Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
MISE EN ŒUVRE
Les formulaires électroniquesdeviennent dynamiques➤ XML et le conceptde client richemodifient la donnedes formulairesélectroniques.Ils sortent de leur statisme et deviennentadaptables.
BANC D’ESSAI COMPARATIF
4 solutions pour déceler les failles de sécurité
L‘ÉVÉNEMENT
Sun et Microsoft
TENDANCE
Le retour des ateliers de génie logiciel ➤ Les standards MDAreprennent les grandsprincipes des AGL et pourraient opérer unepercée fracassante.
FACE-À-FACE
Équipementiers :faut-il externalisersa production ?
DO
SSIE
R T
HÉ
MAT
IQU
E
N° 139 / Mai 2004 / 4,60 €
Philippe Germond,d’Alcatel
Philippe Carli, deSiemens France
➤ Trois logiciels et un service d’audit en ligne qui détectent lesvulnérabilités des serveurset des réseaux testés par notre laboratoire.
Deuxmilliards de
dollardsmettent fin
à sept ans deguerre autour
de Java.
“Le service d’audit de vunérabi l ité de Qualys
recommandé par la rédaction de 01 Réseaux ”
Extrait de 01 Réseaux 139
BANC D’ESSAI comparatif
www.01net.com [ II ] 01 Réseaux N° 139 / Mai 2004
Comment détecter etcorriger les vulnéra-bilités et autres faillesde sécurité rampantes
qui mettent potentiellementen danger le réseau et les ser-veurs d’une entreprise ? Desoutils spécialisés répondentà ce besoin en analysant lesserveurs et les équipementsde réseau qui leur sont sou-mis.Ils sont aussi censés four-nir une vue exhaustive, sousforme d’inventaire, des ver-sions de logiciels d’exploita-tion et des services (FTP etTelnet, par exemple) de l’in-frastructure qu’ils examinent
via une connexion locale enEthernet. Notre laboratoirea sélectionné quatre solutions.Trois d’entre elles sont consti-tuées de logiciels indépen-dants, commercialisés sousforme de licences : RetinaNetwork Security Scanner,d’eEye Digital Security ;Internet Scanner, d’InternetSecurity Systems (ISS) ; etl’ensemble Nessus et Light-ning Console,de Tenable Net-work Security. Le quatrièmeparticipant à ce banc d’essaiest un service en ligne, Qua-lysGuard Intranet Scanner,de Qualys. Il est fourni avec
un boîtier dédié à la détectiondes vulnérabilités, connectéen SSL via internet à un ser-veur distant.Les rapports sontmis en ligne sur un serveur deQualys à l’issue des tests.Même si l’éditeur offre tou-tes les garanties de chiffre-ment des données, il fautnéanmoins confier à un pres-tataire extérieur les donnéesconfidentielles (tel un rapportsur les vulnérabilités d’unréseau d’entreprise).
Des auditsprogrammables pour tous les produitsÀ l’aune des cinq critères d’évaluation retenus,la solu-tion QualysGuard IntranetScanner domine ses concur-rents logiciels autant par sa simplicité d’installation et d’administration que par la richesse fonctionnelle proposée et la quantité d’in-formations remontées. Nousémettons toutefois une ré-serve, qui tient à la naturemême d’un tel service ex-ternalisé. Sur le plan mé-thodologique, nous avonssupposé que le service fourniétait un service standard.Les deux critères jugés lesplus importants ont concerné,d’une part, la pertinence del’audit des vulnérabilitésdétectées par les scanners,et,
d’autre part, le degré d’ex-haustivité de l’inventaire dessystèmes installés, de leurssystèmes d’exploitation et desservices.Trois autres critèresviennent en complément :rapports et alertes ; facilitéd’emploi et sécurité ; et ges-tion des vulnérabilités.Pour évaluer la pertinence de l’audit des vulnérabilités,nous avons regardé commentse comportaient les quatreoutils face aux failles de sécurité (vulnérabilités RPC,Sendmail, SNMP et FTP oucomptes insuffisamment ver-rouillés, par exemple) de laplate-forme de test compre-nant serveurs,systèmes d’ex-ploitation et équipementsréseaux.QualysGuard obtientles meilleurs résultats dans la détection des vulnérabilités(lire le tableau p. 119). Il sedistingue tout particulière-ment sur les failles d’admi-nistration SNMP des équipe-ments réseaux, qu’il s’agissedu commutateur 3Com ou durouteur Cisco Systems. Ilobtient également lesmeilleurs résultats sur les failles RPC et sur lescomptes insuffisamment ver-rouillés. Cette solution est toutefois non intrusive danssa version actuelle, au sens où il n’était pas possible d’effectuer des attaques pourtester la vulnérabilité del’infrastructure.Le scanner d’eEye DigitalSecurity se distingue seule-ment par ses résultats deremontée de vulnérabilitéssur le serveur Sun-Solaris.Celui d’ISS trouve bien les
3 logiciels et un serPour déceler les failles de séa Trois logiciels sous licence et un service d’audit de vulnérabilités ont été testés sur une plate-forme hétérogène avec neuf systèmesd’exploitation serveurs et des équipements réseaux. La pertinence de l’identification des failles de sécurité et l’exhaustivité de l’inventaireplacent en tête Qualys et son boîtier relié à un serveur en ligne.
SOMMAIRE� Les principales
caractéristiques� La synthèse
produit par produit
� Trois logicielsd’analyse devulnérabilités ont étépassés au crible,ainsi que la solution deQualys, vendue comme un service, couplant un boîtier à un serveurinternet. Les quatreproduits ont été testésdans un environnementcomposé de serveurshétérogènes,avec neuf systèmesd’exploitation différents, etdivers équipementsréseaux.� Le service de Qualysdomine tant par sa
simplicité d’administrationque par la quantité et la pertinence desinformations remontées.� eEye Digital Securityet ISS proposent chacun un outil sousWindows. Les interfacesutilisateurs et les rapportsd’audits, avec Retina,sont plutôt soignés.� Le logiciel de Tenable,sous Linux, s’est révélé lemoins évident à installer. Il offre cependant une bonnegestion des correctifs,palliant les vulnérabilités,avec leur suivi.
www.01net.com [ III ] 01 Réseaux N° 139 / Mai 2004
�
vulnérabilités Windows,maisplus difficilement celles deséquipements de commutationet celles qui interviennentsous Solaris. Nessus a, luiaussi, eu du mal à détecter les failles des équipementsréseaux. Il est à noter qu’au-cun outil n’a relevé de faussevulnérabilité. Les réglagesproposés sur tous les produitspermettent une programma-tion temporelle pour plani-fier les audits. Il est possiblede paramétrer une heure defin de scan. Excepté Qualys,les constructeurs proposentun mode – optionnel – de testsagressifs (faisant réellementles attaques) pour s’assurerde la véracité des vulnéra-bilités trouvées.
Une bonne détection dessystèmes d’exploitationL’inventaire du réseau a étéévalué sur la base d’une plate-forme de tests hétérogène entermes de serveurs, de sys-
tèmes d’exploitation (Linux,Solaris,Mac OS X,et Windowset ses différentes versions) et d’équipements réseaux(2 routeurs Cisco et un com-mutateur Ethernet 3Com).Chez les quatre fournisseurs,le scanner découvre toutes lesmachines installées sur notreplate-forme.Aucun,en revan-che,n’a identifié la sub-stitution d’une stationpar une autre lors-que l’adresse IP étaitconservée. Seul Nes-sus, lors d’un nouveauscan, a détecté la nou-velle machine, mais iln’indique pas qu’il s’agit d’unchangement de configuration.De façon générale, toutes lessolutions détectent assez bienles treize systèmes d’exploi-tation de la plate-forme (ycompris ceux qui sont embar-qués dans les équipementsréseaux).QualysGuard Intra-net Scanner arrive en tête.C’est Nessus qui a le moins
bon résultat (9 systèmesd’exploitation sur 13 ont étédécouverts). Il distingue malWindows 2000 de WindowsXP.Il n’a pas identifié non plusun XP sur lequel un pare-feufiltrait le protocole ICMP,ainsique le second routeur. Quelque soit l’outil d’analyse, leMacintosh et le Solaris n’ont
pas été décelés convenable-ment. Ainsi, Retina NetworkSecurity Scanner a identifiéun HP-UX à la place de MacOS X du G5 d’Apple, et Qua-lysGuard Intranet Scanner areconnu la version 8 de Sola-ris au lieu de la version 5.8.Les solutions ont,en général,bien découvert les servicesusuels des systèmes.Un petit
bémol chez ISS, cependant,où les versions ne sont pasindiquées dans l’interface,mais dans le rapport. Notonsque l’éditeur adapte ses auditsselon le système d’exploita-tion et des ports, à conditionde laisser activé le mode DCA(Dynamic check assignment).Qualys permet,quant à lui,decartographier le réseau.Afin de corser les tests,notre laboratoire a dissimuléquatre services réseaux der-rière des ports inhabituels(HTTP derrière le port 12345,FTP derrière le port 1433 dédiéà MS-SQL,Telnet derrière leport 21,et FTP derrière le port80). QualysGuard les a tousrepérés.Nessus en reconnaîttrois sur quatre.En revanche,Internet Scanner et Retinan’ont trouvé,respectivement,qu’un et deux services sur lesquatre dissimulés.En matièrede rapports générés par leslogiciels, le laboratoire n’ena considéré que deux :le rap-
TENABLENessus et Lightning Console
Seul logiciel fonctionnant surLinux, ce scanner s’est montrémeilleur dans l’identification dessystèmes que dans la détectiondes vulnérabilités.
Ce logiciel sous Windows amoyennement détecté les vul-nérabilités de la plate-forme detest. Il se distingue par la qua-lité de ses rapports d’audit.
EEYE DIGITAL SECURITYRetina NetworkSecurity Scanner
Ce scanner sous Windows a sur-tout détecté les vulnérabilitésliées à… Windows, et non lesautres. Il se différencie par sasimplicité de paramétrage.
INTERNET SECURITYSYSTEMSInternet Scanner
Basé sur un boîtier relié par inter-net à des serveurs distants, ceservice en ligne se distinguepar lapertinence de l’identification dessystèmes et de leurs vulnérabilités.
pour les petits et moyens sitesQUALYSQualysGuard IntranetScanner
> LE MACINTOSH ET LE SOLARIS N’ONT PAS ÉTÉ CONVENABLEMENTDÉCELÉS, QUEL QUE SOITL’OUTIL D’ANALYSE.
BANC D’ESSAIcomparatif
vice d’audit en lignecurité des serveurs et réseaux
BANC D’ESSAI comparatif
www.01net.com [ IV ] 01 Réseaux N° 139 / Mai 2004
port exécutif,peu technique,censé présenter la tendancedu réseau au directeur du sys-tème d’information,et le rap-port technique fournissant àl’administrateur système ledétail des vulnérabilités ren-contrées. Retina et Qualys-Guard affichent les meilleursrapports exécutifs grâce auxgraphiques proposés (camem-berts indiquant les niveauxde risques rencontrés,les vul-nérabilités les plus fréquen-tes et les machines les plusstratégiques).Chez Retina,lesrapports sont axés parmachine auditée et pargroupe de fonctionnalité(audit,machine,port, serviceet partage), ce qui facilite latâche de l’administrateur nonspécialisé en sécurité.
Des rapports d’activitésenvoyés directement à l’administrateurSur QualysGuard, on re-marque aussi l’exhaustivitédes informations remontéespour le rapport technique :description de la vulnérabi-lité, conséquence et solutiondétaillée. Chez ISS, en re-vanche, la présentation estbien faite, mais les rapportsmanquent de consistance.Chez Nessus, la présentationdes rapports techniques estcorrecte, et les exposés desvulnérabilités et parades
sont assez exhaustifs.Notonsencore que Nessus et Retinapermettent l’envoi d’alertes àl’administrateur système lors-qu’une machine vulnérableest détectée. Cette particu-larité apporte un plus, les analyseurs de vulnérabilités n’étant pas censés protégeren temps réel le réseau.Concernant la facilité d’em-ploi, la solution de Qualysapparaît comme la meilleureen termes de déploiement etd’administration.La configu-ration initiale du boîtierconsiste à entrer son identi-fiant à partir de l’écran LCDet l’adresse IP. Des rapportsd’activités sont directementenvoyés à l’administrateur.Lasolution de Tenable est per-fectible sur ce point. Soninstallation et son utilisationrequièrent des notions avan-cées en informatique (malgréune bonne documentation !).Par contre,l’exécution du pre-mier scan est plutôt simple.Pour faire fonctionner lescanner d’eEye Digital Secu-rity, il faut installer SQL 2000, Windows 2000 SP3 etMSXML, puis tous les mo-dules, avant de les interfa-cer. L’exécution du premierscan,par défaut,est assez sim-ple.Il faut au préalable déter-miner les plages d’adressesIP et les règles souhaitées.Lepremier scan, par défaut, du
produit d’ISS est aussi trèssimple. Il est possible devisualiser en temps réel lesrésultats du scan.En sécurité,Qualys propose le transfertsécurisé en SSL des donnéesentre le boîtier et le serveur.Il en est de même pour l’en-voi des rapports à l’adminis-trateur, les mises à jour et lestockage des rapports. Nousavons aussi apprécié une ges-tion de comptes avec desdroits limités. Chez Tenable,le stockage des résultats n’estpas sécurisé (mais on peutchiffrer la partition d’héber-gement de la base), et l’envoisécurisé des rapports est
optionnel. Nous avons tou-tefois prisé le cryptage SSLentre la console et le scanner,une gestion de comptes avecdes droits limités, et la miseà jour en ligne sécurisée.ChezeEye Digital Security,le scan-ner et la console sont sur lamême machine. Il est doncinutile de sécuriser leurséchanges.Le seul reproche àlui faire est de ne pas avoir de compte d’administration.Chez ISS, les mises à jour enligne sont sécurisées. Pourfinir, la gestion des vulnéra-bilités a été examinée sur cha-cun des quatre outils. Tous(sauf Retina) s’avèrent com-
�
« La détection de vulnérabilité apporte une certainetranquillité d’esprit »� Laurent Muller, directeur général et directeur informatique du groupe Alban Muller
Avis de l’utilisateur
Le groupe Alban Muller, qui fabrique desmatières premières naturelles pour l’industriecosmétique, a opté, depuis mars 2001, pour leservice QualysGuard, de Qualys. La PME, quidispose de trois sites, a choisi le service enmode externe, assuré, depuis un serveurQualys, via une liaison IP permanente avec sonsite principal de Vincennes (94). Elle possède trois serveurs connectés en permanence à internet, tous situés à Vincennes. Le serviceest calibré pour quatre adresses IP. Quand on
procède à des changements sur nos serveursinformatiques, nous lançons systématiquementun scan manuel. Cela nous assure une certainetranquillité d’esprit. Sinon, la PME effectue unaudit de vulnérabilité hebdomadaire, lancé en finde semaine pour ne pas perturber l’activitéinformatique. Elle consulte le rapport de cetteanalyse sur le serveur de Qualys, via une liaisonsécurisée SSL à 128 bits. Nous apprécions les préconisations de résolution des failles desécurité incluses dans le service.
FAILLES ET SERVICES CACHÉS SONT DÉTECTÉS INÉGALEMENT
Tous les scanners ont identifié des informations sur les vulnérabilités propres aux machinesen réseau de la plate-forme de test. Les résultats obtenus ont été comparés avec laconfiguration de chaque machine. Aucun outil n’a relevé de fausses vulnérabilités.
Informations Retina Network Internet QualysGuard Nessus +sur les failles Security Scanner Intranet Lightning
Scanner Scanner Console
Identification de servicesréseaux dissimulés
Telnet sur port 21 non non oui oui
FTP sur port 80 non non oui oui
Failles détectées
W 98 SE : compte admin. oui oui non nonsans mot de passe
W 2000 : compte admin. oui oui oui ouisans mot de passe
Cisco 1720 : login = cisco, non non oui nonmot de passe = cisco
3Com : login admin. non non oui nonsans mot de passe
www.01net.com [ V ] 01 Réseaux N° 139 / Mai 2004
patibles avec les nomencla-tures CVE,Bugtraq ID et Cert,qui recensent les principa-les vulnérabilités. Le classe-ment des vulnérabilités est enrevanche différent d’un édi-teur à l’autre.
Des conseils pour pallierles vulnérabilitésQualys et ISS proposent debonnes fonctions (tris variés,détails CVE et vulnérabilitésles plus actives), mais eEyeDigital Security doit revoir sacopie : la catégorie Miscena-leous (divers) est très (trop)remplie ! Si toutes les solu-tions proposent des recom-mandations pour pallier lesvulnérabilités, seuls Qualyset Tenable permettent à l’ad-ministrateur une gestion desinterventions et un suivi descorrectifs.Chez Tenable,il estpossible d’éditer des rapportsavec une vue cumulative desanciens scans ; chez Qualys,un délai de correction et uneéchéance sont mentionnés.Le scanner Retina ne disposepas d’outil de suivi de cor-rectifs,mais cette fonction estdisponible avec la solutioncomplémentaire EVA (Enter-prise vulnerability assess-ment). Enfin, Nessus et Qualys proposent le contrôlecentralisé de plusieurs scan-ners de même marque. �
FRÉDÉRIC BERGÉ
� PERTINENCE DE L’AUDITNous avons repéré plusieurs vulnérabilités (failles desécurité et mauvaises configurations), et avons regardécomment se comportaient les outils d’audit. Chacun des scanners a remonté des informations spécifiques auxsystèmes d’exploitation, services et vulnérabilités propresaux machines de la plate-forme. Les résultats obtenus ontété comparés avec la configuration précise de chaquemachine IP détectée et analysée par les logiciels.
� INVENTAIRE ET DÉCOUVERTELa gestion d’inventaire consiste en la découverte desnœuds du réseau et la détection-identification dessystèmes d’exploitation et des services à la fois usuels et dissimulés. La détection d’une intrusion parsubstitution de poste a été testée. Afin de corser lestests, nous avons également dissimulé quatre servicesderrière des ports inhabituels (HTTP sur le port 12345,FTP sur le port 1433, Telnet sur le port 21 et FTP sur le port 80). La plate-forme était composée deserveurs sous systèmes d’exploitation Microsoft (98 SE,NT 4, 2000, 2000 Pro, XP, 2003), Linux Red Hat 9,Solaris 5.8 et Mac OS X (Apple G5). Ont été ajoutés
un point d’accès radio 802.11b Cisco, deux routeursCisco (1720 et 1750) et un commutateur 3Com avec chacun un système d’exploitation différent.
� RAPPORTS ET ALERTESDeux types de rapports ont été considérés. Le rapportexécutif – visé par le responsable d’exploitation –, quin’est pas forcément technique. Et le rapport technique,qui énumère les vulnérabilités rencontrées.
� FACILITÉ D’EMPLOI ET SÉCURITÉLa facilité de mise en place du produit a été jugée.Nécessite-t-elle des notions informatiques avancées ?Existe-t-il une aide en ligne, un manuel d’utilisation ? Les moyens utilisés pour sécuriser le système(chiffrement des informations stockées, ou comptesmultiples d’administration) ont aussi été évalués.
� GESTION DES VULNÉRABILITÉSNous nous sommes intéressés à la classification des vulnérabilités, aux synchronisations possibles avec d’autres bases de données, et à la façon de gérer les correctifs.
Chiffrement en SSL
Console Qualys
QualysGuard Intranet Scanner
RouteurCisco 1720
RouteurCisco 1750
Sous-réseau Ethernet 1
Sous-réseau Ethernet 2
Serveur sous Linux Serveur sous
Sun-Solaris
Serveur hébergeant les logiciels en test
PC sous NT 4 PC sous
Windows 2003
PC sous Windows XP
PC sous Windows 2000Point d’accès
radio Cisco
PC sous Windows 2000 Pro
PC sous Windows 98 SE
Macintosh G5
Internet
Commutateur Ethernet 3Com
Chaque solution (Retina Network Security Scanner, Internet Scanner, et Nessus avec Lightning Console) a été installée sur un serveurdistinct. Le logiciel scanner et la console composant chaque solution ont été déployés sur le même serveur, pour ne piloter qu’un seul scanner à chaque fois. Après leur mise à jour, les logiciels ont été figés afin de les tester en l’état. Rappelons que QualysGuard Intranet Scanner est un service en ligne.
LA PLATE-FORME DE TEST
LEXIQUE� Mode découverte :mode permettant au scanner d’établir la liste des stations, serveurs et équipements à partir d’un sous-réseau IP.
� CVE (Common vulnerabilities and exposures) : liste standardisée de noms de vulnérabilités et autresfailles de sécurité (www.cve.mitre.org).Il s’agit d’un dictionnaire plus que d’une base. La version publiée au moment de nos tests était la 20030402.
COEFFICIENTS DE PONDÉRATIONLa note globale a été établie selon les coefficients de pondération suivants : pertinence de l’audit, 3 ; inventaireet découverte, 2,5 ; rapports et alertes, 2 ; facilité d’emploi et sécurité, 1,5 ; et gestion des vulnérabilités, 1.
Les quatre produits ont été évalués selon cinq critères.
BANC D’ESSAIcomparatif
BANC D’ESSAI comparatif
www.01net.com [ VI ] 01 Réseaux N° 139 / Mai 2004
Version testée Retina 4.9.153 7.0 2003 310 (XPU16) Scanner : 1.14.53-1 ; Nessus 2.0.9 et Lightningsignature : 1.6.107-3 Console 2.0.3
Prix (ht) 6 060 € (256 adresses) 11 000 € (250 adresses) 40 000 €/an (250 adresses) 7 996 € (255 adresses)
Possibilité pour la console de piloter oui (avec module oui (avec module Non applicable ouiplusieurs scanners logiciels logiciel REM) SiteProtector)
> Inventaire du réseau
Fonctionnement du scanner via un routeur IP oui oui oui oui
Possibilité d’importer une liste d’adresses IP oui oui non nonissue d’un autre outil
Détection d’un changement de machine non non non non(sans changement d’adresse IP)
Mode découverte oui oui oui non
> Réglages possibles
Politique de sélection des tests oui oui oui oui
Possibilité de scanner plusieurs machines IP oui oui oui ouisimultanément
Possibilité de générer des attaques intrusives oui oui non (prévu en juin 2004) oui
Possibilité de scanner de façon exhaustive et non oui oui Non constatéautomatique des machines modifiées
> Gestion des vulnérabilités
Tableau de bord de suivi des interventions oui (avec REM) non oui oui
Préconisation de mises à jour Non communiqué oui oui oui
Génération automatique d’un profil d’audit non non non nonciblé sur la vérification des corrections
> Types de rapports
Par type de machine oui non oui oui (via filtre Asset)
Par système d’exploitation non non oui oui (via filtre Asset)
Par niveau de risque non oui oui oui
Format des fichiers de rapport HTML et XML HTML, PDF et RTF HTML, XML, MHT et PDF PDF et HTML zippé
> Déclenchement d’alertes
Sur fréquence de vulnérabilité non non non non
Sur vulnérabilité de machines stratégiques oui non non oui
Alertes envoyées oui (par e-mail) non non oui (par e-mail)
> Facilité d’emploi et sécurité
Suivi en temps réel des audits oui oui oui non
Possibilité de programmer les audits oui non oui ouidans le temps
Chiffrement entre la console et le scanner Scanner et console oui oui oui (via SSL)sur la même machine
Stockage sécurisé des résultats oui non oui non
Envoi sécurisé des rapports non non oui (par téléchargement) oui (en option)
Gestion de comptes avec droits limités oui (avec REM) oui (avec SiteProtector) oui oui
a LES PRINCIPALES CARACTÉRISTIQUES
EEYE DIGITAL INTERNET SECURITY QUALYS TENABLESECURITY SYSTEMS QualysGuard NessusRetina Network Internet Scanner Intranet Scanner et LightningSecurity Scanner Console
BANC D’ESSAIcomparatif
www.01net.com [ VII ] 01 Réseaux N° 139 / Mai 2004
a LA SYNTHÈSE PRODUIT PAR PRODUIT
+ POINTS FORTS� Qualité de la présentationdu rapport� Fonction de découverte� Possibilité de définir unepolitique d’audit
- POINTS FAIBLES� Gestion des correctifs viaun module en option� Manque de finesse duclassement des vulnérabilités
Pertinence de l’audit
Inventaire et découverte
Rapports et alertes
Facilité d’emploi et sécurité
Gestion des vulnérabilités
Note globale pondérée
Critères Notes sur 10
6,2
6,3
5,7
6,4
2,6
5,8
INTERFACE SOIGNÉEET BONS RAPPORTS
EEYE DIGITAL SECURITYRetina Network Security Scanner
Le produit d’Internet SecuritySystems fonctionne sousWindows 2000 ou XP. La versiontestée par notre laboratoire est la 7.0. Elle repose sur unearchitecture de type client-serveurincluant scanner, console et basede données (SQL Server 2000avec MSDE fourni). La consoledéportée est gratuite, mais il fautpenser à installer le scanner pourgérer la communication. Il est aussi possible d’intégrer un module logiciel gratuit,SiteProtector, qui n’a pas ététesté. Celui-ci permet de gérer de façon centralisée plusieurssolutions de l’éditeur, et de bénéficier d’une interface de console plus récente avec despossibilités avancées dereporting. La tarification de lalicence s’effectue selon le nombrede machines à scanner.
+ POINTS FORTS� Visualisation des résultatsdu scan en temps réel� Rapports bien présentés� Possibilité d’activer destests intrusifs
- POINTS FAIBLES� Résultats stockés dans labase non chiffrés par défaut� Pauvreté des détails du rapport technique d’audit
Pertinence de l’audit
Inventaire et découverte
Rapports et alertes
Facilité d’emploi et sécurité
Gestion des vulnérabilités
Note globale pondérée
Critères Notes sur 10
5,5
6,2
4,1
6,7
5,5
5,6
PERTINENT SURTOUTEN WINDOWS
INTERNET SECURITYSYSTEMSInternet Scanner
Cette solution repose sur unboîtier installé dans l’entreprise et connecté sur le réseau local à surveiller. Sa commercialisations’effectue sous la forme d’unservice sans acquisition de licencelogicielle. Le boîtier est relié en IPà travers internet avec un servicedistant hébergé et géré parQualys. Entièrement propriétaire, il repose sur un noyau logicielLinux Red Hat renforcé, avec undisque dur dont les données sontchiffrées. Il communiqueexclusivement via le port 443(utilisé par SSL) vers le service en ligne distant de Qualys.QualysGuard Intranet Scannercible la détection de routeurs, de commutateurs, de pare-feu, de serveurs web, NT et Unix, ou d’imprimantes. Sa tarificationse décline, outre le prix du boîtier,en fonction du nombre d’adressesscannées, mais pour un nombreillimité de scans.
+ POINTS FORTS� Inventaire très détaillé� Cartographie du réseau� Gestion des interventions,et suivi des correctifs
- POINTS FAIBLES� Absence de test intrusif sur la version testée� Absence de modedécouverte
Pertinence de l’audit
Inventaire et découverte
Rapports et alertes
Facilité d’emploi et sécurité
Gestion des vulnérabilités
Note globale pondérée
Critères Notes sur 10
6,9
7,6
8,1
8,7
8,2
7,7
AUDIT PERTINENT,INVENTAIRE COMPLET
Couplé au logiciel d’administrationLightning Console, qui fonctionnesous Linux Red Hat ou Mac OS X,le logiciel de scan Nessus est issu du monde de l’open source. Il fonctionne avec Linux et, de préférence, Red Hat. LightningConsole a été installé sur Red Hat 9. Des notions eninformatique sont indispensables,même si la documentation est fournie. L’interface utilisateur, bien que graphique, est peusynthétique, et il n’y a pas d’aide enligne, ni d’assistant logiciel. Il n’y a pas non plus de modedécouverte : le premier scan vadétecter la configuration de chaquemachine du parc, et ajouter cetinventaire dans la base de donnéesNessus. Notez, enfin, qu’il existe unCD pour installer automatiquementles deux logiciels.
+ POINTS FORTS� Gestion des interventions,et suivi des correctifs� Contrôle centralisé de plusieurs scanners� Envoi automatique de rapports
- POINTS FAIBLES� Déploiement peuergonomique� Manque de suivi en tempsréel du déroulement de l’audit� Absence de modedécouverte
Pertinence de l’audit
Inventaire et découverte
Rapports et alertes
Facilité d’emploi et sécurité
Gestion des vulnérabilités
Note globale pondérée
Critères Notes sur 10
6,1
6,8
7,5
6,5
7,6
6,8
UN BON OUTIL ISSUDE L’OPEN SOURCE
TENABLENessus et Lightning Console
Ce logiciel fonctionne sous Windows2000 et SQL 2000, qu’il fautpréalablement installer. Il convientensuite de mettre en place tous lesmodules, et de les interfacer. Il fautalors créer la base de mesure via unscript. Retina Network SecurityScanner est capable de détecter et d’identifier des systèmesd’exploitation autres que Windows,comme Unix ou Linux, ainsi que deséquipements de réseau, routeurs ou commutateurs. Notre laboratoirea testé la version 4.9.153. Le scanner et la console sont sur le même serveur, ce qui évite desécuriser les échanges de donnéesentre eux. La licence logicielle estcommercialisée pour une classed’adresses IP. Le scannerfonctionne de pair avec plusieursautres modules logiciels qui tiennentle rôle d’une console centralisée de visualisation et d’administrationsous l’appellation unifiée REM.
pour petits et moyens sites
QUALYSQualysGuard IntranetScanner
© 2
004
Gro
up
e T
ests
- r
epro
duct
ion
et
ven
te in
terd
ites
- t
ous
droi
ts r
éser
vés.