Embed Size (px)
DESCRIPTION
un petit guide pour verifier la securité de votre reseau
Citation preview
Sécurité
P ourquoi SAINT ? De nombreux vérifica-teurs de failles existent, comme Nessussous Linux ou InterNet Scanner (IS)
(http://www.iss.net/) sous Windows (ou enco-re TITAN [UNIX] (http://www.fish.com/titan/),SARA [UNIX] (http://www-arc.com/sara/sara.html), RETINA [Windows] http://www.eeye.com/html/Products/Retina/). Chacun deceux-ci possède des qualités et défauts. Parexemple avec SAINT, l'absence de verrouillagesur des numéros IP permet de tout tester, cequi n’est pas le cas avec IS. Par contre IS
N’attendez pas qu’un intrus s’introduise dans votresystème et auditez dès maintenant votre réseau !SAINT (Security Administrator's Integrated Network Tool) estun outil d'audit réseau Unix parfaitement adaptépour vérifier la sécurité d’un réseau hybride demachines Windows et Linux. Il est le successeur deSatan (Security Administrator Tool for Analyzing Networks),outil précurseur dans ce domaine, mais dont ladernière version est dépassée (elle date de 1995).
teste plus de failles (donten gros la moitié affecteWindows), mais est pluslent au scannage. SAINT etNessus tournent sousLinux, tandis qu’IS tourne sous Windows.Nessus est d’une approche plus complexepour le débutant, teste plus de failles queSaint et est capable de découvrir des servicesde manière dynamique. (figure 1)Comme de nouvelles failles sont découvertessans cesse, un logiciel d'audit réseau doit
être mis à jour régulièrement(avant chaque audit). Dans lecas d’IS ou de Nessus, il suf-fit d’ajouter un module. Dansle cas de SAINT il est néces-saire de changer de versionde logiciel (le recompiler,puis le réinstaller). SAINT est un bon choix dedépart pour tester la sécuritéd’un petit réseau. En effet, ilest très facile à installer, pos-sède une interface Web soi-gnée, et l’administrateur,même débutant, pourrabalayer son réseau enquelques minutes.
MMiissee eenn ggaarrddee :: llee ssoonnddaa--ggee dd’’uunnee mmaacchhiinnee eexxttéé--rriieeuurree àà vvoottrree pprroopprreerréésseeaauu eesstt ccoonnssiiddéérrééccoommmmee uunnee iinnffrraaccttiioonn aauuxxyyeeuuxx ddee llaa llooii ssii vvoouussnn''aavveezz ppaass pprrééaallaabblleemmeennttééttéé aauuttoorriisséé àà eeffffeeccttuueerrcceett aauuddiitt ppaarr llee pprroopprriiééttaaii--rree dduu ssyyssttèèmmee cciibbllee..
La phase d’installationAvant de télécharger SAINT vous devez vousassurez de posséder une série de logicielsdont il dépend. Nous avons testé SAINT sousLinux REDHAT 8.0. L’ordinateur est équipéd’un processeur ATHLON cadencé à 1,8 Ghz,d’une mémoire vive de 256 Mo et d’un disquedur de 80 Go. Quoique cette configurationsoit très courante de nos jours, SAINT peutaussi fonctionner avec un équipement plusmodeste. Néanmoins, un serveur Linux nonéquipé d’une interface graphique ne convien-dra pas. Vous avez besoin d’une versionrécente de PERL (>= 5.0) et des logiciels Flexet Bison. Pour vérifier les vulnérabilités demachines Windows, un client SAMBA sera ins-tallé. Le scanneur de port NMAP devra aussiêtre opérationnel (http://www.insecure.org/nmap). L’ensemble de ces éléments est dis-ponible d’office avec les packages livrés parREDHAT.
Unn ssccaannnneerr ddee vvuullnnéérraabbiilliittééss,, ccoommmmeeNNeessssuuss,, ppeerrmmeett aauuxx aaddmmiinniissttrraatteeuurrss
ssyyssttèèmmeess ddee ddéétteerrmmiinneerr lleess sseerrvviicceessTTCCPP//UUDDPP ddiissppoonniibblleess ssuurr uunn sseerrvveeuurr,,mmêêmmee ssii cceeuuxx--ccii nn’’uuttiilliisseenntt ppaass lleess nnuumméé--rrooss ddee ppoorrttss ssttaannddaarrdd.. LL''uunnee ddeess rrèègglleessffoonnddaammeennttaalleess ddee llaa ssééccuurriittéé ddeess sseerr--vveeuurrss eesstt ddee ddééssaaccttiivveerr ttoouutt sseerrvviiccee nnoonnuuttiilliisséé ppaarr llee ssyyssttèèmmee.. EEnn eeffffeett,, ttoouutt sseerrvvii--ccee TTCCPP//UUDDPP aaccttiiff ooffffrree aauuxx hhaacckkeerrss uunneeppoorrttee dd’’eennttrrééee ppootteennttiieellllee ppoouurr ppéénnééttrreerrvvoottrree ssyyssttèèmmee..
Vérifiez le niveau de sécurité de votre réseauavec un logiciel de simulation d’intrusions.
