Nessus Perimeter Service Guide de l'utilisateur. 24 octobre 2012 (Révision 4)

Nessus Perimeter Service Guide de l'utilisateur 24 octobre 2012 (Révision 4)

Table des matières Introduction... 3 Nessus Perimeter Service... 3 Abonnement et activation... 3 Interface de scan client... 4 Stratégies de scan... 5 Création et lancement d'un scan... 6 Examen des résultats du scan... 8 Validation PCI ASV... 10 Soumission des résultats du scan pour l'examen client PCI... 11 Interface d'examen client... 13 Examen des résultats du scan... 13 Contestation des résultats du scan... 16 Soumission d'un compte-rendu de scan pour l'examen par Tenable... 20 Formats de comptes-rendus PCI ASV... 22 Assistance... 25 Pour plus d'informations... 26 À propos de Tenable Network Security... 27 2

Introduction Ce document décrit le service Nessus Perimeter Service de Tenable Network Security. Veuillez envoyer vos commentaires et suggestions à support@tenable.com. Ce document présente le service Nessus Perimeter Service dans le cadre de son utilisation pour le scan, l'évaluation et le compte-rendu des vulnérabilités. Il présente également les processus d'abonnement et d'activation de Perimeter Service, le lancement du scan client, l'analyse des vulnérabilités et les comptes-rendus de conformité, ainsi que l'assistance pour Perimeter Service. Sa lecture requiert une compréhension de base du scanner de vulnérabilité Nessus de Tenable, des protocoles réseau, de l'analyse et de la correction des vulnérabilités, ainsi que des services «in the cloud». Ce document a été traduit à partir d'un texte écrit en anglais à l'origine. Certaines expressions sont restées en anglais afin de montrer la façon dont elles apparaissent dans le produit. Les remarques et considérations importantes sont mises en évidence avec ce symbole dans une boîte de texte grise. Les conseils, exemples et meilleures pratiques sont mis en évidence avec ce symbole dans une boîte de texte en police blanche sur fond bleu. Nessus Perimeter Service Nessus Perimeter Service est un service de scan à distance des vulnérabilités de catégorie professionnelle, qui permet de vérifier les adresses IP via Internet pour les vulnérabilités d'applications réseau et Web «à partir du cloud». Les abonnés qui se connectent aux scanners Nessus hébergés dans le centre de données sécurisé de Tenable peuvent faire appel au service Nessus Perimeter Service pour scanner n'importe quel nombre de sites tournés vers Internet couvrant une vaste gamme de périphériques (serveurs d'entreprise, ordinateurs de bureau, ordinateurs portables, iphones), à l'emplacement de leur choix et aussi souvent que nécessaire, pour un montant forfaitaire. Le portail Nessus Perimeter Service fournit un accès sécurisé aux audits des vulnérabilités détaillés et aux informations de correction hébergés sur l'infrastructure de Tenable. Le service Nessus Perimeter Service est accessible à partir de tout ordinateur doté d'un accès Internet et d'un navigateur Web standard, ainsi qu'à partir de tous les périphériques mobiles, dont Android et iphone/ipad, permettant nom seulement de piloter et de conrôler un scanner fixe ou mobile, mais aussi d'accéder aux comptes-rendus de vulnérabilité et de conformité, n'importe où et n'importe quand. Le service Nessus Perimeter Service est pris en charge par une équipe de recherche de renommée mondiale et bénéficie de la base de connaissances sur les vulnérabilités la plus complète de l'industrie ; il est donc adapté à tous les audits, même les plus complexes. Abonnement et activation Le service Nessus Perimeter Service de Tenable offre un abonnement annuel, disponible dans la boutique en ligne de Tenable. Pour en savoir plus sur la tarification, veuillez visiter la boutique en ligne de Tenable ou envoyer un email à subscriptions@tenable.com pour plus d'informations. Un package d'abonnement Nessus Perimeter Service inclut les services suivant : Scan illimité de vos IP de périmètre Audits d'application Web Possibilité de préparer les évaluations de sécurité en fonction des normes PCI actuelles 3

