DenyAll Detect Documentation technique 27/07/2015
Sommaire 1. A propos de ce document... 3 1.1 Objet... 3 1.2 Historique... 3 1.3 Contexte... 3 2. Liste des tests... 4 2.1 Découverte réseau (scan de ports)... 4 2.2 Découverte de domaine (spécifique à DenyAll VM Cloud Edition)... 4 2.3 Découverte des vulnérabilités... 4 2.4 Tests de site web... 5 2.5 Application des correctifs (patch management)... 5 2.6 Configuration des OS... 6 2.7 Partages de fichiers... 7 2.8 Bases de données... 7 2.9 Console WiFi (spécifique à DenyAll VM Portable Edition)... 7 2.10 Sécurité réseau... 8 3. Liste des outils open-source utilisés par DenyAll Detect... 8
1. A propos de ce document 1.1 Objet Les solutions Detect de DenyAll sont proposées sous 3 formes de produits : une machine virtuelle permettant d automatiser les tests et ainsi de superviser votre sécurité, une solution SaaS disponible sur notre site Internet pour tester votre sécurité externe. une clé USB bootable, embarque tout l environnement nécessaire à réaliser vos tests de sécurité, Ces 3 produits embarquent les mêmes tests techniques décrits ci-dessous. 1.2 Historique Version Date Auteur Commentaires v1.3 27/07/2015 VMA 1.3 Contexte Les logiciels DenyAll Detect v4.8 font suite aux logiciels VulnIT v4.7, précédemment développé et maintenu par la société VULNIT. La société VULNIT a rejoint le groupe DenyAll en juillet 2012. Dans le cadre de cette fusion, l ensemble de la documentation des produits VulnIT est repris aux normes et couleurs DenyAll. DenyAll Detect Doc technique 27/07/2015 3/9
2. Liste des tests 2.1 Découverte réseau (scan de ports) La première étape d acquisition consiste à détecter tous les équipements atteignables dans le périmètre d audit paramétré (acquisition des cibles) et l ensemble des services fournis par ces cibles (identification des services). Le scanner de ports utilisé est nmap. C est un scanner de type TCP SYN (half open). La profondeur des tests sélectionnée est : rapide (uniquement les 100 services les plus courants), normale (les 1000 services les plus courants), ou complète (l exhaustivité des 65535 services possibles). Un scan SNMP (UDP) est réalisé par medusa, sur une sélection de noms de communautés courants. Le service SNMP est actuellement le seul service UDP scanné. 2.2 Découverte de domaine (spécifique à DenyAll VM Cloud Edition) DenyAll Edge Tester intègre la recherche des machines appartenant au domaine (par DNS, Google, RIR et SPF). Par ailleurs, DenyAll Edge Tester découvre les vulnérabilités suivantes sur le domaine ou les machines du domaine sans tester directement l architecture : Liste des pages référencées comme vulnérables par les moteurs de recherche (Google et Bing), Domaine black-listé pour l envoi de spam (DNS-based Block List), Site web contenant des malwares (Google safe-browsing), Documents contenant des méta-données (nom d utilisateur, etc). 2.3 Découverte des vulnérabilités La phase de tests réalise des découvertes de vulnérabilités de plusieurs types (ou fonctions) : Application des correctifs et mises à jour (patch management), Développement, Contrôle d accès, Configuration, Chiffrement, sur un ensemble de technologies ciblées (ou objets) : Systèmes Windows et Unix, Sites web, Réseaux Bases de données. DenyAll Detect Doc technique 27/07/2015 4/9
Patch mgt Développement Contrôle d accès Configuration Chiffrement Windows & Unix (OS et applis) Sites web Bases de données Réseaux Ces tests sont détaillés ci-dessous. 2.4 Tests de site web Les tests de site web (Internet, Intranet, Extranet) sont précédés d une phase de découverte du site (crawling) recensant toutes les pages accessibles d un site, qu elles soient liées naturellement (liens HTML, Javascript, menus Flash) ou cachées (découverte basée sur dictionnaire). Les webservices sont également parcourus. Une fois ces pages recensées, DenyAll Detect automatise la découverte des vulnérabilités de développement suivantes : Injection SQL (à l aveugle, sur 4 technologies de bases de données sous-jacentes : Oracle, SQL Server, MySQL et PostgreSQL), Injections sur les webservices, Injection LDAP, Injection de commandes et d OS, XSS (Cross-site scripting), Inclusion de fichier (File inclusion) local (LFI) ou distant (RFI), CSRF (Cross-Site Request Forgery), Gestion de la session (Session management), Redirections non vérifiées (Unvalidated redirect), Authentification triviale (formulaire web ou sécurité http par.htaccess). L OWASP classe ces failles parmi les plus critiques et les plus couramment rencontrées sur les sites web. DenyAll Detect détecte également les erreurs de configuration pouvant entraîner les fuites d information suivantes : Fichiers temporaires (de développement ou de sauvegarde), FPD (Full Path Disclosure) indiquant l architecture du serveur web, Fonction TRACE activée sur le serveur web, Détection de la version du serveur web. 2.5 Application des correctifs (patch management) L application des correctifs est testée par OpenVAS, qui exécute une collection de modules (plugins) dédiés à la vérification de l application de chaque patch. DenyAll Detect Doc technique 27/07/2015 5/9
