Audit sécurité avec Nmap
Un administrateur préoccupé par la sécurité, devrait scanner son réseau et y chercher les points faibles avant que d'autres, aux intentions moins avouables, ne s'en chargent.
Plusieurs scanners sont disponibles, mais NMAP est certainement l'un des plus complets. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications précieuses sur le niveau de sécurité d'un réseau.
La dernière version disponible est la 4.03, vous pouvez la télécharger ici.
On peut voir un exemple d'utilisation de nmap dans le second épisode de la trilogie Matrix (Matrix Reloaded), lorsque Trinity tente de pirater la centrale.
Descriptif :
Nmap est un outil d'audit de sécurité sous licence GPL. Il permet entre autre de scruter les ports d'une machine, déterminer son OS ou son Firewall, etc.
Parmi les OS reconnus, on peut citer Linux, Mac OS X, OpenBSD, Windows, Solaris, mais aussi des routeurs (D-link, Linksys, Netgear).
Alors que de nombreux autres scanners de ports ont partitionné les états des ports en ouverts ou fermés, Nmap a une graduation bien plus fine. Il divise les ports selon six états: ouvert (open), fermé (closed), filtré (filtered), non-filtré (unfiltered), ouvert/filtré (open/filtered), et fermé/filtré (closed/filtered).
ouvert (open) :
Une application accepte des connexions TCP ou des paquets UDP sur ce port. Trouver de tels ports est souvent le but principal du scan de ports. Les gens soucieux de la sécurité savent pertinemment que chaque port ouvert est un boulevard pour une attaque. Les attaquants et les pen-testers veulent exploiter ces ports ouverts, tandis que les administrateurs essaient de les fermer ou de les protéger avec des pare-feux sans gêner leurs utilisateurs légitimes. Les ports ouverts sont également intéressants pour des scans autres que ceux orientés vers la sécurité car ils indiquent les services disponibles sur le réseau.
fermé (closed) :
Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il n'y a pas d'application en écoute. Ceci peut s'avérer utile pour montrer qu'un hôte est actif (découverte d'hôtes ou scan ping), ou pour la détection de l'OS. Comme un port fermé est accessible, il peut être intéressant de le scanner de nouveau plus tard au cas où il s'ouvrirait. Les administrateurs pourraient désirer bloquer de tels ports avec un pare-feu, mais ils apparaîtraient alors dans l'état filtré décrit dans la section suivante.
filtré (filtered) :
Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs de filtrage des paquets empêchent les paquets de tests (probes) d'atteindre leur port cible. Le dispositif de filtrage peut être un pare-feu dédié, des règles de routeurs filtrants ou un pare-feu logiciel. Ces ports ennuient les attaquants car ils ne fournissent que très peu d'informations. Quelques fois ils répondent avec un message d'erreur ICMP de type 3 code 13 (« destination unreachable: communication administratively prohibited »), mais les dispositifs de filtrage qui rejettent les paquets sans rien répondre sont bien plus courants. Ceci oblige Nmap à essayer plusieurs fois au cas où ces paquets de tests seraient rejetés à cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti terriblement les choses.
non-filtré (unfiltered) :
L'état non-filtré signifie qu'un port est accessible, mais que Nmap est incapable de déterminer s'il est ouvert ou fermé. Seul le scan ACK, qui est utilisé pour déterminer les règles des pare-feux, catégorise les ports dans cet état. Scanner des ports non-filtrés avec un autre type de scan, comme le scan Windows, SYN ou FIN peut aider à savoir si un port est ouvert ou pas.
ouvert/filtré (open/filtered) :
Nmap met dans cet état les ports dont il est incapable de déterminer l'état entre ouvert et filtré. Ceci arrive pour les types de scans où les ports ouverts ne renvoient pas de réponse. L'absence de réponse peut aussi signifier qu'un dispositif de filtrage des paquets a rejeté le test ou les réponses attendues. Ainsi, Nmap ne peut s'assurer ni que le port est ouvert, ni qu'il est filtré. Les scans UDP, protocole IP, FIN, Null et Xmas catégorisent les ports ainsi.
fermé/filtré (closed/filtered) :
Cet état est utilisé quand Nmap est incapable de déterminer si un port est fermé ou filtré. Cet état est seulement utilisé par le scan Idle basé sur les identifiants de paquets IP.
Un programme tel que nmap est très utile pour l'amélioration de la sécurité d'un système en s'informant sur ses faiblesses.
A ce test vient s'ajouter une mise à jour des applications utilisées et l'installations des patches concernant les failles critiques déclarées par les éditeurs.
Outres ces procédures, la sensibilisation des utilisateurs est primordial. Ne pas oublier, que la sécurité se joue aussi à travers une limitation de l'accès, via des procédures d'identification.
Un guide utilisateur de Nmap, de 43 pages en français est diponible en version pdf.
audit sécurité avec nmap
Plusieurs scanners sont disponibles, mais NMAP est certainement l'un des plus complets. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications précieuses sur le niveau de sécurité d'un réseau.
La dernière version disponible est la 4.03, vous pouvez la télécharger ici.
On peut voir un exemple d'utilisation de nmap dans le second épisode de la trilogie Matrix (Matrix Reloaded), lorsque Trinity tente de pirater la centrale.
Descriptif :
Nmap est un outil d'audit de sécurité sous licence GPL. Il permet entre autre de scruter les ports d'une machine, déterminer son OS ou son Firewall, etc.
Parmi les OS reconnus, on peut citer Linux, Mac OS X, OpenBSD, Windows, Solaris, mais aussi des routeurs (D-link, Linksys, Netgear).
Alors que de nombreux autres scanners de ports ont partitionné les états des ports en ouverts ou fermés, Nmap a une graduation bien plus fine. Il divise les ports selon six états: ouvert (open), fermé (closed), filtré (filtered), non-filtré (unfiltered), ouvert/filtré (open/filtered), et fermé/filtré (closed/filtered).
Les six états de port reconnus par Nmap
ouvert (open) :
Une application accepte des connexions TCP ou des paquets UDP sur ce port. Trouver de tels ports est souvent le but principal du scan de ports. Les gens soucieux de la sécurité savent pertinemment que chaque port ouvert est un boulevard pour une attaque. Les attaquants et les pen-testers veulent exploiter ces ports ouverts, tandis que les administrateurs essaient de les fermer ou de les protéger avec des pare-feux sans gêner leurs utilisateurs légitimes. Les ports ouverts sont également intéressants pour des scans autres que ceux orientés vers la sécurité car ils indiquent les services disponibles sur le réseau.
fermé (closed) :
Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il n'y a pas d'application en écoute. Ceci peut s'avérer utile pour montrer qu'un hôte est actif (découverte d'hôtes ou scan ping), ou pour la détection de l'OS. Comme un port fermé est accessible, il peut être intéressant de le scanner de nouveau plus tard au cas où il s'ouvrirait. Les administrateurs pourraient désirer bloquer de tels ports avec un pare-feu, mais ils apparaîtraient alors dans l'état filtré décrit dans la section suivante.
filtré (filtered) :
Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs de filtrage des paquets empêchent les paquets de tests (probes) d'atteindre leur port cible. Le dispositif de filtrage peut être un pare-feu dédié, des règles de routeurs filtrants ou un pare-feu logiciel. Ces ports ennuient les attaquants car ils ne fournissent que très peu d'informations. Quelques fois ils répondent avec un message d'erreur ICMP de type 3 code 13 (« destination unreachable: communication administratively prohibited »), mais les dispositifs de filtrage qui rejettent les paquets sans rien répondre sont bien plus courants. Ceci oblige Nmap à essayer plusieurs fois au cas où ces paquets de tests seraient rejetés à cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti terriblement les choses.
non-filtré (unfiltered) :
L'état non-filtré signifie qu'un port est accessible, mais que Nmap est incapable de déterminer s'il est ouvert ou fermé. Seul le scan ACK, qui est utilisé pour déterminer les règles des pare-feux, catégorise les ports dans cet état. Scanner des ports non-filtrés avec un autre type de scan, comme le scan Windows, SYN ou FIN peut aider à savoir si un port est ouvert ou pas.
ouvert/filtré (open/filtered) :
Nmap met dans cet état les ports dont il est incapable de déterminer l'état entre ouvert et filtré. Ceci arrive pour les types de scans où les ports ouverts ne renvoient pas de réponse. L'absence de réponse peut aussi signifier qu'un dispositif de filtrage des paquets a rejeté le test ou les réponses attendues. Ainsi, Nmap ne peut s'assurer ni que le port est ouvert, ni qu'il est filtré. Les scans UDP, protocole IP, FIN, Null et Xmas catégorisent les ports ainsi.
fermé/filtré (closed/filtered) :
Cet état est utilisé quand Nmap est incapable de déterminer si un port est fermé ou filtré. Cet état est seulement utilisé par le scan Idle basé sur les identifiants de paquets IP.
Un programme tel que nmap est très utile pour l'amélioration de la sécurité d'un système en s'informant sur ses faiblesses.
A ce test vient s'ajouter une mise à jour des applications utilisées et l'installations des patches concernant les failles critiques déclarées par les éditeurs.
Outres ces procédures, la sensibilisation des utilisateurs est primordial. Ne pas oublier, que la sécurité se joue aussi à travers une limitation de l'accès, via des procédures d'identification.
Un guide utilisateur de Nmap, de 43 pages en français est diponible en version pdf.
audit sécurité avec nmap