(figure 1)
(figure 3)
(figure 2)
Sécurité
Programmez N°53 • MAI 2003
50
Programmez N°53 • MAI 2003
votre écran. Vous pouvez maintenantsaisir le nom d’une machine cible ouencore son adresse IP. Si vous tapezun nom , assurez-vous en ouvrantune autre fenêtre de terminal, quevous pouvez l’atteindre par un ping.Sinon, si vous êtes certain de sonexistence, entrez de préférence sonadresse IP. Vous pouvez aussibalayer l’ensemble de votre réseauen spécifiant plusieurs adresses IPséparées par un espace, ou bienspécifier un sous réseau entier. Vous devez maintenant indiquerquel sera le niveau du balayage (de" léger " (light) à "heavy+"). Nousvous conseillons de travailler endehors des heures de bureau desutilisateurs et d’indiquer "Heavy+"puis d’indiquer que vous autorisezSAINT à effectuer des tests qui pour-raient éventuellement "geler" cer-tains services de machines ciblesétudiées. (figure 3)Cette dernière option permettra declarifier la liste des vulnérabilités enécartant en principe des avertisse-ments sans gravité. (figure 4)Appuyez sur le bouton "start thescan". SAINT affichera une premièrefois, un avertissement qui stipuleque vous ne pouvez utiliser cetteinstance du navigateur pour surferen dehors de votre Intranet. Cliquezsur l’icône "recharger" ce qui affi-chera l’état d’avancement du balaya-ge en cours. (figure 5)
La visualisation des résultats Avouons-le : jusqu’ici l’utilisation deSAINT est un vrai plaisir de convivia-lité, et il en sera de même pour l’ana-lyse des résultats. Lorsque lebalayage est terminé, sélectionnez"Data Analysis" qui offre une sériede liens affichant les vulnérabilitésque SAINT a trouvé. (figure 6)Celles-ci sont, par exemple, affi-chables par degré de gravité ("Byapproximate Danger Levels") ou partype. Vous pouvez les classer parservice, par hôte, ou par sousréseau. Si vous cliquez sur le pre-mier lien ("par niveaux de dan-
Vous pouvez récupérer une versiond’évaluation de SAINT à l’adressehttp://www.wwdsi .com/saint/.D’autres versions antérieures sonttéléchargeables sur Internet commela version 3.5 Open Source surtucows(http://proxad.linux.tucows.com/inter-net/preview /51654.html). Evidem-ment, plus le numéro de version estélevé, plus les vulnérabilités étu-diées sont nombreuses. Cependantla version 3.5 convient déjà parfaite-ment si vous désirez initier le pre-mier audit d’un réseau.Il ne vous reste plus qu’à extraire lessources de l’archive, configurer etcompiler SAINT (tar –xzf saint-3.5.tar.gz ; cd saint-3.5 ; ./configure ;make all ; make install). Reste la problématique du naviga-teur. Lors d’un premier "./configu-re", SAINT nous a déclaré ne pastrouver de navigateur Internet (…). Ilutilise en effet un navigateur commeinterface graphique. A ce propos,attention : c’est l’utilisateur "root"qui doit le lancer et vous ne devezpas surfer sur Internet avec cetteinstance du navigateur, car vousserez potentiellement vulnérable àune attaque. Avec REDHAT 8 vousavez par exemple MOZILLA qui estinstallé, mais pas Netscape. Nous enavons déduit que nous devions ins-taller Netscape. Mais après voir ins-tallé Netscape 7.02(www.netscape.com), et relancé le"./configure" le même message s’af-fichait. Malgré ce message La compi-lation a fonctionné. En toute logiquecette installation de Netscape 7.02n’était pas nécessaire, car l’exécu-tion de "./saint" a fonctionné aupremier essai.
L’utilisationVous devez vous connecter en tantque super-util isateur et lancer"./saint" sous un terminal X. Aprèsquelques secondes, Netscape s’exé-cute pour afficher la page d’accueil.Vous pouvez commencer immédiate-ment le balayage de vos machinesen choisissant l’option "TargetSelection" du menu, à gauche de
(figure 4)
(figure 5)
(figure 6)
(figure 8) 51
ger") SAINT vous affiche une liste de nou-veaux liens qui correspondent aux vulnérabili-tés. Si en face d’un lien vous voyez "TOP 10"ou "TOP 20", vous devez vous concentrerimmédiatement sur celui-ci , car il s’agit d’unefaille souvent exploitée qu’il sera nécessairede combler d’urgence. (figure 7)A chaque fois que vous cliquez sur le liend’une vulnérabilité trouvée, SAINT vousdonnera le nom commun de la vulnérabili-té, le niveau du danger, les types et ver-
sions des systèmes d’exploi-tations et logiciels affectés,et enfin les solutions éven-tuelles. (figure 8)
Pour aller plus loin Notez qu’un outil complémentde mise en forme de rapports
du nom de SAINTWRI-TER existe. Les gra-phiques générés decette manière seront interprétablespar un non technicien, ce qui est lebut de la manœuvre. (figure 9)Si votre réseau est d’une taille impor-tante nous vous conseillons de vouséquiper d’un outil d’audit capable dese mettre à jour régulièrement parl’intermédiaire d’internet. La mise àniveau des failles détectées par SAINTpassant obligatoirement par unerecompilation du logiciel, cette situa-tion n’est pas adaptée pour l’adminis-
trateur qui réalise très régulièrement desaudits. Une sélection plus poussée des testsà effectuer serait également un plus : cettepossibilité existe d’un seul clic pour Nessus,ce qui n’est pas possible aussi finement avecSAINT. Le revers de la médaille dans le casde Nessus et une mise en œuvre (plus) com-plexe par opposition à SAINT, qui se révèle unexcellent outil pour découvrir sans peine cequ’est véritablement un "simulateur d’intru-sions". ■
Xavier Leclercq
(figure 9)
(figure 7)
