Utiliser les scanners

les ingénieurs de Network Associates,
l’interface ePO de CyberCop est moins
conçue pour du scanning interactif
que pour configurer des politiques que
CyberCop exécute automatiquement.
C’est pourquoi il m’est arrivé de m’impatienter
en attendant que des jobs de
scanning s’exécutent, sans pouvoir visualiser
la progression en temps réel.

Comme CyberCop utilise une architecture
distribuée, la console ePO
pousse les détails d’un scanning vers le
moteur de scanning selon un intervalle
de polling ajustable. Quand le moteur
de scanning de CyberCop a reçu ses
ordres, il les exécute et retransmet les
résultats à  la console ePO par tranches
de 250 Ko. Quand le scanning est terminé,
on peut demander un rapport
des résultats – mais sans savoir exactement
quand le logiciel le fournira. J’ai
souvent dû attendre 10 minutes pour
visualiser les résultats d’un scanning
sur hôte unique dont l’exécution ne
durait que 2 ou 3 minutes.

Internet Scanner et NetRecon peuvent
tous deux lancer un scanning immédiatement
et mettre à  jour l’interface
au fur et à  mesure qu’il progresse.
Si j’ai configuré un scanning incorrectement
dans mon test, j’ai immédiatement
pris conscience de mon erreur,
par un message d’erreur ou par l’absence
de données dans le panneau de
résultats de l’interface.

Les trois produits permettent de
scanner une suite d’hôtes d’après les
adresses IP que vous définissez manuellement
ou importez à  partir d’un
fichier HOSTS. Chaque produit peut
également inventorier à  l’aveuglette
une suite IP que vous pourrez ensuite
utiliser comme base d’un fichier
HOSTS, dans lequel vous pourrez ajouter
ou supprimer des hôtes à  votre gré.
Une doléance : Internet Scanner avait la fâcheuse tendance de trouver des
hôtes « fantômes » de systèmes supprimés
depuis longtemps du réseau.
J’étais donc obligé d’effectuer un nettoyage
manuel du fichier HOSTS avant
de l’importer.

Une autre tâche importante de
l’utilisateur consiste à  configurer les
politiques de scanning : elles permettent
de définir les frontières précises
des scannings. Les trois produits recensent
des centaines de vulnérabilités
et d’attaques dans leurs bases de données
et ils vous permettent de définir
des filtres d’après de nombreux critères
: OS, intervalles d’IP, subnets, services,
timers, et bien d’autres. La possibilité
de personnaliser les scannings
fait gagner du temps et économise de
la bande passante réseau. CyberCop
propose des modèles de politique et
des configurations optionnelles vous
permettant de définir méticuleusement
un scanning. Mieux encore,
CyberCop vous permet également de
consulter le journal d’événements
Windows pour vous assurer de la
conformité aux politiques de sécurité
ou de gestion.

Tous les produits vous permettent
aussi de créer des politiques personnalisées.
La figure 3, montre Policy Editor
intégré d’Internet Scanner. Le panneau
de gauche présente la hiérarchie des
catégories et des vulnérabilités du modèle
de base. Le panneau de droite
contient les détails de configuration
d’une vérification de vulnérabilité particulière.
Le détail est excellent mais
envahissant quand on sait que ce modèle
de base vous permet de définir et
de configurer des politiques pour 942
vulnérabilités. Heureusement, chaque
produit offre plusieurs modèles de politique
prédéfinis que l’on peut utiliser
et modifier sans y consacrer trop de
temps.