LINUXZONE






 >> Hlavní stránka

(1751/28.09.2010)


 >> Administrace

(161/05.08.2010)


 >> Literatura

(312/14.09.2010)


 >> Bezpečnost

(347/17.09.2010)


 >> Programování

(307/19.04.2010)


 >> Distribuce

(98/16.09.2010)


 >> Síťování

(86/03.06.2010)


 >> Lokalizace

(10/15.09.2004)


 >> Aplikace

(176/12.08.2010)


 >> Multimedia

(32/31.03.2006)


 >> Hardware

(45/02.03.2007)


 >> Začínáme

(229/09.09.2010)


 >> Aktuálně

(564/20.09.2010)


 >> RELAX

(213/28.09.2010)


 >> Jinde vyšlo

přehled ostatních serverů




 Coolhousing




Coolhousing - Vas poskytovatel dedikovanych serveru




 Přihlášení




Login:
Heslo:
 uložit v prohlížeči


Nejste-li ješte zaregistrováni, můžete tak učinit zde.





 Vyhledávání




Hledaný výraz:
v klíčových slovech
v titulku
v anotaci
v textu








 Reklama









 Servis




*   Vaše náměty a připomínky
Máte k Linuxzone.cz nějaké připomínky nebo náměty? Našli jste na stránkách chybu? Dejte nám o tom vědět pomocí formuláře nebo v diskuzi.
Komentářů: 60
*   Podpořte Linuxzone.cz
Chcete podpořit náš server umístěním odkazu nebo zveřejněním backendu? Zde najdete vše potřebné.
*   Pište pro Linuxzone.cz
Máte zájem podílet se na obsahu Linuxzone.cz ať už jako redaktoři nebo i jinak? Dejte nám o sobě vědět!





 Aktuálně z bezpečnosti




-- 
6.12.2005, 19:01
Na serveru informit.com vyšla ukázková kapitola týkající se práce s řetězci z knihy Secure Coding in C and C++. (lz)

-- 
3.12.2005, 12:34
Bugtraq: Format String Vulnerabilities in Perl Programs. (lz)

-- 
3.12.2005, 12:32
Linux Advisory Watch December 2nd 2005. (lz)

-- 
23.10.2005, 13:28
Rozhovor na téma klasické zálohování versus CDP. (lz)

-- 
23.10.2005, 13:24
Linux Advisory Watch October 21st 2005. (lz)

další >>





 Aktuálně o software




-- 
6.12.2005, 19:07
Potřebujete-li pod linuxem rozchodit bezdrát založený na čipsetech Broadcom 43xx, konečně existuje linuxový ovladač. (lz)

-- 
6.12.2005, 19:04
Byla uvolněna verze Xen 3.0.0 virtualizační technologie XEN. (lz)

-- 
6.12.2005, 18:59
Byla uvolněna verze X11R6.9/X11R7 RC 3 grafickérho rozhraní X Window System. (lz)

-- 
3.12.2005, 12:45
Co je nového okolo projektu Amanda (open source zálohovací software)? Více na osnews.com. (lz)

-- 
3.12.2005, 12:40
Jak to akuálně v linuxu vypadá s podporou SATA.. (lz)

další >>





 Aktuálně z IT




-- 
3.12.2005, 12:51
Novellu se daří prodej linuxových produktů, oproti loňskému roku se Novell dočkal výrazného nárůstu. (lz)

-- 
3.12.2005, 12:48
Třetí verzi licence GPL by měla být publikována během jara 2007. (lz)

-- 
23.10.2005, 13:20
V Peru nyní mají zákon, který umožňuje nasazení open source software ve vládní správě. (lz)

-- 
23.10.2005, 13:14
Proč se Microsoft bojí Google? (lz)

-- 
27.9.2005, 22:01
Peru má zákon podporující free software. (lz)

další >>





 Nejčtenější články









 Nejlepší články









 Anketa




Používáte nějaké rozšíření bezpečnostního modelu linuxového jádra?

Openwall (17%)

LIDS (11%)

Pax/Grsecurity (3%)

SELinux (6%)

RSBAC (1%)

jiné (1%)

používám standardní jádro (62%)







Linuxzone.cz - server o Linuxu pro programátory, administrátory a fanoušky.
Provozuje společnost Impossible.
ISSN: 1213-8738





Nessus: jak bezpečná je vaše síť?

