Monitoring d'une infrastructure informatique Linux sur base d'outils libres

4.5 Nmap

Nmap est un scanner de ports open source créé par Fyodor et distribué par Insecure.Org. Il est conçu pour détecter les ports ouverts, les services hébergés et les informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau.

Site web du logiciel : http://www.insecure.org/nmap/

4.5.1 Installation

Il s'installe très facilement via les dépôts de Red Hat (v4.11). Il est utilisable sans configuration particulière hormis des iptables oz j'ai dû ouvrir tout les ports en sortie.

4.5.2 Fonctionnement

Pour scanner les ports d'un ordinateur distant, Nmap utilise diverses techniques d'analyse basées sur

des protocoles tels que TCP, IP, UDP ou ICMP.

De même, il se base sur les réponses particulières qu'il obtient à des requêtes particulières pour obtenir une empreinte de la pile IP, souvent spécifique du système qui l'utilise. C'est par cette méthode que l'outil permet de reconnaitre la version d'un système d'exploitation et aussi la version

des services en écoute.

Le code source est disponible sous la licence GNU GPL.

4.5.3 Les premiers scans

Effectuons un premier scan. Le côté pratique de nMap est qu'il permet de scanner une plage d'IP et d'indexer tout les ports ouverts.

Tout d'abord qui a-t-il sur notre réseau ?

# nmap -sP 192.1 68.1 .0/24

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-05-22 14:20 CEST

Host mx1rtr1.manex.be (192.1 68.1 .1) appears to be up. MAC Address: 00:19:2F:83:65:86 (Unknown)

Host mxisrv1.manex.be (192.1 68.1 .11) appears to be up. MAC Address: 00:14:5E:29:9A:A4 (IBM)

Host mxisrv2.manex.be (192.1 68.1 .12) appears to be up. MAC Address: 00:11:25:AC:B4:C1 (IBM)

Host mxisrv3.manex.be (192.1 68.1 .13) appears to be up. MAC Address: 00:0D:93:9E:82:B8 (Apple Computer) Host mxisrv4.manex.be (192.1 68.1 .14) appears to be up. Host mxisrv6.manex.be (192.1 68.1 .1 6) appears to be up.

MAC Address: 00:0A:EB:2F:A2:D2 (Shenzhen Tp-Link Technology Co;) Nmap finished: 256 IP addresses (6 hosts up) scanned in 4.970 seconds

Monitoring d'une infrastructure Linux sur base d'outils libres Voyons le résultat des ports ouverts avec :

8009/tcp open ajp13

8080/tcp open http-proxy

12345/tcp open NetBus

MAC Address: 00:0D:93:9E:82:B8 (Apple Computer)

Interesting ports on mxisrv4.manex.be (1 92.1 68.1 .14): Not shown: 1675 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

199/tcp open smux

1241/tcp open nessus

3306/tcp open mysql

Interesting ports on mxisrv6.manex.be (1 92.1 68.1 .1 6):

Not shown: 1669 filtered ports PORT STATE SERVICE

20/tcp closed ftp-data

21/tcp open ftp

80/tcp open http

88/tcp closed kerberos-sec 135/tcp open msrpc

139/tcp open netbios-ssn 389/tcp closed ldap

445/tcp open microsoft-ds 548/tcp open afpovertcp 1026/tcp closed LSA-or-nterm 3389/tcp open ms-term -serv

MAC Address: 00:0A:EB:2F:A2:D2 (Shenzhen Tp-Link Technology Co;) Nmap finished: 20 IP addresses (6 hosts up) scanned in 54.935 seconds

# nmap 192.168.1.1-20

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-05-22 14:24 CEST

All 1680 scanned ports on mx1rtr1.manex.be (192.1 68.1 .1) are closed MAC Address: 00:19:2F:83:65:86 (Unknown)

Interesting ports on mxisrv1.manex.be (1 92.1 68.1 .11): Not shown: 1679 filtered ports

PORT STATE SERVICE

389/tcp open ldap

MAC Address: 00:14:5E:29:9A:A4 (IBM)

All 1680 scanned ports on mxisrv2.manex.be (192.1 68.1 .12) are filtered MAC Address: 00:11:25:AC:B4:C1 (IBM)

Interesting ports on mxisrv3.manex.be (1 92.1 68.1 .13):

Not shown: 1661 closed ports PORT STATE SERVICE 22/tcp open ssh

80/tcp open http

106/tcp open pop3pw 111/tcp open rpcbind 311/tcp open asip-webadmin 427/tcp open svrloc 548/tcp open afpovertcp 625/tcp open unknown 749/tcp open kerberos-adm 1012/tcp open unknown 1014/tcp open unknown 1015/tcp open unknown 2049/tcp open nfs

4444/tcp open krb524 5432/tcp open postgres 5900/tcp open vnc

4.5.4 D'autres options

On Ðeut demander ã nMaÐ de déterminer quel est l'OS des systèmes scannés avec l'oÐtion « -O » ainsi que l'identification des services « -sV ».

Voici ce que cela donne pour un serveur : # nmap -O -sV 192.168.1.16

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-05-22 16:03 CEST Interesting ports on mxisrv6.manex.be (192.1 68.1 .16):

Not shown: 1669 filtered ports

PORT STATE SERVICE VERSION

20/tcp closed ftp-data

21/tcp open ftp Microsoft ftpd

80/tcp open http Microsoft IIS webserver 5.1

88/tcp closed kerberos-sec

135/tcp open msrpc Microsoft Windows RPC

139/tcp open netbios-ssn 389/tcp closed ldap

445/tcp open netbios-ssn 548/tcp open afpovertcp? 1026/tcp closed LSA-or-nterm

3389/tcp open microsoft-rdp Microsoft Terminal Service

MAC Address: 00:0A:EB:2F:A2:D2 (Shenzhen Tp-Link Technology Co;)

Device type: general purpose

Running: Microsoft Windows NT/2K/XP

OS details: Microsoft Windows XP Pro SP1 or Windows 2000 Advanced Server SP3

Service Info: OS: Windows

Nmap finished: 1 IP address (1 host up) scanned in 126.166 seconds

Réessayons sur un serveur linux?

# nmap -O -sV 192.168.1.14

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-05-22 16:09 CEST Interesting ports on mxisrv4.manex.be (192.1 68.1 .14):

Not shown: 1675 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)

80/tcp open http Apache httpd

199/tcp open smux Linux SNMP multiplexer

1241/tcp open ssl/unknown

3306/tcp open mysql MySQL (unauthorized)

Device type: general purpose

Running: Linux 2.4.X|2.5.X|2.6.X

OS details: Linux 2.5.25 - 2.6.8 or Gentoo 1.2 Linux 2.4.19 rc1-rc7, Linux 2.6.3 - 2.6.10 Uptime 12.976 days (since Wed May 9 16:43:23 2007)

Service Info: OS: Linux

Nmap finished: 1 IP address (1 host up) scanned in 8.132 seconds

Monitoring d'une infrastructure Linux sur base d'outils libres On peut aussi demander à scanner un range de ports ou tous (65535) : # nmap -p U:53,111,137, T:21-25,80,139,8080

# nmap -p1-65535 192.1 68.1 .11

4.5.5 Conclusion

nMap est un outil pratique pour une indexation rapide des ordinateurs présents sur le réseaux et de

leurs ports ouverts.

4.6 MBSA de Microsoft

Il m'a été demandé de tester aussi une des solutions de Microsoft pour comparer aux résultats de Nessus. Voyons cela?

4.6.1 Présentation

Pour répondre à la demande formulée par certains clients d'une méthode rationnelle d'identification des erreurs de configuration de la sécurité les plus fréquentes, Microsoft a développé Microsoft Baseline Security Analyzer (MBSA). La version 2.0.1 de MBSA comprend une interface graphique et une interface de ligne de commande qui peuvent effectuer l'analyse locale ou distante de systèmes Windows. MBSA s'exécute sur Windows Server 2003, Windows 2000 et Windows XP et peut repérer des failles dans la configuration de sécurité des produits suivants : Windows 2000, Windows XP, Windows Server 2003, Internet Information Server (IIS) 5.0 et 6.0, SQL Server 7.0 et 2000, Internet Explorer 5.01 et versions ultérieures, ainsi qu'Office 2000, 2002 et 2003. MBSA recherche également les mises à jour de sécurité, correctifs cumulatifs et Service Packs publiés par Microsoft Update qui ne sont pas installés.

4.6.2 Installation

On peut télécharger gratuitement la dernière version du MBSA sur le site de Microsoft à condition bien entendu d'avoir une version originale de Windows.

4.6.3 Tests

Testons le MBSA sur mon portable qui a servi précédemment pour Nessus. Le test a été effectué sans

firewall et avec firewall Kaspersky. Résultat, rien de bien alarmant, les résultats sont les mêmes avec ou sans la présence de Kaspersky.

4.6.4 Conclusion

MBSA est un produit Microsoft donc que pour ses derniers OS. Le logiciel est clair, l'analyse rapide et de bons conseils sont donnés quant à la résolution d'éventuels problèmes.

4.6.5 Captures d'écran

Résultats avec et sans firewall :

4.6-1 : Résultats du MBSA

4.6-2 : Suite des résultats

4.6-3 : Suite des résultats

4.6-4 : Fin des résultats