Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - D�finition des �valuations et des essais

8.2. D�finition des �valuations et des essais

Les �valuations de vuln�rabilit�s peuvent �tre s�par�es en deux types�: de l'ext�rieur vers l'int�rieur et de l'int�rieur vers l'int�rieur.

Lors d'une �valuation de vuln�rabilit�s de l'ext�rieur vers l'int�rieur, vous essayez de compromettre vos syst�mes de l'ext�rieur. �tre en dehors de votre soci�t� vous offre le point de vue du pirate. Vous pouvez voir ce qu'un pirate voit — les adresses IP routables de fa�on publique, les syst�mes sur votre DMZ, les interfaces externes de votre pare-feu et bien plus encore. DMZ signifie zone d�militaris�e (de l'anglais demilitarized zone) et correspond � un ordinateur ou un petit sous-r�seau qui se situe entre un r�seau interne de confiance, comme un LAN priv�, et un r�seau externe qui n'est pas de confiance, comme l'internet public. Une DMZ contient normalement des p�riph�riques accessibles au trafic Internet, comme les serveurs Web (HTTP), les serveurs FTP, les serveurs SMTP (courrier �lectronique) et les serveurs DNS.

Lors d'une �valuation de vuln�rabilit�s de l'int�rieur vers l'int�rieur, vous avez un avantage vu que vous �tes interne et que votre statut devient de confiance. Ceci est le point de vue que vos coll�gues et vous poss�dez une fois connect�s sur vos syst�mes. Vous verrez les serveurs d'impression, les serveurs de fichiers, les bases de donn�es et d'autres ressources.

Il existe de grandes diff�rences entre ces deux types d'�valuation de vuln�rabilit�s. �tre � l'int�rieur de votre soci�t� vous donne des privil�ges �lev�s — sup�rieurs � toute autre personne de l'ext�rieur. De nos jours, dans la plupart des soci�t�s, la s�curit� est toujours configur�e de mani�re � garder les intrus dehors. Peu est fait pour s�curiser les internes de la soci�t� (comme les pare-feu de d�partements, les contr�les d'acc�s au niveau de l'utilisateur, les proc�dures d'authentification pour les ressources internes et autres). En g�n�ral, il existe bien plus de ressources de l'int�rieur vu que la plupart des syst�mes sont internes � la soci�t�. Une fois que vous devenez externe � la soci�t�, votre statut n'est imm�diatement plus de confiance. Les syst�mes et les ressources qui vous sont disponibles de l'ext�rieur sont g�n�ralement bien plus limit�s.

Consid�rez la diff�rence entre les �valuations de vuln�rabilit�s et les essais de p�n�tration. Pensez � l'�valuation de vuln�rabilit�s comme la premi�re �tape d'un essai de p�n�tration. Les informations glan�es depuis l'�valuation seront utilis�es dans les essais. Alors que l'�valuation v�rifie les trous et les vuln�rabilit�s potentielles, les essais de p�n�tration essaient en fait d'exploiter les conclusions.

L'�valuation d'une infrastructure r�seau est un processus dynamique. La s�curit�, des informations et physique, est dynamique. Effectuer une �valuation offre une vue d'ensemble, qui peut trouver des faux positifs et des faux n�gatifs.

Les administrateurs de s�curit� sont aussi comp�tents que les outils qu'ils utilisent et les connaissances qu'ils retiennent. Prenez n'importe quel outil d'�valuation actuellement disponible, ex�cutez-le sur votre syst�me et il est pratiquement garanti qu'il existera au moins plusieurs faux positifs. Que ce soit une faute de programme ou une erreur d'utilisateur, les r�sultats seront les m�mes. L'outil peut trouver des vuln�rabilit�s qui, en fait, n'existent pas (faux positifs)�; ou, au pire, l'outil peut ne pas trouver des vuln�rabilit�s qui existent bien (faux n�gatifs).

Maintenant que la diff�rence entre l'�valuation de vuln�rabilit�s et l'essai de p�n�tration a �t� �tablie, il est souvent de bonne habitude de rassembler les conclusions de l'�valuation et de les passer en revue avec attention avant de proc�der � un essai de p�n�tration.

AvertissementAvertissement
 

Essayer d'exploiter les vuln�rabilit�s de ressources de production peut avoir des effets n�gatifs sur la productivit� et l'efficacit� de vos syst�mes et r�seaux.

La liste suivante examine certains avantages li�s au fait d'effectuer des �valuations de vuln�rabilit�s.

  • Accent proactif port� sur la s�curit� des informations

  • Exploits potentiels d�couverts avant que les pirates ne les trouvent

  • Syst�mes habituellement � jour et avec des correctifs

  • Am�lioration et aide au d�veloppement de l'expertise du personnel

  • R�duction de perte financi�re et de mauvaise publicit�

8.2.1. �tablissement d'une m�thodologie

Pour aider � s�lectionner les outils pour des �valuations de vuln�rabilit�s, il est utile d'�tablir une m�thodologie d'�valuation de vuln�rabilit�s. Malheureusement, il n'existe � ce jour aucune m�thodologie approuv�e par l'industrie ou pr�d�finie�; cependant, du bon sens et de bonnes habitudes peuvent suffisamment servir de guide.

Quelle est la cible�? Faisons-nous face � un serveur ou � notre r�seau entier et tout ce qui s'y trouve�? Sommes-nous externes ou internes � la soci�t�? Les r�ponses � ces questions sont importantes vu qu'elles vous aideront � d�terminer non seulement les outils � s�lectionner, mais �galement la mani�re de les utiliser.

Pour en savoir plus sur l'�tablissement de m�thodologies, veuillez consulter les sites Web suivants�:

 
 
  Published under the terms of the GNU General Public License Design by Interspire