Jusqu'à 2 soumissions de comptes-rendus trimestriels pour la validation PCI ASV via Tenable Network Security, Inc. Accès 24 heures sur 24, 7 jours sur 7, au portail d'assistance de Tenable pour consultation de la base de connaissances Nessus et la création de tickets de supports Un compte d'utilisateur par abonnement Sur achat de l'abonnement Nessus Perimeter Service, le service de livraison des produits de Tenable (Tenable Product Delivery) notifiera le client de la disponibilité du produit par email. L'email de notification inclura également le numéro de commande du client, la date d'expiration du produit et un lien d'activation du produit. Un document d'aide pour l'activation est disponible en ligne à : http://static.tenable.com/documentation/ps_activation_help.pdf Pour tout problème au cours du processus d'activation, veuillez envoyer un email à licenses@tenable.com. Vous devez toujours indiquer votre identifiant client pour toute demande. Si vous ne possédez pas d'identifiant client, indiquez votre numéro de commande pour bénéficier de l'assistance appropriée. Interface de scan client Les clients qui s'abonnent au service Nessus Perimeter Service interagissent avec un portail Web sécurisé. Pour accéder au service, les clients doivent posséder des identifiants spécifiques pour le portail, qui leur seront fournis par Tenable Network Security à l'achat du service. La capture d'écran suivante montre la page d'accueil du portail : Écran initial de connexion au service Nessus Perimeter Service 4

Stratégies de scan Une fois connectés au service, les clients Nessus Perimeter Service peuvent sélectionner l'une des sept stratégies de scan prédéfinies : Perimeter Scan (exhaustive) [Scan de périmètre (complet)] : Cette stratégie sollicite davantage de bande passante, mais elle détecte tous les services TCP externes hébergés sur votre réseau tourné vers l'extérieur. Elle contient les paramètres par défaut qui permettent d'exécuter un scan de périmètre complet : - Un scan de port rapide de 65 536 ports TCP - Les contrôles CGI sont activés - Les contrôles des applications Web sont activés - Peu de faux positifs Perimeter Scan (fast) [Scan de périmètre (rapide)] : Cette stratégie est idéale pour effectuer le premier scan. Elle contient les paramètres par défaut qui permettent d'exécuter un scan de périmètre rapide : - Un scan de port rapide vérifiant les 8 000 ports TCP les plus courants - Les contrôles CGI sont activés - Les contrôles des applications Web sont activés - Peu de faux positifs Web App Tests (exhaustive) [Tests des applications Web (complets)] : Cette stratégie exécute un test d'application Web sur l'hôte distant. La ou les applications seront testées afin de vérifier les vulnérabilités personnalisées. Utilisez la méthode «All pairs» (Toutes les paires) pour tester les arguments, vérifiez tous les paramètres de chaque page et exécutez pour un maximum de 24 heures. Web App Tests (fast) [Tests des applications Web (rapide)] : Cette stratégie exécute un test d'application Web sur l'hôte distant. L'application sera testée afin de vérifier les vulnérabilités personnalisées. Utilisez la méthode «All pairs» (Toutes les paires) pour tester les arguments, vérifiez tous les paramètres de chaque page et exécutez pour un maximum de 2 heures. PCI-DSS ASV scan (Scan AVS): Cette stratégie peut être mise en œuvre lorsque les clients de Perimeter Service souhaitent effectuer des scans de vulnérabilités externes pour les utiliser dans une opération de validation de la conformité PCI DSS. Vous trouverez dans la suite de ce document des informations supplémentaires sur l'exécution des scans à l'aide de la stratégie PCI DSS et la validation des scans à l'aide du service PCI ASV de Tenable. PCI-DSS ASV Scan (low bandwidth) [Scan PCI-DSS ASV (faible largeur de bande)] Cette stratégie est identique à la stratégie PCI DSS ASV Scan, à l'exception du paramètre «max_hosts», qui est défini sur 2 afin de limiter la quantité de largeur de bande utilisée par les scans Nessus Perimeter Service. PCI-DSS ASV Scan (les hôtes ne répondent pas)] Cette stratégie est identique à la stratégie PCI DSS ASV Scan, à l'exception du paramètre «Ping Host», qui est désactivé pour permettre aux scans Nessus Perimeter Service de revenir à différentes options de scan plutôt que d'interrompre le scan d'un hôte qui ne répond pas à un ping distant. 5