En septembre 2013, plus de 30.000 modules étaient intégrés dans DenyAll Detect et couvrent les types de systèmes d exploitation suivants : CentOS, Debian, Fedora, FreeBSD, Gentoo, HP-UX, MAC OS-X, Mandrake, RedHat, Solaris, Suse, Ubuntu, Windows Ainsi que les bases de données et serveurs web. Afin de ne pas affecter la disponibilité des cibles, les modules «agressifs» sont par défaut exclus sur les critères suivants : le module est explicitement décrit comme agressif, il tente des attaques en brute force, ou bien il appartient à l une des catégories dites agressives ( ACT_DENIAL, ACT_DESTRUCTIVE_ATTACK, ACT_FLOOD, ACT_KILL_HOST ou ACT_MIXED_ATTACK, telles que décrites dans la documentation NASL). Néanmoins, ces plugins peuvent être activés dans le logiciel, dans le cadre d un usage expert. 2.6 Configuration des OS Les tests de configuration Windows incluent: La vérification de la politique d authentification La présence de comptes administrateur locaux La présence du compte invité local L antivus est installé et à jour (similaire à la vision du security center ) Parefeu activé (similaire à la vision du security center ) Pour faire ces tests, Detect a besoin d accéder à distance au poste testé : Ports TCP 135 et 445 ouverts Le service «accès à distance au registre» démarré Le compte fourni a accès à la base de registre (avec UAC désactivé) Le parefeu du poste ciblé autorise le WMI (wmi-in) Les tests de configuration Unix supportent Linux, BSD, MacOS, Solaris, AIX, HP-UX, NeXT, Tru64 et UNICOS. Ils reposent sur l outil open source TIGER et suit essentiellement les guides du CIS benchmark. Plus de 250 tests sont intégrés, incluant : Comptes et groupes utilisateurs Droits sur fichiers et répertoires DenyAll Detect Doc technique 27/07/2015 6/9
PATH exportés dans les fichiers de configuration Shell Commandes à distance (.rhosts ) Configuration du compte root, droits d accès au répertoire root Alias Configuration Apache Tâches Cron Système de fichiers Services Inet Traces d intrusion classiques Misc (fichiers anormaux, umask, rootkits...) NFS, NIS+ fichiers netrc Vérification des signatures de fichiers Les tests Unix en boîte blanche récupèrent également la liste des comptes et empreintes de mots de passe pour tester leur trivialité hors ligne (en utilisant john the ripper ). Note : la plupart de ces tests ne nécessitent pas un compte root, excepté bien sûr l accès au fichier des mots de passe (shadow) pour réaliser les tests d authentification. 2.7 Partages de fichiers Des tests d authentification sont réalisés sur les partages de fichiers : Accès anonyme sur les serveurs FTP, Partages de fichier Windows (ou partages Samba sur Unix) ouverts à tous. 2.8 Bases de données Des tests d authentification (découverte de comptes triviaux) sont réalisés sur 5 technologies de bases de données : Microsoft SQL Server, Oracle, MySQL, PostgreSQL, DB2 (Unix/Windows). Des tests de configuration (politique de sécurité, etc) et de décryptage des mots de passe (en boîte blanche) sont réalisés sur : Microsoft SQL Server, Oracle, MySQL. 2.9 Console WiFi (spécifique à DenyAll VM Portable Edition) Une console wifi fournit les informations suivantes sur les points d accès wifi accessibles : SSID (nom), puissance, canal et paramètres de sécurité (ouvert, WEP, WPA). DenyAll Detect Doc technique 27/07/2015 7/9
Cette console ne permet pas de décrypter un mot de passe WEP par exemple. La console WiFi n est disponible que sur la clé USB. 2.10 Sécurité réseau Quelques tests de sécurité réseau sont réalisés : Chiffrement SSL (algorithmes null ou trop faibles, SSLv2, renégociation), Authentification SSH et Telnet (avec dictionnaire de comptes triviaux), Accès en lecture/écriture SNMP sur une liste de communautés classiques, Relai de mail ouvert (tentative d envoyer 10 mails avec usurpation d identité), Fuite d information par Microsoft RPC/SMB, Transfert de zone DNS, Protocoles non chiffrés (Telnet, Rexec/Rsh/Rlogin, FTP). 3. Liste des outils open-source utilisés par DenyAll Detect Ce chapitre décrit les outils open source utilisés pour chaque phase de Detect : Découverte réseau : o nmap (port scanner), o medusa (SNMP), o dhcping (DHCP), o DB2Discover, MSSQLDiscover et OracleDiscover pour détecter les bases de données. Découverte (parcours) web : o whatweb pour profiler les applications Tests réseau : o Test de DBMS : db2_luw, medusa o FTP : medusa o RPC : rpcclient o SMB : smbclient, smbat o SNMP : medusa, net-snmp o SSH : openssh, medusa o SSL : openssl, sslscan o Telnet : medusa o OS : john the ripper, tiger Tests web : o inclusion de fichiers : fimap o injection SQL HTTP : sqlmap o injection SQL SOAP (web service) : sqlmap DenyAll Detect Doc technique 27/07/2015 8/9
Siège social 6 avenue de la Cristallerie 92310 Sèvres - FRANCE Tel : +33 (0)1 46 20 96 00 Fax : +33 (0)1 46 20 96 02 Email : info@denyall.com www.denyall.com