Инструментальные средства обеспечения безопасности

       

Реализация


Помните, что Nessus - клиент-серверное приложение. После успешного завершения компиляции следующим шагом будет запуск демона, который поддерживает запросы по сканированию и выполняет основную работу. Для начала необходимо сконфигурировать демона.

Поскольку у клиента Nessus должна быть возможность соединиться с демоном, в первую очередь необходимо создать сертификат для демона (для версии 1.2.0 - если вы хотите, чтобы связь между клиентом и сервером шифровалась по протоколу SSL) и создать как минимум один клиентский профиль. Утилита nessus-mkcert, входящая в состав Nessus 1.2.0, позволяет создать SSL-сертификат и обеспечивает поддержку процесса его создания. Утилита nessus-adduser может быть использована для добавления пользователей в базу данных Nessus. При запуске утилиты nessus-adduser вы получаете запрос на ввод имени пользователя и типа аутентификации. Версия 1.2.0 позволяет сделать выбор между аутентификацией по паролю или по сертификату. Для пользователей версии 1.2.0 обычно достаточно аутентификации по паролю. Для пользователей более ранних версий предпочтительней аутентификация по коду. Вас могут попросить настроить параметры, описывающие, откуда разр ешен доступ пользователям (по умолчанию отовсюду), и ввести одноразовый пароль, на котором будет базироваться аутентификация по коду. Как только вы соединитесь с Nessus первый раз с использованием имени пользователя и пароля, все последующие соединения не потребуют ввода пароля. Если вы используете версию 1.2.0, пароль вам может понадобиться каждый раз, если только вы не задали аутентификацию по сертификату (см. страницы справки). Вы можете сконфигурировать правила для каждого пользователя (например, какие машины разрешено сканировать пользователю), но многопользовательская конфигурация выходит за рамки тем, обсуждаемых в этой книге. Для наших целей оставьте список правил пустым, нажав CTRL-D и подтвердив создание пользователя, введя символ y и нажав ENTER.

Файл nessusd.conf (который устанавливается по умолчанию в директорию /usr/local/etc/nessus/) содержит несколько глобальных параметров сканирования, которые вы захотите пощупать.

После установки STAT у вас сразу запросят регистрационный ключ. Если у вас его нет, вы сможете запускать приложение только в "ознакомительном" режиме, который предоставляет возможность тридцатидневного использования сканера, но с ограниченными возможностями по запуску тестов уязвимости (из конфигурационного файла QuickScan.dat).

Как показано на рис. 12.9, у STAT хорошо организованный интерфейс. Ниже меню и панели инструментов показано текущее состояние выбранной машины и конфигурационный файл (политика или работающие тесты уязвимости). Найденные уязвимости перечисляются в главном окне. Если вы сканируете несколько машин, то можете выбрать найденные уязвимости на конкретной машине или на всех машинах сразу. Каждую колонку можно сохранить. В нижней части окна значки показывают количество найденных уязвимостей и их уровень. Вы также можете отслеживать процесс сканирования, поскольку информация на дисплее обновляется регулярно.


увеличить изображение
Рис. 12.9.  Интерфейс STAT




При первом запуске Retina позволяет использовать мастер помощи настроек и выполнения первого сканирования. Однако мастер не так подробен, как этого можно было бы ожидать. Он действительно несколько больше, чем "мастер помощи", объясняющий, как произвести настройки и первое сканирование. Такая последовательность действий может быть предпочтительнее, поскольку это заставляет вас изучить процесс, вместо того, чтобы действовать методом тыка. После того как вы воспользовались услугами мастера, вы готовы к работе. Вы увидите окно, изображенное на рис. 12.16.


увеличить изображение
Рис. 12.16.  Главное окно Retina

  1. Перед началом сканирования вы можете изучить некоторые параметры и настройки. Выберите Tools/Options, чтобы открыть окно Options, показанное далее.


  2. В этом окне вы можете управлять настройками сканирования, параметрами вывода сообщений и предупреждений и даже расписанием, так что вы можете сканировать уязвимости на постоянной основе, что весьма полезно.


  3. Выберите Tools/Reports, чтобы открыть окно Reports. Вы можете настроить отчеты, создаваемые Retina.


Меню Tools также содержит параметры, которые позволяют сконфигурировать различные политики, которые использует Retina в процессе сканирования. Вы можете управлять интервалами портов, которые просматривает программа, а также типами аудита (или тестов уязвимостей), которые она реализует.

Запустим пример сканирования уязвимости.

  1. В главном окне программы (см. рис. 12.16) выберите параметр Scanner на левой панели и задайте IP-адрес в поле Address, расположенном в верхней части окна. Полная версия программы позволяет сканировать интервал IP-адресов.
  2. Выберите меню Action/Start, чтобы начать сканирование. Вы увидите отображение процесса сканирования в левом нижнем углу окна (рис. 12.17). Сначала Retina сканирует открытые порты и пытается получить информацию об этих портах (аналогично программе Nessus).
  3. После того как программа просмотрит систему, она показывает, какие тесты уязвимости можно использовать, и запускает их выполнение на исследуемой машине.
  4. Несколько минут спустя, после того как программа закончит сканирование, вы сможете просмотреть результаты.


    Запустив Internet Scanner, вы увидите, что он загружает все доступные в базе данных тесты уязвимости и проверки на возможность проникновения в систему. Затем вы можете работать над созданием новой ISS-сессии, используя New Session Wizard. После того как вы настроите ISS-сессию, вы можете задать хосты и IP-адреса, которые вы хотите сканировать, а также типы тестов уязвимостей, которые вы хотите запустить. Сессия также использует ключевой файл, в котором задаются возможности по сканированию (например, какое количество машин позволяет сканировать ваша ISS-лицензия). Тестовая версия сканера может сканировать только локальный интерфейс (localhost). Тем не менее, когда вас попросят выбрать тип тестов уязвимостей, вы увидите, что у ISS множество стандартных политик сканирования, которые можно выбрать. По крайней мере, одна должна содержать тот тип машины, который вы сканируете.

    Примечание. ISS-политики представляют собой то же самое, что и DAT-файлы STAT. Они позволяют производить сканирование на предмет обнаружения уязвимостей определенного типа и уровня опасности в зависимости от того, какие типы хостов вы сканируете.

    При первом запуске Internet Scanner запускается вместе с мастером создания новой сессии (New Session Wizard), который показан на следующей иллюстрации. Поскольку мы все равно ничего не сканируем, мы можем выбрать политику Evaluation, чтобы получить представление о возможностях сканера.




    Содержание раздела