Ces stratégies sont régulièrement révisées et mises à jour par les représentants de Tenable afin d'inclure les mises à jour des familles de plug-in et autres améliorations des paramètres. Les clients n'ont pas la possibilité de visualiser ou de modifier les paramètres prédéfinis de la stratégie PCI DSS. Plutôt que d'éditer directement les stratégies de scan prédéfinies, il est vivement recommandé de faire une copie de la stratégie de scan prédéfinie voulue et d'éditer cette copie. Si une stratégie de scan prédéfinie a été éditée directement, sa propriété passe de «admin» à l'utilisateur de Nessus Perimeter Service et il ne sera pas possible de restaurer automatiquement les paramètres d'origine. Le bouton «Import Policy» (Importer la stratégie) en haut à gauche permet de télécharger sur le scanner Perimeter Service des stratégies créées précédemment. En utilisant la boîte de dialogue «Browse» (Parcourir), sélectionnez la stratégie sur le système local et cliquez sur «Submit» (Soumettre). Création et lancement d'un scan Pour créer un scan, un client Nessus Perimeter Service accède à la section «Scans» du service et sélectionne «Add» (Ajouter). Il entre alors un nom unique pour le scan, il sélectionne la stratégie et il saisit la ou les adresses IP, la ou les plages IP ou les noms d'hôte des serveurs tournés vers l'extérieur qui seront la cible du scan. Les scans qui ont été précédemment ajoutés en tant que modèles peuvent également être édités afin de changer le nom du scan, la ou les cibles du scan et la stratégie de scan. 6

Pour lancer un scan, le client sélectionne la section «Scans», il met en surbrillance le scan configuré souhaité et sélectionne «Launch» (Lancer). Une fois lancés, les scans peuvent être mis en pause ou arrêtés au cours du processus de scan en sélectionnant les boutons «Pause» ou «Stop» dans la page «Scans» de Nessus Perimeter Service. Pour afficher les résultats obtenus à partir d'un scan en cours d'exécution, il suffit de mettre ce scan en surbrillance et de sélectionner le bouton «Browse». 7

Examen des résultats du scan À l'issue d'un scan, son état et l'heure de sa dernière mise à jour ou de sa dernière exécution apparaissent sous la section «Reports». Le client peut parcourir le scan ou télécharger le compte-rendu dans différents formats commme.nessus,.nessus (v1), le format d'exportation NBE et le format de fichier HTML. Scan terminé dans la vue de navigation 8

Compte-rendu de scan terminé sélectionné pour téléchargement Le format de téléchargement du compte-rendu HTML permet de sélectionner les types de chapitres à l'intérieur du compte-rendu. Sélectionnez «HTML» sous «Download Format» (Format de téléchargement), puis cliquez sur les chapitres à inclure dans le compte-rendu des résultats : 9

