Exposé : Advanced Scanner IP

Introduction :

Dans le paysage complexe et en constante évolution des réseaux informatiques, la sécurité

occupe une place primordiale. La capacité à identifier les actifs connectés, à évaluer leur
posture de sécurité et à découvrir les vulnérabilités potentielles est essentielle pour la
protection des infrastructures. C'est dans ce contexte que les "advanced scanner IP" ou
scanneurs IP avancés jouent un rôle crucial. Ces outils sophistiqués vont au-delà de la simple
découverte d'hôtes actifs sur un réseau, offrant une analyse approfondie des services, des
systèmes d'exploitation et des vulnérabilités associées. Cet exposé se propose d'explorer en
profondeur le thème des advanced scanner IP, en abordant leurs principes de
fonctionnement, les différentes techniques utilisées, leurs applications dans le domaine du
réseau (notamment dans le cadre du curriculum CCNA), leurs avantages et leurs limites, ainsi
que les considérations éthiques et légales liées à leur utilisation.

I. Principes de Fonctionnement des Scanneurs IP Avancés :

Un scanneur IP, dans sa forme la plus basique, a pour objectif de déterminer quels hôtes sont
actifs sur un segment de réseau donné. Il accomplit cette tâche en envoyant des requêtes à
une plage d'adresses IP et en analysant les réponses reçues. Les advanced scanner IP
étendent cette fonctionnalité en intégrant des techniques d'analyse plus poussées. Leur
fonctionnement repose sur plusieurs étapes clés :

 Découverte d'hôtes (Host Discovery) : Avant de pouvoir analyser un hôte, le

scanneur doit déterminer s'il est actif. Pour cela, il utilise diverses méthodes,
notamment :

o Ping Sweep (ICMP Echo Request) : Envoi de requêtes ICMP Echo à chaque
adresse IP de la plage cible. Les hôtes actifs répondent avec un ICMP Echo
Reply.

o ARP Scan (Address Resolution Protocol) : Sur un réseau local, l'envoi de

requêtes ARP permet de mapper les adresses IP aux adresses MAC des hôtes
actifs.

o TCP SYN Scan (Half-Open Scan) : Envoi de paquets TCP SYN aux ports
spécifiés. Si un hôte est à l'écoute sur ce port, il répondra généralement par
un SYN/ACK. Le scanneur ne complète pas la poignée de main TCP (d'où le
terme "half-open"), ce qui le rend plus discret que la connexion complète.

o UDP Scan : Envoi de paquets UDP aux ports spécifiés. L'absence de réponse
peut indiquer un port ouvert (bien que des filtres ou des services puissent
également ne pas répondre). Une réponse ICMP Port Unreachable indique
que le port est fermé.
  Scan de Ports (Port Scanning) : Une fois les hôtes actifs identifiés, l'étape suivante
consiste à déterminer quels services sont en cours d'exécution sur ces hôtes. Ceci est
réalisé en envoyant des requêtes à une large gamme de ports TCP et UDP (allant de 0
à 65535). Les réponses reçues permettent de déduire l'état de chaque port :

o Ouvert : Le service accepte activement les connexions ou les datagrammes

sur ce port.

o Fermé : L'hôte a reçu la requête mais aucun service n'est à l'écoute sur ce
port. Il répond généralement par un RST (Reset) pour le TCP ou un ICMP Port
Unreachable pour l'UDP.

o Filtré : Une règle de pare-feu bloque la requête, et le scanneur ne reçoit

aucune réponse. Il est difficile de déterminer si le port est ouvert ou fermé
dans ce cas.

 Détection de Services et de Versions (Service and Version Detection) : En se

connectant aux ports ouverts, les advanced scanner IP tentent d'identifier le service
spécifique en cours d'exécution (par exemple, HTTP, SSH, FTP) et sa version. Ceci est
réalisé en envoyant des sondes spécifiques aux services connus et en analysant les
bannières ou les réponses. La connaissance de la version est cruciale car elle permet
d'identifier les vulnérabilités spécifiques associées à cette version.

