Cum sa instalam OpenVAS-ul

Acei care se ocupa cu securitatea sistemelor informationale cu siguranta au auzit de Nessus. Candva era, probabil, cel mai bun program pentru audit in securitatea serverelor. Era cu sursa libera, si era gratuit, pana la momentul cand compania patroana a inchis sursele. Acum pentru a folosi acest program, trebuie sa platesti o taxa de subscriptie, care se ridica la ordinul miilor de dolari anual. Desigur, nu orice sysadmin isi poate permite asemenea placere.
Vestea buna este ca exista un instrument asemanator, care se bazeaza pe sursele mai vechi ale lui nessus (care erau libere), doar ca comunitatea le-a imbunatatit, si continua sa le perfectioneze. Acest instrument se cheama OpenVAS (Open Vulnerability Assestment System). I-l gasiti pe site-ul oficial: http://www.openvas.org/ , cat si in repozitorii.
Fiecare sysadmin e obligat sa-l aiba pe OpenVPN in dotare, si orice sysadmin care se respecta il va instala din surse.
Explic in continuare procesul de instalare a lui pe Debian Lenny.

1. Instalam dependentele (in Lenny ele sunt in repozitorii, cu Ubuntu Hardy, din cate imi amintesc, le-am instalat din surse si mi-a luat ceva timp…):

# su
# apt-get install libpcap0.8 libpcap0.8-dev libgnutls-dev libgnutls26 libgpgme11 libgpgme11-dev bison smbclient nikto nmap nessus rsync

Cu toate ca smbclient, nmap si nikto nu sunt dependente directe, in timpul scanarii unui server se folosesc, si ar fi bine sa steie. Nmap ar trebui sa fie in dotatia oricarui sysadmin, iar nikto e un program care de multe ori iti arata ceea ce nici nu banuiai. Nessus-ul il instalam in loc de openvas-client, cel putin mie asa imi place mai mult. Rsync este folosit pentru a downloada mai usor definitii noi.

2. Cream un directoriu pentru surse, si o mapa pentru openvas, si ne mutam in ea (userulmeu inseamna un nume de utilizator din sistem):

# mkdir /home/userulmeu/surse
# mkdir /home/userulmeu/surse/openvas
# cd /home/userulmeu/surse/openvas

3. Descarcam codul sursa:

# wget http://wald.intevation.org/frs/download.php/485/openvas-server-1.0.2.tar.gz
# wget http://wald.intevation.org/frs/download.php/523/openvas-plugins-1.0.4.tar.gz
# wget http://wald.intevation.org/frs/download.php/467/openvas-libraries-1.0.2.tar.gz
# wget http://wald.intevation.org/frs/download.php/468/openvas-libnasl-1.0.1.tar.gz

(in acest exemplu eu am folosit ultimele versiuni stabile la moment. Va recomand sa descarcati ceea ce va place mai mult de aici http://wald.intevation.org/frs/?group_id=29). Va amintesc, ca va trebuie openvas-server, openvas-plugins, openvas libraries si openvas libnassl. In loc de openvas-client vom folosi clientul vechi al lui Nessus, pe care l-am instalat mai devreme.

4. Dezarhivam codul sursa:

# tar xvzf openvas-server-1.0.2.tar.gz    #sau ce versiune veti fi downloadat.
# tar xvzf openvas-plugins-1.0.4.tar.gz   #adaptati dupa versiunea descarcata de voi.
# tar xvzf openvas-libraries-1.0.2.tar.gz  #nu mai repet ceea ce scrie in ultimele doua randuri de mai sus
# tar xvzf openvas-libnasl-1.0.1.tar.gz    # in sfarsit.

5. Instalam openvas-libraries:

# cd ../openvas-libraries-1.0.2/
# ./configure
# make
# checkinstall -D make install
# echo ‘/usr/local/lib’ >> /etc/ld.so.conf
# ldconfig

ultimele doua comenzi ne sunt recomandate in procesul de instalare, asa ca le-am inclus si eu.

6. Instalam librariile openvas-libnasl:

# cd openvas-libnasl-1.0.1/
# ./configure
# make
# checkinstall -D make install

In principiu, aici e de ajuns doar un make install, dar eu prefer sa folosesc checkinstall pentru ca mai apoi sa pot sterge mai usor. Cand folosim comanda checkinstall -D make install se creaza un pachet *.deb, cu ajutorul caruia noi vom putea sterge mai usor programul, sau reinstala mai usor, cu ajutorul comenzii dpkg. Va trebui sa aveti instalat pachetul checkinstall (apt-get install checkinstall), si sa raspundeti la cateva intrebari de protocol despre pachetul deb pe care vreti sa-l creati.

7. Instalam openvas-server-ul:

# cd ../openvas-server-1.0.2/
# ./configure
# make
# checkinstall -D make install

8. Instalam pluginurile:

# cd ../openvas-plugins-1.0.4/
# ./configure
# make
# checkinstall -D make install

S-ar parea ca-i totul, dar inca nu-i asa. Mergem mai departe:

9. Cream un certificat de encriptie (comunicarea intre client si server merge strict encriptata):

# openvas-mkcert

La mine nu a mers din prima, a trebuit sa mai fac de doua ori ldconfig, pana a inceput sa mearga (intre aceste ldconfiguri am facut si un updatedb, cu toate ca nu-i relevant, am vrut sa vad unde se afla nu stiu ce librarie prin comanda locate).

10. Adaugam un utilizator:

# openvas-adduser
evident, vom scrie un nume, o parola, si tot ce ne va intreba el.

11. Reinnoim definitiile:

# openvas-nvt-sync

Daca ceva nu merge aici, cred ca nu ai instalat rsync-ul, in etapa nr. 1.

12. Aproape gata. Acum pornim openvas-server-ul:

# /usr/local/sbin/openvasd &

13. Acum pornim nessus-ul (clientul):
(In gnome): Applications –> Internet –> Nessus .

14. Scriem numele de utilizator si parola pe care le-am specificat in pasul nr. 10, si ne logam.

15. Deja, selectam un target (tinta), specificam optiunile in ce priveste tipul de scanare, etc (totul se face in mod grafic), si pornim scanarea. Asteptam pana la sfarsit (poate lua si cateva ore) sa aflam rezultatele, adica ce vulnerabilitati a gasit.

Cam atat, aproape. Vreau sa spun sa scanati doar daca aveti acest drept (ori va scanati obiectele ce va apartin, ori obtineti incuviintarea partii scanate). Nu de alta, dar in unele tari atare scanari sunt ilegale. Dar chiar daca-s legale, mie personal nu-mi place cand sunt scanat, ma simt de parca cineva mi-ar fotografia peste gard copiii in timp ce ei se joaca prin ograda (ce-i drept, eu inca nu am copii).

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

%d blogeri au apreciat asta: