Kiểm tra độ an toàn của hệ thống với Nessus

Một trong những mối quan tâm hàng đầu của các nhà quản trị hệ thống là làm sao biết được hệ thống của mình bị hổng ở chổ nào để có thể vá lại hoặc để tấn công hay đột nhập vào nếu người quan tâm đến chúng là các hacker. Có rất nhiều công cụ trợ giúp trong việc xác định các lỗi bảo mất và những điểm nhạy cảm của hệ thống như Retina của Eeye, hay GFI N.S.S của GFI… Nhưng công cụ được các hacker và những nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ được xếp hạng thứ nhất trong 75 công cụ bảo mật được đánh giá bởi tổ chức Insecure (www.insecure.org).

Lý do mà Nessus được yêu thích như vậy bởi vì chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được cập nhật thường xuyên, giao diện dễ sử dụng và kết quả có thể được lưu lại dưới nhiều dạng khác nhau như biểu đồ, XML hay PDF để có thể dễ dàng tham khảo. Ngoài ra khi sử dụng Nessus chúng ta không phải lo lắng về vấn đề bản quyền vì đây là một chương trình miễn phí. Trong bài viết này tôi sẽ trình bày phương pháp cấu hình và cài đặt nessus trên một hệ thống Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như các trường hợp tấn công DOS dựa vào honeypot.

Phần I: Cài đặt và cấu hình chương trình kiểm tra lỗi hệ thống Nessus

Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành cài đặt theo thứ tự sau:

#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install

Các dòng lệnh trên sẽ giải nén và lần lượt cài đặt các gói tin thư viện và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn hãy dùng trình soạn thảo vi, hay emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.

Để kết nối với máy chủ nessus bằng giao thức an toàn SSL thì chúng ta cần tạo các SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra.

Tiếp theo ta cần tạo tài khoản dùng để chạy nessus bằng tiện ích nessus-addusr. Điều này có thể giúp chúng ta tạo ra các tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.

# nessus-adduser
Addition of a new nessusd user
------------------------------

Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable

Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, hãy khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal nào và cấu hình các tham số cần thiết cho quá trình quét lỗi.

- Lưu ý: máy chủ nessus cần được cấu hình trên các hệ thống Linux-like, nhưng chương trình giao tiếp (nessus client) có thể cài trên các hệ thống Windows OS hoặc Linux.

Đầu tiên chúng ta cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in để tiến hành quét lỗi, càng nhiều plug-in được chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, hãy click chuột vào ô check-box bên phải để chọn các plug-in mình muốn:

Cuối cùng là nhập địa chỉ các máy cần kiểm tra lổi trong trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan để nessus bắt đầu hoạt động:

Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu hay mau. Kết quả thu được sẽ được trình bày như khung sau:

Dựa trên kết quả thu được chúng ta có thể xác định những điểm nhạy cảm cũng như các lổ hổng mà các hacker có thể lợi dụng để tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có thể cho các hacker chiếm quyền điều khiển từ xa hay các cổng TCP 139 đang mở trên hầu hết các máy của nhân viên phòng Kinh Doanh có thể bị tấn công bằng cơ chế brute force… Và đương nhiên là chúng ta nên vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cơ chế phức tạp để ngăn ngừa các phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời gian sử dụng...

Để phòng chống các dạng tấn công này thì chúng ta cần kịp thời cập nhật các bản vá hệ thống khi chúng được công bố, hoặc trên các mạng và hệ thống sử dụng Windwos 2000 về sau chúng ta có thể cập nhật các bản vá từ trang web Microsoft Update hay cài đặt WSUS server để cập nhật cho nhiều máy cùng lúc mỗi khi có những lổ hổng hệ thống mới được công bố. Đăng kí các bản tin cảnh báo từ những trang web của các nhà cung cấp giải pháp bảo mật (ví dụ www.eeye.com) để có thể đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta nên thường xuyên giám sát các hệ thống máy chủ quan trọng, cài đặt những chương trình diệt Virus và Trojan (đối với các hệ thống Windows OS chúng ta nên cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), xây dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là sử dụng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ các hacker tấn công vào những máy chủ ảo được tạo ra thông qua các HoneyPot Server.

------------------------------
Nguyễn Trần Duy Vinh
SCNP, CEH, Comptia SECURITY+
[email protected]
http://www.security365.biz

Thứ Hai, 14/04/2008 10:17
31 👨 12.904
0 Bình luận
Sắp xếp theo