OpenVAS-beveiligingssuite voor kwetsbaarheidsanalyse

Beveiliging is een van de fundamentele pijlers van elke organisatie en het is onze verantwoordelijkheid als IT-personeel om de integriteit en beschikbaarheid van alle informatie en de juiste stabiliteit van de gehele infrastructuur te waarborgen.

We weten dat onze systemen, ongeacht de ontwikkelaar, elke dag worden blootgesteld aan kwetsbaarheden die de goede werking en werking van het bedrijf in gevaar kunnen brengen en we moeten alert zijn op elke nieuwigheid die wordt gepresenteerd om dit tegen te gaan en op tijd te handelen.

Vandaag zullen we zien hoe OpenVAS Het zal ons helpen bij het kwetsbaarheidsanalyseproces in Ubuntu 16.

Wat is OpenVASOpenVAS (Open Vulnerability Assessment System) is een volledig gratis tool die ons een oplossing biedt voor alles wat te maken heeft met de kwetsbaarheidsscan die ons systeem kan presenteren en van daaruit beveiligingsmaatregelen nemen die tot uiting zullen komen in het correct functioneren van de structuur.

OpenVAS beschermt u tegen netwerk- of ip-kwetsbaarheden, is gratis en gratis, het maakt het mogelijk om beveiligingsfouten te identificeren. OpenVAS is een raamwerk dat services en tools biedt om kwetsbaarheidsanalyses en kwetsbaarheidsbeheer uit te voeren.

Een van de belangrijkste functies die we in OpenVAS vinden, hebben we:

  • Het is in staat om gelijktijdig een scan uit te voeren op meerdere computers
  • Ondersteunt SSL-protocol
  • We kunnen geplande scans uitvoeren
  • We kunnen scantaken op elk moment stoppen of opnieuw starten
  • We kunnen gebruikers beheren vanaf de console
  • Ondersteunt HTTP en HTTPS
  • Ondersteunt meertalige
  • Multi platform
  • Duidelijke en volledige rapporten

OPENVAS

1. OpenVAS-installatie op Ubuntu 16


Om het proces van het downloaden en installeren van OpenVAS te starten, gebruiken we de volgende opdracht:
 wget http://www.atomicorp.com/installers/atomic | NS

Bzip2-installatie
Bzip2 is een datacompressor van hoge kwaliteit die door OpenVAS zal worden gebruikt, om het te downloaden gebruiken we het volgende commando:

 sudo apt-get install bzip2

VERGROTEN

Het framework is geïnstalleerd en werkt op de achtergrond, maar we hebben toegang tot de statistische gegevens die het verzamelt via een website die we zullen installeren met de naam Greenbone Security Assistant.

Om te installeren in Debian / Ubuntu / Mint of een andere distributie, hangt het ervan af of we sudo of yum voor de opdrachten gebruiken. Om te beginnen moeten we naar een terminalvenster gaan en de volgende opdrachten uitvoeren:

We zullen moeten installeren SQLite-versie 3 om de rapporten op te slaan

 apt-get install sqlite3
We voegen de repository toe:
 add-apt-repository ppa: mrazavi / openvas
We updaten het systeem en de repository na installatie voor het geval er nieuwe versies zijn:
 apt-get update
We updaten de software die we hebben geïnstalleerd naar nieuwe versies:
 apt-get upgrade
Met deze stappen uitgevoerd gaan we verder met: installeer OpenVAS met behulp van de volgende opdracht:
 sudo apt-get install openvas

Tijdens het installatieproces zullen we het volgende venster zien waarin we selecteren: Ja.

Dit verwijst naar de database waarin de informatie wordt opgeslagen.

Nadat we het hebben geïnstalleerd, moeten we de OpenVAS-serverservices starten die verantwoordelijk zijn voor het verzamelen van informatie.

Vanuit het terminalvenster gaan we een certificaat maken (optioneel) om vervolgens de OpenVas-server te kunnen updaten:

 sudo openvas-mkcert
Vervolgens gaan we een ander certificaat maken. Deze keer gaan we een clientcertificaat maken, we hebben geen specifieke informatie nodig voor het clientgedeelte, dus we gaan de certificaten automatisch configureren en installeren:
 sudo openvas-mkcert-client -n om -i
Nu we de certificaten hebben geïnstalleerd, kunnen we de database bijwerken zodat we een query-repository hebben voor de tools van de verschillende soorten bedreigingen en kwetsbaarheden, het zou net een antivirusdatabase zijn, maar met verschillende bedreigingen voor servers.

Om de database bij te werken gebruiken we het volgende commando:

 sudo openvas-NVT-sync
Vervolgens zullen we de gegevens downloaden en bijwerken van SCAP-beveiliging. Dit is een andere database die OpenVAS zal gebruiken om te zoeken naar kwetsbaarheden.

Deze databases worden dagelijks of wekelijks bijgewerkt.

 sudo openvas-scapdata-sync
Met dat commando zou het worden bijgewerkt.

De diensten herstarten
Zodra de installatie is voltooid, gaan we verder met het opnieuw opstarten van de services met behulp van de volgende opdrachten:

 sudo /etc/init.d/openvas-scanner herstart sudo /etc/init.d/openvas-manager herstart sudo /etc/init.d/openvas-gsa herstart
Met deze commando's herstarten we OpenVas.

2. Kwetsbaarheidstest uitvoeren


Voordat u toegang krijgt tot de OpenVAS-console We zullen de volgende opdracht uitvoeren om een ​​kwetsbaarheidstest uit te voeren:
 sudo openvas-nvt-sync

3. Toegang tot de OpenVAS-console


Als alles is geconfigureerd, openen we een browservenster en voeren we het volgende in de titelbalk in:
 https: // IP_adres
Om het IP-adres te weten, kunnen we de ifconfig-opdracht. In dit geval voeren we https://192.168.0.37 in en zien we het volgende beveiligingsbericht:

Als we geen beveiligde https-verbinding hebben, geeft dit ons een foutmelding, maar we hoeven alleen de niet-beveiligde verbindingsuitzondering aan onze browser toe te voegen en we hebben toegang. Klik op Geavanceerde mogelijkheden en ga dan naar 192.168.0.37 en we zullen het hoofdvenster van de OpenVAS-console zien:

VERGROTEN

De standaard inloggegevens voor toegang tot OpenVAS zijn:

  • Gebruikersnaam: admin
  • Wachtwoord: beheerder

We hebben toegang tot de OpenVAS-console

VERGROTEN

Binnen de console hebben we verschillende zeer bruikbare alternatieven voor onze rollen. Een daarvan is het tabblad Instelling.

VERGROTEN

We hebben de volgende tabbladen:

ScanbeheerVanuit deze plek beheren we alle scantaken die we in het systeem kunnen implementeren. Het is het menu waar u de scanbeheeropties kunt vinden, het stelt u in staat om nieuwe zoek- en scantaken voor kwetsbaarheden te maken op basis van een IP of domein, de eerder gemaakte wijzigingen aan te passen, de rapporten te bekijken en opmerkingen toe te voegen aan elke scan om dreigingen wijzigen of valse alarmen detecteren en becommentariëren.

VermogensbeheerHet is het tabblad activabeheer waar alle geanalyseerde apparatuur wordt opgeslagen. Het is het menu waar de hosts die zijn geanalyseerd zich bevinden en waar we het aantal geïdentificeerde kwetsbaarheden kunnen zien.

ConfiguratieVanaf dit tabblad kunnen we de toegangen, scans, inloggegevens en alle toepassingsparameters configureren. Hier zijn toegewezen, poorten, waarschuwingen, toegangsreferenties, u kunt scans plannen, scannerinstellingen, rapporten configureren en andere opties hebben.

Extra functiesVanuit deze locatie beheren we beveiligingsparameters

AdministratieHet stelt ons in staat om de tool en de gebruikers die er toegang toe hebben globaal te configureren.

Bijvoorbeeld van het tabblad Configuratie we kunnen de selecteren Poortlijst optie voor een gedetailleerd overzicht van de systeempoorten en hun functie.

VERGROTEN

Wij kunnen vaststellen op welke wijze de scans worden uitgevoerd:

VERGROTEN

Om een ​​IP-adres te scannen, kunnen we naar het hoofdvenster gaan en in het vak het te analyseren IP-adres invoeren en op de knop drukken Start scan om het proces te starten.

VERGROTEN

Hetzelfde kan worden gedaan vanaf het tabblad Scanbeheer.

4. Een taak maken met OpenVAS


Ga naar het menu om een ​​scan te starten en naar kwetsbaarheden te zoeken Scanbeheer en we zullen een nieuwe taak moeten genereren die bestaat uit een IP of domein en een scanconfiguratie.

AandachtWe kunnen het IP-adres of domein van onze server of een andere server gebruiken. Het is belangrijk op te merken dat terwijl we een server scannen, dit kan worden opgevat als een aanval door een ander beveiligingssysteem of door een andere beheerder.

We voeren het IP-adres of domein in van de computer die we willen testen en klikken op de groene knop in de kolom Acties die wordt genoemd Start scan o Start scan om te beginnen.

De scan is traag en kost tijd, maar we kunnen de voortgang zien terwijl deze vordert. In dit geval zijn we meer dan 2 uur bezig met 94% van de scan voltooid, met een van de taken, en de andere op 1%.

Hoewel het framework en de scans kwetsbaarheden detecteren, moeten we er rekening mee houden dat deze tool slechts een maatregel is waarmee aanvulling op het beveiligingsbeleid, OpenVAS lost geen gedetecteerde problemen op, enkel en alleen kwetsbaarheden melden die het heeft gevonden op basis van de scannerdatabases. Dit is erg handig om te anticiperen op bedreigingen en om wijzigingen door te voeren om de veiligheid van dag tot dag te vergroten.

Dit type audit en analyse dient om het volgende te identificeren:

  • Open poorten
  • Services die door de server worden gebruikt
  • Detectie van mogelijke kwetsbaarheden in gescande computers.

Nadat de scan is voltooid, kunnen we zien of er kwetsbaarheden zijn gevonden. We kunnen ook meekijken tijdens de scan of deze stoppen om een ​​deelanalyse te doen.

Onderaan zie je het rapport dat OpenVAS heeft gemaakt met mogelijke kwetsbaarheden van het systeem dat we scannen. We kunnen zien dat het risiconiveau van de kwetsbaarheid is gevonden. Meer informatie over de kwetsbaarheid vinden we door op het vergrootglas te klikken. Dit zal ons leiden tot een volledig rapport van de resultaten. Bovenaan hebben we de mogelijkheid om de resultaten in verschillende formaten te downloaden: onder andere html, pdf.

We kunnen ook de resultaten filteren en zoeken in het rapport. Standaard toont de interface alleen bedreigingen met een hoog en gemiddeld risico. De risicoarme kunnen worden geconfigureerd in de scaninstellingen, zodat ze ook worden weergegeven en geanalyseerd.

De meeste kwetsbaarheden kunnen in detail worden gevonden en zullen afkomstig zijn uit databases van entiteiten zoals de CVE - Common Vulnerabilities and Exposures, een constant bijgewerkte lijst met informatie over beveiligingskwetsbaarheden.

Het hebben van een volledig functionele OpenVAS-server om een ​​netwerk of server te scannen is een ander alternatief om uzelf te beschermen tegen mogelijke kwetsbaarheden. We behandelen slechts een deel van de basisfunctionaliteit van OpenVAS, aangezien het een zeer complete beveiligingssuite is en voor ervaren gebruikers zelfs vanaf de opdrachtregel kan worden uitgevoerd.

We kunnen onder andere e-mailwaarschuwingen configureren wanneer bepaalde dreigingsniveaus worden gegenereerd, zodat OpenVAs ons automatisch waarschuwt. De Greenbone Web Assistant stelt ons in staat om een ​​interface te hebben om te profiteren van het geïntegreerde helpsysteem om meer te weten te komen over de opties en functionaliteiten. Hiermee weet je al hoe je een goede IT-beveiligingsaudit start

We hebben deze geweldige tool voor al ons kwetsbaarheidsanalysebeheer met een eenvoudige en prettige werkomgeving voor onze Linux-omgevingen.

CentOS 7 Linux-systeemaudit

wave wave wave wave wave