Nipper, audit de configuration

Hello all,

Tout d’abord désolé de ne pas avoir posté d’article depuis un bout de temps. Entre mon déménagement, le temps d’attente pour la récupération du net, le boulot, les conférences SSTIC, Hack In Paris, NDH2K11, et s’occuper de la petite, ca ne laisse pas beaucoup de temps.

En tout cas, cela fait extrèmement du bien de retrouver le net ! surtout avec 17 mégas, ça le fait !

J’ai reçu pas mal de mails depuis quelques temps concernant mon boulot. Pour information, non je ne travaille pas chez Bull, mais c’est mon pote Romain qui poste de temps en temps sur ce blog. Pour ma part, après avoir fais un petit détour à l’ESEC Sogeti dans l’équipe pentest, je me suis dirigé chez Telindus dans l’équipe SRC (Security Research Center) ou j’effectue des tests d’intrusion (TI, TIE, audit de conf, un peu de R&D, etc.).

Seconde petite précision, non,  je ne suis pas nico34 de zenk-security ;-)

Tiens, en parlant de zenk, j’ai pu revoir certains membres IRL lors de la NDH2k11. On a d’ailleurs participé au CTF mais,  malheureusement, le challenge a été annulé vers 1h00 du matin à cause de différents problèmes techniques. Nous étions assez dégoutés mais on se met à la place du staff pour qui, la déception a été énorme !

Aller, on se remet en jambe avec un soft qu’on utilise de temps en temps au taff, à savoir Nipper.

Cet outil a été développé par titania-security et permet d’auditer la configuration de plusieurs équipements tels :

  • Check Pont VPN-1/Firewall-1 ;
  • Cisco Routers (IOS) ;
  • Crossbeam Firewalls ;
  • Juniper NetScreen Firewalls ;
  • Nokia IP Firewalls ;
  • WatchGuard X Core/Edge ;
  • SonicWALL Firewall (SonicOS) ;
  • etc.

Vous pouvez consulter la liste complète ici.

L’interface est assez intuitive, il suffit simplement de charger le fichier de configuration et de lancer l’analyse. La nouvelle version de Nipper detècte automatiquement l’équipement en fonction du/des fichier(s) importé(s). Voici un exemple avec l’importation d’un fichier de conf Juniper :

Quelques « next » suivants, un rapport automatisé est généré. Ce dernier contient l’ensemble des problématiques de sécurité détectées sur votre conf. On peut y retrouver différents thèmes tels :

  • Les règles du pare-feu trop permissives ;
  • Les fonctionnalités IDS non implémentées ;
  • Le port AUX non désactivé ;
  • Des noms de communautés SNMP trop faibles ;
  • L’utilisation des comptes par défaut ;
  • Etc.

Le rapport indique pour chaque problématique, son niveau de criticité ainsi que  la difficulté de correction. Ces informations sont très utiles afin de prioriser et d’organiser un plan d’action pour corriger les multiples défauts de sécurité détectés.

Le rapport indique également (ce qui est assez utile) les commandes permettant de corriger le problème. Pour exemple, sur la thématique des comptes et mots de passe par défaut, Nipper inclus dans la partie « recommandation », les différentes commandes pour changer le nom d’un compte ainsi que le mot de passe, ex  :

Également, se trouve à la fin du rapport un récapitulatif d’informations utiles à savoir : les interfaces réseaux, les vlans, les zones, les objets, etc.

Pour finir, bien que l’outil soit plutôt bien fait, j’ai constaté un bug assez gênant (remonté à l’éditeur).

Lors de l’analyse d’une configuration Juniper NetScreen,  j’ai remarqué que Nipper effectue une analyse des règles du pare-feu en fonction de leur identifiant (ID) alors que Juniper, analyse les règles ligne par ligne. Concrètement, cela signifie que si une règle ayant l’ID 10 est en première position et que la règle suivante contient l’ID 2, Nipper va ranger de la manière suivante :

  1. Règle ID 2 ;
  2. Règle ID 10.

Tandis que sur Juniper, on aura cet ordre :

  1. Règle ID 10 ;
  2. Règle ID 2.

Ce défaut est un vrai problème car le rapport va potentiellement incorporer des faux-positifs.

J’attends donc un retour de leur part afin de savoir si le bug sera corrigé rapidement.

Téléchargement & Installation

https://www.titania-security.com/downloads

Il est nécessaire de s’enregistrer pour pouvoir récupérer une licence d’essai (outil payant).

Nipper est disponible sur les systèmes d’exploitation suivants : Windows, Mac OS X, Ubuntu GNU/Linux, Fedora GNU/Linux et CentOS GNU/Linux.

Documentation

Titania-security a fait les choses bien côté documentation. En effet, est disponible sur leur site, plusieurs procédures montrant la façon d’extraire les fichiers de configuration sur différents équipements (très utile lorsque l’on ne connait pas trop le produit).

Ces docs sont disponibles à l’endroit suivant : https://www.titania-security.com/support/documentation. N’hésitez surtout pas à les consulter.

Bonnes vacances à tous et à très vite pour la découverte d’un nouvel outil ;-)

18 Responses to "Nipper, audit de configuration"

  • Fred says:
  • Eric says:
  • hisokum says:
  • Nicolas says:
  • PoneyCompliantMan says:
  • Nicolas says:
  • Manu says:
  • Nicolas says:
  • tecko says:
  • Mido says:
  • Romain says:
  • Tarzan says:
  • Steven en Tong says:
  • Romain says:
  • Steven en Tong says:
  • Romain says:
  • Nicolas says:
  • lulz says:
Laissez un commentaire

Powered by sweetCaptcha