Suite di sicurezza OpenVAS per l'analisi delle vulnerabilità

Il tema della sicurezza è uno dei pilastri fondamentali di qualsiasi organizzazione e la nostra responsabilità come personale IT è garantire l'integrità e la disponibilità di tutte le informazioni e la corretta stabilità dell'intera infrastruttura.

Sappiamo che ogni giorno i nostri sistemi, indipendentemente dallo sviluppatore, sono esposti a vulnerabilità che possono mettere a rischio tutto il corretto funzionamento e funzionamento dell'azienda e dobbiamo essere attenti a qualsiasi novità presentata per contrastarla e agire per tempo.

Oggi vedremo come ApriVAS Ci aiuterà nel processo di analisi delle vulnerabilità in Ubuntu 16.

Cos'è OpenVASOpenVAS (Open Vulnerability Assessment System) è uno strumento totalmente gratuito che ci fornisce una soluzione per tutto ciò che riguarda il scansione delle vulnerabilità che potrebbe presentare il nostro sistema e da lì adottare misure di sicurezza che si rifletteranno nel corretto funzionamento della struttura.

OpenVAS ti proteggerà dalle vulnerabilità della rete o dell'ip, è gratuito e gratuito, permette di identificare falle di sicurezza. OpenVAS è un framework che fornisce servizi e strumenti per eseguire analisi e gestione delle vulnerabilità.

Tra le principali caratteristiche che troviamo in OpenVAS abbiamo:

  • È in grado di eseguire contemporaneamente una scansione su più computer
  • Supporta il protocollo SSL
  • Possiamo implementare scansioni pianificate
  • Possiamo interrompere o riavviare le attività di scansione in qualsiasi momento
  • Possiamo gestire gli utenti dalla console
  • Supporta HTTP e HTTPS
  • Supporta il multilingua
  • Multi piattaforma
  • Report chiari e completi

OPENVAS

1. Installazione di OpenVAS su Ubuntu 16


Per avviare il processo di download e installazione di OpenVAS utilizzeremo il seguente comando:
 wget http://www.atomicorp.com/installers/atomic | SH

Installazione di Bzip2
Bzip2 è un compressore di dati di alta qualità che verrà utilizzato da OpenVAS, per scaricarlo utilizzeremo il seguente comando:

 sudo apt-get install bzip2

INGRANDIRE

Il framework è installato e funziona in background, ma possiamo accedere ai dati statistici che raccoglie attraverso un sito web che installeremo chiamato Greenbone Security Assistant.

Per installare in Debian / Ubuntu / Mint o qualsiasi altra distribuzione, dipenderà se usiamo sudo o yum davanti ai comandi, per iniziare dobbiamo andare in una finestra di terminale ed eseguire i seguenti comandi:

Avremo bisogno di installare SQLite versione 3 per archiviare i rapporti

 apt-get install sqlite3
Aggiungiamo il repository:
 add-apt-repository ppa: mrazavi / openvas
Aggiorniamo il sistema e il repository dopo l'installazione nel caso ci siano nuove versioni:
 apt-get update
Aggiorniamo il software che abbiamo installato alle nuove versioni:
 apt-get upgrade
Con questi passaggi eseguiti si procede a installa OpenVAS utilizzando il seguente comando:
 sudo apt-get install openvas

Durante il processo di installazione vedremo la seguente finestra in cui selezioniamo Sì.

Questo si riferisce al database in cui verranno archiviate le informazioni.

Dopo averlo installato, dobbiamo avviare i servizi del server OpenVAS che si occuperanno della raccolta delle informazioni.

Dalla finestra del terminale, andremo a creare un certificato (Opzionale) per poter poi aggiornare il server OpenVas:

 sudo openvas-mkcert
Successivamente, creeremo un altro certificato. Questa volta creeremo un certificato client, non abbiamo bisogno di informazioni specifiche per la parte client, quindi configureremo e installeremo automaticamente i certificati:
 sudo openvas-mkcert-client -n om -i
Ora che abbiamo installato i certificati, possiamo aggiornare il database in modo da avere un repository di query per gli strumenti dei diversi tipi di minacce e vulnerabilità, sarebbe come un database antivirus, ma includendo varie minacce ai server.

Per aggiornare il database usiamo il seguente comando:

 sudo openvas-NVT-sync
Successivamente, scaricheremo e aggiorneremo i dati da Sicurezza SCAP. Questo è un altro database che OpenVAS utilizzerà per cercare le vulnerabilità.

Questi database vengono aggiornati quotidianamente o settimanalmente.

 sudo openvas-scapdata-sync
Con quel comando verrebbe aggiornato.

Riavvio dei servizi
Una volta terminata l'installazione, si procede al riavvio dei servizi utilizzando i seguenti comandi:

 sudo /etc/init.d/openvas-scanner restart sudo /etc/init.d/openvas-manager restart sudo /etc/init.d/openvas-gsa restart
Con questi comandi riavviamo OpenVas.

2. Esecuzione del test di vulnerabilità


Prima di accedere al Console OpenVAS Eseguiremo il seguente comando per eseguire un test di vulnerabilità:
 sudo openvas-nvt-sync

3. Accedi alla console OpenVAS


Con tutto configurato apriremo una finestra del browser e inseriremo quanto segue nella barra del titolo:
 https: // indirizzo_IP
Per conoscere l'indirizzo IP possiamo usare il comando ifconfig. In questo caso inseriamo https://192.168.0.37 e vedremo il seguente messaggio di sicurezza:

Se non abbiamo una connessione https sicura, ci darà un errore, ma dobbiamo solo aggiungere l'eccezione di connessione non sicura al nostro browser e saremo in grado di accedere. Clicca su Opzioni avanzate e quindi accedi a 192.168.0.37 e vedremo la finestra principale della console OpenVAS:

INGRANDIRE

Le credenziali predefinite per accedere a OpenVAS sono:

  • Nome utente: admin
  • Password: admin

Accediamo alla console OpenVAS

INGRANDIRE

All'interno della console abbiamo diverse alternative molto utili per i nostri ruoli. Uno di questi è la scheda Ambientazione.

INGRANDIRE

Abbiamo le seguenti schede:

Gestione della scansioneDa questo posto gestiamo tutte le attività di scansione che possiamo implementare nel sistema. È il menu dove puoi trovare le opzioni di gestione della scansione, ti permette di creare nuove attività di ricerca e scansione per le vulnerabilità basate su un IP o dominio, modificare quelle che sono state create in precedenza, rivedere i report e aggiungere commenti ad ogni scansione a modificare le minacce o rilevare e commentare falsi allarmi.

Gestione delle risorseÈ la scheda di gestione delle risorse in cui verranno archiviate tutte le apparecchiature che sono state analizzate. È il menu dove si trovano gli host che sono stati analizzati e dove possiamo vedere il numero di vulnerabilità identificate.

ConfigurazioneDa questa scheda possiamo configurare gli accessi, le scansioni, le credenziali e tutti i parametri dell'applicazione. Qui vengono assegnate porte, avvisi, credenziali di accesso, è possibile pianificare scansioni, impostazioni dello scanner, configurare report e avere altre opzioni.

Caratteristiche aggiuntiveDa questa posizione gestiamo i parametri di sicurezza

AmministrazioneCi consente di configurare globalmente lo strumento e gli utenti che vi hanno accesso.

Ad esempio dalla scheda Configurazione possiamo selezionare il Opzione Elenco porte per un riepilogo dettagliato delle porte di sistema e della loro funzione.

INGRANDIRE

Possiamo stabilire il modo in cui devono essere eseguite le scansioni:

INGRANDIRE

Per scansionare un indirizzo IP possiamo andare nella finestra principale e nella casella inserire l'indirizzo IP da analizzare e premere il pulsante Inizia scansione per l'avvio del processo.

INGRANDIRE

Lo stesso può essere fatto dalla scheda Gestione della scansione.

4. Creazione di un'attività con OpenVAS


Per avviare una scansione e cercare le vulnerabilità vai al menu Gestione della scansione e dovremo generare una nuova attività composta da un IP o dominio e una configurazione di scansione.

AttenzionePossiamo utilizzare l'IP o il dominio del nostro server o di un altro server. È importante notare che durante la scansione di un server questo potrebbe essere considerato un attacco da un altro sistema di sicurezza o da un altro amministratore.

Inseriamo l'indirizzo IP o il dominio del computer che vogliamo testare e facciamo clic sul pulsante verde nella colonna Azioni che si chiama Inizia scansione o Avvia la scansione per iniziare.

La scansione è lenta e richiede tempo, ma possiamo vedere i progressi man mano che avanza, in questo caso sono trascorse più di 2 ore con il 94% della scansione completata, con una delle attività e le altre all'1%.

Sebbene il framework e le scansioni rilevino vulnerabilità, dobbiamo tenere presente che questo strumento è solo una misura che consente integrare le politiche di sicurezza, OpenVAS non risolve alcun problema rilevato, solo segnalare le vulnerabilità che ha trovato in base ai database dello scanner. Questo è molto utile per anticipare le minacce ed essere in grado di apportare modifiche per essere più sicuri su base quotidiana.

Questo tipo di audit e analisi serve per identificare:

  • Porte aperte
  • Servizi utilizzati dal server
  • Rilevamento di possibili vulnerabilità nei computer scansionati.

Al termine della scansione, saremo in grado di vedere se sono state rilevate vulnerabilità. Possiamo anche guardare durante la scansione o fermarla per fare un'analisi parziale.

In fondo, puoi vedere il rapporto che OpenVAS è stato creato con possibili vulnerabilità del sistema che scansioniamo. Possiamo vedere che il livello di rischio della vulnerabilità trovata. Possiamo trovare maggiori informazioni sulla vulnerabilità facendo clic sulla lente di ingrandimento. Questo ci porterà a un resoconto completo dei risultati. Nella parte superiore, avremo la possibilità di scaricare i risultati in vari formati: html, pdf, tra gli altri.

Possiamo anche filtrare i risultati e cercare all'interno del report. Per impostazione predefinita, l'interfaccia mostrerà solo le minacce ad alto e medio rischio. Quelli a basso rischio possono essere configurati nelle impostazioni di scansione in modo che vengano anche visualizzati e analizzati.

La maggior parte delle vulnerabilità può essere trovata in dettaglio e proverrà da database di entità come il CVE - Common Vulnerabilities and Exposures, che è un elenco di informazioni costantemente aggiornato sulle vulnerabilità della sicurezza.

Avere un server OpenVAS completamente funzionante per scansionare una rete o un server è un'altra alternativa per proteggersi da potenziali vulnerabilità. Copriamo solo una parte delle funzionalità di base di OpenVAS poiché è una suite di sicurezza molto completa, può anche essere eseguita dalla riga di comando per utenti esperti.

Tra le altre attività, possiamo configurare avvisi e-mail quando vengono generati determinati livelli di minaccia, quindi OpenVAs ci avvisa automaticamente. Il Greenbone Web Assistant ci consente di avere un'interfaccia per sfruttare il sistema di aiuto integrato per saperne di più sulle sue opzioni e funzionalità. Con questo sai già come iniziare un buon audit di sicurezza IT

Abbiamo questo fantastico strumento per tutta la nostra gestione dell'analisi delle vulnerabilità con un ambiente di lavoro semplice e piacevole per i nostri ambienti Linux.

Controllo del sistema Linux CentOS 7

wave wave wave wave wave