité et en saisissant Save scan results to xml file….
Pour comparer deux fichiers XML de résultats de balayage :
1. Allez sur l’outil de comparaison de résultats GFI LAnguard N.S.S. >
Security Scanner > Result comparison.
2. Saisissez deux résultats de balayage soit à partir d’un fichier xml ou d’un enregistrement sur base de données d’arrière plan, effectués avec les mêmes options et le même jeu d’ordinateurs, mais effectués à différents moments, et cliquez Compare.
66 • Comparaison des résultats LANguard Network Security Scanner Manual Comparer les résultats
Le résultat sera similaire à la capture d’écran ci-dessus. Elle vous montre ce qui a été activé ou désactivé et tous les changements opérés sur le réseau depuis le dernier balayage.
• Les nouveaux objets vous montreront tout changement appliqué après le premier balayage
• Les objets supprimés montreront tous les périphériques /problèmes qui ont été supprimés depuis le premier balayage
• Les objets alternés montreront tout ce qui a changé, tel qu’un service activé ou désactivé entre deux balayages.
Effectuer une Comparaison avec l’option de balayages programmés
Au lieu de balayer manuellement votre réseau chaque jour, semaine, ou mois, vous pouvez établir un balayage programmé. Un Scheduled Scan s’exécutera automatiquement à un certain moment et enverra un email des différences entre les balayages programmés à l’administrateur. Par exemple : l’administrateur peut configurer la fonction Scheduled Scan afin d’effectuer un balayage toutes les nuits à 23:00. Le service d’aide GFI LANguard N.S.S. lancera un balayage de sécurité sur l’ordinateur(s) cible(s) saisi(s) et enregistrera les résultats sur la base de données centrale. Ensuite, il comparera les résultats actuels à ceux de la veille et établira un rapport des différences, s’il y a lieu.
REMARQUE : Si vous effectuez un balayage programmé pour la première fois ou s’il n’y a pas de différence avec le balayage précédent, alors GFI LANguard N.S.S. ne vous enverra pas de rapport. Vous ne recevrez un rapport que si quelque chose a changé.
GFI LANguard N.S.S. Status Monitor
Visualisation des opérations programmées
GFI LANguard N.S.S. status monitor vous permet de surveiller l’état des scans programmés actifs et des déploiements de mises à jour de logiciel. Vous pouvez aussi annuler les opérations de déploiements programmés.
Scan programmé actif
Pour visualiser l’état des scans programmés actifs cliquez sur le symbole du moniteur GFI LANguard N.S.S. dans la barre du système Windows et sélectionnez l’onglet des scans programmés. Vous verrez tous les scans programmés actifs et l’heure à laquelle ils ont commencé.
Remarque : Comme le sous-entend le nom, seuls les scans actifs actuels seront affichés dans les Scans Programmés Actifs. Pour vérifier les scans programmés et pour tous les annuler, lancez GFI LANguard N.S.S. et cliquez sur GFI LANguard N.S.S. > Configuration
> Scheduled Scans.
Scan programmé terminé
Pour annuler un scan programmé actif, sélectionnez celui que vous désirez et cliquez sur « Arrêter Scan(s) Sélectionné » (Stop Selected Scan(s)).
68 • GFI LANguard N.S.S. Status Monitor LANguard Network Security Scanner Manual Annulation de Scan
Déploiements programmés
Pour visualiser l’état des déploiements programmés cliquez sur le symbole du moniteur GFI LANguard N.S.S. dans la barre du système Windows et sélectionnez l’onglet des déploiements programmés.
Déploiements programmés
Pour annuler le déploiement d’une mise à jour de logiciel programmé, sélectionnez l’entrée de votre choix et cliquez sur « Annuler déploiement sélectionné ».
Annulation de déploiement
Options de maintenance de la base de données
Introduction
Utilisez les options de maintenance de la base de données pour choisir quelle base de données utiliser pour enregistrer les résultats de scans sauvegardés. Vous pouvez aussi configurer les options de maintenance de base de données, telles que suppression automatique des résultats de plus d’une certaine période.
Avec MS Access comme base de données vous pouvez programmer une compression de base de données pour éviter la corruption des données. Les options de maintenance de base de données peuvent être accédées par :
1. GFI LANguard N.S.S. > Configuration > Cliquez droit sur le noeud Database Maintenance Options.
2. Propriétés.
Changement de base de données
L’onglet « Changement de base de données » contient les options qui permettent de changer la base de données utilisée par GFI LANguard N.S.S. pour l’enregistrement des résultats de scans. Les bases de données compatibles sont MS Access ou Serveur MS SQL.
MS Access
Précisez le chemin entier (y compris le nom fichier) à utiliser comme base de données MS Access. REMARQUE : si le fichier n’existe pas, il sera créé pour vous.
72 • Options de maintenance de la base de données LANguard Network Security Scanner Manual Changement de base de données – MS Access
Serveur MS SQL
Précisez le nom/IP du serveur sur lequel le serveur MS SQL est installé. Specifiez aussi les coordonnées d’accès du Serveur SQL. (Le mode d’authentification NT n’est pas compatible avec GFI LANguard N.S.S.)
REMARQUE : si le serveur et les coordonnées entrés sont corrects, GFI LANguard N.S.S. se connectera au serveur SQL et créera les tableaux de base de données nécessaires. Si les tableaux de base de données existent déjà, il les réutilisera.
Changement de Base de données – Serveur SQL
Gestion des résultats de scan enregistrés
L’onglet « Changements de base de données » contient l’option de suppression des résultats de scan enregistrés à partir de la base de données. Vous pouvez supprimer les scans manuellement ou supprimer les scans selon leur âge.
Options avancées
L’onglet Advanced contient des options pour programmer la compression des bases de données. Vous pouvez paramétrer que la compression automatique soit effectuée par le service d’aide.
REMARQUE : La compression de base de données supprime définitivement les enregistrements sélectionnés.
74 • Options de maintenance de la base de données LANguard Network Security Scanner Manual Options de maintenance de base de données – options de compression
Outils
Introduction
Les Outils suivants peuvent être trouvés dans le Menu Outils
• DNS lookup (consultation de tables DNS)
• Whois Client
• Trace Route
• SNMP Walk (chemin SNMTP)
• SNMP Audit
• MS SQL Server Audit
• Enumerate Computers
DNS lookup
Cet outil résoud le nom de domaine (Domain Name) à une adresse IP correspondante et en plus fournit des informations sur le nom de domaine, s’il y a un enregistrement MX etc…
Outil de recherche DNS
Pour obtenir des informations sur le nom de domaine : 1. Allez sur le nœud Tools > DNS lookup.
76 • Outils LANguard Network Security Scanner Manual
2. Précisez le nom d’hôte à résoudre 3. Précisez les informations à rechercher
• Basic Information – par ex. le nom d’hôte et l’adresse IP à laquelle il se résout
• Host Information – connu sous le nom technique de HINFO, et comprenant normalement des informations telles que le matériel hardware et quel système d’exploitation est exécuté sur le domaine précisé (la plupart des entrées DNS ne contiennent pas ces informations pour des raisons de sécurité)
• Aliases – retourne les informations qu’un enregistrement de domaine peut avoir
• MX Records - aussi connu sous le nom d’enregistrements de Mail exchangers, montre quel(s) serveur(s) de messagerie et l’ordre dans lequel ils sont responsables pour ce domaine
• NS Records - indique quels serveurs sont responsables pour ce domaine.
En plus de ça, il est possible de préciser un serveur DNS alternatif.
Trace Route
Utilitaire Trace route
Cet utilitaire montre le chemin de réseau que GFI LANguard N.S.S.
prend pour atteindre la machine cible. Lorsque vous effectuez un trace route, chaque saut a un symbole associé.
• Indique un saut réussi selon les paramètres normaux
• Indique un saut réussi , mais le temps requis a été assez long
• Indique un saut réussi , mais le temps requis a été trop long
• Indique que le saut a pris trop longtemps et a échoué (par exemple : il a pris plus de 1000ms)
Whois Client
Utilitaire whois
Cet utilitaire obtiendra des informations à partir d’un domaine ou d’une adresse IP. Vous pouvez saisir un serveur Whois précis dans la zone des options, ou vous pouvez utilisez l’option Default qui saisira un serveur pour vous.
SNMP Walk (chemin SNMP)
SNMP walk vous permet de rassembler les informations SNMP. Le panneau de droite contient une liste de noms représentant des Object ID précis sur le prériphérique. Pour en savoir plus sur les informations fournies par le SNMP walk, vous allez devoir vérifier avec le vendeur.
Certains vendeurs fournissent beaucoup de détails sur chaque moyen d’information, d’autres, par leur SNMP support de périphériques, ne fournissent aucune documentation.
Pour utiliser cet outil, cliquez sur Tools > SNMP walk. Saisissez l’adresse IP de la machine ou du périphérique que vous désirez scan/’walk’.
Remarque : Dans la plupart des cas SNMP devrait être bloqué au niveau du routeur/ pare-feu de façon à ce que les internautes ne puissent pas effectuer un balayage SNMP de votre réseau.
Il est possible d’avoir d’autres chaînes de communauté.
Remarque : SNMP aidera les utilisateurs malveillants à avoir des informations vitales de votre système, ainsi deviner un mot de passe ou autres attaques du même genre sont rendues bien plus faciles. A moins que ce service soit nécessaire, il est fortement recommandé de désactiver le SNMP.
78 • Outils LANguard Network Security Scanner Manual
SNMP Audit
L’utilitaire SNMP Audit, permet d’effectuer un audit SNMP sur un périphérique et un audit pour des chaînes de communauté faibles.
Certains périphériques de réseau ont des chaînes de communauté alternatives ou non-default. Le dictionnaire contient une liste de chaînes de communauté populaires à vérifier. Le fichier défaut qu’il utilise pour répertorier les attaques s’appelle snmp-pass.txt. Vous pouvez soit ajouter des nouveaux noms de communauté à ce fichier, soit diriger l’audit SNMP vers un autre fichier.
Afin d’utiliser cet outil, saisissez l’adresse IP d’une machine exécutant le SNMP et cliquez Retrieve.
MS SQL Server Audit
Cet outil permet d’effectuer un audit sur l’installation d’un serveur Microsoft SQL. Vous pouvez auditer un compte SA ainsi que tous les comptes SQL.
Par défaut, il utilisera le dictionnaire appelé passwords.txt. Vous pouvez soit ajouter des nouveaux mots de passe, soit diriger l’utilitaire vers un nouveau dossier de mots de passe.
Pour exécuter un audit de serveur SQL, saisissez l’adresse IP de la machine fonctionnant sur MS SQL. Si vous voulez deviner les mots de passe pour tous les comptes SQL, vous devez saisir un nom d’utilisateur et le mot de passe pour démarrer en SQL afin d’extraire tous les comptes d’utilisateurs.
Utilitaire d’audit de comptes SQL
Enumération des Ordinateurs.
Utilitaire d’énumération des ordinateurs
Cet outil parcourt votre réseau à la recherche de Domaines et/ou Groupes de travail. Une fois trouvés, vous avez la possiblité de balayer ces Domaines pour en obtenir la liste des ordinateurs. Une fois le balayage terminé, il établira une liste des systèmes d’exploitation installés sur cette machine, ainsi que tous commentaires qui pourraient être listés via NETBIOS.
