logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Securité informatique >> Choix d'un solution audit système/web Newtopic | Reply
1 | 2 | Page suivante
poster txt
Naudit007
Inscrit le 17-06-2007
Posté le 27-01-2009 10:59

Bonjour, je dois mettre en place une solution d'audit web / système pour auditer des serveurs :


- J'aimerais scheduler les scans, pour les scans passifs
- Scan intrusif : manuellement
- Je voudrais scanner les vulnérabilité systèmes Windows/Linux
- Savoir scanner les failles des applications WEB et SGBD.
IIS, Apache2, oracle, sql.
- Générer des rapports.

Au jour d'aujourd'hui j'ai réuni plusieurs applications :


Quote:

-GFI-Languard
-Wikto
-Nikto
-Burp suite
-Wapiti
-Goolag Scanner
-Metasploit
-Nmap
-Ncat
-Edgeos
-Nessus



Mais aucune ne réalise ce que je veux exactement à part la plateforme edgeos qui est très complète:

Quote:

Hi naudit,
The three big name tools we use are Nmap, Nessus & Nikto2. We also employ the use of several other utilities; hping2, openssl, samba, ping, traceroute, tcptraceroute, dig, whois, hmap and xprobe2. In addition to those tools we just implemented a new in-house tool called Frikto. Frikto is a web application scanner like Nikto2 only better suited for scanning custom web applications. This tool has been discovering many previously un-found cross-site scripting and SQL injection vulnerabilities.

Those are all the tools I can think of that we employ in our scans. In addition to the results provided by our scans our customers have the ability to import third party tool results. At the present time we support imports of Accunetix and Appscan results. We have found this feature is very valuable to many of our customers.




J'aimerais savoir tout ce que vous connaissez comme solution répondant à ce que je veux. De préférence gratuit mais si c'est payant et correct je prends aussi.

Merci de m'aider dans comparatif.

Best regards
profil | edit | quote
lenettoyeur
Inscrit le 25-07-2008
Avatar
Posté le 27-01-2009 15:05

Ce ne serait pas un IDS que tu cherche plutôt ?
_________________________
« Tourne 7 fois ton curseur autour du bouton envoyer avant d'appuyer ! »
profil | edit | quote
clanger
Inscrit le 04-04-2007
Posté le 27-01-2009 15:15

Quote:
Ce ne serait pas un IDS que tu cherche plutôt ?


Un IDS nécessite d'être installé sur le réseau et ne permet pas de déterminer d'une façon générale la résistance du système face aux attaques...
profil | edit | quote
clanger
Inscrit le 04-04-2007
Posté le 27-01-2009 15:33

Quote:

Le 27-01-2009 10:59, Naudit007 a écrit :
___________________________________________________
Bonjour, je dois mettre en place une solution d'audit web / système pour auditer des serveurs :

- J'aimerais scheduler les scans, pour les scans passifs
- Scan intrusif : manuellement
- Je voudrais scanner les vulnérabilité systèmes Windows/Linux
- Savoir scanner les failles des applications WEB et SGBD.
IIS, Apache2, oracle, sql.



Cette liste s'apparente plus à une recherche de procédé d'intrusion qu'à un réel audit de sécurité.
Quid de l'architecture du système d'information (parefeu, reverse proxy, ...), de la politique d'application des mises à jour de sécurité (y a-t-il au moins une liste exhaustive des logiciels/versions employés), de la résistance aux pannes (vieillissement normal, d'origine électrique, incendies, dégâts des eaux, sabotage), de l'organisation du personnel (maintenance, responsable disponible en cas de panne même les jours fériés), y a-t-il un plan de reprise d'activité en cas de sinistre ou d'intrusion, ... quelles règles ont été mises en place afin de garantir la sécurité des données personnelles et/ou commerciales, les licences d'utilisation sont-elles à jour (il en va de la sécurité juridique de l'entreprise), comment sont gérées les autorisations d'accès au système en cas de licenciement du personnel, et plein d'autres questions encore...
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 27-01-2009 17:47

Au lieu de chercher des tools qui font tout tout seul renseigne toi plutot sur les outils et methode qui permettent un meilleur securisation d'un SI
http://www.ssi.gouv.fr/fr/confiance/methodes.html

http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html

http://www.pentest.co.uk/

http://isecom.org/osstmm/

voila l'information de ses sites peut consistituer un excellent point de depart
_________________________
it's all about life
profil | edit | quote
Naudit007
Inscrit le 17-06-2007
Posté le 27-01-2009 20:37

Bon alors pour vous répondre :

lenettoyeur je ne cherche pas d'IDS, comme t'as précisé clanger.

Clanger pour être plus clair, je ne cherche pas à faire un audit complet, MAIS je cherche un logiciel, une appliance, une plateforme, permettant seulement de remonter les simples vulnérabilité 0days systeme/web présente sur mes serveurs sensibles.

