LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Nessus - jak bezpečný je Váš server

Možná jste si už někdy položili otázku: "Jak moc bezpečný je můj server (počítač)?" Určitě jste si nakonfigurovali firewall, ale to nestačí ... Potřebujete vědět víc ... Pojďte najít díry do vašeho systému.

16.8.2004 08:00 | Michal Vyroubal | Články autora | přečteno 8700×

Víte, jak vypadá bezpečný počítač? Pravděpodobně je zakopaný 1 km pod zemí v pancéřovaném trezoru a v žádném případě není připojen k počítačové síti. Žel takový počítač je nepoužitelný, a to proto, že 1 km pod zemí je docela chladno a bez počítačové sítě se špatně komunikuje s okolím. A čím víc chcete využívat nejrůznější služby sítě, tím více musíte váš počítač otevřít a tím menší je jeho bezpečnost.

(Ne)bezpečnost v sítích, aneb TCP/IP v 10 větách

Ve chvíli, kdy připojíte síťový kabel do svého počítače, začnou vás navštěvovat balíčky dat (pakety). Každý takový paket doputuje na váš počítač k určitému přístavu (portu) a tam zakotví. Některé porty jsou otevřené, jiné uzavřené. Toto otevírání a zavírání se realizuje pomocí firewallu. Ale co ty otevřené porty? Zde je celá bezpečnost v rukou aplikace (služby, démona), která port obsluhuje. Právě zabezpečení techto otevřených portů bude předmětem našeho článku.

Nessus

Nessus je nástroj sloužící ke kompletnímu scanování stroje. Nejenže ověří, které porty jsou otevřené a jaké služby na nich běží (na to by stačil nmap), ale hlavně umí zjistit bezpečnostní slabiny služeb obsluhujících porty.

Co potřebujete o počítači znát před zahájením scanu? Stačí IP adresa nebo dokonce jen jeho doménové jméno.

Architektura nessus-e

Nessus se skládá ze dvou částí:

  • server nessusd
  • klient nessus

Před zahájením scanování se klient připojí k serveru a veškerý scan je poté prováděn ve jménu počítače, na kterém běží serverová část. To může mít nejrůznější výhody. Můžete tak odlehčit svému internetovému připojení. Rovněž pokud jste v síti, která je schovaná za firewallem, bylo by komplikované protlačit scanování přes firewall (firewall totiž některé testy nemusí pustit ven). Řešením je samozřejmě umístění serverové části mimo "ochranu" firewallu.

Nejprve si tedy nessus stáhněte nebo se podívejte, jestli není součástí vaší oblíbené distribuce Linuxu. Použití prográmku si ukážeme ve třech krocích.

A - Vytvoření uživatele na serveru a start serveru

1. Vytvoření uživatele

Pro vytvoření použijeme příkaz nessus-adduser

# nessus-adduser

Addition of a new nessusd user
------------------------------

Login : vyrbl
Authentication (pass/cert) [pass] : pass
Password : heslo

User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that renaud2 has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)

deny 10.0.0.254
accept 10.0.0.0/24
default deny

Login : vyrbl
Password : heslo
DN :
Rules :

deny 10.0.0.254
accept 10.0.0.0/24
default deny


Is that ok (y/n) ? [y] y

user added.

Takto jsme vytvořili uživatele vyrbl, který se bude k nessusd serveru přihlašovat s heslem heslo (pozor, při vytváření uživatele se bude zadávané heslo opravdu zobrazovat - stejně jako v příkladu; takže si nenechte nikoho stát za zády :-).

Uživateli zakážeme scanovat stroj na IP adrese 10.0.0.254 (to je totiž náš lokální server); jinak může prověřit kterýkoli stroj v lokální síti. Výchozí bezpečnostní politika je deny (neboli co není povoleno je zakázáno).

Na závěr potvrdíme krátké opakování a nový uživatel je na serveru zaveden.

2. Spuštění serveru

Nyní spustíme server příkazem nessusd, nejlépe s parametrem D, který způsobí, že server poběží jako služba (démon). K tomuto spuštění ovšem potřebujete mít náležitá oprávnění. Rovněž je možné při spouštění nastavit port, na kterém server naslouchá (výchozí je 1241/tcp, kde se hlásí jako msg) a spoustu dalších jemností.

nessusd -D

B - Scanování pomocí klienta

Klienta spustíme příkazem nessus. A už koukáme na klikací okno, které má 8 záložek pro ovládání a nastavování. Probereme si důležitá nastavení a volby.

1. Připojení k serveru

Na kartě Nessusd host nastavíte, kde běží server nessusd a přihlašovací údaje k němu. Ve chvíli logování proběhne ověření SSL klíčů. Rovněž se vám do klienta načtou údaje o plug-inech instalovaných na serveru.

2. Testovací plug-ins

Karta Plugins nabízí výběr testovacích modulů (jsou vyvíjeny stále nové moduly, které si můžete přidat). Výchozí nastavení je takové, aby se prováděly jen takové testy, které nemohou ohrozit běh testovaného stroje. Pokud bychom testovali například Denial of Service, mohlo by to na stroji, který není zabezpečen proti tomuto typu útoku, opravdu vyvolat výpadek služby - buďte tedy opatrní. Všechny tyto moduly můžete přesněji nastavit na záložce Prefs. (například metody scanování, rozsah scanovaných portů, metoda používaná pro ping, ...). Docela zajímavé je nastavení SMB účtu, které nessusovi umožní připojit se k Windows a zjistit o nich více informací (např. úroveň aktuálnosti systému).

Plugins

3. Možnosti a cíl scanování

Karta Scan options slouží k nastavení parametrů samotného testování (rozsah portů, ...). Docela užitečné nastavení je zde kolik hostů je možné testovat najednou (hodí se, pokud testujete více strojů z rozsahu IP adres).

Na kartě Target selection určujeme, co se bude scannovat. Je několik možností zadání:

  • 10.0.0.21
    (jediná IP adresa)
  • 10.0.0.21-30
    10.0.0.21-10.0.1.10
    10.0.0.1/24
    (různě zadané rozsahy IP adres)
  • www.linuxsoft.cz
    (plné doménové jméno stroje)
  • exch-server
    (jméno stroje v lokální síti)
  • www.linuxsoft.cz, 10.0.0.21-30, exch-server
    (kombinace předchozích oddělené čárkou)

Users - tato karta slouží k nastavení vyjímek. Například chci testovat stroje 10.0.0.21-30, ale rozhodně nechci testovat počítač hlavního správce sítě 10.0.0.25. V Target selection tedy nastavím 10.0.0.21-30 a na kartě Users přidám pravidlo

reject 10.0.0.25
default accept

Teď již můžeme Start the scan. (Pokud testujete počítače v Internetu, zajděte si na oběd - provedení scanování bude trvat delší dobu. V lokální síti to jde docela rychle.)

4. Další nastavení

Záložka KB umožňuje nastavit ukládání výsledků testu na straně serveru nessusd (jinak se ukládají na klientovi). A konečně Credits - zatleskejme tvůrcům tohoto super programu.

C - Práce s výsledkem testu

Výsledek testu se zobrazí v přehledném zobrazení. Rovněž jej můžete uložit v mnoha různých formátech. Můžete se podívat jak vypadá výsledek testu. Testovaný stroj má "operační systém" M$ Windows 98SE a uživatel se cítí bezpečně, protože má přece povoleno "jen" sdílení souborů ...

Ve výsledku jsou tři úrovně zpráv: Security notes, warnings, hole (bezpečnostní poznámky, varování, díry).

Tento software mohu doporučit každému správci, který chce být rychlejší než případný útočník.

Verze pro tisk

pridej.cz

 

DISKUZE

A vsechny vysledky si radeji overte RUCNE 16.8.2004 09:17 Michal Vymazal
L Re: A vsechny vysledky si radeji overte RUCNE 16.8.2004 14:06 Michal Vyroubal
Pouziti nessusu proti vlastnim serverum 16.8.2004 12:32 Jan Houštěk
L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 14:11 Michal Vyroubal
  L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:09 Jan Houštěk
    L Re: Pouziti nessusu proti vlastnim serverum 16.8.2004 15:51 Michal Vyroubal
Bezpecny pocitac 16.8.2004 15:59 Jan Houštěk
  L Re: Bezpecny pocitac 16.8.2004 16:08 Michal Vyroubal
    L Re: Bezpecny pocitac 16.8.2004 19:06 Jan Houštěk




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

13.9.2017 8:00 /František Kučera

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).


Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

27.7.2017 12:24 / Jaromir Obr
Cteni/zapis

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze