Nessus - un scanner de vulnérabilité

Glossaire

B

Base de connaissances : ou Knowledge Base (KB) en anglais. La base de connaissances du serveur Nessus est une matrice stockée en mémoire pendant toute la durée du scan (à la fin du scan, cette matrice est libérée). Elle contient des renseignements sur les hôtes cibles, recueillis pendant un scan. Parmi ces informations, on retrouve la liste des ports ouverts, le type et la version de service réseau associé aux ports ouverts, le type de système d'exploitation, etc. Le but premier de cette base de connaissances était de réduire la redondance au niveau des tests et rendre accessibles les informations pour les plugins.

Buffer overflow : ou dépassement/débordement de tampon. Conséquence causée par un processus qui, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Le comportement de l'ordinateur devient alors imprévisible et peut se caractériser par un blocage du programme, voir de tout le système.

C

CCE : Common Configuration Enumeration. CCE est un groupe de travail qui contribue au développement du CCE List par des discussions, conférences, meetings. Cette CCE List est divisée en plusieurs fichiers Excel pour correspondre aux différentes plates-formes. Elle permet d'énumérer, pour chaque faute de configuration, un identifiant unique, une description, les problèmes techniques rencontrés, ...

CPE : Common Platform Enumeration. CPE est un dictionnaire pour le stockage structuré de données de systèmes, de plates-formes et de packages. CPE inclut un langage de description de contenu complexe.

CVE : Common Vulnerabilites and Exposures. CVE est un dictionnaire publique de vulnérabilités connues, associées à leurs risques.

CVSS : Common Vulnerability Scoring System. CVSS est un framework opensource permettant de mesurer la gravité de l'impact qu'ont les vulnérabilités par une génération de score précis. CVSS est la référence des outils de mesure pour les entreprises et le gouvernement. CVSS segmente les risques (en métrique basique, temporelle et environnementale) et les pondèrent par des formules mathématiques. Grâce à CVSS, Nessus peut appliquer des criticités aux failles de sécurité.

D

DoS : Denial of Service ou déni de service en français. Une attaque déni de service est caractérisée par une tentative explicite par des attaquants afin d'empêcher les utilisateurs légitimes d'un service, d’utiliser ce service. On peut définir une attaque par déni de service comme une attaque qui a pour but de rendre indisponible un service (bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web, empêcher la distribution de mails dans une entreprise ou rendre indisponible un site internet).

DDoS : Distributed Denial of Service. Le principe est d’utiliser plusieurs sources (daemons en esclave) pour l’attaque et des maîtres (masters) qui les contrôlent. Le pirate utilise des maîtres (tout en effaçant ses traces) pour contrôler plus facilement les sources. En effet, il a besoin de se connecter (en TCP) aux maîtres pour configurer et préparer l’attaque. Les maîtres se contentent d’envoyer des commandes aux sources en UDP. Pour installer les daemons et les masters, le pirate utilise des failles connues (buffer overflow sur des services RPC, FTP ou autres).

F

Faux positif : Résultat d'une prise de décision à deux choix (positif ou négatif) déclaré à tort, là où il est en réalité négatif.

G

Garbage Collector poor : ou ramasse-miettes, ou récupérateur de mémoire. Un Garbage Collector est un mécanisme de gestion automatique de mémoire. Il est responsable du recyclage de la mémoire préalablement allouée puis inutilisée. Dans le cas d'un Garbage Collector poor, on alloue de la mémoire pour chaque token et on associe un compteur à chaque token. Quand le token arrive à 0, on libère la mémoire.

I

IDS : Intrusion Detection System ou système de détection d'intrusions. Un IDS est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysé (un réseau ou un hôte défini). Il permet d'avoir une connaissance sur les tentatives d'intrusions (réussies ou échouées).

Injection : Injection de code visant à exploiter une faille de sécurité d'une application. Cette vulnérabilité est présente lorsque le développeur laisse un champ texte trop permissif par l'utilisateur par exemple. L'utilisateur peut alors encapsuler une partie de code et détourner des authentifications (par exemple).

K

Kerberos : Protocole d'authentification réseau utilisant un système de ticket au lieu de mots de passe en texte clair. Ce principe renforce la sécurité des systèmes d'information en empêchant un intrus d'intercepter le mot de passe. Kerberos utilise un chiffrement par clé symétrique.

M

Man In The Middle : Attaque qui a pour but d'intercepter les communications entre 2 parties sans que ni l'une ni l'autre ne puisse se douter que le cannal de communication a été compromis.

O

OVAL : Open Vulnerability and Assessment Language. OVAL est un ensemble de standards pour promouvoir des informations relatives à la sécurité et pour standardiser le transfert de ces informations pour tous les outils de sécurité.

P

Plugins : Un plugin correspond en réalité à un script NASL.Dans le logiciel Nessus, on appelle plugins des failles de sécurité par abus de langage, puisque Nessus télécharge une liste de plugins et que l'administrateur Nessus peut développer ses propres scripts qui viennent se greffer à l'existant. L'utilisateur peut sélectionner les plugins qui l'intéresse pour spécifier les attaques.

S

SCAP : Security Content Automation Protocol. SCAP est une méthode permettant la gestion des vulnérabilités de manière automatique, leurs mesures et leurs évaluations. SCAP se compose de plusieurs standards pour l'énumération de failles de sécurité et des problèmes de configuration liés à la sécurité. Parmi ces standards, on retrouve :

Se sont ces mêmes standards qui sont utilisés pour développer des applications telles que les scanners de vulnérabilité, IDS/IPS (Intrusion Detection System/Intrusion Prevention System), anti-malware, ...

SYN : Numéro de séquence de synchronisation pour une demande de connexion TCP. Ce flag est mis à 1 uniquement dans le premier paquet d'une demande de connexion. Si la connexion est corectement établie, alors l'émetteur reçoit une réponse TCP avec le flag ACK mis à 1. C'est le three way handshake :

SYN flood : Attaque visant à atteindre un déni de service par inondation de requêtes SYN vers la cible :

SSL : Secure Sockets Layer. Le protocol SSL a été proposé au départ par Netscape et permet des connexions sécurisées. Il permet une authentification réciproque entre le client et le serveur à l'aide de clés symétriques, mais également des transactions cryptées entre le client et le serveur.

X

XCCDF : Extensible Configuration Checklist Description. XCCDF est un langage qui permet de normaliser des documents de sécurité de type checklist et benchmarks dans des fichiers XML.


Haut de page