Existuje řada nástrojů, které umožňují provádět audit bezpečnosti sítí. Jedním z takových prostředků je síťový skener Nessus. Je to oblíbený síťový skener, který se nedávno objevil v nové stabilní větvi 2.0. Podívejme se, co od takového nástroje můžeme čekat...

  • 1) Co Nessus umí
  • 2) Novinky ve verzi 2.0
  • 3) Architektura klient - server
  • 4) Autentizace uživatelů
  • 5) Instalace
  • 5.1) Sestavení ze zdrojového kódu
  • 5.2) RPM balíčky
  • 6) Konfigurace
  • 6.1) Konfigurace serveru
  • 6.2) Uživatelé
  • 7) Skenujeme
  • 8) Reporty
  • 9) Skenování na pozadí, nepřetržitý monitoring (detached scanning)
  • 10) Monitoring změn v síti (differential scanning)
  • 11) Problémy?
  • 12) Pár slov závěrem

1) Co Nessus umí

Nessus je síťový skener, který provádí kontrolu jednotlivých hostitelů nebo celých sítí - zjišťuje, jaké síťové služby jsou kde k dispozici a pomocí rozsáhlé databáze zásuvných modulů (pluginů), které implementují jednotlivé testy kontrolují, zda jsou tyto služby implementovány bezpečným způsobem. Kromě jednorázových skenů jej můžeme spustit tak, aby prováděl kontroly nepřetržitě s určitým intervalem (detached, continuous scanning), nebo také můžeme získat přehled o změnách, ke kterým v konfiguraci sledovaných sítí došlo (differential scanning).

  • Jednotlivé testy jsou implementovány jako pluginy, které jsou vytvořeny v jazyce NASL, případně v C. Napsání pluginu je poměrně jednoduché.
  • Jazyk NASL (Nessus Attack Scripting Language) je jazyk vyvinytý v rámci projektu Nessus právě pro snazší skriptování pluginů.
  • Databázi pluginů lze snadno pravidelně doplňovat - součástí distribuce je nástroj, který automaticky aktualizuje databázi pluginů.
  • Je možné současně testovat více hostitelů. Jednotlivé testy mají definované závislosti, takže se žádné testy nespouštejí zbytečně.
  • Při rozpoznávání síťových služeb se nessus nespoléhá na obvykle užívaná čísla portů jednotlivých aplikací, síťové služby jsou rozpoznávány na základě protokolů.
  • Zejména pro méně zkušené uživatele je příjemné to, že report obsahuje i tipy, jak zjištěné nedostatky odstranit.
  • Je možné zakázat použití pluginů, které mohou působit destruktivně (vyvolání DoS nebo i havárie systému).
  • Nessus podporuje SSL.

Domovská stránka projektu je http://www.nessus.org.

2) Novinky ve verzi 2.0

Na první pohled se může zdát, že se toho oproti předchozím verzím až tak moc nezměnilo, podoba grafického klient se nezměnila. Řada změn se ovšem udála spíše pod povrchem - mezi novinkami potěší zejména mnohem vyšší rychlost, efektivita a také menší nároky na paměť. Nově je přepsaná knihovna libnasl (pluginy pro Nessus jsou obvykle implementovány právě v jazyce NASL) a také přibyla další metoda, která zrychlí skenování hostitelů chráněných firewallem.

3) Architektura klient - server

Nessus je vystavěn na architektuře klient-server. K serverové části (nessusd), která realizuje vlastní testy, se mohou přes síť připojovat klienti z jiných hostitelů. K dispozici je jednak klient pro X Window System (ale je možno též sestavit klienta bez podpory grafického rozhraní), existuje také pro platformu Win32 (existoval také klient implementovaný v jazyce Java, který už není delší dobu vyvíjen , dnes již není použitelný).

4) Autentizace uživatelů, autorizace přístupu

Nessus pracuje s vlastním seznamem uživatelů a komunikace mezi nessus serverem a klientem je chráněná - používá se SSL a veškerá komunikace je tedy šifrovaná. Také lze omezit přístup k nessus serveru podle IP adres a to jak globálně, ale i pro jednotlivé uživatele zvlášť. Při navázání spojení se nessus server prokazuje klientu svým certifikátem. Klient pak může prokázat svoji identitu buď také certifikátem, anebo heslem.

