GFI LANguard Network Security Scanner 6. Manuel. Par GFI Software Ltd.

GFI LANguard Network Security Scanner 6

Manuel

Par GFI Software Ltd.

GFI SOFTWARE Ltd.

http://www.gfsfrance.com Email : info@gfsfrance.com

Les informations contenues dans ce document peuvent être modifiées sans préavis. Les entreprises, les noms et les données utilisés ci- après, à titre d’exemple, sont fictifs à moins d’une notification contraire. Ce document, même partiellement, ne peut être reproduit ou transmis, sous quelque forme ou quelque moyen que ce soit, électronique ou mécanique, et quel qu’en soit l’objet, sans l’autorisation expresse et écrite de GFI Software Ltd.

LANguard est un copyright de GFI Software Ltd. 2000-2004 GFI SOFTWARE Ltd. Tous droits réservés.

Version 6.0 – Dernière mise à jour 03/02/2005

Table des matières

Introduction 5

Introduction à GFI LANguard Network Security Scanner ... 5

Importance de la Sécurité de Réseau Interne ... 5

Fonctions clés ... 6

Composants de GFI LANguard N.S.S. ... 7

Système de licences ... 7

Installation de GFI LANguard Network Security Scanner 9

Système requis ... 9

Processus d’installation ... 9

Saisir votre clé de licence après l’installation ... 11

Pour commencer : Effectuer un audit 13

Introduction aux audits de sécurité ... 13

Balayage ... 13

Analyse des résultats de scan ... 15

Adresse IP, Nom du poste, Système d’Exploitation et Niveau du Service Pack ... 15

Nœud de vulnérabilités ... 15

Noeud de vulnérabilités éventuelles ... 17

Partages... 17

Stratégie de mot de passe ... 18

Registre... 18

Stratégie de sécurisation d’audit... 19

Ports ouverts ... 20

Utilisateurs & Groupes d’utilisateurs ... 21

Utilisateurs Connectés ... 21

Services ... 22

System Patching status ... 22

Network Devices ... 23

Périphériques USB ... 23

Autres résultats ... 25

Ordinateur ... 25

Balayages sur place et en-dehors du site... 25

Balayage sur place (on site scan)... 26

Balayage à distance (off site scan) ... 26

Comparaison des balayages sur place et de l’extérieur ... 26

Enregistrement et chargement des résultats de balayage 29

Introduction ... 29

Enregistrement des résultats de balayage sur un fichier externe... 29

Chargement des résultats de scan enregistrés ... 29

Chargement des résultats de scan enregistrés à partir d’une base de données ... 29

Chargement des scans enregistrés à partir d’un fichier externe ... 30

Résultats du scan de filtrage 31

Table des matières • ii LANguard Network Security Scanner Manual

Introduction ... 31

Sélectionner la source des résultats de balayage ... 32

Création d’un filtre de balayage personnalisé... 32

Configuration de GFI LANguard N.S.S. 37

Introduction à la configuration de GFI LANguard N.S.S. ... 37

Profils de balayage... 37

Scanned TCP/UDP ports ... 38

Comment ajouter/éditer/supprimer des ports ... 38

Scanned OS data... 39

Scanned Vulnerabilities ... 40

Types de vulnérabilités ... 40

Téléchargement des dernières vulnérabilités de sécurité ... 41

Scanned Patches ... 41

Options de balayage ... 42

Méthodes de découverte de réseau ... 43

Périphériques ... 45

Network Devices ... 45

Périphériques USB ... 46

Balayages programmés ... 48

Fichiers paramètres ... 50

Utilisation de GFI LANguard N.S.S. depuis les lignes de commandes ... 51

Déploiement de patch 53

Introduction au déploiement de patch... 53

L’agent de déploiement de patch... 53

Etape 1 : Effectuez un balayage de votre réseau... 53

Etape 2 : Sélectionnez les machines sur lesquelles vous voulez déployer les patches ... 54

Etape 3 : Sélectionnez quels patches déployer... 55

Etape 4 : Téléchargez les fichiers de patch et service pack... 56

Téléchargement des patches... 57

Etape 5 : Paramètres de déploiement de fichier de patch... 57

Etape 6 : Déployez les mises à jour... 58

Déploiement de logiciel personnalisé ... 59

Etape 1 : Sélection des machines sur lesquelles il faut installer le logiciel/patches ... 60

Etape 2 : Précisez logiciel à déployer ... 60

Etape 3 : Commencez le déploiement ... 61

Options de déploiement ... 62

Général ... 62

Avancées ... 63

Répertoire de téléchargement ... 63

Comparaison des résultats 65

Pourquoi comparer les résultats ? ... 65

Effectuer une comparaison de résultats de scan interactive ... 65

Effectuer une Comparaison avec l’option de balayages programmés ... 66

GFI LANguard N.S.S. Status Monitor 67

Visualisation des opérations programmées ... 67

Scan programmé actif... 67

Déploiements programmés... 68

Options de maintenance de la base de données 71

Introduction ... 71

Changement de base de données... 71

MS Access ... 71

Serveur MS SQL ... 72

Gestion des résultats de scan enregistrés... 73

Options avancées ... 73

Outils 75

Introduction ... 75

DNS lookup ... 75

Trace Route ... 76

Whois Client ... 77

SNMP Walk (chemin SNMP) ... 77

SNMP Audit... 78

MS SQL Server Audit... 78

Enumération des Ordinateurs. ... 79

Lancement d’un scan de sécurité ... 79

Déploiement de patches personnalisés ... 80

Activation des Stratégies d’Audit ... 80

Enumération des Utilisateurs ... 80

Ajout de vérifications de vulnérabilités par conditions ou scripts 81

Introduction ... 81

GFI LANguard N.S.S. langage VBscript ... 81

Module GFI LANguard N.S.S. SSH ... 81

Mots clés : ... 82

Ajout de vérification de vulnérabilité qui utilise un script vbs personnalisé... 85

Etape 1 : Créer le script ... 85

Etape 2 : Ajouter une nouvelle vérification de vulnérabilité : ... 86

Ajout de vérification de vulnérabilité qui utilise un script SSH personnalisé... 87

Etape 1 : Créer le script ... 87

Etape 2 : Ajouter une nouvelle vérification de vulnérabilité : ... 88

Ajout d’une vérification de vulnérabilité CGI ... 89

Ajout d’autres vérifications de vulnérabilités ... 90

Troubleshooting 95

Introduction ... 95

Base de connaissance ... 95

Questions fréquemment posées ... 95

Demande de support via email ... 95

Demande de support par l’intermédiaire du web chat ... 96

Demande de support par téléphone ... 96

Forum Internet... 96

Notifications de révisions ... 96

Index 99

Introduction

Introduction à GFI LANguard Network Security Scanner

GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) est un utilitaire qui permet aux administrateurs de réseau d’effectuer un audit de sécurité facilement et rapidement. GFl LANguard N.S.S. crée également des rapports pouvant être utilisés pour résoudre des problèmes de sécurité sur un réseau. Il peut aussi effectuer un management de patch.

Contrairement à d’autres scanners de sécurité, GFI LANguard N.S.S.

ne crée pas de « barrage d’informations », sur lequel il est pratiquement impossible d’assurer un suivi. Mais il aide à mettre en évidence les informations les plus importantes. Il offre également des liens hypertextes vers divers sites de sécurité permettant d’en savoir plus sur ces failles.

Grâce à son scan intelligent, GFI LANguard N.S.S. rassemble les informations sur les machines telles que les noms des utilisateurs, les groupes, partages de réseau, périphériques USB, périphériques sans fil et autres informations trouvées sur un Domaine Windows.

En outre, GFI LANguard N.S.S. identifie également des vulnérabilités spécifiques telles que des problèmes de configuration sur les serveurs FTP, les exploits des serveurs web Apache et Microsoft IIS, ou les problèmes de configuration de la stratégie de sécurité Windows, plus un certain nombre d’autres problèmes éventuels.

