[Scanner de vulnérabilités eEye Retina – Partie 2] Configuration, Policies et audits de sécurité

Par Rédaction, secuobs.com
Le 15/03/2008

---

Résumé : Cette seconde partie aborde la configuration globale du scanner de vulnérabilités eEye Retina ainsi que les processus de personnalisation des rêgles qui vont régir l'audit automatisé ainsi que son rapport de sortie. Il est également détaillé les processus d'ajout de vulnérabilités à l'audit. - Lire l'article



Les options « générales » de l'outil Retina sont disponibles dans le menu Tools, puis Options. Le premier onglet permet de temporiser les vitesses des scans. En effet, ceux-ci peuvent diminuer de façon notable les performances globales du réseau.

Il est également possible de modifier le timeout des pings (permettant de déterminer, avant un test, si la machine distante répond aux requêtes émises ou non). Notez que, de de la même façon qu'avec l'option P0 de l'outil nmap permettant de ne pas se baser sur des paquets echo request ICMP, il est possible de fixer le timeout à 0, désactivant ainsi cette fonctionnalité.

L'onglet « alertes », quant à lui, permet de configurer l'interface avec l'utilisateur en cas de vulnérabilités remontées. Il est alors possible d'augmenter la visibilité locale avec l'utilisation de popups ou de sons mais également distante avec l'envoi d 'e-mails. Un serveur SMTP sera bien entendu nécessaire au bon déroulement de cette dernière fonctionnalité.

Combiné aux fonctions « schedule » de Retina, un scan quotidien par exemple, avec les dernières mises à jour, remontant de nouvelle(s) vulnérabilité(s) pourrait judicieusement faire remonter l'alerte à l'administrateur en lui envoyant un mail d'alerte.

Les options permettant d'optimiser les scans Retina sont disponibles dans l'onglet « schedule ». Il est possible de déclencher des scans à différentes heures et jours. Attention cependant à laisser s'assurer qu'une instance de Retina est active au moment planifié (une instance dans la « system tray » permet d'effectuer les automatisations).


Personnalisation des Policies, ports et audits

Un outil tel que Retina ne saurait se contenter d'effectuer des scans en aveugle sans pouvoir les contrôler finement, voire de les adapter en fonction des cas de figure rencontrés.

Les ports concernés sont listés dans le menu Tools, puis Ports. Chaque port listé ci-dessous peut être renseigné de son protocole (UDP ou TCP).

Autre point fort de Retina : il est possible d'utiliser des Policies pré-définies :

- SANS 20 – All pour les 20 failles les plus critiques recensées par le SANS institute, tous OS confondus.

- SANS 20 – Unix pour les 20 failles UNIX les plus critiques recensées par le SANS institute.

- SANS 20 – Windows pour les 20 failles Windows les plus critiques recensées par le SANS institute.


Il est bien sûr ici possible de créer de nouvelles policies (cf. ci-dessous la policy Infratech).

Celles-ci contiennes de nombreux réglages, avec en autres :

- Les ports concernés par la Policy ;

- Le niveau « d'agressivité » des scans : il est possible d'activer différents CHAM (Common Hacking Attack Methods) pouvant permettre une compromission totale ou partielle d'un serveur distant. Attention cependant : en cas d'échec, la machine distante peut crasher.
Il s'agit évidemment d'une option à utiliser avec la plus grande prudence, notamment sur des réseaux de production typiquement.


Dans l'onglet « Audits », il est possible d'activer, ou non, chaque test. Les tests sont répertoriés en catégories et sous-catégories, ce qui permet d'accélerer le processus de sélection .


Ajout de vulnérabilités – Création d'« audits de sécurité »

Un autre point fort de Retina est sa grande évolutivité. En effet, non seulement les mises à jour sont quotidiennes et permettent donc d'inclure les dernières « signatures » dans les scans, mais il est également possible de rajouter simplement et rapidement des vulnérabilités manuellement.

Typiquement, prenons le cas d'un Intranet, développé avec des technologies Web (comme le sont la plupart d'entre eux). Si une faille a été recensée dans une ancienne version, il est possible de l'inclure dans la base des « audits » afin de s'assurer que l'intégralité des serveurs a été mise à jour.

Pour ce faire, il faut se rendre dans le menu Tools, puis Audits wizard.
Une série de questions seront ensuite posées, permettant d'inclure la nouvelle vulnérabilité.

Le nom, la catégorie, ainsi que le niveau de criticité sont à remplir. Les champs « description » ainsi que la « vulnerability fix » seront les textes affichés dans les rapports futurs.

Plusieurs moyens permettent de lever une alerte : une bannière spécifique à un service, un comportement spécifique sur un module Web (CGI, PHP/ASP...), une clef de registre, ou encore une version de Service Pack Windows.


Pour le cas d'une clef dans la base de registre, il est possible de l'évaluer sur

- Son existence ;

- Sa non existence ;

- Sa valeur.


De nombreux virus, par exemple, peuvent être détectés à l'aide de cette méthode.

En cas de vulnérabilité publique, il est possible de renseigner des informations complémentaires à cette vulnérabilité, à savoir numéro Bugtraq (Bugtraq ID), identifier CVE, ou encore plusieurs URL se référant à la vulnérabilité en question :

Une fois la vulnérabilité ajoutée, il ne reste plus qu'à l'inclure dans la Policy utilisée (cf. chapitre précédent, dans l'onglet « Audits »).


Configuration du module de reporting

Quels que soient les tests d'intrusion réalisés, les auditeurs le savent, le travail nécessaire à l'écriture du rapport qui suit les évaluations techniques, est extrêmement long et fastidieux.

Bien que ne permettant en aucun cas d'effectuer un rapport exhaustif et complet, Retina pourrait s'avérer être un excellent point de départ à l'élaboration du rapport. En effet, le plan retenu dans les rapports sont en général relativement similaires. Deux modes de rapports sont proposés :

- Rapport technique, contenant toutes les informations disponibles (équivalent du « complete report » dans le menu de configuration).

- Rapport « executive » contenant les informations essentielles du test d'intrusion. Les détails techniques sont volontairement omis.


Le bouton « customize » permet de modifier la couverture de la page, le message relatif à la confidentialité du document (notez d'ailleurs que celui présent par défaut est un excellent modèle de départ).

Le logo peut alors être adapté et placé à la convenance du rédacteur. La quasi-totalité des champs du rapport sont modifiables, avec un cartouche professionnel adapté à ce type de documents.


Autres ressources disponibles dans le dossier :

[Scanner de vulnérabilités eEye Retina – Partie 1] Introduction, documentation, version – lien

[Scanner de vulnérabilités eEye Retina – Partie 3] Les modules fonctionnels et les rapports – lien

[Scanner de vulnérabilités eEye Retina – Partie 4] Conclusion – lien