OpenVas – Scanner de Vulnerabilidades

Last Updated: 07/03/2021By

Olá pessoal

images281293593904356474946123

Este post usei como LAB:

Máquina Virtual Linux Ubuntu no Azure

OpenVaz última versão

Introdução

Um aspecto importante da segurança do servidor é ser proativo em relação à triagem de segurança. Se você expõe algum serviço à Internet, o teste de penetração é essencial para garantir que você não esteja vulnerável a ameaças conhecidas.

O Open Vulnerability Assessment System, mais comumente conhecido como OpenVAS , é um conjunto de ferramentas que funcionam juntas para executar testes em computadores clientes usando um banco de dados de explorações e fraquezas conhecidas. O objetivo é aprender como seus servidores são protegidos contra vetores de ataque conhecidos.

Neste guia, instalaremos o pacote OpenVAS em um Ubuntu. Podemos então usar este sistema para fazer a varredura de si mesmo e de outros servidores.

Adicione o OpenVAS PPA e instale o software

Embora existam alguns componentes OpenVAS nos repositórios padrão do Ubuntu, usaremos um PPA que mantém versões atualizadas dos pacotes.

Para começar, precisamos instalar o python-software-propertiespacote, o que nos permitirá trabalhar com PPAs facilmente.sudo apt-get update sudo apt-get install python-software-properties

Podemos então adicionar a versão estável mais recente ao nosso sistema:sudo add-apt-repository ppa:openvas/openvas6

Precisamos reconstruir o banco de dados apt para reunir informações sobre os pacotes disponíveis por meio de nosso novo PPA. Depois, podemos instalar o software necessário:

sudo apt-get update sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

Isso fará o download e instalará os componentes necessários para começar.

Configuração Inicial

Podemos criar certificados SSL para OpenVAS usando um utilitário wrapper incluído por padrão. Precisamos chamar isso com privilégios administrativos para que possa ser colocado em uma parte restrita do sistema de arquivos.

sudo openvas-mkcert

Serão feitas várias perguntas que o ajudarão a construir um arquivo de certificado para uso com este servidor.

Na maioria das perguntas, você pode simplesmente digitar ENTER para aceitar os valores padrão. Isso é principalmente para seu próprio uso, portanto, insira os valores que gostaria de usar.

A seguir, criaremos outro certificado. Desta vez, criaremos um certificado de cliente para um usuário chamado “om”, que significa OpenVAS Manager. Não precisamos de nenhuma informação específica para a parte do cliente, então vamos dizer a ele para configurar as coisas automaticamente e instalar os certificados nos locais necessários:

sudo openvas-mkcert-client -n om -i

Construir as informações do banco de dados

Agora que temos nossos certificados instalados, podemos começar a construir nosso banco de dados para que nossas ferramentas locais estejam cientes dos diferentes tipos de ameaças e vulnerabilidades.

Atualize o banco de dados de testes de vulnerabilidade da rede emitindo este comando:

sudo openvas-nvt-sync

Isso fará o download das definições mais recentes para sua máquina local.

Para continuar, precisaremos interromper o gerenciador e os aplicativos de scanner para que possamos chamar os comandos sem um conflito momentaneamente.

Pare ambos os serviços digitando:

sudo service openvas-manager stop sudo service openvas-scanner stop

Agora, podemos iniciar o aplicativo de scanner sem os parâmetros encontrados no arquivo init que normalmente são chamados. Durante a primeira execução, o OpenVAS precisará baixar e sincronizar muitos dados. Isso vai demorar um pouco:

sudo openvassd

Assim que terminar, você terá que reconstruir o banco de dados gerado pelo scanner digitando:

sudo openvasmd --rebuild

Em seguida, vamos baixar e atualizar nossos dados de protocolo de automação de conteúdo de segurança. Isso é conhecido como dados “SCAP”. Este é outro banco de dados que o OpenVAS verifica para nossos testes de segurança.

sudo openvas-scapdata-sync

Esta será outra longa espera. Ele baixa alguns arquivos gerais e os atualiza no banco de dados.