Importance de la Sécurité de Réseau Interne

La sécurité de réseau interne est assez souvent sous-estimée par les administrateurs. Très souvent, elle n’existe même pas, ce qui permet à un utilisateur d’accéder facilement à l’ordinateur d’un autre, grâce à des exploits bien connus, une relation de confiance et des paramètres par défaut. La plupart de ces attaques ne nécessitent que peu ou pas de connaissances spécifiques, ce qui met en danger l’intégrité d’un réseau.

La plupart des employés n’ont pas besoin et ne devraient pas avoir accès aux machines, fonctions administratives, périphériques etc des autres utilisateurs. Cependant, à cause de la flexibilité nécessaire à des activités normales, les réseaux internes ne peuvent pas se permettre une sécurité maximale. D’un autre côté, sans aucune mesure de sécurité, les utilisateurs internes peuvent constituer une menace importante pour les réseaux internes de beaucoup d’entreprises.

Les utilisateurs de l’entreprise ont déjà accès à de nombreuses ressources internes et n’ont pas besoin d’éviter les pare-feux ou

6 • Introduction LANguard Network Security Scanner Manual

autres mécanismes de sécurité qui empêchent les sources inconnues, comme les utilisateurs Internet, d’accéder au réseau interne. De tels utilisateurs internes, qui ont des connaissances en matière de piratage, peuvent facilement pénétrer et s’octroyer des droits d’administrateur de réseau tout en s’assurant que leurs activités soient difficiles à identifier ou à détecter.

En effet, 80 % des attaques de réseau proviennent de l’intérieur du pare-feu (ComputerWorld, Janvier 2002).

Un niveau faible de sécurité de réseau signifie également que si un pirate externe pénètre un ordinateur de votre réseau, il peut accéder au reste du réseau plus facilement. Cela permettrait à un pirate avancé de lire et de communiquer à autrui des emails et documents confidentiels, de détruire des ordinateurs, provoquant une perte d’informations, etc... Il pourra également utiliser votre réseau et vos ressources pour attaquer d’autres sites, qui se tourneront vers vous et votre société une fois l’attaque découverte.

La plupart des attaques, comparées aux exploits connus, pourraient être réparées facilement, et par conséquent être arrêtées par les administrateurs si pour commencer ils étaient au courant de cette vulnérabilité. Le rôle de GFI LANguard N.S.S. est d’aider les administrateurs à identifier ces vulnérabilités.

Fonctions clés

• Recherche de services non autorisés et ports TCP et UDP ouverts

• Détection de vulnérabilités connues telles que CGI, DNS, FTP, Message, RPC entre autres

• Détection des périphériques sans fil

• Détection des utilisateurs non autorisés

• Détection des partages ouverts et liste de ceux qui y ont accès ainsi que leurs permissions

• Enumération des groupes, dont leurs membres

• Enumération des utilisateurs, services, etc…

• Enumération des périphériques USB

• Enumération des périphériques de réseau et identification de leur type (connecté, sans fil, virtuel)

• Balayages programmés

• Mise à jour automatique des vérifications sécuritaires de vulnérabilités

• Détection des hot fixes et des services packs manquants dans le système d’exploitation

• Détection des hots fixes et des services packs manquants dans les applications supportées

• Sauvegarde et chargement des resultants des scans

• Comparaison des balayages, pour découvrir d’éventuels nouveaux points d’entrée

• Possibilité de patcher le Système d’Exploitation (Systèmes Windows Anglais) & les applications d’Office (Anglais, Français, Allemand, Italien, Espagnol)

• Identification du système d’exploitation

• Détection de l’hôte actif

• Base de données, sortie HTML, XSL et XML

• Audit SNMP & MS SQL

• Language d’inscription compatible avec VBscript afin de personnaliser les vérifications des vulnérabilités

• Module SSH qui permet l’exécution des scripts de sécurité sur les machines Linux/Unix

• Balayage simultané de plusieurs ordinateurs.

Composants de GFI LANguard N.S.S.

GFI LANguard N.S.S. est conçu sur une architecture d’entreprise et est composé de :

GFI LANguard Network Security Scanner

Il s’agit de l’interface principale du produit. Vous pouvez utiliser cette application pour scanner les résultats en temps réel, configurer les options de balayage, les profils de balayages, les rapports de filtres, ainsi que les outils administratifs et bien plus encore.

GFI LANguard N.S.S. attendant service

Ce service conduit des balayages de réseau ainsi que des déploiements de patch programmés. Il fonctionne en arrière plan.

GFI LANguard N.S.S. service agent de Patch

Ce service est déployé sur les postes sur lesquels un patch, un service pack ou un logiciel doit être déployé et prend en charge l’installation même du patch, du service pack ou du logiciel.

GFI LANguard N.S.S. Débuggeur de script

Vous pouvez utiliser ce module pour écrire/débugger des scripts que vous avez créés.

GFI LANguard N.S.S. Monitor

Ce module sert à surveiller l’état des scans programmés et les déploiements des mises à jour de logiciel actuelles. Vous pouvez aussi intérrompre les opérations programmées qui n’ont pas encore été executées.

Système de licences

Le système de licences de GFI LANguard N.S.S. fonctionne pour le nombre de postes et de périphériques que vous désirez. Par exemple, la licence 100 adresses IP vous permet de scanner jusqu’à 100 postes ou périphériques à partir d’une seule station de travail/serveur de votre réseau.

Installation de GFI LANguard Network Security Scanner

Système requis

L’installation de GFI LANguard Network Security Scanner nécessite :

• Windows 2000/2003 ou Windows XP

• Internet Explorer 5.1 ou supérieur

• Installation de Client pour Microsoft Networks

• AUCUN logiciel de Personal Firewall NI Windows XP Internet Connection Firewall ne peuvent être lancés lors de balayages. Ils peuvent bloquer les fonctionnalités de GFI LANguard N.S.S.

REMARQUE : Les détails de la configuratiuon des stratégies de votre Active Directory pour une compatibilité avec les scans de/à partir d’ordinateurs Windows XP Service Pack 2 se trouvent sur http://kbase.gfi.com/showarticle.asp?id=KBID002177.

• Afin de déployer des patches sur un poste isolé vous devez bénéficier des privilèges d’administrateur.

Processus d’installation

1. Exécutez le programme d’installation de LANguard Network Security Scanner en double cliquant sur le fichier languardnss6.exe.

Confirmez que vous désirez installer GFI LANguard N.S.S. . L’assistant d’installation apparaîtra. Cliquez sur Next.

2. Après avoir lu la boîte de dialogue de l’accord de licence, cliquez sur Yes pour accepter l’accord et continuer l’installation.

3. Le programme d’installation vous demandera vos détails d’utilisateur et une clef de licence.

10 • Installation de GFI LANguard Network Security Scanner LANguard Network Security Scanner Manual Précisez les coordonnées d’administrateur de domaine ou utilisez le compte local du système

4. Le programme d’installation vous demandera d’entrer vos coordonnées d’administrateur de domaine qui sont utilisées par le LANguard N.S.S Attendant service (qui lance des balayages programmés). Entrez les coordonnées nécessaires et cliquez Next.

Choisir la base de données d’arrière plan

5. Le programme d’installation vous demandera de choisir la base de données d’arrière plan pour la base de données de GFI LANguard N.S.S.. Choisissez entre Microsoft Access ou Microsoft SQL Server\MSDE et cliquez sur Next.

REMARQUE : SQL Server/MSDE doit être installé en mode mixte ou en mode d’autentification de serveur SQL. Le mode d’authentification NT seul n’est pas supporté.

6. Si vous choisissez Microsoft SQL Server/MSDE comme base de données d’arrière plan, on vous demandera les coordonnées de SQL afin de pouvoir avoir accès à la base de données. Cliquez sur Next pour continuer.

7. Le programme d’installation vous demandera votre adresse email d’administrateur et votre nom de serveur de messagerie. Ces données seront utilisées pour envoyer des alertes administratives.

8. Choisissez l’emplacement cible pour GFI LANguard N.S.S. et cliquez sur Next. GFI LANguard N.S.S. nécessite environ de 40 Mo d’espace disque.

9. Après l’installation de GFI LANguard N.S.S., il est possible d’exécuter GFI LANguard Network Security Scanner à partir du menu Démarrer.

Saisir votre clé de licence après l’installation

Si vous avez acheté GFI LANguard N.S.S., vous pouvez saisir votre clé de licence dans le nœud General > Licensing.

Si vous évaluez GFI LANguard N.S.S., celui-ci expirera automatiquement après 60 jours (avec la clé de licence). Si vous décidez d’acheter GFI LANguard N.S.S., il vous suffira de saisir la clé de licence ici sans recommencer l’installation.

Vous devez obtenir une licence GFI LANguard N.S.S. pour chaque poste de travail que vous désirez scanner, et pour chacun des postes sur lesquels vous voulez l’exécuter. Si vous avez 3 administrateurs qui utilisent GFI LANguard N.S.S., vous devez alors acheter 3 licences.

Il ne faut pas confondre la saisie de la clé de licence avec le processus d’enregistrement des coordonnées de votre société sur notre site web. Ces dernières sont importantes, puisqu’elles nous permettent de vous offrir un système de support et de vous avertir de l’arrivée de nouvelles importantes concernant les produits. Inscrivez- vous sur :

http://www.gfsfrance.com/pages/regfrm.htm

Remarque : Pour acheter GFI LANguard N.S.S., allez sur le noeud General > How to purchase.

Pour commencer : Effectuer un audit

Introduction aux audits de sécurité

Un audit des ressources de réseau permet à l’administrateur d’identifier les risques éventuels au sein d’un réseau. Cette opération, effectuée manuellement, prend beaucoup de temps, à cause des procédures et tâches répétitives devant être appliquées à chaque machine du réseau. GFI LANguard N.S.S. automatise le processus d’audit de sécurisation & identifie facilement les vulnérabilités courantes de votre réseau même, très rapidement.

Remarque : Si votre société exécute un système de détection d’intrusion (IDS), alors LANguard Network Security Scanner déclenchera presque toutes ses alarmes. Si vous nêtes pas chargé du système IDS, assurez-vous que l’administrateur de cette boîte/ces boîtes soit au courant du balayage qui va avoir lieu.

En plus de ces alertes de logiciel IDS, sachez que la plupart des balayages apparaîtront dans les fichiers journaux unilatéraux. Les journaux Unix, les serveurs Web, etc. afficheront l’action du poste de travail qui aura excécuté LANguard Network Security Scanner. Si vous n’êtes pas le seul administrateur sur votre site, assurez-vous que les autres soient au courant du balayage que vous allez effectuer.

Balayage

La première étape d’un audit de réseau est d’effectuer un balayage des machines et des périphériques de réseau actuels.

Pour lancer un nouveau balayage de réseau : 1. Cliquez sur File > New.

2. Sélectionnez ce que vous voulez balayer. Vous pouvez sélectionner :

a. Balayage d’un poste de travail – Un seul ordinateur sera balayé.

b. Balayage de plusieurs postes de travail – Une gamme d’

adresses IP précises seront balayées.

c. Balayage d’une liste d’ordinateurs – Une liste personnalisée d’ordinateurs sera balayée. Des postes de travail peuvent être ajoutés à la liste en les sélectionnant à partir d’une liste des ordinateurs, en les saisissant les uns après les autres, ou en les important d’un fichier texte.

d. Balayage d’un domaine – un domaine windows entier sera balayé.

14 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

e. Balayage des favoris – la liste des machines favories que vous avez spécifiées sera scannée (grâce au bouton

« Ajouter aux favoris »).

3. Selon ce que vous désirez scanner saisissez le début et la fin du balayage du réseau.

4. Sélectionnez Start Scan.

Balayage

LANguard Network Security Scanner va maintenant procéder au balayage. Il commence par détecter quels hôtes/ordinateurs sont allumés, et ne balaye que ceux-ci. Ceci est effectué grâce aux vérifications NETBIOS, ping ICMP et interrogations SNMP.

Si un périphérique ne répond à aucun, GFI LANguard N.S.S.

suppose, pour le moment, que le périphérique soit n’existe pas à cette address IP soit est actuellement éteint.

Remarque : Si vous voulez imposer un balayage sur un Ips qui ne répond pas, référez-vous au chapître « Configuration des options de balayage » pour obtenir plus d’informations sur le meilleur moyen de le configurer.

Analyse des résultats de scan

Analyse des résultats

Suite au balayage, des noeuds apparaissent pour chaque machine trouvée par GFI LANguard N.S.S. Le panneau de gauche fera apparaître toutes les machines et les périphériques de réseau.

L’agrandissement de l’un de ces noeuds fait apparaître la liste d’une série de nœuds et les informations trouvées pour cette machine ou ce périphérique de réseau. Cliquez sur un noeud particulier et les informations scannées apparaîtront sur le panneau de droite.

GFI LANguard N.S.S. trouve tout périphérique de réseau actuellement allumé lors d’un sonde de réseau. Selon le type de périphérique et selon le type de requêtes auquel celui-ci répond, on détermine avec quelle facilité GFI LANguard N.S.S. l’identifie et quelles informations il extrait.

Une fois le balayage du poste de travail/périphérique/réseau de GFI LANguard N.S.S. fini, les informations suivantes apparaîtront :

Adresse IP, Nom du poste, Système d’Exploitation et Niveau du Service Pack

L’adresse IP du poste/périphérique apparaîtra. Ensuite, viendra le nom NetBIOS DNS, selon le type de périphérique. GFI LANguard N.S.S. rapportera que le système d’exploitation fonctionne sur le périphérique et s’il s’agit de Windows NT/2000/XP/2003, il montrera le niveau du pack de service.

Nœud de vulnérabilités

Le noeud de vulnérabilités affiche les problèmes de sécurité détectés et vous explique comment les résoudre. Ces menaces peuvent inclure des patches et des services packs manquants, des problèmes HTTP, des alertes NetBIOS, des problèmes de configuration etc…

16 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

Les vulnérabilités sont divisées en sections : service packs manquants, patches manquants, vulnérabilités critiques, vulnérabilités moyennes et vulnérabilités faibles.

Sous chaque section Critique/ Moyenne/ Faible des vulnérabilités, vous pouvez trouver de plus amples sous catégories du problème détecté en utilisant le groupement suivant : Abus CGI, Vulnérabilités FTP, Vulnérabilités DNS, Vulnérabilités de messagerie, Vulnérabilités RPC, Vulnérabilités de Service, Vulnérabilités de Registre et Autres Vulnérabilités.

Une fois le scan complété et les diverses vulnérabilités listées, double cliquez (ou cliquez droit > Plus de détails….) la vulnérabilité rapportée pour que les propriétés apparaissent. A travers cette boîte de dialogue, vous serez en mesure de vérifier instantanément les conditions rapportées de cette vulnérabilité et les informations d’accès telles qu’une longue description de cette vulnérabilité qui n’apparaît pas dans la troncature des résultats.

Les informations suivantes sont disponibles dans la fenêtre des propriétés :

• Nom :

• Brève description

• Niveau de sécurité

• URL

• Durée de la vérification

• Vérifications (afin de déterminer si la machine cible est vulnérable face à cette vérification)

• Longue description.

Patches manquants GFI LANguard N.S.S. recherche les patches manquants en comparant les patches installés à ceux qui sont disponibles pour un produit particulier. Si plusieurs patches manquent sur un ordinateur, un écran semblable à celui ci-dessous devrait apparaître :

Tout d’abord il vous dit à quel produit le patch se rapporte. Si vous l’agrandissez, il vous signalera le patch précis manquant et vous donnera un lien à suivre pour le télécharger.

CGI Abuses décrit les problèmes liés à Apache, Netscape, IIS et autres serveurs web.

Vulnérabilités FTP, Vulnérabilités DNS, Vulnérabilités de messagerie, Vulnérabilités RPC, et Autres Vulnérabilités fournissent des liens vers Bugtraq ou autres sites web de sécurité

pour que vous puissiez rechercher davantage d’informations concernant le problème trouvé par GFI LANguard N.S.S.

Le service de vulnérabilités peut dénoter un certain nombre de choses. Elles peuvent aller des services exécutés sur le périphérique en question aux comptes définis sur une machine et qui n’ont jamais été utilisés.

Les vulnérabilités de Registre couvrent les informations extraites d’une machine Windows lorsque GFI LANguard N.S.S. effectue son premier balayage. Il offre un lien vers le site Microsoft ou autres sites web de sécurité expliquant pourquoi ces paramètres de base de registre devraient être changés.

Informations de vulnérabilités sont des alertes ajoutées à la base de données qui dénotent des questions assez importantes pour être notifiées aux administrateurs, mais qui ne sont pas forcément nuisibles lorsque ouvertes.

Noeud de vulnérabilités éventuelles

Le noeud de vulnérabilités éventuelles expose des problèmes de sécurisation éventuels, des informations importantes, ainsi que certaines vérifications qui n’ont pas fait rapport de vunérabililté. Par exemple, si vous n'arrivez pas à determiner qu'un patch précis est installé, il sera alors listé dans le noeud des patches Non-détectables.

Ces éventuelles vulnérabilités doivent faire l’object d’une révision par l’administrateur.

Noeud de vulnérabilités éventuelles

Partages

Le noeud de dossiers partagés liste tous les dossiers partagés de l'ordinateur et ceux qui y ont accès. Tous les dossiers partagés de réseau doivent être correctement sécurisés. Les administrateurs doivent vérifier que :

18 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

1. Aucun utilisateur ne partage l’intégralité de son lecteur avec d’autres utilisateurs..

2. L’accès anonyme ou non identifié aux dossiers partagés soit interdit.

3. Les dossiers de démarrage ou fichiers de système semblables ne soient pas partagés. Ceci permettrait aux utilisateurs ayant moins de privilèges d’exécuter du code sur les machines cibles.

Les points ci-dessus sont très importants pour toutes les machines, mais en particulier pour les machines cruciales à l’intégrité du système, telles que le contrôleur de domaine public (PDC). Imaginez un administrateur partageant le dossier de démarrage (ou un dossier contenant le dossier de démarrage) sur le PDC vers tous les utilisateurs. Avec les permissions appropriées, les utilisateurs peuvent alors facilement copier des exécutables dans le dossier de démarrage, qui sera exécuté lors de la prochaine connexion de l’administrateur.

Remarque : Si vous exécutez le balayage en tant qu’administrateur, vous pourrez également visualiser les partages administratifs, par exemple « C$ - default share ». Ces partages ne seront pas accessibles aux utilisateurs normaux.

Dû à la présence de Klez et autres virus qui se répandent rapidement grâce à des partages ouverts, il est conseillé d’arrêter tous les partages non requis, et tous les partages requis devraient avoir un mot de passe.

REMARQUE : Vous pouvez désactiver le rapport des partages administratifs en éditant les profils de balayage à partir de Configuration > Scanning Profiles > OS Data > Enumerate Shares.

Stratégie de mot de passe

Ce noeud vous permet de vérifier que le mot de passe est sécurisé.

Par exmple, activez un âge maximum et un historique de mot de passe. La longueur minimale de mot de passe devrait être quelque chose de pratique, comme par exemple 8 caractères. Si vous avez Windows 2000, vous pouvez activer une stratégie de mot de passe sécurisée, sur l’ensemble du réseau, grâce à une GPO (Group Policy Objects) dans Active Directory.

Registre

Ce noeud vous donne des informations vitales concernant la base de registre distante. Cliquez sur le noeud Run pour vérifier quels programmes sont lancés automatiquement lors du démarrage.

Vérifiez que les programmes qui sont lancés automatiquement ne sont pas des chevaux de Troie ou même des programmes valides qui fournissent un accès à distance à une machine si ce logiciel n’est pas autorisé sur votre réseau. Tout type de logiciel à accès distant peut finir par constituer une porte dérobée pouvant être utilisée par un pirate désirant accéder au réseau.

REMARQUE : Vous pouvez éditer et conserver la liste des clés de registre et les valeurs à récupérer en modifiant le fichier XML

« toolcfg_regparams.xml » situé dans le registre

%LNSS_INSTALL_DIR%\Data.

Stratégie de sécurisation d’audit

Ce noeud montre quelles stratégies de sécurisation d’audit sont actives sur la machine distante. Les stratégies d’audit suivantes sont recommandées :

Stratégie d’audit Succès Echec

Account logon events Oui Oui

Account management (gestion des comptes)

Oui Oui

Directory service access (Accès à un service registre)

Oui Oui

Logon events (Evènements de connection)

Oui Oui

Object Access (accès aux objets)

Oui Oui

Policy change (Changement de stratégie)

Oui Oui

Privilege use (Utilisation privilégiée)

Non Non

Process tracking (Suivi de processus)

Non Non

System events (Evènements de système)

Oui Oui

Vous pouvez activer un audit à partir de GFI LANguard N.S.S..

Cliquez le bouton de droite sur un des ordinateurs dans le panneau de gauche et sélectionnez « Activez audit ». L'assistant administratif de stratégie d’audit apparaîtra.

Précisez quelles stratégies d’audit vous vouler activer. Il y a sept stratégies d’audit de sécurisation dans Windows NT et neuf stratégies d’audit de sécurisation dans Windows 2000. Activez les stratégies d’audit que vous voulez sur l’ordinateur à contrôler. Cliquez sur Next pour démarrer les stratégies d’audit.

20 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual Activer les stratégies d’audit sur des machines distantes.

S’il n’y a aucune erreur, la page de fin apparaîtra. S’il y a une erreur, alors une autre page apparaîtra indicant les ordinateurs sur lesquels l’application des stratégies a échoué.

Dialogue de résultats dans l’assistant de stratégie d’audit

Ports ouverts

Le noeud des ports ouverts fait la liste de tous les ports ouverts trouvés sur la machine. (cette opération s’appelle un balayage de ports). GFI LANguard N.S.S. procède à un balayage de port sélectif, ce qui signifie qu’il ne scanne pas par défaut tous les ports 65535

TCP et les ports 65535 UDP, mais ceux pour lesquels il a été configuré. La configuration des ports à balayer se fait à partir des options de Balayage (Scan options). Pour de plus amples informations référez-vous au chapître « Configuration des options de balayage, Configuration des ports à balayer ».

Chaque port ouvert représente un service / une application ; si l’un des ces services peut être « exploité », le pirate peut avoir accès à cette machine. Par conséquent, il est important de fermer tout port superflu.

Remarque : Sur les réseaux Windows, les ports 135, 139 & 445 sont toujours ouverts.

GFI LANguard N.S.S. vous indiquera quel port est ouvert, et s’il est considéré comme un port vunérable aux chevaux de Troie, GFI LANguard N.S.S. le fera apparaître en ROUGE, autrement le port apparaîtra en VERT. Ceci est visible dans la capture d’écran ci- dessous :

Remarque : Même si un port est affiché en ROUGE comme un port vulnérable aux chevaux de Troie, cela ne veut pas dire qu’un programme de porte dérobée est installé sur la machine. Certains programmes valides utiliseront les mêmes ports que des chevaux de Troie connus. Un programme antivirus utilise le même port que le

« backdoor » NetBus. Vérifiez donc toujours les informations d’en- tête fournies et exécutez d’autres vérifications sur ces machines.

Utilisateurs & Groupes d’utilisateurs

Ces noeuds représentent les groupes locaux et les utilisateurs locaux présents sur l’ordinateur. Vérifiez qu’il n’y ait pas de comptes d’utilisateurs supplémentaires, et assurez-vous que le compte

« invité » soit désactivé. Les groupes et utilisateurs non autorisés peuvent s’introduire où ils le veulent !

Certains programmes dangereux peuvent réactiver le compte invité et lui donner des droits d’administrateur. Vérifiez donc les informations du nœud d’utilisateurs pour connaître les activités des différents comptes et les droits correspondant à chacun d’entre eux.

Idéalement, l’utilisateur ne devrait pas utiliser un compte local pour se connecter, mais devrait utiliser un compte de domaine ou d’Active Directory.

La dernière chose à vérifier est l’âge du mot de passe.

Utilisateurs Connectés

Ce noeud montre la liste des utilisateurs connectés à la machine cible.

Elle est séparée en deux sections.

22 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

Utilisateurs Locaux Connectés

Cette catégorie contient tous les utilisateurs qui ont démarré une session localement. Elle affiche les informations, disponibles pour chaque utilisateur connecté, suivantes :

1. Date et heure de connexion 2. Temps écoulé

Utilisateurs Distants Connectés

Cette catégorie contient tous les utilisateurs qui ont démarré leur session à partir d’un ordinateur distant. Elle affiche les informations suivantes pour chaque utilisateurs connecté :

1. Date et heure de connexion 2. Temps écoulé

3. Temps d’inaction 4. Type de client 5. Transport

Légende des champs d’informations

Date et heure de connexion : Indique la date et l’heure de la connexion de l’utilisateur à la machine cible. Ce champ s’applique aux connexions locales et distantes.

Temps écoulé : Indique depuis combien de temps l’utilisateur est connecté à la machine. Ce champ s’applique aux connexions locales et distantes.

Temps d’inaction : Indique depuis combien de temps l’utilisateur a été inactif. Le temps d’inaction se réfère à l’inactivité complète de l’utilisateur/la connexion. Ce champ s’applique seulement aux connexions distantes.

Type de client : Indique de quelle platforme l’utilisateur se sert pour se connecter à distance. Cela se réfère généralement au Système d’Exploitation installé sur la machine qui a lancé la connexion. Ce champ s’applique seulement aux connexions distantes.

Transport : Indique quel genre de service a été utilisé pour initier la connexion. Ce champ s’applique seulement aux connexions distantes.

Services

Tous les services sur la machine apparaissent dans la liste. Vérifiez les services à exécuter et désactivez tous les services superflus.

Sachez que chaque service peut représenter un risque de sécurité ou une faille potentielle dans le système. La fermeture ou la déconnexion des services non requis réduit considérablement les risques de sécurité.

System Patching status

Ce noeud montre quels patches sont installés et enregistrés sur la machine distante.

Network Devices

Ce noeud montre la liste de tous les périphériques de réseau installés sur le système. Ils sont répertoriés de la façon suivante :

• Périphériques physiques - Connectés

• Périphériques physiques – Sans Fil

• Périphériques virtuels.

Périphériques de réseau détectés

Pour chaque périphérique, les propriétés suivantes sont rapportées (si disponibles) :

• Adress MAC

• Adresse IP Assignée

• Nom d’hôte

• Domaine

• Détails DHCP

• WEP (si disponible)

• SSID (si disponible)

• Passerelle

• Etat.

REMARQUE : Il faut régulièrement vérifier si de nouveaux périphériques de réseau sont présents. Des périphériques sans fil non autorisés peuvent être utilisés pour compromettre la sécurité du réseau que ce soit de l’intérieur même de la compagnie ou de l’extérieur .

Périphériques USB

Ce noeud listera tous les périphériques USB connectés à l’ordinateur cible. Il sert à vérifier qu’aucun périphérique non-autorisé ne soit présent. Les appareils de stockage amovibles représentent un risque de sécurité élevé. Il faut par conséquent être vigilant. Un autre

24 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

problème de sécurité est celui des adaptateurs sans fil USB et les clés électroniques Bluetooth qui permettent aussi aux utilisateurs de transférer des fichiers (sans en avoir l’autorisation) de leur poste de travail à leurs périphériques personnels tels que des téléphones portables, des PDA etc.

Liste des périphériques USB détectés sur l’ordinateur cible

REMARQUE : Vous pouvez configurer GFI LANguard N.S.S. pour qu’il rapporte tout périphérique USB non autorisé (par ex. « USB Mass Storage Device ») en tant que vulnérabilité de niveau critique. Vous pouvez configurer quels périphériques GFI LANguard N.S.S. doit considérer comme vulnérabilité critique à partir de Configuration >

Scan Profiles > Devices > USB Devices.

Liste des périphériques USB dangereux considérés comme vulnérabilité critique

Autres résultats

Cette section est une liste des noeuds supplémentaires auxquels vous pouvez accéder après avoir passé en revue les principaux résultats de balayage ci-dessus.

Noms NETBIOS

Dans ce noeud vous trouverez les détails des services installés sur la machine.

Ordinateur

MAC - Adresse MAC de votre carte réseau.

Username - Ceci est le nom d’utilisateur de l’utilisateur actuellement connecté, ou le nom d’utilisateur de la machine.

TTL - La valeur de durée de vie (TTL) est spécifique à chaque périphérique. Les valeurs principales sont 32, 64, 128 et 255. A partir de ces valeurs et de la TTL réelle du paquet, on a une idée de la distance (nombre de sauts de routeur) entre la machine GFI LANguard N.S.S. et la machine cible qui vient d’être balayée.

Computer Usage - Précise si la machine cible est un poste de travail ou un serveur.

Domain - Si la machine cible fait partie d’un domaine, cela vous donnera une liste du/des domaines reconnus.

Si elle ne fait pas partie d’un domaine, on verra apparaître le groupe de travail auquel elle appartient.

LAN manager - Donne le gestionnaire de LAN actif (et le système d’exploitation).

Sessions

Affiche l’adresse IP des machines qui étaient connectées à la machine cible au moment du balayage. Dans la plupart des cas, cela sera la machine qui exécute GFI LANguard N.S.S. et qui a récemment effectué des connexions.

Remarque : Dû au changement constant de cette valeur, les informations ne sont pas sauvegardées dans le rapport et ne sont là qu’à titre d’information.

Network Devices

Fournit une liste des périphériques de réseau disponibles sur la machine cible.

Remote TOD

Remote Time of the Day. Ceci est l’heure du réseau sur la machine cible, normalement définie par le contrôleur de domaine.

Balayages sur place et en-dehors du site

Nous vous recommandons de lancer GFI LANguard N.S.S. de deux façons, le balayage « on site » et « off site ».

26 • Pour commencer : Effectuer un audit LANguard Network Security Scanner Manual

Balayage sur place (on site scan)

Installez une machine comprenant LANguard Network Security Scanner. Effectuez un balayage NULL session de votre réseau (sélectionnez Null Session depuis la boîte déroulante).

Une fois ce premier balayage effectué, changez la valeur de la boîte déroulante à Currently logged on user (si vous avez des droits administratifs pour votre domaine), ou à Alternative credentials qui ont des droits administratifs pour le Domaine ou pour Active Directory.

Enregistrez ce deuxième balayage pour une comparaison ultérieure.

Grâce au NULL session, on peut voir ce que tout utilisateur se connectant au réseau serait capable de visualiser. Le balayage, qui a des droits d’administrateur, vous montre tous les hots fixes et les patchs manquants sur la machine.

Balayage à distance (off site scan)

Si vous avez un compte à distance, ou un accès internet haut débit non relié à l’entreprise, vous allez vouloir balayer votre réseau depuis l’extérieur.

Effectuez un balayage NULL session de votre réseau. Vous verrez alors ce que toute personne sur internet serait capable de voir s’ils balayaient votre réseau. Parmi les choses pouvant affecter ceci, se trouvent tous les pare-feux que votre entreprise ou fournisseur d’accès a pu installer et toute règle dans un routeur sur le chemin pouvant laisser passer certains types de paquets.

Enregistrez ce balayage pour une comparaison ultérieure.

Comparaison des balayages sur place et de l’extérieur

Il est temps maintenant de regarder les informations générées par LANguard Network Security Scanner.

Si le balayage NULL session à partir de votre réseau interne apparaît identique à celui du balayage externe, sachez qu’il semble n’y avoir aucun pare-feu ou filtre sur votre réseau. C’est sans aucun doute l’une des premières choses que vous devriez vérifier.

Vérifiez alors ce que tout utilisateur externe peut visualiser. Peuvent- ils voir vos contrôleurs de domaine ou obtenir une liste de tous vos comptes d’ordinateurs?

Qu’en est-il des serveurs web, FTP etc… ?

A ce moment précis, vous êtes tout seul. Il vous faut peut-être rechercher les patchs pour les serveurs web, les serveurs FTP etc… il vous faut peut-être également vérifier et changer les paramètres des serveurs SMTP. Chaque réseau est différent. GFI LANguard N.S.S.

tente de vous aider à définir les problèmes et les questions de sécurité et vous mène vers des sites qui vous aideront à réparer les failles découvertes.

Si vous trouvez des services exécutés superflus, assurez-vous de les arrêter. Chaque service est un risque de sécurité potentiel qui peut donner accès à une personne non autorisée. De nouveaux dépassements de mémoire tampon et exploits sont libérés tous les jours, et bien que votre réseau puisse avoir l’air protégé aujourd’hui, ce sera peut-être différent demain.

Exécutez bien des balayages de sécurité de temps en temps. Ce n’est pas quelque chose que l’on fait une seule fois et on l’oublie. De nouvelles formes d’attaques surviennent en permanence, et encore une fois, ce n’est pas parce que votre réseau est sécurisé aujourd’hui que vous savez ce qu’apportera le pirate de demain.

Enregistrement et chargement des résultats de balayage

Introduction

Une fois le balayage de sécurité de GFI LANguard N.S.S. terminé, les résultats sont automatiquement enregistrés sur la base de données d’arrière plan (Serveur MS Access / MS SQL).

Il est possible d’enregistrer les résultats sur un fichier XML externe.

Les enregistrements de résultats peuvent être « re-lancés » dans l’interface utilisateur de GFI LANguard N.S.S. pour un traitement plus en détails ou pour une comparaison des résultats. Le chargement de résultats enregistrés est très utile lorsqu’on a besoin de lancer des rapports ou de déployer des patches sur un système inchangé qui n’a pas besoin d’être balayé à nouveau.

Enregistrement des résultats de balayage sur un fichier externe

Une fois le scan de sécurité GFI LANguard N.S.S. terminé, les résultats sont déjà enreigstrés sur une base de données d’arrière plan. Pour les enregistrer sur un fichier externe :

• Fichier > Enregistrer résultats de scan…

• Accepter le nom par défaut du fichier ou préciser une alternative

• Cliquez sur Enregistrer.

Chargement des résultats de scan enregistrés

Chargement des résultats de scan enregistrés à partir d’une base de données

LNSS enregistrera les 30 derniers scans effectués sur une base de données sur la même cible avec le même profil.

Pour charger les enregistrements des résultats de scan à partir de la base de données :

1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner.

2. Load saved scan results from… > Database. Ceci fera apparaître la boîte de dialogue des résultats de scan.

3. Sélectionnez le scan à partir de la liste.

4. Cliquez OK.

30 • Enregistrement et chargement des résultats de balayage LANguard Network Security Scanner Manual Résutltats de scan enreigstrés recharges dans UI principal

Chargement des scans enregistrés à partir d’un fichier externe

Pour charger les enregistrements des résultats de scan à partir d’un fichier externe :

1. Cliquez droit sur GFI LANguard N.S.S. > Security Scanner.

2. Load saved scan results from… > XML… . Ceci fera apparaître la boîte de dialogue d’ouverture des résultats enregistrés sur un fichier XML.

3. Sélectionnez le scan.

4. Cliquez OK.

Résultats du scan de filtrage

Introduction

Une fois le balayage GFI LANguard effectué, il vous en montrera le résultat dans le panneau « scan results ». Si vous avez balayé beaucoup de machines, il serait préférable de filtrer les données à partir du nœud de filtres Scan. Cliquez sur ce noeud et sélectionnez un filtre qui existe déjà, cela vous montrera les résultats du balayage basés sur le filtre que vous avez choisi. GFI LANguard N.S.S.

comporte de nombreux filtres de balayage par défaut. Vous pouvez en plus de ça créer vos propres filtres de balayage.

Filtres de balayage

Les filtres de balayage suivants sont inclus par défaut :

Full report: Montre toutes les données liées à la sécurité qui ont été relevées lors du balayage.

Vulnerabilities [High Security]: Montre les problèmes qui requièrent une attention immédiate – de service packs manquants, patches manquants, vulnérabilités critiques et ports ouverts.

Vulnerabilities [Medium Security] : Montre les problèmes qui doivent être résolus par l’administrateur – vulnérabilités moyennes, patches introuvables.

Vulnerabilities[All]: Montre toutes les vulnérabilités détectées – patches manquants, service packs manquants, vérifications d’informations potentielles, patches introuvables, faible et haut niveau de vulnérabilités.

32 • Résultats du scan de filtrage LANguard Network Security Scanner Manual

Missing patches and service packs: Liste tous les services packs et les fichiers patch manquants sur la machine balayée.

Important devices – USB: Liste tous les périphériques USB connectés aux cibles balayées

Important devices – Wireless: Liste toutes les cartes de réseau sans fil, (PCI et USB) connectées aux cibles balayées

Open Ports: Liste tous les port ouverts (TCP et UDP)

Open Shares: Liste tous les partages ouverts et qui y a accès.

Auditing Policies: Liste les paramètres de stratégies d’audit sur chaque ordinateur balayé.

Password Policies: Liste les stratégies actives de mot de passe sur chaque ordinateur balayé.

Groups and users: Liste les groupes et les utilisateurs détectés sur chaque ordinateur balayé.

Computer properties: Montre les propriétés de chaque ordinateur.

Sélectionner la source des résultats de balayage

Par défaut, les filtres fonctionnent avec les données du balayage actuelles. Cependant, il est possible de sélectionner un fichier de source de données de « résultats de balayage » différrent et d’y appliquer les fichiers de source de données de résultats de balayage enregistrés (un fichier XML ou une base de données). Pour cela : 1. Allez au nœud scanner de sécurité dans le programme de

balayage de sécurité de GFI LANguard N.S.S.

2. Cliquez droit et sélectionnez Load saved scan results from….

3. Sélectionnez les sources de données contenant les résultats sur lesquelles vous désirez lancer le filtre.

4. Sélectionnez l’entrée de la base de données ou le fichier XML contenant les données de résultats requis.

5. Cliquez OK. Cela re-chargera les résultats de scan enregistrés dans les résultats UI du Scanner de Sécurité.

6. Tous les filtres montrent maintenant les données de résultats de balayage.

Création d’un filtre de balayage personnalisé

Pour créer un filtre de balayage personnalisé :

1. Cliquez sur le bouton de droite sur GFI LANguard N.S.S. > Security scanner > Scan Filters et sélectionnez New > Filter…

2. Ceci fera apparaître la boîte de dialogue Scan Filter Propriétés.

Filtres de balayage – page générale

3. Donnez un nom au filtre de balayage

4. Ajoutez les conditions à l’application des données de résultats de balayage que vous désirez filtrer en cliquant sur Add. Il est possible de créer des conditions multiples pour le filtrage. Pour chaque condition, il faut préciser la propriété, la condition et la valeur. Les propriétés disponibles sont le Système d’exploitation, le nom d’hôte, l’utilisateur connecté, le domaine, le service pack, les partages, etc…

34 • Résultats du scan de filtrage LANguard Network Security Scanner Manual Boîte de dialogue des conditions

5. Saisissez les catégories d’informations que vous voulez avoir dans le filtrage à partir de la page Report Items.

6. Cliquez sur OK pour créer un filtre.

Filtres de balayage – page des composants de rapports

Ce processus va ainsi créer un nouveau noeud permanent sous le noeud de Scan Filters.

REMARQUE : Il est possible de supprimer/personnaliser un filtre dans le noeud Scan Filter en cliquant droit sur le filtre et en sélectionnant Delete…/Properties, selon l’opération que vous voulez effectuée.

Exemple 1 – Recherche des ordinateurs avec un patch particulier manquant

Vous voulez trouver tous les ordinateurs Windows sur lesquels le patch MS03-026 est absent (c’est le célèbre patch du virus blaster).

Définissez le filtre de la façon suivante :

1. Condition 1 : Système d’Exploitation incluant Windows 2. Condition 2 : Hot fix (patch) n’est pas installé MS03-026

Exemple 2 – Liste de toutes les Sun stations avec un serveur web Pour lister toutes les Sun stations lançant un serveur web sur le port 80, définissez les demandes suivantes :

1. Système d’Exploitation incluant SunOS 2. Le port TCP est ouvert 80

Configuration de GFI LANguard N.S.S.

Introduction à la configuration de GFI LANguard N.S.S.

Il est possible de configurer GFI LANguard à partir du noeud de configuration. Ici vous pouvez configurer les options de balayage, les profils avec différentes options de balayage, balayages programmés, options d’alertes, et bien plus…

Profils de balayage

Profils de balayage

Avec le profil de balayage, vous pouvez configurer plusieurs types de scans et les utiliser pour vous concentrer sur certaines informations particulières que vous voulez vérifier.

Un profil de balayage est créé en allant au noeud Configuration >

Scaning profiles, en cliquant droit et en saisissant New > Scan Profile…

Vous pouvez configurer les options suivantes pour chaque profil : 1. Scanned TCP ports

2. Scanned UDP ports 3. Scanned OS data

4. Scanned Vulnerabilities 5. Scanned Patches

38 • Configuration de GFI LANguard N.S.S. LANguard Network Security Scanner Manual

6. Scanner properties 7. Devices.

Scanned TCP/UDP ports

Les onglets des ports TCP/UDP balayés vous permettent de préciser quels ports TCP et UDP vous voulez scanner. Pour activer un port, cochez la case à coté du nom du port.

Configuration des ports à balayer dans un profil

Comment ajouter/éditer/supprimer des ports

Si vous voulez ajouter des ports TCP/UDP personnalisés, cliquez le bouton Add. La boîte de dialogue des Add port apparaît.

Capture d’écran 1 – Ajout de port

Saisissez un numéro de port ou une gamme de ports et entrez une description du programme qui est sensé fonctionner sur ce port. Si le programme associé à ce port est un cheval de Troie, cochez la case Is a Trojan port.

Si vous précisez qu’il s’agit d’un port vulnérable au chevaux de Troie, le cercle vert/rouge à coté du port deviendra rouge.

Remarque : Assurez-vous de bien inclure ce port dans la fenêtre de protocole appropriée, soit TCP soit UDP.

Vous pouvez éditer ou supprimer des ports en cliquant sur le bouton Edit ou Remove.

Scanned OS data

L’onglet des données balayées du système d’exploitation, Scanned OS, précise le genre d’informations que vous voulez que GFI LANguard N.S.S. reccupère à partir du système d’exploitation pendant le balayage. Actuellement seules les données Windows OS sont supportées, cependant les données de balayage UNIX sont en développement.

40 • Configuration de GFI LANguard N.S.S. LANguard Network Security Scanner Manual

Scanned Vulnerabilities

Configuration des Vulnérabilités à balayer

L’onglet des vulnerabilités de balayage établit une liste de toutes les vulnérabilités que GFI LANguard N.S.S. peut balayer. Vous pouvez désactiver la vérification pour toutes les vulnérabiliés en enlevant la marque dans la case à cocher Check for vulnerabilities.

Par défaut, GFI LANguard N.S.S. recherche toutes les vulnérabilités qu’il connaît. Vous pouvez changer cela en enlevant la marque de la case cochée à coté de la vulnérabilité en question.

À partir du panneau de droite vous pouvez changer une vulnérabilité particulière en la double cliquant. Vous pouvez changer le niveau de sécurité d’une vérification de vulnérabilité particulière à partir de l’option Security Level.

Types de vulnérabilités

Les vulnérabilités sont divisées en sections : Patches manquants, Patches introuvables, Abus CGI, Vulnérabilités FTP, Vulnérabilités DNS, Vulnérabilités de messagerie, Vulnérabilités RPC, Vulnérabilités de service, Vulnérabilités de Registre, et autres Vulnérabilités.

Options avancées de vérifications de vulnérabilités

Cliquez sur le bouton Advanced pour faire apparaître ces options.

• Vérifications internes – Elles incluent les vérifications de mots de passe anonymes ftp, les vérifications faibles de mots de passe etc…

• Vérifications CGI - Démarrez la vérification CGI si vous travaillez sur des serveurs web qui utilisent des scripts CGI. Vous pouvez si vous le désirez préciser un serveur proxy si vous êtes localisé derrière un serveur proxy.

• Nouvelles vulnérabilités activées par défaut – Active/désactive les vulnérabilités récemment ajoutées dans les balayages.

Téléchargement des dernières vulnérabilités de sécurité

Pour mettre à jour votre Security Vulnerabilties, saisissez Help >

Check for updates à partir du programme de balayage de GFI LANguard N.S.S.. Cela téléchargera les dernières vulnérabiltés de sécurité du site web de GFI Sofware. Cela mettra aussi à jour les fichiers Fingerprint utilisés pour déterminer quel système d’exploitation est sur un périphérique.

REMARQUE : Lors du démarrage GFI LANguard N.S.S. peut automatiquement télécharger des nouvelles vérifications de vulnérabilités à partir du site web de GFI Sotware. Cette configuration se fait au noeud GFI LANguard N.S.S. > General > Product Updates.

Scanned Patches

Configuration des patches à verifier lors d’un balayage à profil particulier.

Cet onglet de patches balayés vous permet de configurer un profil particulier de balayage afin de déterminer s’il doit chercher des patches et/ou des service packs manquants.

Cet onglet liste tous les patches que GFI LANguard N.S.S. vérifie.

Vous pouvez désactiver la vérification pour des patches précis pour ce profil en décochant la case à coté du bulletin de patch.

La liste des patches est obtenue à partir d’un téléchargement des des dernières listes de patches du site web de GFI, qui elle-même est obtenue chez Microsoft (mssecure.xml). GFI obtient la liste des patches de Microsoft et vérifie qu’elle soit correcte, vu que de temps en temps elle contient des erreurs.

42 • Configuration de GFI LANguard N.S.S. LANguard Network Security Scanner Manual Bulletin d’information étendu

Pour plus d’informations sur un bulletin particulier, double cliquez sur le bulletin en question ou cliquez droit et allez sur Properties. Vous verrez alors plus en détails ce que le bulletin a vérifié et ce dont il recourt.

