Сканер уразливості OpenVAS

  1. можливості OpenVAS
  2. розгортання OpenVAS
  3. Виробляємо сканування
  4. ***

Сканери уразливості дозволяють в автоматичному режимі провести оцінку ефективності захисту систем. OpenSource рішення OpenVAS за своїми можливостями не поступається комерційним аналогам.

Інтерес до сканерів уразливості або безпеки останнім часом помітно вщух, хоча їх значущість від цього не змінилася ні скільки. Це як і раніше потрібний інструмент в руках адміністратора. Хоча деякі адміністратори ігнорують такий клас програм, зазвичай посилаючись на те що вони періодично оновлюють ПЗ і їм боятися нічого. Насправді наявність свіжої версії програми зовсім не означає відсутність проблем. І наприклад вразливість може проявлятися тільки при певних налаштуваннях, версія ПО ролі не грає. Також критично сервіси багато хто намагається не чіпати поки працює. Сканер уразливості тут буде дуже до речі, так як про такі системи буває просто забувають.
Самі сканери уразливості є логічним продовженням мережевих сканерів, вони вміють виявляти вузли та ідентифікувати сервіси (по банеру, заголовку і т.д.) і перевіряти їх по базам відомих вразливостей і на наявність специфічних дірок пов'язаних з неправильно вибрано параметр. Для деяких перевірок може здійснюватися імітація атаки (тести безпеки). За підсумками адміністратор отримує звіт, в якому наочно показана поточна ситуація. Потрібно пам'ятати що сканер уразливості це не панацея, він не може знайти те чого немає в базі.
Список продуктів дуже великий Nessus vulnerability scanner, Xspider, GFI LanGuard, SAINT, BeyondTrust Retina Network Security Scanner та інші. Практично всі рішення, які пропонували раніше безкоштовно сьогодні коммерцізіровалісь і максимум що можна отримати це обмежену версію. Тому наявність безкоштовних програм на зразок OpenVAS (openvas.org) дуже до речі.

можливості OpenVAS

Розповсюджуваний за ліцензією GNU GPL OpenVAS (OpenSource Vulnerability Assessment Scanner) є Форком популярного сканера безпеки Nessus, спочатку відкритого, але в 2005 році став закритим продуктом. І хоча вони в чомусь зберегли схожість, на даний момент це абсолютно різні рішення. З версії 6 в OpenVAS реалізована нова концепція управління інформацією про безпеку. В основі роботи OpenVAS лежить колекція NVT (Network Vulnerability Tests) тестів безпеки (понад 30000), що дозволяють виявити вразливість. Опис відомих проблем потім перевіряється по базам автоматизованого управління уразливими CVE і OpenSCAP (Security Content Automation Protocol). Сам OpenSCAP (open-scap.org) підтримує кілька специфікацій: XCCDF, OVAL, ARF, CCE, CVSS і CVE.
Як і Nessus OpenVAS побудований за клієнт-серверної схемою і складається з декількох з декількох сервісів та інструментів. Ядром є сервіс OpenVAS Scanner, який власне і виконує сканування (працює на 9391 порту). Причому в процесі перевірок систем використовуються відомі продукти: nmap і pnscan, ike-scan, pnscan, strobe і інші. Вся інтелектуальна частина міститься в OpenVAS Manager (порт 9390), яка може збирати й аналізувати результати зібрані з декількох установок OpenVAS. Це основний сервіс який забезпечує цілковитий контроль над уразливими, реалізовані управління політиками, сканування за розкладом, виявлення помилкових спрацьовувань, звітування перед в самих різних форматах (XML, HTML, LateX і ін.). Для управління сканерами використовується протокол OTP (OpenVAS Transfer Protocol), сам може отримувати команди по XML подібному OpenVAS Management Protocol (OMP). Всі настройки і зібрана інформація зберігається централізовано в SQL базі даних (SQLite).
Управління всіма функціями (основні обліковими записами і потоками OpenSCAP) проводиться через OpenVAS Administrator (порт 9393), який реалізований у вигляді інструменту командного рядка або може працювати як сервіс. Реалізовано три клієнтські частини: консольна OpenVAS CLI (omp), веб-інтерфейс Greenbone Security Assistant (GSA) (порт 443 або 9392, використовується свій microhttpd веб-сервер) і настільний Qt клієнт Greenbone Security Desktop (GSD). При цьому CLI і GSD доступні для Linux і Windows.
Крім цього підтримується інтеграція з іншими продуктами, класу ISMS (Information Security Management System) і системами моніторингу (Nagios).
Мажорні поновлення OpenVAS виходять кожні 12 місяців.

розгортання OpenVAS

Проект для установки пропонує вихідні тексти, також на сайті OpenVAS доступні посилання на репозитарії для CentOS / RedHat 6, Debian 6-7, Fedora 15-20, openSUSE. Відкривши репозиторій (download.opensuse.org/repositories/security:/OpenVAS:/UNSTABLE:/v6/) для Debian знаходимо посилання на репозитарії для Ubuntu 12.10-13.04, SUSE Linux Enterprise 11 і Mandriva 2011. Також розробники Ubuntu пропонують неофіційний репозитарій для цієї ОС (launchpad.net/~openvas). Для перевірки правильності установки пропонується спеціальний скрипт openvas-check-setup (svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup) який може виявити будь-які помилки в конфігурації і наявність потрібних служб, а також видає рекомендації щодо їх усунення.
Також пропонується OVA образ для віртуальних машин який сумісний з VirtualBox і ESXi (всередині Debian Squeeze). У більшості випадків це найзручніший варіант, його і розглянемо далі. В системі кілька акаунтів за замовчуванням: root / root, openvas / openvas і адміністратор веб-панелі admin / admin. Всі паролі слід обов'язково змінити за допомогою команди passwd і для admin Extras / My Settings. Після завантаження віртуальної машини заходимо як користувач root, після чого оновлюємо ОС:

# Apt-get dist-upgrade # apt-get upgrade

Розкладка в локальної консолі не надто вдала (її можна поміняти в / etc / default / keyboard), тому краще все настройки системи і запуск консольних команд виробляти віддалено через ssh.

# Apt-get install openssh-server

Адреса для входу в веб-інтерфейс автоматично відображається в консолі після реєстрації користувача openvas, його також можна дізнатися за допомогою ifconfig.
Далі рекомендується змінити ключі:

# Gpg --homedir = / usr / local / etc / openvas / gnupg --delete-secret-keys 94094F5B # gpg --homedir = / usr / local / etc / openvas / gnupg --delete-keys 94094F5B # openvasmd - create-credentials-encryption-key # /etc/init.d/openvas-manager restart

Цього достатньо. Більш детальна інформація за деякими налаштувань додатків можна отримати в файлах INSTALL і README в підкаталогах / root / build, в меню Greenbone (Help - Contents або натиснувши знак «?» В підміню), і звичайно ж на сайті проекту.

Виробляємо сканування

Інтерфейс GSA взагалі не складний, і хоча не локалізований зорієнтуватися в налаштуваннях дуже легко. У самому верху розташовано меню містить 7 пунктів відповідних певної задачі або налаштувань. Після реєстрації можна відразу приступити до перевірки, в цьому допоможе майстер зустрічає на екрані запрошення, після натискання на фіолетовий значок в панелі Tasks. Поле «Quick start: Immediately scan an IP address» (рис.1) дозволяє відразу ж створити завдання для перевірки вузла або мережі. Для цього потрібно просто вказати IP або ім'я. Сканування проводиться з настройками за замовчуванням (Full and fast), вибравши гіперпосилання поруч відразу можемо переглянути установки.

Самі політики сканування налаштовуються в Configuration - Scan Configs. Тут вже є 5 політик: одна порожня (empty) і 4 переднастроєні. За кількістю тестів (на момент написання цих рядків 33144) переднастроєні політики між собою не відрізняються. Різниця лише в настройках сканера. Готові політики діляться також на fast і deep. Другі не враховують результати попередніх тестів і вся процедура кожен раз повторюється спочатку. З досвіду скажу що deep рідко коли видає щось особливе, але ось час сканування збільшується в рази. Тому при першому скануванні досить використовувати Full and fast або Full and fast ultimate, в подальшому критичні системи можна (для самозаспокоєння) додатково перевірити deep політиками. Налаштування конкретної політики легко дізнатися вибравши в полі Actions фіолетову кнопку «Scan Config Detail» (рис.2).

Налаштування готових політик міняти не можна, але їх можна експортувати (зелена Export Scan Config) або клонувати щоб створити на їх основі свою, для просто натискаємо помаранчеву Clone. В результаті з'являється ще одна політика з закінченням Clone 1. Використовуючи кнопку Edit Scan Config змінюємопараметри. Їх тут дуже багато, все NVT тести згруповані за різними типами операційних систем і мережевого устаткування, містять настройки nmap, ping, snmpwal, настройки логіна, використання ARP, перевірки паролів і багато іншого. Звичайно деякий час буде потрібно щоб у всьому розібратися (якщо немає бажання використовувати установки за замовчуванням). Самі тести можуть бути динамічними (додаються самостійно) або статичними.
У підрозділі Configuration є ще ряд корисних пунктів з яким слід ознайомиться, так як потім настройки будуть фігурувати в завданні. Наприклад, в Targets - Port List задається список портів, які будуть перевірятися на кінцевих вузлах. Тут 9 преднастроек, за замовчуванням в завданні використовується OpenVAS Default. У Targets - Credential вказуються облікові записи користувачів від імені яких буде проводиться підключення до віддалених вузлів і перевірка системи (якщо користувач доменний, то логін вказуємо в форматі домен \ логін). Для аутентифікації можна використовувати як логін і пароль, так і публічний / приватний ключ. В Configuration - Slave додаються додаткові OpenVAS Manager, який буде використовуватися для перевірки вузлів. Завдання можна запускати вручну, але краще це робити автоматично під час меншої завантаженості систем. Для цього слід в Configuration - Schedules створити завдання. Вибираємо New Schedule і в запропонованих полях вказуємо назву, час першого запуску, часовий пояс (якщо не збігається з поточним), і періодичність.
Тепер налаштовуємо вузли які будуть скануватися. Переходимо в Configuration - Target, тут знаходимо готове завдання для перевірки локальної системи і створене за допомогою Quick start. Натискаємо New Target (зірочка) і вказуємо назву, вписуємо вузли (IP, діапазон, ім'я вузла), Port List, підключаємо Credential. Можливо прописати всі вузли в текстовий файл, який і вказати за допомогою «From file».
Все готово щоб створити нове завдання перевірки безпеки. Переходимо в розділ Scan Management - New Task, і заповнюємо поля (рис.3): вказуємо ім'я та опис, у випадних списках вибрати все, що ми раніше налаштовували - політику сканування, вузли, розклад і т. Д.
Налаштування готових політик міняти не можна, але їх можна експортувати (зелена Export Scan Config) або клонувати щоб створити на їх основі свою, для просто натискаємо помаранчеву Clone

Деякі параметри підписані як optional їх можна не чіпати. Натискаємо Create Task, завдання з'являється в Scan Management - Task. Поточний стан відображається в поле Status, в поле Actions знаходяться кнопки дозволяють управляти завданням: запустити, зупинити, змінити налаштування, клонувати, експортувати і т. Д. Натискаємо Start і чекаємо закінчення сканування (перед цим краще встановити автообновление вікна, щоб бачити прогрес). Після закінчення сканування можемо переглянути звіт, для цього слід натиснути на Task Detail (рис.4).
Деякі параметри підписані як optional їх можна не чіпати

Звіт містить дві позиції Threat (загрози) і Scan Results. Усі попередження розбиті на 4 позицій за рівнем небезпеки. Основну увагу слід звернути на High, Medium і Low, які власне і вказують на проблеми. Звіти None, Log і False Pos показують зазвичай попередження про невдалі операціях. Докладний звіт можна побачити натиснувши Details, і потім вибрати формат для експорту (PDF, TXT, HTML, XML та інші) і при необхідності фільтри. Кнопка Compare дозволяє порівняти звіти. Це дуже корисна операція, що дозволяє побачити що змінилося з часу останнього сканування, наприклад оцінити ефективність вжитих заходів безпеки.
В Asset Management - Hosts доступний ще один вид звіту Prognostic Report дозволяє оцінити всі попередження відносяться до конкретнуму вузлу отримані в ході попередніх перевірок. Цілком ймовірно що деякі звіти сканера можуть містити помилкові спрацьовування, щоб вони не заважали використовується розділ Override В Note можна прописувати сяке-таке пояснення яке прив'язується до NVT тесту.
Періодично слід оновлювати NVT / SCAP / CERT бази, всі налаштування знаходяться в Administration, в трьох однойменних розділах. Крім цього можна використовувати консольні команди:

# Openvas-nvt-sync # openvas-scapdata-sync # openvas-certdata-sync # openvassd # openvasmd --rebuild # killall openvassd # /etc/init.d/openvas-scanner restart # /etc/init.d/openvas- manager restart # /etc/init.d/openvas-administrator restart # /etc/init.d/greenbone-security-assistant restart

Для зручності їх краще запускати за допомогою cron, оновлюючи бази перед скануванням.

***

OpenVAS це дуже простий у використанні, не вимагає серйозного навчання і налаштувань і до того ж абсолютно безкоштовний продукт, що дозволяє на порядок підняти захищеність мережі.

Help - Contents або натиснувши знак «?