Scribd
Importer
261 vues13 pages

Guide des tests d'intrusion avec Nessus

Le document décrit les tests d'intrusion dans les réseaux Internet à l'aide de l'outil Nessus. Il présente Nessus, la démarche des tests d'intrusion et les résultats d'audit réalisés avec différents scanners dont Nessus.

Transféré par

Taysir Automobiles
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Tests de vulnérabilités,
  • Phase préparatoire,
  • CVE,
  • Outils complémentaires,
  • Évaluation des performances,
  • Tests d'audit réalisés,
  • Résultats d'analyse,
  • Scanners utilisés,
  • Tests aveugles,
  • Sécurité application Web
261 vues13 pages

Guide des tests d'intrusion avec Nessus

Le document décrit les tests d'intrusion dans les réseaux Internet à l'aide de l'outil Nessus. Il présente Nessus, la démarche des tests d'intrusion et les résultats d'audit réalisés avec différents scanners dont Nessus.

Transféré par

Taysir Automobiles
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Tests de vulnérabilités,
  • Phase préparatoire,
  • CVE,
  • Outils complémentaires,
  • Évaluation des performances,
  • Tests d'audit réalisés,
  • Résultats d'analyse,
  • Scanners utilisés,
  • Tests aveugles,
  • Sécurité application Web

CNAM Paris – Département informatique

Les tests d’intrusion dans les réseaux Internet,


l’outil Nessus

Examen probatoire
session de Mai 2004

Dongé Laurent
laurent_donge@[Link]

1 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Plan

„ Réseaux Internet
„ Tests d’intrusion
ª Démarche
ª Outils

„ Nessus
„ Tests d’audit réalisés
ª Scanners utilisés
ª Protocoles & Résultats

„ Conclusion

2 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Réseaux Internet
„ Réseaux Internet

„ Tests d’intrusion

¾ Démarche

¾ Outils

„ Nessus

„ Tests d’audit

réalisés

¾ Scanners utilisés

¾ Protocoles &

Résultats

„ Conclusion

3 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Tests d’intrusion
„ Réseaux Internet „ Définition :

„ Tests d’intrusion
une tentative autorisée de simuler les activités
de pirates afin d’évaluer les failles de sécurité
¾ Démarche présentées par un système d’information
¾ Outils
„ Stratégies :
„ Nessus ª test interne / test externe
„ Tests d’audit „ Méthodes :
réalisés ª test aveugle / double aveugle / ciblé
¾ Scanners utilisés „ Types :
¾ Protocoles & ª sécurité application Web
Résultats ª DoS
„ Conclusion ª War dialing
ª ingénierie sociale ...
4 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent
La démarche des Tests d’intrusion
„ Réseaux Internet

„ Tests d’intrusion

¾ Démarche
„ A. Phase préparatoire
¾ Outils

„ Nessus
„ B. Phase de réalisation
„ Tests d’audit réalisés

¾ Scanners utilisés

¾ Protocoles & „ C. Phase de restitution


Résultats

„ Conclusion

5 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Outils utilisés
„ Réseaux Internet

„ Tests d’intrusion

¾ Démarche

¾ Outils

„ Nessus

„ Tests d’audit

réalisés

¾ Scanners utilisés

¾ Protocoles &

Résultats

„ Conclusion

6 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Nessus (1/2)
„ Réseaux Internet
„ détection des services sur les différents
„ Tests d’intrusion
ports en analysant les protocoles
¾ Démarche

¾ Outils „ tests de vulnérabilités parmi 24


„ Nessus
familles sur les services détectés
„ Tests d’audit ª backdoors, CGI, CISCO, DoS , RPC,
SMTP …
réalisés

¾ Scanners utilisés
„ fournit :
¾ Protocoles & ª une liste des vulnérabilités classées
Résultats
ª des références CVE
„ Conclusion
ª des solutions

7 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Nessus (2/2)
„ Contexte
„ permet de réaliser des rapports
„ Tests d’intrusion

¾ Démarche – HTML, LaTeX …


¾ Outils

„ Nessus „ son architecture client/serveur


„ Tests d’audit

réalisés
ª test sous forme de plug-in (NASL)
¾ Scanners utilisés
ª bases d’information
¾ Protocoles &

Résultats
ª produits tiers : Nmap, Nitko, Hydra
„ Conclusion

8 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Tests d’audit réalisés (1/3)
Scanners utilisés sur un réseau Ethernet
„ Réseaux Internet
Scanners Nessus NeWT SAINT Internet
„ Tests d’intrusion
Scanner
¾ Démarche
Nature Open Commerciale
¾ Outils source

„ Nessus Plate-forme Linux Windows Linux Windows


possible Unix
„ Tests d’audit
Pate-forme Linux Windows Linux Windows
réalisés utilisée Fedora 2000 Fedora 2000
Core 1 B serveur Core 1 B serveur
¾ Scanners utilisés Facilité 4 5 5 3
d’installation
¾ Protocoles &

résultats

„ Conclusion
1: pas convaincant 2: passable 3: correct 4: bien 5: Excellent

9 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Tests d’audit réalisés (2/3)
„ Réseaux Internet „ Protocole des Tests
Tests d’intrusion
„
ªaudit sans attaques dangereuses
¾ Démarche

¾ Outils
ªaudit avec attaques dangereuses
„ Nessus ªaudit sans puis avec Nmap
„ Tests d’audit
„ Résultats
réalisés

¾ Scanners utilisés
ªNessus : détection complète,
¾ Protocoles &
temps d’analyse correct, évolutif,
résultats
ouvert
„ Conclusion ªPositionnement de Nessus

10 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Tests d’audit réalisés (3/3)
Tableau comparatif simplifié
„ Réseaux Internet

„ Tests d’intrusion
Nessus NeWT SAINT Internet
Scanner
¾ Démarche
Détection 4 4 3 4
¾ Outils

„ Nessus Temps 3 4 4 2
„ Tests d’audit
Rapport 3 3 4 2
réalisés

¾ Scanners utilisés
Appréciation 4 4 3 4
¾ Protocoles & générale
résultats
1: pas convaincant 2: passable 3: correct 4: bien 5: Excellent
„ Conclusion

11 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent


Conclusion
„ Réseaux Internet „ L’importance de référence
„ Tests d’intrusion
standardisée
¾ Démarche „ Les limites des scanners et des
¾ Outils tests d’intrusion
„ Nessus
„ la sécurisation nécessite des
„ Tests d’audit outils complémentaires
réalisés
„ les réseaux de taille importante
¾ Scanners utilisés demandent :
ª des architectures réparties plus
¾ Protocoles &

Résultats
robustes
„ Conclusion
ª la définition de stratégies
12 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent
Questions - Discussion

13 Test d’intrusion, l’outil Nessus - Mai 2004 Dongé Laurent

Vous aimerez peut-être aussi