Scurit

Vrifiez le niveau de scurit de votre rseau avec un logiciel de simulation dintrusions.

Nattendez pas quun intrus sintroduise dans votre systme et auditez ds maintenant votre rseau ! SAINT (Security Administrator's Integrated Network Tool) est un outil d'audit rseau Unix parfaitement adapt pour vrifier la scurit dun rseau hybride de machines Windows et Linux. Il est le successeur de Satan (Security Administrator Tool for Analyzing Networks), outil prcurseur dans ce domaine, mais dont la dernire version est dpasse (elle date de 1995).

ourquoi SAINT ? De nombreux vrificateurs de failles existent, comme Nessus sous Linux ou InterNet Scanner (IS) (http://www.iss.net/) sous Windows (ou encore TITAN [UNIX] (http://www.fish.com/titan/), SARA [UNIX] (http://www-arc.com/sara/ sara.html), RETINA [Windows] http://www. eeye.com/html/Products/Retina/). Chacun de ceux-ci possde des qualits et dfauts. Par exemple avec SAINT, l'absence de verrouillage sur des numros IP permet de tout tester, ce qui nest pas le cas avec IS. Par contre IS

(figure 2)

teste plus de failles (dont en gros la moiti affecte Windows), mais est plus (figure 1) lent au scannage. SAINT et Nessus tournent sous Linux, tandis quIS tourne sous Windows. Nessus est dune approche plus complexe pour le dbutant, teste plus de failles que Saint et est capable de dcouvrir des services de manire dynamique. (figure 1) Comme de nouvelles failles sont dcouvertes sans cesse, un logiciel d'audit rseau doit tre mis jour rgulirement (avant chaque audit). Dans le cas dIS ou de Nessus, il suffit dajouter un module. Dans le cas de SAINT il est ncessaire de changer de version de logiciel (le recompiler, puis le rinstaller). SAINT est un bon choix de dpart pour tester la scurit dun petit rseau. En effet, il est trs facile installer, possde une interface Web soigne, et ladministrateur, mme dbutant, pourra balayer son rseau en quelques minutes.

La phase dinstallation
Avant de tlcharger SAINT vous devez vous assurez de possder une srie de logiciels dont il dpend. Nous avons test SAINT sous Linux REDHAT 8.0. Lordinateur est quip dun processeur ATHLON cadenc 1,8 Ghz, dune mmoire vive de 256 Mo et dun disque dur de 80 Go. Quoique cette configuration soit trs courante de nos jours, SAINT peut aussi fonctionner avec un quipement plus modeste. Nanmoins, un serveur Linux non quip dune interface graphique ne conviendra pas. Vous avez besoin dune version rcente de PERL (>= 5.0) et des logiciels Flex et Bison. Pour vrifier les vulnrabilits de machines Windows, un client SAMBA sera install. Le scanneur de port NMAP devra aussi tre oprationnel (http://www.insecure.org /nmap). Lensemble de ces lments est disponible doffice avec les packages livrs par REDHAT.

Mise en garde : le sondage dune machine ext rieure votre propre rseau est considr comme une infraction aux yeux de la loi si vous n'avez pas pralablement t autoris effectuer cet audit par le propritaire du systme cible.

50

(figure 3)
Programmez N53 MAI 2003

n scanner de vulnrabilits, comme Nessus, permet aux administrateurs systmes de dterminer les services TCP/UDP disponibles sur un serveur, mme si ceux-ci nutilisent pas les numros de ports standard. L'une des rgles fondamentales de la scurit des ser veurs est de dsactiver tout service non utilis par le systme. En effet, tout service TCP/UDP actif offre aux hackers une porte dentre potentielle pour pntrer votre systme.

Vous pouvez rcuprer une version dvaluation de SAINT ladresse http://www.wwdsi .com/saint/. Dautres versions antrieures sont tlchargeables sur Internet comme la version 3.5 Open Source sur tucows (http://proxad.linux.tucows.com/internet/preview /51654.html). Evidemment, plus le numro de version est lev, plus les vulnrabilits tudies sont nombreuses. Cependant la version 3.5 convient dj parfaitement si vous dsirez initier le premier audit dun rseau. Il ne vous reste plus qu extraire les sources de larchive, configurer et compiler SAINT (tar xzf saint3.5.tar.gz ; cd saint-3.5 ; ./configure ; make all ; make install). Reste la problmatique du navigateur. Lors dun premier "./configure", SAINT nous a dclar ne pas trouver de navigateur Internet (). Il utilise en effet un navigateur comme interface graphique. A ce propos, attention : cest lutilisateur "root" qui doit le lancer et vous ne devez pas surfer sur Internet avec cette instance du navigateur, car vous serez potentiellement vulnrable une attaque. Avec REDHAT 8 vous avez par exemple MOZILLA qui est install, mais pas Netscape. Nous en avons dduit que nous devions installer Netscape. Mais aprs voir install Netscape 7.02 (www.netscape.com), et relanc le "./configure" le mme message saffichait. Malgr ce message La compilation a fonctionn. En toute logique cette installation de Netscape 7.02 ntait pas ncessaire, car lexcution de "./saint" a fonctionn au premier essai.

(figure 4)

(figure 5)

votre cran. Vous pouvez maintenant saisir le nom dune machine cible ou encore son adresse IP. Si vous tapez un nom , assurez-vous en ouvrant une autre fentre de terminal, que vous pouvez latteindre par un ping. Sinon, si vous tes certain de son existence, entrez de prfrence son adresse IP. Vous pouvez aussi balayer lensemble de votre rseau en spcifiant plusieurs adresses IP spares par un espace, ou bien spcifier un sous rseau entier. Vous devez maintenant indiquer quel sera le niveau du balayage (de " lger " (light) "heavy+"). Nous vous conseillons de travailler en dehors des heures de bureau des utilisateurs et dindiquer "Heavy+" puis dindiquer que vous autorisez SAINT effectuer des tests qui pourraient ventuellement "geler" certains services de machines cibles tudies. (figure 3) Cette dernire option permettra de clarifier la liste des vulnrabilits en cartant en principe des avertissements sans gravit. (figure 4) Appuyez sur le bouton "start the scan". SAINT affichera une premire fois, un avertissement qui stipule que vous ne pouvez utiliser cette instance du navigateur pour surfer en dehors de votre Intranet. Cliquez sur licne "recharger" ce qui affichera ltat davancement du balayage en cours. (figure 5)

La visualisation des rsultats

(figure 6)

Lutilisation
Vous devez vous connecter en tant que super-utilisateur et lancer "./saint" sous un terminal X. Aprs quelques secondes, Netscape sexcute pour afficher la page daccueil. Vous pouvez commencer immdiatement le balayage de vos machines en choisissant loption "Target Selection" du menu, gauche de

(figure 8)

Avouons-le : jusquici lutilisation de SAINT est un vrai plaisir de convivialit, et il en sera de mme pour lanalyse des rsultats. Lorsque le balayage est termin, slectionnez "Data Analysis" qui offre une srie de liens affichant les vulnrabilits que SAINT a trouv. (figure 6) Celles-ci sont, par exemple, affichables par degr de gravit ("By approximate Danger Levels") ou par type. Vous pouvez les classer par service, par hte, ou par sous rseau. Si vous cliquez sur le premier lien ("par niveaux de dan51
Programmez N53 MAI 2003

ger") SAINT vous affiche une liste de nouveaux liens qui correspondent aux vulnrabilits. Si en face dun lien vous voyez "TOP 10" ou "TOP 20", vous devez vous concentrer immdiatement sur celui-ci , car il sagit dune faille souvent exploite quil sera ncessaire de combler durgence. (figure 7) A chaque fois que vous cliquez sur le lien dune vulnrabilit trouve, SAINT vous donnera le nom commun de la vulnrabilit, le niveau du danger, les types et ver-

sions des systmes dexploitations et logiciels affects, et enfin les solutions ventuelles. (figure 8)

Pour aller plus loin

Notez quun outil complment de mise en forme de rapports du nom de SAINTWRITER existe. Les gra(figure 9) phiques gnrs de cette manire seront interprtables par un non technicien, ce qui est le but de la manuvre. (figure 9) Si votre rseau est dune taille importante nous vous conseillons de vous quiper dun outil daudit capable de se mettre jour rgulirement par lintermdiaire dinternet. La mise niveau des failles dtectes par SAINT passant obligatoirement par une recompilation du logiciel, cette situation nest pas adapte pour ladminis-

(figure 7)

trateur qui ralise trs rgulirement des audits. Une slection plus pousse des tests effectuer serait galement un plus : cette possibilit existe dun seul clic pour Nessus, ce qui nest pas possible aussi finement avec SAINT. Le revers de la mdaille dans le cas de Nessus et une mise en uvre (plus) complexe par opposition SAINT, qui se rvle un excellent outil pour dcouvrir sans peine ce quest vritablement un "simulateur dintrusions". s Xavier Leclercq