Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Darmowy skaner bezpieczeństwa w sieci

W 2005 r. programiści tworzący projekt Nessus zdecydowali się odejść od modelu licencyjnego open source. Efektem było pojawienie się kilku nowych narzędzi na bazie Nessusa – jedynym wciąż rozwijanym jest OpenVAS.

Panel umożliwia przeglądanie zadań historycznych oraz zarządzanie nowymi zadaniami skanowania OpenVAS.

OpenVAS (Open Vulnerability Assessment System) to zaawansowany skaner zagrożeń, rozwijany przez Greenbone Networks. Dystrybuowany jest jako oprogramowanie open source na licencji GNU GPL. OpenVAS to część komercyjnego produktu o nazwie GSM (Greenbone Security Manager). Skaner jest powiązany z bazami danych, zawierającymi testy bezpieczeństwa: NVT (Network Vulnerability Tests), SCAP (Security Content Automation Protocol), CERT (Computer Emergency Readiness Team). Greenbone Community Feed zawiera ponad 50 000 codziennie aktualizowanych testów bezpieczeństwa.

Komponenty projektu

OpenVAS to rozbudowane narzędzie, które składa się z wielu powiązanych elementów. Najważniejsze komponenty skanera to:

  • OpenVAS Manager – główny element projektu, który odbiera polecenia od administratora przez komponenty klienta (stronę WWW/GUI/CLI) i używa tych instrukcji do kontrolowania narzędzia OpenVAS Scanner; kontroluje również bazę SQLite, gdzie znajduje się konfiguracja oraz wyniki skanowania, a dodatkowo zarządza użytkownikami, dysponując kontrolą dostępu na poziomie grup i ról;
  • OpenVAS Scanner – sprawdza podatność na zagrożenia określonej maszyny;
  • OpenVAS Administration – zezwala administratorom na tworzenie użytkowników i przydzielanie im uprawnień, a także zarządzanie aktualizacjami;
  • Greenbone Security Assistant (GSA) – udostępnia interfejs użytkownika Web, przeznaczony do administrowania i zarządzania zadaniami OpenVAS;
  • OpenVAS CLI – udostępnia interfejs linii komend do administrowania narzędziami OpenVAS;
  • Greenbone Desktop Security – zapewnia graficzny interfejs użytkownika do zarządzania OpenVAS w postaci aplikacji instalowanej na komputerze;
  • Cele ataku (Targets) – punkty końcowe, które sprawdzamy pod kątem różnych zagrożeń.

Najważniejsze składniki systemu są instalowane na maszynie z systemem Linux. OpenVAS Manager kontroluje procesy skanowania. OpenVAS Administrator pracuje jako usługa, która umożliwia zarządzanie użytkownikami i pobieraniem aktualizacji zagrożeń przez linię komend. OpenVAS pracuje na bazie zagrożeń NVT, uzupełnianej danymi SCAP oraz CERT. Istnieje wiele wersji klientów GUI dla OpenVAS. GSA (Greenbone Security Assistant) oferuje interfejs graficzny bazujący na stronie internetowej. Z kolei GSD (Greenbone Security Desktop) jest klientem desktopowym przygotowanym dla różnych systemów operacyjnych. Dostępna jest też wersja klienta dla systemu Windows. OpenVAS CLI to natomiast interfejs linii komend.

Jak zainstalować OpenVAS

W poniższej instrukcji instalację Open­VAS przeprowadzamy na systemie operacyjnym Linux Ubuntu Server 18.04 LTS. Pierwszą czynnością będzie dodanie repozytorium OpenVAS:

# sudo add-apt-repository ppa:mrazavi/openvas

Po dodaniu repozytorium należy zaktualizować system, a następnie zainstalować pakiet OpenVAS 9 oraz bazę danych SQLite3, wydając polecenia:

# sudo apt-get update
# sudo apt-get upgrade
# sudo apt-get install sqlite3 openvas9

W trakcie instalacji zostaniemy poproszeni o aktualizację pliku konfiguracyjnego redis w celu włączenia redis unix socket, na co wyrażamy zgodę. Następnie pobieramy i aktualizujemy bazę danych zagrożeń dzięki synchronizacji, używając poleceń:

# sudo greenbone-nvt-sync
# sudo greenbone-scapdata-sync
# sudo greenbone-certdata-sync

Po przeprowadzeniu aktualizacji restartujemy skaner usługi openvas-scanner, openvas-manager, openvas-gsa:

# sudo systemctl restart openvas-scanner
# sudo systemctl restart openvas-manager
# sudo systemctl restart openvas-gsa

Aby usługi uruchamiały się przy starcie systemu operacyjnego, należy wykonać polecenia:

# sudo systemctl enable openvas-scanner
# sudo systemctl enable openvas-manager
# sudo systemctl enable openvas-gsa

Zanim przeprowadzimy jakikolwiek test bezpieczeństwa, należy przebudować pamięć podręczną NVT, aby zsynchronizowane zasoby zostały załadowane do menedżera OpenVAS:

# sudo openvasmd --rebuild \
--progress --verbose
Rebuilding NVT cache... done.

Do zarządzania OpenVAS możemy dostać się przez przeglądarkę, wpisując adres https://adres_IP:4000. Domyślne nazwa użytkownika i hasło to admin.

Aktualizowanie baz

Skanery bezpieczeństwa porównują cel skanowania z wzorcowymi bazami danych zagrożeń. OpenVAS bazuje na trzech wspomnianych już bazach. Pierwsza z nich to NVT. Zawiera ponad 57 000 aktywnych wtyczek, które potrafią wykrywać zagrożenia w znaczącej liczbie usług i aplikacji. Gdy skaner wykryje otwarte porty na analizowanej maszynie, uruchamia testy NVT na wykrytych portach. Ze względu na ilość testów skanowanie może trwać nawet kilka godzin. Z kolei SCAP zawiera informacje pozwalające stwierdzić, czy konfiguracja i aktualizacje spełniają wymagania określonego standardu. Ta baza danych jest zasilana danymi z National Institute of Standards and Technologies (NIST) i zawiera bezpieczne konfiguracje, zatwierdzone przez NIST i partnerów SCAP. Skanery SCAP porównują cel analizy z zawartością bazy danych. Trzecim źródłem danych dla OpenVAS są bazy CERT opracowane przez zespoły monitorowania bezpieczeństwa.

Po zainstalowaniu OpenVAS należy zadbać o aktualizację baz danych zagrożeń. Najlepszym sposobem jest stworzenie skryptu, który będzie synchronizował dane automatycznie każdego dnia. W tym celu tworzymy plik openvas-update (nano /etc/cron.daily/openvas-update) z zawartością, jak niżej:

sudo /usr/sbin/greenbone-nvt-sync
sudo /usr/sbin/greenbone-certdata-sync
sudo /usr/sbin/greenbone-scapdata-sync
sudo /usr/sbin/openvasmd \
–-update –-verbose –-progress
sudo /etc/init.d/openvas-manager \
restart
sudo /etc/init.d/openvas-scanner \
restart

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie bezpieczeństwa sieci. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej