Résumé : eEye Retina comporte différents modules de fonctions (browser, miner, tracer, scanner) que cette avant dernière partie, du dossier sur ce scanner de vulnérabilités, se propose de fournir un descriptif pour chacun d'entre eux ainsi que les directives vous permettant de manipuler les rapports de sortie.
Module Browser
Le module « Browser » permet simplement de naviguer sur des sites Web. Il s'agit d'une fonctionnalité secondaire de Retina mais qui s'avère relativement pratique lors des tests d'instrusion sur des applications Web. Il est alors aisé de comparer la sortie de scanner avec des tests manuels effectués sur le serveur distant.
Module Miner
Le but du module « Miner » est de lister les scripts, fichiers, présents sur un serveur Web. A première vue simpliste, cette technique permet pourtant, dans bon nombre de cas, la récupération d'informations déterminantes dans un test d'intrusion. Il est relativement analogue aux outils Whisker ou dirb.
Module Scanner
Le module « Scanner » est de façon très claire le fer de lance de Retina. Grâce à une base de « signatures », aussi diverses soient elles (bannières, clefs de la base de registre, scripts/CGI présents sur un site Web, etc.), le module « Scanner » permet d'analyser une machines distante. La discrétion n'étant pas sa problématique, les tests sont menés séquentiellement selon la Policy retenue.
Selon la gravité des vulnérabilités recensées, les conditions et enjeux des tests, il peut être possible de vouloir faire de la correction à la volée. Si cette approche s'avère trop risquée en environnement de production, elle peut être pratique sur des réseaux de très petite taille ou pour des machines personnelles en local.
Retina fournit, pour certains tests « positifs », les contre-mesures associées aux vulnérabilités détectées. Il peut s'agir par exemple d'une modification sur une base de registres Windows distante.
Les rapports sont détaillés mais « descendent » dans les informations de sorte à vulgariser l'information. Les liens directs vers BugTraq ou le MITRE permettront aux plus exigeants d'obtenir les détails recherchés en un clic.
Module Tracer
Le module « Tracer » est un simple traceroute qui permet de faciliter la découverte de la topologie d'un réseau local par exemple, bien que dépourvu de fonctions avancées (permettant par exemple de faire du firewalking). Ce module n'est pas d'un grand intérêt pour Retina, hormis peut être une représentation plus « graphique » de la découverte par hops de la topologie d'un LAN, donc plus accessible.
Rapport de vulnérabilités
Autre pilier de Retina, nous l'avions dit précédemment : ses fonctions de reporting. Les rapports de scans se modélisent en fichiers HTML. Ils peuvent donc être très simplement modifiés, importés, retouchés, etc.
Les graphes et la structure des rapports conviendront tant au technicien, recherchant le maximum de détails sur les scans effectués, qu'aux personnes désireuses d'obtenir un snapshot précis de la situation du réseau à un moment donné.
L'ensemble des détails concernant les problèmes trouvés, leurs résolutions, niveaux de criticité, sont retranscris dans le document.
Un glossaire générique, indispensable à tout rapport de test d'intrusion, est fourni en fin de rapport. Il est conseillé de l'étayer avec les compléments manuels ajoutés.
Autres ressources disponibles dans le dossier :
[Scanner de vulnérabilités eEye Retina – Partie 1] Introduction, documentation, version –
lien
[Scanner de vulnérabilités eEye Retina – Partie 2] Configuration, rêgles et audits de sécurité –
lien
[Scanner de vulnérabilités eEye Retina – Partie 4] Conclusion –
lien
