Vous êtes sur la page 1sur 3

Sécurité

Vérifiez le niveau de sécurité de votre réseau


avec un logiciel de simulation d’intrusions.
N’attendez pas qu’un intrus s’introduise dans votre
système et auditez dès maintenant votre réseau !
SAINT (Security Administrator's Integrated Network Tool) est
un outil d'audit réseau Unix parfaitement adapté
pour vérifier la sécurité d’un réseau hybride de
machines Windows et Linux. Il est le successeur de
Satan (Security Administrator Tool for Analyzing Networks),
outil précurseur dans ce domaine, mais dont la
dernière version est dépassée (elle date de 1995).

P
ourquoi SAINT ? De nombreux vérifica- teste plus de failles (dont
teurs de failles existent, comme Nessus en gros la moitié affecte
sous Linux ou InterNet Scanner (IS) Windows), mais est plus
(http://www.iss.net/) sous Windows (ou enco- lent au scannage. SAINT et (figure 1)
re TITAN [UNIX] (http://www.fish.com/titan/), Nessus tournent sous
SARA [UNIX] (http://www-arc.com/sara/
sara.html), RETINA [Windows] http://www.
Linux, tandis qu’IS tourne sous Windows.
Nessus est d’une approche plus complexe La phase d’installation
eeye.com/html/Products/Retina/). Chacun de pour le débutant, teste plus de failles que Avant de télécharger SAINT vous devez vous
ceux-ci possède des qualités et défauts. Par Saint et est capable de découvrir des services assurez de posséder une série de logiciels
exemple avec SAINT, l'absence de verrouillage de manière dynamique. (figure 1) dont il dépend. Nous avons testé SAINT sous
sur des numéros IP permet de tout tester, ce Comme de nouvelles failles sont découvertes Linux REDHAT 8.0. L’ordinateur est équipé
qui n’est pas le cas avec IS. Par contre IS sans cesse, un logiciel d'audit réseau doit d’un processeur ATHLON cadencé à 1,8 Ghz,
être mis à jour régulièrement d’une mémoire vive de 256 Mo et d’un disque
(avant chaque audit). Dans le dur de 80 Go. Quoique cette configuration
cas d’IS ou de Nessus, il suf- soit très courante de nos jours, SAINT peut
fit d’ajouter un module. Dans aussi fonctionner avec un équipement plus
le cas de SAINT il est néces- modeste. Néanmoins, un serveur Linux non
saire de changer de version équipé d’une interface graphique ne convien-
de logiciel (le recompiler, dra pas. Vous avez besoin d’une version
puis le réinstaller). récente de PERL (>= 5.0) et des logiciels Flex
SAINT est un bon choix de et Bison. Pour vérifier les vulnérabilités de
départ pour tester la sécurité machines Windows, un client SAMBA sera ins-
d’un petit réseau. En effet, il tallé. Le scanneur de port NMAP devra aussi
est très facile à installer, pos- être opérationnel (http://www.insecure.org
sède une interface Web soi- /nmap). L’ensemble de ces éléments est dis-
gnée, et l’administrateur, ponible d’office avec les packages livrés par
(figure 2) même débutant, pourra REDHAT.
balayer son réseau en
quelques minutes.
n scanner de vulnérabilités, comme
Mise en garde : le sonda- U Nessus, permet aux administrateurs
systèmes de déterminer les services
ge d’une machine exté -
TCP/UDP disponibles sur un serveur,
rieure à votre propre
même si ceux-ci n’utilisent pas les numé-
réseau est considéré
ros de ports standard. L'une des règles
comme une infraction aux
fondamentales de la sécurité des ser -
yeux de la loi si vous
veurs est de désactiver tout service non
n'avez pas préalablement
utilisé par le système. En effet, tout servi-
été autorisé à effectuer
ce TCP/UDP actif offre aux hackers une
cet audit par le propriétai-
porte d’entrée potentielle pour pénétrer
re du système cible.
votre système.
50 (figure 3)

Programmez N°53 • MAI 2003


Vous pouvez récupérer une version votre écran. Vous pouvez maintenant
d’évaluation de SAINT à l’adresse saisir le nom d’une machine cible ou
http://www.wwdsi .com/saint/. encore son adresse IP. Si vous tapez
D’autres versions antérieures sont un nom , assurez-vous en ouvrant
téléchargeables sur Internet comme une autre fenêtre de terminal, que
la version 3.5 Open Source sur vous pouvez l’atteindre par un ping.
tucows Sinon, si vous êtes certain de son
(http://proxad.linux.tucows.com/inter- existence, entrez de préférence son
net/preview /51654.html). Evidem- adresse IP. Vous pouvez aussi
ment, plus le numéro de version est balayer l’ensemble de votre réseau
élevé, plus les vulnérabilités étu- en spécifiant plusieurs adresses IP
diées sont nombreuses. Cependant séparées par un espace, ou bien
la version 3.5 convient déjà parfaite- spécifier un sous réseau entier.
(figure 4)
ment si vous désirez initier le pre- Vous devez maintenant indiquer
mier audit d’un réseau. quel sera le niveau du balayage (de
Il ne vous reste plus qu’à extraire les " léger " (light) à "heavy+"). Nous
sources de l’archive, configurer et vous conseillons de travailler en
compiler SAINT (tar –xzf saint- dehors des heures de bureau des
3.5.tar.gz ; cd saint-3.5 ; ./configure ; utilisateurs et d’indiquer "Heavy+"
make all ; make install). puis d’indiquer que vous autorisez
Reste la problématique du naviga- SAINT à effectuer des tests qui pour-
teur. Lors d’un premier "./configu- raient éventuellement "geler" cer-
re", SAINT nous a déclaré ne pas tains services de machines cibles
trouver de navigateur Internet (…). Il étudiées. (figure 3)
utilise en effet un navigateur comme Cette dernière option permettra de
interface graphique. A ce propos, clarifier la liste des vulnérabilités en
attention : c’est l’utilisateur "root" écartant en principe des avertisse-
qui doit le lancer et vous ne devez (figure 5) ments sans gravité. (figure 4)
pas surfer sur Internet avec cette Appuyez sur le bouton "start the
instance du navigateur, car vous scan". SAINT affichera une première
serez potentiellement vulnérable à fois, un avertissement qui stipule
une attaque. Avec REDHAT 8 vous que vous ne pouvez utiliser cette
avez par exemple MOZILLA qui est instance du navigateur pour surfer
installé, mais pas Netscape. Nous en en dehors de votre Intranet. Cliquez
avons déduit que nous devions ins- sur l’icône "recharger" ce qui affi-
taller Netscape. Mais après voir ins- chera l’état d’avancement du balaya-
tallé Netscape 7.02 ge en cours. (figure 5)
(www.netscape.com), et relancé le
"./configure" le même message s’af-
fichait. Malgré ce message La compi-
La visualisation
lation a fonctionné. En toute logique
cette installation de Netscape 7.02
des résultats
(figure 6)
n’était pas nécessaire, car l’exécu- Avouons-le : jusqu’ici l’utilisation de
tion de "./saint" a fonctionné au SAINT est un vrai plaisir de convivia-
premier essai. lité, et il en sera de même pour l’ana-
lyse des résultats. Lorsque le

L’utilisation balayage est terminé, sélectionnez


"Data Analysis" qui offre une série
Vous devez vous connecter en tant de liens affichant les vulnérabilités
que super-utilisateur et lancer que SAINT a trouvé. (figure 6)
"./saint" sous un terminal X. Après Celles-ci sont, par exemple, affi-
quelques secondes, Netscape s’exé- chables par degré de gravité ("By
cute pour afficher la page d’accueil. approximate Danger Levels") ou par
Vous pouvez commencer immédiate- type. Vous pouvez les classer par
ment le balayage de vos machines service, par hôte, ou par sous
en choisissant l’option "Target réseau. Si vous cliquez sur le pre-
Selection" du menu, à gauche de (figure 8) mier lien ("par niveaux de dan- 51

Programmez N°53 • MAI 2003


ger") SAINT vous affiche une liste de nou- sions des systèmes d’exploi-
veaux liens qui correspondent aux vulnérabili- tations et logiciels affectés,
tés. Si en face d’un lien vous voyez "TOP 10" et enfin les solutions éven-
ou "TOP 20", vous devez vous concentrer tuelles. (figure 8)
immédiatement sur celui-ci , car il s’agit d’une
faille souvent exploitée qu’il sera nécessaire
de combler d’urgence. (figure 7)
Pour aller
A chaque fois que vous cliquez sur le lien
d’une vulnérabilité trouvée, SAINT vous
plus loin
donnera le nom commun de la vulnérabili- Notez qu’un outil complément
té, le niveau du danger, les types et ver- de mise en forme de rapports
du nom de SAINTWRI-
TER existe. Les gra-
phiques générés de (figure 9)
cette manière seront interprétables trateur qui réalise très régulièrement des
par un non technicien, ce qui est le audits. Une sélection plus poussée des tests
but de la manœuvre. (figure 9) à effectuer serait également un plus : cette
Si votre réseau est d’une taille impor- possibilité existe d’un seul clic pour Nessus,
tante nous vous conseillons de vous ce qui n’est pas possible aussi finement avec
équiper d’un outil d’audit capable de SAINT. Le revers de la médaille dans le cas
se mettre à jour régulièrement par de Nessus et une mise en œuvre (plus) com-
l’intermédiaire d’internet. La mise à plexe par opposition à SAINT, qui se révèle un
niveau des failles détectées par SAINT excellent outil pour découvrir sans peine ce
passant obligatoirement par une qu’est véritablement un "simulateur d’intru-
recompilation du logiciel, cette situa- sions". ■
(figure 7) tion n’est pas adaptée pour l’adminis- Xavier Leclercq