LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Nessus - jak bezpečný je Váš server

Možná jste si už někdy položili otázku: "Jak moc bezpečný je můj server (počítač)?" Určitě jste si nakonfigurovali firewall, ale to nestačí ... Potřebujete vědět víc ... Pojďte najít díry do vašeho systému.

16.8.2004 08:00 | Michal Vyroubal | Články autora | přečteno 11881×

Víte, jak vypadá bezpečný počítač? Pravděpodobně je zakopaný 1 km pod zemí v pancéřovaném trezoru a v žádném případě není připojen k počítačové síti. Žel takový počítač je nepoužitelný, a to proto, že 1 km pod zemí je docela chladno a bez počítačové sítě se špatně komunikuje s okolím. A čím víc chcete využívat nejrůznější služby sítě, tím více musíte váš počítač otevřít a tím menší je jeho bezpečnost.

(Ne)bezpečnost v sítích, aneb TCP/IP v 10 větách

Ve chvíli, kdy připojíte síťový kabel do svého počítače, začnou vás navštěvovat balíčky dat (pakety). Každý takový paket doputuje na váš počítač k určitému přístavu (portu) a tam zakotví. Některé porty jsou otevřené, jiné uzavřené. Toto otevírání a zavírání se realizuje pomocí firewallu. Ale co ty otevřené porty? Zde je celá bezpečnost v rukou aplikace (služby, démona), která port obsluhuje. Právě zabezpečení techto otevřených portů bude předmětem našeho článku.

Nessus

Nessus je nástroj sloužící ke kompletnímu scanování stroje. Nejenže ověří, které porty jsou otevřené a jaké služby na nich běží (na to by stačil nmap), ale hlavně umí zjistit bezpečnostní slabiny služeb obsluhujících porty.

Co potřebujete o počítači znát před zahájením scanu? Stačí IP adresa nebo dokonce jen jeho doménové jméno.

Architektura nessus-e

Nessus se skládá ze dvou částí:

  • server nessusd
  • klient nessus

Před zahájením scanování se klient připojí k serveru a veškerý scan je poté prováděn ve jménu počítače, na kterém běží serverová část. To může mít nejrůznější výhody. Můžete tak odlehčit svému internetovému připojení. Rovněž pokud jste v síti, která je schovaná za firewallem, bylo by komplikované protlačit scanování přes firewall (firewall totiž některé testy nemusí pustit ven). Řešením je samozřejmě umístění serverové části mimo "ochranu" firewallu.

Nejprve si tedy nessus stáhněte nebo se podívejte, jestli není součástí vaší oblíbené distribuce Linuxu. Použití prográmku si ukážeme ve třech krocích.

A - Vytvoření uživatele na serveru a start serveru

1. Vytvoření uživatele

Pro vytvoření použijeme příkaz nessus-adduser

# nessus-adduser

Addition of a new nessusd user
------------------------------

Login : vyrbl
Authentication (pass/cert) [pass] : pass
Password : heslo

User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that renaud2 has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)

deny 10.0.0.254
accept 10.0.0.0/24
default deny

Login : vyrbl
Password : heslo
DN :
Rules :

deny 10.0.0.254
accept 10.0.0.0/24
default deny


Is that ok (y/n) ? [y] y

user added.

Takto jsme vytvořili uživatele vyrbl, který se bude k nessusd serveru přihlašovat s heslem heslo (pozor, při vytváření uživatele se bude zadávané heslo opravdu zobrazovat - stejně jako v příkladu; takže si nenechte nikoho stát za zády :-).

Uživateli zakážeme scanovat stroj na IP adrese 10.0.0.254 (to je totiž náš lokální server); jinak může prověřit kterýkoli stroj v lokální síti. Výchozí bezpečnostní politika je deny (neboli co není povoleno je zakázáno).

Na závěr potvrdíme krátké opakování a nový uživatel je na serveru zaveden.

2. Spuštění serveru

Nyní spustíme server příkazem nessusd, nejlépe s parametrem D, který způsobí, že server poběží jako služba (démon). K tomuto spuštění ovšem potřebujete mít náležitá oprávnění. Rovněž je možné při spouštění nastavit port, na kterém server naslouchá (výchozí je 1241/tcp, kde se hlásí jako msg) a spoustu dalších jemností.

nessusd -D

B - Scanování pomocí klienta

Klienta spustíme příkazem nessus. A už koukáme na klikací okno, které má 8 záložek pro ovládání a nastavování. Probereme si důležitá nastavení a volby.