5) Instalace

Máme dvě možnosti, buď zvolit kompilaci ze zdrojového kódu anebo sáhnout po předkompilovaných balíčcích. Nessus nebývá běžnou součástí linuxových distribucí, takže může být problém sehnat předkompilované balíčky Nessusu. Balíčky pro některé distribuce jsou na domovské stránce projektu, ale často nejsou aktuální. RPM balíčky také můžeme najít třeba na www.rpmfind.net.

Sestavení ze zdrojového kódu je popsáno v dokumentaci na http://www.nessus.org/install.html. Distribuce Nessusu sestává ze čtyřech balíčků: nessus-libraries, libnasl, nessus-core a nessus-plugins, které v tomto pořadí rozbalíme, přeložíme a instalujeme (configure && make && make install). Pokud při instalaci neřekneme jinak, budou se knihovny instalovat do /usr/local/lib, je potřeba se ujistit, že je tento adresář zapsán v souboru /etc/ld.so.conf. Je také možné sestavit klienta bez podpory grafického rozhraní, pokud jej nechceme používat.

6) Konfigurace

6.1) Konfigurace serveru

Konfigurace nessusd je standardně uložena v adresáři /etc/nessus. Nalezneme zde soubor nessusd.conf, který obsahuje základní nastavení (cesta k pluginům, počet vláken, které mohou běžet současně, cestu k log souboru apod.).

Před prvním spuštěním serveru nessusd je potřeba vygenerovat certifikát, který nessusd použije při SSL komnikaci. Můžeme k tomu použít skript nessus-mkcert, který certifikát vygeneruje, ale pokud např. používáme vlastní certifikační autoritu, můžeme samozřejmě také instalovat certifikát vlastní (viz direktivy cert_file, key_file a ca_file v konfiguračním souboru /etc/nessus/nessusd.conf).

Pokud je nessus sestaven s podporou tcp_wrapperu, je potřeba povolit přístup k nessusu v souboru /etc/hosts.allow třeba takto (povolíme přístup z lokálního síťového rozhraní):

nessusd:ALL@127.0.0.1

6.2) Uživatelé

Jakmile máme vygenerovaný certifikát pro server, můžeme definovat uživatele. K manipulaci s uživateli slouží skripty nessus-adduser pro přidání a nessus-rmuser pro odebrání uživatele. Při zakládání uživatele máme možnost zvolit, zda pro autentizaci budeme používat heslo anebo certifikát. Pokud se rozhodneme pro použití certifikátu, můžeme jej vygenerovat pomocí skriptu nessus-mkcert-client.

7) Skenujeme

Základní konfiguraci máme za sebou, teď už můžeme server nessusd spustit - buď příkazem nessusd -D (parametr -D zajistí běh na pozadí), anebo startovacím skriptem umístěným v /etc/rc.d/init.d/nessus, pokud je součástí balíčku.

Po spuštění klienta (příkazem nessus) se objeví nabídka přihlášení k serveru, při prvním přihlášení k serveru nám klient ještě prezentuje certifikát serveru.


Přihlášení k nessus serveru

V záložce Plugins máme možnost vybrat ze seznamu dostupných pluginů ty, které hodláme použít při testu. Pluginy jsou pro přehlednost rozděleny do několika kategorií. Kliknutím na jednotlivé pluginy se pak objeví okno s popisem pluginu, také máme možnost nechat si vypsat závislosti pluginu. Protože některé testy mohou vyvolat DoS nebo havárii testovaného systému, máme možnost jednoduše povolit všechny testy s výjimkou těch, kterých mohou způsobit škodu (tlačítko "Enable all but dangerous plugins").


Výběr pluginů

Pro maximální využití některých zásuvných modulů je vhodné doplnit v záložce "Preferences" další údaje, jako je třeba uživatelské jméno a heslo k FTP, POP, IMAP účtům apod. Můžeme si také zvolit techniku a řadu dalších parametrů port skenu.


Volitelné preference pluginů a techniky port skenu

V záložce "Scan Options" pak zadáme rozsah portů, které budeme na cílových systémech testovat, zda na nich běží nějaké služby. Také zde můžeme omezit počet hostitelů, které budou testovány současně a také počet pluginů, které budou spuštěny současně proti jednomu cílovému systému (a tím ovlivnit zátěž serveru).


Volby skeneru

Konečně v záložce "Target Selection" zadáme cíl skenu. Může to být IP adresa, jméno hostitele, nebo rozsah síťových adres apod., případně se také můžeme pokusit stáhnout zónový soubor příslušné domény z jmenného serveru.


Zadání testovaných systémů

Když jsme se zadáním hotovi, spustíme sken a klient zobrazuje průběh skenu.


Probíhající sken

8) Reporty

Po skončení skenu klient nabídne prohlídku výsledného reportu, kde jsou popsány všechny zjištěné síťové služby na cílových systémech. Problémové služby jsou pak zvýrazněné. K většině služeb je pak k dispozici komentář, ze kterého je jasné, v čem je problém - v komentářích jsou obvykle uvedeny identifikátory do databáze CVE (cve.mitre.org), případně odkazy na CERT či bugtraq, podle kterých lze rychle dohledat popis chyb.


Prohlížení reportu

Report je možné uložit pro pozdější použití ve formátu NBE, starším formátu NSR, nebo exportovat pro zpracování externími nástroji do formátů XML, HTML, ASCII a také pro zpracování v LaTeXu.


Část HTML reportu

9) Skenování na pozadí, nepřetržitý monitoring (detached scanning)

Sken, obvzvláště pokud je skupina cílových systémů větší může trvat poměrně dlouho, takže se může hodit možnost provádět sken na pozadí. V tom případě v záložce "Scan options" zatrhneme volbu Detached scan a v záložce "Target selection" zapneme volbu "Save this session". Při pozdějším připojení k nessus serveru zpřístupníme výsledky ze seznamu předchozích sezení "Previous sessions".

Pokud bychom chtěli provádět audit v pravidelných intervalech, opět k tomu použijeme výše zmíněné volby a přidáme ještě položku "Continuous scanning", kde také máme možnost zadat interval, v jakém se bude sken spouštět. Tyto možnosti jsou detailně popsány zde v dokumentaci nessusu.

10) Monitoring změn v síti (differential scanning)

Zajímavou vlastností je monitorování změn v síti, v tom případě není výsledkem kompletní zpráva, report pak obsahuje pouze změny, ke kterým došlo od předchozího skenu. Pro spuštění skenování v tomto režimu zapneme v záložce "KB" volby "Enable KB saving" (nessus si bude data o jednotlivých hostitelích ukládat) a dále volby "Reuse knowledge bases" a "Only show differences". Tyto možnosti jsou také popsány zde.

11) Problémy?

Pokud narazíte na problémy, ma stránkách projektu nessus je k dispozici dokument FAQ, který obsahuje odpovědi na často kladené otázky. K dispozici je také mailing list.

12) Závěrem

Potřebujeme také aktuální databázi pluginů, součástí distribuce nessusu je skript nessus-update-plugins, který můžeme pravidelně spouštět prostřednictvím cronu, tento skript se o stažení nových pluginů postará.

Nessus je široce konfigurovatelný síťový skener, který je s pomocí grafického rozhraní dobře použitelný i pro méně zkušené uživatele.

Autor: David Häring, 19. 03. 2003, 03:00
Sekce Administrace, Komentářů: 2
Průměrné hodnocení: 0,19

o Poslat e-mailem
o Tisk článku
o Uložit do profilu


 Přispějte nám




Líbil se Vám tento článek? Můžete ho ocenit zavoláním na tel. číslo 906 460 134.
Cena hovoru za 1 minutu je 46 Kč.





 Hodnocení článku




Článek hodnotím jako:  [1] výborný   [2] dobrý   [3] průměr   [4] špatný   [5] hrůza  





 Komentáře




--

David Häring, 19. 03. 2003 11:00
re: java klient












--

pepino, 19. 03. 2003 09:46
Java klient















PŘIDAT KOMENTÁŘ ZOBRAZ VŠE >>










2002 © Impossible, s.r.o.   >> Kontaktujte redakci >> Právní upozornění >> Reklama