LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Nessus - jak bezpečný je Váš server

Možná jste si už někdy položili otázku: "Jak moc bezpečný je můj server (počítač)?" Určitě jste si nakonfigurovali firewall, ale to nestačí ... Potřebujete vědět víc ... Pojďte najít díry do vašeho systému.

16.8.2004 08:00 | Michal Vyroubal | Články autora | přečteno 8963×

Víte, jak vypadá bezpečný počítač? Pravděpodobně je zakopaný 1 km pod zemí v pancéřovaném trezoru a v žádném případě není připojen k počítačové síti. Žel takový počítač je nepoužitelný, a to proto, že 1 km pod zemí je docela chladno a bez počítačové sítě se špatně komunikuje s okolím. A čím víc chcete využívat nejrůznější služby sítě, tím více musíte váš počítač otevřít a tím menší je jeho bezpečnost.

(Ne)bezpečnost v sítích, aneb TCP/IP v 10 větách

Ve chvíli, kdy připojíte síťový kabel do svého počítače, začnou vás navštěvovat balíčky dat (pakety). Každý takový paket doputuje na váš počítač k určitému přístavu (portu) a tam zakotví. Některé porty jsou otevřené, jiné uzavřené. Toto otevírání a zavírání se realizuje pomocí firewallu. Ale co ty otevřené porty? Zde je celá bezpečnost v rukou aplikace (služby, démona), která port obsluhuje. Právě zabezpečení techto otevřených portů bude předmětem našeho článku.

Nessus

Nessus je nástroj sloužící ke kompletnímu scanování stroje. Nejenže ověří, které porty jsou otevřené a jaké služby na nich běží (na to by stačil nmap), ale hlavně umí zjistit bezpečnostní slabiny služeb obsluhujících porty.

Co potřebujete o počítači znát před zahájením scanu? Stačí IP adresa nebo dokonce jen jeho doménové jméno.

Architektura nessus-e

Nessus se skládá ze dvou částí:

  • server nessusd
  • klient nessus

Před zahájením scanování se klient připojí k serveru a veškerý scan je poté prováděn ve jménu počítače, na kterém běží serverová část. To může mít nejrůznější výhody. Můžete tak odlehčit svému internetovému připojení. Rovněž pokud jste v síti, která je schovaná za firewallem, bylo by komplikované protlačit scanování přes firewall (firewall totiž některé testy nemusí pustit ven). Řešením je samozřejmě umístění serverové části mimo "ochranu" firewallu.

Nejprve si tedy nessus stáhněte nebo se podívejte, jestli není součástí vaší oblíbené distribuce Linuxu. Použití prográmku si ukážeme ve třech krocích.

A - Vytvoření uživatele na serveru a start serveru

1. Vytvoření uživatele

Pro vytvoření použijeme příkaz nessus-adduser

# nessus-adduser

Addition of a new nessusd user
------------------------------

Login : vyrbl
Authentication (pass/cert) [pass] : pass
Password : heslo

User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that renaud2 has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)

deny 10.0.0.254
accept 10.0.0.0/24
default deny

Login : vyrbl
Password : heslo
DN :
Rules :

deny 10.0.0.254
accept 10.0.0.0/24
default deny


Is that ok (y/n) ? [y] y

user added.

Takto jsme vytvořili uživatele vyrbl, který se bude k nessusd serveru přihlašovat s heslem heslo (pozor, při vytváření uživatele se bude zadávané heslo opravdu zobrazovat - stejně jako v příkladu; takže si nenechte nikoho stát za zády :-).

Uživateli zakážeme scanovat stroj na IP adrese 10.0.0.254 (to je totiž náš lokální server); jinak může prověřit kterýkoli stroj v lokální síti. Výchozí bezpečnostní politika je deny (neboli co není povoleno je zakázáno).

Na závěr potvrdíme krátké opakování a nový uživatel je na serveru zaveden.

2. Spuštění serveru

Nyní spustíme server příkazem nessusd, nejlépe s parametrem D, který způsobí, že server poběží jako služba (démon). K tomuto spuštění ovšem potřebujete mít náležitá oprávnění. Rovněž je možné při spouštění nastavit port, na kterém server naslouchá (výchozí je 1241/tcp, kde se hlásí jako msg) a spoustu dalších jemností.

nessusd -D

B - Scanování pomocí klienta

Klienta spustíme příkazem nessus. A už koukáme na klikací okno, které má 8 záložek pro ovládání a nastavování. Probereme si důležitá nastavení a volby.

1. Připojení k serveru

Na kartě Nessusd host nastavíte, kde běží server nessusd a přihlašovací údaje k němu. Ve chvíli logování proběhne ověření SSL klíčů. Rovněž se vám do klienta načtou údaje o plug-inech instalovaných na serveru.

2. Testovací plug-ins

Karta Plugins nabízí výběr testovacích modulů (jsou vyvíjeny stále nové moduly, které si můžete přidat). Výchozí nastavení je takové, aby se prováděly jen takové testy, které nemohou ohrozit běh testovaného stroje. Pokud bychom testovali například Denial of Service, mohlo by to na stroji, který není zabezpečen proti tomuto typu útoku, opravdu vyvolat výpadek služby - buďte tedy opatrní. Všechny tyto moduly můžete přesněji nastavit na záložce Prefs. (například metody scanování, rozsah scanovaných portů, metoda používaná pro ping, ...). Docela zajímavé je nastavení SMB účtu, které nessusovi umožní připojit se k Windows a zjistit o nich více informací (např. úroveň aktuálnosti systému).

