?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?ø,??,ø Les scanners sont des programmes qui detectent automatiquement les faiblesses et les défauts de sécurité d'un réseaux sur un accès distant ou en local. Ce cours traite des scanners les plus connus. Comment ça marche : Le scanner questionne le port TCP/IP et enregistre les réponses du client. Selon le type de scanners ont peu obtenir : Quels services fonctionnent actuellement (httpd, nfs...) Quels utilisateurs utilisent ces services. Voir les accès en anonyme Quels services réseaux requièrent une authentification Sur quels OS travailler avec les scanners ? Au départ il était UNIX. Cette situation a commence à changer quand d'autres OS supportant TCP/IP apparurent en meme temps qu'un développement important d'internet, on vu croitre le nombre des scanners. On trouve actuellement de très bon produit sur windowsNT, comme iss , je m'étendrai un peu plus loin sur les différents scanners proposés. Pour faire plaisir à certains, j'en ai trouvé un à peu près valable Network Toolbox sur windows95. Je tiens d'ailleurs à informer la plèbe, que l'ont ne peux hacker avec win95, fautes de libraries suffisantes...et surtout qu'en face c'est souvent un unix. L'importance d'un scanner dans la sécurité Les scanners sont des outils très importants pour la sécurité, il peuvent nous montrer les faiblesses de notre réseaux. Il permettent de réaliser un audit de sécurité, de tester et d'analyser nos failles. Il est très important que les administrateurs soient bien familiarisés avec ca. Bon, passons à l'essentiel, les scanners.. Evidement les programmes testés ici, sont disponibles gratuitement sur le web. NESSUS Scanner type : scanner de port TCP Langage : C OS : Linux Cible : Les différents UNIX Necessite : Linux et gcc disponible: www.nessus.org Le top dans son genre, programmé par un français, Renaud Deraison, et offrant des caractèristiques très interessantes : Ce programme a été réalisé en 1998 Il incorpore les attaques par le web Il est gratuit, il est distibué sous GPL qui dit mieux ? Les caractèristiques de base : Nessus a été développé à la base sur Linux. Cependant, depuis d'autres portages ont étés réalises sur NetBSD et Solaris en mai 1998. La version WindowsNT est en phase experimentale (pleine de bugs!), à signaler qu'il existe aussi une version pour les OS java (seulement pour les serveurs) Nessus est un programme extensible, vous pouvez patcher des modules additionnels sur des nouveaux éléments connus de sécurité, actuellement il contient plus de 120 plugs. Evidemment Nessus fonctionne sous Xwindow, il utilise une interface graphique qui a été développée avec gtk. ce qui nécessite la librairie GTK : ftp://ftp.gimp.org/pub/gtk/ L'environnement de NESSUS La configuration de Nessus se realise sur une seule fenêtre : embed Package Object1 µ § Vous pouvez remarquer l'onglet 'plugins' qui permet d'ajouter des modules sur des failles de sécurité dernièrement découverte, ce qui en fait un programme extensible à volonté, il offres les categories des tests sur : FTP Finger les commandes 'r' sous Unix Sendmail les accès root et une gamme de Denial of Service et chaque catégorie contient les plus récents types d'attaques. Vous pouvez examiner la documentation pour chaque plugins, et apprendre comment fonctionne l'attaque. Quand le scan est terminé, vous pouvez consulter les informations sous forme graphique : embed Package Object1 µ § Nessus affiche une explication pour chaque vulnérabilité trouvée. Il donne la raison et offre aussi des solutions à ces failles. Pour conclure... Nessus est donc un excellent outil, de part sa fonction plugin qui s'ajoute très facilement. Nessus est un des scanners les plus complets du marché. NSS (Network Security Scanner) Scanner type : scanner de port TCP Langage : Perl OS : UNIX (en général) Cible : Les différents UNIX Necessite : UNIX, Perl et ftplib.pl disponible: Http://www.giga.or.at/pub/hacker/unix/nss.tar.gz NSS est unique dans son genre, étant programmé en Perl. Ce qui signifie que vous n'avez pas besoin de compilateur C et des fichiers IP (les programme en C sont dépendant des sources IP). Le programme étant en Perl, il est très facilement modifiable. De Base NSS a été écrit sur une plateforme DEC (DecStation 5000 et Ultrix 4.4). Cependant, il fonctionne très bien sous solaris, sunOS et IRIX 5.2. Pour les autres plateformes, il necessite un portage. NSS a l'avantage d'être extremement rapide, il teste les vulnérabilitées suivantes : FTP Finger les commandes 'r' sous Unix - hosts.equiv Sendmail les accès root et une gamme de Denial of Service NFS TFPD Xhost Remarque: Le test sur le fichier hosts.equiv ne fonctionne que si vous avez un accès root. PLusieurs scanners depassent cette limitation, comme SATAN et les derniers scanners du marché. Installation et compatibilité Avant d'utiliser NSS, vous devez rajouter quelques variables d'environnement : $TmpDir le répertoire utilisé temporairement par NSS $YPX le répertoire ou se trouvent les utilitaire de ypx $PING le répertoire ou se trouve l'executable ping $XWININFO le répertoire ou se trouve xwininfo N'oubliez pas d'installer la librairie ftplib.pl que vous trouverez à Http://floyd.msfc.nasa.gov/msg/webtools/glimpse/webglimpse/lib/ftplib.p Finalement, NSS est un bon produit, léger 25 ko et rapide, il n'offre pas d'interface graphique, mais cela ne semble pas réellement important. SATAN (Security Administrator's Tool for Analyzing Networks) Scanner type : scanner de port TCP Langage : C, Perl OS : UNIX (en général) Cible : Les différents UNIX Necessite : UNIX, Perl5, C, les fichiers IP et un accès root disponible: Http://www.trouble.org/~zen/satan/satan.html La première version de SATAN a été réalisée en avril 1995, SATAN n'est pas simplement un scanner qui teste la vulnérabilité du réseau, il offre aussi une aide détaillée sur chaque vulnérabilité. Comment l'exploiter, et ajouter des nouveaux plugs. Il offre une interface au format HTML, affiche une table des résultat aussi au format HTML, c'est réellement un excellent produit, bien programmé et extensible. Il a été programmé pour UNIX, écrit en C et en Perl et peux tourner sur la plupart des UNIX du marché, Linux inclus. SATAN scanne les ordinateurs distants pour les trous de sécurité connus, ainsi que : FTPD et les répertoires où l'on peut écrire Sendmail RSH NIS NFS TFTPD le serveur X Installation et compatibilité J'utilise actuellement satan-1.1.1. La première étape (après lecture de la doc) est d'executer le script 'reconfig' en perl. Ce script recherche les differents composants nécessaires à son fonctionnement et définit les chemin d'accès. Le script ne fonctionnera pas, si il ne peut identifier votre navigateur. Si vous l'avez installé d'une facon particulière, vous devrez modifier la variable du chemin $MOSAIC="chemin" De plus, si vous n'executez pas le DNS, vous devez modifier dans le fichier satan.cf : $dont_use_nslookup =1; Après avoir résolu cela, vous pouvez executer SATAN. Vous devez spécifier votre OS durant le compilage ex : make Linux (ou make sunOS). Je vous conseille de bien regarder la compilation pour noter les messages d'erreurs. SATAN et Linux Pour executer SATAN sur Linux vous devez faire quelques modifications : le fichier tcp_scan contient une incompatibilité avec la commande select(), pour résoudre ce problème, il faut récuperer un patch sur Http://recycle.jlab.org/~doolitt/satan/tcp_scan.diff2 ou Vous devez posseder le fichier netinet de BSD-4.4. Que vous trouverez sur Http://recycle.jlab.org/~doolitt/satan/BSD-4.4-includes.tar.gz Vous avez besoin de la dernière version de Perl. Vous pourrez la trouver sur Http://language.perl.com/info/software.html Le premier problème rapporté par les utilisateurs de Linux, l'interface HTML de SATAN ne fonctionne pas. Quand vous cliquez sur le lien Control Panel, Netscape de réagi pas. La solution est d'aller dans le menu Preférence/Application et d'effacer l'extension .pl (attention seulement l'extension, pas la reference au fichier PERL), ensuite rebooter, et relancer SATAN. remarque: SATAN utilise beaucoup de ressources. Si vous le trouvez trop lent. Je vous conseille de le tester sur une machine ayant plus de RAM et un bon processeur. Et de limiter votre scan à 100 machines maximun. Et si vous n'avez toujours pas assez de ressources, vous pouvez utiliser SATAN en mode ligne de commande. Les autres Traditionnellement les scanners étaient développés sur UNIX. Que dire sur les autres OS ? Après quelques recherches, j'ai pu récupérer et tester différents produits sur win95, winnt, malheureusement rien en MAC. Il a beaucoup de rien, et quelques uns commme Network Toolbox qui est excellent. Network Toolbox. Concernant l'étude des sources en C d'un scanners, il est nécessaire de possèder une bonne connaissance de la programmation des sockets. Je vous conseille donc cet excellent site pour comprendre et apprendre sur les sockets : Http://www.world.std.com/~jimf/papers/sockets/sockets.html -by sniffdoz- ?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?º°`°º?ø,??,ø?º°`°º?ø,??,ø?º°`°º?ø,??,ø Voila c'est tout pour ce hackoff mais rassurez vous une page est en plein developpement et en perpetuelle evolution sur le site de Serial Savate System : http://members.tripod.com/cakeii/scanners.htm Des commentaires, des questions, des insultes, ecrivez aux membres du gang : cakeii@yahoo.com tobozo@biosys.net sniffdoz@yahoo.com nums@rocketmail.com Et n'oubliez pas de visiter les sites : --------------------- http://come.to/legang --------------------- http://www.n0past.com ---------------------