Question 9

Quelle est la différence entre un scanner de type host-based et network-based ?

Il existe plusieurs types de scanners de vulnérabilités. Nous pouvons, par exemple, citer les scanners ‘Network-based’, ‘Host-based scanners’, ‘Wireless scanners’, ‘Application scanners’ ou encore ‘Database scanners’. Ils possèdent tous leurs particularités, leurs points forts et leurs faiblesses.
Dans cette partie, nous allons détailler le fonctionnement et faire un bilan des points forts et des faiblesses de deux d’entre eux. Le scanner Network-based et le scanner Host-based scanners.

Host-based scanners

Les scanners de vulnérabilité host-based évaluent les configurations et les systèmes d’exploitation des machines locales, des serveurs et des autres hôtes du réseau afin d’identifier les vulnérabilités.
Les outils d’évaluation des vulnérabilités établis sur l’hôte peuvent également donner un aperçu des dommages potentiels qui peuvent être causés par des personnes internes et externes une fois qu’un certain niveau d’accès est accordé au scanner.
Généralement scanners de vulnérabilité host-based entrent généralement dans l’une des trois catégories suivantes :

  • Agent-serveur — Un logiciel de scanner est installé sur la machine à analyser. Le scanner effectue l’analyse de vulnérabilité et renvoie les données à un serveur central pour analyse et potentiellement proposition de remédiation. En général, les agents collectent les données en temps réel et les communiquent à un système de gestion central. L’une des difficultés de l’analyse par agent-serveur est que les agents sont les logiciels de scan, sont liés aux systèmes d’exploitation.
  • Sans agent — Cette méthode nécessite l’accès d’un administrateur accrédité pour lancer de manière centralisée des analyses de vulnérabilité ou configurer un programme automatisé. L’analyse sans agent a différents besoins en matière de système d’exploitation que les agents. Cela signifie qu’un plus grand nombre de systèmes et de ressources connectés au réseau peuvent être analysés. Cependant, les évaluations nécessitent des connexions réseau constantes et peuvent ne pas être aussi complètes qu’avec les agents.
  • Autonome — Cette analyse est dénué de connexions réseau et est la plus laborieuse des analyses de vulnérabilité fondées sur l’hôte. Il nécessite l’installation d’un scanner sur chaque hôte que vous avez l’intention de vérifier. Cette méthode est donc irréalisable pour la plupart des entreprises qui doivent diriger un grand nombre de machines dans leur parc.

Network-based scanners

Les scanners de vulnérabilité basés sur le réseau identifient les éventuelles attaques de sécurité du réseau et les systèmes vulnérables sur les réseaux câblés ou sans fil. Les scanners basés sur les réseaux découvrent les dispositifs et systèmes inconnus ou non autorisés sur un réseau, aident à déterminer s’il existe des points de périmètre inconnus sur le réseau, tels que des serveurs d’accès à distance non autorisés ou des connexions à des réseaux non sécurisés.
Un scan Network-based peut inclure les éléments suivants :

  • Brute Force Scan — Ce scan vérifie les mots de passe faibles à partir d’une liste par défaut, d’une liste de dictionnaires ou d’une liste personnalisée créée par les administrateurs système avec des mots de passe courants et non sécurisés que les utilisateurs utilisent souvent comme les anniversaires, les noms de rue ou d’animaux domestiques.
  • Analyse par accréditation — Cette analyse s’appuie sur des comptes autorisés pour effectuer des tests de pénétration et des évaluations. Un utilisateur autorisé peut vérifier les vulnérabilités sans avoir d’impact sur l’activité du réseau. Ce sont les scans passifs, dont nous avons parlé précédemment dans ce DM. Ce scan vise à découvrir et à identifier les vulnérabilités, et non à exploiter ou à perturber le réseau.
  • Analyse d’exploitation — Comme son nom l’indique, cette analyse recherche les vulnérabilités et les exploite au point de perturber le réseau. Les scans d’exploitation ne doivent donc pas être effectués lorsque leur degré d’impact sur l’entreprise risque de nuire aux opérations et aux activités en cours.

Comparaison des deux types

Le gros point fort des scanners host-based est qu’ils fournissent une très bonne visibilité des paramètres de configuration, de sécurité et de l’historique des correctifs des systèmes scannés.
Assurément, nous pourrons obtenir beaucoup plus d’information en ayant directement un accès à la machine, surtout si le scanner host-based est de type Agent-serveur et qu’il nous donne accès à l’OS.
Par exemple, notre scanner host-based policy analyzer, nous permet d’acquérir des informations très importantes sur la machine comme sa politique de sécurité, qu’il nous serait impossible d’obtenir sans être directement sur elle. Le point faible de cette méthode de scan est qu’elle peut nécessiter beaucoup de droit d’accès, que ce soit logiciel ou physique pour être utilisé. Elle a donc du sens en tant que blue team pour améliorer sa sécurité en corrigeant ses propres failles, mais moins en tant que red team. De plus, nous n’obtenons avec cette méthode de scan, que des informations sur la machine sur laquelle nous sommes basés.
Le point fort des scanners network-based est sa surface d’attaque. En effet, en analysant le réseau sous beaucoup de couture, nous pouvons acquérir une vision d’ensemble sur un parc informatique.
En contrepartie, ce scan qui donne beaucoup d’informations, offrira des informations plus superficielles puis ce qu’elle n’aura pas accès aux systèmes des machines.
Pour conclure, nous affirmons que les scans host-based et network-based possèdent des forces et des faiblesses complémentaires et ont des vocations différentes. C’est pour cette raison que ces 2 types de scanners doivent être utilisés ensemble.