Plugins

3. Možnosti a cíl scanování

Karta Scan options slouží k nastavení parametrů samotného testování (rozsah portů, ...). Docela užitečné nastavení je zde kolik hostů je možné testovat najednou (hodí se, pokud testujete více strojů z rozsahu IP adres).

Na kartě Target selection určujeme, co se bude scannovat. Je několik možností zadání:

  • 10.0.0.21
    (jediná IP adresa)
  • 10.0.0.21-30
    10.0.0.21-10.0.1.10
    10.0.0.1/24
    (různě zadané rozsahy IP adres)
  • www.linuxsoft.cz
    (plné doménové jméno stroje)
  • exch-server
    (jméno stroje v lokální síti)
  • www.linuxsoft.cz, 10.0.0.21-30, exch-server
    (kombinace předchozích oddělené čárkou)

Users - tato karta slouží k nastavení vyjímek. Například chci testovat stroje 10.0.0.21-30, ale rozhodně nechci testovat počítač hlavního správce sítě 10.0.0.25. V Target selection tedy nastavím 10.0.0.21-30 a na kartě Users přidám pravidlo

reject 10.0.0.25
default accept

Teď již můžeme Start the scan. (Pokud testujete počítače v Internetu, zajděte si na oběd - provedení scanování bude trvat delší dobu. V lokální síti to jde docela rychle.)

4. Další nastavení

Záložka KB umožňuje nastavit ukládání výsledků testu na straně serveru nessusd (jinak se ukládají na klientovi). A konečně Credits - zatleskejme tvůrcům tohoto super programu.

C - Práce s výsledkem testu

Výsledek testu se zobrazí v přehledném zobrazení. Rovněž jej můžete uložit v mnoha různých formátech. Můžete se podívat jak vypadá výsledek testu. Testovaný stroj má "operační systém" M$ Windows 98SE a uživatel se cítí bezpečně, protože má přece povoleno "jen" sdílení souborů ...

Ve výsledku jsou tři úrovně zpráv: Security notes, warnings, hole (bezpečnostní poznámky, varování, díry).

Tento software mohu doporučit každému správci, který chce být rychlejší než případný útočník.

Verze pro tisk

pridej.cz

 

DISKUZE

A vsechny vysledky si radeji overte RUCNE 16.8.2004 09:17 Michal Vymazal
L Re: A vsechny vysledky si radeji overte RUCNE 16.8.2004 14:06 Michal Vyroubal
Pouziti nessusu proti vlastnim serverum 16.8.2004 12:32 Jan Houštěk
L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 14:11 Michal Vyroubal
  L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:09 Jan Houštěk
    L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:51 Michal Vyroubal
Bezpecny pocitac 16.8.2004 15:59 Jan Houštěk
  L Re: Bezpecny pocitac 16.8.2004 16:08 Michal Vyroubal
    L Re: Bezpecny pocitac 16.8.2004 19:06 Jan Houštěk




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

14.5.2018 7:28 /František Kučera
Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 17. 5. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: Audio – zvuk v GNU/Linuxu.
Přidat komentář

7.5.2018 16:20 /František Kučera
Na stránkách spolku OpenAlt vyšla fotoreportáž Pražské srazy 2017 dokumentující srazy za uplynulý rok. Květnový pražský sraz na téma audio se bude konat 17. 5. 2018 (místo a čas ještě upřesníme).
Přidat komentář

17.4.2018 0:46 /František Kučera
Dubnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 4. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tématem tohoto srazu bude OpenStreetMap (OSM) aneb svobodné mapy.
Přidat komentář

16.3.2018 22:01 /František Kučera
Kulatý OpenAlt sraz v Praze oslavíme klasicky: u limonády a piva! Přijďte si posedět, dát si dobré jídlo a vybrat z mnoha piv do restaurace Kulový blesk, který najdete v centru Prahy nedaleko metra I. P. Pavlova na adrese Sokolská 13, Praha 2. Sraz se koná ve čtvrtek 22. března a začínáme v 18:00. Heslo: OpenAlt. Vezměte s sebou svoje hračky! Uvítáme, když si s sebou na sraz vezmete svoje oblíbené hračky. Jestli máte nějaký drobný projekt postavený na Arduinu, nějakou zajímavou elektronickou součástku, či třeba i pěkný úlovek z crowdfundingové akce, neváhejte. Oslníte ostatní a o zábavu bude postaráno.
Přidat komentář

13.2.2018 0:41 /František Kučera
Únorový pražský sraz OpenAltu se koná 15. 2. 2018 a tentokrát se vydáme na návštěvu do jednoho pražského datacentra. Sejdeme se v 17:50 v severovýchodní části nástupiště tramvajové zastávky Koh-I-Noor. Po exkurzi se přesuneme do restaurace U Pštrosa (Moskevská 49), kde probereme tradiční témata (svobodný software a hardware, DIY, CNC, SDR, 3D tisk…) a tentokrát bude k vidění i IoT brána od The Things Network.
Přidat komentář

11.2.2018 23:11 /Petr Ježek
Hledáte lehký a rychlý prolížeč PDF souborů? Pokud vás již omrzelo čekat na načítání stránek či jiné nešvary, zkuste xreader.
Přidat komentář

11.2.2018 20:35 /Redakce Linuxsoft.cz
Třetí ročník odborné IT konference na téma Cloud computing v praxi proběhne ve čtvrtek 1. března 2018 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 16 hod. odpoledne. Konference o trendech v oblasti cloud computingu nabídne i informace o konkrétních možnostech využívání cloudů a řešení vybraných otázek souvisejících s provozem IT infrastruktury.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze