Как использовать OpenVAS для аудита безопасности удаленных систем в Ubuntu 12.04

Статус: устарело

В этой статье рассматривается версия Ubuntu, которая больше не поддерживается. Если вы в настоящее время используете сервер под управлением Ubuntu 12.04, мы настоятельно рекомендуем обновить или перейти на поддерживаемую версию Ubuntu:

• Обновите Ubuntu до версии 14.04.
• Обновление Ubuntu 14.04 до Ubuntu 16.04
• Перенесите данные сервера в поддерживаемую версию.

Причина:

Смотрите вместо этого:

Введение

Важным аспектом безопасности сервера является активная проверка безопасности. Если вы предоставляете какие-либо услуги в Интернете, тестирование на проникновение необходимо, чтобы убедиться, что вы не уязвимы для известных угроз.

Открытая система оценки уязвимостей, более известная как OpenVAS, представляет собой набор инструментов, которые работают вместе для запуска тестов на клиентских компьютерах с использованием базы данных известных эксплойтов и уязвимостей. Цель состоит в том, чтобы узнать, насколько хорошо ваши серверы защищены от известных векторов атак.

В этом руководстве мы установим пакет OpenVAS на Ubuntu 12.04 VPS. Затем мы можем использовать эту систему для сканирования себя и других серверов.

Добавьте OpenVAS PPA и установите программное обеспечение

Хотя в репозиториях Ubuntu по умолчанию есть некоторые компоненты OpenVAS, мы будем использовать PPA, который поддерживает обновленные версии пакетов.

Для начала нам нужно установить пакет python-software-properties, который позволит нам легко работать с PPA.

sudo apt-get update
sudo apt-get install python-software-properties

Затем мы можем добавить новейшую стабильную версию в нашу систему:

sudo add-apt-repository ppa:openvas/openvas6

Нам нужно перестроить базу данных apt, чтобы собрать информацию о пакетах, доступных через наш новый PPA. После этого мы можем установить необходимое программное обеспечение:

sudo apt-get update
sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

Это загрузит и установит компоненты, необходимые для начала работы.

Начальная конфигурация

Мы можем создавать SSL-сертификаты для OpenVAS с помощью утилиты-оболочки, которая включена по умолчанию. Нам нужно вызвать это с правами администратора, чтобы его можно было поместить в ограниченную часть файловой системы.

sudo openvas-mkcert

Вам будет задан ряд вопросов, которые помогут вам создать файл сертификата для использования с этим сервером.

В большинстве вопросов вы можете просто нажать ENTER, чтобы принять значения по умолчанию. Это в основном для вашего собственного использования, поэтому введите значения, которые вы хотели бы использовать.

Далее мы создадим еще один сертификат. На этот раз мы создадим клиентский сертификат для пользователя с именем «om», что означает OpenVAS Manager. Нам не нужна какая-либо конкретная информация для клиентской части, поэтому мы скажем ему настроить все автоматически и установить сертификаты в нужные места:

sudo openvas-mkcert-client -n om -i

Создайте информацию о базе данных

Теперь, когда у нас установлены сертификаты, мы можем приступить к созданию нашей базы данных, чтобы наши локальные инструменты знали о различных видах угроз и уязвимостей.

Обновите базу данных тестов сетевой уязвимости, выполнив следующую команду:

sudo openvas-nvt-sync

Это загрузит последние определения на ваш локальный компьютер.

Чтобы продолжить, нам нужно остановить приложения менеджера и сканера, чтобы мы могли мгновенно вызывать команды без конфликтов.

Остановите обе эти службы, набрав:

sudo service openvas-manager stop
sudo service openvas-scanner stop

Теперь мы можем запустить приложение сканера без параметров, найденных в файле инициализации, которые обычно вызываются. Во время первого запуска OpenVAS потребуется загрузить и синхронизировать большое количество данных. Это займет довольно много времени:

sudo openvassd

Как только это будет завершено, вам нужно будет перестроить базу данных, созданную сканером, набрав:

sudo openvasmd --rebuild

Далее мы загрузим и обновим данные протокола автоматизации содержимого безопасности. Это известно как данные «SCAP». Это еще одна база данных, которую OpenVAS проверяет для наших тестов безопасности.

sudo openvas-scapdata-sync

Это будет еще одно долгое ожидание. Он загружает некоторые общие файлы, а затем обновляет их в базе данных.

Затем мы запустим аналогичную операцию синхронизации для данных сертификата:

sudo openvas-certdata-sync

Запустив эту команду в первый раз, вы можете увидеть некоторые ошибки. Они могут выглядеть примерно так:

Error: no such table: meta

Это связано с тем, что в пакете Ubuntu на самом деле отсутствуют некоторые файлы, которые были упакованы в некоторые другие версии.

Мы можем получить их из пакета RPM для компонента менеджера. Введите это, чтобы загрузить его в свой домашний каталог:

cd
wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

Теперь, когда у нас есть загруженный файл, мы можем извлечь и расширить структуру каталогов, присутствующую в RPM. Мы можем сделать это, набрав:

rpm2cpio openvas* | cpio -div

Мы создадим каталог для наших новых файлов в том месте, где их найдет OpenVAS. Затем мы переместим файлы в этот каталог:

sudo mkdir /usr/share/openvas/cert
sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

Теперь мы можем снова безопасно запустить команду синхронизации сертификата, и на этот раз она должна завершиться, как и ожидалось:

sudo openvas-certdata-sync

После этого мы можем удалить извлеченные данные и каталоги RPM из нашего домашнего каталога:

rm -rf ~/openvas* ~/usr ~/etc

Настройка пользователя и портов OpenVAS

Чтобы войти в наш сервис, нам понадобится пользователь. Мы можем создать его с помощью компонента администратора OpenVAS.

Здесь мы создадим пользователя с именем «admin» с ролью администратора. Вам будет предложено ввести пароль для использования для новой учетной записи:

sudo openvasad -c add_user -n admin -r Admin

Вы будете проинформированы о том, что пользователю предоставлен неограниченный доступ.

Далее нам нужно изменить способ запуска одного из наших компонентов. Компонент Greenbone Security Assistant представляет собой веб-интерфейс к установленным нами инструментам.

По умолчанию интерфейс доступен только с локального компьютера. Поскольку мы устанавливаем пакет OpenVAS на удаленный сервер, мы не сможем получить доступ к веб-интерфейсу с этими настройками. Нам нужно сделать его доступным из Интернета.

Откройте следующий файл с привилегиями root в предпочитаемом вами текстовом редакторе:

sudo nano /etc/default/greenbone-security-assistant

Вверху вы должны увидеть параметр, указывающий адрес, который будет прослушиваться веб-интерфейсом. Нам нужно изменить значение с 127.0.0.1 на общедоступный IP-адрес вашего VPS. Это позволит ему прослушивать соединения из Интернета, и мы сможем подключиться:

<пред>

Сохраните и закройте файл, когда вы внесли указанные выше изменения.

Запустите службы

Теперь мы запустим службы, которые мы настроили. Большинство из них уже работают в той или иной степени, но нам придется перезапустить их, чтобы убедиться, что они используют новую информацию, которую мы собираем.

Начните с уничтожения всех запущенных процессов сканера OpenVAS:

sudo killall openvassd

Для фактического уничтожения процесса может потребоваться до 15 или 20 секунд. Вы можете проверить, есть ли еще запущенные процессы, выполнив:

ps aux | grep openvassd | grep -v grep

Если что-то возвращается, значит, ваши процессы еще не завершены, и вам следует продолжать ждать.

После полного завершения процесса вы можете снова запустить все свои службы:

sudo service openvas-scanner start
sudo service openvas-manager start
sudo service openvas-administrator restart
sudo service greenbone-security-assistant restart

Каждый из них может занять некоторое время для запуска.

Получите доступ к веб-интерфейсу и запустите несколько тестов

После запуска всех служб вы используете веб-браузер для доступа к веб-интерфейсу Greenbone Security Assistant.

Чтобы получить к нему доступ, вы должны указать перед адресом вашего сервера https://. Затем вы вводите либо доменное имя, либо IP-адрес вашего сервера, а затем :9392.

<пред>

Вам будет представлен пугающий экран с предупреждением о том, что сертификат не подписан кем-то, кому ваш браузер доверяет по умолчанию:

Это ожидаемо и не проблема. Чтобы продолжить, нажмите кнопку «Все равно продолжить».

Далее вам будет представлен экран входа в систему:

Вам нужно будет ввести имя пользователя и пароль, которые вы настроили ранее. Для этого руководства имя пользователя было «admin».

Как только вы войдете в систему, вас сразу же встретит мастер быстрого запуска, который позволит вам сразу же запустить сканирование по умолчанию на целевом компьютере:

Хороший выбор — запустить против другого сервера, которым вы владеете. Важно не запускать эти сканирования против целей, которые не находятся под вашим контролем, потому что они могут выглядеть как потенциальные атаки для других пользователей.

Введите IP-адрес компьютера, с которым вы хотите провести проверку, и нажмите кнопку «Начать сканирование», чтобы начать.

Страница будет обновляться по мере выполнения сканирования, и вы также можете обновить страницу вручную, чтобы отслеживать ход выполнения:

Когда сканирование завершено (или даже раньше, если вы хотите просмотреть информацию по мере ее поступления), вы можете щелкнуть фиолетовый значок увеличительного стекла, чтобы увидеть результаты сканирования. Это нормально, когда сканирование некоторое время останавливается на 98% перед завершением:

Вы перейдете к обзору результатов сканирования. Обратите внимание, что немедленное сканирование, которое мы завершили, не является самым глубоким сканированием, которое у нас есть.

Внизу вы можете увидеть созданный OpenVAS отчет, сообщающий нам о потенциальных уязвимостях в сканируемой нами системе. Мы видим, что уровень «Угроза» был отнесен к категории «Средний».

Это означает, что в системе рейтинга «средних» обнаружена как минимум одна уязвимость. Подробнее мы можем узнать, снова нажав на лупу.

Это приведет нас к полному отчету о результатах. В верхней части у вас есть возможность загрузить результаты в различных форматах:

В средней части мы можем отфильтровать результаты. По умолчанию в интерфейсе отображаются только угрозы с пометкой «высокий» или «средний». В первый раз вам, вероятно, следует установить все флажки в категории «Угроза». Нажмите «Применить», чтобы реализовать это:

В нижней части рассказывается о конкретных предметах, которые были найдены. Если вы выбрали все поля выше, вы увидите некоторые информационные сообщения об открытых портах и подобных выводах.

Угрозы будут иметь цветовую кодировку, соответствующую цвету их кнопок. Например, это наша средняя угроза:

Это предупреждение сообщает нам, что наша цель отвечает на запросы отметки времени. Эти запросы могут сообщить злоумышленнику, как долго хост непрерывно находится в сети. Это может дать злоумышленнику понять, что хост уязвим для любых недавних эксплойтов.

Как видите, отчет также содержит информацию о том, как решить проблему.

Заключение

Теперь у вас должен быть полнофункциональный сервер OpenVAS, настроенный для сканирования ваших хостов. Это может помочь вам обнаружить уязвимости и выделить области, на которых следует сосредоточиться при усилении безопасности.

Мы показали лишь минимальный набор функций пакета безопасности OpenVAS. Помимо других задач, вы можете легко планировать сканирование, автоматически создавать отчеты и отправлять оповещения по электронной почте при создании определенных уровней угроз. Изучите интерфейс Greenbone Security Assistant и воспользуйтесь отличной встроенной справочной системой, чтобы узнать больше о своих возможностях.