Come utilizzare OpenVAS per controllare la sicurezza dei sistemi remoti su Ubuntu 12.04

Stato: Deprecato

Questo articolo riguarda una versione di Ubuntu che non è più supportata. Se attualmente gestisci un server che esegue Ubuntu 12.04, ti consigliamo vivamente di eseguire l'aggiornamento o la migrazione a una versione supportata di Ubuntu:

• Aggiorna a Ubuntu 14.04.
• Aggiorna da Ubuntu 14.04 a Ubuntu 16.04
• Migra i dati del server a una versione supportata

Motivo:

Vedi invece:

introduzione

Un aspetto importante della sicurezza del server è essere proattivi riguardo allo screening di sicurezza. Se esponi servizi a Internet, i test di penetrazione sono essenziali per assicurarti di non essere vulnerabile a minacce note.

L'Open Vulnerability Assessment System, noto più comunemente come OpenVAS, è una suite di strumenti che lavorano insieme per eseguire test sui computer client utilizzando un database di exploit e punti deboli noti. L'obiettivo è conoscere quanto bene i tuoi server sono protetti da vettori di attacco noti.

In questa guida installeremo la suite OpenVAS su un VPS Ubuntu 12.04. Possiamo quindi utilizzare questo sistema per scansionare se stesso e altri server.

Aggiungi OpenVAS PPA e installa il software

Sebbene ci siano alcuni componenti OpenVAS nei repository predefiniti di Ubuntu, useremo un PPA che mantiene versioni aggiornate dei pacchetti.

Per cominciare, dobbiamo installare il pacchetto python-software-properties, che ci consentirà di lavorare facilmente con i PPA.

sudo apt-get update
sudo apt-get install python-software-properties

Possiamo quindi aggiungere la versione stabile più recente al nostro sistema:

sudo add-apt-repository ppa:openvas/openvas6

Abbiamo bisogno di ricostruire il database apt per raccogliere informazioni sui pacchetti disponibili attraverso il nostro nuovo PPA. Successivamente, possiamo installare il software necessario:

sudo apt-get update
sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

Questo scaricherà e installerà i componenti necessari per iniziare.

Configurazione iniziale

Possiamo creare certificati SSL per OpenVAS utilizzando un'utilità wrapper inclusa per impostazione predefinita. Dobbiamo chiamarlo con privilegi amministrativi in modo che possa essere inserito in una porzione ristretta del file system.

sudo openvas-mkcert

Ti verranno poste una serie di domande che ti aiuteranno a creare un file di certificato da utilizzare con questo server.

Per la maggior parte delle domande, puoi semplicemente digitare INVIO per accettare i valori predefiniti. Questo è principalmente per uso personale, quindi inserisci i valori che desideri utilizzare.

Successivamente, creeremo un altro certificato. Questa volta, creeremo un certificato client per un utente chiamato \om che sta per OpenVAS Manager. Non abbiamo bisogno di alcuna informazione specifica per la parte client, quindi gli diremo di configurare le cose automaticamente e installare i certificati in i posti necessari:

sudo openvas-mkcert-client -n om -i

Costruisci le informazioni del database

Ora che abbiamo installato i nostri certificati, possiamo iniziare a costruire il nostro database in modo che i nostri strumenti locali siano a conoscenza di diversi tipi di minacce e vulnerabilità.

Aggiorna il database dei test di vulnerabilità della rete emettendo questo comando:

sudo openvas-nvt-sync

Questo scaricherà le ultime definizioni sul tuo computer locale.

Per continuare dovremo arrestare le applicazioni di gestione e scansione in modo da poter richiamare momentaneamente i comandi senza conflitti.

Arrestare entrambi questi servizi digitando:

sudo service openvas-manager stop
sudo service openvas-scanner stop

Ora possiamo avviare l'applicazione dello scanner senza i parametri trovati nel file init che di solito vengono chiamati. Durante questa prima esecuzione, OpenVAS dovrà scaricare e sincronizzare molti dati. Ci vorrà un po' di tempo:

sudo openvassd

Una volta terminato questo, dovrai ricostruire il database generato dallo scanner digitando:

sudo openvasmd --rebuild

Successivamente, scaricheremo e aggiorneremo i dati del nostro protocollo di automazione dei contenuti di sicurezza. Questo è noto come dati \SCAP. Questo è un altro database che OpenVAS controlla per i nostri test di sicurezza.

sudo openvas-scapdata-sync

Questa sarà un'altra lunga attesa. Scarica alcuni file generali e poi li aggiorna nel database.

Eseguiremo quindi un'operazione di sincronizzazione simile per i dati del certificato:

sudo openvas-certdata-sync

Eseguendo questo comando per la prima volta, potresti vedere alcuni errori. Potrebbero assomigliare a questo:

Error: no such table: meta

Questo perché al pacchetto Ubuntu mancano effettivamente alcuni file che sono impacchettati in alcune altre versioni.

Possiamo ottenerli da un pacchetto RPM per il componente manager. Digita questo per scaricarlo nella tua home directory:

cd
wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

Ora che abbiamo scaricato il file, possiamo estrarre ed espandere la struttura delle directory presente all'interno dell'RPM. Possiamo farlo digitando:

rpm2cpio openvas* | cpio -div

Creeremo una directory per i nostri nuovi file in un posto dove OpenVAS li troverà. Quindi sposteremo i file in quella directory:

sudo mkdir /usr/share/openvas/cert
sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

Ora possiamo eseguire di nuovo in sicurezza il comando di sincronizzazione del certificato e questa volta dovrebbe essere completato come previsto:

sudo openvas-certdata-sync

Successivamente, possiamo eliminare i dati e le directory RPM estratti dalla nostra home directory:

rm -rf ~/openvas* ~/usr ~/etc

Impostare l'utente e le porte OpenVAS

Per accedere al nostro servizio, avremo bisogno di un utente. Possiamo crearne uno con il componente amministratore di OpenVAS.

Qui creeremo un utente chiamato \admin con il ruolo di amministratore. Ti verrà chiesto di fornire una password da utilizzare per il nuovo account:

sudo openvasad -c add_user -n admin -r Admin

Sarai informato che all'utente è stato concesso un accesso illimitato.

Successivamente, dobbiamo cambiare il modo in cui uno dei nostri componenti si avvia. Il componente Greenbone Security Assistant è un'interfaccia basata sul Web per gli strumenti che abbiamo installato.

Per impostazione predefinita, l'interfaccia è accessibile solo dal computer locale. Poiché stiamo installando la suite OpenVAS su un server remoto, non saremo in grado di accedere all'interfaccia web con queste impostazioni. Dobbiamo renderlo accessibile da Internet.

Apri il seguente file con i privilegi di root nel tuo editor di testo preferito:

sudo nano /etc/default/greenbone-security-assistant

Vicino alla parte superiore, dovresti vedere un parametro che specifica l'indirizzo su cui l'interfaccia web sarà in ascolto. Dobbiamo modificare il valore da 127.0.0.1 all'indirizzo IP pubblico del tuo VPS. Questo gli consentirà di ascoltare le connessioni da Internet e saremo in grado di connetterci:

Salva e chiudi il file dopo aver apportato la modifica di cui sopra.

Avvia i servizi

Ora avvieremo i servizi che abbiamo configurato. La maggior parte di essi è già in esecuzione in qualche modo, ma dovremo riavviarli per assicurarci che utilizzino le nuove informazioni che abbiamo raccolto.

Inizia uccidendo tutti i processi di scansione OpenVAS in esecuzione:

sudo killall openvassd

Possono essere necessari fino a 15 o 20 secondi affinché il processo venga effettivamente interrotto. Puoi verificare se ci sono processi ancora in esecuzione emettendo:

ps aux | grep openvassd | grep -v grep

Se viene restituito qualcosa, i tuoi processi non sono ancora terminati e dovresti continuare ad aspettare.

Una volta terminato completamente il processo, puoi ricominciare a riavviare tutti i tuoi servizi:

sudo service openvas-scanner start
sudo service openvas-manager start
sudo service openvas-administrator restart
sudo service greenbone-security-assistant restart

Ognuno di questi potrebbe richiedere un po' di tempo per l'avvio.

Accedi all'interfaccia Web ed esegui alcuni test

Una volta che tutti i servizi sono stati avviati, si utilizza il browser Web per accedere all'interfaccia Web di Greenbone Security Assistant.

Per accedervi, devi far precedere l'indirizzo del tuo server da https://. Quindi inserisci il nome di dominio o l'indirizzo IP del tuo server seguito da :9392.

Ti verrà presentata una schermata di avviso dall'aspetto spaventoso che ti dice che il certificato non è firmato da qualcuno di cui il tuo browser si fida per impostazione predefinita:

Questo è previsto e non è un problema. Fare clic sul pulsante \Procedi comunque per continuare.

Successivamente, ti verrà presentata la schermata di accesso:

Dovrai inserire il nome utente e la password che hai configurato in precedenza. Per questa guida, il nome utente era \admin.

Una volta effettuato l'accesso, verrai immediatamente accolto da una procedura guidata di avvio rapido, che ti consentirà di eseguire immediatamente una scansione predefinita su un computer di destinazione:

Una buona scelta è eseguire su un altro server di tua proprietà. È importante non eseguire queste scansioni contro obiettivi che non sono sotto il tuo controllo, perché potrebbero sembrare potenziali attacchi ad altri utenti.

Immettere l'indirizzo IP del computer su cui si desidera eseguire il test e fare clic sul pulsante \Avvia scansione per iniziare.

La pagina si aggiornerà man mano che la scansione procede e puoi anche aggiornare la pagina manualmente per tenere traccia dell'avanzamento:

Quando la scansione è completa (o anche prima se si desidera rivedere le informazioni man mano che arrivano), è possibile fare clic sull'icona della lente di ingrandimento viola per vedere i risultati della scansione. È normale che la scansione resti al 98% per un po' prima di essere completata:

Sarai indirizzato a una panoramica dei risultati della scansione. Si noti che la scansione immediata che abbiamo completato non è la scansione più approfondita che abbiamo a disposizione.

In fondo, puoi vedere il rapporto creato da OpenVAS che ci informa di potenziali vulnerabilità nel sistema che abbiamo scansionato. Possiamo vedere che il livello \Minaccia è stato classificato come \Medio.

Questo significa che almeno una vulnerabilità è stata trovata nel sistema di rating di \medio. Possiamo saperne di più cliccando nuovamente sulla lente di ingrandimento.

Questo ci porterà a un rapporto completo dei risultati. Nella parte superiore, hai la possibilità di scaricare i risultati in vari formati:

Nella sezione centrale, possiamo filtrare i risultati. Per impostazione predefinita, l'interfaccia mostrerà solo le minacce contrassegnate con \alto o \medio. Durante la prima volta, dovresti probabilmente selezionare tutte le caselle nella categoria \Minaccia. Fai clic su \Applica per implementare quanto segue:

La sezione inferiore ci parla degli elementi specifici che sono stati trovati. Se hai selezionato tutte le caselle sopra, vedrai alcuni messaggi informativi sulle porte aperte e risultati simili.

Le minacce saranno codificate a colori in modo che corrispondano al colore del pulsante. Ad esempio, questa è la nostra minaccia media:

Questo avviso ci dice che il nostro obiettivo risponde alle richieste di timestamp. Queste richieste possono far sapere a un utente malintenzionato per quanto tempo l'host è stato online ininterrottamente. Ciò potrebbe consentire a un utente malintenzionato di sapere che l'host è vulnerabile a eventuali exploit recenti.

Come puoi vedere, il rapporto include anche informazioni su come affrontare il problema.

Conclusione

Ora dovresti avere un server OpenVAS completamente funzionante configurato per scansionare i tuoi host. Questo può aiutarti a individuare le vulnerabilità ed evidenziare le aree su cui concentrarti quando stai rafforzando la sicurezza.

Abbiamo mostrato solo un minimo indispensabile delle funzionalità della suite di sicurezza OpenVAS. Tra le altre attività, è possibile programmare facilmente scansioni, generare automaticamente report e inviare avvisi via e-mail quando vengono generati determinati livelli di minaccia. Esplora l'interfaccia di Greenbone Security Assistant e sfrutta l'ottimo sistema di guida integrato per saperne di più sulle tue opzioni.