Compte-rendu des résultats HTML pour Hosts Summary (Executive) [Résumé des hôtes (Exécutif)] Les clients ne sont soumis à aucune limitation, tant pour le nombre de scans qu'ils peuvent exécuter que pour les comptes-rendus qu'ils peuvent générer au cours d'un abonnement actif au service Nessus Perimeter Service. Des informations détaillées sur les stratégies, les scans et les comptes-rendus Nessus sont disponibles dans le Guide de l'utilisateur Nessus, accessible à partir de cette page : http://www.tenable.com/products/nessus/documentation Validation PCI ASV À compter de mars 2012, Tenable Network Security, Inc. a le statut de fournisseurs de scan agréé PCI (PCI ASV) et est certifié pour valider les scans de vulnérabilité des systèmes tournés vers Internet afin de confirmer le respect de certains aspects des normes de sécurités de données (PCI DSS - PCI Data Security Standards). Le service Nessus Perimeter Service inclut une stratégie PCI DSS statique préintégrée qui respecte les exigences de scan trimestriel propres à PCI DSS v2.0. Les commerçants ou les fournisseurs peuvent recourir à cette stratégie pour effectuer l'évaluation initiale de leurs environnements en fonction des exigences PCI DSS, ainsi que pour exécuter les scans de vulnérabilités externes et générer les comptes-rendus qui peuvent être validés par les représentants Tenable Network Security qualifiés pour l'exigence de validation PCI DSS ASV. Il est important de noter que, si les clients peuvent utiliser la stratégie PCI DSS pour tester leurs systèmes tournés vers l'extérieur aussi souvent qu'ils le désirent, un scan ne sera pas considéré comme un scan PCI ASV valide tant qu'il ne sera pas soumis à Tenable pour validation. Les clients ont droit à un maximum de 2 soumissions de comptes-rendus trimestriels pour la validation PCI ASV via Tenable Network Security, Inc. Une fois connectés au service, les clients peuvent sélectionner la stratégie «PCI DSS» qui respecte les exigences de la section «ASV Scan Solution Required Components» (Solution de scan ASV - Composants requis) du Guide du programme PCI ASV v1.0 (PCI ASV Program Guide v1.0). Les clients ne peuvent modifier aucun des paramètres prédéfinis de cette stratégie. 10

Pour que le scan soit accepté comme scan PCI DSS ASV pour la validation via le service Nessus Perimeter Service, la stratégie «PCI-DSS» doit toujours être sélectionnée. Soumission des résultats du scan pour l'examen client PCI Les clients peuvent soumettre leurs résultats de scan à Tenable Network Security en vue d'une validation PCI ASV. En cliquant sur «Submit for PCI Validation» (Soumettre pour la validation PCI), les résultats du scan sont téléchargés vers une section administrative du service Nessus Perimeter Service (le service PCI Scanning Service) pour examen du client et le client est invité à se connecter à la section du service réservée aux utilisateurs afin d'examiner les résultats du scan selon une perspective PCI DSS. Lien à «Submit for PCI Validation» (Soumettre pour la validation PCI) 11

Boîte de dialogue de confirmation de soumission Boîte de dialogue de téléchargement de compte-rendu et de confirmation de connexion au service PCI Scanning Service Il est important que les clients examinent attentivement leurs résultats de scan PCI avant de soumettre leur ou leurs comptes-rendus à Tenable Network Security via le service PCI Scanning Service. Les comptes-rendus qui contiennent des résultats erronés doivent faire l'objet d'un cycle de révision complète par le service PCI Scanning Service ; or les clients Nessus Perimeter Service sont limités à deux (2) révisions complètes par trimestre. 12

Interface d'examen client Écran de connexion des clients PCI Scanning Service Lorsqu'un client se connecte à la section utilisateur de PCI Validation, le système affiche à son intention la liste des comptes-rendus qui ont été soumis en utilisant des identifiants de connexion Nessus Perimeter Service uniques. «Report Filter» (Filtre de compte-rendu) permet de filtrer les rapports par propriétaire (Owner), nom (Name) et état (Status). Examen des résultats du scan Pour passer avec succès une évaluation PCI DSS ASV, tous les éléments (à l'exception des vulnérabilités de déni de service, ou DoS) indiqués comme étant «High» (Haut) ou «Medium» (Moyen), ou doté d'une note CVSS supérieure ou égale à 4.0, doivent être corrigés ou contestés par le client, et tous les éléments contestés doivent être résolus, acceptés en tant qu'exceptions, acceptés en tant que faux positifs ou limités par l'utilisation des contrôles de compensation. Tous les éléments indiqués comme «High» ou «Medium» dans le service Nessus Perimeter Service peuvent être visualisés en détails et ils proposent systématiquement une option permettant de contester l'élément en question. Cliquer sur le nom du scan dans la liste des rapports («List of Reports») permet à l'utilisateur d'afficher la liste des hôtes et le nombre de vulnérabilités détectées sur chaque hôte, triées par ordre de gravité. 13

Cliquer sur le nombre d'éléments échoués («Failed Items») dans la liste de comptes-rendus (List of Reports) affiche la liste des éléments qui doivent être traités afin que le compte-rendu ASV correspondant soit certifié «conforme» ASV par le service PCI Scanning Service de Tenable. Les clients Nessus Perimeter Service/PCI Scanning Service doivent examiner tous les éléments échoués («Failed Items») avant de soumettre un compte-rendu de scan à Tenable Network Security. Si vous sélectionnez l'option «Failed Items» (Éléments échoués) dans la liste des comptes-rendus («List of Reports»), vous pouvez passer directement aux éléments qui peuvent influer sur votre état de conformité pour la validation PCI ASV. Cliquez sur le bouton «+» vert dans la colonne la plus à gauche pour développer une entrée et afficher des détails supplémentaires sur ses vulnérabilités. 14

Description d'un élément du compte-rendu de scan avec fonctionnalité «Dispute» Comme montré ci-dessus, un bouton «Dispute» (Contester) est affiché pour chaque élément individuel, ce qui permet au client de saisir des détails supplémentaires sur la correction de la vulnérabilité ou de contester ce qu'il pense être un faux positif généré par le scan initial. 15

Contestation des résultats du scan Lorsqu'un élément est contesté, un ticket est créé afin de permettre la sélection d'un type de modification, l'ajout de texte à la modification et toutes les autres notes que le client peut vouloir ajouter avant la soumission pour examen par Tenable Network Security. Une fois qu'un ticket a été créé pour un élément spécifique, le client peut le visualiser en sélectionnant l'élément en question puis «View Ticket» (Afficher le ticket). 16

Description d'un élément du compte-rendu de scan avec fonctionnalité «View Ticket» 17

Il est possible d'ajouter des commentaires supplémentaires en cliquant successivement sur le bouton «Edit» (Éditer), sur «Add Note» (Ajouter la note) et enfin sur «Update» (Mettre à jour) pour enregistrer la note dans le ticket. 18

Le plugin 33929, «PCI DSS Compliance», est un plugin administratif qui a un lien aux résultats d'autres plugins. Si un rapport montre qu'un hôte n'est pas conforme à PCI DSS, la résolution de tous les éléments qui ont échoué autorisera la résolution du plugin 33929 et son remplacement par le plugin 33930, «PCI DSS Compliance: Passed». En cas de contestations ou d'exceptions, si les éléments d'un rapport qui ont échoué ont été contestés avec succès ou constituent des exceptions données, une exception peut être émise pour le plugin 33929 en fonction de la mise à jour de tous les autres problèmes du rapport. 19

Soumission d'un compte-rendu de scan pour l'examen par Tenable Une fois que les tickets ont été créés pour tous les éléments de compte-rendu en attente d'examen par le client, le compte-rendu peut être envoyé à Tenable Network Security pour examen ASV. Avant de pouvoir soumettre un compte-rendu pour examen, le client doit accepter une attestation qui inclut un texte obligatoire, comme décrit dans le Guide du programme ASV. Texte d'attestation de soumission de rapport Si un client néglige de traiter un élément en attente pour un scan spécifique avant de soumettre le compte-rendu pour un examen ASV, il est invité à vérifier qu'un ticket a été créé pour chaque élément. Tout compte-rendu présentant des éléments en attente qui n'ont pas été traités par le client ne peuvent pas être soumis à Tenable Network Security pour examen. 20

Lorsqu'un compte-rendu est enfin soumis à Tenable Network Security pour examen, son état passe de «Under User Review» (En cours d'examen par l'utilisateur) à «Under Admin Review» (En cours d'examen par l'administrateur) et l'option «Submit» (Soumettre) est supprimée pour éviter la soumission d'éléments ou de comptes-rendus dupliqués. Compte-rendu soumis à l'état «Under Admin Review» La fonction «Withdraw» (Retirer) dans un ticket ouvert est uniquement disponible lorsqu'un compte-rendu a été soumis pour examen par le service PCI Scanning Service de Tenable. Utilisez la fonction «Withdraw» avec prudence ; en effet, si vous retirez un ticket, l'élément en question sera signalé comme non résolu en raison de preuves peu concluantes, et l'ensemble du compte-tenu rendu sera considéré comme non conforme. Si un représentant Tenable Network Security demande plus d'informations ou si le client requiert une autre action utilisateur pour un ticket, un indicateur apparaît dans la liste des rapports («List of Reports») du client, comme montré ci-dessous : 21