Options de balayage

Dans cet onglet vous pouvez configurer les options liées à la façon dont GFI LANguard effectue un balayage.

Propriétés de balayage de sécurité

Méthodes de découverte de réseau

Cette section est concerne les méthodes utilisées par GFI LANguard N.S.S. pour découvrir les machines du réseau.

L’option NETBIOS queries permet aux requêtes NetBIOS ou SMB d’être utilisées. Si le client pour Microsoft Networks est installé sur la machine Windows, ou si Samba Services est installé sur une machine Unix, ces machines répondront à la demande NetBIOS.

Vous pouvez ajouter un ScopeID au NetBIOS Query. Cela n’est nécessaire que dans certains cas, où les systèmes ont un ScopeID.

Si votre entreprise a un ScopeID paramétré sur NetBIOS, saisissez-le ici.

L’option des requêtes SNMP queries permet aux paquets SNMP d’être envoyés avec le nom de communauté défini dans l’onglet General. Si le périphérique répond à cette requête, GFI LANguard N.S.S. demandera la référence de l’objet du périphérique et le compare à la base de données en déterminant ce qu’est ce périphérique.

Ping Sweep effectue un ping ICMP de chaque périphérique de réseau. (voir Remarque : ci-dessous)

Découverte de Port TCP Personnalisé recherche un port ouvert précis sur les machines cibles.

Remarque : Chacun des types de requêtes ci-dessus peut être désactivé, mais GFI LANguard N.S.S. dépend de tous ces types de requêtes pour déterminer le type de périphérique et le système d’exploitation exécutés. Si vous choisissez de désactiver l’une d’entre elles, GFI LANguard N.S.S. ne sera pas aussi fiable dans son identification.

Remarque : Certains pare-feux personnels empêchent une machine d’envoyer un écho ICMP et donc d’être détectée par GFI LANguard N.S.S.. Si vous pensez qu’il y a plusieurs machines avec des pare- feux personnels sur votre réseau, essayez d’effectuer un balayage de chaque adresse IP sur votre réseau.

Options de découverte de réseau

Les paramètres de découverte de réseau vous permettent de peaufiner la détection d’une machine, de cette façon vous avez une détection de machine plus fiable en un rien de temps. Les paramètres ajustables incluent :

• Scanning Delay est la durée pendant laquelle LANguard N.S.S.

attend entre l’envoi de TCP/UDP. Le défaut est de 100 ms. Selon votre connexion au réseau et le type de réseau sur lequel vous vous trouvez (LAN/WAN/MAN), vous devrez peut-être ajuster ces paramètres. Si le paramètre est trop faible, vous allez trouver que votre réseau est encombré de paquets de GFI LANguard N.S.S..

Si vous le réglez trop haut, vous allez perdre beaucoup de temps pour rien.

• Wait for Responses est la durée pendant laquelle LANguard N.S.S. attend une réponse du périphérique. Si l’on fonctionne sur un réseau lent ou occupé, il faut parfois augmenter cette fonctionnalité d’expiration de 500 ms à une durée supérieure

44 • Configuration de GFI LANguard N.S.S. LANguard Network Security Scanner Manual

• Number of retries est le nombre de fois que GFI LANguard N.S.S. effectue chaque type de balayage. En des circonstances normales, ce paramètre n’a pas besoin d’être modifié. Sachez cependant que si vous changez ce paramètre, il exécutera chaque type de balayage (NetBIOS, SNMP, ICMP) le nombre de fois spécifié.

• Include non-responsive computers est une option qui communique avec GFI LANguard N.S.S. security scanner pour tenter le balyage d’une machine qui n’a répondu à aucune des méthodes de découverte de réseau.

NetBIOS Query Options

On utilise une NetBIOS Scope ID afin d’isoler un groupe d’ordinateurs sur le réseau qui peuvent seulement communiquer avec d’autres ordinateurs qui sont configurés avec une NetBIOS ID identique.

Les programmes NetBIOS démarrés sur un ordinateur en utilisant une NetBIOS Scope ID ne peuvent « percevoir » (recevoir ou envoyer des messages) d’autres programmes NetBIOS démarrés par un procédé sur un ordinateur configuré avec une NetBIOS Scope ID différente.

LNSS supporte NETBIOS Scope ID de façon à pouvoir balayer ces ordinateurs isolés qui autrement seraient inaccessibles.

SNMP Query Options

L’option permettant de charger les numéros de sociétés SNMP (Load SNMP enterprise numbers) permet à GFI LANguard N.S.S.

d’étendre son support en matière de balayage SNMP. Si cette fonction est désactivée, les périphériques découverts par SNMP que GFI LANguard N.S.S. ne connaît pas ne préciseront pas qui est censé être le vendeur. A moins que vous ne rencontriez des problèmes, il est recommandé de laisser cette option activée.

Par défaut, la plupart des périphériques compatibles SNMP utilisent une chaîne de communauté « publique »par défaut, mais pour des raisons de sécurité, la plupart des administrateurs changent cela. Si vous avez changé le nom de communauté SNMP par défaut sur vos périphériques de réseau, vous devrez l’ajouter à la liste utilisée par GFI LANguard N.S.S.

Remarque : Il est possible d’ajouter plus d’un nom de communauté SNMP ici. Pour chaque nom de communauté ajouté, la partie SNMP du balayage devra être exécutée une autre fois. Si votre nom de communauté est « public » et « private », le balayage SNMP sera effectué sur l’ensemble de la gamme IP donnée deux fois de suite.

Un balayage sera effectué avec le nom de communauté « public » puis une seconde fois avec le nom de communauté « private ».

Scanner activity windows options

Les options de sortie vous permettent de configurer les informations qui apparaitront dans le panneau d'activité de balayage. Il est utile de l’activer, cependant, activez seulement Verbose ou Display packets pour des raisons de « débugages » exceptionnelles.

Périphériques

L’onglet un peut configurer la réaction de LANguard N.S.S. lors de la détection d’un périphérique USB de réseau particulier. GFI LANguard N.S.S. peut donc vous avertir via une notification de vulnérabilité critique lorsqu’un périphérique particulier est détecté ou bien il peut être configuré de façon à ignorer des périphériques particuliers, tels qu’un clavier ou une souris USB.

Network Devices

Tout périphérique de réseau récupéré porte un nom. Si ce nom contient n’importe quelle entrée de chaîne de la liste « Créer une vulnérabilité de haute sécurité pour les périphériques de réseau dont le nom contient : » (une par ligne), une vulnérabilité de haute sécurité sera générée et rapportée pour l’ordinateur sur lequel l’appareil aura été détecté.

Périphérique de réseau – Configuration du nom d’un périphérique dangereux

REMARQUE : Ces listes sont configurées sur une base de profils, vous pouvez donc personnaliser vos critères de balayages selon le type de scan de sécurité que vous effectuez.

46 • Configuration de GFI LANguard N.S.S. LANguard Network Security Scanner Manual Vunérabilité de haute sécurité créée pour le périphérique de réseau identifié comme dangereux

REMARQUE : D’un autre côté, si vous ne voulez pas être informé/notifié de la présence de périphériques que vous considérz comme sûres, il suffit de saisir le nom du périphérique dans la liste

« Ignorer (Ne pas insérer dans la liste/enregistrer sur db) les périphériques dont le nom contient : » . Lorsque GFI LANguard N.S.S. détecte un tel périphérique, il l’ignorera et ne l’enregistrera/affichera pas dans les résultats du scan.

Périphériques USB

Tout périphérique de réseau récupéré porte un nom. Si ce nom contient n’importe quelle entrée de chaîne de la liste « Créer une vulnérabilité de haute sécurité pour les périphériques USB dont le nom contient : » (une par ligne), une vulnérabilité de haute sécurité sera générée et rapportée pour l’ordinateur sur lequel l’appareil aura été détecté.