Test de Vulnérabilités et Remédiation Étude Bibliographique
Transcription
Test de Vulnérabilités et Remédiation Étude Bibliographique
DR AF T Test de Vulnérabilités et Remédiation Étude Bibliographique ROUAT Thibault 29 avril 2009 1 Table des matières 1 Définition 1.1 Test de Vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4 2 Recherche de vulnérabilité 2.1 Nessus et OpenVAS . . 2.2 LANguard . . . . . . . . 2.3 Criston . . . . . . . . . . 2.4 Retina Network Scanner 2.5 McAfee Foundstone . . . 2.6 Qualys . . . . . . . . . . 2.7 Autres SaaS . . . . . . . 2.7.1 Vulcheck . . . . . 2.7.2 Vigilante . . . . . 4 4 5 6 6 6 6 7 7 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Système d’identification 7 4 Format de description 4.1 XCCDF (The Extensible Configuration Checklist Description Format) 4.2 CPE (Common Platform Enumeration) . . . . . . . . . . . . . . . . . 4.3 OVAL (Open Vulnérability and Assessment Language) . . . . . . . . 4.4 OCIL (Open Checklist Interactive Language) . . . . . . . . . . . . . 4.5 NASL (Nessus Attack Scripting Language) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 8 8 8 9 5 Base de connaissance et norme 5.1 Les bases du MITRE . . . . . . . . . . . . . . 5.2 NVD (National Vulnerability Database) . . . . . 5.3 OSVDB (Open Source Vulnerability Database) 5.4 BID (BugTrack ID) . . . . . . . . . . . . . . . . 5.5 SANS . . . . . . . . . . . . . . . . . . . . . . 5.6 CERT (Computer Emergency Response Team) 5.7 Chez Microsoft . . . . . . . . . . . . . . . . . 5.8 Security Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 9 10 10 10 10 10 11 11 6 Mesure du risque 6.1 CERT-CC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Miscosoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 CVSS (Common Vulnerability Scoring System) . . . . . . . . . . . . . . . 11 11 12 12 7 Stocker les informations 7.1 format de sortie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 13 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Télédistribution 8.1 Services Microsoft . . . . . . . . . . . 8.2 Altiris . . . . . . . . . . . . . . . . . . 8.3 Qualys . . . . . . . . . . . . . . . . . 8.4 Criston Precision Patch Management 8.5 LANDesk Patch Manager . . . . . . . 8.6 HP Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 14 15 15 15 15 15 9 Remédiation 15 10 Reste à voir 10.1 interaction XML SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 utilisation ’boîte noire’ des outils de détection . . . . . . . . . . . . . . . . 10.3 Remédiation par Télédistribution . . . . . . . . . . . . . . . . . . . . . . . 15 15 15 16 3 1 1.1 Définition Test de Vulnérabilité C’est une composante de l’audit de sécurité. Le but est de mettre en exergue les failles d’un système sans les exploiter, contrairement au test d’intrusion. Cette opération ne doit pas mettre en danger le système d’information, bien que certains tests puissent provoquer des réactions inatendues. Il existe plusieurs procédé pour réaliser un tel test. Une méthode consiste à scanner à partir de l’extérieure pour découvrir tout ce qui peut transpirer du système. Après avoir déterminé un certain nombre de ressources interne il est d’usage de pratiquer des techniques de pseudo-fuzzing 1 . Les vulnérabilités sont ainsi établies à la manière d’un éventuel assaillant. On parle aussi de méthode boite noire. Une autre aproche consiste à pénétrer dans le système et à procéder à un relevé d’information sur le type d’architecture matériel, logiciel, sur leur configuration et à le cartographier avec précision. Cette méthode passe par l’audit de code, et le Fuzzing pour les applications dont les sources ne sont pas disponibles. Cette pratique est habituelement nomée méthode boite blanche. La méthode boite grise consiste à utiliser, au moins en partie, les deux techniques pré-cités lors d’un test. En règle général il s’agit de combiner le test en boite noir à un relevé de configuration non exhaustif et sans audit de code. 2 2.1 Recherche de vulnérabilité Nessus et OpenVAS Scanne les vulnérabilités répertoriés dans ses bases de données. Un grand nom-bre de plugin permettent d’avoir des tests relativement complet sur toutes sortes d’applications tel Apache, mySQL et sur les protocoles tel que SSH, DNS. Un mode ”safe” permet de lancer les tests en mode non intrusifs, de manière à éluder ceux dont les conséquences pourraient être dramatique pour le système (DoS). Ce programme fonctionne sur de nombreuse plateformes comme Linux 2 , Windows 3 et Mac OS X. Il existe deux instances du programme : un client et un serveur. C’est le serveur qui effectue les tests de vulnérabilités. Le client peut-être situé sur une autre machine et peut demander au serveur d’effectuer un test de vulnérabilité sur une ou plusieurs machines. 1. Technique employée pour tester les logiciels. Elle consiste à injecter des valeurs plus ou moins aléatoires en entrée d’un programme. Ici les valeurs ne sont pas aléatoires mais intelligemment formées dans le but de provoquer un comportement anormal. 2. Debian, Red Hat, Fedora, SuSE, Ubuntu 3. 2000, XP, 2003 server, 2008 server, Vista 4 Nessus permet de réaliser un relevé d’informations directement sur la machine. Le logiciel peut utiliser un accès ssh, telnet, rsh ou rexec pour auditer la configuration du système, qu’il soit de type UNIX ou Windows. Dans le cas d’un système Windows le programme est capable d’auditer la base de registre, et dans le cas d’un système Linux, de déterminer quel système de paquet est utilisé pour lister la configuration du système et auditer les fichiers de configuration [22]. À la fin du scanne, nessus donne un descritpif détaillé des vulnérabilités, qui inclu le numéro CVE 4 et l’indice de gravité CVSS 5 . Ce rapport est exportable aux formats HTML, NBE, NSR et nessus. En fin de descriptif, Nessus propose un moyen d’y palier. L’initiative est cependant laissée à l’utilisateur. Différents modes de décision permettent d’affiner la grannularitée des alertes. Si le mode paranoïa est activé, toute suspicion de vulnérabilité est considéré comme vrai. Suivant la granularitée sélectionnée, il y aura plus ou moins de faux positifs et/ou négatifs. Nessus est sous licence GPL jusqu’à la version 2, puis migre vers une licence propriétaire à partir de la version [13]. Un projet dérivé (fork) de la version 2.2 voie alors le jours : openVAS. L’équipe OpenVAS a étendu la gamme des tests de vulnérabilités aux bases de signalement CVE, et incorpore petit à petit le format OVAL 6 , en plus du format natif de Nessus. Ce format est utilisé pour publier les vulnérabilités. Une vulnérabilité publiée par un tier sera donc imédiatement prise en compte dans OpenVAS sans réécriture préalable au format NASL 7 [25]. Dans sa version 4 Nessus permet de personalisant directement les rapports exportés en fonction de transformations XSLT (Extensible Stylesheet Language Transformations) [23]. 2.2 LANguard Outils de détection, d’évaluation et de correction de vulnérabilités ”Avec un effort d’administration minimal”. Il dresse un plan de la configuration du réseau et aide à maintenir sa sécurité. L’outil est composé de trois briques logiciels : Vulnérability management, Patch Management et Networking Auditing [10]. La première brique est un scanner de vulnérabilité dont la base est régulièrement mise à jour à partir d’information provenant de BugTraq, SANS4 Corporation, OVAL5 , CVE et d’autres. Cet outil est capable, à l’image de Nessus, de détecter et scanner des environnements virtuels. La seconde brique permet de déployer et de superviser un plan d’action (Patch) en vu de corriger les vulnérabilités détectées sur des systèmes microsoft. Il permet de déployer 4. 5. 6. 7. Base de conaissance, cf. page 9. Common Vulnerability Scoring System Cf. page 12 Format standard de description de vulnérabilité. Cf. page 8. Format Nessus de description de vulnérabilité. Cf. page 9. 