Les oridnateurs peuvent être énumérés en utilisant une des méthodes suivantes
• Depuis l’Active Directory – Cette méthode est bien plus rapide et énumèrera aussi tous les ordinateurs qui sont éteints
• En utilisant l’interface Windows Explorer – Cette méthode est plus lente et n’énumèrera pas les ordinateurs éteints.
Vous pouvez préciser quelle méthode utiliser à partir de l’onglet Information Source. Remarquez que vous ne pouvez effectuer le balayage qu’en utilisant un compte qui a des droits d’accès à l’Active Directory.
Lancement d’un scan de sécurité
Une fois l’énumération des ordinateurs faite, vous pouvez procéder au lancement d’un balayage sur les machines sélectionnées en cliquant-droit sur les ordinateurs énumérés et en sélectionnant Scan.
Si vous voulez lancer le balayage tout en continuant d’utiliser l’outil des ordinateurs énumérés, sélectionnez Scan in background.
80 • Outils LANguard Network Security Scanner Manual
Déploiement de patches personnalisés
Sélectionnez les machines sur lesquelles vous désirez déployer une mise à jour >Cliquez-droit sur n’importe quelle machine sélectionnée >
Deploy Custom Patches.
Activation des Stratégies d’Audit
Sélectionnez les machines sur lesquelles vous désirez activer les stratégies d’audit > cliquez droit sur n’importe quelle machine sélectionnée > Enabling Auditing Policies.
Enumération des Utilisateurs
La fonction d’énumération des utilisateurs se connecte à l’Active Directory et récupère tous les utilisateurs et les contacts qui s’y trouvent.
Ajout de vérifications de vulnérabilités par conditions ou scripts
Introduction
GFI LANguard N.S.S. permet de personnaliser rapidement les vérifications de vulnérabilités. Ceci peut se faire de deux façons : par l’écriture d’un script, ou par un jeu de conditions. Quelque soit la méthode que vous utilisez, vous devez ajouter la vulnérabilité via l'interface de balayage sécuritaire et précisez le nom du script ou les conditions qui doivent être appliquées.
Remarque : Seul les Utilisateurs Expérimentés doivent créer des nouvelles Vulnérabilités, car des misconfigurations de vulnérabilités donnent lieu à des faux positifs ou ne fourniront aucune information de vulnérabilité du tout.
GFI LANguard N.S.S. langage VBscript
GFI LANguard N.S.S. comprend un langage script compatible avec VBscript. Ce langage a été créé afin d'ajouter facilement des vérifications personnalisées. Il permet aussi à GFI Software d’ajouter des nouvelles vérifications de vulnérabilités et de les rendre disponibles pour un téléchargement. GFI LANguard N.S.S. comprend un éditeur qui peut surligner la syntaxe et un débuggeur.
Pour plus d’informations sur l’écriture de sripts, veuillez vous référez au dossier Scripting documentation, qui est accessible à partir du groupe de programme de GFI LANguard N.S.S. .
REMARQUE IMPORTANTE : GFI software n’offre pas de support en ce qui concerne la création de scripts qui ne marchent pas. Vous pouvez faire part de vos problèmes liés au script GFI LANguard N.S.S. sur le forum GFI LANguard à http://forums.gfi.com, où vous serez en mesure de partager des scripts et des idées avec d’autres utilisateurs de GFI LANguard N.S.S..
Module GFI LANguard N.S.S. SSH
GFI LANguard N.S.S. comprendx un module SSH qui permet d’exécuter des scripts de vulnérabilité sur des systèmes Linux.. Le module SSH analyse les données de la console imprimées par le script. Cela signifie que vous pouvez utiliser n’importe quel langage de script/programmation compatible avec le système d’exploitation Linux cible qui permet la sorite des résultats de la console (en mode texte).
82 • Ajout de vérifications de vulnérabilités par conditions ou scripts LANguard Network Security Scanner Manual
Mots clés :
Le module SSH peut lancer n’importe quel script qui est compatible et qui fonctionne sur la machine Linux cible à partir de son terminal Windows.
Lorsqu’un contrôle de vulnérabilité SSH est lancé, le script SSH est copié sur la machine cible à travers une connexion SSH établie grâce aux coordonnées spécifiées au tout début du scan. Ce fichier copié reçoit alors des permissions exécutables et s'exécute sur la machine cible. La sortie textuelle générée à partir de ce script est analysée par le module SSH. A partir du résultat, le module SSH sait maintenant lorsque le script s’est arrêté et si le résultat est concluant ou non.
Les mots clés ci-dessous sont gérés par le module SSH et interprétés comme directives pour GFI LANguard N.S.S. :
• TRUE:
• FALSE:
• AddListItem
• SetDescription
• !!SCRIPT_FINISHED!!
Lorsuqe le module SSH détecte l'un des termes ci-dessus, il traite la chaîne de façon particulière selon le mot rencontré.
TRUE: and FALSE:
Lorsque le module SSH détecte l'une des chaînes suivantes, il établira le résultat du contrôle de vulnérabilité comme étant TRUE ou FALSE.
AddListItem
AddListItem est une fonctionnalité interne utilisée pour l’ajout de résultats à l’arborescence des vérifications de vulnérabilités même comme rapporté dans l’UI. La syntaxe de cette fonction est la suivante :
AddListItem([[[<parent node>]]],[[[<actual string>]]])
Le premier paramètre, [[[<parent node>]]], précise le nom du nœud parent. Le deuxième, [[[<actual string>]]] précise la valeur de ce nœud dans l’arborescence.
REMARQUE : Si le paramètre noeud parent est vide, la fonction ajoutera la chaîne spécifiée au nœud supérieur disponible pour cette vérification. Chaque vulnérabilité a son propre noeud. N’importe quelle commande AddListItem créera un enfant sous le noeud de vulnérabilité pour cette vérification.
SetDescription
SetDescription est une fonctionnalité interne qui peut récrire la description par défaut qui est à l’intérieur de la vérification de vulnérabilité. Il y a des vérifications de vulnérabilités pour lesquelles vous devrez changer le nom par défaut car il apparaîtra sur l’arborescence.
SetDescription(<Nouvelle description>)
!!SCRIPT_FINISHED!!
Chaque script doit répondre par le texte !!SCRIPT_FINISHED!!. Cette ligne marque la fin de l’exécution des scripts. Le module SSH va continuer à rechercher cette ligne jusqu’à ce qu’il la trouve ou que le temps maximal d’exécution soit dépassé. Si le temps maximal est dépassé avant d’avoir reçu la ligne, le module SSH ignorera le script et la vulnérabilité ne sera pas affichée même si TRUE: est retourné au module SSH avec succès avant que le temps maximal d’exécution soit dépassé.
Il est donc impératif que chaque script – peut importe la taille de la vérification – affiche !!SCRIPT_FINISHED!! à la fin du procédé.
REMARQUE IMPORTANTE : GFI software n’offre pas de support lors de la création ou du débuggage de scripts qui ne marchent pas. Vous pouvez faire part de vos problèmes liés au script GFI LANguard N.S.S. sur le forum GFI LANguard à http://forums.gfi.com, où vous serez en mesure de partager des scripts et des idées avec d’autres utilisateurs de GFI LANguard N.S.S..
Exemple :
Afin d’illustrer les techniques qui sont décrites ci-dessus, une vérification de vulnérabilité sera créée étape par étape.
Tout d’abord, le script SSH sera créé avec une fonctionnalité très simple. Il se servira des mots clés exposés ci-dessus et génèrera seulement une nouvelle description et ajoutera deux objets à
Tout d’abord, le script SSH sera créé avec une fonctionnalité très simple. Il se servira des mots clés exposés ci-dessus et génèrera seulement une nouvelle description et ajoutera deux objets à