Використання сканера безпеки Nessus

Сканер безпеки – це програмне або програмно-апаратний засіб, призначений для автоматизації процедури виявлення вразливе-стей компютерних систем Його головною функцією є зясування версій встановленого програмного забезпечення і помилок конфігурації, в тому числі в пральний політиці Для цього сканер безпеки виявляє доступні на вузлі мережеві служби, намагається підключитися до них, а після цього – виробити відповідний набір тестів

Алгоритм роботи сканера безпеки полягає в наступному: опе-

ратор задає деякий набір IP-адрес або DNS-імен вузлів, які необ-

хідно просканувати Після цього сканер робить перевірку доступно-сті даного вузла, потім ідентифікує відкриті порти і визначає запу-щенние мережеві сервіси

Основним компонентом сканера безпеки є база вразливе-стей Використовуючи її, сканер намагається перевірити уразливості мережевих сервісів, по черзі застосовуючи тести, відповідні для даного обраного сервісу

Сканери безпеки можуть проводити виявлення вразливостей не тільки в мережевих сервісах, а й в ОС, в локальних сервісах і додатках Після за-вершення сканування всі зібрані дані обєднуються в звіти раз-особистої форми Аудитор може включати дані звіти в документи, описи-

вающие результати інструментальної перевірки

При використанні сканерів безпеки аудитор повинен дотримуватися підвищеної обережності, так як при тестуванні вони можуть реалізовувати-вать атаки на уразливі системи, що може спровокувати порушення нор-бітної працездатності системи

Сканер безпеки не намагається «зламати» обстежуваний вузол, проте вироблені тести можуть бути небезпечними в тому плані, що здатні

викликати відмову в обслуговуванні Крім того, деякі сканери, такі як LANguard Network Security Scanner, дозволяють виконувати атаку «віддалений підбір пароля» для доступу до спільних файлів і папок (в ОС сімейства

Windows NT це еквівалентно атаці на обліковий запис користувача)

В якості ілюстрації розглянемо широко відомий і популярний сканер Nessus Програмна частина Nessus версії 30 є вільно рас-

пространяются, але для користувачів, які не набули ліцензію, про-Постановою баз даних вразливостей проводиться тільки через тиждень з мо-мента їх випуску Крім того, вільно поширювана версія може

застосовуватися лише для сканування вузлів в підмережах класу C

Структурно Nessus складається з серверної частини, клієнтської частини і на-

бору модулів (plug-ins) Серверна частина забезпечує взаємо-

модействие з мережевим середовищем, запуск вибраних тестів, а також отримання і первинну обробку їх результатів Модулі, що підключаються – це сценарії тестів, написані на спеціально розробленому для цього інтерпретуючи-мом мовою NASL (Nessus Attack Scripting Language) Клієнтська частина забезпе-чує взаємодію користувача з сервером, вибір і налаштування тестів, а також генерацію звітів про сканування Обмін між клієнтської і сервер-ної частинами ведеться з прикладного протоколу NTP (Nessus Transport Protocol) і може бути як відкритим (без шифрування переданого трафіка), так і закритим (З шифруванням по одному з протоколів SSL або TLS) За замовчуванням сервер використовує порт 1241

Головною особливістю сканера безпеки Nessus є відкритому тости сценаріїв тестування і можливість написання користувачем своїх власних сценаріїв або доопрацювання існуючих Цим Nessus карди-нально відрізняється від переважної більшості комерційних сканерів, програмний код яких є на 100% закритим

Розглянемо застосування сканера безпеки Nessus на прикладі вер-

оці 303 для ОС сімейства Microsoft Windows Встановлення даного сканера здійснюється стандартним чином Обовязковою умовою його нормальної роботи є наявність функціонуючої служби Tenable Nessus (рис 88), яка встановлюється разом зі сканером

Щоб почати сканування, необхідно натиснути кнопку «Start Scan Task» в меню програми Вихідними даними для сканування вузла є-ються його IP-адресу (рис 89), а також сукупність тестів, які необхід-

мо виконати (рис 810)

Рис 88 Служба Tenable Nessus в переліку служб

Щоб вибрати всі тести, за винятком «небезпечних» (тих, що можуть вивести вузол із працездатного стану), і використовувати при цьому на-будівництва «за замовчуванням», необхідно вибрати пункт «Enable all but dangerous plugins with default settings » При наявності впевненості в тому, що тимчасовий вихід вузла з ладу не завдасть жодної шкоди, можна вибрати пункт «En-able all plugins with default settings» При необхідності визначити конкурують-ний список проведених тестів, а також потреби змінити налаштування програми потрібно вибирати пункт «Define my policy» Слід зауважити, що в цьому випадку зроблені настройки і вибраний список тестів будуть діяти лише в ході однієї операції сканування Тому більш розумним яв-ляется попереднє створення власної політики сканування із використанням діалогового вікна «Manage Policies» (рис 811), яке відкритому-ється з меню програми Під політикою розуміється набір тестів і на-будівництв програми

Щоб створити нову політику, необхідно натиснути кнопку «Add a new policy», а потім ввести її імя Для зміни налаштувань необхідно натиснути

«Edit Settings», а для вибору списку тестів – «Edit Plugins» Діалогове вікно з налаштуваннями програми показано на рис 812

Рис 89 Вказування IP-адреси сканируемого вузла

Рис 810 Відключення небезпечних тестів

Рис 811 Створення політики сканування

Рис 812 Зміна налаштувань політики сканування

Всі налаштування забезпечені поясненнями, тому детально розглядатись не будуть Щоб викликати відповідне пояснення, необхідно клацнути на назві налаштування (курсор прийме форму стрілки із знаком питання) Проте слід окремо зупинитися на на-будівництві «Safe Check» Включення цієї опції скасовує використання тес-тів, які можуть викликати відмову вузла, що піддається скануванню В не-зареєстрованій версії Nessus 303 для Windows ця опція не діє, і «небезпечні» тести взагалі не проводяться

Діалогове вікно, в якому здійснюється вибір тестів безпеки

(Модулів), представлено на рис 813 У лівій частині екрана відображаються групи, на які поділені всі тести, а в правій, при виборі відповідної групи, – власне список тестів Підключаються моду-ли згруповані за типами вразливостей і використовуваному на сканованому вузлі програмному забезпеченню (тип операційної системи, наявність web-сервера, FTP-сервера та ін)

Якщо відомо, яка операційна система встановлена ​​на скануючи-мом вузлі, то можна прискорити процедуру сканування вибором лише акту-альних для цієї системи тестів В інших випадках рекомендується виконан-няти максимальне число тестів Якщо створена політика сканування з необ-ходимо настройками, то при запуску сканування можна вибрати пункт

«Use a predefined policy» і далі – необхідну політику

Рис 813 Виберіть додатки

Діалогове вікно Nessus в процесі сканування показано на рис 814 Сценарій тесту для кожної уразливості в загальному випадку унікальний Іноді це лише підключення до відповідного порту та отримання первинної ін-формації про програмне забезпечення сервера, в інших випадках додаткового-тельно виконується ряд запитів, щоб встановити, чи доступні функції, в реалізаціях яких існують уразливості Існує окрема катего-рія «небезпечних» тестів, які представляють собою реалізації атак на відмову в обслуговуванні (класичним прикладом є WinNuke) У версії Nessus для Windows сканування портів і виявлення вузлів у мережі – це тести групи «Port scanners», які можна включити або виключити

Результати роботи сканера представляються користувачеві у вигляді звіту,

який можна експортувати в документи формату PDF, HTML або в тек-

СТОВ файли Приклад вікна Internet Explorer з фрагментом звіту про сканування-вання показаний на рис 815 В якості сканируемого вузла використовувалася ра-бочая станція із встановленою операційною системою Windows 2000 Profes- sional Service Pack 4

Рис 814 Діалогове вікно Nessus в процесі сканування

Розглянемо, як слід інтерпретувати результати сканування Для кожного вузла у звіті присутній запис з узагальненими результатами сканування (рис 816), в якій наведено кількість відкритих портів (8

Open Ports), приміток з додатковою інформацією (27 Notes), передбачається-

прежденій (2 Warnings) і серйозних вразливостей (10 Holes)

Для кожної виявленої уразливості і для кожного успішного тесту в звіті присутній запис з наступними елементами (рис 817):

«Synopsis» – короткий огляд уразливості, «Description» – її опис, «Solu-tion» – посилання на web-сторінку з детальним описом уразливості і заходів, які необхідно вжити для її усунення, «Risk Factor »- інфор-

мація про ступінь небезпеки даної уразливості і посилання на цю уразливість в різних базах даних вразливостей

Фактор ризику обчислюється відповідно до стандарту CVSS (Com-mon Vulnerability Scoping System) і являє собою числову величину від

0 до 10, де 10 – максимальний рівень небезпеки, відповідний крити-чеський уразливості CVSS – відкритий стандарт для підрахунку «базового рів-ня», який кількісно представляє величину загрози від вразливості

«Базовий рівень» не враховує кількість інцидентів і втрат, повязаних з уразливістю Цей стандарт також передбачає можливість підрахунку таких рівнів, як «тимчасовий рівень» (повязаний зі ступенем популярності і

кількістю використання уразливості) і «рівень, що залежить від оточення ня» (обчислюється на базі інформації про систему, на якій знаходиться уяз-вімость)

Рис 815 Фрагмент звіту про сканування

Рис 816 Приклад узагальнених результатів сканування

Рис 817 Приклад опису уразливості

Розрахунок «базового рівня» відбувається за наступною формулою:

BS = 10 * AV* AC* Au * ((C1 * C2) + (I1 * I2) + (A1 * A2)), Де результат округлюється до найближчого цілого числа BS (Base Score) – Величина «базового рівня»

AV (Access Vector – вектор доступу): 0,7 – у разі необхідності локально-го доступу для використання уразливості 1 – у разі можливості видалений-ного використання уразливості

AC (Access Complexity – складність доступу та реалізації атаки): 0,8 – ви-

сокая, 1 – низька

Au (Authentication – аутентифікація): 0,6 – потрібна, 1 – не вимагається

С1 (Confidentiality Impact – вплив на конфіденційність): 0 – отсутству-

ет, 0,7 – частково присутній, 1 – повністю може порушити конфіденційність-

ціальностей

I1 (Integrity Impact – вплив на цілісність): 0 – відсутня, 0,7 – година-

тично присутній, 1 – повністю може порушити цілісність

A1 (Availability Impact – вплив на доступність): 0 – відсутня, 0,7 –

частково присутній, 1 – повністю може порушити доступність

C2, I2, A2 – Коефіцієнти впливу загрози (Impact Bias) на КОНФІДЕНЦ-

альность, цілісність і доступність Коефіцієнти можуть брати значе-

ня: (1/3, 1/3 1/3) – уразливість в рівній мірі поширюється на всі властивості (0,5 0,25 0,25) – уразливість більшою мірою зачіпає кон-фіденціальность (0,25 0,5 0,25) – уразливість в більшій ступеня зачіпаючи-ет цілісність (0,25 0,25 0,5) – уразливість більшою мірою зачіпає доступність

Коефіцієнти впливу загрози дають можливість призначення при-пріоритетів того чи іншої властивості інформаційної системи з точки зору виконуваних системою функцій Наприклад, якщо уразливість в шифрувальної файлової системи однаковою мірою зачіпає (повністю порушує) і кон-фіденціальность, і доступність даних, то конфіденційності повинен бути відданий пріоритет

Проведемо розрахунок «базового рівня» на прикладі знайденої вразливості:

BS = 10*1*1*1*(1*1/3+1*1/3+1*1/3) = 10 Даний розрахунок відповідає будів-

ке в описі уразливості: AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:N

Зразок оформлення переліку знайдених вразливостей

Таблиця 83

IP-адреса: 192168101

Порт: 445/tcp

Ступінь небезпеки: критична

Ідентифікація уразливості:

CVE: CVE-2003-0715, CVE-2003-0528, CVE-2003-0605

BID: 8458, 8460

IAVA: 2003-A-0012

Короткий огляд:

Існує можливість віддаленого виконання довільного програм-

ного коду на даному мережевому вузлі

Опис:

На вузлі встановлена ​​операційна система Windows, що має уразливість в

реалізації одного з програмних модулів При наявності доступу зло-умишленніка до даного вузла по мережі існує можливість запуску на ньому довільного програмного коду з максимальними повноваженнями (Повний контроль над вузлом)

Заходи щодо усунення:

Требуется перенастроювання операційної системи та / або установка обновле-

ний безпеки

Детальна інформація може бути отримана з офіційного web-сайту Mi-crosoft: http://wwwmicrosoftcom/technet/security/bulletin/MS03-039msps

Рядок із заголовком CVE містить номер уразливості в базі даних CVE (Common Vulnerabilities and Exposures – загальновідомі уразливості і впливу) CVE являє собою тезаурус відомих вразливостей, дос-

туп до якого може бути отриманий за адресою «http://cvemitreorg» CVE представляє собою не базу вразливостей, а спосіб їх іменування Наприклад, для уразливості з імям «CVE-2005-1206» елемент «CVE» вказує на те, що уразливість вже отримала імя «CVE», інакше використовувався б елемент

«CAN» – кандидат на імя, 2005 – рік, в якому відбулося затвердження

Інформацію про уразливість можна знайти, використовуючи імя CVE Уразливості з прикладу відповідатиме посилання «http://cvemitreorg/cgi- bin / cvenamecgi Name = CVE-2005-1206»

BID (Bugtraq ID) – номер уразливості в базі даних BugTraq (адреса в

мережі Інтернет: «http://wwwsecurityfocuscom») Розділ «Other references» з-тримає посилання на інші бази даних, в яких зареєстрована дана уразливість, наприклад IAVA (Information Assurance Vulnerability Alert) – ме-тод ідентифікації вразливостей, використовуваний Міністерством оборони США В останньому рядку (Plugin ID) міститься унікальний номер подклю-чаєм модуля Nessus, який використовувався при тестуванні даної уяз-вімості

В якості практичного завдання пропонується протестувати наявність вразливостей на вузлах досліджуваної підмережі, виявлених на попередньому

етапі проведення аудиту Для отримання уявлення про те, яка інформа-ція циркулює в мережі в процесі сканування, використовується аналізатор мережевого трафіку Ethereal Факт сканування пропонується виявити при

допомогою системи виявлення атак Snort За результатами сканування необ-

хідно заповнити звіт за зразком, наведеним у табл 83

ВИКОНАТИ

9 Встановити на локальному компютері IP-адреса таким чином, щоб він опинився всередині досліджуваної підмережі (192168100/24) Можна вибрати будь-який вільний IP-адресу

10 Запустити серверну частину (службу) Nessus за допомогою оснастки «Служ-

б »(Пуск Налаштування Адміністрування Служби) Запустити

клієнтську частину Nessus

11 Очистити log-файли СОА Snort (видалити вміст каталогу

«\ Snort \ log») Запустити СОА Snort з повним набором правил (з команд-

ної рядки каталогу snort \ bin):

snort-i <інтерфейс> -C . / etc / snortconf-l . / log, де <інтерфейс> – Номер інтерфейсу мережевої плати, отриманий за допомогою команди:

snort –W

12 Записати в адресну книгу Nessus IP-адреси вузлів сканируемой підмережі,

які були виявлені на попередньому етапі

13 Запустити аналізатор трафіку Ethereal Включити захоплення трафіку на сеті-

вом інтерфейсі, що знаходиться в одному сегменті зі сканованих вузлом

14 Запустити сканування вузла виявленої раніше робочої станції, ис-

пользуя всі тести за винятком «небезпечних» Для цього вказати пункт

«Enable all but dangerous plugins with default settings» в діалоговому вікні вибору тестів

15 Дочекатися завершення тестів, вимкнути захоплення трафіку, перервати рабо-

ту СОА Snort ()

16 Проаналізувати результати звіту, відповісти на наступні питання:

a Які порти відкриті на робочій станції

b Які критичні уразливості виявлені Що може стати резуль-

татом їх використання

c Які конкретні дії слід зробити для усунення про-

наруженних вразливостей

d Яким чином факт сканування відображається в файлі журналу СОА

Snort (\snort\log\alertids)

e Скільки пакетів було передано по мережі в ході процедури сканування-

ня Який сумарний обсяг переданої інформації

17 Заповнити звіт про результати сканування (зразок див в табл 83)

18 Запустити сканування вузла виявленого раніше сервера, використовуючи всі тести за винятком «небезпечних»

19 Проаналізувати результати тесту і заповнити табл 83 за результатами сканування сервера з боку внутрішньої мережі

20 Встановити на локальному компютері IP-адреса таким чином, щоб він виявився у зовнішній по відношенню до досліджуваного компютера мережі (1921682000/24) Можна вибрати будь-який вільний IP-адресу

21 Запустити сканування сервера, використовуючи всі тести за винятком

«Небезпечних»

22 Заповнити звіт про результати сканування сервера з боку зовнішньої мережі (зразок див в табл 83) Порівняти результати з отриманими раніше в

пункті 19

23 Провести розрахунок величини «базового рівня» загрози для будь критиче-

ської уразливості

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*