 Détection du Système d'Exploitation (Operating System Detection) : Les scanneurs

avancés peuvent également tenter de déterminer le système d'exploitation de l'hôte
distant. Cette technique repose sur l'analyse des subtilités des réponses TCP/IP (par
exemple, les options TCP, l'ordre des bits, les tailles de fenêtres). Différents systèmes
d'exploitation implémentent la pile TCP/IP de manière légèrement différente, ce qui
permet une identification probabiliste.

 Évaluation des Vulnérabilités (Vulnerability Scanning) : La fonctionnalité la plus

avancée des advanced scanner IP est leur capacité à identifier les vulnérabilités de
sécurité connues. Ils maintiennent des bases de données de vulnérabilités (comme
CVE - Common Vulnerabilities and Exposures) et comparent les informations
recueillies (services, versions, systèmes d'exploitation) avec ces bases de données. Ils
peuvent également effectuer des tests actifs pour confirmer la présence de certaines
vulnérabilités.

II. Techniques Avancées Utilisées :

Au-delà des méthodes de base, les advanced scanner IP intègrent des techniques
sophistiquées pour améliorer leur précision, leur discrétion et leur efficacité :

 Stealth Scanning Techniques : Pour éviter la détection par les systèmes de sécurité
(pare-feu, systèmes de détection d'intrusion - IDS), les scanneurs utilisent des
techniques furtives :
 o SYN Scan (Half-Open) : Déjà mentionné, il est moins susceptible d'être
journalisé qu'une connexion TCP complète.

o FIN Scan, Null Scan, XMAS Scan : Envoi de paquets TCP sans le bit SYN activé
(avec seulement FIN, aucun bit, ou les bits FIN, URG et PSH activés
respectivement). La réponse attendue d'un port fermé est un RST. L'absence
de réponse peut indiquer un port ouvert ou filtré. Ces techniques sont moins
fiables car tous les systèmes d'exploitation ne les gèrent pas de la même
manière.

o Idle Scan (Zombie Scan) : Une technique très furtive qui utilise un hôte
"zombie" inactif sur le réseau pour masquer la véritable source du scan. Le
scanneur manipule les identifiants IP des paquets pour interroger la cible via
le zombie, analysant les réponses indirectes pour déduire l'état des ports.

 Rate Limiting et Throttling : Pour éviter de surcharger le réseau cible ou de

déclencher des mécanismes de défense, les scanneurs avancés permettent de
contrôler la vitesse d'envoi des paquets.

 Evasion de Pare-feu (Firewall Evasion) : Certaines techniques visent à contourner les

règles de pare-feu :

o Fragmented IP Packets : Division des paquets TCP/UDP en fragments plus

petits qui peuvent passer à travers des pare-feu qui n'assemblent pas
complètement les flux.

o Source IP Address Spoofing : Utilisation d'une adresse IP source différente de

celle du scanneur pour rendre le traçage plus difficile. Cependant, les
réponses peuvent ne pas atteindre le scanneur.

o Decoy Scanning : Envoi de paquets avec de multiples adresses IP sources (y

compris la véritable adresse du scanneur mélangée à des adresses "leurres")
pour rendre l'identification de la source réelle plus complexe.

 Scripting et Automatisation : Les advanced scanner IP offrent souvent des moteurs

de script puissants (par exemple, Nmap Scripting Engine - NSE) qui permettent
d'automatiser des tâches complexes, d'effectuer des analyses spécifiques à des
applications ou des services, et d'étendre les fonctionnalités du scanneur.

III. Applications dans le Domaine du Réseau (CCNA) :

Dans le contexte du curriculum CCNA (Cisco Certified Network Associate), la compréhension

et l'utilisation des concepts liés aux advanced scanner IP sont importantes pour plusieurs
raisons :

 Sécurité des Réseaux : Un administrateur réseau doit comprendre comment ces

outils fonctionnent pour pouvoir évaluer la posture de sécurité de son propre réseau.
 En effectuant des scans réguliers et contrôlés, il peut identifier les services non
autorisés, les configurations incorrectes et les vulnérabilités potentielles avant qu'un
attaquant ne les exploite.

 Dépannage et Diagnostic : Les scanneurs IP peuvent également être utiles pour le

dépannage réseau. Ils permettent de vérifier quels hôtes sont actifs, quels services
sont disponibles sur ces hôtes, et de diagnostiquer des problèmes de connectivité.