1. Připojení k serveru

Na kartě Nessusd host nastavíte, kde běží server nessusd a přihlašovací údaje k němu. Ve chvíli logování proběhne ověření SSL klíčů. Rovněž se vám do klienta načtou údaje o plug-inech instalovaných na serveru.

2. Testovací plug-ins

Karta Plugins nabízí výběr testovacích modulů (jsou vyvíjeny stále nové moduly, které si můžete přidat). Výchozí nastavení je takové, aby se prováděly jen takové testy, které nemohou ohrozit běh testovaného stroje. Pokud bychom testovali například Denial of Service, mohlo by to na stroji, který není zabezpečen proti tomuto typu útoku, opravdu vyvolat výpadek služby - buďte tedy opatrní. Všechny tyto moduly můžete přesněji nastavit na záložce Prefs. (například metody scanování, rozsah scanovaných portů, metoda používaná pro ping, ...). Docela zajímavé je nastavení SMB účtu, které nessusovi umožní připojit se k Windows a zjistit o nich více informací (např. úroveň aktuálnosti systému).

Plugins

3. Možnosti a cíl scanování

Karta Scan options slouží k nastavení parametrů samotného testování (rozsah portů, ...). Docela užitečné nastavení je zde kolik hostů je možné testovat najednou (hodí se, pokud testujete více strojů z rozsahu IP adres).

Na kartě Target selection určujeme, co se bude scannovat. Je několik možností zadání:

  • 10.0.0.21
    (jediná IP adresa)
  • 10.0.0.21-30
    10.0.0.21-10.0.1.10
    10.0.0.1/24
    (různě zadané rozsahy IP adres)
  • www.linuxsoft.cz
    (plné doménové jméno stroje)
  • exch-server
    (jméno stroje v lokální síti)
  • www.linuxsoft.cz, 10.0.0.21-30, exch-server
    (kombinace předchozích oddělené čárkou)

Users - tato karta slouží k nastavení vyjímek. Například chci testovat stroje 10.0.0.21-30, ale rozhodně nechci testovat počítač hlavního správce sítě 10.0.0.25. V Target selection tedy nastavím 10.0.0.21-30 a na kartě Users přidám pravidlo

reject 10.0.0.25
default accept

Teď již můžeme Start the scan. (Pokud testujete počítače v Internetu, zajděte si na oběd - provedení scanování bude trvat delší dobu. V lokální síti to jde docela rychle.)

4. Další nastavení

Záložka KB umožňuje nastavit ukládání výsledků testu na straně serveru nessusd (jinak se ukládají na klientovi). A konečně Credits - zatleskejme tvůrcům tohoto super programu.

C - Práce s výsledkem testu

Výsledek testu se zobrazí v přehledném zobrazení. Rovněž jej můžete uložit v mnoha různých formátech. Můžete se podívat jak vypadá výsledek testu. Testovaný stroj má "operační systém" M$ Windows 98SE a uživatel se cítí bezpečně, protože má přece povoleno "jen" sdílení souborů ...

Ve výsledku jsou tři úrovně zpráv: Security notes, warnings, hole (bezpečnostní poznámky, varování, díry).

Tento software mohu doporučit každému správci, který chce být rychlejší než případný útočník.

Verze pro tisk

pridej.cz

 

DISKUZE

A vsechny vysledky si radeji overte RUCNE 16.8.2004 09:17 Michal Vymazal
L Re: A vsechny vysledky si radeji overte RUCNE 16.8.2004 14:06 Michal Vyroubal
Pouziti nessusu proti vlastnim serverum 16.8.2004 12:32 Jan Houštěk
L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 14:11 Michal Vyroubal
  L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:09 Jan Houštěk
    L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:51 Michal Vyroubal
Bezpecny pocitac 16.8.2004 15:59 Jan Houštěk
  L Re: Bezpecny pocitac 16.8.2004 16:08 Michal Vyroubal
    L Re: Bezpecny pocitac 16.8.2004 19:06 Jan Houštěk




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze