Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Zarządzanie podatnościami za pomocą OpenVAS

Data publikacji: 30-11-2017 Autor: Konrad Kubecki
Interfejs webowy systemu...

Zarządzanie podatnościami staje się istotnym procesem dla coraz szerszego grona przedsiębiorstw, nie tylko tych objętych rekomendacjami Komisji Nadzoru Finansowego. Świadomość występowania luk w infrastrukturze IT oraz aktywne ich usuwanie to już codzienność w pracy administratorów odpowiadających za serwery, urządzenia sieciowe, a nawet stacje robocze.

Ideą zarządzania podatnościami jest stałe cykliczne weryfikowanie poziomu bezpieczeństwa infrastruktury i podejmowanie kroków mających na celu poprawę sytuacji zagrożonych obszarów. W skrócie proces ten sprowadza się do kilku kroków:

1. skanowanie,
2. uzyskanie raportów i zaleceń,
3. podjęcie kroków naprawczych,
4. końcowa weryfikacja efektów.

Po zakończeniu tej ścieżki proces startuje od nowa. Kluczowa jest w nim wiedza o tym, jakie podatności kryją się w konfiguracji poszczególnych serwerów, usług i urządzeń oraz w jaki sposób można dane ryzyko wyeliminować.

Istnieją narzędzia, które pozwalają prześwietlić infrastrukturę i zarekomendować sposoby usuwania wykrytych zagrożeń. Dzięki nim „politykę łatania” można zorganizować samodzielnie. Na rynku są zarówno systemy płatne, jak i narzędzia rozpowszechniane bez opłat. W artykule przyjrzymy się systemowi OpenVAS – jednemu z czołowych skanerów podatności wśród darmowych narzędzi.

OpenVAS jest zestawem darmowych narzędzi służących do badania urządzeń sieciowych, szerokiej gamy systemów operacyjnych oraz wielu usług sieciowych pod kątem podatności na różnego typu ataki. OpenVAS potrafi przeskanować obrany cel, sporządzić listę wykrytych podatności oraz zaproponować sposób na zwiększenie poziomu bezpieczeństwa.

> Wdrożenie

Twórcy OpenVAS udostępniają gotowy virtual appliance, który zawiera komplet elementów potrzebnych do rozpoczęcia pracy, w tym bazę danych, skanery oraz interfejs webowy. Po uruchomieniu VA należy użyć kreatora, którego główne kroki to konfiguracja sieci, ustawienie hasła administratora oraz wybór bazy testów, które będą wykorzystywane podczas skanowania. Do wyboru jest darmowa edycja community lub płatna wersja, wymagająca klucza licencyjnego do aktywacji.

Możliwa jest także instalacja z pakietów dostępnych dla wielu dystrybucji Linuksa. Rodzina systemów RedHat/CentOS/Fedora, Kali, Ubuntu to niektóre z nich. W przypadku instalacji w systemie CentOS można posłużyć się repozytorium, które zawiera komplet wymaganych plików rpm. Instalacja za pomocą menedżera yum jest o tyle wygodna, że pobiera pakiety OpenVAS oraz inne, dodatkowo wymagane. Cały proces sprowadza się do użycia komendy yum install openvas -y oraz uruchomienia wstępnego kreatora poleceniem openvas-setup. Po pomyślnym zakończeniu konfiguracji możemy zalogować się do interfejsu webowego dostępnego pod adresem https://nazwa-serwera:9293.

Dodatkowo opiekunowie projektu zalecają rejestrację w grupie e-mailowej, która służy do rozsyłania komunikatów o nowościach oraz istotnych zmianach.

> Know-how

Kluczem do skuteczności narzędzi służących do wykrywania podatności jest baza testów uruchamianych na wskazanych przez administratora obiektach. Test to próba naruszenia bezpieczeństwa, wykorzystująca znaną i zdefiniowaną lukę, błąd w konfiguracji czy też podatność na niepożądane zachowanie odkryte w konkretnej wersji oprogramowania. OpenVAS posiada bazę testów o nazwie NVTs (Network Vulnerability Tests). W bezpłatnej wersji systemu wykorzystana jest darmowa baza. W odróżnieniu od wersji płatnej może zawierać nieco mniejszą liczbę dostępnych testów, a jej aktualizacje pojawiają się rzadziej, niż ma to miejsce w wersji płatnej. Niemniej liczba testów, które możemy uruchomić na zarządzanej infrastrukturze, jest całkiem spora. Testy zostały skategoryzowane zgodnie z ich charakterystyką oraz oprogramowaniem, którego dotyczą. Przykładowe grupy, których nazwy doskonale oddają charakter testów, to: Brute Force Attacks, Cisco, Local Security Checks, Default Accounts, Denial of Service, Databases, FTP, Firewalls, Malware, SMTP problems, SSL and TLS, Useless services, Web Servers. Istnieją także grupy zawierające testy podatności typowe dla konkretnych systemów operacyjnych. Przykładowe to: AIX, CentOS, FortiOS, Fedora, FreeBSD, Gentoo, HP-UX, Mac OS, Mandrake, Oracle, Red Hat, Slackware, Solaris, SUSE, Ubuntu, Windows Server.

Idąc dalej, grupa Web Serves to kilkaset testów, które dotyczą takiego oprogramowania jak: Apache HTTP Server, Apache Tomcat, WebSphere, Lighttpd, IIS, Nginx oraz wielu rzadziej spotykanych lub bardziej specjalistycznych produktów: GeoServer, IBM Rational Quality Manager, Mongoose Web Server, Netscaler Web Management i Oracle GlassFish.

NTVs to zbiór ponad 55 tysięcy testów. Nie jest to mało, a ich liczba stale rośnie. Wraz z odkrywaniem kolejnych metod naruszenia bezpieczeństwa powstają nowe testy. OpenVAS codziennie automatycznie sprawdza dostępność aktualizacji bazy i jeśli taka istnieje, pobiera ją do lokalnego repozytorium.


[...]

Autor pracuje jako specjalista ds. infrastruktury IT w firmie z branży ubezpieczeniowej. Zajmuje się m.in. wdrażaniem i utrzymywaniem rozwiązań opartych na systemach Windows Server, Linux Red Hat/CentOS oraz platformach wirtualizacyjnych firmy VMware

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"