Guide rapide GFI LANguard

Transcription

Guide rapide GFI LANguard
INTRODUCTION
Bienvenue dans GFI LANguard : Votre solution tout en un pour la gestion de correctifs, l'analyse de vulnérabilités et
l'audit réseau. GFI LANguard (ou "LANguard") explore votre réseau et ses ports pour détecter, évaluer et corriger les
vulnérabilités de sécurité avec un effort d'administration minimal.
Ce Guide est conçu pour vous donner un aperçu général de ce qu'est LANguard, de ce qu'il fait, et de la façon d'utiliser
rapidement et efficacement la puissance LANguard, et vous aider à prévoir un déploiement réussi.
Ce guide contient :
1.
2.
3.
Une vue générale de ce que LANguard peut faire pour votre entreprise
Six (6) points importants à prendre en compte avant le déploiement de LANguard
Comment maintenir vos ordinateurs en sécurité et à jour pour tirer le meilleur parti de LANguard
Pour une documentation plus détaillée, vous pouvez poursuivre avec :
1.
2.
3.
Questions les plus posées (FAQ) GFI LANguard – http://kbase.gfi.com/showarticle.asp?id=KBID001966
Base de connaissances GFI – http://kbase.gfi.com
Documentation GFI LANguard – http://www.gfsfance.com/lannetscan/manual
S'il vous reste des questions après lecture de ce guide rapide, nous sommes à votre disposition pour vous aider, prenez
contact avec nous ici.
Présentation de GFI LANguard
Commençons par une vue générale de ce que fait GFI LANguard. En quelques mots, il assure la gestion des trois (3)
pierres angulaires de la gestion de vulnérabilités : Gestion de correctifs, contrôle de vulnérabilité et audit réseau,
LANguard explore, analyse et contribue à corriger votre réseau.
Manuellement ou par programmation, LANguard explore votre réseau pour y détecter des problèmes de sécurité et
collecte les informations associées à la sécurité. Cette collecte d'informations inclut les vulnérabilités de sécurité,
correctifs manquants, ports ouverts, partages ouverts, utilisateurs et groupes, applications installées, inventaire matériel,
etc.
Les résultats de cette exploration permettent ensuite d'analyser l'état de votre réseau. GFI LANguard fournit des outils
de parcours et de recherche dans les résultats d'exploration ; nous attribuons un niveau de vulnérabilité à chaque
ordinateur exploré en fonction des éléments trouvés pendant l'audit et fournissons des rapports et comparaisons de
résultats. Vous trouverez des exemples de ces rapports et exploration dans l'Annexe A ici.
Avec les résultats d'exploration et l'analyse GFI LANguard vous aide à corriger les problèmes de sécurité, en
automatisant la procédure chaque fois que c'est possible.
Après création d'une exploration de base, vous pouvez déterminer les différences ou modifications des configurations
de sécurité et de l'ordinateur sur toutes les machines du réseau. Vous pouvez ensuite décider de lancer des actions telles
que le déploiement des correctifs de sécurité et service packs Microsoft manquants, d'effectuer en retour arrière sur des
mises à jour Microsoft, de déployer des logiciels et scripts personnalisés, de désinstaller des applications non autorisées,
GFI Software | www.gfi.com
GFI Software | www.gfi.com
d'ouvrir des connexions au bureau à distance sur les ordinateurs explorés, etc. Toutes ces actions permettent d'assurer
que vos systèmes sont à jour et disposent des derniers correctifs de sécurité.
Dans notre expérience, les clients achètent généralement une licence de GFI LANguard pour les opérations suivantes :
GESTION DE CORRECTIFS
•
Détection et déploiement de correctifs manquants
ANALYSE DE VULNÉRABILITÉ
•
•
Exploration du système d'exploitation Windows ou des applications
Identification et fermeture des ouvertures de partages, de ports, etc.
AUDIT RÉSEAU
•
•
•
•
•
Surveillance de bonne santé du réseau
Audit du réseau
Identification des logiciels installés sur les PC
Gestion de modifications – quand les choses changent
Identification des appareils sur le réseau
SIX POINTS IMPORTANTS À PRENDRE EN COMPTE AVANT LE DÉPLOIEMENT DE GFI
LANGUARD
Il y a six (6) problèmes à prendre en compte avant le déploiement de GFI LANguard. Il est important de bien comprendre
chacun d'eux de façon que si vous avez des questions après la lecture de la section ci-dessous ou si vous souhaitez
discuter un de ces points, veuillez nous contacter.
1.
2.
3.
4.
5.
6.
Licence
Système nécessaire pour l'installation
Profils d'exploration – Ce que vous devez savoir
Choix de la base de données appropriée
Conseils d'exploration et de performances
Filtrage et création de rapports GFI LANguard
1. LICENCES
La licence de GFI LANguard se base sur le nombre d'adresses IP actives* ("actives") que vous explorez. Par exemple :
1.
2.
3.
Si vous disposez d'une plage d'adresses de 192.160.1.1 à 192.160.1.254.
Et si 20 adresses IP sont actives dans cette plage à explorer, vous n'aurez besoin que d'une licence pour
ces 20 adresses IP actives.
Mais il est important de noter que s'il y a plus de 20 adresses IP actives dans cette plage, ET que vous
n'ayez de licences que pour 20 adresses IP dans GFI LANguard, vous ne pourrez explorer que les 20
premières adresses IP actives (et donc toute adresse IP au-delà des 20 ne sera pas explorée).
*Une adresse IP "active" est définie comme une adresse IP accessible et disponible par une demande de connexion
envoyée sous forme de requêtes NETBIOS, requêtes SNMP et/ou pings ICMP.
2. SYSTÈME NÉCESSAIRE POUR L'INSTALLATION
Système nécessaire : Matériel
Le système matériel dépend de la taille du réseau. Consultez le tableau ci-dessous pour les caractéristiques minimales
suggérées en fonction de la dimension de votre réseau.
2 | www.gfi.com/languard
1 à 10 cibles
d'exploration
10 à 500 cibles
d'exploration
500 à 1500 cibles
d'exploration
Processeur
1 Go
2 GHz
2 x 3 GHz Quad Core
Stockage physique
1 Go
2 Go
10 Go
Mémoire
1 Go
2 Go
4 Go
Utilisation de la bande
passante réseau
256 KBps
256 KBps à 550 KBps
256 KBps à 550 KBps
Système nécessaire : Logiciel
Systèmes d'exploitation pris en charge (x86 ou x64)
•
Microsoft Windows Server 2008 Standard/Enterprise
•
Microsoft Windows Server 2003 Standard/Enterprise
•
Microsoft Windows 2000 Professionnel/Server/Advanced Server (SP4 ou ultérieur)
•
Microsoft Windows 7 Intégrale
•
Microsoft Windows Vista Professionnel/Entreprise/Intégrale
•
Microsoft Windows XP Professionnel (SP2 ou ultérieur)
•
Microsoft Small Business Server 2008 Standard
•
Microsoft Small Business Server 2003 (SP1)
•
Microsoft Small Business Server 2000 (SP1)
Bases de données prises en charge
•
Microsoft Access
•
Microsoft SQL Server 2000 ou ultérieur
•
MSDE/SQL Server Express Edition
Autres composants du serveur
L'installation des composants suivants est obligatoire sur le serveur sur lequel GFI LANguard est installé :
•
Microsoft .NET Framework 2.0
Composants sur l'ordinateur cible
L'installation des composants suivants est obligatoire sur les ordinateurs cibles pour que GFI LANguard puisse les
explorer :
•
Windows Management Instrumentation (WMI) – Nécessaire pour l'exploration des cibles sous Windows.
Inclus dans tous les systèmes d'exploitation depuis Windows 2000 (courant pour les environnements
Windows).
•
Secure Shell (SSH) – Nécessaire pour l'exploration des cibles sous UNIX. Couramment inclus dans la
plupart des grandes distributions Unix/Linux.
•
Serveur SAMBA (SMB) – Nécessaire pour l'exploration des cibles sous UNIX. Couramment inclus dans la
plupart des grandes distributions Unix/Linux.
3.
PROFILS D'EXPLORATION – CE QUE VOUS DEVEZ SAVOIR
À la livraison, LANguard est livré avec une liste très complète de profils d'exploration*. Vous trouverez une liste de ces
profils d'exploration à l'adresse : http://support.gfi.com/manuals/en/lanscan9/lanscan9manual.1.43.html
Au niveau supérieur, les trois (3) profils prédéfinis sont :
1. Exploration complète/combinée
2. Exploration d'évaluation de vulnérabilité
3. Exploration réseau et d'audit logiciel
*Profil d'exploration : Un profil d'exploration est un jeu de critères utilisés pour définir l'exploration. LANguard dispose
de plusieurs profils prédéfinis pouvant être personnalisés, vous pouvez aussi créer/personnaliser vos propres profils
d'exploration.
4. CHOIX DE LA BASE DE DONNÉES APPROPRIÉE
À chaque exécution d'une exploration, les résultats sont enregistrés dans une base de données. Il existe trois (3) bases
de données Microsoft utilisable. Le choix de la base de données dépend de : la taille du réseau exploré, la fréquence
des explorations et le type d'exploration (par exemple, complète, partielle, etc) que vous effectuez :
•
•
•
Microsoft Access (LANguard inclut la base de données Microsoft Access mais n'impose pas qu'Access
soit installé)
Microsoft SQL Express
Microsoft SQL Server
Si vous cherchez à utiliser Microsoft SQL Server comme base de données préférentielle sans être certain des exigences
de licence, voici quelques liens sur les pages d'informations de licence Microsoft SQL.
SQL 2008, SQL 2005, SQL Express 2008
Comme toujours vous pouvez consulter votre partenaire Microsoft pour conseil.
La base de données de résultats d'exploration Microsoft Access par défaut livrée avec GFI LANguard n'est pas
suffisante pour de grands réseaux. Le passage à une base de données Microsoft SQL Server doit être
sérieusement envisagé pour les réseaux comportant plus de 250 IP actives quand l'adresse IP est un
ordinateur. (Car une exploration d'ordinateur renverra plus d'informations que pour une imprimante par
exemple).
* REMARQUE : GFI ne vend pas de licence Microsoft et ne représente pas Microsoft ni aucun de ses produits. Nous ne
connaissons pas non plus tous les détails de vos systèmes internes, applications et données. Le contenu de ce Guide
rapide ne sont destinés qu'à fournir des suggestions sur les problèmes à prendre en compte pour le choix de base de
données et le matériel nécessaire pour la mise en œuvre de GFI LANguard. Ce sont strictement des indications.
5. CONSEILS D'EXPLORATION ET DE PERFORMANCES
Voici quelques suggestions pour améliorer les résultats de vos explorations.
•
En cas d'inquiétude sur la consommation de bande passante de votre réseau, par exemple
ralentissement du réseau, vous pouvez envisager d'essayer le profil Exploration complète/combinée
(Exploration complète (réseaux lents)) dans la Section 7. Profils d'exploration du document produit
LANguard que vous trouverez ici.
•
Si vous choisissez d'effectuer une exploration complète du réseau : Plus le réseau est grand et complexe,
plus l'exploration sera longue. Le réglage par défaut avec LANguard est d'explorer trois (3) adresses IP
simultanément. Pour réduire le temps nécessaire pour explorer votre réseau, vous pouvez changer ce
réglage par défaut pour explorer jusqu'à 10 (dix) adresses IP en même temps. MAIS vous devez
comprendre que ce gain de temps implique l'utilisation de plus de ressources sur le réseau.
Consultez les Recommandations pour l'exploration de grands réseaux avec GFI LANguard pour plus de
détails.
•
Une exploration complète peut prendre beaucoup de temps. Donc avant d'en lancer une, nous vous
recommandons de trouver un échantillon représentatif de votre réseau et de lancer une exploration de
test pour vous assurer que votre environnement est configuré correctement. Par exemple, une petite
exploration de test pourrait afficher rapidement des erreurs à rectifier avant d'explorer toutes les
adresses IP actives sur votre réseau, par exemple impossibilité de se connecter WMI ou à la base de
registre à distance.
•
Pendant l'exploration de votre réseau, les logiciels de sécurité (par exemple antivirus) peuvent poser des
problèmes. Vous pouvez éviter ces problèmes avec quelques règles de configuration. Consultez le
document http://kbase.gfi.com/showarticle.asp?id=KBID002344
•
Par défaut certaines applications de pare-feu (tel que le pare-feu intégré à Windows XP Service Pack 2)
désactivent divers ports et services. Ceci peut rendre les ordinateurs cibles totalement impossibles à
découvrir, ou réduire l'exactitude de l'exploration.
Effectuez les modifications suivantes sur le pare-feu des ordinateurs cibles. Pour le faire, vous
n'avez qu'à spécifier l'adresse IP de l'ordinateur sur lequel LANguard est installé

Activez le partage de fichiers et d'imprimantes
Activez l'envoi de messages sur le port 135
Activez le trafic WMI (Windows Management Instrumentation)
Il est recommandé de ne pas explorer plus de 2 000 adresses IP par exploration. Ce n'est pas une
limitation de GFI LANguard, mais il est recommandé de ne pas exagérer le temps d'exploration.
Assurez-vous d'utiliser un profil d'exploration n'effectuant que les opérations dont vous avez besoin
(c'est-à-dire n'utilisez pas le profil "exploration complète" pour simplement rechercher les partages
ouverts, l'exploration des ports est une procédure très longue, vous pouvez donc envisager de ne
l'effectuer que dans une exploration séparée).
Lors de l'exploration de plages d'adresses IP, vous pouvez souhaiter vérifier et exclure de l'exploration
certains appareils tels que les imprimantes, téléphones IP, etc.
Pour des questions supplémentaires sur les problèmes d'exploration ou de performances, veuillez nous
contacter ici ; pour des articles techniques supplémentaires cliquez ici.
6. FILTRAGE ET CRÉATION DE RAPPORTS GFI LANGUARD
GFI LANguard est un outil puissant permettant d'explorer, analyser et corriger votre réseau. Les informations fournies
par LANguard permettent d'effectuer efficacement la gestion des correctifs, la recherche de vulnérabilités et l'audit
réseau. Mais les données brutes ne sont que la moitié des résultats que vous propose LANguard. Il existe deux (2)
méthodes différentes pour récapituler les résultats de vos explorations : Le filtrage de résultats et le GFI LANguard
ReportPack.
•
Filtrage de résultats : L'interface LANguard permet de créer votre propre filtre (c'est-à-dire de créer un
rapport simple et rapide à la volée). Les résultats d'exploration présentent le plus souvent beaucoup
d'informations et le filtrage de résultats s'utilise quand vous ne souhaitez que des informations
spécifiques pour atteindre un objectif particulier, par exemple l'identification des seuls correctifs
manquants dans votre système. Le filtrage de résultats peut s'effectuer à partir d'une exploration
récente ou d'une chargée depuis la base de données.
Pour créer un filtre de résultats, procédez comme indiqué ici.
•
GFI LANguard ReportPack : Inclus avec le produit (en téléchargement séparé à trouver ici) système de
création de rapport facile d'utilisation, le GFI LANguard ReportPack
Les rapports disponibles dans le ReportPack sont conçus pour répondre aux besoins de l'entreprise : des
vues graphiques générales pour la direction (par exemple rapports de tendance) aux rapports et
explorations détaillées (par exemple rapports de détails quotidiens) nécessaires pour répondre aux
besoins des équipes techniques. Nous savons bien que pour la direction, une image peut valoir mille
mots.
Les types de rapports créés par LANguard ReportPack sont notamment :

Rapports de direction : informations générales et analyse de tendance dans des
rapports graphiques.

Exemple de rapports pour la direction : Récapitulatif de vulnérabilités réseau et Tendance
de vulnérabilités réseau.
Rapports statistiques : informations associées aux vulnérabilités et à la distribution des
systèmes d'exploitation sur le réseau.
Exemple de rapports statistiques : Distribution des Service Packs de système
d'exploitation, Distribution de vulnérabilités par machine et Distribution de vulnérabilité
par système d'exploitation.
Rapports techniques : informations techniques sur les vulnérabilités, correctifs
manquants et chevaux de Troie.
Exemple de rapports techniques : Correctifs installés par machine, Correctifs manquants
par système d'exploitation, Ports de chevaux de Troie ouverts par machine et Liste des
vulnérabilités par machine.
Rapports Top 20 : les 20 machines les plus vulnérables en fonction des ports ouverts,
correctifs manquants ou chevaux de Troie. Exemple de rapports Top 20 : Ports de
chevaux de Troie ouverts, Machines vulnérables à cause de correctifs manquants et
Machines vulnérables à cause de ports ouverts.
IMPORTANT : Pour installer GFI ReportPack, procédez comme suit
1.
2.
Installez GFI LANguard
La base de données par défaut sera Microsoft Access (préconfigurée). Si vous choisissez d'utiliser
Microsoft SQL comme base de données, vous devez avoir installé SQL, puis changé vos paramètres de
base de données pour utiliser Microsoft SQL
3. Enfin, installez le ReportPack. (À NOTER : Lors de l'installation du ReportPack, un composant appelé "GFI
ReportCenter" s'installe d'abord, puis le GFI LANguard ReportPack s'installe. Le GFI ReportCenter est un
composant commun utilisé par tous les GFI ReportPacks).
Vous trouverez une documentation complète de GFI LANguard ReportPack ici.
Maintien de vos ordinateurs en sécurité et à jour
Vous avez donc installé LANguard, configuré la base de données et installé ReportPack. Vous avez ensuite effectué
quelques explorations et peut-être trouvé quelques problèmes de sécurité. L'objectif de cette section est de fournir des
règles sur la façon dont nous recommandons d'approcher certains des problèmes de sécurité les plus courants. Les trois
(3) rubriques essentielles à discuter ici sont : maintenir à jour LANguard, détecter et corriger les correctifs/Service Packs
Microsoft et détecter et corriger les autres vulnérabilités réseau.
1.
Maintenir LANguard à jour
•
•
Assurez-vous que la machine sur laquelle LANguard est installé dispose d'un accès Internet.*
LANguard effectue des recherches quotidiennes d'informations mises à jour sur les
vulnérabilités et correctifs. Des vulnérabilités de sécurité sont découvertes chaque jour, nous
vous suggérons donc d'explorer régulièrement votre réseau.
En cas d'utilisation d'un serveur proxy, celui-ci peut être défini par l'interface utilisateur GFI
LANguard > menu principal > Configurer > Paramètres Proxy.
*Si la machine sur laquelle GFI LANguard est installé n'a pas d'accès Internet disponible, le produit
peut être configuré pour obtenir les mises à jour depuis un autre emplacement. Vous trouverez
plus de détails ici.
2.
Détection et correction des correctifs/Service Packs Microsoft
Beaucoup de vulnérabilités de sécurité peuvent être résolues en s'assurant que tous les correctifs de
sécurité et Service Packs sont à jour sur chaque machine. La première chose à faire est donc d'explorer
votre réseau pour y trouver les correctifs manquants (consultez la Section 7 "Correctifs manquants" pour
le profil d'exploration dans le manuel GFI LANguard ici). Après exploration de votre réseau pour y
détecter les correctifs/Service Packs manquants, GFI LANguard vous permet de déployer simplement
ces correctifs/Service Packs manquants vers les machines cibles.
Il est recommandé d'installer d'abord les Service Packs
Après déploiement des Service Packs, nous recommandons une nouvelle exploration du
réseau (qui vous donnera une vue mise à jour de l'état des correctifs de votre réseau)
Après la nouvelle exploration, si aucun Service Pack n'est disponible, déployez les
correctifs manquants éventuels
En cas de problème de bande passante ou d'espace disque

GFI LANguard peut utiliser un référentiel d'un serveur WSUS sur le réseau. Ceci
permet d'utiliser les correctifs et Service Packs déjà téléchargés par WSUS pour vous
faire gagner de la place et de la bande passante. Vous trouverez plus de détails ici.

À défaut de serveur WSUS disponible, vous pouvez aussi programmer le
téléchargement des correctifs/Service Packs par LANguard en dehors des heures de
pointe.
LANguard peut aussi corriger automatiquement les correctifs/Service Packs s'ils ont été
pré-approuvés par l'administrateur.
3.
Détection et correction des autres vulnérabilités réseau
Quand vos ordinateurs sont à jour (avec correctifs), nous vous suggérons de lancer une exploration pour
rechercher d'autres vulnérabilités ou autres problèmes de sécurité potentiels.
•
Les résultats de l'exploration permettent d'obtenir des informations détaillées sur les
vulnérabilités spécifiques.
•
LANguard est livré avec des outils permettant de répondre aux vulnérabilités en désinstallant
à distance des logiciels (non autorisés), ou en déployant des logiciels et scripts personnalisés,
ou encore ou ouvrant des connexions de bureau à distance sur des ordinateurs, etc. 7 | www.gfi.com/languard