Jehv mon SI va très bien.

A ce jours je réalise mes audits moi même. Mais le nombres de serveurs augmentant il m'est difficile de les auditer pour manque de temps.
Même si tout les outils et méthode qui se situent autour sont correct, je ne peux m'empêcher de connaitre le degrés de vulnérabilité de mes serveurs. Pour y appliquer les patchs.

Merci pour vos réponses.

Certes on est jamais mieux servi que par soit même mais si d'autres personnes ont d'autres applications à me proposer, je suis tout ouie.

Youhou
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 27-01-2009 22:44

justement comme l'a dit clanger si tu as une politique deja optimun (ce qui sous entend que tu as aussi une methode de gestion de ton SI cf mes links ), en theorie tu n'auras plus grand chose a tester tous les mois.

De meme si tes applications web sont correctement ecrite a quoi sert de les scanner (perturber le serveur) en permanence :/.
apres si tu tiens absolument a avoir quelques autres tools pour t'assurer tu as

acunetix , OpenVas (un fork() de nessus{quipuequiestpaslibre} ,
AppDetectivePro , shadow security scanner , CAL9000 ) il y en a probablement d'autres mais je connais que ca plus ceux que tu as citer a moins que core impact et immunity canvas entre aussi dans le lot

ps si tu as une version d'eval de ca Edgeos , ca m'interesse /me pas connaitre

_________________________
it's all about life
profil | edit | quote
clanger
Inscrit le 04-04-2007
Posté le 28-01-2009 01:25

Quote:

je cherche un logiciel, une appliance, une plateforme, permettant seulement de remonter les simples vulnérabilité 0days systeme/web présente sur mes serveurs sensibles.


Une fois rendue publique une faille 0day ne le reste que un jour par définition, autant dire qu'un audit ne résout pas ce genre de problème. Il faut plutôt lire quotidiennement les rapports de vulnérabilité rendues publiques (voir les CERT/CERTA et autres...) et appliquer les conseils fournis, quitte même à suspendre le service le tant qu'une solution soit proposée. Pour alléger la charge de travail que cela impose il faut essayer de rationaliser le plus possible le système informatique et de conserver le minimum de logiciel à surveiller (OS y compris), tout en se préparant à la catastrophe (un homme averti en vaut deux).

Quote:

A ce jours je réalise mes audits moi même. Mais le nombres de serveurs augmentant il m'est difficile de les auditer pour manque de temps.


Combien de serveurs: 10, 50, 500 ?

Quote:

Même si tout les outils et méthode qui se situent autour sont correct, je ne peux m'empêcher de connaitre le degrés de vulnérabilité de mes serveurs. Pour y appliquer les patchs.


Un patch (de sécurité) doit toujours être appliqué sauf si on a une raison légitime de ne pas le faire, sachant que dans ce cas il faut prévoir une parade efficace aux attaques (ce qui demande du temps et des compétences pour être mis en place, et génère des problèmes dans le cas où la maintenance du système doit changer de main...)
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 28-01-2009 12:39

je viens de regarder edgeos et j'ai pas du tout confiance en cette chose , et d'ailleurs j'ai pas confiance dans le software as a service surtout en matiere de securite

pour ceux qui se demande c'est quoi ca ressemble a sa http://scanist.com/
_________________________
it's all about life
profil | edit | quote
Naudit007
Inscrit le 17-06-2007
Posté le 28-01-2009 16:12

Ce n'est qu'une question de confiance ???


profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 28-01-2009 18:03

Quote:
Ce n'est qu'une question de confiance ???

Tu imagine quand meme qu'ils vont potentiellement avoir tout ton architecture reseaux , connaitre les vulnerabilites (s'ils ont pas envie de te dire que ton SI est troue tu l'as dans l'os ou s'il manque de reactivite idem) , et que ton principale concurrent est peut-etre lui aussi abonner a ca ( tout se monaye et l'information est le nerd de la guerre ).

De plus tu vas devoir laisser passer un flux incroyable pour tout scanner et l'interpreter tu te fait chier a securiser ton reseaux , mais le dessin de son architecture ses vulnerabilites potentiel traverse le net :/ un dns spoofing , mitm , injection de data dans ce flux whateveryouwant et ca ne sert plus a rien , ou plus simplement si ton prestataire se faire pirater adieu veau ,vache ,cochon bonjour les ennuies

Avec un logiciel tu as au moins la possibilite de l'isoler ,sniffer ce que fait sa MAJ , sniffer une session de scan d'un client et de le desassembler si son fonctionnement parait louche
_________________________
it's all about life
profil | edit | quote
lenettoyeur
Inscrit le 25-07-2008
Avatar
Posté le 29-01-2009 13:39

Sauf erreur il y avait également LockDown qui peut faire quelque chose pour toi.
_________________________
« Tourne 7 fois ton curseur autour du bouton envoyer avant d'appuyer ! »
profil | edit | quote
Naudit007
Inscrit le 17-06-2007
Posté le 02-02-2009 11:05

Bonjour,

Déjà, aucun prestaire ne viendra me monter ma solution, ou alors si je n'ai pas le choix, ça sera dans un environnement de test, que je déporterais plutard en production.
Ensuite cette future machine sera isolé. Je l'autoriserais juste manuellement à accéder à internet pour effectuer les mises à jours de façon temporaire.
Quote:

Tu imagine quand meme qu'ils vont potentiellement avoir tout ton architecture reseaux



jehv tu entends par la que la plateforme edgeos communique avec son éditeur ???

Et rien ne traverse le net, les logins de tests que je t'ai filer son la démo d'edgeos, certes en lignes...

J'ai trouvé un nouvelle solution :

Criston
Vulnérabilités : Audit et Remediation

A voir, j'étudie...

D'autre proposition de solution d'audit technique pour moi ?

Merci pour vos réponses même si j'ai du mal à trouver une solution adéquat.. .. vous m'avez compris.. .., ça fait plaisir d'avoir certains avis !
profil | edit | quote
Shiva
Inscrit le 14-07-2002
Avatar
Posté le 07-02-2009 13:34

Peut être Secunia te rajoutera des infos mais pas gratuit...

http://secunia.com/vulnerability_scanning/personal/

_________________________
On paye pour voir, pour entendre, quand est ce que l’on va devoir payer pour respirer ?

[ Ce Message a été édité par: Shiva le 2009-02-07 13:35 ]
profil | edit | quote
Naudit007
Inscrit le 17-06-2007
Posté le 18-02-2009 16:53

Hi Guys,

Oui merci pour Secunia Shiva,
J'ai testé la version d'évaluation, je n'ai pas trop été convaincu par l'interface.
Mais je vais me pencher sur "Secunia Corporate", voir ce qu'ils proposent.

Sinon j'ai trouvé ISS Internet Security System de IBM.
Qui a l'air très costaud : un bon multi-scanner...

Je vous fait part des docs :

http://www.iss.net/support/documentation/docs.php?product=7&family=9

Merci pour vos réponses
Si vous avez d'autres solutions à me proposer n'hésitez pas.

[ Ce Message a été édité par: Naudit007 le 2009-02-18 16:54 ]
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 18-02-2009 17:32

en fait leur outil c'est une version evoluer de nessus , normal c'est eux qui develope nessus ou plutot le contraire nessus est une version light d'internet scanner , ca vaut pas le coup.
tant qu'a avoir un outil commercial tourne toi vers un Retina de Eeye en plus t'as un eval copy http://www.eeye.com/html/products/retina/download/index.html

sinon un pote viens de tester qualys et il m'en a dit que du bien , mais c'est sous forme d'appliance et c'est utile uniquement dans un tres grand reseaux.
_________________________
it's all about life
profil | edit | quote
Naudit007
Inscrit le 17-06-2007
Posté le 26-02-2009 11:15

Oui, effectivement j'analyse Retina. Je pensais pas qu'ils proposaient une solution aussi intéressante, je l'ai ajoutée dans mon analyse compartive.
Bref mes choix divagues je change d'avis de semaines en semaines.
Acunetix à l'air performant sur le point de vu web avec sa base de connaissance google.

Il y a peu de solution qui intègre l'analyse WEB et vulnérabilité OS/services. Je viens de voir qu'il est possible d'ajouter nikto dans nessus : Sympa.
http://blog.tenablesecurity.com/2008/09/using-nessus-to.html


Bref merci les gars.

Actuellement j'ai retenu :
Criston, edgeos, Nessus, IBM ISS, Acunetix, RETINA.


Merci les gars et bonne bourres

[ Ce Message a été édité par: Naudit007 le 2009-02-26 11:15 ]
profil | edit | quote
Gorn
Inscrit le 09-01-2007
Posté le 12-03-2009 23:13

Est-ce que quelqu'un a testé Lumension Scan ?

http://www.lumension.com/landing.spring?contentId=149200&rpLangCode=3&rpLeadSourceId=4025

Une install de 3 Go qui nécessite 20 Go d'espace disque, çà doit être complet !!! non ?
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 13-03-2009 01:24

ca doit etre une enieme solution basee sur linux non!!!
un backtrack commerciale
_________________________
it's all about life
profil | edit | quote
lenettoyeur
Inscrit le 25-07-2008
Avatar
Posté le 13-03-2009 08:19

En tout cas, ça m'a pas l'air d'être aussi bien que BT.
_________________________
« Tourne 7 fois ton curseur autour du bouton envoyer avant d'appuyer ! »
profil | edit | quote
Newtopic | Reply 1 | 2 | Page suivante

Online : 80 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page