Lý do mà Nessus có yêu thích như vậy bởi vì chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được cập nhật liên tục, bố cục dễ trải nghiệm và kết quả có cơ hội có lưu lại dưới nhiều dạng khác nhau như biểu đồ, XML nên PDF nhằm có cơ hội đơn giản tham khảo. Ngoài ra khi trải nghiệm Nessus các bạn không phải bận tâm về vấn đề bản quyền vì đây là một chương trình không tốn tiền. Trong bài viết này tôi sẽ mô tả phương pháp cấu hình và setup nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như các trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và thiết lập chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên có tác dụng giải nén và lần lượt setup các gói tin thư viện ">Quan tri he thong linux và các plug-in cần thiết cho chu trình quét lỗi. Khi tiến trình setup hoàn tất bạn hãy dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf vào lúc thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để connect với máy chủ nessus bằng giao thức an toàn SSL thì chúng mình cần tạo các SSL certificate cho nessus qua lệnh nessus-mkcert và tiến hành theo nhiều chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng nhằm Quan tri he thong Linux chạy nessus bằng tiện ích nessus-addusr. Điều này có thể giúp các bạn tạo ra những tài khoản chỉ có khả năng quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành những bước cài đặt cho máy chủ nessus, hãy cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal nào và thiết lập nhiều tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: máy chủ nessus cần được cấu hình trên các Quản trị hệ thống linux Linux-like, nhưng chương trình giao tiếp (nessus client) có thể cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên chúng mình cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn những plug-in để tiến hành quét lỗi, càng rất nhiều plug-in có chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời gian cũng có tác dụng lâu hơn, hãy cùng click chuột vào ô check-box bên phải nhằm chọn những plug-in mình muốn:
Cuối cùng là nhập địa chỉ nhiều máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu kinh doanh:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời gian tiến hành lâu hoặc mau. Kết quả thu được sẽ được mô tả như khung sau:
Dựa trên kết quả thu được các bạn có cơ hội xác định nhiều điểm nhạy cảm cũng như nhiều lổ hổng mà nhiều hacker chắc hẳn lợi dụng để tấn công hệ thống, ví dụ như có một server Windows OS bị lỗi bảo mật Rpc dcom có khả năng cho nhiều hacker chiếm quyền điều khiển từ xa hay các cổng TCP 139 đang mở trên phần lớn nhiều máy của nhân viên phòng Kinh Doanh có cơ hội bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là các bạn nên vá chúng lại càng sớm càng tốt qua website của nhà cung cấp hoặc đặt password theo cơ chế phức tạp nhằm ngăn ngừa những phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời gian dùng...
Cho phép Quan tri linux phòng chống nhiều kiểu tấn công này thì chúng mình cần kịp thời thông tin nhiều bản vá hệ thống khi chúng được công bố, hoặc trên những mạng và hệ thống dùng Windwos 2000 về sau chúng ta có khả năng nâng cấp các bản vá từ trang web Microsoft Update nên cài đặt WSUS server mục đích cập nhật cho khá nhiều máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí những bản tin cảnh báo từ những trang web của nhiều nhà đưa ra giải pháp bảo mật (ví dụ www.eeye.com) mục đích chắc hẳn đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta hay định kỳ giám sát những hệ thống server quan trọng, setup các chương trình diệt Virus và Trojan (đối với các hệ thống Windows OS chúng mình nên cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), hình thành hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là sử dụng kế nghi binh “Vườn Không Nhà Trống” cho phép đánh lừa và dẫn dụ nhiều hacker tấn công vào những máy chủ ảo được tạo ra qua nhiều HoneyPot Server.
0 nhận xét:
Đăng nhận xét