Notification «User Action Required» (Action utilisateur requise) Le ticket peut alors être modifié par l'utilisateur et renvoyé à Tenable Network Security pour nouvel examen. Formats de comptes-rendus PCI ASV Une fois que le service PCI Scanning Service a conféré l'état «compliance» (conformité) à un compte-rendu de scan, les clients peuvent visualiser les comptes-rendus aux formats «Attestation Report» (Compte-rendu d'attestation), «Executive Report» (Compte-rendu exécutif) ou «Detailed Report» (Rapport détaillé). Un Formulaire de commentaire ASV (ASV Feedback Form) est également fourni au client du service Nessus Perimeter Service. Ces options sont accessibles à partir de l'icône «Download» (Télécharger) placée à côté de chaque compte-rendu. Le compte-rendu d'attestation (Attestation Report), le compte-rendu exécutif (Executive Report) et le compte-rendu détaillé (Details Report) sont uniquement proposés en format PDF au client et ils ne peuvent pas être modifiés. 22

Exemple de compte-rendu d'attestation 23

Exemple de rapport exécutif Si un nom de compte-rendu est sélectionné dans l'interface Web, puis un nom d'hôte, la liste des éléments relatifs au compte-rendu sélectionné s'affiche. 24

Liste des éléments («List of Items») affichée dans l'interface Web Assistance Lorsque vous achetez un abonnement au service Nessus Perimeter Service de Tenable, le nom et l'adresse électronique de votre ou vos contacts techniques sont fournis à Tenable. Un compte portail d'assistance de Tenable séparé est automatiquement créé pour chaque contact technique. Les demandes d'assistance sont acceptées via le portail d'assistance de Tenable ; vous pouvez aussi envoyer un email à support@tenable.com. Les demandes par email doivent être envoyées à partir de l'une des adresses électroniques que vous avez fournies à Tenable au titre du contact technique. 25

Pour plus d'informations Accédez à la documentation Nessus à : http://www.tenable.com/products/nessus/documentation Vous trouverez plus d'informations sur le portail d'assistance de Tenable aux pages suivantes : http://www.tenable.com/expert-resources/whitepapers/tenable-network-security-support-portal http://static.tenable.com/prod_docs/subscription_agreement.pdf Pour tout problème au cours du processus d'enregistrement, veuillez envoyer un email à licenses@tenable.com. L'assistance de Nessus Perimeter Service est uniquement fournie par email. Veuillez adresser toutes les questions relatives à l'assistance à support@tenable.com en indiquant votre identifiant client et une description détaillée de votre problème. Vous pouvez également vous connecter au portail d'assistance Tenable pour générer un ticket de support. 26

À propos de Tenable Network Security Tenable Network Security, leader de la surveillance de la sécurité unifiée, est à l'origine du scanner de vulnérabilité Nessus et est le créateur de solutions de catégorie professionnelle, sans agent, pour la surveillance continue des vulnérabilités, des faiblesses de configuration, des fuites de données, de la gestion des journaux et la détection des compromis visant à assurer la sécurité des réseaux et la conformité FDCC, FISMA, SANS CSIS et PCI. Les produits primés de Tenable sont utilisés par de nombreuses organisations figurant parmi les 2 000 plus grandes entreprises internationales et par de nombreuses agences gouvernementales afin de limiter de manière proactive les risques pour les réseaux. Pour plus d'informations, veuillez consulter http://www.tenable.com/. SIÈGE INTERNATIONAL Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia, MD 21046 410.872.0555 www.tenable.com Copyright 2013. Tenable Network Security, Inc. Tous droits réservés. Tenable Network Security et Nessus sont des marques déposées de Tenable Network Security, Inc. 27