Suite de sécurité OpenVAS pour l'analyse des vulnérabilités

La question de la sécurité est l'un des piliers fondamentaux de toute organisation et notre responsabilité en tant que personnel informatique est d'assurer l'intégrité et la disponibilité de toutes les informations et la bonne stabilité de l'ensemble de l'infrastructure.

Nous savons que chaque jour nos systèmes, quel que soit le développeur, sont exposés à des vulnérabilités pouvant mettre en péril tout le bon fonctionnement et le bon fonctionnement de l'entreprise et nous devons être attentifs à toute nouveauté présentée pour la contrer et agir à temps.

Aujourd'hui, nous allons voir comment OpenVAS Cela nous aidera dans le processus d'analyse de vulnérabilité dans Ubuntu 16.

Qu'est-ce qu'OpenVASOpenVAS (Open Vulnerability Assessment System) est un outil totalement gratuit qui nous fournit une solution pour tout ce qui concerne le analyse de vulnérabilité qui peuvent présenter notre système et à partir de là, prendre des mesures de sécurité qui se refléteront dans le bon fonctionnement de la structure.

OpenVAS vous protégera contre les vulnérabilités réseau ou IP, est gratuit et gratuit, Il permet d'identifier les failles de sécurité. OpenVAS est un framework qui fournit des services et des outils pour effectuer une analyse et une gestion des vulnérabilités.

Parmi les principales fonctionnalités que nous trouvons dans OpenVAS, nous avons :

  • Il est capable d'effectuer simultanément une analyse sur plusieurs ordinateurs
  • Prend en charge le protocole SSL
  • Nous pouvons mettre en œuvre des analyses planifiées
  • Nous pouvons arrêter ou redémarrer les tâches d'analyse à tout moment
  • Nous pouvons gérer les utilisateurs depuis la console
  • Prend en charge HTTP et HTTPS
  • Prend en charge plusieurs langues
  • Multi plateforme
  • Rapports clairs et complets

OPENVAS

1. Installation d'OpenVAS sur Ubuntu 16


Pour démarrer le processus de téléchargement et d'installation d'OpenVAS, nous utiliserons la commande suivante :
 wget http://www.atomicorp.com/installers/atomic | sh

Installation de Bzip2
Bzip2 est un compresseur de données de haute qualité qui sera utilisé par OpenVAS, pour le télécharger nous utiliserons la commande suivante :

 sudo apt-get install bzip2

AGRANDIR

Le framework est installé et fonctionne en arrière-plan, mais nous pouvons accéder aux données statistiques qu'il collecte via un site Web que nous installerons appelé Greenbone Security Assistant.

Pour installer sous Debian / Ubuntu / Mint ou toute autre distribution, cela dépendra si on utilise sudo ou yum devant les commandes, pour commencer il faut aller dans une fenêtre de terminal et exécuter les commandes suivantes :

nous devrons installer SQLite version 3 pour stocker les rapports

 apt-get install sqlite3
Nous ajoutons le référentiel :
 add-apt-repository ppa: mrazavi / openvas
Nous mettons à jour le système et le référentiel après l'installation en cas de nouvelles versions :
 apt-get mise à jour
Nous mettons à jour le logiciel que nous avons installé vers de nouvelles versions :
 apt-get mise à niveau
Une fois ces étapes exécutées, nous procédons à installer OpenVAS à l'aide de la commande suivante :
 sudo apt-get install openvas

Pendant le processus d'installation, nous verrons la fenêtre suivante dans laquelle nous sélectionnons Oui.

Il s'agit de la base de données où les informations seront stockées.

Après l'avoir installé, nous devons démarrer les services du serveur OpenVAS qui se chargeront de collecter les informations.

Depuis la fenêtre du terminal, nous allons créer un certificat (Facultatif) pour pouvoir ensuite mettre à jour le serveur OpenVas :

 sudo openvas-mkcert
Ensuite, nous allons créer un autre certificat. Cette fois, nous allons créer un certificat client, nous n'avons pas besoin d'informations spécifiques pour la partie client, nous allons donc configurer et installer automatiquement les certificats :
 sudo openvas-mkcert-client -n om -i
Maintenant que nous avons installé les certificats, nous pouvons mettre à jour la base de données afin d'avoir un référentiel de requêtes pour les outils des différents types de menaces et de vulnérabilités, ce serait comme une base de données antivirus, mais comprenant diverses menaces pour les serveurs.

Pour mettre à jour la base de données, nous utilisons la commande suivante :

 sudo openvas-NVT-sync
Ensuite, nous allons télécharger et mettre à jour les données de Sécurité SCAP. Il s'agit d'une autre base de données qu'OpenVAS utilisera pour rechercher des vulnérabilités.

Ces bases de données sont mises à jour quotidiennement ou hebdomadairement.

 sudo openvas-scapdata-sync
Avec cette commande, il serait mis à jour.

Redémarrage des services
Une fois l'installation terminée, nous procédons au redémarrage des services à l'aide des commandes suivantes :

 sudo /etc/init.d/openvas-scanner restart sudo /etc/init.d/openvas-manager restart sudo /etc/init.d/openvas-gsa restart
Avec ces commandes, nous redémarrons OpenVas.

2. Réalisation d'un test de vulnérabilité


Avant d'accéder au Console OpenVAS Nous exécuterons la commande suivante pour effectuer un test de vulnérabilité :
 sudo openvas-nvt-sync

3. Accéder à la console OpenVAS


Une fois tout configuré, nous ouvrirons une fenêtre de navigateur et saisirons ce qui suit dans la barre de titre :
 https : // adresse_IP
Pour connaître l'adresse IP, nous pouvons utiliser le commande ifconfig. Dans ce cas, nous entrons https://192.168.0.37 et nous verrons le message de sécurité suivant :

Si nous n'avons pas de connexion https sécurisée, cela nous donnera une erreur, mais nous n'avons qu'à ajouter l'exception de connexion non sécurisée à notre navigateur et nous pourrons y accéder. Cliquer sur Options avancées puis accédez à 192.168.0.37 et nous verrons la fenêtre principale de la console OpenVAS :

AGRANDIR

Les informations d'identification par défaut pour accéder à OpenVAS sont :

  • Nom d'utilisateur : administrateur
  • Mot de passe : administrateur

Nous accédons à la console OpenVAS

AGRANDIR

Dans la console, nous avons plusieurs alternatives très utiles pour nos rôles. L'un d'eux est l'onglet Réglage.

AGRANDIR

Nous avons les onglets suivants :

Gestion des scansDe cet endroit, nous gérons toutes les tâches de numérisation que nous pouvons implémenter dans le système. C'est le menu où vous pouvez trouver les options de gestion des analyses, il vous permet de créer de nouvelles tâches de recherche et d'analyse des vulnérabilités basées sur une IP ou un domaine, de modifier celles qui ont été créées précédemment, de consulter les rapports et d'ajouter des commentaires à chaque analyse pour modifier les menaces ou détecter et commenter les fausses alarmes.

La gestion d'actifsC'est l'onglet de gestion des actifs où seront stockés tous les équipements qui ont été analysés. C'est le menu où se trouvent les hôtes qui ont été analysés et où l'on peut voir le nombre de vulnérabilités identifiées.

ConfigurationA partir de cet onglet, nous pouvons configurer les accès, les analyses, les informations d'identification et tous les paramètres de l'application. Ici sont attribués, les ports, les alertes, les identifiants d'accès, vous pouvez planifier des analyses, les paramètres du scanner, configurer des rapports et avoir d'autres options.

Caractéristiques supplémentairesÀ partir de cet emplacement, nous gérons les paramètres de sécurité

AdministrationIl nous permet de configurer globalement l'outil et les utilisateurs qui y ont accès.

Par exemple depuis l'onglet Configuration nous pouvons sélectionner le Option de liste de ports pour un résumé détaillé des ports du système et de leur fonction.

AGRANDIR

Nous pouvons établir la manière dont les scans doivent être effectués :

AGRANDIR

Pour scanner une adresse IP, nous pouvons aller à la fenêtre principale et dans la case entrer l'adresse IP à analyser et appuyer sur le bouton Lancer l'analyse pour que le processus démarre.

AGRANDIR

La même chose peut être faite à partir de l'onglet Gestion des scans.

4. Créer une tâche avec OpenVAS


Pour lancer une analyse et rechercher des vulnérabilités, accédez au menu Gestion des scans et nous devrons générer une nouvelle tâche composée d'une IP ou d'un domaine et d'une configuration de scan.

AttentionNous pouvons utiliser l'IP ou le domaine de notre serveur ou d'un autre serveur. Il est important de noter que pendant que nous analysons un serveur, cela pourrait être considéré comme une attaque par un autre système de sécurité ou par un autre administrateur.

Nous entrons l'adresse IP ou le domaine de l'ordinateur que nous voulons tester et cliquons sur le bouton vert dans la colonne Actions qui s'appelle Lancer l'analyse o Lancez l'analyse pour commencer.

Le scan est lent et prend du temps mais on peut voir la progression au fur et à mesure qu'il progresse dans ce cas nous avons été plus de 2 heures avec 94% du scan terminé, avec une des tâches, et les autres sont à 1%.

Bien que le framework et les scans détectent des vulnérabilités, il faut garder à l'esprit que cet outil n'est qu'une mesure qui permet compléter les politiques de sécurité, OpenVAS ne résout aucun problème détecté, seul signaler les vulnérabilités qu'il a trouvé sur la base des bases de données du scanner. C'est très utile pour anticiper les menaces et pouvoir faire des changements pour être plus sécurisé au quotidien.

Ce type d'audit et d'analyse permet d'identifier :

  • Ports ouverts
  • Services utilisés par le serveur
  • Détection de vulnérabilités possibles dans les ordinateurs analysés.

Une fois l'analyse terminée, nous pourrons voir si des vulnérabilités ont été trouvées. On peut aussi surveiller pendant le scan ou l'arrêter pour faire une analyse partielle.

En bas, vous pouvez voir le rapport OpenVAS qui a été créé avec les vulnérabilités possibles du système que nous analysons. Nous pouvons voir que le niveau de risque de la vulnérabilité trouvée. Nous pouvons trouver plus d'informations sur la vulnérabilité en cliquant sur la loupe. Cela nous conduira à un rapport complet des résultats. En haut, nous aurons la possibilité de télécharger les résultats dans différents formats : html, pdf, entre autres.

Nous pouvons également filtrer les résultats et effectuer une recherche dans le rapport. Par défaut, l'interface n'affichera que les menaces à risque élevé et moyen. Ceux à faible risque peuvent être configurés dans les paramètres d'analyse afin qu'ils soient également affichés et analysés.

La plupart des vulnérabilités peuvent être trouvées en détail et proviendront de bases de données d'entités telles que le CVE - Common Vulnerabilities and Exposures, qui est une liste constamment mise à jour d'informations sur les vulnérabilités de sécurité.

Disposer d'un serveur OpenVAS entièrement fonctionnel pour analyser un réseau ou un serveur est une autre alternative pour vous protéger des vulnérabilités potentielles. Nous ne couvrons qu'une partie des fonctionnalités de base d'OpenVAS puisqu'il s'agit d'une suite de sécurité très complète, elle peut même être exécutée à partir de la ligne de commande pour les utilisateurs experts.

Entre autres tâches, nous pouvons configurer des alertes par e-mail lorsque certains niveaux de menace sont générés, afin que OpenVAs nous alerte automatiquement. Le Greenbone Web Assistant nous permet d'avoir une interface pour profiter du système d'aide intégré pour en savoir plus sur ses options et fonctionnalités. Avec cela, vous savez déjà comment démarrer un bon audit de sécurité informatique

Nous avons cet excellent outil pour toute notre gestion d'analyse de vulnérabilité avec un environnement de travail simple et agréable pour nos environnements Linux.

Audit du système Linux CentOS 7

wave wave wave wave wave