Guide de l'utilisateur Nessus 4.4 14 juin 2011 (Révision 10) Copyright 2011. Tenable Network Security, Inc. Tous droits réservés.tenable Network Security et Nessus sont des marques déposées de Tenable Network Security, Inc. The ProfessionalFeed est une marque de Tenable Network Security, Inc. Tous les autres produits ou services sont des marques de leur propriétaire respectif. Tenable Network Security, Inc. 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046 410.872.0555 sales@tenable.com www.tenable.com
Table des matières Introduction... 3 Normes et conventions... 3 Vue d'ensemble de l'iu Nessus... 3 Description... 3 Plateformes prises en charge... 4 Installation.... 4 Fonctionnement... 4 Vue d'ensemble... 4 Connexion à l interface graphique Nessus... 4 Vue d'ensemble des stratégies... 8 Stratégies par défaut... 9 Création d'une nouvelle stratégie...10 General...10 Identifiants...15 Plugins...18 Préférences...21 Importation, exportation et copie des stratégies...39 Création, lancement et programmation d'un scan...39 Rapports...43 Naviguer...43 Filtres des rapports...47 Comparer...50 Téléchargement en amont et en aval...51 Format de fichier.nessus...53 Suppression...54 Utilisateurs...54 Autres clients Nessus...54 Interface de ligne de commande...54 Conversion d'un rapport...56 Ligne de commande utilisant les fichiers.nessus...57 Commande de scan...59 SecurityCenter...59 Configuration du SecurityCenter...59 Pour plus d informations...60 Au sujet de Tenable Network Security...62 Copyright 2002-2011 Tenable Network Security, Inc. 2
INTRODUCTION Ce document décrit comment utiliser l'interface d'utilisateur (IU) de Nessus de Tenable Network Security. Veuillez nous informer de tout commentaire ou suggestion en nous les envoyant par e-mail à support@tenable.com. L'IU Nessus est une interface basée sur le Web du scanner de vulnérabilité Nessus. Pour utiliser le client, il est nécessaire d'avoir déployé un scanner Nessus opérationnel et d'être familiarisé avec son utilisation. NORMES ET CONVENTIONS Ce document a été traduit à partir d'un texte écrit en anglais à l origine. Certaines expressions sont restées en anglais afin de montrer la façon dont elles apparaissent dans le produit. Dans l'ensemble de la documentation, les noms de fichiers, les démons (daemons) et les exécutables sont indiqués par la police courier bold, par exemple gunzip, httpd et /etc/passwd. Les options de ligne de commande et les mots clés sont aussi indiqués par la police courier bold. Les options de ligne de commande peuvent inclure non l'invite de ligne de commande et le texte provenant des résultats de la commande. Souvent, la commande en cours d'exécution sera en caractères gras pour indiquer ce que l'utilisateur a saisi. Un exemple d'exécution de commande pwd Unix est donné ci-dessous : # pwd /opt/nessus/ # Les remarques et considérations importantes sont mises en évidence grâce à ce symbole et des zones de texte grises. Les conseils, exemples et meilleures pratiques sont mis en évidence grâce à ce symbole et un texte blanc sur fond bleu. VUE D'ENSEMBLE DE L'IU NESSUS DESCRIPTION L interface utilisateur (IU) Nessus est une interface Web du scanner Nessus, constituée simplement d'un serveur HTTP et un client Web, et ne nécessitant aucune installation de logiciel, sauf le serveur Nessus. Comme pour Nessus 4, toutes les plateformes utilisent la même base de code, ce qui élimine les erreurs spécifiques de plateforme et permet le déploiement plus rapide des nouvelles fonctionnalités. Les fonctions principales sont : > Création de fichiers.nessus que les produits Tenable utilisent comme norme pour les données de vulnérabilité et les stratégies de scan. Copyright 2002-2011 Tenable Network Security, Inc. 3
> Une session de stratégie, une liste de cibles et les résultats de plusieurs scans peuvent tous être enregistrés dans un seul fichier.nessus qui peut être facilement exporté. Voir le guide de format de fichier Nessus pour plus d informations. > L interface graphique affiche les résultats du scan en temps réel, si bien qu'il n'est pas nécessaire d'attendre la fin d'un scan pour visualiser les résultats. > Mise à disposition d une interface unifiée du scanner Nessus, quelle que soit la plateforme de base. Les mêmes fonctionnalités existent sur Mac OS X, Windows et Linux. > Les scans continuent à être exécutés sur le serveur, même en cas de déconnexion. > Les comptes-rendus de scan Nessus peuvent être téléchargés par l'iu Nessus et comparés à d'autres rapports. PLATEFORMES PRISES EN CHARGE Comme l'iu Nessus est un client Web, elle peut être exécutée sur toute plateforme équipée d'un navigateur Internet. L'interface utilisateur Nessus de type Web donnera les meilleurs résultats avec Microsoft Internet Explorer 7 et 8, Mozilla Firefox 3.5.x et 3.6.x, ou Apple Safari. INSTALLATION À partir de Nessus 4.2, la gestion des utilisateurs du serveur Nessus est assurée par une interface Web et il n'est plus nécessaire d'utiliser un client Nessus autonome. Les clients Nessus autonomes seront toujours connectés et géreront le scanner, mais ils ne seront pas mis à jour. Voir le guide d'installation Nessus 4.4 pour des instructions concernant l'installation de Nessus. Aucune installation supplémentaire de logiciel n'est requise. FONCTIONNEMENT VUE D'ENSEMBLE Nessus fournit une interface simple mais performante pour gérer l'activité de scan des vulnérabilités. Connexion à l interface graphique Nessus Pour lancer l interface graphique Nessus, procédez comme suit : > Ouvrez le navigateur Internet choisi. > Saisissez https://[ip du serveur]:8834/ dans la barre de navigation. Veillez à vous connecter à l'interface utilisateur par HTTPS, car les connexions HTTP non cryptées ne sont pas compatibles. La première fois que vous essayez de vous connecter à l'interface utilisateur Nessus, les navigateurs Internet affichent normalement une erreur indiquant que le site n'est pas sécurisé à cause du certificat SSL auto-signé : Copyright 2002-2011 Tenable Network Security, Inc. 4
Les utilisateurs de Microsoft Internet Explorer peuvent cliquer sur «Poursuivre sur ce site Web (non recommandé)» pour charger l'interface utilisateur Nessus. Les utilisateurs de Firefox 3.x peuvent cliquer sur «Je comprends les risques», puis sur «Ajouter une exception» pour accéder à la boîte de dialogue d'exception du site : Copyright 2002-2011 Tenable Network Security, Inc. 5
Vérifiez que la barre «Adresse :» reflète l'url du serveur Nessus et cliquez sur «Confirmer l exception de sécurité». Pour plus d informations concernant l'installation d'un certificat SSL personnalisé, consultez le guide d'installation de Nessus. Après confirmation de l'exception par le navigateur, un écran de démarrage s'affiche comme suit : Copyright 2002-2011 Tenable Network Security, Inc. 6
Identifiez-vous en utilisant un compte et un mot de passe créés précédemment auprès du gestionnaire du serveur. Si l'identification réussit, l'iu affiche les menus permettant d'exécuter les scans : Les options en haut à droite sont toujours affichées pendant l'utilisation de Nessus. L'indication «admin» en haut à droite dans l'écran ci-dessus correspond au compte connecté. «Help» (Aide) est un lien vers la documentation Nessus, qui fournit des instructions détaillées sur l'utilisation du logiciel. «About» (À propos de) montre des informations sur l'installation de Nessus, y compris la version, le type de feed, l'expiration des feeds, la configuration client et la version du serveur Web. «Log out» (Déconnexion) ferme la session en cours. Copyright 2002-2011 Tenable Network Security, Inc. 7
VUE D'ENSEMBLE DES STRATÉGIES Une «stratégie» de Nessus inclut des options de configuration associées à l'exécution d'un scan des vulnérabilités. Ces options incluent, sans limitation : > Des paramètres qui contrôlent les aspects techniques du scan tels que les temporisations, le nombre d'hôtes, le type de scanner des ports et autres. > Des identifiants pour les scans locaux (par exemple Windows, SSH), les scans de base de données Oracle authentifiés, les identifiants basés sur HTTP, FTP, POP, IMAP ou Kerberos. > Spécification de scan basée sur niveau de granularité ou plugin. > Contrôles de stratégie pour conformité à la base de données, verbosité des rapports, paramètres de scan pour détection de service, contrôles de conformité Unix et plus. Copyright 2002-2011 Tenable Network Security, Inc. 8
STRATÉGIES PAR DÉFAUT Nessus est livré avec plusieurs stratégies par défaut fournies par Tenable Network Security, Inc. Elles sont fournies comme modèles afin de faciliter la création de stratégies personnalisées pour l'organisation ou d'être utilisées telles quelles pour commencer le scan de base des ressources. Nom de la stratégie External Network Scan (Scan de réseau externe) Internal Network Scan (Scan de réseau interne) Web App Tests (Tests d'app. Web) Prepare for PCI DSS audits (Préparation pour les audits PCI DSS) Description Cette stratégie est configurée pour scanner des hôtes tournés vers l'extérieur, ce qui réduit généralement les services accessibles au réseau. Les plugins associés à des vulnérabilités connues d'applications Web (familles de plugins CGI Abuses et CGI Abuses : XSS) sont activés dans cette stratégie. En outre, les 65 535 ports sont tous scannés sur chaque cible. Cette stratégie est configurée pour une meilleure performance, en tenant compte du fait qu'elle peut être utilisée pour scanner les grands réseaux internes comprenant de nonbreux d'hôtes, plusieurs services exposés et des systèmes intégrés tels que les imprimantes. Les plugins «CGI Abuse» ne sont pas activés et un groupe standard de ports est scanné, mais pas la totalité des 65 535. Si vous souhaitez que les systèmes soient scannés et que Nessus détecte les vulnérabilités connues et inconnues des applications Web, utilisez cette stratégie de scan. Les fonctions de «fuzzing» dans Nessus sont activées dans cette stratégie, ce qui permet à Nessus de balayer tous les sites Web découverts et de rechercher les vulnérabilités présentes dans chacun des paramètres, y compris XSS, SQL, l'injection des commandes et plusieurs autres. Cette stratégie active les contrôles de conformité PCI DSS qui comparent les résultats du scan aux normes PCI et crée un rapport concernant la situation de conformité. Il est très important de noter que le succès d'un scan de conformité ne garantit pas la conformité ou la sécurité de l'infrastructure. Les organisations qui se préparent pour une évaluation PCI DSS peuvent utiliser cette stratégie afin de préparer leur réseau et leurs systèmes pour la conformité PCI DSS. Copyright 2002-2011 Tenable Network Security, Inc. 9
CREATION D'UNE NOUVELLE STRATEGIE Une fois que vous êtes connecté à une IU de serveur Nessus, vous pouvez créer une stratégie personnalisée en cliquant sur l'option «Policies» (Stratégies) sur la barre du haut, puis sur le bouton «+ Add» (Ajouter) à droite. L'écran «Add Policy» (Ajouter une stratégie) s'affiche comme suit : Il existe quatre onglets de configuration : General, Credentials (Identifiants), Plugins et Preferences. Pour la plupart des environnements, il n'est pas nécessaire de modifier les paramètres par défaut, mais ils fournissent un meilleur contrôle granulaire pour le fonctionnement du scanner Nessus. Ces onglets sont décrits ci-dessous. General L'onglet General permet de nommer la stratégie et de configurer les opérations associées au scan. Il y a six zones de groupes d'options qui contrôlent le comportement du scanner : Le cadre «Basic» (Cadre de base) est utilisé pour définir les aspects de la stratégie elle-même : Option Name (Nom) Visibility (Visibilité) Description Définit le nom qui sera affiché dans l'iu Nessus pour identifier la stratégie. Détermine si la stratégie est partagée avec d'autres utilisateurs («Shared») ou si elle reste privée et à l'usage exclusif de l'utilisateur («Private»). Seuls les utilisateurs administratifs peuvent partager les stratégies. Copyright 2002-2011 Tenable Network Security, Inc. 10
Description Permet de fournir une brève description de la stratégie de scan, typiquement pour résumer l'objectif d'ensemble (par exemple «Web Server scans without local checks or non HTTP services» (le serveur Web scanne sans vérification locale ni services non-http)). Le cadre «Scan» définit encore plus précisément les options concernant le comportement du scan : Option Save Knowledge Base (Sauvegarder la base de connaissances) Safe Checks (Vérifications sécurisées) Silent Dependencies (Dépendances muettes) Log Scan Details to Server (Enregistrer les détails du scan dans le serveur) Stop Host Scan on Disconnect (Arrêter le scan de l'hôte sur déconnexion) Avoid Sequential Scans (Eviter les scans séquentiels) Consider Unscanned Ports as Closed (Considérer les ports non scannés comme fermés) Description Le scanner Nessus peut sauvegarder les informations de scan dans la base de connaissances du serveur Nessus pour utilisation ultérieure. Ceci inclut les ports ouverts, les plugins qui ont été activés avec succès, les services découverts et plus. Safe Checks désactive tous les plugins qui peuvent avoir un effet nuisible sur l'hôte distant. Si cette option est cochée, la liste des dépendances n'est pas incluse dans le rapport. Si vous souhaitez inclure la liste des dépendances dans le rapport, vous devez décocher la case. Sauvegardez des détails supplémentaires du scan dans le journal du serveur Nessus (nessusd.messages) y compris le lancement d'un plugin, la fin d'un plugin ou l'arrêt d'un plugin. Le journal résultant peut être utilisé pour confirmer que des plugins particuliers ont été utilisés et des hôtes scannés. Si cette case est cochée, Nessus arrête le scan s'il détecte que l'hôte ne répond plus. Ceci peut se produire si les utilisateurs arrêtent leur ordinateur pendant un scan, si un hôte a cessé de répondre après un plugin de déni de service ou si un mécanisme de sécurité (par exemple IDS) a commencé à bloquer le trafic vers un serveur. Si les scans se poursuivent sur ces machines, un trafic superflu sera envoyé sur le réseau et retardera le scan. Par défaut, Nessus scanne une liste d'adresses IP dans un ordre séquentiel. Si cette case est cochée, Nessus scanne la liste d'hôtes dans un ordre aléatoire. Ceci est normalement utile pour aider à répartir le trafic du réseau dirigé vers un sous-réseau spécifique pendant les scans longs. Si un port n'est pas scanné avec un scanner des ports sélectionné (par exemple, hors de la plage spécifiée), Nessus le considère comme fermé. Copyright 2002-2011 Tenable Network Security, Inc. 11
Designate Hosts by their DNS Name (Désigner les hôtes par leur nom DNS) Utilise le nom de l'hôte au lieu de l'adresse IP pour l émission des comptes-rendus. Le cadre «Network» (Réseau) propose des options pour mieux contrôler le scan en fonction du réseau cible scanné : Option Reduce Parallel Connections on Congestion (Réduire les connexions parallèles en cas de congestion) Use Kernel Congestion Detection (Linux Only) (Utiliser la détection de congestion de noyau (Linux seulement)) Description Permet à Nessus de détecter s'il envoie trop de paquets de données et si le pipe réseau est proche de sa capacité. En cas de détection, Nessus modifie la vitesse du scan pour tenir compte de la congestion et la limiter. Une fois la congestion contenue, Nessus réessaie automatiquement d'utiliser l'espace disponible dans le pipe réseau. Permet à Nessus de surveiller l'uc et les autres périphériques internes pour déceler la congestion et la réduire selon les besoins. Nessus essaie toujours d'utiliser le plus de ressources disponibles. Cette fonction est disponible uniquement pour les scanners Nessus déployés sur Linux. Le cadre «Port Scanners» (Scanners de port) contrôle les méthodes de scan de port qui doivent être activées pour le scan : Option TCP Scan Description Utilise le scanner TCP intégré de Nessus pour identifier les ports TCP ouverts sur les cibles. Ce scanner est optimisé et possède certaines fonctions d'autojustement. Sur certaines plateformes (par exemple Windows et Mac OS X), si le système d'exploitation provoque de graves problèmes de performance lorsque le scanner TCP est utilisé, Nessus active le scanner SYN. UDP Scan Cette option utilise le scanner UDP intégré de Nessus pour identifier les ports UDP ouverts sur les cibles. UDP est un protocole «sans état» ; autrement dit les communications ne sont pas effectuées avec des dialogues de protocole de transfert. Les communications basées sur UDP ne sont pas toujours fiables et, en raison de la nature des services UDP et des dispositifs de détection, elles ne sont pas toujours décelables à distance. Copyright 2002-2011 Tenable Network Security, Inc. 12
SYN Scan SNMP Scan Netstat SSH Scan Netstat WMI Scan Utilise le scanner SYN intégré de Nessus pour identifier les ports TCP ouverts sur les cibles. Les scans SYN constituent une méthode courante pour effectuer des scans de port, considérée en général comme un peu moins intrusive que les scans TCP. Le scanner envoie un paquet de données SYN au port, il attend la réponse SYN-ACK et détermine l'état du port en fonction de la réponse ou de l absence de réponse. Demande à Nessus de scanner des cibles pour un service SNMP. Nessus devinera les paramètres SNMP pertinents pendant un scan. Si les paramètres sont fournis par l'utilisateur sous la rubrique «Preferences», ceci permettra à Nessus de mieux tester l'hôte distant et de produire des résultats d'audit plus détaillés. Par exemple, il existe un grand nombre de contrôles de routeur Cisco qui déterminent les vulnérabilités existantes en examinant la version de la chaîne SNMP renvoyée. Ces informations sont nécessaires pour les audits. Cette option utilise netstat pour rechercher les ports ouverts du périphérique local. Elle est basée sur la disponibilité de la commande netstat via une connexion SSH à la cible. Ce scan est destinés systèmes Unix et nécessite des identifiants de connexion. Cette option utilise netstat pour rechercher les ports ouverts du périphérique local. Elle est basée sur la disponibilité de la commande netstat via une connexion WMI à la cible. Ce scan est destiné aux systèmes Windows et nécessite des identifiants de connexion. Un scan basé sur WMI utilise netstat pour déterminer les ports ouverts, en ignorant ainsi toute plage de ports spécifiée. Si tout énumérateur de port (Netstat ou SNMP) réussit, la plage de ports devient «all» (tous). Ping Host (Sonder l'hôte) Cette option permet de sonder les hôtes à distance sur plusieurs ports pour déterminer s'ils sont activés. Copyright 2002-2011 Tenable Network Security, Inc. 13
Le cadre «Port Scan Options» (Options de scan de port) indique au scanner de cibler une plage particulière de ports. Les valeurs suivantes sont autorisées pour l'option «Port Scan Range» : Valeur default (défaut) all (tous) Custom List (Liste personnalisée) Description En utilisant le mot clé «default», Nessus scanne environ 4 790 ports communs. La liste des ports est disponible dans le fichier nessus-services. En utilisant le mot clé «all», Nessus scanne l ensemble des 65 535 ports. Une plage personnalisée de ports peut être sélectionnée en utilisant une liste de ports ou de plages de ports délimitée par des virgules. Par exemple «21,23,25,80,110» ou «1-1024,8080,9000-9200» sont autorisés. Si «1-65535» est spécifié, tous les ports seront scannés. La plage spécifiée pour un scan de port sera utilisée pour les scans TCP et UDP. Le cadre «Performance» fournit deux options contrôlant le nombre de scans qui seront effectués. Ces options sont peut-être les plus importantes lorsque vous configurez un scan, car elles ont le plus grand impact sur les durées des scans et l'activité du réseau. Option Max Checks Per Host (Vérifications max. par hôte) Max Hosts Per Scan (Hôtes max. par scan) Network Receive Timeout (seconds) (Temporisation de réception réseau (en secondes)) Max Simultaneous TCP Sessions Per Host (Sessions TCP simultanées max. par hôte) Description Ce paramètre limite le nombre maximum de contrôles qu'un scanner Nessus effectue contre un seul hôte à un moment donné. Ce paramètre limite le nombre maximum d'hôtes qu'un scanner Nessus scanne en même temps. Paramétré par défaut à cinq secondes. C'est le temps pendant laquelle Nessus attend une réponse de l'hôte, sauf spécification contraire dans un plugin. Si vous effectuez un scan via une connexion lente, vous pouvez préférer régler ce paramètre sur un nombre de secondes plus élevé. Ce paramètre limite le nombre maximum des sessions TCP établies pour un seul hôte. Copyright 2002-2011 Tenable Network Security, Inc. 14
Max Simultaneous TCP Sessions Per Scan (Sessions TCP simultanées max. par scan) Ce paramètre limite le nombre maximum de sessions TCP établies pour l'ensemble du scan, quel que soit le nombre d'hôtes scannés. Pour les scanners Nessus installés sur des hôtes Windows XP, Vista et 7, cette valeur doit être paramétrée sur 19 au plus pour obtenir des résultats précis. Identifiants L'onglet Credentials (Identifiants) illustré ci-dessous permet de configurer le scanner Nessus pour utiliser des identifiants pendant le scan. En configurant les identifiants, il permet à Nessus d'effectuer une grande variété de vérifications qui produisent des résultats de scan plus précis. L élément du menu déroulant «Windows credentials» (Informations de connexion Windows) comporte des paramètres qui fournissent à Nessus des informations telles que le nom du compte SMB, le mot de passe et le nom de domaine. Le protocole SMB (Server Message Block) est un protocole de partage de fichiers qui permet aux ordinateurs de partager des informations de façon transparente sur le réseau. Si Nessus obtient ces informations, il pourra rechercher les informations locales à partir d'un hôte Windows distant. Par exemple, l'utilisation des identifiants permet à Nessus de déterminer si des correctifs importants de sécurité ont été appliqués. Il n'est pas nécessaire de modifier les paramètres par défaut des autres paramètres SMB. Copyright 2002-2011 Tenable Network Security, Inc. 15
Si un compte SMB de maintenance est créé avec des privilèges administrateur limités, Nessus peut scanner plusieurs domaines facilement et en toute sécurité. Tenable recommande que les administrateurs réseau envisagent de créer des comptes de domaine spécifiques pour faciliter les tests. Nessus inclut divers contrôles de sécurité pour Windows NT, 2000, Server 2003, XP, Vista, Windows 7 et Windows 2008 qui sont plus précis si un compte de domaine est fourni. Nessus tente normalement plusieurs contrôles si aucun compte n'est fourni. Le service de registre à distance Windows permet aux ordinateurs distants avec identifiants d'accéder au registre de l'ordinateur en cours d'audit. Si le service n'est pas exécuté, la lecture des clés et des valeurs du registre n'est pas possible, même avec des identifiants complets. Pour plus d informations, consultez l article du blog de Tenable intitulé «Dynamic Remote Registry Auditing - Now you see it, now you don t!» (Audit dynamique de registre à distance - entrée et sortie immédiates!»). Les utilisateurs peuvent sélectionner «SSH settings» (Paramètres SSH) dans le menu déroulant et entrer les identifiants pour scanner les systèmes Unix. Ces identifiants sont utilisés pour obtenir des informations locales de la part des systèmes Unix distants pour l'audit des correctifs ou les contrôles de conformité. Il existe un champ dans lequel saisir le nom de l'utilisateur SSH pour le compte qui va effectuer les contrôles sur le système Unix cible, ainsi que pour le mot de passe SSH ou la paire constituée de la clé publique SSH et de la clé privée. Il existe aussi un champ pour saisir la phrase de passe pour la clé SSH, si elle est requise. Nessus 4 prend en charge les algorithmes de cryptage blowfish-cbc, aes-cbc et aes-ctr. Les scans authentifiés les plus efficaces sont ceux pour lesquels les identifiants fournis octroient les privilèges «root». Puisque de nombreux sites ne permettent pas les connexionx distantes au niveau root, les utilisateurs Nessus peuvent invoquer «su» ou «sudo» avec un mot de passe séparé pour un compte qui a été établi avec les privilèges «su» ou «sudo». Nessus peut utiliser l'accès basé sur clé SSH pour l'authentification sur un serveur distant. Si un fichier known_hosts SSH est disponible et fourni dans le cadre de la stratégie de scan, Nessus essaiera seulement d'accéder aux hôtes de ce fichier. Finalement, le «Preferred SSH port» (Port SSH préféré) peut être réglé pour indiquer à Nessus de se connecter à SSH s'il est activé sur un port autre que le port 22. Nessus crypte tous les mots de passe mémorisés dans les stratégies. Toutefois, les meilleures pratiques recommandent d'utiliser les clés SSH pour l'authentification, plutôt que des mots de passe SSH. Ceci permet de vérifier que la combinaison nom d'utilisateur-mot de passe utilisée pour l'audit des serveurs SSH connus n'est pas utilisée pour tenter d'établir une connexion à un système qui pourrait ne pas être sous votre contrôle. Il n'est donc pas recommandé d'utiliser les mots de passe SSH, sauf en cas de nécessité absolue. Copyright 2002-2011 Tenable Network Security, Inc. 16
Nessus prend également en charge une option «su+sudo» qui peut être utilisée au cas où un système n'autoriserait pas les privilèges de connexion à distance des comptes privilégiés. Voici un exemple de capture d écran de l'utilisation de «sudo» pour accroître les privilèges d'un scan. Pour cet exemple, le compte de l'utilisateur est «audit», qui a été ajouté au fichier /etc/sudoers sur le système à scanner. Le mot de passe fourni est celui du compte «audit», et non le mot de passe racine : L'onglet Credentials (Identifiants) fournit aussi une option dans le menu déroulant qui permet de configurer les «Oracle settings» (Paramètres Oracle), plus particulièrement Oracle SID et une option pour tester les comptes par défaut connus dans le logiciel Oracle : «Kerberos configuration» (Configuration Kerberos) permet de préciser les identifiants en utilisant les clés Kerberos à partir d'un système distant : Copyright 2002-2011 Tenable Network Security, Inc. 17
Pour finir, si aucune méthode sécurisée d'exécution des contrôles authentifiés n'est disponible, les utilisateurs peuvent forcer Nessus à essayer d'effectuer les contrôles sur des protocoles non sécurisés en configurant l'élément de menu déroulant «Cleartext protocol settings» (Paramètres de protocole texte en clair). Les protocoles de texte en clair pris en charge par cette option sont telnet, rsh et rexec. Par défaut, tous les mots de passe (et la stratégie elle-même) sont cryptés. Si la stratégie est sauvegardée dans un fichier.nessus et si ce fichier.nessus est ensuite copié sur une installation Nessus différente, aucun mot de passe de la stratégie ne sera utilisable par le deuxième scanner Nessus car ce dernier sera incapable de les décrypter. Il n'est pas recommandé d'utiliser les identifiants texte en clair! Si les identifiants sont envoyés à distance (par exemple par un scan Nessus), ils pourraient être interceptés par n importe quelle personne ayant accès au réseau. Utilisez dans la mesure du possible les mécanismes d'authentification cryptés. Plugins L'onglet Plugin Selection (Sélection du plugin) permet à l'utilisateur de choisir des contrôles de sécurité spécifiques en fonction du groupe de plugins ou des contrôles individuels. Copyright 2002-2011 Tenable Network Security, Inc. 18
Cliquez sur le disque jaune à côté d une famille de plugins pour pouvoir activer ou désactiver l'ensemble du groupe. Si une famille est sélectionnée, la liste de ses plugins s'affiche dans le volet supérieur droit. Les plugins individuels peuvent être activés et désactivés pour créer des stratégies de scan très particulières. À mesure que des ajustements sont effectués, le nombre total de familles et de plugins sélectionnés s affiche en bas. Si le disque à côté d une famille de plugins est moitié gris moitié jaune, cela indique que certains des plugins sont activés, mais qu'ils ne le sont pas tous. Si un plugin spécifique est sélectionné, cela affiche la sortie du plugin telle qu'elle sera consignée dans un rapport. Le synopsis et la description fournissent plus d informations sur la vulnérabilité examinée. Si vous faites défiler le volet «Plugin Description» (Description du plugin), vous pouvez également afficher des informations sur les solutions, des Copyright 2002-2011 Tenable Network Security, Inc. 19
références supplémentaires si disponibles, et la note CVSSv2 qui fournit une évaluation de base des risques. En haut de l'onglet des familles de plugins, vous pouvez rechercher un plugin spécifique selon son nom ou son ID. Dans la case placée à côté de «Filter», saisissez le texte à rechercher et appuyez sur Entrée : Lorsqu'une stratégie est créée et sauvegardée, elle enregistre tous les plugins qui ont été sélectionnés initialement. Lorsque de nouveaux plugins sont reçus par l'intermédiaire d'une mise à jour des ressources de plugin, ils sont automatiquement activés si le groupe avec lequel ils sont associés est activé. Si la famille a été désactivée ou partiellement activée, les nouveaux plugins de cette famille sont automatiquement désactivés eux aussi. La famille «Denial of Service» (Déni de service) contient certains plugins qui pourraient causer des pannes sur un réseau d'entreprise si l'option «Safe Checks» (Contrôles sans danger) n'est pas activée, mais il contient certains contrôles utiles qui ne causeront pas de problème. Le groupe «Denial of Service» peut être utilisé avec «Safe Checks» pour interdire l'exécution de tout plugin potentiellement dangereux. Toutefois, il est déconseillé d'utiliser la famille «Denial of Service» sur un réseau de production. Sous la fenêtre montrant les plugins se trouvent deux options qui faciliteront le choix des plugins. Option Enable all (Activer tout) Description Coche et active tous les plugins et leurs familles. C est une façon simple de réactiver tous les plugins après avoir créé une stratégie dans laquelle certaines familles ou plugins Copyright 2002-2011 Tenable Network Security, Inc. 20
étaient désactivés. Certains plugins peuvent nécessiter l'utilisation d'options de configuration supplémentaires. Disable all (Désactiver tout) Décoche et désactive tous les plugins et leurs familles. L'exécution d'un scan pour lequel tous les plugins étaient désactivés ne produira aucun résultat. Préférences L'onglet «Preferences» inclut des fonctions de contrôle granulaire sur les paramètres de scan. Si un élément du menu déroulant est sélectionné, des éléments de configuration supplémentaires sont affichés pour la catégorie sélectionnée. Il s'agit d'une liste dynamique d'options de configuration qui dépend des ressources de plugin, des stratégies d'audit et des fonctionnalités supplémentaires auxquelles le scanner Nessus connecté a accès. Un scanner avec un ProfessionalFeed (ressources professionnelles) peut disposer de plus d'options de configuration avancées qu'un scanner configuré avec le HomeFeed (ressources génériques). Cette liste peut aussi changer à mesure que des plugins sont ajoutés ou modifiés. «Cisco IOS Compliance Checks» (Contrôles de conformité IOS Cisco) permet aux clients du ProfessionalFeed de télécharger des fichiers de stratégie qui seront utilisés pour déterminer si un périphérique testé basé sur Cisco IOS satisfait aux normes de conformité spécifiées. Jusqu à cinq stratégies peuvent être sélectionnées à la fois. Les stratégies peuvent être exécutées avec les configurations Saved (show config) (Enregistrées), Running (show running) (En cours d'exécution) ou Startup (show startup) (Démarrage). Copyright 2002-2011 Tenable Network Security, Inc. 21
«Database Compliance Checks» (Contrôles de conformité des bases de données) permet aux clients du ProfessionalFeed de télécharger des fichiers de stratégie qui seront utilisés pour déterminer si une base de données testée satisfait aux normes de conformité spécifiées. Jusqu à cinq stratégies peuvent être sélectionnées à la fois. Les options «Database settings» (Paramètres de la base de données) sont utilisées pour spécifier le type de base de données à tester, les paramètres et les identifiants pertinents : Option Login (Identifiant) Description Nom d'utilisateur pour la base de données. Password (Mot de passe) Mot de passe pour le nom d'utilisateur fourni. DB Type (Type DB) Database SID (ID de système de base de données) Database port to use (Port de base de données à utiliser) Oracle auth type (Type d'auth. Oracle) SQL Server auth type (Type d'auth. du serveur SQL) Oracle, SQL Server, MySQL, DB2, Informix/DRDA et PostgreSQL sont pris en charge. ID de système de la base de données à contrôler. Port auquel la base de données est connectée. NORMAL, SYSOPER et SYSDBA sont pris en charge. Windows ou SQL sont pris en charge. «Do not scan fragile devices» (Ne pas scanner les périphériques fragiles) indique au scanner Nessus de ne pas scanner les imprimantes ou les hôtes Novell Netware, le cas Copyright 2002-2011 Tenable Network Security, Inc. 22
échéant. Puisque ces deux technologies sont plus fréquemment sujettes à des conditions de déni de service, Nessus peut omettre de les scanner. Ceci est recommandé si le scan est effectué pendant les heures de travail. «Global variable settings» (Paramètres des variables globales) contient de nombreuses options de configuration pour le serveur Nessus. Option Probe services on every port (Services de sonde sur chaque port) Do not log in with user accounts not specified in the policy (Ne se connecter avec des comptes d'utilisateur non spécifiés dans la stratégie) Enable CGI scan (Activer le scan CGI) Network type (Type de Description Essaie de mapper chaque port ouvert avec le service qui est exécuté sur ce port. Dans de raresrares, ceci pourrait perturber certains services et causer des effets secondaires imprévus. Sert à empêcher les blocages de compte si la stratégie de mot de passe est paramétrée pour bloquer les comptes après plusieurs tentatives non valides. Active les contrôles CGI. La désactivation de cette option accélérera considérablement d'audit d'un réseau local. Permet de spécifier si vous utilisez des IP publics Copyright 2002-2011 Tenable Network Security, Inc. 23
réseau) Enable experimental scripts (Activer les scripts expérimentaux) Thorough tests (slow) (Tests approfondis (lents)) Report verbosity (Verbosité du rapport) Report paranoia (Paranoïa du rapport) HTTP User-Agent (Utilisateur-agent HTTP) SSL certificate to use (Certificat SSL à utiliser) SSL CA to trust (CA SSL à laquelle se fier) SSL key to use (Clé SLL à utiliser) SSL password for SSL key (mot de passe SSL pour clé SSL) routables, des IP privés non routables sur Internet ou un mélange des deux. Sélectionnez «Mixed» (Mixte) si vous utilisez des adresses RFC 1918 et si vous disposez de plusieurs routeurs sur le réseau. Permet d'utiliser dans le scan des plugins qui sont considérés comme expérimentaux. N'activez pas ce paramètre pour le scan d'un réseau de production. Fait travailler «plus dur» divers plugins. Par exemple, lors de l'examen des partages de fichier SMB, un plugin peut analyser sur une profondeur de 3 niveaux au lieu d 1 seul. Avec un contrôle plus approfondi, le scan sera plus intrusif et il est plus probable qu'il perturbera le réseau, tout en fournissant potentiellement de meilleurs résultats d'audit. Un paramètre plus élevé fournira plus ou moins d'information concernant l'activité des plugins dans le rapport. Dans certains cas, Nessus ne peut pas déterminer à distance la présence d'un défaut. Si la paranoïa du rapport est paramétrée sur «Paranoid» (Paranoïde), un défaut sera signalé à chaque fois, même lorsqu'il existe un doute concernant l'effet sur l'hôte distant. À l'inverse, un paramètre de paranoïa sur «Avoid false alarm» (Éviter les fausses alarmes) induira Nessus à ne pas signaler les défauts à chaque fois qu'il existe un soupçon d'incertitude sur l'hôte distant. L'option par défaut («Normal») est une option intermédiaire entre ces deux paramètres. Spécifie le type de navigateur Internet que Nessus imitera pendant le scan. Permet à Nessus d'utiliser un certificat SSL côté client pour communiquer avec un hôte distant. Spécifie une CA (Certificate Authority, autorité de certificat) à laquelle Nessus se fiera. Spécifie une clé SSL locale à utiliser pour communiquer avec l'hôte distant. Mot de passe pour gérer la clé SSL spécifiée. Copyright 2002-2011 Tenable Network Security, Inc. 24
Pour faciliter les tests des applications Web, Nessus peut importer des cookies HTTP d'un autre logiciel (par exemple navigateur Internet, proxy Internet, etc.) avec les paramètres «HTTP cookies import» (Importation des cookies HTTP). Un fichier de cookies peut être téléchargé de sorte que Nessus utilise les cookies lors de la tentative d'accès à une application Web. Le fichier de cookies doit être au format Netscape. Les paramètres «HTTP login page» (Page de connexion HTTP) permettent de contrôler le point de départ des tests authentifiés d'une application personnalisée basée sur le Web. Option Login page (Page de connexion) Login form (Forme de connexion) Login form fields (Champs de forme de connexion) Login form method (Méthode de forme de Description URL de base de la page de connexion de l'application. Paramètre «action» pour la méthode de forme. Par exemple, la forme de connexion pour <form method="post" name="auth_form" serait «action="/login.php"». Spécifie les paramètres d'authentification (par exemple login=%user%&password=%pass%). Si les mots clés %USER% et %PASS% sont utilisés, ils seront remplacés par les valeurs fournies dans le menu déroulant «Login configurations» (Configurations de connexion). Ce champ peut être utilisé pour fournir plus de deux paramètres si nécessaire (par exemple, un nom de «groupe» ou une autre information est requis pour le processus d'authentification). Précise si l'action de connexion est effectuée sur une demande GET ou POST. Copyright 2002-2011 Tenable Network Security, Inc. 25
connexion) Automated login page search (Recherche de page de connexion automatisée) Re-authenticate delay (seconds) (Retard de réauthentification (secondes)) Check authentication on page (Vérifier l'authentification sur la page) Follow 30x redirections (# of levels) (Suivre les redirections 30x (nbre de niveaux)) Authenticated regex (regex (Expression rationnelle) authentifiée) Invert test (disconnected if regex matches) (Inverser le test (déconnecté si la regex correspond) Match regex on HTTP headers (Faire correspondre la regex sur les en-têtes HTTP) Case insensitive regex (regex non sensible à la casse) Abort web application tests if login fails (Abandonner les essais d'application Web si la connexion échoue) Indique à Nessus de rechercher une page de connexion. Intervalle de temps entre les tentatives d'authentification. Ce paramètre est utile pour éviter de déclencher les mécanismes de blocage en force. URL d'une page Web protégée qui nécessite une authentification, pour mieux aider Nessus à déterminer l'état d'authentification. Si un code 30x de redirection est reçu d'un serveur Web, ceci indique à Nessus de suivre ou non le lien fourni. Motif regex à rechercher sur la page de connexion. La simple réception d'un code de réponse 200 n'est pas toujours suffisante pour déterminer l'état de la session. Nessus peut essayer d'émuler une chaîne donnée telle que «Authentication successful!» (Authentification réussie!) Motif regex à rechercher sur la page de connexion qui, s'il est trouvé, informe Nessus que l'authentification a échoué (par exemple «Authentication failed!») (Échec de l'authentification!) Au lieu de rechercher le corps d'une réponse, Nessus peut rechercher les en-têtes de réponse HTTP pour un motif regex donné afin de mieux déterminer l'état d'authentification. Les recherches regex sont sensibles à la casse par défaut. Ce paramètre demande à Nessus d'ignorer la casse. Si les identifiants fournis ne fonctionnent pas, Nessus abandonne les tests d'application Web personnalisée (mais pas les familles de plugins CGI). Copyright 2002-2011 Tenable Network Security, Inc. 26
Le menu «ICCP/COTP TSAP Addressing» (Adressage ICCP/COTP TSAP) traite spécifiquement des contrôles SCADA. Il détermine une valeur TSAP (Transport Service Access Points, points d'accès de service de transport) pour le protocole COTP (Connection Oriented Transport Protocol, protocole de transport orienté vers la connexion) sur un serveur ICCP en essayant des valeurs possibles. Les valeurs de départ et d'arrêt sont paramétrées par défaut sur «8». «Login configurations» (Configurations de connexion) permet au scanner Nessus d'utiliser les identifiants pour tester HTTP, NNTP, FTP, POP2, POP3 ou IMAP. En fournissant des identifiants, Nessus peut avoir la possibilité d'effectuer des contrôles plus poussés pour déterminer les vulnérabilités. Les identifiants HTTP fournis ici seront utilisés uniquement pour l'authentification Basic et Digest. Pour la configuration des identifiants pour une application Web personnalisée, utilisez le menu déroulant «HTTP login page» (Page de connexion HTTP). Copyright 2002-2011 Tenable Network Security, Inc. 27
Les options «Modbus/TCP Coil Access» (Accès à la bobine Modbus/TCP) sont disponibles pour les utilisateurs du ProfessionalFeed. Cet élément de menu déroulant est créé dynamiquement par les plugins SCADA disponibles avec le ProfessionalFeed. Modbus utilise un code de fonction de 1 pour lire les «bobines» dans un Modbus asservi. Les bobines représentent des paramètres de sortie binaire et sont normalement mappées sur les actionneurs. La capacité à lire les bobines peut aider un attaquant à profiler un système et identifier les gammes de registres à altérer à l'aide d'un message «write coil» (écrire bobine). Les valeurs par défaut pour cela sont «0» pour le registre de départ et «16» pour le registre de fin. Les options «Nessus SYN scanner» et «Nessus TCP scanner» permettent de mieux ajuster les scanners natifs SYN et TCP pour détecter la présence d un firewall. Valeur Automatic (normal) (Automatique (normal)) Disabled (softer) (Désactivé (moins agressif)) Do not detect RST rate limitation (soft) (Ne pas détecter la limitation du taux RST (non agressif)) Ignore closed ports (aggressive) (Ignorer les ports fermés (agressif)) Description Cette option peut aider à identifier si un firewall est situé entre le scanner et la cible (default) (par défaut). Met hors service la fonction de détection de firewall. Désactive la possibilité de surveiller le nombre de fois que les réinitialisations sont définies et de déterminer s'il existe une limitation configurée par un périphérique réseau en aval. Essaiera d'exécuter les plugins même si le port semble être fermé. Il est recommandé que cette option ne soit pas utilisée sur un réseau de production. Copyright 2002-2011 Tenable Network Security, Inc. 28
«News Server (NNTP) Information Disclosure» (Divulgation d'information de serveur de nouvelles (NNTP)) peut être utilisé pour déterminer s'il existe des serveurs de nouvelles capables de transmettre le courrier indésirable. Nessus essaiera de publier un message de nouvelles sur un ou plusieurs serveurs NNTP (Network News Transport Protocol, protocole de transmission des nouvelles de réseau) et pourra vérifier s'il est aussi possible de publier un message sur les serveurs de nouvelles en amont. Option From address (Adresse d'origine) Test group name regex (regex de nom de groupe de test) Max crosspost (Affichage croisé max.) Local distribution (Distribution locale) No archive (aucune archive) Description L'adresse que Nessus utilise pour essayer de publier un message sur le ou les serveurs de nouvelles. Ce message est automatiquement supprimé après une courte période. Nom du ou des groupes de nouvelles qui reçoivent un message de test depuis l'adresse spécifiée. Le nom peut être spécifié sous la forme d'une expression rationnelle (regex) de sorte que le message peut être publié sur plusieurs groupes de nouvelles en même temps. Par exemple, la valeur par défaut «f[a-z]\.tests?» diffusera un message postal à tous les groupes de nouvelles dont les noms commencent par n importe quelle lettre («a» à «z») et se terminent par «.tests» (ou une variation correspondant à la chaîne). Le point d'interrogation joue le rôle de caractère générique optionnel. Nombre maximum de serveurs de nouvelles qui reçoivent les publications de test, quel que soit le nombre de correspondances de nom. Par exemple, si l affichage croisé max. est «7», le message de test est seulement envoyé à sept serveurs de nouvelles, même s'il y a 2 000 serveurs de nouvelles qui correspondent à la regex dans ce champ. Si cette option est sélectionnée, Nessus essaie seulement de publier un message sur le ou les serveurs locaux de nouvelles. Sinon, une tentative est faite pour transmettre le message en amont. Si cette option est sélectionnée, Nessus demande de ne pas archiver le message de test envoyé au ou aux serveurs de nouvelles. Sinon, le message est archivé comme tout autre publication. Copyright 2002-2011 Tenable Network Security, Inc. 29
«Oracle Settings» (Paramètres Oracle) configure Nessus avec Oracle Database SID (SID de base de données Oracle) et inclut une option pour rechercher les comptes par défaut connus dans le logiciel Oracle. «PCI DSS Compliance» (Conformité PCI DSS) commande à Nessus de comparer les résultats du scan aux normes de conformité PCI DSS en cours. Cette fonction est disponible pour les clients du ProfessionalFeed uniquement. Les options «Ping the remote host» (Sonder l'hôte à distance) permettent de contrôler granulairement la capacité de Nessus à sonder les hôtes pendant le scan de découverte. Ceci peut être fait par le ping ARP, le ping TCP, le ping ICMP ou le ping applicatif UDP. Option TCP ping destination port(s) (Port(s) de destination de ping TCP) Number of Retries (ICMP) (Nombre de relances (ICMP)) Do an applicative UDP ping (DNS, RPC ) (Effectuer un sondage UDP applicatif (DNS, RPC )) Make the dead hosts appear in the report Description Spécifie la liste des ports qui seront contrôlés par le ping TCP. En cas de doute sur les ports, laissez ce paramètre à la valeur par défaut «built-in» (intégré). Permet de spécifier le nombre de tentatives pour sonder l'hôte distant. La valeur par défaut est 6. Effectuez un sondage UDP pour des applications spécifiques basées sur UDP, y compris DNS (port 53), RPC (port 111), NTP (port 123) et RIP (port 520). Si cette option est sélectionnée, les hôtes qui n'ont pas répondu à la demande ping sont inclus dans le rapport de Copyright 2002-2011 Tenable Network Security, Inc. 30
(Faire apparaître les hôtes sans réponse dans le rapport) Log live hosts in the report (Enregistrer les hôtes actifs dans le rapport) Test the local Nessus host (Tester l'hôte Nessus local) Fast network discovery (Découverte rapide de réseau) sécurité en tant qu'hôtes morts. Sélectionnez cette option pour inclure spécifiquement dans le rapport la capacité à sonder avec succès un hôte distant. Cette option permet d'inclure l hôte Nessus local dans le scan ou de l'exclure. Ce paramètre est utilisé lorsque l'hôte Nessus est dans la plage du réseau cible pour le scan. Par défaut, lorsque Nessus «sonde» un IP à distance et reçoit une réponse, il effectue des contrôles supplémentaires pour s'assurer que ce n'est pas un proxy transparent ou un équilibreur de charge qui renverrait du bruit mais pas de résultat (certains périphériques répondent à chaque port 1-65535 mais ne sont pas en service). De tels contrôles peuvent prendre du temps, en particulier si l'hôte distant est sujet à un firewall. Si l'option «fast network discovery» est activée, Nessus n'effectue pas ces contrôles. Pour scanner les systèmes d'invités VMware, «ping» doit être désactivé. Dans la stratégie de scan sous la rubrique «Advanced» (Avancé) -> «Ping the remote host» (Sonder l'hôte à distance), décochez les pings TCP, ICMP et ARP. «Port scanner settings» (Paramètres de scanner des ports) fournit deux options pour contrôler davantage l'activité de scan des ports : Option Check open TCP ports found by local port enumerators (Vérifier les ports TCP ouverts découverts par les énumérateurs de ports locaux) Description Si un énumérateur de port local (par exemple WMI ou netstat) découvre un port, Nessus vérifie aussi s'il est ouvert à distance. Ce paramètre aide à déterminer si un certain type de contrôle d'accès est utilisé (par exemple wrappers TCP, firewall). Copyright 2002-2011 Tenable Network Security, Inc. 31
Only run network port scanners if local port enumeration failed (Utiliser les scanners de port de réseau uniquement si l'énumération des ports locaux a échoué) Sinon, fiez-vous d'abord à l'énumération des ports locaux. «SMB Registry: Start the Registry Service during the scan» (Registre SMB : démarrer le service de registre pendant le scan) permet au service de faciliter quelquesunes des exigences de scan pour les ordinateurs sur lequel le registre SMB peut ne pas être exécuté en permanence. Sous le menu «SMB Scope», si l'option «Request information about the domain» (Demande d'information au sujet du domaine) est définie, les utilisateurs de domaine seront interrogés à la place des utilisateurs locaux. «SMB Use Domain SID to Enumerate Users» (SMB utilise le SID de domaine pour énumérer les utilisateurs) spécifie la plage de SID à utiliser pour effectuer une recherche inversée des noms d'utilisateur sur le domaine. Le paramètre par défaut est recommandé pour la plupart des scans. «SMB Use Host SID to Enumerate Local Users» (SMB utilise le SID d'hôte pour énumérer les utilisateurs locaux) spécifie la plage de SID à utiliser pour effectuer une recherche inversée des noms d'utilisateur locaux. Le paramètre par défaut est recommandé. «SMTP settings» spécifie les options pour les tests SMTP (Simple Mail Transport Protocol, protocole de transfert de courrier simple) qui sont effectués sur tous les périphériques du domaine scanné exécutant les services SMTP. Nessus essaie de transmettre les messages par l'intermédiaire du périphérique au «Third party domain» (Domaine tiers) spécifié. Si le message envoyé au «Third party domain» est rejeté par l'adresse spécifiée dans le champ «To address» (Adresse de destination), la tentative de spam a échoué. Si le message est accepté, le serveur SMTP a été utilisé avec succès pour transmettre du spam. Option Third party domain (Domaine tiers) Description Nessus essaiera d'envoyer un spam via chaque périphérique SMTP à l'adresse indiquée dans ce champ. Cette adresse de domaine tiers doit être hors de la plage du site scanné ou du site exécutant le scan. Sinon, le test pourrait être abandonné Copyright 2002-2011 Tenable Network Security, Inc. 32
par le serveur SMTP. From address (Adresse d'origine) To address (Adresse de destination) Les messages de test envoyés au ou aux serveurs SMTP apparaissent comme s'ils provenaient de l'adresse spécifiée dans ce champ. Nessus essaie d'envoyer les messages adressés au destinataire indiqué dans ce champ. L'adresse du postmaster est la valeur par défaut puisque c'est une adresse valide sur la plupart des serveurs de messagerie. «SNMP settings» (Paramètres SNMP) permet de configurer Nessus pour se connecter et s identifier sur le service SNMP de la cible. Pendant le scan, Nessus essaie un certain nombre de fois de deviner la chaîne de communauté et l'utilise pour les tests suivants. Jusqu'à quatre chaînes de nom de communauté séparées sont prises en charge par la stratégie de scan. Si Nessus n'est pas capable de deviner la chaîne de communauté et/ou le mot de passe, il pourrait ne pas effectuer d'audit complet du service. Option Community name (0-3) (Nom de communauté (0 à 3) UDP port (Port UDP) SNMPv3 user name (Nom d'utilisateur SNMPv3) SNMPv3 authentication password (Mot de passe Description Nom de communauté SNMP. Indique à Nessus de scanner un port différent si SNMP est exécuté sur un port autre que 161. Nom d'utilisateur pour un compte basé sur SNMPv3. Mot de passe pour le nom d'utilisateur spécifié. Copyright 2002-2011 Tenable Network Security, Inc. 33
d'authentification SNMPv3) SNMPv3 authentication algorithm (Algorithme d'authentification SNMPv3) SNMPv3 privacy password (Mot de passe du domaine privé SNMPv3) SNMPv3 privacy algorithm (Algorithme du domaine privé SNMPv3) Sélectionnez MD5 ou SHA1 selon l'algorithme pris en charge par le service distant. Mot de passe utilisé pour protéger les communications SNMP cryptées. Algorithme de cryptage à utiliser pour le trafic SNMP. «Service Detection» (Détection du service) contrôle la façon dont Nessus testera les services basés sur SSL : ports SSL connus (par exemple le port 443), tous les ports ou aucun. Les tests de capacité SSL sur tous les ports peuvent perturber l'hôte testé. «Wake-on-LAN» (WOL, éveil sur réseau local) contrôle l'hôte destinataire des Magic Packets WOL avant d'effectuer un scan et la durée d'attente (en minutes) pour que les systèmes s'initialisent. La liste des adresses MAC pour WOL est saisie en utilisant un fichier de texte téléchargé avec une adresse MAC d'hôte par ligne. Par exemple : 00:11:22:33:44:55 aa:bb:cc:dd:ee:ff [ ] «Unix Compliance Checks» (Contrôles de conformité Unix) permet aux clients du ProfessionalFeed de télécharger des fichiers d'audit Unix qui seront utilisés pour déterminer si un système testé satisfait aux normes de conformité spécifiées. Jusqu à cinq stratégies peuvent être sélectionnées à la fois. Copyright 2002-2011 Tenable Network Security, Inc. 34
«Web Application Tests Settings» (Paramètres des tests des applications Web) teste les arguments des CGI (Common Gateway Interface, interface de passerelle commune) découverts lors du processus de mise en miroir Web en essayant de passer les erreurs fréquentes de programmation CGI telles que le scriptahe intersite, l'inclusion de fichiers distants, l'exécution des commandes, les attaques de traversée ou l'injection SQL. Activez cette option en cochant la case «Enable web applications tests» (Activer les tests des applications Web). Ces tests dépendent des plugins NASL suivants : > 11139, 42424, 42479, 42426, 42427, 43160 SQL Injection (CGI abuses) > 39465, 44967 Command Execution (CGI abuses) > 39466, 47831, 42425, 46193, 49067 Cross-Site Scripting (CGI abuses: XSS) > 39467, 46195, 46194 Directory Traversal (CGI abuses) > 39468 HTTP Header Injection (CGI abuses: XSS) > 39469, 42056, 42872 File Inclusion (CGI abuses) > 42055 - Format String (CGI abuses) > 42423, 42054 - Server Side Includes (CGI abuses) > 44136 - Cookie Manipulation (CGI abuses) > 46196 - XML Injection (CGI abuses) > 40406, 48926, 48927 - Error Messages > 47830, 47832, 47834, 44134 - Additional attacks (CGI abuses) Remarque : Cette liste de plugins associés aux applications Web est mise à jour fréquemment. Des plugins supplémentaires peuvent dépendre des paramètres de cette option de préférence. Option Maximum run time (min) (Temps d'exécution maximum (min)) Send POST requests (Envoyer des demandes POST) Description Cette option gère la durée d'exécution des tests d'applications Web, en minutes. Cette option a une valeur par défaut de 60 minutes et concerne tous les ports et les CGI d'un site Internet donné. Le scan du réseau local pour les sites Internet avec de petites applications s'exécute généralement en moins d'une heure ; toutefois, les sites Internet avec de grandes applications peuvent nécessiter une valeur plus élevée. Les tests des «POST requests» (demandes POST) sont utilisés pour tester les formats améliorés du Web. Par défaut, les tests d'application Web utilisent uniquement les demandes GET, sauf si cette option est activée. En général, les applications plus complexes utilisent la méthode POST lorsqu'un utilisateur soumet des données à l'application. Ce paramètre fournit des tests plus complets mais peut augmenter considérablement la durée requise. Lorsqu'il est sélectionné, Nessus teste chaque script/variable avec les deux demandes GET et POST. Copyright 2002-2011 Tenable Network Security, Inc. 35
Combinations of arguments values (Combinaisons des valeurs d'argument) Cette option gère la combinaison des valeurs d'argument utilisées dans les demandes HTTP. Ce menu déroulant a trois options : one value (une valeur) Teste un paramètre à la fois avec une chaîne d'attaque, sans essayer les variations de «nonattaque» pour des paramètres additionnels. Par exemple, Nessus essaierait «/test.php?arg1=xss&b=1&c=1» où «b» et «c» permettent d'autres valeurs, sans tester chaque combinaison. C'est la méthode de test la plus rapide avec le plus petit ensemble de résultats produits. All pairs (slower but efficient) (Toutes les paires (plus lent mais efficace)) Ce type d'essai est légèrement plus lent mais plus efficace que le test «one value». Pendant les tests de paramètres multiples, il teste une chaîne d'attaque, des variations pour une seule variable, puis il utilise la première valeur pour toutes les autres variables. Par exemple, Nessus essaierait «/test.php?a=xss&b=1&c=1&d=1», puis il parcourrait les variables selon un cycle de sorte que l'une reçoive la chaîne d'attaque, une autre reçoive successivement toutes les valeurs possibles (découvertes lors du processus de réflexion) et les autres variables reçoivent la première valeur. Dans ce cas, Nessus ne testerait jamais pour «/test.php?a=xss&b=3&c=3&d=3» si la première valeur de chaque variable était «1». All combinations (extremely slow) (Toutes les combinaisons (extrêmement lent)) Cette méthode de test effectuera un test tout à fait complet de toutes les combinaisons possibles de chaînes d'attaque avec entrée valide de variable. Alors que les tests «All-pairs» (toutes les paires) cherchent à réduire la taille d'un ensemble de données comme compromis avec la vitesse, «all combinations» (toutes les combinaisons) ne fait pas de compromis avec la durée et utilise un ensemble complet de tests. L'exécution de cette méthode de test peut prendre beaucoup de temps. HTTP Parameter Pollution (Pollution de paramètre HTTP) Stop at first flaw (Arrêt au premier défaut) Lors de l'exécution des tests d'application Web, tente de contourner tout mécanisme de filtrage en injectant un contenu dans une variable tout en fournissant aussi à cette même variable un contenu valide. Par exemple, un test d'injection SQL normal pourrait être «/target.cgi?a='&b=2». Lorsque le paramètre HPP (HTTP Parameter Pollution) est activé, la demande pourrait être «/target.cgi?a='&a=1&b=2». Cette option détermine le moment où un nouveau défaut est ciblé. Elle s applique au niveau du script ; la recherche d'un défaut XSS ne désactive pas la recherche d'une injection SQL Copyright 2002-2011 Tenable Network Security, Inc. 36
ou d'une injection d'en-tête, mais vous recevrez au plus un rapport pour chaque type sur un port donné, sauf si «thorough tests» (tests complets) est paramétré. Plusieurs défauts du même type (par exemple XSS, SQLi, etc.) peuvent parfois être signalés s'ils ont été décelés par la même attaque. Le menu déroulant contient quatre options : ès qu'un défaut est découvert sur un CGI par un script, Nessus passe au CGI connu suivant sur le même serveur ou, s'il n'y a pas d'autre CGI, au port/serveur suivant. Il s'agit de l'option par défaut. per port (quicker) (par port (plus rapide) Dès qu'un défaut est découvert sur un serveur Web par un script, Nessus s'arrête et passe à un autre serveur Web sur un port différent. per parameter (slow) (par paramètre (lent)) Dès qu'un type de défaut est découvert dans un paramètre d'un CGI (par exemple XSS), Nessus passe au paramètre suivant du même CGI, au CGI connu suivant ou au port/serveur suivant. look for all flaws (slower) (regarder tous les défauts (plus lent)) Effectue des tests généralisé quels que soient les défauts trouvés. Cette option peut produire un rapport d'une très grande verbosité et elle est souvent déconseillée. Test Embedded web servers (Tester les serveurs Web intégrés) URL for Remote File Inclusion (URL pour l'inclusion des fichiers à distance) Les serveurs Web intégrés sont souvent statiques et ne contiennent pas de scripts CGI personnalisables. En outre, les serveurs Web intégrés peuvent être sujets à des pannes fréquentes ou peuvent ne pas répondre lorsqu'ils sont scannés. Tenable recommande de scanner les serveurs Web intégrés séparément des autres serveurs Web en utilisant cette option. Pendant les tests RFI (Remote File Inclusion), cette option spécifie un fichier sur un hôte distant à utiliser pour les tests. Par défaut, Nessus utilise un fichier sécurisé sur le serveur Web de Tenable pour les tests RFI. Si le scanner ne peut pas être connecté à Internet, l'utilisation d'un fichier hébergé en interne est recommandée pour des tests RFI plus précis. Copyright 2002-2011 Tenable Network Security, Inc. 37
«Web Mirroring» (Mise en miroir Web) règle les paramètres de configuration pour l'utilitaire de mise en miroir du contenu de serveur Web natif de Nessus. Nessus met en miroir le contenu Web pour mieux analyser ses vulnérabilités et réduire au minimum l'impact sur le serveur. Si les paramètres de mise en miroir Web sont configurés de façon à mettre en miroir un site Web complet, ceci peut entraîner la génération d'un trafic important pendant le scan. Par exemple, s'il existe 1 gigaoctet de données sur un serveur Web et si Nessus est configuré pour tout mettre en miroir, le scan produira au moins 1 gigaoctet de trafic entre le serveur et le scanner Nessus. Option Number of pages to mirror (Nombre de pages à dupliquer) Maximum depth (Profondeur maximale) Start page (Page de démarrage) Excluded items regex (regex des éléments exclus) Follow dynamic pages (Suivre les pages dynamiques) Description Nombre maximum de pages à mettre en miroir. Limite le nombre de liens que Nessus suivra pour chaque page de démarrage. L'URL de la première page qui sera testée. Si plusieurs pages sont requises, utilisez deux points pour les séparer (par exemple «/:/php4:/base»). Exclut certaines parties du site Web de l'analyse. Par exemple, pour exclure le répertoire «/manual» et tous les Perl CGI, paramétrez ce champ sur : ( ^/ manual ) ( \. pl ( \?. * )?$). Si cette option est sélectionnée, Nessus suivra les liens dynamiques et peut excéder les paramètres définis ci-dessus. «Windows Compliance Checks» (Contrôles de conformité Windows) permet aux clients du ProfessionalFeed de télécharger les fichiers d'audit de configuration Microsoft Windows qui seront utilisés pour déterminer si un système testé satisfait aux normes de conformité spécifiées. Jusqu à de cinq stratégies peuvent être sélectionnées à la fois. Copyright 2002-2011 Tenable Network Security, Inc. 38
«Windows File Contents Compliance Checks» (Contrôles de conformité du contenu de fichiers Windows) permet aux clients du ProfessionalFeed de télécharger des fichiers d'audit basés sur Windows qui recherchent un type de contenu particulier sur un système (par exemple cartes de crédit, numéro de sécurité sociale) afin d'aider à déterminer la conformité avec la réglementation de l'entreprise ou les normes tiers. Lorsque toutes les options ont été configurées de la façon souhaitée, cliquez sur «Submit» (Soumettre) pour sauvegarder la stratégie et retourner sur l'onglet Policies. Vous pouvez à tout moment cliquer sur «Edit» (Éditer) pour apporter des changements à une stratégie déjà créée, ou cliquer sur «Delete» (Supprimer) pour éliminer complètement une stratégie. IMPORTATION, EXPORTATION ET COPIE DES STRATÉGIES Le bouton «Import» de la barre de menu en haut à droite permet de télécharger vers le scanner des stratégies créées précédemment. En utilisant la boîte de dialogue «Browse» (Parcourir), sélectionnez la stratégie sur le système local et cliquez sur «Submit» (Soumettre). Le bouton «Export» de la barre de menu permet de télécharger une stratégie existante du scanner vers le système de fichiers local. La boîte de dialogue de téléchargement du navigateur permet d'ouvrir la stratégie dans un programme externe (par exemple, un éditeur de texte) ou de sauvegarder la stratégie dans le répertoire souhaité. Les mots de passe et les fichiers.audit contenus dans une stratégie ne seront pas exportés. Si vous souhaitez créer une stratégie similaire à une stratégie existante avec des modifications mineures, vous pouvez sélectionner la stratégie de base dans la liste et cliquer sur «Copy» (Copier) dans la barre de menu en haut à droite. Ceci crée une copie de la stratégie initiale qui peut être éditée pour y apporter les modifications requises. Cette opération est utile pour créer des stratégies standard avec des modifications mineures, requises dans certains environnements. CRÉATION, LANCEMENT ET PROGRAMMATION D'UN SCAN Après avoir créé une stratégie, vous pouvez créer un nouveau scan en cliquant sur l'option «Scans» dans la barre de menu du haut, puis en cliquant sur le bouton «+ Add» (Ajouter) à droite. L'écran «Add Scan» (Ajouter scan) s'affiche comme suit : Copyright 2002-2011 Tenable Network Security, Inc. 39
Cinq champs servent à saisir le scan cible : > Name (Nom) définit le nom qui sera affiché dans l'iu Nessus pour identifier le scan. > Type choisissez «Run Now» (exécuter immédiatement le scan après soumission), «Scheduled» (choisir le moment où le scan doit commencer) ou «Template» (sauvegarder comme modèle pour le scan répété). > Policy (Stratégie) sélectionnez une stratégie créée précédemment que le scan utilisera pour régler les paramètres contrôlant le comportement de scan du serveur Nessus. > Scan Targets (Cibles de scan) les cibles peuvent être saisies selon les adresses IP simples (par exemple 192.168.0.1), une plage IP (par exemple 192.168.0.1-192.168.0.255), un sous-réseau avec notation CIDR (par exemple 192.168.0.0/24) ou un hôte résolvable (par exemple www.nessus.org). > Targets File (Fichier cibles) un fichier texte avec une liste d'hôtes peut être importé en cliquant sur «Browse» (Parcourir) et en sélectionnant un fichier sur l ordinateur local. Le fichier des hôtes doit être formaté comme texte ASCII avec un hôte par ligne, sans aucun espace ou ligne supplémentaire. Le codage Unicode/UTF-8 n'est pas accepté. Exemples de format de fichier hôte : Hôtes individuels : 192.168.0.100 192.168.0.101 192.168.0.102 Plage d'hôtes : 192.168.0.100-192.168.0.102 Copyright 2002-2011 Tenable Network Security, Inc. 40
Bloc d'hôtes CIDR : 192.168.0.1/24 Serveurs virtuels : www.tenable.com[192.168.1.1] www.nessus.org[192.168.1.1] www.tenablesecurity.com[192.168.1.1] Après avoir saisi les informations sur le scan, cliquez sur «Submit» (Soumettre). Après la soumission, le scan commence immédiatement (si «Run Now» (Lancer immédiatement) a été sélectionné) avant que l'affichage ne revienne à la page générale «Scans». Une fois qu'un scan est lancé, la liste «Scans» affiche une liste de tous les scans en cours d'exécution, en pause ou sauvegardés comme modèles, ainsi que des informations de base sur les scans. Lorsque vous sélectionnez un scan spécifique dans la liste, les boutons d'action en haut à droite permettent de parcourir («Browse») les résultats du scan en cours, de mettre en pause («Pause») et de reprendre («Resume») le scan ou encore d'arrêter («Stop») et de supprimer («Delete») le scan complètement. Les utilisateurs peuvent aussi éditer («Edit») les scans sauvegardés comme modèles. Lorsqu'un scan est terminé (pour une raison quelconque), il est supprimé de la liste «Scans» et peut être examiné sur l'onglet «Reports» (Rapports). Si un scan est désigné comme «Scheduled» (Programmé), une option s'affiche pour régler l'heure de démarrage et la fréquence souhaitées : Copyright 2002-2011 Tenable Network Security, Inc. 41
À l'aide du menu déroulant «Repeats» (Répétitions), un scan peut être programmé pour être exécuté une fois, tous les jours, toutes les semaines, tous les mois ou tous les ans. Ce choix peut être affiné davantage pour que le scan commence à une date et une heure précises. Une fois le scan enregistré, Nessus le lancera à l'heure spécifiée. Les scans sont lancés en fonction de l'heure définie sur le serveur du scanner Nessus. Si un scan est sauvegardé comme modèle, il apparaît dans la liste des scans comme tel et attendra d'être lancé. Copyright 2002-2011 Tenable Network Security, Inc. 42
Les scans programmés sont disponibles pour les clients du ProfessionalFeed uniquement. RAPPORTS Avec la version Nessus 4.2, les feuilles de style de rapport ont été mieux intégrées au système des rapports. En utilisant les filtres de rapport et les fonctions d'exportation, les utilisateurs peuvent créer les rapports dynamiques de leur choix au lieu de les sélectionner à partir d'une liste spécifique. En outre, la prise en charge des feuilles de style a été améliorée de sorte que les mises à jour ou l'ajout d'une feuille de style puissent être effectués par l'alimentation des plugins. Ceci permet à Tenable de publier des feuilles de style supplémentaires sans passer par une mise à niveau ou une version majeure. Si vous cliquez sur l'onglet «Reports» (Rapports) dans la barre de menu en haut de l'interface, la liste des scans en cours d'exécution et terminés s'affiche : L'écran «Reports» (Rapports) joue le rôle de point central pour l affichage, la comparaison, le téléchargement et le téléchargement en amont des résultats du scan. Utilisez la touche «Maj» ou «Ctrl» pour sélectionner plusieurs rapports à la fois. Naviguer Pour parcourir les résultats d'un scan, sélectionnez un nom dans la liste «Reports» et cliquez sur «Browse» (Parcourir). Ceci permet d afficher les résultats en naviguant vers les hôtes, les ports, puis les vulnérabilités spécifiques. Le premier écran récapitule chaque hôte scanné et établit une liste des vulnérabilités et des ports ouverts : Copyright 2002-2011 Tenable Network Security, Inc. 43
Lorsqu un hôte est sélectionné, le rapport est divisé selon les numéros de port et affiche les informations correspondantes comme le nom du protocole et du service, ainsi qu'un résumé des vulnérabilités groupées en fonction du degré de risque. À mesure que vous parcourez les résultats du scan, l'interface utilisateur gère la liste des hôtes ainsi qu'une série de flèches cliquables permettant de naviguer rapidement vers un composant spécifique du rapport : La sélection d'un port permet d afficher tous les résultats de vulnérabilité associés au port et au service : Copyright 2002-2011 Tenable Network Security, Inc. 44
Dans l'exemple ci-dessus, vous pouvez voir que l'hôte 192.168.0.10 a 13 vulnérabilités associées au port TCP 445 (CIFS (Common Internet File System, système commun de fichiers Internet)). Le résumé des résultats montre l'id Nessus plugin, le nom de la vulnérabilité, le port, le protocole et l importance. En cliquant une fois sur un en-tête de colonne, les résultats peuvent être triés selon le contenu de la colonne. En cliquant une deuxième fois, les résultats du tri sont inversés : Si une vulnérabilité est sélectionnée dans la liste, cela affiche des détails complets sur le résultat, y compris un synopsis, une description technique, une solution, le facteur de Copyright 2002-2011 Tenable Network Security, Inc. 45
risque, la note CVSS, une sortie pertinente démontrant le résultat, des références extérieures, la date de publication de la vulnérabilité, la date de publication/modification du plugin et la disponibilité des failles : La disponibilité des failles affiche toutes les failles publiques connues de la vulnérabilité, y compris celles trouvées dans les cadres de vulnérabilité (publics ou commerciaux) tels que CANVAS, CORE ou Metasploit. L'écran des détails de vulnérabilité fournit plusieurs méthodes pour naviguer dans le rapport : > Les flèches en haut peuvent être sélectionnées pour revenir à un port, à un hôte ou à la vue d'ensemble du scan. Copyright 2002-2011 Tenable Network Security, Inc. 46
> Les boutons «List» et «Detail» permettent d alterner entre les détails de vulnérabilité et l affichage de la dernière liste (dans l'exemple ci-dessus, les vulnérabilités associées au port 445). > Les flèches grises à gauche ou à droite font défiler les autres vulnérabilités associées au port sélectionné. > La barre de boutons en bas permet d'accéder à une vulnérabilité particulière de la liste en fonction du niveau de risque. Dans l'exemple ci-dessus, les vulnérabilités à risque intermédiaire et élevé sont accentuées. Filtres des rapports Nessus offre un système polyvalent de filtres qui facilite l affichage des résultats spécifiques des rapports. Ces filtres peuvent être utilisés pour afficher les résultats en fonction de tout aspect des découvertes des vulnérabilités. Lorsque plusieurs filtres sont utilisés, des vues de rapport plus détaillées et personnalisées peuvent être créées. Pour créer un filtre, commencez par cliquer sur «Show Filters» (Afficher les filtres) à gauche de l'écran. Les filtres peuvent être créés à partir des écrans de résumé de rapport ou d'analyse détaillée au niveau de la liste d'hôtes ou de ports. Un filtre est créé en sélectionnant le champ, un argument de filtre et une valeur de filtrage : Copyright 2002-2011 Tenable Network Security, Inc. 47
Les filtres du rapport proposent de nombreux critères : Option Plugin ID (ID de plugin) Plugin Name (Nom de plugin) Vulnerability Text Host Ports Protocol Description Filtre les résultats si l ID du plugin est égal à («is equal to») ou n'est pas égal à («is not equal to») un nombre donné (par exemple 42111). Filtre les résultats si un nom de plugin contient («contains»), ne contient pas («does not contain»), commence par («starts with») ou ne commence pas par («does not start with») une chaîne donnée (par exemple «Microsoft Windows»). Filtre les résultats si la sortie du plugin contient («contains»), ne contient pas («does not contain»), commence par («starts with») ou ne commence pas par («does not start with») une chaîne donnée (par exemple «déni de service»). Filtre les résultats si l'hôte contient («contains»), ne contient pas («does not contain»), commence par («starts with»), ne commence pas par («does not start with»), est égal à («is equal to») ou n'est pas égal à («is not equal to») une chaîne donnée (par exemple 192.168). Filtre les résultats suivant qu'un port est égal à («is equal to») ou n'est pas égal à («is not equal to») un nombre donné (par exemple 443). Filtre les résultats si un protocole contient («contains»), ne contient pas («does not contain»), commence par («starts with») ou ne commence pas par («does not start with») une chaîne donnée (par exemple http). Severity Filtre les résultats selon la gravité du risque : Bas («Low ), Moyen («Medium»), Haut («High») ou Critique («Critical»). Le degré de gravité provient de la note CVSS associée, où moins de 5 correspond «Bas», moins de 7 à «Moyen», moins de 10 à «Haut» et une note CVSS de 10 est signalée comme étant «Critique». Exploits Exist (Des failles existent) Filtre basé sur le fait que la vulnérabilité a une faille publique connue. Lorsqu'un filtre est utilisé, la chaîne ou la valeur numérique peut être délimitée par une virgule pour filtrer en fonction de chaînes multiples. Par exemple, pour filtrer les résultats afin de montrer seulement les serveurs Web, vous pouvez créer un filtre «Ports», sélectionner «is equal to» et entrer «80,443,8000,8080». Ceci affichera les résultats associés à ces quatre ports. Copyright 2002-2011 Tenable Network Security, Inc. 48
Les critères de filtre ne sont pas sensibles à la casse. À mesure que les filtres sont créés, ils sont répertoriés à gauche. Pour voir les détails des filtres actifs, passez la souris sur le nom du filtre : Dès qu'un filtre est créé, les résultats du scan sont mis à jour pour refléter les nouveaux critères de filtre. Dans l'exemple ci-dessous, où un filtre est créé pour afficher seulement les résultats avec «Microsoft» dans le nom du plugin, la plupart des résultats sont éliminés. Copyright 2002-2011 Tenable Network Security, Inc. 49
Après l'application du filtre : Une fois que les résultats ont été filtrés pour fournir l'ensemble de données souhaité, vous pouvez cliquer sur «Download Report» (Télécharger rapport) pour exporter seulement les résultats filtrés. Comparer La fonction «Compare» (Comparer) est disponible pour les utilisateurs du ProfessionalFeed uniquement. Avec Nessus 4.4, vous pouvez comparer deux rapports de scan pour afficher les différences. La capacité de montrer les différences de scan permet de signaler comment un système ou un réseau donné change en fonction du temps. Ceci aide à analyser la conformité en montrant comment les vulnérabilités sont corrigées, si les systèmes sont sujets à des correctifs à mesure que de nouvelles vulnérabilités sont découvertes, ou comment deux scans peuvent ne pas cibler les mêmes hôtes. Pour comparer les rapports, commencez par sélectionner un scan sur la liste «Reports» et cliquez sur «Compare» dans la barre de menu à droite. La boîte de dialogue qui s ouvre propose une liste déroulante des autres rapports à comparer. Sélectionnez-en un et cliquez sur «Submit» : Copyright 2002-2011 Tenable Network Security, Inc. 50
Nessus compare les deux rapports et fournit une liste des résultats qui ne se trouvent pas dans les deux rapports à la fois. Ces résultats représentent les différences de scan et montrent les vulnérabilités qui ont été découvertes ou corrigées entre les deux scans. Dans l'exemple ci-dessus, «LAN Scan One» (scan 1 du réseau local) est un scan de l'ensemble du sous-réseau 192.168.0.0/24 et «LAN Scan Two» (scan 2 du réseau local) est un scan de trois hôtes sélectionnés sur le sous-réseau 192.168.0.0/24. La fonction «Compare» affiche les différences, en présentant les hôtes qui n'ont pas été scannés dans «LAN Scan Two» : Téléchargement en amont et en aval Les résultats du scan peuvent être exportés depuis un scanner et importés sur un autre scanner. Les fonctions «Upload» (Téléchargement en amont) et «Download» (Téléchargement) améliorent la gestion du scan, la comparaison des rapports, la sauvegarde des rapports et les communications entre les groupes ou les organismes d'une entreprise. Pour exporter un scan, commencez par le sélectionner dans l'écran «Reports» et cliquez sur «Download». Ceci ouvre la boîte de dialogue de téléchargement du rapport : Copyright 2002-2011 Tenable Network Security, Inc. 51
Les rapports peuvent être téléchargés dans l'un de ces quatre formats : Option.nessus.nessus (v1) Detailed HTML Report (by finding) (Rapport HTML détaillé (selon le résultat)) Detailed RTF Report (by finding) (Rapport RTF détaillé (selon le résultat)) Executive HTML export (top 10 most vulnerable hosts) (Exportation HTML exécutive (les 10 hôtes les plus vulnérables)) HTML export NBE export Description Format basé sur XML et la norme de facto dans Nessus 4.2 et versions ultérieures. Ce format utilise de nombreuses balises XML pour améliorer la granularité de l'extraction et du transfert d'information. Format basé sur XML et utilisé dans les versions Nessus 3.2 à 4.0.2, compatible avec Nessus 4.x et Security Center 3. Rapport créé à l'aide de la norme HTML, pouvant être visualisé dans n'importe quel navigateur Web, fractionné en fonction des vulnérabilités (Nessus Plugin ID). Rapport créé à l'aide de l affichage RTF (Rich Text Format). Rapport créé à l'aide du HTML standard, incluant seulement les 10 hôtes qui présentent les plus grandes vulnérabilités. Rapport créé à l'aide de la norme HTML, fractionné en fonction des hôtes. Exportation basée sur la délimitation des pipes, qui peut être utilisée pour importer vers un grand nombre de programmes externes. Copyright 2002-2011 Tenable Network Security, Inc. 52
Un fois le format.nessus ou NBE sélectionné, la boîte de dialogue du navigateur Web «Save File» s ouvre, permettant de sauvegarder les résultats du scan à l'emplacement choisi. Les rapports HTML s'affichent dans le navigateur et peuvent être enregistrés grâce à la fonction du navigateur «File -> Save». Pour importer un scan, cliquez sur le bouton «Upload» dans l'écran «Reports» : À l'aide du bouton «Browse...» (Parcourir), sélectionnez le fichier de scan.nessus que l'vous souhaitez importer et cliquez sur «Submit». Nessus analyse les informations et les met à votre disposition dans l'interface «Reports». Format de fichier.nessus Nessus utilise un format de fichier particulier (.nessus) pour l'exportation et l'importation des scans. Ce format possède les avantages suivants : > Basé sur XML pour faciliter la compatibilité en aval et en amont et la mise en place. > Autonome : un seul fichier.nessus contient la liste des cibles, les stratégies définies par l'utilisateur ainsi que les résultats des scans eux-mêmes. > Sécurisé : les mots de passe ne sont pas sauvegardés dans le fichier. À la place, une référence à un mot de passe mémorisé dans un emplacement sûr de l'hôte local est utilisée. La méthode de création d'un fichier.nessus qui contient les cibles, les stratégies et les résultats de scan consiste d'abord à créer la stratégie et à l enregistrer. Ensuite, créez la liste des adresses cibles et, pour finir, exécutez un scan. Une fois que le scan est terminé, toutes les informations peuvent être sauvegardées dans un fichier.nessus en utilisant l'option «Download» de l'onglet «Reports». Voir le document «Format de fichier Nessus» pour plus d informations sur les fichiers.nessus. Copyright 2002-2011 Tenable Network Security, Inc. 53
Suppression Une fois que vous avez fini de traiter les résultats du scan, vous pouvez sélectionner un scan dans la liste «Reports» et cliquer sur le bouton «Delete» (Supprimer). Cette opération supprime le scan de l'interface utilisateur. Cette action ne peut pas être annulée! Utilisez la fonction «Download» pour exporter les résultats du scan avant la suppression. UTILISATEURS L'onglet «Users» (Utilisateurs) ouvre une interface pour la gestion des utilisateurs du scanner Nessus. De nouveaux utilisateurs peuvent être ajoutés à l'aide du Nessus Server Manager (gestionnaire du serveur Nessus) (Mac OS X/Windows), de la commande nessusadduser (*nix) ou de l'interface utilisateur (toutes les plateformes). Pour créer un nouvel utilisateur à l'aide de l'interface utilisateur Nessus, cliquez sur «Add» (Ajouter) dans le menu en haut à droite. Cette action invite à saisir le nom d'utilisateur, le mot de passe et à indiquer si cet utilisateur doit avoir les fonctions d'administrateur du scanner Nessus : Pour éditer ou supprimer un utilisateur, sélectionnez le nom d'utilisateur de la liste «Users» (Utilisateurs) et cliquez sur «Edit» (Éditer) ou «Delete» (Supprimer) dans le menu en haut à droite, selon les besoins. AUTRES CLIENTS NESSUS En plus de l interface graphique de Nessus, Tenable offre deux autres méthodes de communication avec le serveur Nessus : l interface de ligne de commande et SecurityCenter. INTERFACE DE LIGNE DE COMMANDE L'interface de ligne de commande est disponible avec le serveur Nessus. Pour exécuter un scan à l'aide de la ligne de commande, il faut l'exécuter en mode de traitement différé en utilisant la syntaxe de commande suivante : Copyright 2002-2011 Tenable Network Security, Inc. 54
SE Linux, Solaris, Enterasys FreeBSD Mac OS X Windows Commande # /opt/nessus/bin/nessus q [-pps] <host> <port> <user> <password> <targets-file> <result-file> # /usr/local/nessus/bin/nessus q [-pps] <host> <port> <user> <password> <targets-file> <resultfile> # /Library/Nessus/run/bin/nessus q [-pps] <host> <port> <user> <password> <targets-file> <resultfile> %programfiles%\tenable\nessus\nessus q [-pps] <host> <port> <user> <password> <targets-file> <result-file> Le tableau ci-dessous explique les divers arguments utilisés pour exécuter un scan en mode différé. Argument Description -q Mode batch. Exécute le scan Nessus de façon non interactive. -p Obtient une liste des plugins installés sur le serveur. -P Obtient une liste des préférences de serveur et plugin. -S Fournit la sortie SQL pour -p et -P. <host> <port> <user> <password> <targets-file> <results-file> Hôte nessusd auquel se connecter. Port auquel se connecter sur l'hôte nessusd distant. Nom d'utilisateur avec lequel se connecter à nessusd. Mot de passe associé au nom d'utilisateur. Nom du fichier contenant les périphériques cibles à scanner. Nom du fichier dans lequel les résultats seront mémorisés à la fin du scan. Il existe d'autres options qui sont aussi disponibles lorsque vous exécutez un scan en mode batch. Elles sont expliquées dans le tableau ci-dessous. Copyright 2002-2011 Tenable Network Security, Inc. 55
Option Description -V Afficher les messages d'état du mode batch à l'écran. -x Ne pas vérifier les certificats SSL. -v Version. Affiche le numéro de la version et quitte. -h Aide. Affiche le résumé des commandes et quitte. -T <type> Sauvegarder les données en tant que <type>, où <type> peut être «nbe», «html», «nessus» ou «text». Conversion d'un rapport Vous pouvez utiliser Nessus pour effectuer une conversion entre formats de rapport. Nessus peut convertir tout rapport NBE au format HTML, texte ou.nessus. Utilisez la commande suivante pour convertir un rapport : SE Linux, Solaris, Enterasys Commande # /opt/nessus/bin/nessus i in.nbe o out.[html txt nessus] FreeBSD # /usr/local/nessus/bin/nessus i in.nbe o out.[html txt nessus] Mac OS X # /Library/Nessus/run/bin/nessus i in.nbe o out.[html txt nessus] Windows %programfiles%\tenable\nessus\nessus i in.nbe o out.[html txt nessus] L'option i spécifie le fichier NBE qui est converti. L'option o spécifie le nom et le type du fichier dans lequel le rapport sera converti (format HTML, texte ou.nessus). Les rapports contenus dans les fichiers.nessus peuvent aussi être convertis vers HTML à partir de la ligne de commande. La syntaxe pour ce faire est la suivante : Le fichier.nessus doit être sauvegardé en utilisant le format de téléchargement «nessus (v1)» pour que la conversion HTML puisse fonctionner. SE Linux, Solaris, Enterasys Commande # /opt/nessus/bin/nessus -dot-nessus in.nessus i <ReportName> o out.html Copyright 2002-2011 Tenable Network Security, Inc. 56
FreeBSD Mac OS X Windows # /usr/local/nessus/bin/nessus -dot-nessus in.nessus i <ReportName> o out.html # /Library/Nessus/run/bin/nessus -dot-nessus in.nessus i <ReportName> o out.html %programfiles%\tenable\nessus\nessus -dot-nessus in.nessus i <ReportName> -o out.html Le paramètre -dot-nessus indique que le fichier d'entrée.nessus doit être utilisé. <ReportName> est le nom du rapport tel qu'il apparaît dans le fichier d'entrée.nessus. Ligne de commande utilisant les fichiers.nessus Il existe plusieurs arguments qui peuvent être transmis pour permettre l'utilisation des fichiers.nessus comme entrée ou sortie de la ligne de commande. Ils sont expliqués en détail dans le tableau ci-dessous : Argument --dot-nessus <file> Description Lorsqu il est utilisé, il est toujours fourni comme premier paramètre transmis au binaire nessus pour indiquer qu'un fichier.nessus sera utilisé. <file> désigne l'emplacement et le nom du fichier.nessus à utiliser. --policy-name <policy> Nom d'une stratégie contenue dans le fichier.nessus désigné. Le paramètre de la stratégie est fourni lors du lancement d'un scan à partir de la ligne de commande. Le nom de la stratégie fourni doit être le nom exact de la stratégie, y compris les guillemets simples, comme affiché en utilisant le paramètre «--list-policies» (voir cidessous). --list-policies --list-reports --target-file <file> Fournit les noms de toutes les stratégies de scan contenues dans le fichier.nessus désigné. Fournit les noms de tous les rapports contenus dans le fichier.nessus désigné. Annule les cibles fournies dans le fichier.nessus désigné et utilise celles contenues dans le fichier spécifié. La commande suivante affiche une liste de tous les rapports contenus dans le fichier «scan.nessus» : Le fichier.nessus doit être sauvegardé en utilisant le format de téléchargement en aval «nessus (v1)» pour que le commutateur --list-reports puisse fonctionner. Copyright 2002-2011 Tenable Network Security, Inc. 57
SE Linux, Solaris, Enterasys FreeBSD Mac OS X Windows Commande # /opt/nessus/bin/nessus --dot-nessus scan.nessus - list-reports # /usr/local/nessus/bin/nessus -dot-nessus scan.nessus -list-reports # /Library/Nessus/run/bin/nessus -dot-nessus scan.nessus -list-reports %programfiles%\tenable\nessus\nessus -dot-nessus scan.nessus -list-reports Voici un exemple de sortie : List of reports contained in scan.nessus: - '08/03/10 11:19:55 AM - Full Safe w/ Compliance' - '08/03/10 01:01:01 PM - Full Safe w/ Compliance' - '08/03/10 01:32:10 PM - Full Safe w/ Compliance' - '08/03/10 02:13:01 PM - Full Safe w/ Compliance' - '08/03/10 02:45:00 PM - Full Safe w/ Compliance' La commande suivante affiche une liste de toutes les stratégies contenues dans le fichier «scan.nessus» : Le fichier.nessus doit être enregistré en utilisant le format de téléchargement «nessus (v1)» pour que le commutateur --list-policies puisse fonctionner. SE Linux, Solaris, Enterasys FreeBSD Mac OS X Windows Commande # /opt/nessus/bin/nessus --dot-nessus scan.nessus -- list-policies # /usr/local/nessus/bin/nessus --dot-nessus scan.nessus --list-policies # /Library/Nessus/run/bin/nessus --dot-nessus scan.nessus --list-policies %programfiles%\tenable\nessus\nessus -dot-nessus scan.nessus -list-policies Voici un exemple de la sortie de cette commande : List of policies contained in scan.nessus: - 'Full Safe w/ Compliance' Lorsque les noms de rapport ou de stratégie doivent être transmis à Nessus sous la forme de paramètres en mode de ligne de commande, le nom doit être transmis exactement tel Copyright 2002-2011 Tenable Network Security, Inc. 58
qu'affiché à partir des commandes ci-dessus, y compris les guillemets simples ('Safe w/ Compliance'). Commande de scan En supposant que la stratégie indiquée dans l'exemple ci-dessus existe, un scan peut être lancé avec les paramètres suivants : Le fichier.nessus spécifié dans le scan doit avoir le format «nessus (v1)» pour que le scan puisse être effectué. SE Linux, Solaris, Enterasys FreeBSD Mac OS X Windows Commande # /opt/nessus/bin/nessus --dot-nessus scan.nessus -- policy-name 'Full Safe w/ Compliance' <host> <port> <user> <password> <results-file> # /usr/local/nessus/bin/nessus --dot-nessus scan.nessus --policy-name 'Full Safe w/ Compliance' <host> <port> <user> <password> <results-file> # /Library/Nessus/run/bin/nessus --dot-nessus scan.nessus --policy-name 'Full Safe w/ Compliance' <host> <port> <user> <password> <results-file> %programfiles%\tenable\nessus\nessus -dot-nessus scan.nessus -policy-name Full Safe w/compliance <host> <port> <user> <password> <results-file> Dans l'exemple ci-dessus, les paramètres <host>, <port>, <user>, <password> et <results-file> sont fournis tels que documentés ci-dessus. Un <targets-file> n'est pas requis puisque les cibles contenues dans le fichier.nessus sont utilisées pour le scan. Le format du rapport qui est créé est déterminé en fonction de l'extension de fichier fournie dans la commande nessus. Dans la commande ci-dessus, si le nom fourni pour le paramètre <results-file> était «report.nbe», le rapport serait au format.nbe. Si le nom était «report.nessus», le rapport serait au format.nessus. Si aucune information n'avait été fournie pour le paramètre <results-file>, le rapport aurait été ajouté au fichier scan.nessus. SECURITYCENTER Configuration du SecurityCenter Un «Nessus Server» peut être ajouté par l'interface d'administration SecurityCenter. En utilisant cette interface, SecurityCenter peut être configuré pour accéder à pratiquement tous les scanners Nessus et les contrôler. Cliquez sur l'onglet «Resources», puis sur «Nessus Scanners». Cliquez sur «Add» (ajouter) pour ouvrir la boîte de dialogue «Add Scanner» (Ajouter un scanner). L'adresse IP du scanner Nessus, le port Nessus (1241 par défaut), l'id de connexion administrative, le type d'authentification et le mot de passe (créé lors de la configuration de Nessus) sont requis. Les champs de mot de passe ne sont pas Copyright 2002-2011 Tenable Network Security, Inc. 59
disponibles si l'authentification «SSL Certificate» (certificat SSL) est sélectionnée. En outre, les zones auxquelles le scanner Nessus sera affecté peuvent être sélectionnées. Voici un exemple de capture d'écran de la page «Add Scanner» de SecurityCenter : Une fois le scanner ajouté, la page suivante s'affiche lorsque le scanner est sélectionné : Pour plus d informations, consultez le «Guide d'administration de SecurityCenter». POUR PLUS D INFORMATIONS Tenable a créé plusieurs autres documents expliquant en détail l'installation, le déploiement, la configuration, l'utilisation et les tests d'ensemble de Nessus. Ces documents sont répertoriés ci-dessous : > Guide d'installation Nessus explication pas à pas des étapes d'installation > Contrôles d identifiants Nessus pour Unix et Windows renseignements sur la façon d'effectuer des scans de réseau authentifiés avec le scanner de vulnérabilité Nessus > Contrôles de conformité Nessus guide de haut niveau pour comprendre et exécuter les contrôles de conformité en utilisant Nessus et SecurityCenter > Référence pour les contrôles de conformité Nessus guide général de la syntaxe des contrôles de conformité Nessus > Format de fichier Nessus v2 décrit la structure pour le format de fichier.nessus qui a été introduit avec Nessus 3.2 et NessusClient 3.2 Copyright 2002-2011 Tenable Network Security, Inc. 60