Département de Mathématiques Informatique Master 2 RIP filière «Réseaux» Cours «Sécurité des réseaux et des contenus multimédia» Responsable du module : Mr Osman SALEM Tutoriel sur Retina Network Security Scanner 1
Présentation de RETINA Retina est un scanner réseau proactif, il analyse la vulnérabilité d un réseau, identifie les points faibles et les corrige. Retina est capable de repérer non seulement les déficiences répertoriées mais également certaines qui ne le sont pas encore. Retina fournit des états personnalisés, effectue des audits et réalise des détections à distance. Caractéristiques de RETINA Audite la vulnérabilité des éléments Wi-Fi, et scanne tous les types de systèmes d'exploitation, y compris les UNIX (Linux, Solaris, *BSD) et les actifs réseaux (routeurs, firewalls). Incluant un portage sur NT de l'outil de hacking UNIX NMAP Identification des menaces et des vulnérabilités zero jour Utilise par défaut les vulnérabilités du SANS top 20 se base sur le module CHAM (Common Hacking Attack Methods: module d'intelligence artificielle permettant de rechercher des vulnérabilités encore inconnues) Configuration de la politique d audit Mises à jour intégrées de la vulnérabilité et d'alerte des patchs Toute détection de risque est documentée par une action appropriée (lien vers le patch, Bugtrack, et CVE -Common Vulnerabilities and Exposures- liste de numéros standards d'identification des vulnérabilités) Génère des rapports sur les failles de sécurité (XML, CSV et PDF). 2
Utilisation de RETINA Retina est composé essentiellement de 4 fonctions : Scan réseau, Audit réseau, remède aux vulnérabilités et Rapport de scan : Fonction DISCOVER On commence par définir les cibles dans l onglet «Targets» par : nom d hôte, Ip adresse unique, plage d adresses IP ou par un masque réseau. On passe ensuite à l onglet «Options» où on coche sur les protocoles à scanner. Une fois les choix fait, on lance le scan en cliquant sur «discover» comme indiqué dans l image suivante: 3
Ici pour la plage donnée, le scanner indique les informations liées à chaque machine (addresse IP,nom,nom du DNS, l OS, addresse Mac) comme indiqué dans la figure: Fonction AUDIT Ce module effectue des tests d intrusion sur les cibles. L Audit vérifie une liste de plus de 25000 failles différentes (par exemple: la faille etc/pass qui était "1337" il y a quelques années). Vos chances de trouver quelque chose avec cette option dépend de la sécurité du fichier, mais avec une telle variété de failles, vos chances d'en trouver une sont plutôt bonnes. Après sélection des cibles à scanner, on introduit le nom du fichier scan et le nom du fichier travail comme suit: 4
En 2éme lieu, faire la sélection des ports à contrôler parmi la liste suivante: En 3éme lieu, faire la sélection du groupe d audit parmi la liste (tout les audits est le plus performant) : En 4émé lieu, faire la sélection des choix d options comme indiqué dans la figure au-dessous: En 5éme lieu, faire la sélection du type du titre de compétence ( null session, single use ou stored) : 5
Voici les résultats de l audit obtenue une fois qu on clique sur le bouton «scan» pour détection de vulnérabilité: Comme vous pouvez le voir sur l'image ci-dessus, Retina a trouvé des failles sur le poste 192.168.1.200. Les failles en rouge indiquent que la faille est à haut risque, en orange un risque moyen, en jaune un faible risque, et celles en vert désignent un risque "information" (pas très grave en somme). En sélectionnant une faille dans la liste que Retina a fait, vous aurez un résumé des risques encourus par cette faille, un lien vers le fabriquant ainsi que d'autres liens où vous pourrez en apprendre plus au sujet de ces failles. Vous pouvez trouver aussi les ports ouverts ainsi que la version du serveur, etc. Vous pourrez aussi trouver des précisions sur les différentes utilisations de ces ports. 6
Comme on peut effectuer un test d intrusion sur un système, en cliquant sur «Launch Exploit» pour lancer l exploit sous Metasploit, comme montré dans la figure suivante : Métasploit peur être intégré avec Retina Network où les informations des exploits sont incluses dans les rapports de vulnérabilités. Comme vous pouvez bien le constater, cela prouve qu on peut faire un accès à distance sur une machine. 7
Sur le menu «Tools», nous permet plusieurs outils, tel que l exportation d audit: Fonction REMEDIATE Dans cette onglet, Retina remédie aux vulnérabilités trouvées. On le paramètre par le filtrage suivant les cibles choisies: 8
Comme on peut cocher sur certaines options, et après cliquer sur «Generate» pour remédier à la faille détectée : On peut voir ici les exploits en CVE avec l identifiant de la vulnérabilité. 9
Fonction REPORT Ici, on effectue un rapport sur les scans lancé par Retina. On choisi le type du rapport, en cochant sur en ensemble d options en incluant des informations telles que: Ip adresse, Mac adresse, OS, CVE, métrique de travail, La configuration de Retina est relativement aisée. L'aide en ligne est également efficace. Retina peut lire un réseau de classe C de dispositifs, systèmes d'exploitation et des applications dans prés de 15minutes. En revanche, il n'y a pas de scan automatique des nouveaux utilisateurs. Les remontées d'alertes sont assez précises. Elles peuvent être classées par niveau de risque et envoyées par messages Windows. On note l'absence de tableau de suivi des interventions. 10