5 automatiquement les Patchs ou services pack Microsoft oubliés : les postes nomades sont détectés et mis à jour dès leur connexion. La dernière brique permet d’acquérir une image du matériel physique en présence sur le réseau et d’avoir un aperçu rapide des changements matériels survenus depuis le dernier scanne. L’outil permet d’alerter et de rapporter les installations non autorisés et, à contrario, les désinstallations, effectués sur les machines du réseau. Il est capable, après un scanne, de désinstaller des applications non conformes à la politique de sécuritée. La dernière version introduit un indicateur graphique de niveau de risque. Le scanne comparable à Nessus avec possibilité de connexion ssh avec droit admin ou droit courant, mode boite noire/grise/blanche et possibilité de vérifier la soliditée des mots de passe. Cet outil génère beaucoup de faux positifs et ne permet pas de relever les vulnérabilités des applications locales tierces [11]. 2.3 Criston Cette entreprise propose un outil de détection et de remédiation de vulnérabilités à partir des standard CVE et CVSS. Leur scanner détecte les correctifs non appliqués, les erreurs de configuration du réseau, la mauvaise soliditée des mots de passe, le chiffrement faible, les backdoors et chevaux de troie, les port ouverts sans intérêt, les Déni de service, les services actifs et les configurations mals appropriés. Les rapports techniques sont centralisés, détaillés et personalisables, à partir de scanners déployés sur tout le réseau [6]. 2.4 Retina Network Scanner R . Ce logicial appartient à la société eEye Digital Security 2.5 McAfee Foundstone Foundstone est une société de conseil reconnue essentiellement pour ses compétences en conseils et aussi pour sa solution de gestion de vulnérabilités Foundscan [2]. 2.6 Qualys Qualys est une société qui propose ses logiciels sous fome de SaaS 8 . Elle se base sur des logiciels propriétaires de leur conceptionn et sont partenaire de SecurityFocus.com (base CVE) et d’Apple pour auditer les évolutions de Mac OS X. Elle utilise également les standard CVSS et OVAL pour établir ses tests [21]. Cette entreprise bénéficie d’une bonne réputation auprès du consultant Gartner, Inc [12]. 8. Software as a Service 6 Qualys propose une solution hébergé pour auditer les sytème d’information vu du WAN (boîte noire) et une solution sous forme de boîtier pour le LAN (boîte grise). Il peut détecter que les ports d’un pare-feux sont ouvert alors que non utilisés, ou que Apache ne bénéficie pas des dernières mise à jour [16]. Les rapports sont exportablent au format HTML, MHT, PDF, CSV et XML. 2.7 2.7.1 Autres SaaS Vulcheck Sociétée Française basé à Couzon-au-mont-d’or à côté de Lion. Elle travail avec des partenaires comme Qualys, BSDsys, Reseti, Attrait 9 . La société propose des scanne Intranet/Internet basés sur la solution Qualys. 2.7.2 Vigilante Combine Nessus, CyberCOP ASAP (McAfee). Audite la configuration des pare-feux. 3 Système d’identification Les vulnérabilités sont identifiés de manière unique suivant plusieurs systèmes de numérotation tels que CVE, CWE ou BID. Ces numéro d’identification sont généralement associés aux bases de vulnérabilités correspondantes. Une même vulnérabilité peut avoir une entrée dans plusieurs bases. Des dictionnaires de vulnérabilités comme Security Database permettent de rassembler les différentes occurrence d’une même vulnérabilité sur une seul page. 4 4.1 Format de description XCCDF (The Extensible Configuration Checklist Description Format) XCCDF 10 est un standard ouvert basé sur XML [26]. L’intention de XCCDF est de fournir une base uniforme pour la rédaction de liste de contrôle de sécurité, de repères, et d’autres directives de configuration, et donc de favoriser une application plus large des bonnes pratiques en matière de sécurité. Ce format est développé et maintenu par le 9. http://www.test-vulnerabilite.fr/index.php?page=presentation 10. http://nvd.nist.gov/xccdf.cfm 7 NIST, la NSA, le MITRE et l’US DHS 11 . Il permet d’aller au delà de l’absence de vulnérabilité, en validant une configuration en adéquation avec des pratiques respectueuses des règles de sécurité. 4.2 CPE (Common Platform Enumeration) CPE 12 est un système de nommage mis au point par le MITRE de façon à désigner sans ambiguïté des composants informatique, qu’il soit matériel ou logiciel. L’intérêt est de pouvoir faciliter l’interopérabilité des systèmes manipulant ce genres de données, comme les systèmes de gestion de vulnérabilités. Par exemple, un serveur ’Apache version 2.0.52’ fonctionnant sur une plate-forme ’RedHat Linux Application Server 3’ est représenté pas le nom CPE : cpe://redhat:enterprise_linux:3:as/apache:httpd:2.0.52 4.3 OVAL (Open Vulnérability and Assessment Language) OVAL est un langage de description de vulnérabilité développé par le MITRE. Il permet de décrire les conditions requises pour qu’une vulnérabilité soit présente. Ce langage est basé sur celui utilisé pour les requêtes SQL. Il permet de décrire la présence d’une faille pour les systèmes Windows NT, Windows 2000 et Solaris 7 et 8. Un support pour Linux RedHat est en cour de déploiement [19]. Le projet du MITRE est de concevoir, à terme, pour chaque vulnérabilités de leur base CVE, une ou plusieurs règles OVAL afin d’attester la présence, ou l’absence, de celle-ci. Le MITRE espère que des outils compatible OVAL verrons prochainement le jour afin de vérifier la vulnérabilité des plates-formes [5]. Le projet OpenVAS a d’ores et déjà commencé à intégrer ce langage dans son fonctionnement [25]. 4.4 OCIL (Open Checklist Interactive Language) OCIL 13 définit un cadre pour l’expression d’un ensemble de questions qui seront présentées à un utilisateur, et les procédures d’interprétation des réponses à ces questions dans le but de réaliser des séries de contrôle de sécurité [4]. OCIL permet une approche normalisée pour exprimer et évaluer des contrôls de sécurités manuels. Ce langage est prévu afin d’aider à traiter les cas où les langages tel qu’OVAL ne peuvent automatiser le contrôle. La liste suivante définit les fonctionnalités supportées par OCIL : – Possibilité de définir des questions (booléen, Choix, numérique ou textuel) 11. ”Departement of Homeland Security”, créé suite aux attentats de septembre 2001. 12. http://cpe.mitre.org/ 13. http://nvd.nist.gov/ocil.cfm 8 – Possibilité de définir des question à choix multiples – Possibilité de définir les mesures à prendre en fonction d’une réponse de l’utilisateur – Capacité à énumérer l’ensemble de résultats 4.5 NASL (Nessus Attack Scripting Language) C’est le format qu’utilise Nessus et son dérivé OpenVAS pour écrire des plugins spécifiques à une vulnérabilité. Ce langage est interprêtés par un parser Bison 14 , avec une syntaxe fortement inspirée du langage C. Le descriptif complet de la grammaire algébrique se trouve dans la documentation de référence NASL2 [3], la version 3 n’apportant que des changements mineurs [9]. 5 5.1 Base de connaissance et norme Les bases du MITRE CVE, CCE, CME et CWE sont des bases maintenus par l’organisme d’intérêt publique MITRE à but non lucratif, qui est soutenu par le Département de la Sécurité Intérieure des États-Unis d’Amérique. Elles sont ouvertes au publique. CVE 15 (Common Vulnerabilities and Exposures) référence les vulnérabilités logiciels et les identifient par un numéro unique de la forme CVE-AAAA-NNNN ou AAAA est l’année de publication et NNNN un numéro incrémenté. La fiche contient une brève description de la vulnérabilité avec quelques liens pointant sur de plus amples informations. C’est la plus ancienne initiative (1999) pour standardiser le nomage des vulnérabilités. CME (Common Malware Enumeration) est calquée sur le même principe que CVE mais pour les logiciels malveillant tel que les virus, vers et autres chevaux de Troie. Actuelement cette base n’est pas exhaustive. Elle ne référence pour l’heure que les logiciels malveillant les plus célèbres. CCE (Common configuration Enumaration) référence les vulnérabilités de configurations. Ces vulnérabilités sont disponibles au format Excel sur le site cce.mitre.org 16 . CWE (Common Weakness Enumeration) est un dictionnaire de vulnérabilités des bases CVE et CCE maintenu par le MITRE [7]. Son but est de référencer toutes les failles possible dans un logiciel. Il est actuelement organisé sous forme d’arbre. On y trouve des types de faiblesses tels que le ”buffer overflow”, le ”format strings”, le ”contrôle insuffisant des données”, la ”fuite d’information”, etc. 14. http://www.gnu.org/software/bison/ 15. http://cve.mitre.org/data/downloads/ 16. http://cce.mitre.org/lists/cce_list.html 9 5.2 NVD (National Vulnerability Database) NVD est une base de connaissance 17 hébergé par le NIST 18 qui systématise l’utilisation de standard comme CVE, CVSS et OVAL. Un mode avancé permet d’affiner la recherche. Il est ainsi possible de se tenir informé des problèmes de sécurités sur un matériel précis. Les résultat sont détaillés avec la date de parution et fournissent l’indice de gravité CVSS. Il est possible d’afficher des lien vers les CERT-US ainsi que vers une description OVAL, disponible en téléchargement au format XML sur le site OVAL du MITRE. 5.3 OSVDB (Open Source Vulnerability Database) OSVDB est une base de données de vulnérabilités indépendante créé par et pour la communauté open source. Cette base répertorie toute sorte de vulnérabilités, que ce soit sur du matériel libre ou non. La base donne des références vers l’identifiant CVE et les bulletins de sécurités Microsoft, Secunia 19 , IBM, NVD, etc. 5.4 BID (BugTrack ID) Le BID est le numéro unique d’identification attribué aux vulnérabilités présentes dans la liste de diffusion BugTrack, créé le 5 Novembre 1993 par Scott Chasin. Cette liste as été modéré par Elias Levy aussi appelé ”Aleph One”, le père de l’article mythique ”Smashing the stack for fun and profit” 20 . Elle appartient à la société Security Focus 21 , filiale de Symantec depuis 2002. 5.5 SANS SANS 22 , est une base qui recense les vulnérabilités (avec descriptif et liens) ainsi que les Patchs appropriés. Les vulnérabilités sont recensés suivant leur numéro CVE. 5.6 CERT (Computer Emergency Response Team) Organisme officiel chargé d’assurer un service de prévention des risques et d’assistance au traitement d’incident. Destinés aux entreprises et aux administrations, leur 17. http://nvd.nist.gov/ 18. ”National Institute of Standards and Technology” of United States. 19. Société de sécurité Danoise http://secunia.com/. 20. Publié en 1996 dans le magazine underground Phrack. Article qui reste aujourd’hui encore la référence en matière d’exploit de vulnérabilités de type dépassement de capacité ou ’buffer overflow’. http://www.phrack.com/issues.html?issue=49&id=14 21. http://www.securityfocus.com 22. http://www.sans.org/top20 10 information sont généralement publique. On peut citer en France le CERTA, dédié à l’administration, le CERT-IST pour les secteurs de l’industrie des Services et du Tertiaire, le CERT-RENATER (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). 5.7 Chez Microsoft Microsoft travaille avec ses partenaires pour résoudre des problèmes de vulnérabilités liés à ses produits dans le cadre des programmes MSRA (Microsoft Security Response Alliance) et MAPP (Microsoft Active Protections Program). Les vulnérabilités découvertes ne sont divulgués qu’à ses partenaires. Une communication publique est faite une fois la faille corrigée [17]. 5.8 Security Database Security Database 23 une banque de donnée complète qui répertorie les vulnérabilités par gravité suivant l’indice CVSS. Elles sont classés suivant différent identifiant : CVE, Microsoft, Debian, Mandriva, Red Hat, VU-CERT, Sun, Cisco, Ubuntu, Gentoo. Les vulnérabilités sont décrites au format OVAL et/ou CPE. 6 6.1 Mesure du risque CERT-CC Le CERT-US attribut une note aux vulnérabilités comprise entre zéro et cent quatrevingts. Ce nombre est calculé suivant différents facteurs, comme : – L’information sur la vulnérabilité est-elle largement répandue ? – Cette vulnérabilité est-elle exploitée ? – La vulnérabilité met-elle en cause des infrastructures Internet ? – Combien de systèmes sont en causes ? – Quel est l’impact sur les infrastructures ? – Quelle est la difficulté de l’exploit ? – Quelles sont les pré-conditions requises pour mettre en œuvre l’exploit ? Les réponses sont approximatives, les valeurs peuvent donc varier significativement d’un site à l’autre. Le CERT-US conseil de ne pas utiliser cette mesure dans le but d’établir une hiérarchie entre les vulnérabilités, mais plutôt dans l’optique d’avoir un ordre d’idée, afin d’isoler plus facilement les vulnérabilités sensibles du reste de la masse [24]. 23. http://www.security-database.com 11 6.2 Miscosoft le MSRC (Microsoft Security Response Center) émet des bulletins d’alerte qui incluent une évaluation rpopriétaire du risque[18] sur quatre niveaux : – Low (bas) : Une vulnérabilitée dont l’exploitation est extrêmement difficile, ou dont l’impact est minimal. – Moderate (modéré) : L’exploitation à un degré significatif est mitigée pour des raisons comme la configuration par défaut, l’audit, ou la difficulté d’exploitation. – Important : L’exploitation peut compromettre la confidentialitée, l’intégritée ou la validitée des données utilisateurs, l’intégritée ou la validitée des ressources exploités. – Critical (critique) : L’exploitation peut authoriser la propagation d’un vers d’Internet sans action de l’utilisateur. 6.3 CVSS (Common Vulnerability Scoring System) Le standard CVSS as été conçu par des professionnels de l’informatique tel que CISCO, ISS, MITRE, Microsoft et Symantec. C’est un système de mesure libre, permettant d’évaluer le niveau de gravité d’une faille par un score calculé sur la base d’un vecteur. La valeur du score est comprise entre 1 (faible) et 10 (élevé) en fonction de trois paramètres différents [1]. L’objectif est d’avoir une norme commune entre les constructeurs qui permette d’appliquer les correctifs en fonction de l’urgence de la vulnérabilité. Cette urgence n’est pas simplement calculée sur la dificulté technique de la mise en œuvre d’un exploit, mais aussi sur des critères comme le temps et l’environnement. Cette initiative est hébergée par le FISRT 24 . 1. Le critère de base : – La vulnérabilité est-elle exploitable à distance ou en locale ? – Quel est la complexité d’exploitation de la vulnérabilité ? – Faut-il s’authentifier pour l’exploiter ? – Expose-t-elle des données confidentiels ? – Peut-elle engendrer des dommages pour le système ? – A-t-elle une influence sur la validité du système ? 2. Le critère temporel : – Quel est le temps nécessaire pour exploiter la vulnérabilité ? – Combien de temps faut-il pour y remédier ? – Quel est le niveau de certitude de sa présence ? 3. Le critère environnemental : – Impact sur le reste du système (dommages collatéraux). – Nombre de systèmes touchés directement ou indirectement. 24. http://www.first.org/cvss/ 12 Les mesures de bases et temporels sont généralement évalués par un bulletin d’analyse de vulnérabilités, un prestataire de service en sécurité ou le vendeur du logiciel, puisqu’ils sont les mieux à même de déterminer ses caractéristiques. La mesure environnemental est par contre définie par l’utilisateur, car le plus apte à déterminer son impact sur les éléments de son propre système [15]. Comme le montre le schéma ci-dessus, les deux dernières options sont facultatives. Suivant le type de vulnérabilités, si le facteur temporel est requis, l’équation temporel combine le score de base afin de produire un score temporel entre 0 et 10. De même si le facteur environnemental est requis, l’équation environnemental combine le résultat du score temporel pour produire son propre score. Depuis la version deux, la notion de sensibilité stratégique d’une cible est prise en compte dans la mesure environnemental [15]. 7 7.1 Stocker les informations format de sortie Les outils de détection de vulnérabilités permettent d’exporter les rapports sous diverses formes, tel que HTML, PDF ou encore XML. Le format XML a l’avantage d’être plus facilement exploitable. Plusieurs ouvrages s’étendent d’ailleurs sur le sujet en approfondissant l’exploitation de tels documents afin d’en exporter les informations vers des bases de données relationnels. Il est très intéressant d’avoir un accès à de tels bases de vulnérabilités dans une entreprise. En effet, cette base de connaissance permet d’avoir un historique de l’état des vulnérabilités à un instant t. Même si des faux positifs peuvent s’y glisser, l’utilité d’une telle base dans le cadre d’une corrélation avec des systèmes de détection d’intrusion est indéniable. 13 8 8.1 Télédistribution Services Microsoft SMS 25 (System Management Server) est un logiciel d’administration de parc informatique, d’inventaire et de gestion des applications et de mises à jour de sécurité. Actuellement en version 2003, un Service Pack 3 sera très prochainement disponible. La nouvelle mouture de SMS est intitulée System Center Configuration Manager 26 (SCCM ou encore SMS v4) [14]. La partie mise à jour a été revue en profondeur avec la gestion des mises à jour Microsoft et non Microsoft. La fonction DCM dans Configuration Manager 2007 permet d’accéder à des rapports de conformité. Il est ainsi possible de vérifier que les ordinateurs exécutent le bon système d’exploitation, sous la bonne configuration, ou encore vérifier la présence de logiciels, vérifier les options de certaines applications, mais aussi vérifier les paramètres de sécurité. La conformité est établie à l’aide d’une ligne de base qui contient les valeurs acceptables pour les paramètres observés. Il est possible de personnaliser ces lignes de base ou bien d’utiliser celles disponibles sur Internet, notamment sur le site Web de Microsoft, ce qui peut servir de point de comparaison. Le système se déploie sous forme d’arbre avec un site principal, qui contient les bases de données, et des sites secondaires, qui peuvent eux-mêmes contenir d’autres sites secondaires, qui font remontés les informations jusque la base. Les limites des sites peuvent être définis pour suivre une règle IP, des préfixes IPv6 ou un domaine Active Directory. Ce système est en mesure de reconnaître des ressources comme des concentrateurs, routeurs, ordinateurs, utilisateurs, groupes... Il est nécessaire d’installer sur les postes clients du serveur SCCM un CMC (Configuration Manager Client), qu’ils soient des postes client, serveur ou encore PDA et smartphone, pour peut que ceux-ci utilisent Windows Mobile. Le système émet des rapports de conformités qui sont remontés chiffrés vers le serveur et stockés 90 jours. Il est possible d’inclure une gestion des OS client et serveur non Microsoft. Le système NAP (Network Access Protection) permet de restreindre l’accès du réseau aux machines dont les mises à jours seraient insuffisantes. Ces machines sont ainsi obligés de procéder à la mise à jour pour pouvoir bénéficier des services réseaux. Deux mode d’authentification entre les clients et le serveur peuvent êtres utilisés. Le mode Natif demande l’installation d’une PKI, et le mode mixte permet l’utilisation de Kerbéros version 5 avec un compte d’authentification pour le serveur. Les communications intersites sont nécessairement signés, sans possibilités de passer outre. Il est possible de déployer une architecture à base de serveur WSU 3.0 (Windows Update Scan) afin de synchroniser les mises à jour depuis Windows Update et pour scanner 25. http://www.microsoft.com/SMServer/default.mspx 26. http://www.microsoft.com/france/systemcenter/sccm/default.mspx 14 les ordinateurs clients. 8.2 Altiris Fondée en 1998, Altiris 27 est une filiale de Symantec depuis le 6 avril 2007. Elle est classée ”leader” du Magic Quadrant de Gartner dans la catégorie ”PC Lifecycle Configuration Management” en 2006. L’entreprise propose plusieurs outils dont le ”Client Managememt Suite” (CMS). Cet outil permet de déployer, gérer et dépanner des ordinateurs où qu’ils soient [20]. Il permet d’automatiser un certain nombre de tâches comme le déploiement de système d’exploitation, le configuration et la migration ”personnalité” des postes, le déploiement logiciel en assurant la compatibilité sur les plateformes et OS. Une brique SVS (Atliris Software Virtualization) permet de virtualiser les application pour éviter les conflits d’une part, et afin de pouvoir facilement réinitialiser une application sans impliquer de profond changement sur le système. [8] 8.3 Qualys 8.4 Criston Precision Patch Management 8.5 LANDesk Patch Manager 8.6 HP Systems Systems Insight Manager avec module Vulnerability and Patch Management (ex-Radia). 9 Remédiation 10 Reste à voir 10.1 interaction XML SQL 10.2 utilisation ’boîte noire’ des outils de détection Il est conseillé d’utiliser deux outils parmis les leader du marché afin d’avoir deux rapports complémentaires qui confirment ou infirment les vulnérabilités. Les faux positifs devraient cependant être humainement détectés afin d’éviter la multiplication de faux négatifs. 27. http://www.altiris.fr 15 Attention, une telle méthode ne sera jamais exhaustive. Ce ne sera toujours qu’un outil, qui ne dispensera ni de la vigilance des utilisateurs ni de l’œil avisé d’un auditeur externe. 10.3 Remédiation par Télédistribution 16 Références [1] Cvss. wikipedia, Mai 2009. URL http://en.wikipedia.org/wiki/CVSS. [2] acz. Le nouveau visage de mcafee. securityvibes.com, Octobre 2004. URL http: //fr.securityvibes.com/mcafee-article-350.html. [3] Michel Arboi. The nasl2 reference manual (rev 1.65). Avril 2005. [4] Maria Casipe and Charles Schmidt. The open checklist interactive language (ocil). MITRE Technical Report, Novembre 2008. [5] CERT-IST. Présentation du langage oval. URL http://www.cert-ist.com/fra/ ressources/Publications_ArticlesBulletins/Veilletechnologique/OVAL/. [6] Criston. Vulnérabilités : Audit et remédiation. Mai 2009. URL http://www.criston.com/fr/produits-et-solutions/solutions/ vulnerabilites-audit-et-remediation.html. [7] cwe.mitre.org. Cwe common weakness enumaration. 04 2009. URL http://cwe. mitre.org/. [8] Julie de Meslon. Altiris passe de la gestion de parc gestion de patchs. 01Net, 2008. URL http://www.01net.com/editorial/284974/administration/ altiris-passe-de-la-gestion-de-parc-a-la-gestion-de-patchs. [9] Renaud Deraison. Nasl 3.0 documentation. Décembre 2005. URL http://mail. nessus.org/pipermail/nessus/2005-December/msg00123.html. [10] GFI. Networking and security, gfilanguard. URL http://www.gfi.com/lannetscan. [11] JA-PSI. Test de gfi languard nss version 8. www.securinfos.info. URL http://www. securinfos.info/GFI_Languard_Network_Security_Scanner.php. [12] Kelly M. Kavanagh, Mark Nicolett, and John Pescatore. Marketscope for vulnerability assessment. Gartner RAS Core Research Note G00156038, Mai 2008. URL http: //mediaproducts.gartner.com/reprints/qualys/156038.html. [13] Federico Kereki. Security scans with openvas. Octobre 2008. URL http://linux. com/feature/149492. [14] Thomas Liautard. System center configuration manager 2007. iTPro.fr, Septembre 2008. URL http://windowsitpro.itpro.fr/Dossiers-par-Theme/2008/9/4/ 050503309-System-Center-Configuration-Manager-2007---.htm. 17 [15] Peter Mell, Karen Scarfone, and Sasha Romanosky. A complete guide to the common vulnerability scoring system version 2.0. Juin 2007. URL http://www.first. org/cvss/cvss-guide.html. [16] Thibault Michel. Qualys standardise ses analyses. 01Net, Janvier 2006. URL http: //www.01net.com/article/303812.html. [17] Microsoft. Microsoft active protections program. URL http://www.microsoft.com/ security/msrc/mapp/overview.mspx. [18] Microsoft. Microsoft security response center security bulletin severity rating system. Miscrosoft TechNet, Novembre 2002. URL http://www.microsoft.com/technet/ security/bulletin/rating.mspx. [19] oval.mitre.org. About the oval language. Février 2009. URL http://oval.mitre. org/language/about/index.html. [20] ozitem. Outils - altris client management suite. Avril 2009. URL http://www. ozitem.com/altris-client-management-suite-g0-outils-n0-15.html. [21] Inc. Qualys. URL http://www.qualys.com. [22] Inc. Tenable Network Security. Nessus 3.2 advanded user guide (rv10). Août 2008. [23] Inc. Tenable Network Security. Nessusclient 4 user guide (rv3). Avril 2009. URL http://www.nessus.org/documentation/NessusClient_4.0_User_Guide.pdf. [24] United States Computer Emergency Readiness Team (US-CERT). Us-cert vulnerability note field descriptions. 2006. URL http://www.kb.cert.org/vuls/html/ fieldhelp. [25] Jan-Oliver Wagner, Michael Wiegand, Tim Brown, and Carsten Koch Mauthe. Openvas compendium v1.0.1. Janvier 2009. [26] Neal Ziring and Stephen D. Quinn. Specification for the extensible configuration checklist description format(xccdf) version 1.1.4. NIST Interagency Report 7275 Revision 3, Janvier 2008. 18