Em seguida, executaremos uma operação de sincronização semelhante para os dados do certificado:

sudo openvas-certdata-sync

Executando este comando pela primeira vez, você pode ver alguns erros. Eles podem ser parecidos com isto:

Error: no such table: meta

Isso ocorre porque o pacote Ubuntu está faltando alguns arquivos que estão empacotados em algumas outras versões.

Podemos obtê-los de um pacote RPM para o componente gerenciador. Digite para fazer o download em seu diretório inicial:

cd wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

Agora que baixamos o arquivo, podemos extrair e expandir a estrutura de diretórios presente no RPM. Podemos fazer isso digitando:

rpm2cpio openvas* | cpio -div

Criaremos um diretório para nossos novos arquivos em um local onde o OpenVAS os encontrará. Em seguida, moveremos os arquivos para esse diretório:

sudo mkdir /usr/share/openvas/cert sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

Agora, podemos executar com segurança o comando cert syncing novamente, e ele deve ser concluído conforme o esperado desta vez:

sudo openvas-certdata-sync

Depois, podemos excluir os dados RPM extraídos e diretórios de nosso diretório inicial:

rm -rf ~/openvas* ~/usr ~/etc

Configurar usuário e portas OpenVAS

Para entrar em nosso serviço, precisaremos de um usuário. Podemos criar um com o componente de administrador do OpenVAS.

Aqui, criaremos um usuário chamado “admin” com a função de administrador. Você será solicitado a fornecer uma senha para usar na nova conta:

sudo openvasad -c add_user -n admin -r Admin

Você será informado de que o usuário tem acesso ilimitado.

Em seguida, precisamos alterar a maneira como um de nossos componentes é inicializado. O componente Greenbone Security Assistant é uma interface baseada na web para as ferramentas que instalamos.

Por padrão, a interface só pode ser acessada no computador local. Como estamos instalando o pacote OpenVAS em um servidor remoto, não poderemos acessar a interface da web com essas configurações. Precisamos torná-lo acessível a partir da Internet.

Abra o seguinte arquivo com privilégios de root em seu editor de texto preferido:

sudo nano /etc/default/greenbone-security-assistant

Próximo ao topo, você deve ver um parâmetro que especifica o endereço de escuta da interface da web. Precisamos alterar o valor de 127.0.0.1para o endereço IP público do seu VPS. Isso permitirá que ele ouça as conexões da Internet e poderemos conectar:

<pre>
GSA ADDRESS = <span class = “highlight”> endereço IP do seu servidor </span>
</pre>

Salve e feche o arquivo depois de fazer a modificação acima.

Inicie os serviços

Vamos agora iniciar os serviços que estamos configurando. A maioria deles já está funcionando com alguma capacidade, mas teremos que reiniciá-los para ter certeza de que usam as novas informações que temos coletado.

Comece eliminando todos os processos do scanner OpenVAS em execução:

sudo killall openvassd

Pode levar até 15 ou 20 segundos para que o processo seja realmente eliminado. Você pode verificar se ainda há processos em execução emitindo:

ps aux | grep openvassd | grep -v grep

Se algo for retornado, seus processos ainda não foram concluídos e você deve continuar aguardando.

Assim que o processo terminar completamente, você pode começar a iniciar todos os seus serviços novamente:

sudo service openvas-scanner start sudo service openvas-manager start sudo service openvas-administrator restart sudo service greenbone-security-assistant restart

Cada um deles pode demorar um pouco para iniciar.

Acesse a interface da Web e execute alguns testes

Assim que todos os serviços forem iniciados, você pode usar seu navegador da web para acessar a interface da web do Greenbone Security Assistant.

Para acessá-lo, você deve preceder o endereço do seu servidor com https://. Em seguida, insira o nome de domínio ou endereço IP do seu servidor seguido por :9392.

