Notre laboratoire s’est penché sur le scanner de vulnérabilité Stat Scanner de Harris, issu de la suite Stat Guardian Vulnerability Management Suite (VMS). A l’aide d’une base de vulnérabilités, ce logiciel audite les systèmes Windows
NT/95/98/2000/Me/XP, Windows Server 2003, Sun Solaris, HP-UX, Red Hat/Mandrake Linux ainsi que les imprimantes HP et les routeurs Cisco. Il repère également les ports ouverts et dresse un bilan par machine.
Installation : pas de difficulté particulière
La mise en place de la solution n’a pas posé de problème grâce à la présence d’un assistant. En dépit de l’interface intégralement en anglais. Le logiciel requiert l’installation du composant Microsoft Data Access Components (MDAC)
v.2.5, qui permet de l’interfacer avec une base Access. Il nécessite aussi suffisamment de mémoire pour autoriser l’exécution d’une interface Java. Pour nos tests, nous avons utilisé un serveur Dell PowerEdge 2850 muni d’un processeur Xeon à
3 GHz et de 2 Go de mémoire RAM. Les scans sont simples à configurer, même si aucun assistant n’est proposé. La mise à jour de la base de vulnérabilités est également aisée et peut être planifiée.L’inventaire du réseau se fait de façon intuitive. Il peut être réalisé par masques IP, par plages d’adresses, ou en important une liste via un fichier Ascii, un annuaire ActiveDirectory ou un domaine Windows. Une fois les machines
découvertes, elles apparaissent dans une liste de candidats à l’analyse. Nos tests ont été réalisés en paramétrant au préalable certaines failles sur les serveurs. Nous avons, par exemple, configuré une fonction de login
automatique, qui évite de s’authentifier pour accéder au système, ou encore un partage administratif. Nous avons dissimulé des services sur des ports non conformes et recherché les cinq premières vulnérabilités de services Windows référencées par le
Sans Institute (SysAdmin, Audit, Network, Security).
Utilisation : souple, mais incompatible UDP
Dans un premier temps, nous avons effectué des tests sans renseigner les identifiants et mots de passe des différents systèmes cibles. Sur les deux postes Windows, un seul a été identifié comme fonctionnant avec Windows XP, l’autre
étant vu comme exécutant un OS Windows sans autre précision. Le poste Linux a bien été répertorié. En revanche, ni les informations sur le Service Pack ni celles sur la version du noyau Linux n’ont été remontées.A titre de comparaison, le logiciel QualysGuard de Qualys testé précédemment avait identifié correctement le noyau Linux et le Service Pack des stations Windows XP. Nous avons tenté d’analyser un IPBX et des téléphones IP, sans
résultats concluants. Les logiciels testés précédemment, Nessus et Qualys Guard, avaient été, quant à eux, assez fins sur l’identification de ces machines. La raison ? La solution d’Harris se révèle incompatible avec les ports UDP. Côté
efficacité de l’analyse, Stat Scanner ne relève que deux vulnérabilités, là où QualysGuard en remonte trente-quatre. Les services dissimulés ont été identifiés correctement.Etonnés par cette contre-performance, nous avons relancé une analyse en renseignant les éléments d’authentification pour chacune des cibles. La différence est notable, puisque tous les patchs manquants apparaissent, ainsi que les
vulnérabilités, les services, les partages et les défauts de configuration. Pour chaque analyse, les vulnérabilités sont organisées par niveaux de risques. Le logiciel manque un peu de clarté pour faire une analyse par types d’OS.En revanche, le choix de la méthode de découverte est personnalisable pour fixer un délai de recherche (time out) et pour renouveler une requête (retry). Point fort de la solution, une base de
données rassemble les vulnérabilités du Cert, de Bugtraq, du Sans, de Microsoft, etc. Nous avons évalué la fonction de rapport intégrée à Stat Scanner. Neuf modèles de rapports sont proposés, aux formats PDF, CSV, RTF et HTML compressé. Ce dernier
format est assez médiocre et nous avons observé un problème récurrent d’affichage. Harris propose un autre module de rapports, Stat Report Center, intégré, lui, à la suite Stat Guardian VMS.
Notre avis : d’un intérêt limité
Si l’outil est ergonomique et bien organisé pour la gestion des alertes, il s’avère d’un intérêt limité si l’on ne lui communique pas les éléments d’authentification des systèmes cibles, ce qui peut poser problème si le réseau à
analyser est important. L’impossibilité de scanner les ports UDP exclut l’évaluation des équipements de VoIP. Autant de lacunes qui, on l’espère, seront comblées dans les prochaines versions.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