 Inventaire des Actifs : La découverte d'hôtes et de services permet de dresser un

inventaire précis des actifs réseau, ce qui est essentiel pour la gestion et la
planification du réseau.

 Compréhension des Menaces : Savoir comment les attaquants utilisent ces outils
aide les professionnels de la sécurité à mettre en place des mécanismes de défense
efficaces (configuration de pare-feu, systèmes de détection d'intrusion, etc.).

 Concepts CCNA Pertinents : L'utilisation des advanced scanner IP met en pratique

plusieurs concepts abordés dans le CCNA, tels que :

o Le modèle TCP/IP et OSI (compréhension des différentes couches et des

protocoles).

o Les protocoles TCP et UDP (fonctionnement des ports, établissement de

connexion).

o Le protocole ICMP (utilisé pour le ping).

o Le protocole ARP (résolution d'adresses sur le réseau local).

o Les principes de base de la sécurité réseau (pare-feu, listes de contrôle d'accès

- ACL).

IV. Avantages et Limites :

Avantages :

 Identification Complète des Actifs : Permettent de découvrir tous les hôtes

connectés à un réseau, y compris ceux qui pourraient être inconnus ou non
documentés.

 Évaluation de la Posture de Sécurité : Offrent une vue détaillée des services en cours
d'exécution et des vulnérabilités potentielles.

 Détection Proactive des Faiblesses : Permettent d'identifier et de corriger les

problèmes de sécurité avant qu'ils ne soient exploités.

 Automatisation des Audits de Sécurité : Les scripts et les fonctionnalités

d'automatisation facilitent la réalisation d'audits réguliers.
  Informations Détaillées : Fournissent des informations techniques précieuses pour
les administrateurs réseau et les professionnels de la sécurité.

Limites :

 Dépendance de la Configuration Réseau : L'efficacité des scans peut être affectée par
la configuration du réseau cible (pare-feu, IDS).

 Risque de Faux Positifs et Négatifs : Les résultats ne sont pas toujours parfaitement
précis et peuvent générer des alertes incorrectes ou manquer des vulnérabilités.

 Intrusivité Potentielle : Les scans actifs peuvent être intrusifs et potentiellement

perturber le fonctionnement des services ou des systèmes, surtout si la vitesse de
scan est trop élevée.

 Nécessité d'Expertise : L'interprétation correcte des résultats et la configuration

avancée des scanneurs nécessitent une expertise technique.

 Considérations Légales et Éthiques : L'utilisation de ces outils sans autorisation est

illégale et contraire à l'éthique.

V. Considérations Éthiques et Légales :

L'utilisation d'advanced scanner IP soulève d'importantes questions éthiques et légales :

 Nécessité d'Autorisation : Il est impératif d'obtenir une autorisation explicite avant

d'effectuer des scans sur un réseau qui ne vous appartient pas. Scanner des réseaux
sans permission est illégal dans de nombreux pays et peut avoir de graves
conséquences juridiques.

 Impact sur les Systèmes Cibles : Les scans, en particulier les scans de vulnérabilités,
peuvent potentiellement perturber ou endommager les systèmes cibles. Il est crucial
de planifier soigneusement les scans et de minimiser les risques.

 Utilisation Responsable des Informations : Les informations recueillies lors d'un scan
doivent être traitées de manière confidentielle et utilisées uniquement dans le but
d'améliorer la sécurité du réseau autorisé.

 Transparence : Dans le cadre d'audits de sécurité autorisés, il est souvent préférable

d'informer l'organisation cible de la nature et de la portée des scans.

Conclusion :

Les advanced scanner IP sont des outils puissants et indispensables pour la sécurité des
réseaux. Ils permettent une analyse approfondie des actifs, des services et des vulnérabilités,
jouant un rôle crucial dans l'identification et la mitigation des risques. Pour les professionnels
du réseau, y compris ceux qui suivent le curriculum CCNA, la compréhension de leur
fonctionnement, de leurs techniques et de leurs applications est essentielle. Cependant, il est
tout aussi important d'être conscient de leurs limites et des considérations éthiques et
légales associées à leur utilisation. Une utilisation responsable et autorisée de ces outils
contribue significativement à la protection des infrastructures numériques dans le monde
interconnecté d'aujourd'hui.