<pre>
https: // <span class = “highlight”> domínio do servidor ou_IP </span>: 9392
</pre>

Você verá uma tela de aviso de aparência assustadora informando que o certificado não foi assinado por alguém em quem seu navegador confie por padrão:

Aviso de segurança OpenVAS

Isso é esperado e não é um problema. Você deve clicar no botão “Continuar mesmo assim” para continuar.

Em seguida, você verá a tela de login:

Tela de login do OpenVAS

Você precisará inserir o nome de usuário e a senha configurados anteriormente. Para este guia, o nome de usuário era “admin”.

Depois de entrar, você será imediatamente recebido por um assistente de início rápido, que permitirá que você execute uma verificação padrão em um computador de destino imediatamente:

Assistente de inicialização OpenVAS

Uma boa opção é executar em outro servidor de sua propriedade. É importante não executar essas varreduras em alvos que não estão sob seu controle, porque podem parecer ataques em potencial a outros usuários.

Digite o endereço IP do computador que deseja testar e clique no botão “Iniciar digitalização” para começar.

A página será atualizada conforme o andamento da verificação e você também pode atualizar a página manualmente para acompanhar o andamento:

Progresso da verificação do OpenVAS

Quando a digitalização for concluída (ou mesmo antes, se desejar revisar as informações à medida que forem chegando), você pode clicar no ícone da lupa roxa para ver os resultados da digitalização. É normal que a varredura descanse em 98% por um tempo antes de concluir:

Lupa OpenVAS

Você será levado a uma visão geral dos resultados da verificação. Observe que a verificação imediata que concluímos não é a verificação mais aprofundada que temos disponível.

Resultados da verificação OpenVAS

Na parte inferior, você pode ver o relatório que o OpenVAS criou nos informando sobre possíveis vulnerabilidades no sistema que verificamos. Podemos ver que o nível “Ameaça” foi categorizado como “Médio”.

Isso significa que pelo menos uma vulnerabilidade foi encontrada no sistema de classificação de “média”. Podemos descobrir mais clicando na lupa novamente.

Isso nos levará a um relatório completo das descobertas. Na parte superior, você tem a opção de baixar os resultados em vários formatos:

Download de verificação OpenVAS

Na seção do meio, podemos filtrar os resultados. Por padrão, a interface mostrará apenas ameaças marcadas como “altas” ou “médias”. Na primeira vez, você provavelmente deve marcar todas as caixas na categoria “Ameaça”. Clique em “Aplicar” para implementar isto:

Filtragem OpenVAS

A seção inferior nos fala sobre os itens específicos que foram encontrados. Se você selecionou todas as caixas acima, verá algumas mensagens informativas sobre portas abertas e descobertas semelhantes.

As ameaças serão codificadas por cores de acordo com a cor de seus botões. Por exemplo, esta é nossa ameaça média:

Ameaça média OpenVas

Este aviso nos diz que nosso destino responde às solicitações de carimbo de data / hora. Essas solicitações podem permitir que um invasor saiba por quanto tempo o host está online continuamente. Isso pode permitir que um invasor saiba que o host é vulnerável a qualquer exploração recente.

Como você pode ver, o relatório também inclui informações sobre como lidar com o problema.

Conclusão

Agora você deve ter um servidor OpenVAS totalmente funcional configurado para verificar seus hosts. Isso pode ajudá-lo a identificar vulnerabilidades e realçar áreas nas quais se concentrar quando estiver aumentando a segurança.

Mostrei apenas um mínimo das funcionalidades do pacote de segurança OpenVAS. Entre outras tarefas, você pode agendar verificações facilmente, gerar relatórios automaticamente e alertas por e-mail quando determinados níveis de ameaça forem gerados. Explore a interface do Greenbone Security Assistant e aproveite o excelente sistema de ajuda integrado para aprender mais sobre suas opções.

Espero que tenha ajudado.

Até mais

newsletter-icon

Novidades via inbox

Fique por dentro no meu Boletim digital toda semana um conteúdo novo

Leave A Comment